Dix agences (dont la CISA, le FBI et la NSA) de sept pays (États-Unis, Royaume-Uni, Australie, Canada, Nouvelle-Zélande, Allemagne et Pays-Bas, mais pas la France) ont cosigné un appel à l'intention des développeurs de logiciels afin de garantir que leurs produits soient sécurisés à la fois dès la conception (« by design ») et par défaut, d'alléger le fardeau de la sécurité pour le client et de réduire le risque d'un incident de sécurité, rapporte Le Monde Informatique.

« Historiquement, les développeurs de technologies se sont contentés de corriger les vulnérabilités découvertes après que les clients ont déployé les produits, exigeant d'eux qu'ils appliquent ces correctifs à leurs propres frais. Ce n'est qu'en incorporant des pratiques de sécurité dès la conception que nous mettrons fin au cercle vicieux de création et d'application de correctifs », indique le document d'orientation.

L'objectif serait d'éviter aux clients de devoir effectuer en permanence des contrôles, mais également de limiter les dégâts sur leurs systèmes afin d'atténuer les risques de cyber-intrusions.

Le document qualifie de produits sécurisés « dès leur conception » ceux pour lesquels la sécurité est « un objectif commercial essentiel, et non une simple caractéristique technique ». De leur côté, les produits sécurisés « par défaut » sont ceux qui ne nécessitent que peu ou pas de changements de configuration et dont les fonctions de sécurité sont disponibles sans coût supplémentaire « dès leur sortie de l'emballage ».

Les agences signataires « recommandent aux sociétés de tenir leurs éditeurs responsables de la sécurité de leurs produits », relève notre confrère. Le document suggère ainsi aux services IT d’ « exiger dans leurs politiques une évaluation de la sécurité des logiciels des fabricants avant leur achat, et de donner à ces services les moyens de s'opposer à leur mise en œuvre si nécessaire » :

« Les décisions de l’entreprise d'accepter les risques associés à des produits technologiques spécifiques doivent être formellement documentées, approuvées par un cadre dirigeant, et régulièrement présentées au conseil d'administration. »

Les agences ayant collaboré à la rédaction de ce guide sont : le Centre australien de cybersécurité (Australian Cyber Security Centre, ACSC) ; le Centre canadien de cybersécurité (Canadian Centre for Cyber Security, CCCS) ; l’Office fédéral allemand de la sécurité des technologies de l’information (Bundesamt für Sicherheit in der Informationstechnik, BSI) ; le Centre national de cybersécurité des Pays-Bas (Netherlands’ National Cyber Security Centre, NCSC-NL) ; le centre d'alerte et de réaction aux attaques informatiques de Nouvelle-Zélande (New Zealand’s Computer Emergency Response Team New Zealand, CERT NZ) et le Centre national pour la cybersécurité de Nouvelle-Zélande (National Cyber Security Centre, NCSC-NZ) ; le centre national pour la cybersécurité du Royaume-Uni (National Cyber Security Centre, NCSC-UK) ; la CISA (Cybersecurity and Infrastructure Security Agency), le Federal Bureau of Investigation (FBI) et l’Agence nationale de la sécurité (National Security Agency, NSA) des États-Unis.

Pour mieux comprendre quels types de données servent à entraîner de grands modèles de langage (LLM), le Washington Post a entrepris de décortiquer le jeu de données C4 de Google, avec l’aide des chercheurs du Allen Institute for AI et de la société Similarweb.

Ce jeu a notamment servi à entraîner les modèles d’IA générative T5 de Google et LLaMA de Facebook.

Constitué à 16 % de contenus tirés de sites industriels et business, à 15 % de contenu technologique et à 5 % de textes tirés de « communautés », l’objet donne une « photographie monumentale » de la production des quelque 15 millions de sites web récupérés pour entraîner des modèles d’IA, écrit le quotidien américain.

Les trois sites les plus utilisés pour produire l’immense somme de données sont la bibliothèque de brevets patent.google.com, l’encyclopédie Wikipédia et la bibliothèque numérique Scribd, uniquement accessible sur abonnement.

À la 190e place, encore assez haut dans la liste des sites recensés, le Washington Post note la présence de b-ok.org, un site connu pour avoir fait circuler des e-books piratés (et saisi par la justice américaine depuis la constitution de C4).

Au moins deux des 100 premiers pourvoyeurs de contenus soulèvent des problématiques de vie privée : coloradovoters.com et flvoters.com contiennent des copies des bases de données d’inscription de leurs électeurs, informations publiques, mais sensibles. Une fois entrées dans la base d’entraînement, leur usage est inconnu.

