Ce titre a probablement donné de l’urticaire aux parents ou propriétaires d’animaux parmi nos lecteurs, et pour cause : l’idée d’une invasion de puces a de quoi effrayer les cœurs les moins sensibles. Et pourtant, c’est bien d’un gigantesque problème de puces dont on parle cette semaine.
Une faille qui touche toute la planète
En effet, des chercheurs ont dévoilé des failles de sécurité, poétiquement baptisées Spectre et Meltdown, qui frappent la quasi totalité des processeurs de la planète. Le processeur est le composant électronique (et donc physique, hardware, par opposition à une faille purement logicielle) qui traite les instructions données par les programmes informatiques. Concrètement, ces brèches de sécurité permettent d’accéder à la mémoire des programmes en train de donner des instructions au processeur, ce qui n’est bien évidemment pas souhaitable : une personne exploitant la faille peut obtenir toute donnée (image, mot de passe, email, etc.) traitée par le processeur impacté. Or, prises ensemble, Spectre et Meltdown touchent aussi bien les ordinateurs de bureau que les smartphones, et les corriger requiert soit de changer le matériel en question, soit de réussir à développer des programmes bloquant les attaques de ce type – des solutions sont déjà en cours d’élaboration, mais il faudra assurer que les correctifs soient déployés sur tous les postes vulnérables.
La cybersécurité, enjeu majeur des sociétés numériques
Une fois de plus, la cybersécurité est au cœur des réflexions. C’est une évidence, mais plus nos sociétés se numérisent, plus les risques se multiplient. La double particularité de Spectre/Meltdown est de frapper le hardware et de toucher autant de personnes. Le fait d’être une faille hardware permet de rappeler un aspect fondamental trop vite oublié : le numérique est avant tout physique. Toute l’infrastructure Internet repose sur des éléments bien tangibles : les câbles Internet sous-marin, les serveurs, les disques durs, autant de vulnérabilités physiques qui sont tout aussi sensibles que les données que l’on envoie dans le cloud. C’est aussi la première fois que tant de personnes sont susceptibles d’être impactées par une faille de sécurité, notamment parce que tous les services de cloud sont eux-mêmes des cibles potentielles.
La force du hacking éthique
Par chance, ces failles ont été découvertes par des chercheurs en cybersécurité qui ont travaillé dans le plus grand secret et ont averti les acteurs majeurs du secteur avant de dévoiler leur découverte au reste de la planète : il s’agit d’un travail de hacker, au sens premier du terme. Avant de désigner des pirates informatiques, le terme de hacker faisait en effet référence aux spécialistes cherchant à comprendre le fonctionnement profond d’un système et à trouver des solutions alternatives à des problèmes informatiques. Dans le respect de cette acception originelle, de nombreux hackers éthiques proposent leurs services de test de pénétration des systèmes informatiques afin de colmater les éventuelles brèches découvertes, tandis que certaines sociétés offrent des primes en cas de découverte de failles inconnues jusque là. Depuis la loi pour une République numérique du 7 octobre 2016, le droit français intègre l’idée d’une protection du rôle du hacker éthique par le biais de l’article L. 2321-4 du code de la défense, qui permet de dévoiler des failles de sécurité à l’ANSSI sans risque de représailles. On ne peut que soutenir ce type d’initiatives : plus que jamais, la sécurité informatique relève du sociétal.
L’actu en bref
Cette semaine est celle des actions en justice : James Damore, l’ex-salarié de Google remercié après un manifeste sexiste, accuse le géant du net de discrimination à l’encontre des hommes blancs conservateurs, tandis que l’éditeur de musique Wixen (Neil Young, Tom Petty) a assigné Spotify pour la coquette somme de 1,6 milliards de dollars, arguant que le service de streaming utiliserait des milliers de titres sans licence de droit d’auteur. La nouvelle tombe alors que les rumeurs d’une entrée en bourse prochaine de Spotify s’intensifient grandement et que le service vient de fêter ses 70 millions d’abonnés. On parle aussi jeu vidéo : pendant que l’OMS hésite à considérer l’addiction au jeu vidéo comme une maladie, le gouvernement vient de donner les premiers agréments pour embaucher des joueurs de jeu vidéo professionnels.
À ne pas rater cette semaine
Sinon, dans le thème des failles de sécurité, on parle de l’après-Equifax, cette société d’évaluation des capacités de remboursement qui s’était faite pirater les données 150 millions de citoyens américains : résultat, beaucoup de bruit, et peu de conséquences pour l’entreprise. Une fois n’est pas coutume, on vous propose également un article de Wired sur l’aspect géopolitique des câbles sous-marins d’Internet. De notre côté de l’océan, Emmanuel Macron a présenté ses vœux, parmi lesquels la lutte contre les fake news et la désinformation par une nouvelle loi. On conseille la lecture d’un article du Monde qui résume bien les problèmes posés par cette approche. Toujours en ce qui concerne le gouvernement, Mounir Mahjoubi a livré une interview intéressante sur le développement de la French Tech. Enfin, on parle données persos avec un article sur la mort de la confidentialité (notamment du fait du développement des cyber-attaques) et intelligence artificielle avec un excellent résumé du rapport de la CNIL sur le sujet par NextINpact et un article sur le développement de la justice prédictive.
Faites la Maj, et à la semaine prochaine !
