Bilan de la Cyber Week : 14 avril 2023
Un groupe international d’agences publie des conseils sur les logiciels sécurisés dès la conception
Trois agences américaines, la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency et le FBI, ainsi que des agences de cybersécurité de six autres pays, ont publié de nouvelles directives sur le développement de produits sécurisés dès la conception. L’orientation [PDF], qui n’est pas obligatoire, présente une série de mesures que les fabricants doivent prendre pour renforcer la sécurité de leurs produits, notamment l’utilisation de langages de programmation sécurisés pour la mémoire, la fourniture d’une nomenclature logicielle (SBOM) afin que les utilisateurs sachent quels logiciels sont inclus dans les produits, garantissant que produits sont exempts de vulnérabilités et d’expositions courantes (CVE) et mettent en œuvre une authentification unique pour leurs produits, entre autres recommandations. Le document comprend également un certain nombre de principes organisationnels pour les fabricants de technologies, notamment l’augmentation de la transparence et la création de structures organisationnelles pour garantir que la sécurité est prise en compte à toutes les phases du développement de produits. Les conseils font partie d’une poussée au sein de l’administration Biden pour améliorer la cybersécurité, comme le montre la National Cyber Strategy [PDF] publié le mois dernier, qui appelait les États-Unis à continuer à diriger le monde dans l’innovation de technologies et d’infrastructures de nouvelle génération sécurisées et résilientes.
Les États-Unis envisagent une action contre Kaspersky
Selon un rapport du le journal Wall Street. La société russe a déjà été accusée d’avoir des liens avec le gouvernement russe et d’avoir utilisé son logiciel antivirus pour espionner les États-Unis. Les règles en matière de TIC permettent au Commerce d’interdire ou de restreindre les produits en fonction du risque qu’ils présentent pour la sécurité des équipements de télécommunications, des technologies de l’information ou des infrastructures critiques, bien que le département ait déjà été critiqué [PDF] par les républicains pour ne pas avoir correctement utilisé les règles. Suite à l’invasion russe de l’Ukraine l’année dernière, Kaspersky a été mis sur liste noire par la Federal Communications Commission, ce qui signifie que son logiciel ne peut plus être utilisé sur les réseaux fédéraux. L’application des règles ICT contre Kaspersky permettrait au département du Commerce d’interdire la vente des produits Kaspersky dans tout le pays.
Alibaba lance un chatbot IA intégré
Plus sur:
La cyber-sécurité
Chine
Technologie et innovation
Mardi, la société chinoise de commerce électronique, Alibaba Group, a lancé son modèle de langage d’IA de style ChatGPT, Tongyi Qianwen. Lors d’un sommet organisé par Alibaba Cloud, le PDG d’Alibaba, Daniel Zhang, a annoncé que le modèle de l’entreprise, qui se traduit approximativement par « la vérité à partir de mille questions », sera intégré dans tous les produits d’Alibaba dans un proche avenir. Selon Zhang, le nouveau modèle d’IA d’Alibaba sera initialement ajouté à l’application DingTalk de type Slack et au haut-parleur intelligent, Tmall Genie. Tongyi Qianwen offrira des services en anglais et en chinois, et la société travaille sur l’ajout de fonctions de reconnaissance d’images et de conversion de texte en image. Mardi également, l’Administration du cyberespace de Chine a publié un projet de directives exigeant des examens de sécurité pour tous les services liés à l’IA générative ayant l’intention d’opérer en Chine. Ces règles s’appliqueraient à Alibaba, ainsi qu’aux récentes introductions de chatbots de SenseTime Group et Baidu.
Des documents divulgués affirment que des hacktivistes russes ont violé une société canadienne de gazoduc
Des fichiers de renseignement américains classifiés récemment divulgués suggèrent qu’un groupe d’hacktivistes pro-russes pourrait avoir percé le réseau d’une société canadienne de gazoduc en février. Le groupe, connu sous le nom de Zarya, serait une émanation de Killnet, un groupe hacktiviste bien connu qui ciblait auparavant des sites Web et des organisations aux États-Unis. Le briefing, qui fait partie d’un ensemble plus large de documents divulgués qui révèle la collecte de renseignements américains sur ses principaux partenaires, adversaires et concurrents, détaille les communications interceptées entre Zarya et un agent du FSB, la principale agence de renseignement russe, y compris un agent du FSB donnant des pirates des instructions sur la façon de manipuler les commandes pour déclencher un arrêt d’urgence du pipeline. L’agent du FSB a noté qu’une opération réussie provoquerait une explosion, mais que l’objectif n’était pas de causer des pertes de vie, mais seulement une perte de revenu pour les Canadiens. Certains experts étaient sceptiques quant à la capacité de Zarya à provoquer une explosion, affirmant que des contrôles de sécurité physiques auraient probablement empêché un tel résultat.
Le département du commerce envisage de nouvelles règles pour les chatbots IA
Le département américain du Commerce a lancé une demande publique de commentaires dans le cadre du processus de rédaction de nouvelles règles pour les modèles d’intelligence artificielle (IA) plus tôt cette semaine. Les règles, qui seraient probablement appliquées aux produits d’IA comme OpenAIs ChatGPT, soutiendraient le développement d’audits, d’évaluations, de certifications et d’autres mécanismes d’IA pour créer une confiance méritée dans les systèmes d’IA. Microsoft, propriétaire d’OpenAI, a exprimé son soutien à la création de nouvelles règles. D’autres pays ont déployé de nouvelles règles sur l’IA ces derniers mois, notamment la Chine, qui a adopté de nouvelles règles obligeant les entreprises à passer par un examen de sécurité gouvernemental avant de publier des modèles de chat IA ou de les intégrer dans leurs produits et obligeant les entreprises à s’assurer que leurs produits ne subvertissent pas sécurité de l’État. L’Union européenne devrait également adopter sa propre loi sur l’IA dans les mois à venir, qui classerait les secteurs dans lesquels les outils d’IA sont utilisés en fonction de leur risque perçu, la quantité de réglementation dépendant du niveau de risque.