Elles se plaignent aussi que les travailleurs actuels sont peu qualifiés

La pénurie de main-d’œuvre secouant le secteur de la cybersécurité persiste. De nouveaux rapports sur le sujet indiquent que les entreprises et les gouvernements continuent à rechercher désespérément des professionnels qualifiés pour lutter contre la montée de la cybercriminalité. Selon un rapport, le nombre de professionnels de la cybersécurité dans le monde s’élevait à 4,7 millions de personnes en 2022, mais 3,4 millions de postes restent encore à pourvoir. Le besoin de nouveaux talents qualifiés est d’autant plus pressant pour les organisations, car elles se plaignent du fait qu’une partie importante de leurs employés actuels en cybersécurité sont sous-qualifiés.

Pénurie de talents en cybersécurité : le nombre de postes à pouvoir en hausse

Les organisations publiques comme privées sont aujourd’hui confrontées à une hausse sans précédent des violations de données, conséquence directe du manque de professionnels qualifiés pouvant assurer la sécurité des données. Mais quelles sont les raisons à l’origine de cette pénurie ? Selon les experts, les pratiques héritées du passé, les budgets serrés, l’étroitesse d’esprit, le manque de diversité et le fait de considérer la cybersécurité comme un pis-aller sont autant de facteurs qui contribuent au problème. D’autres experts estiment que les entreprises ignorent quelle approche adopter en matière de cybersécurité, ouvrant ainsi la porte aux violations.

« C’est le marché lui-même qui est en cause, les entreprises étant déconnectées et irréalistes », explique Jeremy Ventura, directeur de la stratégie de sécurité et RSSI (responsable de la sécurité des systèmes d’information) de terrain pour la société de protection automatisée contre les menaces ThreatX. La pénurie de talents dans la cybersécurité se fait davantage sentir dans des pays tels que l’Inde, où la numérisation est rapide. Mais même aux États-Unis, seuls 69 % des postes dans le domaine de la cybersécurité sont pourvus. Ces statistiques proviennent de Cyberseek, un site Web qui fournit des données sur le marché de l’emploi dans ce domaine.

« Le fossé est énorme », déclare Clar Rosso, directrice générale de l’ISC2 (International Information Systems Security Certification Consortium). Selon la dernière étude d’IBM sur le sujet, les professionnels de la cybersécurité se font rares à une époque où le coût moyen d’une violation de données aux États-Unis s’élève à 4,5 millions de dollars. En outre, Fortinet, une entreprise américaine qui développe et vend des logiciels et services de cybersécurité, indique que 80 % des organisations ont subi une ou plusieurs violations qu’elles peuvent attribuer à un manque de compétences ou de sensibilisation en matière de cybersécurité. Mais ce n’est pas tout.

Le manque de talents en cybersécurité n’est pas le seul problème des organisations : les travailleurs actuels seraient peu qualifiés. Un rapport publié cette année par le gouvernement britannique a révélé que 50 % des entreprises britanniques - soit 739 000 au total - manquent de compétences de base en cybersécurité, ce qui signifie que les responsables de la cybersécurité n’ont pas la confiance nécessaire pour mettre en œuvre les mesures techniques qui protègent contre les attaques numériques les plus courantes. D’autres rapports font le même constat et ajoutent que les travailleurs peu qualifiés sont souvent des portes d’entrée pour les cybercriminels.

Par ailleurs, selon les analystes du secteur, la pénurie de talents qualifiés dans le domaine de la cybersécurité se poursuit et a commencé à avoir un impact sur la capacité des entreprises à se mettre en conformité. Les entreprises doivent respecter ou maintenir la conformité, et les données des consommateurs doivent être sécurisées. Les entreprises qui ne disposent pas de ressources suffisantes pour se mettre en conformité et garantir la sécurité des données de leurs clients risquent de rencontrer des difficultés dans la commercialisation de leurs produits et services, ce qui aura un impact sur leurs aspirations à la croissance et à l’expansion.

Les causes de la pénurie de main-d’œuvre dans le secteur de la cybersécurité

Roy Zur, PDG du fournisseur de compétences numériques et de cybersécurité ThriveDX, affirme qu’à certains égards, la pénurie de compétence est un problème “auto-infligé”, car les entreprises recherchent des candidats ayant un niveau d’expérience minimum strict. « On ne peut pas résoudre le problème en ne s’occupant que des personnes en place. Les entreprises doivent changer d’état d’esprit et comprendre que pour résoudre ce problème, elles doivent ouvrir les portes », explique-t-il. Les analystes indiquent qu’un problème particulier est le manque de programmes de formation spécialisée et accélérée, malgré la forte demande des employeurs.

Selon un rapport publié cette année par Fortinet sur le déficit de compétences dans le secteur, 90 % des responsables de la cybersécurité recherchent des certifications axées sur la technologie lorsqu’ils recrutent du personnel. Selon Zur, les diplômes universitaires et collégiaux ne constituent pas un moyen efficace de former des gens dans le secteur de la cybersécurité. Zur estime que ces cursus prennent trop de temps et sont souvent trop généraux - en informatique ou en ingénierie, par exemple. En revanche, il n’a pas hésité à souligner le succès de l’unité israélienne de cyberguerre 8200, qui forme en six à huit mois des jeunes qui ont quitté l’école.

« Il faut que davantage d’entreprises du secteur privé se lancent dans ce domaine et forment les gens », déclare-t-il. De même, Rosso estime que les jeunes employés devraient rapidement être en mesure de prendre en charge le gros du travail cybernétique de base, à condition qu’ils reçoivent la formation adéquate. Elle conseille donc aux entreprises de recruter pour les compétences non techniques et l’état d’esprit, c’est-à-dire de recruter des personnes capables de résoudre des problèmes et d’avoir un esprit analytique et critique, puis de les former pour les compétences techniques. Certaines organisations ont lancé de nouveaux types de formation.

