@Raccoon Pour ce qui est des images en elles-mêmes, on a quasiment la même résolution sur google grâce au survol par avion (dans les zones civiles), c’est clair qu’ils n’avaient pas trop le choix, pour le reste des données (et la fraîcheur, genre après un séisme ou une innondation) par contre…

concernant le problème de l’absence de gravité, il suffirait d’installer un propulseur inversé (alimenté par panneau solaire) sur le toit du Idéfix… de cette façon celui-ci resterait collé au sol

Ça me rappelle il y a quelques années déjà d’avoir un blog chez eux. Ils ont fait pareil que pour les Pages Perso.
A l’époque, ce fut un “choc” pour les nombreux blogueurs.
Suis client Orange depuis plus de 20 ans et là, ce qui me saoûle, ce sont les pubs dans les applis et pages internet. Tu payes un service, mais ils t’imposent des pubs quand même.
Heureusement qu’on a les bloqueurs.

Avisa Partner fera-t-il partie des “signaleurs de confiance” choisie par l’UE afin d’encadrer l’activité des plateformes du numérique ?

https://www.arretsurimages.net/chroniques/sur-le-grill/desinformation-leurope-paie-le-loup-pour-garder-la-bergerie

SUSE, Oracle et CIQ ont décidé d’unir leur force autour d’une nouvelle association, OpenELA (Open Entreprise Linux Association). Objectif : fournir un processus ouvert d’accès au code source pour garantir le développement de distributions compatibles avec Red Hat Entreprise Linux. Explications

On apprenait cet été la naissance de Liberty Linux, un projet initié par SUSE suite à la fermeture du code Red Hat Linux Enterprise. L’initiative, lancée avec un investissement de 10 millions d’euros, semble avoir inspiré la formation d’une véritable alliance avec d’autres acteurs de poids.

Oracle et CIQ ont ainsi décidé de rejoindre l’éditeur allemand afin de créer l’Open Enterprise Linux Association. Le site web vient d’ailleurs être mis en ligne.

L’entente cordiale ne cache pas son jeu : la création d’OpenELA fait suite, selon le communiqué officiel, aux «récents changements apportés par Red Hat à la disponibilité du code source de RHEL». En réponse, les trois entreprises collaborent pour fournir à la communauté le code source, les outils et les systèmes par l’intermédiaire d’OpenELA.

Les principes fondateurs d’OpenELA sont la conformité totale avec la norme existante, des mises à jour rapides et des correctifs sûrs, la transparence, la communauté et la garantie que la ressource reste libre et redistribuable pour tous .

Dès la fin de l’année, OpenELA fournira les sources nécessaires à l’existence de downs compatibles avec RHEL, en se concentrant initialement sur les versions EL8, EL9 et in fine EL7 de RHEL. Le projet s’engage à assurer la disponibilité continue des sources OpenELA pour la communauté indéfiniment.

Un appel qui semble avoir été entendu, notamment par les développeurs de Rocky Linux, la distribution lancée par l’ancien responsable de CentOS, Gregory Kurzter. On vient ainsi d’apprendre que plusieurs membres de Rocky Linux et de RESF ont rejoint la communauté OpenELA pour soutenir cette initiative.

L’association est d’ailleurs entièrement ouverte à d’autres partenaires.

– Source :

https://goodtech.info/open-entreprise-linux-association-oracle-et-suse-repondent-a-red-hat/

Des chercheurs et chercheuses de l’Université de Californie à Irvine ont montré que les humains étaient maintenant plus lents et moins efficaces que des bots pour résoudre des CAPTCHA.

Les tâches de reconnaissance d’images réputées inaccessibles pour les machines deviennent maintenant plus simples pour elles que pour les humains. Des chercheurs de l’Université de Californie à Irvine (UC Irvine) ont en effet comparé les performances des humains avec celles des algorithmes de résolution de CAPTCHA et ont montré que la machine était, la plupart du temps, meilleure et plus rapide. Ils ont présenté leurs résultats à la conférence USENIX Security en ce mois d’août (PDF).

Au départ, les CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) ont bien été inventés pour résoudre des problèmes de sécurité et éviter que des programmes malveillants se fassent passer pour des utilisateurs.

« Un captcha est un programme qui peut générer et noter des tests que (A) la plupart des humains peuvent réussir, mais que (B) les programmes informatiques actuels ne passent pas », expliquaient les chercheurs Luis von Ahn, Manuel Blum, Nicholas J. Hopper, et John Langfor dans leur article fondateur (PDF) sur le sujet titré « CAPTCHA : utiliser des problèmes d’IA difficiles pour la sécurité ». Cette fonctionnalité a permis pendant des années de bloquer spams et aspirateurs de données à l’entrée de nombreux formulaires de sites web.

De l’aide à la numérisation à l’apprentissage pour le Deep learning

Mais en 2007, Luis von Ahn et Ben Maurer ont cofondé reCAPTCHA, une entreprise qui proposait d’utiliser les CAPTCHA pour faire faire des tâches de reconnaissances d’images que les systèmes de l’époque n’étaient pas capables d’effectuer. L’idée a d’abord été appliquée à la numérisation de livres pour Internet Archive.

Le site avait scanné 20 000 livres, mais les logiciels d’OCR n’étaient pas capables de reconnaître tous les mots, notamment quand une page était en mauvais état. TechCrunch expliquait à l’époque qu’ « à l’instar d’une application Mechanical Turk, ReCaptcha fait appel à des humains pour traduire des images de mots scannés qu’un ordinateur ne pourrait pas comprendre ».

