Code caché à l’intérieur Les cartes mères de PC ont rendu des millions de machines vulnérables aux mises à jour malveillantes, ont révélé des chercheurs cette semaine. Le personnel de la société de sécurité Eclypsium a trouvé du code dans des centaines de modèles de cartes mères créés par le fabricant taïwanais Gigabyte qui permettait à un programme de mise à jour de télécharger et d’exécuter un autre logiciel. Alors que le système était destiné à maintenir la carte mère à jour, les chercheurs ont découvert que le mécanisme était mis en œuvre de manière non sécurisée, permettant potentiellement aux attaquants de détourner la porte dérobée et d’installer des logiciels malveillants.
Ailleurs, la société de cybersécurité basée à Moscou, Kaspersky, a révélé que son personnel avait été ciblé par des logiciels malveillants sans clic nouvellement découverts affectant les iPhones. Les victimes ont reçu un message malveillant, y compris une pièce jointe, sur iMessage d’Apple. L’attaque a automatiquement commencé à exploiter plusieurs vulnérabilités pour permettre aux attaquants d’accéder aux appareils, avant que le message ne se supprime lui-même. Kaspersky dit qu’il pense que l’attaque a touché plus de personnes que son propre personnel. Le même jour que Kaspersky a révélé l’attaque iOS, le Service fédéral de sécurité russe, également connu sous le nom de FSB, a affirmé que des milliers de Russes avaient été ciblés par un nouveau logiciel malveillant iOS et a accusé la National Security Agency (NSA) des États-Unis d’avoir mené l’attaque. L’agence de renseignement russe a également affirmé qu’Apple avait aidé la NSA. Le FSB n’a pas publié de détails techniques pour étayer ses affirmations, et Apple a déclaré qu’il n’avait jamais inséré de porte dérobée dans ses appareils.
Si cela ne suffit pas pour vous encourager à maintenir vos appareils à jour, nous avons rassemblé tous les correctifs de sécurité publiés en mai. Apple, Google et Microsoft ont tous publié des correctifs importants le mois dernier. Assurez-vous d’être à jour.
Et il y a plus. Chaque semaine, nous rassemblons les histoires de sécurité que nous n’avons pas couvertes en profondeur nous-mêmes. Cliquez sur les titres pour lire les histoires complètes. Et restez en sécurité là-bas.
Lina Khan, la présidente de la Federal Trade Commission des États-Unis, a averti cette semaine que l’agence voyait des criminels utiliser des outils d’intelligence artificielle pour « dynamiser » la fraude et les escroqueries. Les commentaires, qui ont été faits à New York et rapportés pour la première fois par Bloomberg, ont cité des exemples de technologie de clonage de la voix où l’IA était utilisée pour faire croire aux gens qu’ils entendaient la voix d’un membre de la famille.
Les progrès récents de l’apprentissage automatique ont permis d’imiter la voix des gens avec seulement quelques courts extraits de données d’entraînement, bien que les experts disent que les extraits vocaux générés par l’IA peuvent varier considérablement en qualité. Au cours des derniers mois, cependant, on a signalé une augmentation du nombre de tentatives d’escroquerie impliquant apparemment des clips audio générés. Khan a déclaré que les responsables et les législateurs “doivent être vigilants dès le début” et que, bien que de nouvelles lois régissant l’IA soient envisagées, les lois existantes s’appliquent toujours à de nombreux cas.
Dans un rare aveu d’échec, les dirigeants nord-coréens ont déclaré que la tentative de la nation ermite de mettre un satellite espion en orbite ne s’était pas déroulée comme prévu cette semaine. Ils ont également déclaré que le pays tenterait un autre lancement à l’avenir. Le 31 mai, la fusée Chollima-1, qui transportait le satellite, a été lancée avec succès, mais son deuxième étage n’a pas fonctionné, provoquant le plongeon de la fusée dans la mer. Le lancement a déclenché une alerte d’évacuation d’urgence en Corée du Sud, mais celle-ci a ensuite été retirée par les autorités.
Le satellite aurait été le premier satellite espion officiel de la Corée du Nord, ce qui, selon les experts, lui donnerait la capacité de surveiller la péninsule coréenne. Le pays a déjà lancé des satellites, mais les experts pensent qu’ils n’ont pas renvoyé d’images en Corée du Nord. L’échec du lancement intervient à un moment de fortes tensions sur la péninsule, alors que la Corée du Nord continue d’essayer de développer des armes et des roquettes de haute technologie. En réponse au lancement, la Corée du Sud a annoncé de nouvelles sanctions contre le groupe de piratage Kimsuky, qui est lié à la Corée du Nord et aurait volé des informations secrètes liées au développement spatial.
