5 choses à retenir de Kaspersky NeXT

5 choses à retenir de Kaspersky NeXT

Le sommet Kaspersky NeXT de cette année a permis de présenter les travaux de recherche de certains des meilleurs spécialistes européens en matière de cybersécurité et d’intelligence artificielle, et a donné lieu à certains débats. Qu’il s’agisse de l’apprentissage automatique, de l’IA ou encore de la sécurité de l’IoT, voici les 5 choses à retenir de l’événement de cette année, qui a eu lieu le 14 octobre à Lisbonne.

Se servir de l’IA pour vivre dans un monde plus juste

Vous êtes-vous déjà demandé combien de décisions ont été prises par une machine aujourd’hui ? Ou combien de décisions dépendent du sexe, des origines ou de l’éducation de la personne? Il est fort probable que vous ne sachiez pas du tout à quel point une machine décide à la place d’un être humain. Kriti Sharma, fondatrice de « AI for Good », a expliqué que des algorithmes sont continuellement utilisés pour décider qui nous sommes et ce que nous voulons.

Kriti a aussi souligné que pour améliorer l’intelligence artificielle nous devons impérativement rassembler les personnes de tout horizon, de tous les sexes et de toutes les origines. Vous pouvez visionner son discours pour Ted Talk ici et découvrir pourquoi la partialité de l’Homme influence la prise de décisions des machines.

Conséquences d’attribuer un sexe à l’IA

Pensez à Alexa, Siri et Cortana. Quel est leur point commun ? Tous ces services ont une voix féminine et ont été conçus pour obéir à vos ordres. Pourquoi ? La technologie renforce-t-elle les stéréotypes ? Il s’agit de deux débats qui cherchent à analyser l’égalité des sexes et l’IA. Les assistants numériques ont une voix féminine parce que, comme plusieurs études l’ont révélé, les utilisateurs se sentent plus à l’aise dans cette situation. Est-ce le reflet de notre société ?

Que pouvons-nous faire pour lutter contre l’inégalité des sexes dans l’IA ? Il faudrait peut-être utiliser une voix unisexe ou créer un nouveau genre pour les robots et l’IA. En plus du problème mentionné ci-dessus, il faut avoir plus d’équipes différentes qui travaillent sur l’IA pour refléter la diversité des utilisateurs qui s’en servent.

https://platform.twitter.com/widgets.js

Nous faisons plus confiance aux robots qu’aux personnes

Un robot social est un système d’intelligence artificielle qui interagit avec l’Homme et d’autres robots et qui, contrairement à Siri ou Cortana, est présent physiquement. Tony Balpaeme, professeur de robotique à l’Université de Ghent, a expliqué que les problèmes liés aux échanges entre les robots et l’Homme seront de plus en plus importants puisque les robots seront de plus en plus utilisés.

Balpaeme a décrit certaines expériences scientifiques qu’il a réalisé avec son équipe. Par exemple, ils ont comparé la capacité de l’être humain à celle d’un robot quant à l’extraction de données sensibles (date de naissance, adresse ou ville natale, couleur préférée, etc.) pouvant être utilisées pour réinitialiser un mot de passe. Curieusement, nous faisons plus confiance aux robots qu’aux personnes, et c’est pourquoi les utilisateurs sont plus susceptibles de leur communiquer certaines données sensibles.

Il a également présenté un test sur l’intrusion physique. Un groupe de personnes qui devaient sécuriser un bâtiment ou un espace a facilement autorisé l’accès à un robot. Il n’y a aucune raison de penser que ce robot est inoffensif, mais ces personnes ont considéré qu’il ne représentait aucun danger. Cette tendance peut facilement être exploitée. Vous pouvez lire l’article publié sur Securelist pour obtenir plus de renseignements sur la robotique sociale et les essais menés.

https://platform.twitter.com/widgets.js

L’IA va créer des deepfakes très convaincants

David Jacoby, membre de Kaspersky GReAT, a parlé de l’ingénierie sociale : chatbots, IA et menaces automatisées. Avec le temps, l’ingénierie sociale et d’autres méthodes de la vieille école pourraient être utilisés pour exploiter les applications de reconnaissance faciale et vocale .

Jacoby a aussi mentionné qu’il est de plus en plus difficile de détecter les deepfakes. L’impact qu’ils pourraient avoir sur les prochaines élections et la diffusion des informations est particulièrement préoccupant.

Pourtant le principal problème reste la confiance. En qui aurez-vous confiance une fois que la technologie aura été perfectionnée ? Selon lui, tout repose sur de meilleures connaissances : des formations et des nouvelles technologies pour aider les utilisateurs à détecter les fausses vidéos.