Le système proposait deux mots distordus par un algorithme : un déjà reconnu par la machine et un autre qui ne l’était pas. Ainsi, les mots illisibles automatiquement pouvaient petit à petit être numérisés. Luis von Ahn et Ben Maurer estimaient à 60 millions le nombre de CAPTCHA résolus chaque jour et Techcrunch les ramenaient à plus de 160 000 heures humaines par jour (soit environ 19 ans).

En 2009, Google a acheté reCaptcha y voyant une autre opportunité. Non seulement, reCaptcha permettait de remplacer la machine par des humains quand elle n’arrivait pas à décoder un mot dans un texte scanné, mais il permettait d’ « apprendre aux ordinateurs à lire », comme l’expliquait l’entreprise sur son blog au moment du rachat.

Le principe a ensuite été élargi à la reconnaissance de formes dans des photos, comme des chats, des passages piétons ou des voitures, etc. La multinationale trouvait ici une véritable petite usine à étiqueter gratuitement des images et se concocter une bibliothèque d’entrainement pour ses algorithmes d’intelligence artificielle qu’elle était en train de développer.

Des tests obsolètes

Mais quatorze ans après cet achat, ce qui devait arriver est en train d’arriver. Les algorithmes d’intelligence artificielle de Google et de ses concurrents, entraînés grâce à ce genre de bibliothèques, deviennent de plus en plus efficaces et menacent la pertinence de la première fonctionnalité des CAPTCHA.

La chercheuse Ai Enkoji et ses collègues de l’Université de Californie à Irvine ont travaillé avec Yoshimichi Nakatsuka de l’École polytechnique fédérale de Zurich et Andrew Paverd de Microsoft pour comparer les capacités des humains et celles des bots dans la résolution de CAPTCHA.

Ils ont donc analysé les 200 sites les plus importants du web pour savoir combien d’entre eux utilisaient des CAPTCHA et quels types ils utilisaient, puis ont payé à la tâche (quelques dizaines de cents à quelques dollars) 1 400 personnes sur Amazon Mechanical Turk pour résoudre 10 types de CAPTCHA différents.

Travail du clic et régulation de l’IA agitent la conférence FAccT

Comparant dans le tableau ci-dessous les performances des participants à celles obtenues par des bots développés par d’autres chercheurs et spécifiques à chaque CAPTCHA, ils expliquent que « ces résultats suggèrent que les robots peuvent surpasser les humains, à la fois en termes de temps de résolution et de précision, pour tous ces types de CAPTCHA ».

An Empirical Study & Evaluation of Modern CAPTCHAs
Crédits : Ai Enkoji et al.

On peut même voir que la version reCAPTCHA de Google qui demande de cliquer sur une case à côté de la phrase « Je ne suis pas un robot  » est réussie à 100 % par le bot avec une vitesse beaucoup plus rapide que les humains qui, eux, ne la réussissent pas tout le temps. Cette nouvelle version qui promettait de remplacer efficacement les classiques tâches de catégorisation d’image en analysant le comportement de l’utilisateur sur la page ne remplit pas le contrat.

Internet Archive est maintenant une source des IA

Les GAFAM ont massivement utilisé ces petits outils pour protéger les données des utilisateurs et récupérer des données d’entrainement. Depuis quelque temps, ils voient bien leur fragilité. L’année dernière, Apple mettait en place un système pour les utilisateurs de ses appareils permettant d’être authentifié automatiquement, sans passer par l’épreuve du CAPTCHA. Mais ce genre de systèmes suppose de se reposer sur du matériel identifié et peut poser des questions sur la protection des données privées.

Les CAPTCHA ont par contre réussi à merveille ce qui n’était pas leur tâche originelle : l’entrainement des IA. Elles sont maintenant capables de les résoudre mais aussi, avec l’ajout d’entrainements par des « data workers » et sur les millions de livres d’Internet Archive qu’ils ont aidé à numériser, les IA génératives peuvent créer de nouveaux textes.

Source : nextinpact.com

C’est effectivement un problème majeur, espérons que ChatGPT aura une solution! :hehe:

Le monde des gadgets hi-tech est en pleine ébullition, particulièrement avec l’annonce de Qi2, la prochaine génération de la norme de charge sans fil bien établie.

2cc3c8d0-711d-45f0-a261-6c8f8ac5bcb8-image.png

Les grandes marques comme Anker et Mophie sont déjà sur le point de lancer des produits intégrant cette nouvelle technologie. Mais pourquoi tout ce tapage autour de Qi2, et est-ce une simple évolution ou une véritable révolution ?
Qi: d’une adoption modeste à une norme industrielle

Qi, la première génération de cette norme ne date pas d’hier. Sa présence dans le monde technologique s’étend depuis de nombreuses années, gagnant la confiance de Nokia pour le Lumia 920, puis de Samsung avec le Galaxy S3. Par conséquent, lorsque Apple a intégré la charge Qi dans l’iPhone 8, la technologie était déjà solidement implantée dans l’écosystème Android. Selon le Wireless Power Consortium, il existe actuellement plus de 9 000 produits certifiés Qi sur le marché — une indication irréfutable de son adoption massive.

