Plusieurs groupes de cybercriminels ont enregistré des noms de domaine avec l’extension AI de plusieurs grandes sociétés. L’objectif est de lancer des attaques de phishing ou le téléchargement de malwares.
D’après le rapport Domain Security 2023 de CSC, près de la moitié des entreprises du classement Forbes Global 2000 n’ont pas le contrôle sur leurs noms de domaine en .AI qui sont enregistrés par des tiers. Il révèle ainsi que les cybercriminels exploitent la popularité de l’IA en tentant d’enregistrer ces domaines à des fins malveillantes.
Le phénomène se traduit par une augmentation de 350 % d’une année sur l’autre des cas de litiges de domaine impliquant les extensions .AI en 2023. Selon l’étude, les pirates continuent également à exploiter les domaines « sosie » ou homoglyphes, en choisissant un nom très proche des marques du Global 2000, pour lancer des attaques de phishing, abuser de la marque numérique ou violer la propriété intellectuelle.
Des risques importants pour la sécurité
Le taux global d’enregistrement ou de violation de domaines .AI par des tiers est de 43 % pour les entreprises du Global 2000, ajoute CSC. Parmi les entreprises ayant des domaines de marque enregistrés en .AI, 84 % appartiennent à des tiers, tandis que 49 % sont disponibles. Certains secteurs, tels que la banque, les sociétés de financement diversifiées et les logiciels et services IT, affichent le pourcentage le plus élevé de domaines .AI pris. « L’extension de domaine .AI est sans restriction d’enregistrement, ce qui la rend attractive et accessible pour les cybercriminels », a expliqué Mark Calandra, président de la division Digital Brand Services de CSC. « Dans le cas d’entreprises exploitant plusieurs marques, les fraudeurs sont prêts à tirer parti de leurs noms de confiance, en s’emparant des domaines .AI « de marque » encore disponibles.
Il est donc essentiel de détecter et de désactiver rapidement les domaines similaires qui prêtent à confusion et imitent des marques, car s’il tombe entre de mauvaises mains, le domaine .AI pourrait exposer l’entreprise victime à des risques de redirection de site web, de fraude en ligne, d’attaques par hameçonnage et de logiciels malveillants », a-t-il ajouté. L’association d’un nom de marque familier avec l’extension .AI peut donner aux victimes cibles un faux sentiment de confiance et les rendre plus vulnérables à une attaque. « En raison de l’importante couverture médiatique sur la potentielle utilisation malveillante de l’IA, l’enregistrement d’une société dans l’extension de domaine .AI est important pour protéger ses marques », a encore expliqué M. Calandra.
Courriels de phishing et contenus malveillants
Le rapport a également détecté une légère augmentation de la quantité de domaines similaires détenus par des tiers, en hausse de 4 % par rapport à 2022 pour atteindre 79 % en 2023. Parmi les domaines similaires évalués par CSC, 40 % ont des enregistrements d’échange de courrier (MX), utilisables pour envoyer des courriels d’hameçonnage ou pour intercepter des courriels. Parmi les autres usages citées dans le document, il faut ajouter le pointage vers des publicités, des annonces rémunérées au clic ou le parking de domaines (36 %), la résolution vers un site web en direct non associé au détenteur de la marque (14 %) et le pointage vers un contenu malveillant susceptible de nuire à la réputation d’une marque et à la confiance de ses clients (1 %).
Les menaces que représentent les domaines « sosie » pour les marques officielles sont apparues au grand jour après le lancement de Threads par Instagram en juillet 2023. L’entreprise de sécurité Veriti a observé une forte augmentation de la création de domaines suspects, avec plus de 700 domaines liés à Threads enregistrés chaque jour. Ceux-ci présentent un risque important, car ils peuvent être utilisés pour tromper les utilisateurs, distribuer des malwares et inciter des personnes peu méfiantes à télécharger des versions non fiables de l’application.