État de la sécurité en robotique

Dmitry Galov, un autre membre de Kaspersky GReAT, a pris la parole pour parler de ROS (Robot Operating System), un cadre flexible pour développer des logiciels pour la robotique. ROS, comme beaucoup d’autres systèmes, n’a pas pris en compte la sécurité lorsqu’il a été créé et, évidemment, il contient d’importants problèmes en matière de sécurité. Avant de penser aux produits qui pourraient reposer sur ROS, comme les robots sociaux et les voitures volantes qui pourraient s’envoler des bureaux de recherche universitaires pour atterrir dans les bras des utilisateurs, les créateurs doivent régler ces problèmes. En effet, une nouvelle version de ROS est en cours de développement. Le rapport de Galov vous permet d’en savoir plus.

Conseil supplémentaire : utilisez un condom USB

Marco Preuss et Dan Demeter, membres de Kaspersky GReAT, ont expliqué comment les utilisateurs se protègent des pirates informatiques lorsqu’ils sont en déplacement professionnel. Avez-vous déjà pensé qu’ils pourraient y avoir des caméras cachées, des bugs et des miroirs sans tain dans votre chambre d’hôtel ?

Pour les personnes légèrement paranoïaques, cet article, rédigé par Preuss et Demeter, vous donne quelques conseils pour voyager en toute sécurité. Les deux spécialistes ont également expliqué qu’il est primordial d’utiliser un condom USB (surtout si vous êtes vraiment parano). Oui, ces dispositifs existent vraiment et ils sont utilisés comme des clés USB normales : si vous devez charger votre téléphone en utilisant un port USB inconnu alors il vaut mieux utiliser ce petit gadget pour protéger votre appareil. Heureusement, ils sont réutilisables.

Consultez notre compte Twitter pour savoir tout ce qui s’est passé lors de cet événement.

Source: Antivirus

Le Chat botté, exemple d’une campagne APT

Le Chat botté, exemple d’une campagne APT

Avez-vous déjà pensé à la réponse que vous donneriez à votre enfant précoce s’il vous demandait : « Qu’est-ce qu’une attaque APT à motivation politique ? » En réalité, c’est simple. Ressortez votre vieux livre du Chat botté de Charles Perrault et lisez ce conte ensemble en vous concentrant sur les aspects ayant à voir avec la cybersécurité. Après tout, si nous ignorons les libertés artistiques prises par l’auteur, comme un chat qui parle ou des ogres, cette histoire est l’exemple parfait d’une attaque APT complexe et à plusieurs vecteurs contre un gouvernement (fictif). Analysons ensemble le déroulement de ce cybercrime.

Le conte commence lorsqu’un meunier lègue à titre posthume tout ce qu’il possède à ses fils. Le plus jeune de ses fils hérite des coordonnées d’une personne connue sous le nom de Chat botté. Il s’agit bien évidemment d’un pirate informatique à gages. Comme vous devez sûrement vous en rappeler, dans Shrek 2, ce félin beau parleur porte non seulement ses bottes caractéristiques, mais aussi un chapeau noir. Après un échange rapide avec le client, le cybercriminel élabore un plan machiavélique visant à prendre le contrôle du pays.

Établissement de la chaîne d’approvisionnement

  1. Le Chat attrape un lapin et le présente au Roi comme un cadeau de son Maître, le fils du meunier se faisant passer pour le Marquis de Carabas.
  2. Le Chat attrape deux perdrix et les livre au Roi comme cadeau du Marquis.
  3. Le Chat continue à apporter du gibier au Roi pendant plusieurs mois, tous provenant soi-disant de son Maître.

Si au tout début des opérations personne ne connaissait le Marquis de Carabas, il a fini par gagner en notoriété en tant que fournisseur de gibier pour la cour et était considéré comme fiable à la fin de la phase préparatoire. Le service de sécurité royal a commis au moins deux erreurs flagrantes. Premièrement, la sécurité aurait dû se méfier lorsqu’une entité inconnue a commencé à envoyer du gibier au château. Après tout, tout le monde sait qu’il n’y a rien de comparable à un repas gratuit. Deuxièmement, la première chose à faire au moment de passer un accord avec un nouveau fournisseur est de vérifier sa réputation.

Ingénierie sociale pour ouvrir la porte

  1. Ensuite, le Chat entraîne son « Maître » au bord de la rivière. Il le convainc de retirer ses vêtements et de se mettre à l’eau. Alors que le carrosse du Roi passait à proximité, le Chat appela à l’aide, prétextant que les habits du Marquis avaient été dérobés pendant qu’il nageait.

Le Chat emploie ici deux stratagèmes différents. Il affirme que le jeune homme dans l’eau n’est pas un étranger mais un fournisseur fiable de gibier, et que, ayant apporté son aide de manière désintéressée, le Chat avait maintenant besoin de l’aide du Roi. Le faux Marquis ne peut être identifié (ou authentifié) sans ses vêtements volés. Le Roi tombe dans le piège et pense que cette fausse identité est authentique. C’est un exemple classique d’ingénierie sociale.