Qui plus est, le standard Qi est devenu si omniprésent qu’il s’intègre désormais dans les meubles d’espaces publics, éliminant le besoin de chercher désespérément une prise électrique. C’est dans ce contexte que Qi2 se présente comme un candidat sérieux pour révolutionner la charge sans fil, apportant des améliorations significatives en matière d’efficacité énergétique et de facilité d’utilisation.
Qi2 : plus qu’une simple mise à jour

À première vue, Qi2 pourrait sembler être une mise à jour mineure de la norme existante, mais il est nettement plus que cela. L’une des nouveautés les plus marquantes est le profil de puissance magnétique. En d’autres termes, pour obtenir la certification, les fabricants doivent intégrer un système de verrouillage magnétique. Cette fonctionnalité permettra un meilleur alignement de l’appareil et du chargeur, résolvant ainsi l’un des défauts majeurs de la première génération de la technologie Qi. « Qi2 permettra le développement d’une charge sans fil plus rapide tout en garantissant que le processus reste sûr, ne raccourcira pas la durée de vie de la batterie et n’endommagera pas le récepteur », écrit le consortium.

Il faut également noter que cette fonctionnalité ne sera pas limitée à une seule marque ou un seul type d’appareil. Selon le groupement, « Qi2 permettra aussi l’innovation de nouveaux produits par d’autres moyens. La fonction de verrouillage magnétique prendra en charge de nouveaux facteurs de forme de produits, comme un casque AR/VR. Il prendra également en charge de nouveaux types d’accessoires qui se fixent magnétiquement à l’arrière du téléphone, comme une batterie supplémentaire. »

Les grands acteurs du secteur s’alignent derrière Qi2

Les implications de Qi2 dépassent le simple cadre de la charge sans fil pour smartphones. Apple, Samsung, Lenovo, Qualcomm, Google et Microsoft font partie des 344 entreprises actuellement impliquées dans le consortium, prévoyant un déploiement rapide de cette nouvelle norme.

Toutefois, Qi2 sera rétro compatible avec son prédécesseur, bien que la combinaison d’un appareil Qi2 avec un chargeur Qi2 soit la plus efficace.

En somme, avec Qi2, le monde de la charge sans fil est sur le point de vivre une transformation radicale qui affectera non seulement la manière dont nos appareils sont alimentés, mais aussi la manière dont ils sont conçus et utilisés. C’est une aventure technologique qui ne fait que commencer, et il est clair que Qi2 est prêt à en être le protagoniste.

Source: https://www.fredzone.org/qi2-une-revolution-dans-le-monde-de-la-charge-sans-fil-sannonce-rtm347
Et: https://techcrunch.com/2023/09/03/whats-up-with-qi2-and-why-should-you-care/

Pour 20 $ par mois, les fans de Claude peuvent bénéficier de limites d’utilisation 5 fois plus élevées et d’un accès anticipé aux nouvelles fonctionnalités.

d0c4c79e-cc69-4e7e-97a6-0baaf4b9403a-image.png

Jeudi, Anthropic, fabricant d’IA et concurrent d’OpenAI, a lancé Claude Pro , une version par abonnement de son Claude.ai assistant d’IA Web , qui fonctionne de manière similaire à ChatGPT. Il est disponible pour 20 $/mois aux États-Unis ou 18 livres/mois au Royaume-Uni, et promet des limites d’utilisation cinq fois plus élevées, un accès prioritaire à Claude pendant les périodes de fort trafic et un accès anticipé aux nouvelles fonctionnalités dès leur apparition.

Comme ChatGPT, Claude Pro peut composer du texte, résumer, effectuer des analyses, résoudre des énigmes logiques, et bien plus encore.

Claude.ai est ce qu’Anthropic propose comme interface conversationnelle pour son modèle de langage Claude 2 AI, de la même manière que ChatGPT fournit un wrapper d’application pour les modèles sous-jacents GPT-3.5 et GPT-4. En février, OpenAI a choisi une voie d’abonnement pour ChatGPT Plus , qui, pour 20 $ par mois, donne également un accès anticipé aux nouvelles fonctionnalités, mais débloque également l’accès à GPT-4, qui est le modèle de langage le plus puissant d’OpenAI.

Qu’est-ce que Claude a que ChatGPT n’a pas ? Une grande différence est une fenêtre contextuelle de 100 000 jetons , ce qui signifie qu’elle peut traiter environ 75 000 mots à la fois. Les jetons sont des fragments de mots utilisés lors du traitement du texte. Cela signifie que Claude peut analyser des documents plus longs ou tenir des conversations plus longues sans perdre la mémoire du sujet traité. ChatGPT ne peut traiter qu’environ 8 000 jetons en mode GPT-4.

“Le plus important pour moi, c’est la limite de 100 000 jetons”, a déclaré à Ars Technica le chercheur en IA Simon Willison. “C’est énorme ! Cela ouvre des possibilités entièrement nouvelles, et je l’utilise plusieurs fois par semaine juste pour cette fonctionnalité.” Willison écrit régulièrement sur l’utilisation de Claude sur son blog, et il l’utilise souvent pour nettoyer les transcriptions de ses discussions en personne. Mais il met également en garde contre les « hallucinations », où Claude invente parfois des choses.

“J’ai certainement vu plus d’hallucinations de Claude aussi” par rapport à GPT-4, dit Willison, "ce qui me rend nerveux de l’utiliser pour des tâches plus longues car il y a tellement plus d’opportunités pour qu’il glisse quelque chose d’halluciné sans que je m’en aperçoive. "

bb1d4ded-e568-4a27-a853-d7ec4c12a4a9-claude2_screenshot-640x523.jpg
Une capture d’écran de l’interface Web publique de Claude 2, un grand modèle de langage d’Anthropic.

