Nouvelle méthode de jailbreak de l'IA augmente les succès de 60 % - Actus du 03/01/2025
Découvrez comment Apple résout une affaire de vie privée avec Siri, les démentis d'Atos face aux accusations de ransomware, et profitez de l'offre exclusive de NordVPN avec trois mois gratuits pour célébrer la fin d'année. Ne manquez pas ces actualités technologiques cruciales !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Apple offre 95 millions de dollars pour régler la violation de la vie privée de Siri
Apple a accepté de verser 95 millions de dollars pour régler un recours collectif aux États-Unis, accusant son assistant Siri d'avoir enregistré des conversations privées et de les avoir partagées avec des tiers. Les plaignants, Fumiko Lopez, John Troy Pappas et David Yacubian, soutiennent que les données audio ont été divulguées sans le consentement des utilisateurs à des marketeurs et annonceurs, entraînant des publicités ciblées sur des sujets sensibles discutés lors d'activations accidentelles de Siri. Le règlement, qui concerne tous les propriétaires actuels ou anciens d'appareils compatibles Siri entre le 17 septembre 2014 et le 31 décembre 2024, prévoit un fonds de 95 millions de dollars pour couvrir les paiements aux membres de la classe, les frais d'avocat et les coûts administratifs. Les membres peuvent réclamer jusqu'à 20 dollars par appareil, tandis que les plaignants pourraient recevoir jusqu'à 10 000 dollars. En plus de l'indemnisation financière, Apple devra supprimer définitivement toutes les enregistrements audio de Siri obtenus illégalement dans les six mois suivant la date d'entrée en vigueur du règlement. Une audience préliminaire est prévue pour le 14 février 2025.
Sources :
Atos, entreprise publique française, nie les accusations d'attaque de ransomware contre Space Bears
Le 3 janvier 2025, Atos, un géant technologique français spécialisé dans la cybersécurité, a démenti les allégations du groupe de ransomware Space Bears, qui prétendait avoir compromis une de ses bases de données. Atos, qui emploie environ 82 000 personnes et génère un chiffre d'affaires annuel d'environ 10 milliards d'euros, se positionne comme le leader européen en cybersécurité et en informatique haute performance. Le groupe a été récemment proposé pour acquisition par l'État français pour sa division Advanced Computing, évaluée entre 500 et 625 millions d'euros. Space Bears, un groupe cybercriminel émergent depuis avril 2024, utilise des tactiques de double extorsion, menaçant de publier des données sensibles volées si les rançons ne sont pas payées. Le 29 décembre, Atos a déclaré qu'aucune preuve de compromission de ses systèmes n'avait été trouvée et qu'aucune demande de rançon n'avait été reçue. Dans une déclaration ultérieure, Atos a précisé que les données mentionnant son nom provenaient d'une infrastructure tierce non connectée et non sécurisée par ses soins. L'entreprise a réaffirmé la sécurité de ses opérations, soutenue par un réseau mondial d'experts en cybersécurité.
Sources :
NordVPN fête la fin d’année, avec cette grosse promotion et trois mois offerts
NordVPN propose actuellement des réductions sur ses abonnements, incluant trois mois gratuits pour toute souscription. L'abonnement Basique de deux ans est à 2,99 € par mois (80,73 € pour deux ans), tandis que l'abonnement Avancé, le plus populaire, coûte 3,89 € par mois (105,03 € pour deux ans). L'abonnement Ultime, qui inclut NordPass et NordLocker, est proposé à 6,39 € par mois (172,53 € pour deux ans). Après cette période promotionnelle, les prix reviendront à la normale, mais les utilisateurs pourront résilier leur abonnement. NordVPN utilise le protocole NordLynx, offrant des serveurs rapides et fiables pour une navigation anonyme. Bien que son interface soit jugée peu attrayante, elle reste intuitive avec plus de 5 000 serveurs disponibles. Les abonnements incluent des fonctionnalités telles que le réseau Mesh, le kill switch et le split tunneling. En plus de la sécurité, NordPass et NordLocker offrent respectivement un gestionnaire de mots de passe et un service de stockage cloud. Ces offres sont intéressantes pour ceux qui recherchent un VPN efficace à un prix compétitif.