L’ISC2 a créé une nouvelle certification appelée “Certified in Cyber Security”, qui vise à former les candidats aux principes fondamentaux de la cybersécurité, tels que la réponse aux incidents et la sécurité des réseaux. Au cours de la première année, plus de 250 000 personnes se sont inscrites, un chiffre que l’ISC2 souhaite porter à 1 million au fil du temps. Les gouvernements prennent aussi des mesures. Aux États-Unis, l’administration Biden a annoncé en juillet la création d’une entité conçue pour augmenter le nombre de travailleurs qualifiés en rendant l’enseignement et la formation en cybernétique plus accessibles et plus abordables.

De son côté, le Royaume-Uni a mis en place un programme “Upskill in Cyber”, en partenariat avec l’institut de formation à la cybersécurité SANS, qui a enregistré un nombre record de demandes d’inscription. Rosso estime qu’il devrait y avoir davantage de partenariats public-privé et de collaborations intersectorielles, et souligne également la nécessité d’atteindre des objectifs à plus long terme, tels que “l’amélioration des connaissances des écoliers dans le domaine de la cybersécurité, des cadres et des membres du conseil d’administration”. Certains analystes critiquent également le comportement des entreprises en cas de violation de données.

« Alors que l’économie mondiale semble ralentir de jour en jour, supprimant de plus en plus d’opportunités d’emplois moralement sains, le risque de cybercriminalité va considérablement augmenter. Nous l’avons déjà vu. Étant donné que de nombreux cybercriminels attaquent à partir de juridictions non légales, les entreprises cherchent-elles à embaucher de véritables employés pour lutter contre la cybercriminalité, ou cherchent-elles à embaucher un bouc émissaire qui portera le chapeau lorsque l’inévitable se produira ? », peut-on lire dans les commentaires. Selon ces critiques, cela pousse certains travailleurs à fuir ce type de travail.

Les domaines faisant le plus appel aux professionnels qualifiés en cybersécurité

Selon Rosso, il existe des domaines particuliers dans lesquels la demande de compétences augmente. Il s’agit notamment de la sécurité dans le cloud, les entreprises s’orientant de plus en plus vers le cloud depuis que la pandémie a catalysé la croissance du travail à distance et hybride. En mars 2022, plus de 60 % des données des entreprises étaient déjà stockées dans le nuage. Ce pourcentage ne cesse d’augmenter à mesure que les entreprises transfèrent leurs opérations numériques dans des environnements de cloud computing. Mais en l’absence de professionnels qualifiés pour protéger l’accès aux données, les violations se multiplient également.

Un autre domaine est l’automatisation, à l’heure où l’IA évolue rapidement et peut fournir des outils sophistiqués aux pirates informatiques comme aux défenseurs. Un rapport publié en janvier indique que des chercheurs de l’entreprise américaine de cybersécurité CyberArk sont parvenus à créer un logiciel malveillant polymorphe à l’aide de ChatGPT, le chatbot d’IA d’OpenAI. Les chercheurs affirment que le logiciel malveillant généré par ChatGPT peut facilement échapper aux meilleurs produits de sécurité et rendre les mesures d’atténuation fastidieuses ; tout ceci avec très peu d’efforts ou d’investissements de la part de l’adversaire.

Ils ont mis en garde contre ce qu’ils appellent “une nouvelle vague de logiciels malveillants polymorphes faciles et bon marché capables d’échapper à certains produits de sécurité”. Dans leur rapport d’étude, les chercheurs expliquent : « en utilisant la capacité de ChatGPT à générer des techniques de persistance, des modules Anti-VM [Anti Virtual Machine] et d’autres charges utiles malveillantes, les possibilités de développement de logiciels malveillants sont vastes. Bien que nous n’ayons pas approfondi les détails de la communication avec le serveur C&C, il existe plusieurs façons de le faire discrètement sans éveiller les soupçons ».

Un rapport de CheckPoint indique que ChatGPT peut générer le code d’un logiciel malveillant capable de voler des fichiers précis sur un PC, de les compresser et de les envoyer sur un ordinateur distant. Il peut aussi générer du code pour un outil qui installe une porte dérobée sur un ordinateur et ensuite télécharge d’autres logiciels malveillants à partir de cette dernière. L’entreprise rapporte en sus que les cybercriminels peuvent s’en servir pour la mise sur pied de logiciels capables de chiffrer les fichiers du PC d’une cible. CheckPoint estime que ChatGPT ouvre ces possibilités à des individus avec de très faibles connaissances techniques.

Ces nouveaux outils et la pénurie de talents en cybersécurité font craindre le pire aux entreprises pour les années à venir. Les statistiques montrent que 52 millions de violations de données ont eu lieu dans le monde au cours du deuxième trimestre de l’année précédente. Ce problème stimule la demande de talents en cybersécurité dans tous les secteurs. Cependant, avec plus de 700 000 postes non pourvus dans ce domaine rien qu’aux États-Unis, les entreprises pourraient subir de graves pertes si elles ne trouvent pas rapidement une solution satisfaisante. Le coût d’une violation de données pourrait également augmenter à l’avenir.

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la pénurie de talents qualifiés dans le secteur de la cybersécurité ?
Selon vous, qu’est-ce qui explique cette pénurie de talents ? L’industrie peut-elle y remédier ?
Comment l’industrie peut-elle former des talents qualifiés ? Quelles sont les politiques à mettre en place ?
Pensez-vous que les travailleurs fuient les postes dans la cybersécurité en raison des politiques des entreprises ?

Source : developpez.com

Les petits malins pris la main dans le sac :ahah:

Le 1er parle anglais un peu comme François Hollande :mouhaha:

@Raccoon Pour ce qui est des images en elles-mêmes, on a quasiment la même résolution sur google grâce au survol par avion (dans les zones civiles), c’est clair qu’ils n’avaient pas trop le choix, pour le reste des données (et la fraîcheur, genre après un séisme ou une innondation) par contre…

concernant le problème de l’absence de gravité, il suffirait d’installer un propulseur inversé (alimenté par panneau solaire) sur le toit du Idéfix… de cette façon celui-ci resterait collé au sol

Ça me rappelle il y a quelques années déjà d’avoir un blog chez eux. Ils ont fait pareil que pour les Pages Perso.
A l’époque, ce fut un “choc” pour les nombreux blogueurs.
Suis client Orange depuis plus de 20 ans et là, ce qui me saoûle, ce sont les pubs dans les applis et pages internet. Tu payes un service, mais ils t’imposent des pubs quand même.
Heureusement qu’on a les bloqueurs.