Après un premier essai dans l’IA générative dans Visual Worksuite, Canva lance une suite baptisée Magic Studio. Elle comprend plusieurs outils de design, mais aussi des éléments de sécurité et une garantie sur les droits d’auteur.
Canva monte en gamme dans l’offre de services de design basés sur l’IA générative. L’éditeur vient en effet de lancer Magic Studio, une suite d’outils alimentés par cette technologie. Il y a 6 mois, la société avait mené une première incursion dans ce domaine en ajoutant des fonctions dans Visual Worksuite. Un succès, car elles ont été utilisées plus de 3 milliards de fois.
Magic Studio comporte plus de dix outils. C’est le cas de Magic Design, qui propose aux utilisateurs de générer des vidéos, des présentations et des designs complets à partir d’un simple texte, ou encore de Magic Switch, qui convertit les designs dans des formats différents. Il peut par exemple changer les présentations en résumé ou en article de blog. Ce contenu peut également être traduit dans plus de 100 langues. La fonction Media transforme le texte en photos attrayantes, et crée des vidéos à partir d’une image ou d’un texte à l’aide de Gen-2, un modèle d’IA de génération de vidéos conçu par Runway.
Un exemple d’outil proposé par Magic Studio. (Crédit Photo : Canva)
Une pléthore d’outils
Parmi les autres fonctionnalités, on peut encore citer Morph, qui change instantanément des mots et des formes en couleurs, textures, motifs et styles à l’aide d’une simple invite, et Expand, avec lequel on peut enregistrer des images zoomées ou pivoter une photo verticale à l’horizontale en récupérant tout ce qui se trouve en dehors du cadre. Il y a aussi Grab, avec lequel les utilisateurs peuvent sélectionner et séparer n’importe quel sujet d’une photo afin de le modifier, de le repositionner ou de le redimensionner. Canva a également lancé un assistant de rédaction appelé Write, qui propose d’écrire du contenu en respectant le ton de leur marque, dans n’importe quel design ou document, en ajoutant des directives à leur kit de marque pour s’assurer que l’outil génère du contenu conforme à la marque.
Canva a aussi élargi sa place de marché d’applications, en ouvrant l’accès à des outils d’IA de premier plan comme Dall-E, Imagen (Google Cloud), MurfAI, Soundraw et bien d’autres encore. En plus de ces ajouts, Canva lance un produit de sécurité appelé Shield. Cet ensemble de contrôles de confiance, de sécurité et de confidentialité de niveau entreprise est destiné à rassurer les équipes et les entreprises sur la création de contenu en accordant aux administrateurs d’équipe un contrôle total sur la façon dont les produits Magic Studio sont activés et utilisés. Les administrateurs peuvent basculer ces fonctionnalités à tout moment, en fonction des rôles des employés.
Doc dans Magic Studio propose de rédiger du texte. (Crédit Photo: Canva)
Une indemnisation pour les images générées par l’IA
Canva a repris l’approche adoptée par Adobe et Shutterstock pour leurs générateurs d’images alimentés par l’IA, en incluant dans Shield une indemnisation des droits d’auteur pour les entreprises clientes. Selon l’éditeur, cette fonction apportera une tranquillité d’esprit supplémentaire aux entreprises qui créent du contenu à l’aide de l’IA. Canva s’engage également à verser 200 millions de dollars au cours des trois prochaines années en droits d’auteur aux créateurs et en redevances d’IA afin d’indemniser les créateurs pour l’utilisation de leurs données dans le cadre de la formation de l’IA et réaffirmer l’engagement de transparence de l’entreprise. Canva proposera aux créateurs s’ils acceptent ou pas que leurs données soient utilisées pour entraîner des modèles d’IA sur leur contenu existant. Ceux qui acceptent recevront un paiement, sous deux formes : une prime initiale, puis des rétributions mensuelles continus. Ces paiements seront déterminés par une série de facteurs comme le niveau de contribution à la bibliothèque de contenu et le nombre de fois où ce contenu a été utilisé.