Sources :
La nouvelle méthode de jailbreak de l'IA « Bad Likert Judge » augmente les taux de réussite des attaques de plus de 60 %
Des chercheurs en cybersécurité ont mis en évidence une nouvelle technique de jailbreak, nommée Bad Likert Judge, qui permettrait de contourner les garde-fous de sécurité des modèles de langage (LLM) et de générer des réponses potentiellement nuisibles. Cette méthode d'attaque, développée par l'équipe de Palo Alto Networks Unit 42, utilise une échelle de Likert pour évaluer la nocivité des réponses générées par le LLM. En demandant au modèle d'agir comme un juge, il produit des exemples de réponses correspondant à différents scores, ce qui peut conduire à des contenus dangereux. Les tests effectués sur six LLM de pointe ont montré que cette technique augmente le taux de succès des attaques de plus de 60 % par rapport aux méthodes classiques. Les catégories ciblées incluent la haine, le harcèlement, l'automutilation, et la génération de logiciels malveillants. Les chercheurs soulignent l'importance de filtres de contenu robustes, qui peuvent réduire le taux de succès des attaques de 89,2 points de pourcentage en moyenne. Cette découverte survient après qu'un rapport a révélé que ChatGPT pouvait être manipulé pour produire des résumés trompeurs, soulignant les risques associés à l'utilisation des LLM dans des applications réelles.
Sources :
Les vulnérabilités du pare-feu Sophos pourraient permettre des attaques à distance
Sophos a récemment publié des mises à jour critiques pour son pare-feu, corrigeant plusieurs vulnérabilités de sécurité. Parmi celles-ci, trois vulnérabilités notables ont été identifiées : CVE-2024-12727, une injection SQL affectant la protection par e-mail, permettant l'exécution de code à distance ; CVE-2024-12728, liée à des identifiants faibles, permettant un accès SSH non autorisé ; et CVE-2024-12729, une injection de code post-authentification dans le portail utilisateur. Les deux premières vulnérabilités ont été signalées par des chercheurs externes via le programme de récompense de bogues de Sophos, tandis que la troisième a été découverte par les chercheurs internes de l'entreprise. Ces vulnérabilités touchent les versions v21.0 GA et antérieures du pare-feu Sophos. Bien que Sophos ait publié des correctifs et des stratégies d'atténuation, comme la sécurisation de l'accès SSH et la désactivation de l'accès WAN au portail utilisateur, il est crucial que les utilisateurs mettent à jour leurs systèmes pour éviter toute exploitation potentielle. À ce jour, aucune exploitation active de ces vulnérabilités n'a été détectée, mais la mise à jour rapide est fortement recommandée pour garantir la sécurité des dispositifs.
Sources :
- https://latesthackingnews.com/2025/01/03/sophos-firewall-vulnerabilities-could-allow-remote-attacks/
Scraping de données en 2025 : tendances, outils et bonnes pratiques
Dans un monde de plus en plus axé sur les données, la collecte et l'analyse d'informations sont essentielles pour les entreprises et les individus. Le data scraping, ou extraction automatisée d'informations sur les sites web, est devenu un outil incontournable pour les chercheurs, les marketeurs et les professionnels de la cybersécurité. En 2025, les avancées technologiques et l'accent mis sur la conformité redéfiniront cette pratique. Le scraping est utilisé pour diverses applications, telles que la recherche de marché et l'analyse des sentiments, et le marché des outils de scraping devrait atteindre 1,1 milliard de dollars d'ici 2028, avec une croissance annuelle de 10,2 %. Environ 60 % des entreprises utilisent ces outils pour améliorer leur prise de décision. Des services comme Ping Proxies facilitent le scraping en évitant les interdictions d'IP et en contournant les mesures anti-bot. En 2025, l'accent sera mis sur un scraping éthique et durable, avec une attention particulière à la conformité légale. Les professionnels du scraping doivent rester informés des réglementations et utiliser des outils avancés pour garantir une collecte de données efficace et sécurisée. Ainsi, le data scraping continuera d'être un levier stratégique pour l'innovation dans divers secteurs.