Avisa Partner fera-t-il partie des “signaleurs de confiance” choisie par l’UE afin d’encadrer l’activité des plateformes du numérique ?

https://www.arretsurimages.net/chroniques/sur-le-grill/desinformation-leurope-paie-le-loup-pour-garder-la-bergerie

SUSE, Oracle et CIQ ont décidé d’unir leur force autour d’une nouvelle association, OpenELA (Open Entreprise Linux Association). Objectif : fournir un processus ouvert d’accès au code source pour garantir le développement de distributions compatibles avec Red Hat Entreprise Linux. Explications

On apprenait cet été la naissance de Liberty Linux, un projet initié par SUSE suite à la fermeture du code Red Hat Linux Enterprise. L’initiative, lancée avec un investissement de 10 millions d’euros, semble avoir inspiré la formation d’une véritable alliance avec d’autres acteurs de poids.

Oracle et CIQ ont ainsi décidé de rejoindre l’éditeur allemand afin de créer l’Open Enterprise Linux Association. Le site web vient d’ailleurs être mis en ligne.

L’entente cordiale ne cache pas son jeu : la création d’OpenELA fait suite, selon le communiqué officiel, aux «récents changements apportés par Red Hat à la disponibilité du code source de RHEL». En réponse, les trois entreprises collaborent pour fournir à la communauté le code source, les outils et les systèmes par l’intermédiaire d’OpenELA.

Les principes fondateurs d’OpenELA sont la conformité totale avec la norme existante, des mises à jour rapides et des correctifs sûrs, la transparence, la communauté et la garantie que la ressource reste libre et redistribuable pour tous .

Dès la fin de l’année, OpenELA fournira les sources nécessaires à l’existence de downs compatibles avec RHEL, en se concentrant initialement sur les versions EL8, EL9 et in fine EL7 de RHEL. Le projet s’engage à assurer la disponibilité continue des sources OpenELA pour la communauté indéfiniment.

Un appel qui semble avoir été entendu, notamment par les développeurs de Rocky Linux, la distribution lancée par l’ancien responsable de CentOS, Gregory Kurzter. On vient ainsi d’apprendre que plusieurs membres de Rocky Linux et de RESF ont rejoint la communauté OpenELA pour soutenir cette initiative.

L’association est d’ailleurs entièrement ouverte à d’autres partenaires.

– Source :

https://goodtech.info/open-entreprise-linux-association-oracle-et-suse-repondent-a-red-hat/

Des chercheurs et chercheuses de l’Université de Californie à Irvine ont montré que les humains étaient maintenant plus lents et moins efficaces que des bots pour résoudre des CAPTCHA.

Les tâches de reconnaissance d’images réputées inaccessibles pour les machines deviennent maintenant plus simples pour elles que pour les humains. Des chercheurs de l’Université de Californie à Irvine (UC Irvine) ont en effet comparé les performances des humains avec celles des algorithmes de résolution de CAPTCHA et ont montré que la machine était, la plupart du temps, meilleure et plus rapide. Ils ont présenté leurs résultats à la conférence USENIX Security en ce mois d’août (PDF).

Au départ, les CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) ont bien été inventés pour résoudre des problèmes de sécurité et éviter que des programmes malveillants se fassent passer pour des utilisateurs.

« Un captcha est un programme qui peut générer et noter des tests que (A) la plupart des humains peuvent réussir, mais que (B) les programmes informatiques actuels ne passent pas », expliquaient les chercheurs Luis von Ahn, Manuel Blum, Nicholas J. Hopper, et John Langfor dans leur article fondateur (PDF) sur le sujet titré « CAPTCHA : utiliser des problèmes d’IA difficiles pour la sécurité ». Cette fonctionnalité a permis pendant des années de bloquer spams et aspirateurs de données à l’entrée de nombreux formulaires de sites web.

De l’aide à la numérisation à l’apprentissage pour le Deep learning

Mais en 2007, Luis von Ahn et Ben Maurer ont cofondé reCAPTCHA, une entreprise qui proposait d’utiliser les CAPTCHA pour faire faire des tâches de reconnaissances d’images que les systèmes de l’époque n’étaient pas capables d’effectuer. L’idée a d’abord été appliquée à la numérisation de livres pour Internet Archive.

Le site avait scanné 20 000 livres, mais les logiciels d’OCR n’étaient pas capables de reconnaître tous les mots, notamment quand une page était en mauvais état. TechCrunch expliquait à l’époque qu’ « à l’instar d’une application Mechanical Turk, ReCaptcha fait appel à des humains pour traduire des images de mots scannés qu’un ordinateur ne pourrait pas comprendre ».

Le système proposait deux mots distordus par un algorithme : un déjà reconnu par la machine et un autre qui ne l’était pas. Ainsi, les mots illisibles automatiquement pouvaient petit à petit être numérisés. Luis von Ahn et Ben Maurer estimaient à 60 millions le nombre de CAPTCHA résolus chaque jour et Techcrunch les ramenaient à plus de 160 000 heures humaines par jour (soit environ 19 ans).

En 2009, Google a acheté reCaptcha y voyant une autre opportunité. Non seulement, reCaptcha permettait de remplacer la machine par des humains quand elle n’arrivait pas à décoder un mot dans un texte scanné, mais il permettait d’ « apprendre aux ordinateurs à lire », comme l’expliquait l’entreprise sur son blog au moment du rachat.

Le principe a ensuite été élargi à la reconnaissance de formes dans des photos, comme des chats, des passages piétons ou des voitures, etc. La multinationale trouvait ici une véritable petite usine à étiqueter gratuitement des images et se concocter une bibliothèque d’entrainement pour ses algorithmes d’intelligence artificielle qu’elle était en train de développer.