L’analyse suggère aussi une série de débats sur les droits d’auteur, dans la mesure où le Washington Post a relevé plus de 200 millions d’apparitions du symbole « copyright », suggérant que les travaux concernés sont soumis à la propriété intellectuelle, et recensé de nombreux noms de médias, alors que ceux-ci critiquent l’utilisation non concertée de leur production.

Le jeu embarque aussi les publications de plusieurs sites notés très bas sur l’indice de confiance des médias de la société indépendante NewsGuard, ainsi que plusieurs vecteurs notoires de publications d’extrême-droite.

Ces derniers éléments pourraient expliquer pourquoi des modèles à la ChatGPT fournissent quelques fois de la désinformation et/ou des productions discriminantes ou de la propagande de manière très assurée.

Parmi les sites dédiés à des communautés précises, le Washington Post relève une surreprésentation de sites religieux, notamment chrétiens, partageant parfois des visions très conservatrices du monde. Le Washington Post note aussi un fort biais occidental dans ces contenus.

Enfin, plus d’un demi-million de blogs personnels ont été retrouvés dans le jeu de données.  

Dans la galaxie de services proposée par Proton, le gestionnaire de mots de passe était sans doute l’élément manquant le plus visible. Cette carence sera réparée d’ici la fin de l’année.

L’entreprise s’est fendue d’un communiqué à ce sujet, égrenant les fonctions qui feront partie du produit de Proton Pass, puisque ce sera son nom : stockage des mots de passe, génération aléatoire, remplissage automatique, notes sécurisées, et ainsi de suite. Des applications mobiles et des extensions pour les navigateurs seront bien sûr de la partie.

Comme tous les autres produits de l’entreprise, tout ce qui se trouvera dans Proton Pass sera chiffré de bout en bout. Ce n’est cependant pas un signe distinctif sur ce type d’application, car les produits connus comme LastPass, BitWarden, Dashlane ou encore 1Password utilisent tous ce type de stockage et de communication. 

La contrepartie est à chaque fois la même : en cas de perte du mot de passe, toutes les données sont perdues. Comme on l’a encore récemment avec LastPass, la sécurité revêt de multiples autres aspects.

On ne connait pas encore le tarif de ce futur service, mais il est probable qu’il vienne s’intégrer dans le bouquet Unlimited commercialisé au tarif de 10 euros par mois.

Les abonnés Lifetime et Visionary recevront dans les prochains jours une invitation pour participer à la bêta de Proton Pass.

Plus d'un an après la publication au journal officiel de la loi relative à la responsabilité pénale et à la sécurité intérieure qui prévoyait d'autoriser l'usage des drones à caméras embarquées par les forces de l'ordre, le décret est paru hier.

Il liste notamment les très larges finalités pour lesquelles les forces de l'ordre ont le droit de les utiliser, à savoir :

1. La prévention des atteintes à la sécurité des personnes et des biens dans des lieux particulièrement exposés, en raison de leurs caractéristiques ou des faits qui s'y sont déjà déroulés, à des risques d'agression, de vol ou de trafic d'armes, d'êtres humains ou de stupéfiants, ainsi que la protection des bâtiments et installations publics et de leurs abords immédiats, lorsqu'ils sont particulièrement exposés à des risques d'intrusion ou de dégradation ;
2. La sécurité des rassemblements de personnes sur la voie publique ou dans des lieux ouverts au public ainsi que l'appui des personnels au sol, en vue de leur permettre de maintenir ou de rétablir l'ordre public, lorsque ces rassemblements sont susceptibles d'entraîner des troubles graves à l'ordre public ;
3. La prévention d'actes de terrorisme ;
4. La régulation des flux de transport, aux seules fins du maintien de l'ordre et de la sécurité publics ;
5. La surveillance des frontières, en vue de lutter contre leur franchissement irrégulier ;
6. Le secours aux personnes.

La délibération de la CNIL concernant cet arrêté a été publiée dans la foulée. La Commission remarque que « la diversité des situations opérationnelles auxquelles les forces de sécurité sont confrontées ne permet pas de définir dans le projet de décret des critères objectifs encadrant la captation, l'enregistrement et la transmission d'images, elle considère que de telles précisions devront figurer dans la doctrine d'emploi qui devra lui être transmise ». 

Elle ajoute que « s'agissant de la captation et l'enregistrement d'images, le projet de décret n'indique pas de critères permettant de distinguer d'une part, les situations où une simple captation d'images avec visualisation des images en direct est suffisante, et d'autre part les situations où la captation s'accompagne d'un enregistrement vidéo ».