Willison a également rencontré des problèmes avec le filtre moral de Claude, ce qui lui a causé des ennuis par accident : « J’ai essayé de l’utiliser contre une transcription d’un épisode de podcast, et il a traité la majeure partie du texte avant, juste sous mes yeux, de le faire. " J’ai supprimé tout ce qu’il avait fait ! J’ai finalement compris que nous avions commencé à parler d’ alertes à la bombe contre les centres de données vers la fin de l’épisode, et Claude a effectivement été déclenché par cela et a supprimé toute la transcription. "
Que signifie « 5 fois plus d’utilisation » ?

Le principal argument de vente d’Anthropic pour l’abonnement Claude Pro est « 5 fois plus d’utilisation », mais la société ne communique pas clairement quelles sont réellement les limites d’utilisation de l’offre gratuite de Claude. En laissant tomber des indices comme des fils d’Ariane énigmatiques, la société a rédigé un document d’assistance sur le sujet qui dit : « Si vos conversations sont relativement courtes (environ 200 phrases en anglais, en supposant que vos phrases comptent entre 15 et 20 mots), vous pouvez vous attendre à envoyer au moins 100 messages toutes les 8 heures, souvent plus selon la capacité actuelle de Claude. Plus des deux tiers de toutes les conversations sur claude.ai (en septembre 2023) ont duré cette durée.

Dans une autre déclaration quelque peu énigmatique, Anthropic écrit : “Si vous téléchargez une copie de The Great Gatsby , vous ne pourrez peut-être envoyer que 20 messages dans cette conversation en 8 heures.” Nous ne tentons pas de faire le calcul, mais si vous connaissez le nombre précis de mots du classique de F. Scott Fitzgerald, il sera peut-être possible de glaner les limites réelles de Claude. Nous avons contacté Anthropic pour obtenir des éclaircissements hier et n’avons pas reçu de réponse avant la publication.

Quoi qu’il en soit, Anthropic indique clairement que pour un modèle d’IA avec une limite de contexte de 100 000 jetons, des limites d’utilisation sont nécessaires car le calcul impliqué est coûteux. “Un modèle aussi performant que Claude 2 nécessite beaucoup d’ordinateurs puissants pour fonctionner, en particulier pour répondre à des pièces jointes volumineuses et à de longues conversations”, écrit Anthropic dans le document de support. “Nous avons fixé ces limites pour garantir que Claude puisse être mis à la disposition de nombreuses personnes pour qu’elles puissent l’essayer gratuitement, tout en permettant aux utilisateurs expérimentés d’intégrer Claude dans leurs flux de travail quotidiens.”

De plus, Anthropic a lancé vendredi Claude Instant 1.2 , une version moins coûteuse et plus rapide de Claude, disponible via une API. Cependant, il est moins performant que Claude 2 dans les tâches logiques.

S’il est clair que les grands modèles de langage comme Claude peuvent faire des choses intéressantes, il semble que leurs inconvénients et leur tendance à la confabulation pourraient les empêcher d’être utilisés à plus grande échelle en raison de problèmes de fiabilité. Pourtant, Willison est un fan de Claude 2 dans sa forme en ligne : “Je suis ravi de le voir continuer à s’améliorer. Les 100 000 jetons sont une énorme victoire, et le fait que vous puissiez y télécharger des PDF est vraiment pratique.”

Source: https://arstechnica.com/information-technology/2023/09/the-ai-assistant-wars-heat-up-with-claude-pro-a-new-chatgpt-plus-rival/

Utilisez duBoudin ! Roi des I.A. !!!

Les premières dérives… avant les méfaits.

@Raccoon gratuit mais avec la contrepartie de pas avoir de vie privée

La Cnil juge les outils de télésurveillance des examens « particulièrement intrusifs », et recommande un déploiement proportionné et sécurisé.

Après plusieurs plaintes liées aux déploiements d’outils numériques de surveillance des examens en ligne, démocratisés suite à crise sanitaire, la Cnil frappe du poing sur la table.

Des dispositifs intrusifs

Car le gendarme des données personnelles considère ces outils, pouvant exiger la surveillance de l’appareil personnel (ordinateur ou tablette) de l’étudiant, comme « particulièrement intrusifs ». L’instance s’inquiète également que des établissements puissent mettre en place des systèmes de télésurveillance musclés à l’intelligence artificielle regroupant par exemple plusieurs dispositifs à la fois. Au regard de ces dérives potentielles_, « Il apparaît donc nécessaire de rechercher un juste équilibre entre la lutte contre la fraude et la protection des droits et libertés des personnes. »,_ écrit la Cnil.

Les recommandations de la Cnil

Suite à une consultation publique, la Cnil a publié une série de recommandations sur la mise en œuvre de ces dispositifs de télésurveillance. Les établissements scolaires ou toutes autres structures recourant à ce type de technologies devront garantir aux candidats que leurs données ne seront pas utilisées à d’autres fins que la surveillance d’un examen à distance. De plus, la Cnil estime que les examens à distance doivent être évités lorsque cela est possible et doivent être une possibilité offerte aux étudiants et non une obligation. Or, on en est loin. Car la consultation publique de la Cnil a révélé que 76 % des participants impliqués dans un examen à distance n’ont pas eu d’autre alternative.

La Cnil estime également que les établissements doivent informer les étudiants sur les conditions de mise en œuvre de la télésurveillance, s’assurer de la compatibilité des équipements des étudiants et que les dispositifs n’entraînent pas de risque de sécurité pour les utilisateurs.