Des tests obsolètes

Mais quatorze ans après cet achat, ce qui devait arriver est en train d’arriver. Les algorithmes d’intelligence artificielle de Google et de ses concurrents, entraînés grâce à ce genre de bibliothèques, deviennent de plus en plus efficaces et menacent la pertinence de la première fonctionnalité des CAPTCHA.

La chercheuse Ai Enkoji et ses collègues de l’Université de Californie à Irvine ont travaillé avec Yoshimichi Nakatsuka de l’École polytechnique fédérale de Zurich et Andrew Paverd de Microsoft pour comparer les capacités des humains et celles des bots dans la résolution de CAPTCHA.

Ils ont donc analysé les 200 sites les plus importants du web pour savoir combien d’entre eux utilisaient des CAPTCHA et quels types ils utilisaient, puis ont payé à la tâche (quelques dizaines de cents à quelques dollars) 1 400 personnes sur Amazon Mechanical Turk pour résoudre 10 types de CAPTCHA différents.

Travail du clic et régulation de l’IA agitent la conférence FAccT

Comparant dans le tableau ci-dessous les performances des participants à celles obtenues par des bots développés par d’autres chercheurs et spécifiques à chaque CAPTCHA, ils expliquent que « ces résultats suggèrent que les robots peuvent surpasser les humains, à la fois en termes de temps de résolution et de précision, pour tous ces types de CAPTCHA ».

An Empirical Study & Evaluation of Modern CAPTCHAs
Crédits : Ai Enkoji et al.

On peut même voir que la version reCAPTCHA de Google qui demande de cliquer sur une case à côté de la phrase « Je ne suis pas un robot  » est réussie à 100 % par le bot avec une vitesse beaucoup plus rapide que les humains qui, eux, ne la réussissent pas tout le temps. Cette nouvelle version qui promettait de remplacer efficacement les classiques tâches de catégorisation d’image en analysant le comportement de l’utilisateur sur la page ne remplit pas le contrat.

Internet Archive est maintenant une source des IA

Les GAFAM ont massivement utilisé ces petits outils pour protéger les données des utilisateurs et récupérer des données d’entrainement. Depuis quelque temps, ils voient bien leur fragilité. L’année dernière, Apple mettait en place un système pour les utilisateurs de ses appareils permettant d’être authentifié automatiquement, sans passer par l’épreuve du CAPTCHA. Mais ce genre de systèmes suppose de se reposer sur du matériel identifié et peut poser des questions sur la protection des données privées.

Les CAPTCHA ont par contre réussi à merveille ce qui n’était pas leur tâche originelle : l’entrainement des IA. Elles sont maintenant capables de les résoudre mais aussi, avec l’ajout d’entrainements par des « data workers » et sur les millions de livres d’Internet Archive qu’ils ont aidé à numériser, les IA génératives peuvent créer de nouveaux textes.

Source : nextinpact.com

C’est effectivement un problème majeur, espérons que ChatGPT aura une solution! :hehe:

Le monde des gadgets hi-tech est en pleine ébullition, particulièrement avec l’annonce de Qi2, la prochaine génération de la norme de charge sans fil bien établie.

2cc3c8d0-711d-45f0-a261-6c8f8ac5bcb8-image.png

Les grandes marques comme Anker et Mophie sont déjà sur le point de lancer des produits intégrant cette nouvelle technologie. Mais pourquoi tout ce tapage autour de Qi2, et est-ce une simple évolution ou une véritable révolution ?
Qi: d’une adoption modeste à une norme industrielle

Qi, la première génération de cette norme ne date pas d’hier. Sa présence dans le monde technologique s’étend depuis de nombreuses années, gagnant la confiance de Nokia pour le Lumia 920, puis de Samsung avec le Galaxy S3. Par conséquent, lorsque Apple a intégré la charge Qi dans l’iPhone 8, la technologie était déjà solidement implantée dans l’écosystème Android. Selon le Wireless Power Consortium, il existe actuellement plus de 9 000 produits certifiés Qi sur le marché — une indication irréfutable de son adoption massive.

Qui plus est, le standard Qi est devenu si omniprésent qu’il s’intègre désormais dans les meubles d’espaces publics, éliminant le besoin de chercher désespérément une prise électrique. C’est dans ce contexte que Qi2 se présente comme un candidat sérieux pour révolutionner la charge sans fil, apportant des améliorations significatives en matière d’efficacité énergétique et de facilité d’utilisation.
Qi2 : plus qu’une simple mise à jour

À première vue, Qi2 pourrait sembler être une mise à jour mineure de la norme existante, mais il est nettement plus que cela. L’une des nouveautés les plus marquantes est le profil de puissance magnétique. En d’autres termes, pour obtenir la certification, les fabricants doivent intégrer un système de verrouillage magnétique. Cette fonctionnalité permettra un meilleur alignement de l’appareil et du chargeur, résolvant ainsi l’un des défauts majeurs de la première génération de la technologie Qi. « Qi2 permettra le développement d’une charge sans fil plus rapide tout en garantissant que le processus reste sûr, ne raccourcira pas la durée de vie de la batterie et n’endommagera pas le récepteur », écrit le consortium.

Il faut également noter que cette fonctionnalité ne sera pas limitée à une seule marque ou un seul type d’appareil. Selon le groupement, « Qi2 permettra aussi l’innovation de nouveaux produits par d’autres moyens. La fonction de verrouillage magnétique prendra en charge de nouveaux facteurs de forme de produits, comme un casque AR/VR. Il prendra également en charge de nouveaux types d’accessoires qui se fixent magnétiquement à l’arrière du téléphone, comme une batterie supplémentaire. »

Les grands acteurs du secteur s’alignent derrière Qi2

Les implications de Qi2 dépassent le simple cadre de la charge sans fil pour smartphones. Apple, Samsung, Lenovo, Qualcomm, Google et Microsoft font partie des 344 entreprises actuellement impliquées dans le consortium, prévoyant un déploiement rapide de cette nouvelle norme.