Lors de l’ouverture du bureau londonien de la firme en mai, Cameron Adams, cofondateur et directeur des produits de Canva, avait déclaré en réponse à une question sur les conflits d’intérêts potentiels entre les images générées par l’IA et les industries créatives, que dans ce domaine, il fallait considérer l’innovation comme une bonne chose, car elle contribuait à accroître la créativité. « Au moment du lancement de Canva, les graphistes étaient très préoccupés de ce que Canva allait faire, mais la dernière décennie a montré que la démocratisation du design permet à des non-designers de mieux dialoguer avec les graphistes et qu’il aide les gens à réaliser leurs idées beaucoup plus rapidement et avec une bien meilleure qualité », avait déclaré le dirigeant, ajoutant que « selon nous, il va se passer la même chose avec l’IA ».
S’il est reconnu coupable d’infraction aux règles antitrust de l’UE, Microsoft risque de se voir infliger une amende pouvant aller jusqu’à 10 % de son chiffre d’affaires mondial.
Selon Reuters, à la suite d’une plainte déposée par Slack en juillet 2020, l’UE pourrait ouvrir une enquête antitrust sur Teams, la plateforme de vidéo et de messagerie de Microsoft. Rachetée entre-temps par Salesforce, Slack accuse Microsoft de « pratique illégale et anticoncurrentielle consistant à abuser de sa position dominante sur le marché pour étouffer la concurrence, en violation du droit de la concurrence de l’Union européenne ». Slack avance aussi que Microsoft a « illégalement lié son produit Teams à sa suite de productivité Office, qui domine le marché, en l’installant de force pour des millions de personnes, en bloquant son retrait et en dissimulant son coût réel pour les entreprises clientes ».
Microsoft a tenté sans succès d’éviter la procédure
Pour tenter de répondre aux préoccupations de la Commission européenne avant l’ouverture d’une enquête formelle, la firme de Redmond aurait fait une « offre préliminaire de concessions », dont Reuters s’était fait l’écho en décembre 2022. Cependant, l’agence de presse rapporte aujourd’hui que les tentatives de Microsoft pour remédier à la situation n’ont pas répondu aux attentes de l’Union européenne. Plus exactement, la réduction de prix proposée par Microsoft pour Office sans l’application Teams n’était pas aussi basse que l’espérait l’UE. En conséquence, l’enquête pourrait bien avoir lieu. Et, si elle conclut que Microsoft enfreint les règles antitrust de l’UE, l’éditeur risque de se voir infliger une amende pouvant aller jusqu’à 10 % de son chiffre d’affaires mondial.
Un habitué des sanctions de la Commission européenne
Au cours de la dernière décennie, Microsoft a déjà écopé de plusieurs sanctions de la part de la Commission européenne. En 2004, 2008, et 2015, elle a condamné l’entreprise à payer des amendes de plusieurs centaines de millions de dollars. Au début de l’année, pour éviter une nouvelle enquête antitrust de la part de l’UE, Microsoft a accepté de modifier ses pratiques en matière de cloud. La procédure stoppée faisait suite à des plaintes déposées par des fournisseurs de cloud européens. Ces derniers s’inquiétaient du fait que Microsoft demandait à leurs clients de payer plus pour exécuter des logiciels Microsoft dans des environnements cloud non Microsoft, ce qu’ils considéraient comme des politiques restrictives en matière de licences cloud. Microsoft et la Commission européenne n’ont pas immédiatement répondu aux demandes de commentaires.
Lors de son dernier événement annuel Live à Las Vegas, Cisco a annoncé le déploiement de capacités d’intelligence artificielle générative pour les utilisateurs de ses solutions de visioconférence, de centres d’appel et de sécurité opérationnelle.