Tout est aussi question de proportionnalité. La Cnil estime qu’il n’est pas nécessaire de mettre en place un dispositif pour des examens blanc par exemple. Concernant l’analyse automatique du comportement des candidats en revanche, la commission dit non.

Source : linformaticien.com

L’application sera supprimée de Windows dans les prochaines mises à jour

Microsoft a mis à jour la documentation officielle de Windows en y ajoutant une notification concernant la dépréciation de WordPad. La société indique que WordPad n’est plus en cours de développement, qu’il ne recevra plus de nouvelles fonctionnalités ni de mises à jour et qu’une future mise à jour de Windows supprimera le programme du système d’exploitation.

Il y a 28 ans, Microsoft annonçait WordPad, successeur d’un autre éditeur de texte appelé Microsoft Write. WordPad a été intégré à Windows 95, le système d’exploitation le plus récent et le plus performant de Microsoft à l’époque. Depuis lors, WordPad a été intégré à chaque version de Windows, offrant aux utilisateurs des fonctionnalités d’édition de texte de base avec prise en charge des formats RTF, DOC, ODT et d’autres formats populaires. Près de trente ans plus tard, Microsoft est prêt à mettre fin à WordPad.

WordPad n’est plus mis à jour et sera supprimé dans une prochaine version de Windows. Nous recommandons Microsoft Word pour les documents en texte enrichi tels que .doc et .rtf et Windows Notepad pour les documents en texte brut tels que .txt.

Heureusement, les alternatives à WordPad, qu’elles soient de première ou de tierce partie, ne manquent pas. Vous pouvez utiliser le Bloc-notes pour l’édition de texte de base (l’application a récemment été dotée d’une interface à onglets et d’une fonction d’enregistrement automatique des sessions) ou passer à des éditeurs plus avancés, tels que Microsoft Word. Ce dernier est disponible gratuitement sur le web ou en tant qu’application autonome dans l’abonnement Microsoft 365.

<iframe class=“restrain” title=“YouTube video player” width=“560” height=“315” allowfullscreen=“” src=“

” frameborder=“0”></iframe>

WordPad n’est pas le seul composant que Microsoft retire de Windows. L’entreprise a récemment désactivé Cortana, son assistant vocal négligé, et annoncé la fin de Microsoft Support Diagnostic Tool (MSDT). En outre, Microsoft désactivera bientôt les anciens protocoles de sécurité de la couche de transport afin de rendre Windows 11 plus sûr.

Il convient de noter que la dépréciation et la suppression d’une fonctionnalité sont deux choses différentes, ce qui signifie que WordPad restera accessible pendant un certain temps avant que Microsoft ne le supprime de Windows. Par ailleurs, les passionnés de Windows trouveront très probablement un moyen de restaurer WordPad pour ceux qui ne sont pas prêts à abandonner cette application vieille de trente ans pour quelque chose de plus moderne.

Source : Microsoft

Et vous ?

Quel est votre avis sur ce choix de Microsoft ?

Microsoft explique enfin la cause de la faille Azure : le compte d’un ingénieur a été piraté

D’autres échecs en cours de route comprenaient une clé de signature apparaissant incorrectement dans un vidage sur incident.

Microsoft a déclaré que le compte professionnel de l’un de ses ingénieurs avait été piraté par un acteur malveillant hautement qualifié qui avait acquis une clé de signature utilisée pour pirater des dizaines de comptes Azure et Exchange appartenant à des utilisateurs de haut niveau.

Cette divulgation résout deux mystères au centre d’une divulgation faite par Microsoft en juillet . La société a déclaré que les pirates identifiés sous le nom de Storm-0558 étaient présents dans son réseau d’entreprise depuis plus d’un mois et avaient accédé aux comptes Azure et Exchange, dont plusieurs ont ensuite été identifiés comme appartenant aux départements d’État et du commerce des États-Unis. Storm-0558 a réussi l’exploit en obtenant une clé de signature de compte Microsoft expirée et en l’utilisant pour forger des jetons pour le service cloud Azure AD soi-disant fortifié de Microsoft.

Cette révélation a laissé sans réponse deux des questions les plus importantes. Plus précisément, comment un identifiant aussi sensible que la clé de signature du consommateur a-t-il été volé sur le réseau de Microsoft, et comment a-t-il pu signer des jetons pour Azure, qui repose sur une infrastructure totalement différente ?

Mercredi, Microsoft a finalement résolu les énigmes. Le compte professionnel d’un de ses ingénieurs avait été piraté. Storm-0558 a ensuite utilisé l’accès pour voler la clé. De telles clés, a déclaré Microsoft, sont confiées uniquement aux employés ayant subi une vérification des antécédents et uniquement lorsqu’ils utilisent des postes de travail dédiés protégés par une authentification multifacteur à l’aide de dispositifs à jetons matériels. Pour protéger cet environnement dédié, les outils de messagerie électronique, de conférence, de recherche sur le Web et autres outils de collaboration ne sont pas autorisés, car ils constituent les vecteurs les plus courants pour les attaques de logiciels malveillants et de phishing réussies. De plus, cet environnement est séparé du reste du réseau Microsoft, où les travailleurs ont accès au courrier électronique et à d’autres types d’outils.

Ces protections ont été rompues en avril 2021, plus de deux ans avant que Storm-0558 n’accède au réseau de Microsoft. Lorsqu’un poste de travail dans l’environnement de production dédié tombait en panne, Windows effectuait un « vidage sur incident » standard dans lequel toutes les données stockées en mémoire étaient écrites sur le disque afin que les ingénieurs puissent ultérieurement en diagnostiquer la cause. Le vidage sur incident a ensuite été déplacé vers l’environnement de débogage de Microsoft. Le piratage du compte d’entreprise d’un ingénieur Microsoft a permis à Storm-0558 d’accéder au vidage sur incident et, avec lui, à la clé de signature Exchange expirée.