Toutefois, Qi2 sera rétro compatible avec son prédécesseur, bien que la combinaison d’un appareil Qi2 avec un chargeur Qi2 soit la plus efficace.

En somme, avec Qi2, le monde de la charge sans fil est sur le point de vivre une transformation radicale qui affectera non seulement la manière dont nos appareils sont alimentés, mais aussi la manière dont ils sont conçus et utilisés. C’est une aventure technologique qui ne fait que commencer, et il est clair que Qi2 est prêt à en être le protagoniste.

Source: https://www.fredzone.org/qi2-une-revolution-dans-le-monde-de-la-charge-sans-fil-sannonce-rtm347
Et: https://techcrunch.com/2023/09/03/whats-up-with-qi2-and-why-should-you-care/

Pour 20 $ par mois, les fans de Claude peuvent bénéficier de limites d’utilisation 5 fois plus élevées et d’un accès anticipé aux nouvelles fonctionnalités.

d0c4c79e-cc69-4e7e-97a6-0baaf4b9403a-image.png

Jeudi, Anthropic, fabricant d’IA et concurrent d’OpenAI, a lancé Claude Pro , une version par abonnement de son Claude.ai assistant d’IA Web , qui fonctionne de manière similaire à ChatGPT. Il est disponible pour 20 $/mois aux États-Unis ou 18 livres/mois au Royaume-Uni, et promet des limites d’utilisation cinq fois plus élevées, un accès prioritaire à Claude pendant les périodes de fort trafic et un accès anticipé aux nouvelles fonctionnalités dès leur apparition.

Comme ChatGPT, Claude Pro peut composer du texte, résumer, effectuer des analyses, résoudre des énigmes logiques, et bien plus encore.

Claude.ai est ce qu’Anthropic propose comme interface conversationnelle pour son modèle de langage Claude 2 AI, de la même manière que ChatGPT fournit un wrapper d’application pour les modèles sous-jacents GPT-3.5 et GPT-4. En février, OpenAI a choisi une voie d’abonnement pour ChatGPT Plus , qui, pour 20 $ par mois, donne également un accès anticipé aux nouvelles fonctionnalités, mais débloque également l’accès à GPT-4, qui est le modèle de langage le plus puissant d’OpenAI.

Qu’est-ce que Claude a que ChatGPT n’a pas ? Une grande différence est une fenêtre contextuelle de 100 000 jetons , ce qui signifie qu’elle peut traiter environ 75 000 mots à la fois. Les jetons sont des fragments de mots utilisés lors du traitement du texte. Cela signifie que Claude peut analyser des documents plus longs ou tenir des conversations plus longues sans perdre la mémoire du sujet traité. ChatGPT ne peut traiter qu’environ 8 000 jetons en mode GPT-4.

“Le plus important pour moi, c’est la limite de 100 000 jetons”, a déclaré à Ars Technica le chercheur en IA Simon Willison. “C’est énorme ! Cela ouvre des possibilités entièrement nouvelles, et je l’utilise plusieurs fois par semaine juste pour cette fonctionnalité.” Willison écrit régulièrement sur l’utilisation de Claude sur son blog, et il l’utilise souvent pour nettoyer les transcriptions de ses discussions en personne. Mais il met également en garde contre les « hallucinations », où Claude invente parfois des choses.

“J’ai certainement vu plus d’hallucinations de Claude aussi” par rapport à GPT-4, dit Willison, "ce qui me rend nerveux de l’utiliser pour des tâches plus longues car il y a tellement plus d’opportunités pour qu’il glisse quelque chose d’halluciné sans que je m’en aperçoive. "

bb1d4ded-e568-4a27-a853-d7ec4c12a4a9-claude2_screenshot-640x523.jpg
Une capture d’écran de l’interface Web publique de Claude 2, un grand modèle de langage d’Anthropic.

Willison a également rencontré des problèmes avec le filtre moral de Claude, ce qui lui a causé des ennuis par accident : « J’ai essayé de l’utiliser contre une transcription d’un épisode de podcast, et il a traité la majeure partie du texte avant, juste sous mes yeux, de le faire. " J’ai supprimé tout ce qu’il avait fait ! J’ai finalement compris que nous avions commencé à parler d’ alertes à la bombe contre les centres de données vers la fin de l’épisode, et Claude a effectivement été déclenché par cela et a supprimé toute la transcription. "
Que signifie « 5 fois plus d’utilisation » ?

Le principal argument de vente d’Anthropic pour l’abonnement Claude Pro est « 5 fois plus d’utilisation », mais la société ne communique pas clairement quelles sont réellement les limites d’utilisation de l’offre gratuite de Claude. En laissant tomber des indices comme des fils d’Ariane énigmatiques, la société a rédigé un document d’assistance sur le sujet qui dit : « Si vos conversations sont relativement courtes (environ 200 phrases en anglais, en supposant que vos phrases comptent entre 15 et 20 mots), vous pouvez vous attendre à envoyer au moins 100 messages toutes les 8 heures, souvent plus selon la capacité actuelle de Claude. Plus des deux tiers de toutes les conversations sur claude.ai (en septembre 2023) ont duré cette durée.

Dans une autre déclaration quelque peu énigmatique, Anthropic écrit : “Si vous téléchargez une copie de The Great Gatsby , vous ne pourrez peut-être envoyer que 20 messages dans cette conversation en 8 heures.” Nous ne tentons pas de faire le calcul, mais si vous connaissez le nombre précis de mots du classique de F. Scott Fitzgerald, il sera peut-être possible de glaner les limites réelles de Claude. Nous avons contacté Anthropic pour obtenir des éclaircissements hier et n’avons pas reçu de réponse avant la publication.