Cisco dote sa plateforme collaborative Webex de capacités d’IA générative pour augmenter la productivité, en particulier des capacités de résumés automatisés des réunions et des conversations. Annoncées mardi dernier lors de l’événement client Live, les offres comprennent des fonctionnalités de résumé, utiles pour rattraper les réunions manquées ou aller rapidement aux points les plus importants abordés dans une conversation. Ces fonctionnalités s’étendent également à l’outil Vidcast asynchrone de la société et Webex Contact Center. Selon l’étude « 2023 State of Global Innovation Study » du fournisseur, les professionnels de l’IT considèrent que l’IA générative est la technologie qui peut avoir un impact significatif sur leur entreprise, et 85 % des personnes interrogées disent qu’elles y sont préparées.
« En conséquence, Cisco investit massivement dans l’IA afin de faire progresser l’avenir du travail », a déclaré Aruna Ravichandran, directrice marketing de Webex. « Nous nous engageons à fournir aux travailleurs hybrides une expérience de travail beaucoup plus efficace, plus sûre et très productive », a-t-elle ajouté. La dernière fonction « Catch Me Up » de Webex propose aux utilisateurs qui ne peuvent participer à une réunion de rattraper les échanges auxquels ils n’ont pu assister, y compris, les réunions, les chats et autres. Par ailleurs, les résumés de réunion leur fourniront une vue d’ensemble sur les points clés et les actions à entreprendre. Pour utiliser ce service, les utilisateurs peuvent laisser le programme générer automatiquement les éléments les plus importants d’une réunion Webex, en extraire les points clés et capturer les actions à entreprendre, de sorte qu’ils n’ont plus besoin d’écouter un enregistrement ou de lire des transcriptions.
Des résumés générés par l’IA
Ces capacités d’IA générative produisent également des points forts à partir de l’outil vidéo asynchrone de Cisco, Vidcast, de sorte que l’utilisateur pourra avancer rapidement vers les séquences les plus importantes de la vidéo. Enfin, grâce au résumé des appels des clients dans Webex Contact Center, les clients n’auront pas à recommencer la conversation à zéro en cas de problème technique et d’interruption de l’appel, puisque l’agent disposera d’un enregistrement de tout ce qui a été discuté précédemment. En outre, une fois qu’un agent a terminé l’appel d’un client, Agent Answers génère un résumé complet de toutes les questions discutées avec le client et des solutions envisagées, et de l’intégrer au dossier si le problème se reproduit ou si le client rappelle.
L’équipementier investit aussi dans des innovations d’apprentissage machine pour simplifier les opérations de sécurité et accroître l’efficacité. C’est le cas notamment de l’assistant génératif de politique d’IA, AI Policy Assistant, qui peut aider les administrateurs de la sécurité et de l’IT à mieux définir les politiques de sécurité granulaires et évaluer la meilleure façon de les mettre en œuvre dans leur infrastructure de sécurité. En outre, un assistant de centre de sécurité opérationnelle – Security Operations Center Assistant – mettra en corrélation les informations à travers les applications de la plateforme Security Cloud pour mieux évaluer l’impact possible des menaces potentielles et il recommandera des actions pour réduire le temps de réponse des équipes SOC. Le résumé Webex, la gestion des politiques et les résumés de cet assistant seront disponibles au niveau mondial d’ici fin 2023, et d’autres fonctionnalités seront disponibles au cours du premier semestre 2024. Des informations sur la tarification et les niveaux d’abonnement seront disponibles plus tard dans l’année.
Des grands modèles de langage maison
Pour développer ces capacités, Cisco utilise ses propres grands modèles de langage plutôt que de travailler avec des fournisseurs d’IA générative tiers. « L’IA de Cisco est basée sur une longue expérience acquise dans quatre domaines différents : l’intelligence vidéo, l’intelligence audio, le traitement du langage naturel et l’analyse », a déclaré Aruna Ravichandran, qui n’a pas voulu s’étendre sur la politique spécifique de l’entreprise en matière d’IA. Tout en reconnaissant que l’IA présente de nombreux risques, la directrice marketing de Webex a déclaré qu’en développant et en mettant en œuvre la technologie en interne, celle-ci donne la possibilité de rester cohérente dans son approche de l’IA et de s’engager à utiliser, concevoir et construire la technologie d’une manière responsable. « Nous sommes très déterminés à utiliser l’IA générative de manière responsable », a confirmé Aruna Ravichandran.