Normalement, les vidages sur incident suppriment les clés de signature et les données tout aussi sensibles. Dans ce cas, cependant, une vulnérabilité jusqu’alors inconnue, connue sous le nom de « condition de concurrence critique », a empêché ce mécanisme de fonctionner correctement.

Les membres du Microsoft Security Response Center ont écrit :

Notre enquête a révélé qu’un crash du système de signature des consommateurs en avril 2021 a donné lieu à un instantané du processus bloqué (« crash dump »). Les vidages sur incident, qui suppriment les informations sensibles, ne doivent pas inclure la clé de signature. Dans ce cas, une condition de concurrence critique permettait à la clé d’être présente dans le vidage sur incident (ce problème a été corrigé). La présence du matériel clé dans le vidage sur incident n’a pas été détectée par nos systèmes (ce problème a été corrigé).

Nous avons constaté que ce vidage sur incident, censé à l’époque ne contenir aucun élément clé, avait ensuite été déplacé du réseau de production isolé vers notre environnement de débogage sur le réseau d’entreprise connecté à Internet. Ceci est cohérent avec nos processus de débogage standard. Nos méthodes d’analyse des informations d’identification n’ont pas détecté sa présence (ce problème a été corrigé).

Après avril 2021, lorsque la clé a été divulguée dans l’environnement de l’entreprise lors du crash dump, l’acteur de Storm-0558 a réussi à compromettre le compte d’entreprise d’un ingénieur Microsoft. Ce compte avait accès à l’environnement de débogage contenant le vidage sur incident qui contenait de manière incorrecte la clé. En raison des politiques de conservation des journaux, nous ne disposons pas de journaux contenant des preuves spécifiques de cette exfiltration par cet acteur, mais il s’agit du mécanisme le plus probable par lequel l’acteur a acquis la clé.

Répondant au deuxième mystère, l’article explique comment une clé de signature expirée pour un compte consommateur a été utilisée pour forger des jetons pour des offres d’entreprise sensibles. En 2018, Microsoft a introduit un nouveau framework fonctionnant avec les applications cloud grand public et d’entreprise. Des erreurs humaines ont empêché une interface de programmation conçue pour valider cryptographiquement l’environnement pour lequel une clé devait être utilisée, de fonctionner correctement.

Le message continuait :

Pour répondre à la demande croissante des clients en matière de prise en charge d’applications fonctionnant à la fois avec des applications grand public et d’entreprise, Microsoft a introduit un point de terminaison de publication de métadonnées clés communes en septembre 2018. Dans le cadre de cette offre convergente, Microsoft a mis à jour la documentation pour clarifier les exigences de validation de la portée clé (quelle clé est la clé). à utiliser pour les comptes d’entreprise et lesquels à utiliser pour les comptes de particuliers.

Dans le cadre d’une bibliothèque préexistante de documentation et d’API d’assistance, Microsoft a fourni une API pour aider à valider les signatures de manière cryptographique, mais n’a pas mis à jour ces bibliothèques pour effectuer automatiquement cette validation de portée (ce problème a été corrigé). Les systèmes de messagerie ont été mis à jour pour utiliser le point de terminaison de métadonnées commun en 2022. Les développeurs du système de messagerie ont supposé à tort que les bibliothèques effectuaient une validation complète et n’ont pas ajouté la validation d’émetteur/portée requise. Ainsi, le système de messagerie accepterait une demande de courrier électronique d’entreprise utilisant un jeton de sécurité signé avec la clé du consommateur (ce problème a été corrigé à l’aide des bibliothèques mises à jour).

Dans un e-mail, un représentant de Microsoft a déclaré que le compte de l’ingénieur avait été compromis à l’aide d’un « malware voleur de jetons », mais n’a pas précisé comment il avait été installé, si d’autres comptes d’entreprise étaient piratés par le même acteur malveillant, lorsque Microsoft a eu connaissance de la compromission. et quand l’entreprise a chassé les intrus.

À ces questions s’ajoutent les suivantes : une clé aussi sensible que celle acquise par Storm-0558 n’était-elle pas stockée dans un HSM (module matériel de sécurité) ? Il s’agit d’appareils dédiés qui stockent des informations importantes et sont conçus pour empêcher l’acquisition de clé de formulaire divulguée par Microsoft.

Dans l’e-mail, le représentant a déclaré que « les systèmes d’identité de l’entreprise gèrent les clés en utilisant une combinaison de protections HSM et logicielles en raison des exigences uniques d’échelle et de résilience de l’environnement cloud ». Cela n’explique toujours pas comment les attaquants ont réussi à extraire la clé d’un appareil spécialement conçu pour empêcher le vol.

Comme indiqué précédemment, Microsoft a fermement résisté à l’utilisation du mot vulnérabilité pour décrire les failles exploitées par Storm-0558 pour réaliser la brèche. Au lieu de cela, l’entreprise a utilisé le mot « problème ». Lorsqu’on lui a demandé d’expliquer quelle est la définition du « problème » donnée par Microsoft et en quoi elle diffère de la définition de la « vulnérabilité » donnée par l’entreprise, le représentant a répondu : « La vulnérabilité est un terme spécifique, et nous utiliserions le terme vulnérabilité s’il était approprié. Le « problème » dans le blog fait référence à des éléments tels qu’une mauvaise configuration, des erreurs de l’opérateur ou des sous-produits involontaires d’autres actions.