Ce qu'on lit cette semaine
#cybersécurité
#cyberattaque
#cashingoutlikeaboss
Spectre et Meltdown, c’est le nom des failles de sécurité découvertes par des chercheurs et qui ont mis à l’amende toutes les autres failles de sécurité. Ces vulnérabilités, présentes dans un très grand nombre de modèles de processeurs (et notamment ceux des leaders du marché, Intel et AMD) peuvent ainsi être exploitées pour faire de la captation de données sur presque tous les appareils fabriqués depuis 20 ans, du serveur au terminal personnel. Tandis que tous les opérateurs de l’informatique et du numérique sont mobilisés pour tenter de développer les correctifs appropriés, l’on aura une petite pensée émue pour l’ancien CEO d’Intel dont il est maintenant su qu’il a vendu la majorité de ses parts après avoir été secrètement averti de l’existence des défauts dans les processeurs Intel.
#IA
#justiceprédictive
#legaltech
#magic8ball
La semaine dernière, Le Monde sortait un magnifique dossier intitulé “Au coeur de l’IA”. Au milieu de celui-ci, un aperçu de ce que la justice prédictive permet aujourd’hui de faire et de ses développements futurs. Il y est ainsi évoqué comment le fait de tester la solidité d’une affaire devant des juges virtuels pourrait favoriser le règlement amiable des litiges. Contre l’aléa judiciaire et l’idée qu’une décision est déterminée par la satiété du juge, l’intelligence artificielle promet une justice appliquée de manière plus uniforme, plus juste. Alors que les avocats et les justiciables semblent être favorables à l’adoption de ces nouveaux outils, l’institution judiciaire semble, elle, être plus sceptique. Peut être est-ce parce que l’IA lui rappelle certains des défauts qui lui sont fréquemment reprochés.
#internet
#cyberattaque
#huggylesbonstuyaux
On vous en parlait déjà il y a quelques semaines : dans un monde où la notion de cyberattaque apparaît à la fois de plus en plus menaçante mais toujours un peu abstraite, il est de bon ton de se rappeler qu’Internet, c’est aussi (et avant tout) des câbles sous la mer. Du hardware, en somme, que menaceraient pirates et puissances étrangères – mais pour l’heure surtout, apprendra-t-on, tremblements de terre et passages de bateaux-pêcheurs… Un article pour dédramatiser quelque peu les scénarios à la Die Hard ou Mission Impossible, en somme. Où l’on découvre, aussi, au moyen d’une carte intéressante, qu’en matière de connexion internationale, les départs de câble français sont aux mains des Lannionais. Gare à l’indépendance bretonne !
#donnéespersos
#databreach
#ouimaispastropvitequandmême
C’était l’un des plus gros scandales de cybersécurité de l’année 2017, c’était 145 millions de personnes concernées, c’était Equifax. Beaucoup s’attendaient à ce que cet épisode, qui a illustré les failles de la loi américaine pour gérer les violations de données personnelles et y apporter de vraies sanctions, soit l’élément déclencheur d’une réforme à l’échelle fédérale. Entre pression de lobbys, mauvaise priorisation, et opposition à la centralisation, cet article illustre comment l’inertie législative peut se nourrir autour d’un projet à propos duquel pourtant tout le monde s’accorde pour dire qu’il est nécessaire.
#frenchtech
#startups
#weareinfrancewecodefrench
Dans cette interview accordée à l’Usine Digitale, l’on découvre un Mounir Mahjoubi conscient des difficultés que rencontrent actuellement les start-ups françaises dans leur développement et soucieux d’y remédier. Il est ainsi notamment question d’accélérer l’initiative de la French Tech dans certains secteurs clefs comme l’énergie ou les transports, d’alléger les obligations légales, règlementaires et fiscales pesant sur les PMEs et TPEs afin de leur permettre un accès effectif et rapide à la totalité du marché de l’Union Européenne mais également d’accompagner celles d’entre-elles qui n’ont pas encore fait leurs premiers pas numériques. L’on attendra donc avec impatience le mois de février au cours duquel le secrétaire d’Etat communiquera le bilan de son Tour des startups et formulera ses premières propositions de mesures.
#IA
#algorithme
#cnil
#toujoursuncoupd'avance
NextINpact a lu pour vous… le rapport IA de la CNIL ! Un prémâchage dont on ne peut que les remercier, tant le document fourmille de détails et d’analyse. On ne s’étonnera pas, pour qui connaît un peu les vues de l’autorité, de retrouver haut les impératifs de transparence, traçabilité et de primauté de l’intervention humaine. On approuvera par ailleurs la démystification opérée vis-à-vis des fantasmes de l’avénement prochain d’un terrible Skynet, pour se concentrer sur les problématiques vraiment actuelles. Surtout, on applaudit la volonté de formuler des recommandations claires et actionnables en termes d’éthique et d’imputation de la responsabilité – quand bien même, ici comme ailleurs, tout paraît plus facile à dire qu’à faire…
#société
#neledisàpersonne
#cryptographie
Failles de sécurité, exigences de transparence absolue et autres mouvements viraux sur Internet, en sapant les conditions de possibilité du secret et de l’intimité, ont eu raison de tout un projet de société : telle est la (triste ?) analyse que nous propose Wired. Le parallèle est étonnant, en effet, entre la crainte du “on ne nous dit pas tout” et notre volonté farouche de vie privée sur les réseaux, laquelle compose d’ailleurs avec une certaine défiance à l’égard des plateformes auxquels nous confions nos données ; cet équilibre un peu précaire témoignerait en définitive, pour l’auteur, d’une nouvelle forme de vivre ensemble : puisqu’aucun secret n’est éternellement garanti, il s’agirait agir en toute circonstance dans l’anticipation de notre exposition publique éventuelle. Vous trouvez ça inquiétant ? Nous y sommes déjà un peu.
par 