Ces dernières années, Amazon a fait l’objet d’un examen minutieux pour des contrôles laxistes sur les données des personnes. Cette semaine, la Federal Trade Commission des États-Unis, avec le soutien du ministère de la Justice, a frappé le géant de la technologie avec deux règlements pour une litanie de manquements concernant les données des enfants et ses caméras domestiques intelligentes Ring.
Dans un cas, selon des responsables, un ancien employé de Ring a espionné des clientes en 2017 – Amazon a acheté Ring en 2018 – en regardant des vidéos d’elles dans leurs chambres et leurs salles de bain. La FTC affirme que Ring avait donné au personnel un “accès dangereusement trop large” aux vidéos et avait une “attitude laxiste envers la confidentialité et la sécurité”. Dans une déclaration séparée, la FTC a déclaré qu’Amazon conservait des enregistrements d’enfants à l’aide de son assistant vocal Alexa et ne supprimait pas les données lorsque les parents le demandaient.
La FTC a ordonné à Amazon de payer environ 30 millions de dollars en réponse aux deux règlements et d’introduire de nouvelles mesures de confidentialité. Peut-être plus conséquent, la FTC a déclaré qu’Amazon devrait supprimer ou détruire les enregistrements Ring d’avant mars 2018 ainsi que tous les “modèles ou algorithmes” qui ont été développés à partir des données qui ont été collectées de manière incorrecte. L’ordonnance doit être approuvée par un juge avant d’être exécutée. Amazon a déclaré qu’il n’était pas d’accord avec la FTC, et il nie “avoir enfreint la loi”, mais il a ajouté que “les règlements ont mis ces questions derrière nous”.
Alors que les entreprises du monde entier se précipitent pour intégrer des systèmes d’IA générative dans leurs produits, l’industrie de la cybersécurité se lance dans l’action. Cette semaine, OpenAI, le créateur des systèmes de génération de texte et d’images ChatGPT et Dall-E, a ouvert un nouveau programme pour déterminer comment l’IA peut être utilisée au mieux par les professionnels de la cybersécurité. Le projet offre des subventions à ceux qui développent de nouveaux systèmes.
OpenAI a proposé un certain nombre de projets potentiels, allant de l’utilisation de l’apprentissage automatique pour détecter les efforts d’ingénierie sociale et la production de renseignements sur les menaces à l’inspection du code source à la recherche de vulnérabilités et au développement de pots de miel pour piéger les pirates. Bien que les développements récents de l’IA aient été plus rapides que ne l’avaient prévu de nombreux experts, l’IA est utilisée dans le secteur de la cybersécurité depuis plusieurs années, bien que de nombreuses affirmations ne soient pas nécessairement à la hauteur du battage médiatique.
L’US Air Force progresse rapidement dans les tests d’intelligence artificielle dans des machines volantes – en janvier, elle a testé un avion tactique piloté par l’IA. Cependant, cette semaine, une nouvelle affirmation a commencé à circuler : lors d’un test simulé, un drone contrôlé par l’IA a commencé à “attaquer” et à “tuer” un opérateur humain qui le surveillait, car ils l’empêchaient d’accomplir ses objectifs.
“Le système a commencé à se rendre compte que même s’il identifiait la menace, l’opérateur humain lui disait parfois de ne pas tuer cette menace, mais il a obtenu ses points en tuant cette menace”, a déclaré le Colnel Tucker Hamilton, selon un résumé d’un événement. à la Royal Aeronautical Society, à Londres. Hamilton a continué à dire que lorsque le système a été formé pour ne pas tuer l’opérateur, il a commencé à cibler la tour de communication que l’opérateur utilisait pour communiquer avec le drone, empêchant l’envoi de ses messages.
Cependant, l’US Air Force affirme que la simulation n’a jamais eu lieu. La porte-parole Ann Stefanek a déclaré que les commentaires étaient “sortis de leur contexte et se voulaient anecdotiques”. Hamilton a également précisé qu’il s’était «mal exprimé» et qu’il parlait d’une «expérience de pensée».
Malgré cela, le scénario décrit met en évidence les façons involontaires dont les systèmes automatisés pourraient contourner les règles qui leur sont imposées pour atteindre les objectifs qu’ils ont été fixés. Appelé jeu de spécification par les chercheurs, d’autres cas ont vu une version simulée de Tetris mettre le jeu en pause pour éviter de perdre, et un personnage de jeu IA s’est suicidé au niveau un pour éviter de mourir au niveau suivant.