Générer sa photo de famille en mode studio ghibli ou son petit starter pack, voilà les dernières tendances sur les réseaux sociaux.
Et si le sujet de l’impact écologique méritait une vidéo entière dédiée à ce sujet pour démêler le vrai du faux dans tout cela, il y a aussi une autre question que l’on oublie : quelles données utilisent ces entreprises comme OpenAI pour développer leur modèle et où les trouvent-elles ?
Il y a deux écoles autour de ce sujet : ceux qui volent et préfèrent s’excuser ensuite mais toujours au détriment de nos droits comme OpenAI et ceux qui attendent patiemment l’autorisation avec le risque de perdre un avantage concurrentiel énorme comme étonnamment Meta.
Car cette semaine, Meta a obtenu l’autorisation de pouvoir utiliser les données publiques de ces utilisateurs pour entraîner ces IA, mais qu’est-ce que cela change ?
Meta IA
Voir Meta attendre patiemment l’autorisation de l’Union européenne pour utiliser les données de ces utilisateurs pour entraîner son IA, je dois bien reconnaître que je ne m’y attendais pas !
Dès cette semaine, vous risquez donc de recevoir une notification vous indiquant comment Meta compte utiliser vos données pour entraîner son IA, avec la possibilité de refuser ce consentement.
Vos postes et vos commentaires pourront ainsi être utilisés pour entraîner leurs modèles et si pendant des années il était compliqué d’expliquer l’intérêt de Meta de fournir autant de service gratuitement, c’est aujourd’hui beaucoup plus facile car vos données valent littéralement de l’or pour ces entreprises pour entraîner leur IA à pas cher !
Et face à cela, le deuxième paradigme des entreprises, c’est de ne pas demander l’autorisation et tenter les excuses en cas de conséquence comme va probablement devoir le faire X.
La plateforme d’Elon Musk a donc fait le choix d’utiliser par défaut l’ensemble des données de ces utilisateurs membres de l’Union européenne ou non pour entraîner Grok, la Commission de la protection des données a donc logiquement ouvert une enquête.
Le risque dans cette enquête, en cas de non-sanction, est l’ouverture d’un précédent sur lequel des centaines d’autres entreprises pourront se baser pour extraire et utiliser sans notre consentement toutes nos données personnelles et si à cela on ajoute les problèmes de propriété intellectuelle que tout cela pose, nous voilà face à un super cas à élucider. ([1], [2])
Python
Est-ce que vous vous souvenez de l’attaque sur Bybit il y a quelques semaines ?
Pour rappel, on parle de l’attaque orchestrée par un groupe d’attaquants nord-coréens étant parvenu à voler l’équivalent de plus d’1,5 milliard de dollars de crypto.
Alors évidemment, après un pareil coup, on se dit que ce ne sont pas des manches et maintenant ils ont décidé de s’attaquer aux développeurs !
Comment ? À travers une méthode assez classique de phishing / scam sur LinkedIn en envoyant des messages privés à des développeurs travaillant dans la crypto pour leur proposer un test technique en vue d’un job potentiel.
Le test technique contient un lien vers un repo GitHub devant être cloné localement mais ce projet fait référence à des dizaines de librairies dont une contrôlée par les attaquants pour se connecter à un serveur de command and control.
Les attaquants cherchent alors en priorité des wallets de crypto et des fichiers de configuration pouvant contenir des secrets alors comme d’habitude, faites très attention lorsque vous recevez des messages sur LinkedIn et pensez à la virtualisation. ([3])
CVE
Est-on en train de vivre les derniers jours du programme CVE ?
Pour rappel, les CVE et plus particulièrement la base de données sont maintenus par le MITRE, mais ce mardi, une fuite d’une communication interne nous a révélé la fin du financement unique du MITRE par les US.
En urgence, la foundation CVE a été créée pour continuer le programme et le maintenir, mais comment est financé cette fondation ?
Pour le moment, pas d’information sur cet aspect, alors pour combien de temps le programme est-il vraiment sauvé ?
Car entre-temps, les US ont par la suite annoncé que finalement, ils continueront à financer le programme, du moins pour cette année.
Voilà la problématique lorsque des millions d’organisations se reposent sur un projet financé par un seul gouvernement, donnant donc un pouvoir unique à ces mécènes pouvant avoir un impact direct sur des organisations dans le monde entier.
Si le projet est sauvé, l’heure est peut-être venue de tirer une leçon de cette histoire. Avoir un référentiel unique, c’est important, mais unique ne veut pas dire centralisé et là, la décentralisation par la blockchain aurait ici tout son sens ! ([4], [5], [6], [7], [8], [9])
Faux patch
Les packages vérolés sur le npm registry ont commence à en avoir un peu l’habitude, à tel point que même les attaquants perdent un peu d’espoir sur cette attaque.
Cette perte de vitesse s’explique par la complexité et le temps à passer pour créer des packages vérolés réalistes qui ne seront pas détectés rapidement par npm ou tout simplement signalés pour typosquatting.
Mais à la place, une nouvelle tactique vient d’être découverte : le déploiement de patchs d’outils déjà installés.
À la place d’être un package vérolé en lui-même, la librairie va essayer de détecter des logiciels ou des applications sur l’ordi et les remplacer par une version modifiée, au même fonctionnalité mais contenant par exemple une backdoor.
L’intérêt, c’est que l’on ne se méfie jamais des applications déjà installées sur nos ordinateurs mais aussi que même si le développeur retire le package pourri, l’application patchée reste elle modifiée.
Alors vérifiez bien toujours les sources de ce que vous installez, même pour des packages pour les devs ! ([10])
Toute l'actualité en cybersécurité, développement (WEB, Cloud) et tech sur notre chaine youtube ou en nous contactant pour réaliser une formation en présentiel dans votre entreprise !