Will Dorman, analyste principal principal de la société de renseignement de sécurité Analysgence, a déclaré dans une interview en ligne :

Certains aspects pourraient être considérés comme des vulnérabilités :

—Une condition de concurrence critique a conduit à des éléments clés dans un vidage sur incident—Cela ressemble à une vulnérabilité

— “le système de messagerie accepterait une demande de courrier électronique d’entreprise à l’aide d’un jeton de sécurité signé avec la clé du consommateur” : il s’agit certainement d’une vulnérabilité

— « capable de compromettre avec succès le compte d’entreprise d’un ingénieur Microsoft » — Cela fait simplement partie de la vie dans ce monde, je suppose.

Microsoft a déclaré qu’environ 25 organisations ont vu un ou plusieurs de leurs comptes piratés au cours de la campagne, qui a débuté le 15 mai et a duré jusqu’au 16 juin. Microsoft n’était pas au courant du piratage massif jusqu’à ce qu’un client l’en informe.

Microsoft a décrit Storm-0558 comme un acteur menaçant basé en Chine dont les activités et les méthodes sont conformes aux objectifs d’espionnage. Le groupe cible un large éventail d’entités. Il s’agit notamment des organes directeurs diplomatiques, économiques et législatifs américains et européens, des individus liés aux intérêts géopolitiques de Taiwan et des Ouïghours, des sociétés de médias, des groupes de réflexion et des fournisseurs d’équipements et de services de télécommunications.

“Storm-0558 fonctionne avec un haut degré de savoir-faire technique et de sécurité opérationnelle”, a écrit Microsoft en juillet . « Les acteurs sont parfaitement conscients de l’environnement de la cible, des politiques de journalisation, des exigences d’authentification, des politiques et des procédures. L’activité d’outillage et de reconnaissance de Storm-0558 suggère que l’acteur est techniquement compétent, dispose de bonnes ressources et possède une compréhension approfondie de nombreuses techniques et applications d’authentification.

Parmi les critiques accusant Microsoft de ce qu’ils considèrent comme une négligence liée à la violation, citons un sénateur américain et un PDG de l’industrie. Ils ont critiqué à la fois les pratiques qui ont conduit au piratage et ce qu’ils ont qualifié de manque de transparence à la suite de celui-ci. La mise à jour de mercredi va un pas dans la bonne direction, mais l’entreprise a encore du travail à faire.

Source: https://arstechnica.com/security/2023/09/hack-of-a-microsoft-corporate-account-led-to-azure-breach-by-chinese-hackers/

Mais… je ne vous comprends pas !

Nous sommes sur un forum ou l’on promeut le partage… Vous ne voulez pas partager vos infos de compte ?

Allons quoi !!! faites un effort !!!

@Ashura on l’em… la CIA, faut que je te laisse on frappe à ma porte! :ahah:

@kilotator a dit dans Teams : la Commission européenne ouvre une enquête pour abus de position dominante contre Microsoft :

et si Apple a pu se refinancer pour se relancer au début des années 2000 c’est bien en abandonnant sa suite bureautique Appleworks contre un chèque de Billou…

Mouai, je ne suis pas sur qu’Apple avait besoin de ça. J’ai d’ailleurs pas trouvé de sources à ce sujet.

C’est surtout qu’AppleWorks n’avait plus beaucoup évolué depuis la fin des années 90 et Steve avait bien d’autre chose en tête comme l’Ipod, l’iphone qui rapporterait bien plus qu’une simple suite bureautique. Comme on dit : rien ne sert de réinventer la roue

Merci pour cette news j’l’avais pas lu ailleurs ^^

Il ne faut pas laisser de côté se qu’on nomme élégamment “La fuite des cerveaux” Des personnes prometteuses dans des domaines très pointus mais qui n’ont aucun soutien de nos institutions ou si peu.
Attirées par la reconnaissance de leurs compétences et les pont d’or qui leurs sont proposées partent à l’étranger.

Astronomie : des hackers paralysent plusieurs télescopes de pointe depuis un mois

Une cyberattaque paralyse 38 télescopes depuis plusieurs semaines, et cet incident a des conséquences très concrètes pour les chercheurs. Une situation qui devra servir de piqûre de rappel.

Une image d'un hacker générée par MidjourneyAI
© Journal du Geek / MidjourneyAI

Au tout début du mois d’août, la communauté scientifique a été cueillie à froid par une cyberattaque extrêmement inhabituelle. Elle ne visait pas une banque de données secrète, ni un programme sensible en lien avec des thématiques comme le nucléaire ou des souches de virus dangereux ; à la place, elle a touché le Laboratoire National de Recherche en Astronomie Optique et Infrarouge américain, plus connu sous le nom de NOIRLab.

Ce centre de recherche qui opère certains des télescopes les plus performants du monde a été forcé de mettre certains de ses instruments en coma artificiel, en attendant que le problème soit résolu. Un mois plus tard, la situation ne semble toujours pas avoir évolué — et ce blackout commence à peser de tout son poids sur les finances et les activités du laboratoire.

Tout a commencé il y a un mois jour pour jour, le 1er août, lorsque les équipes informatiques du NOIRLab ont détecté une activité suspecte dans le système informatique de l’institution. Une intrusion potentiellement très problématique. Car en premier lieu, cela signifie que toutes les données stockées localement pourraient avoir été compromises. De plus, malgré leur grande taille, les télescopes gérés par le laboratoire sont des instruments extrêmement délicats qui doivent être manipulés uniquement sous la supervision de spécialistes. Il n’est donc pas exclu qu’un pirate puisse endommager ces outils à la fois précieux et rares à distance.