Un pas supplémentaire a été franchi par la Commission européenne sur l’accord cadre sur les transferts de données transatlantiques. L’exécutif bruxellois a entamé le processus d’approbation du successeur du Privacy Shield.
C’est un petit pas, mais les choses avancent. En effet, la Commission européenne a annoncé hier qu’elle avait officiellement entamé le processus d’approbation du cadre transatlantique de protection des données, qui doit permettre la circulation des données entre les États-Unis et l’Union européenne. L’institution a considéré que ce cadre offrait des garanties de protection de la vie privée comparables à celles de l’Union européenne. Après la signature, en octobre, par le président américain Joe Biden, du décret de mise en œuvre des règles du Trans-Atlantic Data Policy Framework aux États-Unis, la Commission a procédé à une évaluation du cadre juridique américain sur lequel le projet de loi était fondé.
Cette évaluation, publiée mardi, indique que la législation garantit un niveau adéquat de protection des données personnelles transférées de l’UE vers les entreprises américaines. Le projet de décision d’adéquation a maintenant été transmis au Comité européen de protection des données (European Data Protection Board, EDPB) pour avis. Une fois que le régulateur aura donné son accord, la Commission devra demander l’approbation d’un comité composé de représentants des États membres de l’UE, ainsi que du Parlement européen, qui a un droit de regard sur les décisions d’adéquation. Ce n’est qu’alors que la Commission pourra procéder à l’adoption formelle de la législation.
Des garanties et des critiques
S’il est adopté, le cadre transatlantique signifiera que les entreprises américaines devront accepter de se conformer à un ensemble détaillé de règles relatives à la protection de la vie privée. Ce cadre comporte l’obligation de supprimer les données personnelles lorsqu’elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées. Par ailleurs, les sociétés doivent assurer la continuité de la protection lorsque les données personnelles sont partagées avec des tiers. Ces réglementations sont essentiellement censées garantir que le flux de données entre les États-Unis et l’UE respecte les réglementations de l’UE et particulier le RGPD. En outre, les citoyens de l’UE bénéficieront de plusieurs voies de recours si leurs données personnelles sont traitées en violation du cadre et auront la possibilité d’obtenir réparation concernant la collecte et l’utilisation de leurs données par les agences de renseignement américaines devant un mécanisme de recours indépendant et impartial, y compris auprès d’une Cour de révision de la protection des données (Data Protection Review Court) nouvellement créée.
Dans des commentaires publiés parallèlement à l’annonce, la vice-présidente de la Commission chargée des valeurs et de la transparence, Věra Jourová, a déclaré que le cadre proposé améliorera encore la sécurité des données personnelles transférées de l’Europe vers les États-Unis, en s’appuyant sur les progrès réalisés par les deux parties au fil des ans. « Le futur cadre est également bon pour les entreprises, et il renforcera la coopération transatlantique », a déclaré la vice-présidente. « En tant que démocraties, nous devons défendre les droits fondamentaux, y compris la protection des données. C’est une nécessité, et non un luxe dans une économie de plus en plus numérisée et axée sur les données », a-t-elle ajouté. Le nouveau cadre de politique des données transatlantique Trans-Atlantic Data Policy Framework est censé remplacer les anciens accords, notamment l’accord Privacy Shield, invalidé en juillet 2020 par la Cour de justice européenne (CJUE) au motif que les États-Unis n’offraient pas une protection adéquate des données personnelles, notamment en ce qui concerne la surveillance étatique. Le prochain cadre a toutefois aussi ses détracteurs, qui estiment que l’accord ne garantit pas que les autorités judiciaires américaines s’abstiendront d’accéder aux données des citoyens européens une fois qu’elles auront été transférées aux États-Unis. Si l’UE ratifie le cadre malgré les critiques, il ne sera probablement pas approuvé avant le printemps 2023 au plus tôt.