Quoi qu’il en soit, Anthropic indique clairement que pour un modèle d’IA avec une limite de contexte de 100 000 jetons, des limites d’utilisation sont nécessaires car le calcul impliqué est coûteux. “Un modèle aussi performant que Claude 2 nécessite beaucoup d’ordinateurs puissants pour fonctionner, en particulier pour répondre à des pièces jointes volumineuses et à de longues conversations”, écrit Anthropic dans le document de support. “Nous avons fixé ces limites pour garantir que Claude puisse être mis à la disposition de nombreuses personnes pour qu’elles puissent l’essayer gratuitement, tout en permettant aux utilisateurs expérimentés d’intégrer Claude dans leurs flux de travail quotidiens.”

De plus, Anthropic a lancé vendredi Claude Instant 1.2 , une version moins coûteuse et plus rapide de Claude, disponible via une API. Cependant, il est moins performant que Claude 2 dans les tâches logiques.

S’il est clair que les grands modèles de langage comme Claude peuvent faire des choses intéressantes, il semble que leurs inconvénients et leur tendance à la confabulation pourraient les empêcher d’être utilisés à plus grande échelle en raison de problèmes de fiabilité. Pourtant, Willison est un fan de Claude 2 dans sa forme en ligne : “Je suis ravi de le voir continuer à s’améliorer. Les 100 000 jetons sont une énorme victoire, et le fait que vous puissiez y télécharger des PDF est vraiment pratique.”

Source: https://arstechnica.com/information-technology/2023/09/the-ai-assistant-wars-heat-up-with-claude-pro-a-new-chatgpt-plus-rival/

Utilisez duBoudin ! Roi des I.A. !!!

Les premières dérives… avant les méfaits.

@Raccoon gratuit mais avec la contrepartie de pas avoir de vie privée

La Cnil juge les outils de télésurveillance des examens « particulièrement intrusifs », et recommande un déploiement proportionné et sécurisé.

Après plusieurs plaintes liées aux déploiements d’outils numériques de surveillance des examens en ligne, démocratisés suite à crise sanitaire, la Cnil frappe du poing sur la table.

Des dispositifs intrusifs

Car le gendarme des données personnelles considère ces outils, pouvant exiger la surveillance de l’appareil personnel (ordinateur ou tablette) de l’étudiant, comme « particulièrement intrusifs ». L’instance s’inquiète également que des établissements puissent mettre en place des systèmes de télésurveillance musclés à l’intelligence artificielle regroupant par exemple plusieurs dispositifs à la fois. Au regard de ces dérives potentielles_, « Il apparaît donc nécessaire de rechercher un juste équilibre entre la lutte contre la fraude et la protection des droits et libertés des personnes. »,_ écrit la Cnil.

Les recommandations de la Cnil

Suite à une consultation publique, la Cnil a publié une série de recommandations sur la mise en œuvre de ces dispositifs de télésurveillance. Les établissements scolaires ou toutes autres structures recourant à ce type de technologies devront garantir aux candidats que leurs données ne seront pas utilisées à d’autres fins que la surveillance d’un examen à distance. De plus, la Cnil estime que les examens à distance doivent être évités lorsque cela est possible et doivent être une possibilité offerte aux étudiants et non une obligation. Or, on en est loin. Car la consultation publique de la Cnil a révélé que 76 % des participants impliqués dans un examen à distance n’ont pas eu d’autre alternative.

La Cnil estime également que les établissements doivent informer les étudiants sur les conditions de mise en œuvre de la télésurveillance, s’assurer de la compatibilité des équipements des étudiants et que les dispositifs n’entraînent pas de risque de sécurité pour les utilisateurs.

Tout est aussi question de proportionnalité. La Cnil estime qu’il n’est pas nécessaire de mettre en place un dispositif pour des examens blanc par exemple. Concernant l’analyse automatique du comportement des candidats en revanche, la commission dit non.

Source : linformaticien.com

L’application sera supprimée de Windows dans les prochaines mises à jour

Microsoft a mis à jour la documentation officielle de Windows en y ajoutant une notification concernant la dépréciation de WordPad. La société indique que WordPad n’est plus en cours de développement, qu’il ne recevra plus de nouvelles fonctionnalités ni de mises à jour et qu’une future mise à jour de Windows supprimera le programme du système d’exploitation.

Il y a 28 ans, Microsoft annonçait WordPad, successeur d’un autre éditeur de texte appelé Microsoft Write. WordPad a été intégré à Windows 95, le système d’exploitation le plus récent et le plus performant de Microsoft à l’époque. Depuis lors, WordPad a été intégré à chaque version de Windows, offrant aux utilisateurs des fonctionnalités d’édition de texte de base avec prise en charge des formats RTF, DOC, ODT et d’autres formats populaires. Près de trente ans plus tard, Microsoft est prêt à mettre fin à WordPad.

WordPad n’est plus mis à jour et sera supprimé dans une prochaine version de Windows. Nous recommandons Microsoft Word pour les documents en texte enrichi tels que .doc et .rtf et Windows Notepad pour les documents en texte brut tels que .txt.

Heureusement, les alternatives à WordPad, qu’elles soient de première ou de tierce partie, ne manquent pas. Vous pouvez utiliser le Bloc-notes pour l’édition de texte de base (l’application a récemment été dotée d’une interface à onglets et d’une fonction d’enregistrement automatique des sessions) ou passer à des éditeurs plus avancés, tels que Microsoft Word. Ce dernier est disponible gratuitement sur le web ou en tant qu’application autonome dans l’abonnement Microsoft 365.

<iframe class=“restrain” title=“YouTube video player” width=“560” height=“315” allowfullscreen=“” src=“

” frameborder=“0”></iframe>

WordPad n’est pas le seul composant que Microsoft retire de Windows. L’entreprise a récemment désactivé Cortana, son assistant vocal négligé, et annoncé la fin de Microsoft Support Diagnostic Tool (MSDT). En outre, Microsoft désactivera bientôt les anciens protocoles de sécurité de la couche de transport afin de rendre Windows 11 plus sûr.

Il convient de noter que la dépréciation et la suppression d’une fonctionnalité sont deux choses différentes, ce qui signifie que WordPad restera accessible pendant un certain temps avant que Microsoft ne le supprime de Windows. Par ailleurs, les passionnés de Windows trouveront très probablement un moyen de restaurer WordPad pour ceux qui ne sont pas prêts à abandonner cette application vieille de trente ans pour quelque chose de plus moderne.