Sources :
L'exploit PoC LDAPNightmare fait planter LSASS et redémarre les contrôleurs de domaine Windows
Un exploit de preuve de concept (PoC) a été publié pour une vulnérabilité récemment corrigée affectant le protocole d'accès léger à l'annuaire Windows (LDAP), pouvant entraîner une condition de déni de service (DoS). Cette vulnérabilité, suivie sous le nom CVE-2024-49113 (score CVSS : 7,5), a été corrigée par Microsoft lors des mises à jour de Patch Tuesday de décembre 2024, en même temps que CVE-2024-49112 (score CVSS : 9,8), une faille critique d'overflow d'entier pouvant permettre l'exécution de code à distance. Découverte par le chercheur en sécurité Yuki Chen, le PoC, nommé LDAPNightmare, développé par SafeBreach Labs, peut faire planter tout serveur Windows non corrigé en envoyant une requête DCE/RPC. Cela provoque un crash du service LSASS et un redémarrage du serveur. De plus, la même chaîne d'exploitation pourrait permettre l'exécution de code à distance en modifiant le paquet CLDAP. Microsoft a conseillé aux organisations d'appliquer les correctifs de décembre 2024 pour atténuer les risques, et en cas d'impossibilité, de surveiller les réponses CLDAP suspectes et les requêtes DNS SRV.
Sources :
Date limite critique : mettre à jour les anciens domaines .NET avant le 7 janvier 2025 pour éviter toute interruption de service
Microsoft a annoncé un changement inattendu concernant la distribution des installateurs et archives .NET, obligeant les développeurs à mettre à jour leur infrastructure de production et DevOps. Richard Lander, responsable de programme au sein de l'équipe .NET, a précisé que la plupart des utilisateurs ne seront pas directement affectés, mais qu'il est crucial de vérifier leur situation pour éviter des temps d'arrêt. Ce changement fait suite à l'acquisition par Akamai d'actifs d'Edgio, qui hébergeait certains binaires .NET sur des domaines CDN Azure. Edgio cessera ses services le 15 janvier 2025, incitant Microsoft à migrer vers Azure Front Door. Les utilisateurs doivent agir avant le 7 janvier 2025 pour éviter une migration automatique, notamment en utilisant le Feature Flag DoNotForceMigrateEdgioCDNProfiles. Microsoft a également averti qu'aucun changement de configuration ne sera possible à partir du 3 janvier 2025. Pour des raisons de sécurité, Microsoft a pris le contrôle du domaine azureedge[.]net afin d'éviter des abus. Les utilisateurs sont encouragés à mettre à jour leurs références de code vers de nouveaux domaines pour garantir la continuité de leurs services.
Sources :
Apple versera 20 $ par appareil aux utilisateurs de Siri dans le cadre d'un règlement à l'amiable pour violation accidentelle de la confidentialité de Siri
Apple a accepté de verser 95 millions de dollars pour régler une action en justice collective qui l'accusait d'avoir violé la vie privée des utilisateurs via son assistant vocal Siri. Ce règlement concerne les utilisateurs américains, actuels ou anciens, de dispositifs compatibles avec Siri, dont les communications vocales confidentielles ont été "obtenues par Apple et/ou partagées avec des tiers" à la suite d'une activation involontaire de Siri entre le 17 septembre 2014 et le 31 décembre 2024. Les personnes éligibles peuvent soumettre des demandes pour jusqu'à cinq appareils Siri, tels que l'iPhone ou l'iPad, et recevoir 20 dollars par appareil pour chaque activation accidentelle survenue lors de conversations privées. Cette action en justice a été déclenchée après un rapport de 2019 révélant que des sous-traitants écoutaient des conversations privées pour améliorer Siri. Bien qu'Apple ait contesté les allégations, affirmant qu'il n'y avait pas de preuves liant les publicités ciblées à l'écoute des conversations, la société a présenté des excuses et a mis en place des options pour que les utilisateurs puissent désactiver la collecte de données. Google fait face à des accusations similaires concernant son assistant vocal.