L’attaque de point d’eau via le site Internet de l’ogre

  1. Le Chat arrive au château de l’Ogre, où il est accueilli comme un invité d’honneur, puis demande à son hôte de lui montrer ses pouvoirs magiques. Flatté, l’Ogre se transforme en lion. Après avoir fait croire qu’il avait été effrayé, le Chat lui dit que tout le monde pouvait se transformer en quelque chose de grand et qu’il voulait savoir s’il pouvait aussi se changer en quelque chose de très petit. L’Ogre, naïf, se transforma en souris et le Chat s’y jeta dessus et la mangea.

Pour parfaire la tromperie, le Marquis a besoin d’un site Internet et quel genre de fournisseur n’en a pas ? Créer un site de toutes pièces serait imprudent : il n’aurait pas d’histoire et sa date de création serait suspecte. Il décide donc de détourner un site existant. Ici, Perrault traite vaguement d’une vulnérabilité impliquant une perte des autorisations d’accès. Le Chat se connecte pour réaliser un test d’intrusion externe et persuade l’administrateur local de jouer avec le système de contrôle d’accès. L’administrateur élève d’abord ses propres privilèges à root (lion), puis les abaisse au mode invité (souris). Dès que cela se produit, le chat supprime le compte ayant les autorisations « souris » et devient le seul administrateur du site.

  1. Le Roi visite le château et se réjouit tellement de l’accueil qu’il décide que le Marquis serait un bon partenaire pour la Princesse. Il propose donc de l’inviter à la cour et de faire de lui un héritier du trône.

C’est ce qui arrive quand l’ingénierie sociale fonctionne comme prévu. La victime visite le site Internet malveillant et y conclut un marché, permettant au pirate informatique d’avoir accès à des biens précieux (dans ce cas, le trône). Pas directement, bien sûr. Dans ce cas, en donnant sa fille en mariage au faux Marquis.

Attaque de la chaîne d’approvisionnement

Le texte de Perrault ne mentionne pas cette partie, mais si vous avez prêté attention, vous avez probablement remarqué qu’à la fin du conte, le Marquis de Carabas :

  •  est le fournisseur de confiance du Roi. Il fournit du gibier sauvage pour la table du monarque depuis plusieurs mois, et
  • est le mari de la fille unique du Roi.

Seul le vieil homme sur le trône l’empêche de régner. En résumé, pour devenir le chef absolu, tout ce qu’il a à faire est d’injecter un virus mortel dans le code de la perdrix suivante, puis s’asseoir et attendre.

Source: Antivirus

Fonction publique : du nouveau sur la Gipa

Fonctionnaires et contractuels : votre rémunération a peu augmenté ces dernières années ? Savez-vous qu’en tant qu’agents de la fonction publique de l’État et des fonctions publiques territoriale et hospitalière, vous pouvez bénéficier, sous certaines conditions, d’une indemnité appelée « garantie individuelle du pouvoir d’achat » (Gipa) afin de compenser une perte de pouvoir d’achat ?

Source: Service Public

Allocation aux adultes handicapés (AAH) : des changements au 1er novembre 2019

Le montant maximum de l’allocation aux adultes handicapés (AAH) est fixé à 900 par mois pour les allocations dues à compter du mois de novembre 2019. C’est ce que précise un décret publié au Journal officiel du 13 octobre 2019 qui modifie également en parallèle le calcul du plafond des ressources pour les bénéficiaires de cette allocation en couple.

Source: Service Public

Arnaques en ligne : attention aux faux sites internet des impôts !

Attention aux arnaques aux faux sites internet des impôts met en garde la Direction générale des Finances publiques (DGFIP). Un faux site intitulé impots.gouv.app a récemment été neutralisé. Ce site frauduleux qui imitait la page d’accès à l’espace particulier du site officiel des impôts essayait de récupérer des informations personnelles appartenant à des contribuables afin de voler leurs coordonnées de carte bancaire.

Source: Service Public

Paracétamol, ibuprofène, aspirine : bientôt derrière les comptoirs des pharmaciens ?

Afin de sécuriser l’usage du paracétamol mais aussi de certains anti-inflammatoires non stéroïdiens (ibuprofène et aspirine), l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) souhaite que ces médicaments ne soient plus accessibles en libre accès dans les pharmacies à partir de janvier 2020 et soient donc placés derrière les comptoirs des pharmaciens.

Source: Service Public

La Caisse des Dépôts lance son Bug Bounty

La Caisse des Dépôts propose de tester sa sécurité dans le cadre d’une recherche cadrée par un bug bounty Yes We Hack. Voilà qui devrait attirer les amateurs de cyber sécurité et d’ethical hacking. La Caisse des Dépôts et Consignations est un groupe public au service de l’intérêt g…

Cet article La Caisse des Dépôts lance son Bug Bounty est apparu en premier sur ZATAZ.

Source: zataz