Comme souvent dans les affaires de cybersécurité, l’institution reste assez discrète sur les détails techniques de l’attaque. Certaines sources affirment que le protocole d’accès à distance et de stockage du NOIRLab ont été pris en otage par un ransomware, mais il sera probablement impossible de connaître le fin mot de l’histoire avant que le problème ne soit entièrement résolu.

Des dizaines de télescopes paralysés

Quoi qu’il en soit, par principe de précaution, les équipes du laboratoire ont pris une décision radicale. Ils ont complètement déconnecté plusieurs équipements de leur réseau informatique. Au total, 38 télescopes ont été mis hors service depuis un mois – y compris ceux de Gemini, les plus importants d’entre eux.

Les télescopes Gemini
Les télescopes Gemini South, au Chili (à g.) et Gemini North, à Hawaii (à d.) © Gemini/NSF/AURA

Gemini, c’est un observatoire composé de deux télescopes optiques et infrarouges situés à Hawaii (Gemini North) et au Chili (Gemini South). Ils font partie des instruments les plus grands et performants de la planète. En plus de leur aperture immense de 8,1 mètres, ils sont dotés d’une technologie d’optique adaptative de classe mondiale qui permet de corriger en temps réel les déformations de l’image provoquées par l’atmosphère. Cela permet aux scientifiques d’obtenir des images extrêmement fines et précises depuis la Terre.

Les deux Gemini sont donc les bras armés d’un tas de travaux de pointe. Ils ont déjà permis de grandes avancées en astronomie, notamment sur les exoplanètes, mais aussi la formation des étoiles, la structure des galaxies, les trous noirs… Autant dire qu’ils sont extrêmement prisés des chercheurs du monde entier. Mais depuis la cyberattaque, ils sont nombreux à avoir été stoppés net dans leur lancée.

Des conséquences importantes pour la recherche

En temps normal, après avoir réservé du temps d’observation, les chercheurs peuvent accéder à ces infrastructures à distance. Mais depuis la coupure de l’accès suite à l’incident, c’est devenu complètement impossible. Seules quelques observations peuvent être menées au compte-gouttes directement sur place. Et plus le temps passe, plus la situation se dégrade, car ces travaux dépendent tous d’une poignée d’opérateurs exténués qui ont passé les dernières semaines à se relayer pour assurer les observations les plus importantes.

Un mois après le début du blackout, les conséquences commencent à devenir considérables. On peut citer le volet financier, sachant que le coût opérationnel de ces infrastructures se chiffre en millions de dollars par an. Il s’agit déjà d’un levier très important pour un pirate. Mais le plus important n’est pas la perte financière ; c’est la perte de données précieuses.

En effet, de nombreuses études astronomiques sont soumises à un calendrier strict sur lequel les chercheurs n’ont aucun contrôle. Des tas d’observations ne sont possibles que pendant un intervalle de temps bien précis où les conditions sont favorables. Des projets qui ont parfois demandé des années de travail peuvent donc être ruinés si ces fenêtres d’observation cruciales sont manquées. Un crève-cœur pour les artisans de ces projets, et en particulier pour certains doctorants qui avaient placé ces observations au centre d’une thèse censée lancer leur carrière. Par conséquent, ce genre d’attaque met une pression considérable sur le monde académique.

La cybersécurité, un enjeu majeur du New Space

Il faut donc espérer que les équipes du NOIRLab réussiront à sortir rapidement de ce pétrin afin de limiter les dégâts financiers et scientifiques. Mais dans tous les cas, cet épisode devra aussi servir de piqûre de rappel pour les laboratoires du monde entier, à commencer par le Jet Propulsion Lab de la NASA.

Pour rappel, en 2019, un acteur malveillant avait déjà réussi à s’introduire dans le système de l’institution à l’aide d’un Raspberry Pi (voir cet article de Forbes). L’auteur avait pu accéder au Deep Space Network, le réseau de communication qui relie tous les engins spatiaux de la NASA. L’histoire s’est heureusement bien terminée. Mais si la NASA cherche en ce moment à renforcer ses défenses suite à cet incident, l’attaque du NOIRLab montre bien que de nombreuses institutions sont encore très loin d’être protégés correctement. Et le souci, c’est que ces agences et entreprises pas toujours la volonté ou les moyens d’ériger une ligne de défense convenable. C’est d’autant plus vrai pour les laboratoires de recherche qui courent souvent après les fonds.

C’est une problématique qui va continuer de devenir de plus en plus importante, dans un contexte où de nouveaux appareils extrêmement coûteux sont mis en orbite tous les ans. Par exemple, un pirate pourrait générer un chaos considérable s’il parvenait à prendre en otage les données produites par un engin comme le James Webb, le bijou d’ingénierie à 10 milliards de dollars qui est devenu le fer de lance de l’astronomie mondiale.

Plus loin dans le futur, on peut même imaginer des scénarios catastrophiques où une attaque pourrait couper le contact avec un vaisseau habité ou une station spatiale commerciale. Les agences et les acteurs privés du monde entier vont donc devoir mettre la main à la poche pour assurer leurs arrières. Car ces attaques promettent de devenir de plus en plus alléchantes pour les pirates, à une époque où l’humanité va devenir de plus en plus dépendante de son infrastructure spatiale.

Source : journaldugeek.com