Sources :
Un gang de ransomware divulgue des données volées lors de la brèche RIBridges à Rhode Island
Le groupe de ransomware Brain Cipher a commencé à divulguer des documents volés lors d'une attaque contre la plateforme de services sociaux "RIBridges" du Rhode Island. Cette plateforme gère divers programmes d'assistance sociale, y compris la santé et l'aide alimentaire. L'attaque a été signalée le 5 décembre 2024, mais ce n'est que le 10 décembre que l'État a confirmé que des données avaient été compromises après que Deloitte, le fournisseur, a informé le gouvernement. Le 13 décembre, un code malveillant a été détecté, entraînant la fermeture de RIBridges pour remédier à la menace. La semaine dernière, Brain Cipher a commencé à publier des données volées sur son site de fuite, contenant des informations personnelles identifiables (PII) d'adultes et de mineurs. Environ 650 000 personnes pourraient être touchées, avec des données sensibles telles que noms, adresses, dates de naissance et numéros de sécurité sociale exposés. Le gouverneur McKee a conseillé aux résidents de surveiller leurs informations personnelles et de geler leur crédit pour éviter toute fraude. Brain Cipher, actif depuis juin 2024, utilise un site de fuite pour extorquer ses victimes, bien que son site soit actuellement hors ligne.
Sources :
Une nouvelle attaque DoubleClickjacking exploite les doubles-clics pour détourner des comptes
Une nouvelle variante des attaques de clickjacking, appelée "DoubleClickjacking", permet aux attaquants de tromper les utilisateurs en les incitant à autoriser des actions sensibles via des double-clics, contournant ainsi les protections existantes. Le clickjacking consiste à créer des pages web malveillantes qui incitent les visiteurs à cliquer sur des éléments cachés. Dans le cas du DoubleClickjacking, un attaquant crée une page affichant un bouton apparemment inoffensif. Lorsqu'un utilisateur clique dessus, une nouvelle fenêtre s'ouvre, masquant la page d'origine et affichant un captcha. En demandant un double-clic pour résoudre le captcha, le script JavaScript de la page d'origine modifie le contenu pour afficher un site légitime. Le premier clic ferme la fenêtre du captcha, et le second clic atterrit sur un bouton d'autorisation exposé, entraînant des actions non intentionnelles, comme l'autorisation d'applications OAuth. Cette méthode contourne les défenses de clickjacking traditionnelles, car elle n'utilise pas d'iframe. Yibelo, le chercheur à l'origine de cette découverte, met en garde que cette attaque peut toucher presque tous les sites et propose des solutions pour protéger les utilisateurs, comme des scripts JavaScript pour désactiver les boutons sensibles.
Sources :
Des pirates informatiques chinois ont ciblé le bureau des sanctions du Trésor
Des hackers soutenus par l'État chinois ont réussi à infiltrer le Bureau de contrôle des actifs étrangers (OFAC) du département du Trésor américain, un incident qualifié de "grave cyberattaque". Cette intrusion a été révélée dans une lettre adressée au Congrès, où le Trésor a indiqué que les attaquants avaient accédé à son réseau via la plateforme de support à distance BeyondTrust. Les hackers ont ciblé spécifiquement l'OFAC pour recueillir des informations sur les individus et organisations chinois susceptibles d'être sanctionnés par les États-Unis. Bien que l'impact total de l'attaque soit encore en cours d'évaluation, il n'y a aucune preuve que les hackers aient toujours accès aux systèmes du Trésor après la fermeture des instances compromises. Le groupe de cyber-espionnage, connu sous le nom de "Salt Typhoon", est également lié à des violations récentes de neuf entreprises de télécommunications américaines, telles que Verizon et AT&T. En réponse à cette vague de cyberattaques, la CISA a recommandé l'utilisation d'applications de messagerie chiffrées de bout en bout. Par ailleurs, le gouvernement américain envisage d'interdire les opérations de China Telecom aux États-Unis et un sénateur a proposé une nouvelle loi pour sécuriser les réseaux des télécommunications américaines.