Source : Microsoft

Et vous ?

Quel est votre avis sur ce choix de Microsoft ?

Microsoft explique enfin la cause de la faille Azure : le compte d’un ingénieur a été piraté

D’autres échecs en cours de route comprenaient une clé de signature apparaissant incorrectement dans un vidage sur incident.

Microsoft a déclaré que le compte professionnel de l’un de ses ingénieurs avait été piraté par un acteur malveillant hautement qualifié qui avait acquis une clé de signature utilisée pour pirater des dizaines de comptes Azure et Exchange appartenant à des utilisateurs de haut niveau.

Cette divulgation résout deux mystères au centre d’une divulgation faite par Microsoft en juillet . La société a déclaré que les pirates identifiés sous le nom de Storm-0558 étaient présents dans son réseau d’entreprise depuis plus d’un mois et avaient accédé aux comptes Azure et Exchange, dont plusieurs ont ensuite été identifiés comme appartenant aux départements d’État et du commerce des États-Unis. Storm-0558 a réussi l’exploit en obtenant une clé de signature de compte Microsoft expirée et en l’utilisant pour forger des jetons pour le service cloud Azure AD soi-disant fortifié de Microsoft.

Cette révélation a laissé sans réponse deux des questions les plus importantes. Plus précisément, comment un identifiant aussi sensible que la clé de signature du consommateur a-t-il été volé sur le réseau de Microsoft, et comment a-t-il pu signer des jetons pour Azure, qui repose sur une infrastructure totalement différente ?

Mercredi, Microsoft a finalement résolu les énigmes. Le compte professionnel d’un de ses ingénieurs avait été piraté. Storm-0558 a ensuite utilisé l’accès pour voler la clé. De telles clés, a déclaré Microsoft, sont confiées uniquement aux employés ayant subi une vérification des antécédents et uniquement lorsqu’ils utilisent des postes de travail dédiés protégés par une authentification multifacteur à l’aide de dispositifs à jetons matériels. Pour protéger cet environnement dédié, les outils de messagerie électronique, de conférence, de recherche sur le Web et autres outils de collaboration ne sont pas autorisés, car ils constituent les vecteurs les plus courants pour les attaques de logiciels malveillants et de phishing réussies. De plus, cet environnement est séparé du reste du réseau Microsoft, où les travailleurs ont accès au courrier électronique et à d’autres types d’outils.

Ces protections ont été rompues en avril 2021, plus de deux ans avant que Storm-0558 n’accède au réseau de Microsoft. Lorsqu’un poste de travail dans l’environnement de production dédié tombait en panne, Windows effectuait un « vidage sur incident » standard dans lequel toutes les données stockées en mémoire étaient écrites sur le disque afin que les ingénieurs puissent ultérieurement en diagnostiquer la cause. Le vidage sur incident a ensuite été déplacé vers l’environnement de débogage de Microsoft. Le piratage du compte d’entreprise d’un ingénieur Microsoft a permis à Storm-0558 d’accéder au vidage sur incident et, avec lui, à la clé de signature Exchange expirée.

Normalement, les vidages sur incident suppriment les clés de signature et les données tout aussi sensibles. Dans ce cas, cependant, une vulnérabilité jusqu’alors inconnue, connue sous le nom de « condition de concurrence critique », a empêché ce mécanisme de fonctionner correctement.

Les membres du Microsoft Security Response Center ont écrit :

Notre enquête a révélé qu’un crash du système de signature des consommateurs en avril 2021 a donné lieu à un instantané du processus bloqué (« crash dump »). Les vidages sur incident, qui suppriment les informations sensibles, ne doivent pas inclure la clé de signature. Dans ce cas, une condition de concurrence critique permettait à la clé d’être présente dans le vidage sur incident (ce problème a été corrigé). La présence du matériel clé dans le vidage sur incident n’a pas été détectée par nos systèmes (ce problème a été corrigé).

Nous avons constaté que ce vidage sur incident, censé à l’époque ne contenir aucun élément clé, avait ensuite été déplacé du réseau de production isolé vers notre environnement de débogage sur le réseau d’entreprise connecté à Internet. Ceci est cohérent avec nos processus de débogage standard. Nos méthodes d’analyse des informations d’identification n’ont pas détecté sa présence (ce problème a été corrigé).

Après avril 2021, lorsque la clé a été divulguée dans l’environnement de l’entreprise lors du crash dump, l’acteur de Storm-0558 a réussi à compromettre le compte d’entreprise d’un ingénieur Microsoft. Ce compte avait accès à l’environnement de débogage contenant le vidage sur incident qui contenait de manière incorrecte la clé. En raison des politiques de conservation des journaux, nous ne disposons pas de journaux contenant des preuves spécifiques de cette exfiltration par cet acteur, mais il s’agit du mécanisme le plus probable par lequel l’acteur a acquis la clé.

Répondant au deuxième mystère, l’article explique comment une clé de signature expirée pour un compte consommateur a été utilisée pour forger des jetons pour des offres d’entreprise sensibles. En 2018, Microsoft a introduit un nouveau framework fonctionnant avec les applications cloud grand public et d’entreprise. Des erreurs humaines ont empêché une interface de programmation conçue pour valider cryptographiquement l’environnement pour lequel une clé devait être utilisée, de fonctionner correctement.

Le message continuait :

Pour répondre à la demande croissante des clients en matière de prise en charge d’applications fonctionnant à la fois avec des applications grand public et d’entreprise, Microsoft a introduit un point de terminaison de publication de métadonnées clés communes en septembre 2018. Dans le cadre de cette offre convergente, Microsoft a mis à jour la documentation pour clarifier les exigences de validation de la portée clé (quelle clé est la clé). à utiliser pour les comptes d’entreprise et lesquels à utiliser pour les comptes de particuliers.

