Posts

Bob Lord et Lauren Zabierek, deux hauts responsables de l’Agence de Cybersécurité et de Sécurité des Infrastructures (CISA), ont annoncé leur démission. Ils ont tous deux travaillé sur l’initiative ‘Secure by Design’ de la CISA, qui a recueilli des engagements volontaires de grands fournisseurs et fabricants pour intégrer des protections de cybersécurité dans leurs produits dès la phase de conception. Lord a déclaré qu’il continuerait à ‘contribuer’ à ‘Secure by Design’ après une courte pause. Zabierek a déclaré que faire partie de cette initiative a été l’une des expériences les plus significatives de sa carrière. ...

Des paquets npm malveillants, se faisant passer pour des bibliothèques de bot Telegram, installent des backdoors SSH et exfiltrent des données des machines de développeurs Linux.

La popularité des chatbots a été tempérée dès le départ par la perspective d’attaques par injection de prompts. Google DeepMind cherche à résoudre ce problème avec CaMeL, une approche qui vise à isoler et suivre les données non fiables. En reformulant le problème, CaMeL applique des modèles d’ingénierie de sécurité éprouvés pour combattre ce type d’attaques. CaMeL représente un pas en avant dans la lutte contre les attaques par injection de prompts, un problème de cybersécurité courant dans les systèmes de chatbot. En isolant les entrées non fiables, il est possible de mieux sécuriser ces systèmes et de prévenir les attaques potentielles. Cette approche pourrait avoir des implications importantes pour la sécurité des chatbots à l’avenir. ...

Meta, la société mère de Facebook et Instagram, teste l’utilisation d’outils d’intelligence artificielle pour détecter les utilisateurs adolescents sur Instagram, même s’ils ont menti sur leur date de naissance. L’objectif est de les placer automatiquement sous les paramètres du compte pour adolescents. Cela fait partie des efforts de l’entreprise pour améliorer la sécurité et la protection des utilisateurs mineurs sur sa plateforme. Cependant, cette initiative soulève des questions sur la précision de ces outils d’IA et sur la manière dont les données des utilisateurs sont utilisées et protégées. Il n’est pas clair comment Meta vérifiera l’âge des utilisateurs sans accéder à des informations personnelles sensibles. De plus, il existe des préoccupations sur le fait que cette technologie pourrait être utilisée de manière abusive ou discriminatoire. ...

Microsoft se prépare à réintroduire la fonction Recall dans Windows 11, une fonctionnalité limitée aux PC Copilot+ et qui a été controversée en raison de sa capacité à construire une base de données extensive de textes et de captures d’écran, enregistrant presque tout ce qu’un utilisateur fait sur son PC. Le principal problème avec la version initiale de Recall était qu’elle était précipitée, activée par défaut et présentait d’importantes failles de sécurité, rendant trivial pour quiconque ayant un accès à votre PC de voir l’ensemble de votre base de données Recall. Elle ne faisait aucun effort pour exclure automatiquement les données sensibles comme les informations bancaires ou les numéros de carte de crédit, offrant seulement quelques mécanismes aux utilisateurs pour exclure manuellement des applications ou des sites web spécifiques. ...

Nintendo a demandé à un tribunal californien d’obliger Discord à révéler l’identité de la personne derrière une importante fuite de données de Pokémon, connue sous le nom de ‘GameFreakOUT’ sur la plateforme. La fuite, qui a été largement diffusée sur Internet, comprenait des codes source, des conceptions de personnages précoces, des références à un MMO à venir et des transcriptions de réunions de conception. Elle contenait également des informations sur une suite non publiée de ‘Detective Pikachu’ et d’autres films Pokémon prévus. Si Discord se conforme à la demande de Nintendo, ‘GameFreakOUT’ pourrait faire face à une poursuite judiciaire. Par le passé, Nintendo a déjà intenté des poursuites pour des fuites de Pokémon. ...

L’opération d’escroquerie publicitaire à grande échelle, connue sous le nom de ‘Scallywag’, exploite les sites de piratage et de raccourcissement d’URL en utilisant des plugins WordPress spécialement conçus. Ces plugins génèrent des milliards de requêtes frauduleuses chaque jour, permettant aux opérateurs de l’escroquerie de monétiser ces sites. La nature de cette escroquerie pose un risque sérieux pour la cybersécurité, car elle exploite les vulnérabilités des sites web pour générer un trafic frauduleux. Cela peut entraîner des pertes financières pour les annonceurs qui paient pour des impressions publicitaires non valides et peut également compromettre la sécurité des utilisateurs qui visitent ces sites. ...

Les boutons de passage piéton, y compris les alertes audio, ont été piratés pendant le week-end.

Depuis octobre 2024, Microsoft Defender Experts a observé et aidé plusieurs clients à faire face à des campagnes exploitant Node.js pour livrer des malwares et autres charges utiles. Ces attaques ont finalement conduit au vol d’informations et à l’exfiltration de données. Les attaquants utilisent de plus en plus Node.js, une plateforme logicielle populaire, pour exécuter leurs campagnes malveillantes, soulignant l’importance de maintenir des mesures de sécurité informatique robustes et à jour. ...

DaVita, une entreprise de soins de santé, a subi une attaque de ransomware, mais n’a pas révélé le nom du groupe responsable ni les détails de la demande de rançon.