Dans le cadre d’une bibliothèque préexistante de documentation et d’API d’assistance, Microsoft a fourni une API pour aider à valider les signatures de manière cryptographique, mais n’a pas mis à jour ces bibliothèques pour effectuer automatiquement cette validation de portée (ce problème a été corrigé). Les systèmes de messagerie ont été mis à jour pour utiliser le point de terminaison de métadonnées commun en 2022. Les développeurs du système de messagerie ont supposé à tort que les bibliothèques effectuaient une validation complète et n’ont pas ajouté la validation d’émetteur/portée requise. Ainsi, le système de messagerie accepterait une demande de courrier électronique d’entreprise utilisant un jeton de sécurité signé avec la clé du consommateur (ce problème a été corrigé à l’aide des bibliothèques mises à jour).

Dans un e-mail, un représentant de Microsoft a déclaré que le compte de l’ingénieur avait été compromis à l’aide d’un « malware voleur de jetons », mais n’a pas précisé comment il avait été installé, si d’autres comptes d’entreprise étaient piratés par le même acteur malveillant, lorsque Microsoft a eu connaissance de la compromission. et quand l’entreprise a chassé les intrus.

À ces questions s’ajoutent les suivantes : une clé aussi sensible que celle acquise par Storm-0558 n’était-elle pas stockée dans un HSM (module matériel de sécurité) ? Il s’agit d’appareils dédiés qui stockent des informations importantes et sont conçus pour empêcher l’acquisition de clé de formulaire divulguée par Microsoft.

Dans l’e-mail, le représentant a déclaré que « les systèmes d’identité de l’entreprise gèrent les clés en utilisant une combinaison de protections HSM et logicielles en raison des exigences uniques d’échelle et de résilience de l’environnement cloud ». Cela n’explique toujours pas comment les attaquants ont réussi à extraire la clé d’un appareil spécialement conçu pour empêcher le vol.

Comme indiqué précédemment, Microsoft a fermement résisté à l’utilisation du mot vulnérabilité pour décrire les failles exploitées par Storm-0558 pour réaliser la brèche. Au lieu de cela, l’entreprise a utilisé le mot « problème ». Lorsqu’on lui a demandé d’expliquer quelle est la définition du « problème » donnée par Microsoft et en quoi elle diffère de la définition de la « vulnérabilité » donnée par l’entreprise, le représentant a répondu : « La vulnérabilité est un terme spécifique, et nous utiliserions le terme vulnérabilité s’il était approprié. Le « problème » dans le blog fait référence à des éléments tels qu’une mauvaise configuration, des erreurs de l’opérateur ou des sous-produits involontaires d’autres actions.

Will Dorman, analyste principal principal de la société de renseignement de sécurité Analysgence, a déclaré dans une interview en ligne :

Certains aspects pourraient être considérés comme des vulnérabilités :

—Une condition de concurrence critique a conduit à des éléments clés dans un vidage sur incident—Cela ressemble à une vulnérabilité

— “le système de messagerie accepterait une demande de courrier électronique d’entreprise à l’aide d’un jeton de sécurité signé avec la clé du consommateur” : il s’agit certainement d’une vulnérabilité

— « capable de compromettre avec succès le compte d’entreprise d’un ingénieur Microsoft » — Cela fait simplement partie de la vie dans ce monde, je suppose.

Microsoft a déclaré qu’environ 25 organisations ont vu un ou plusieurs de leurs comptes piratés au cours de la campagne, qui a débuté le 15 mai et a duré jusqu’au 16 juin. Microsoft n’était pas au courant du piratage massif jusqu’à ce qu’un client l’en informe.

Microsoft a décrit Storm-0558 comme un acteur menaçant basé en Chine dont les activités et les méthodes sont conformes aux objectifs d’espionnage. Le groupe cible un large éventail d’entités. Il s’agit notamment des organes directeurs diplomatiques, économiques et législatifs américains et européens, des individus liés aux intérêts géopolitiques de Taiwan et des Ouïghours, des sociétés de médias, des groupes de réflexion et des fournisseurs d’équipements et de services de télécommunications.

“Storm-0558 fonctionne avec un haut degré de savoir-faire technique et de sécurité opérationnelle”, a écrit Microsoft en juillet . « Les acteurs sont parfaitement conscients de l’environnement de la cible, des politiques de journalisation, des exigences d’authentification, des politiques et des procédures. L’activité d’outillage et de reconnaissance de Storm-0558 suggère que l’acteur est techniquement compétent, dispose de bonnes ressources et possède une compréhension approfondie de nombreuses techniques et applications d’authentification.

Parmi les critiques accusant Microsoft de ce qu’ils considèrent comme une négligence liée à la violation, citons un sénateur américain et un PDG de l’industrie. Ils ont critiqué à la fois les pratiques qui ont conduit au piratage et ce qu’ils ont qualifié de manque de transparence à la suite de celui-ci. La mise à jour de mercredi va un pas dans la bonne direction, mais l’entreprise a encore du travail à faire.

Source: https://arstechnica.com/security/2023/09/hack-of-a-microsoft-corporate-account-led-to-azure-breach-by-chinese-hackers/

Mais… je ne vous comprends pas !

Nous sommes sur un forum ou l’on promeut le partage… Vous ne voulez pas partager vos infos de compte ?

Allons quoi !!! faites un effort !!!

@Ashura on l’em… la CIA, faut que je te laisse on frappe à ma porte! :ahah:

@kilotator a dit dans Teams : la Commission européenne ouvre une enquête pour abus de position dominante contre Microsoft :

et si Apple a pu se refinancer pour se relancer au début des années 2000 c’est bien en abandonnant sa suite bureautique Appleworks contre un chèque de Billou…

Mouai, je ne suis pas sur qu’Apple avait besoin de ça. J’ai d’ailleurs pas trouvé de sources à ce sujet.

C’est surtout qu’AppleWorks n’avait plus beaucoup évolué depuis la fin des années 90 et Steve avait bien d’autre chose en tête comme l’Ipod, l’iphone qui rapporterait bien plus qu’une simple suite bureautique. Comme on dit : rien ne sert de réinventer la roue

Merci pour cette news j’l’avais pas lu ailleurs ^^