Avec les bouleversements économiques et géopolitiques, le recyclage des terres rares contenues dans les composants IT suscite de plus en plus d’intérêt. Western Digital et Microsoft on noué un partenariat dans ce sens pour extraire ces précieux minerais des têtes de lectures des disques durs équipant des vieux serveurs.
Dans la guerre commerciale qui l’oppose aux Etats-Unis, la Chine dispose d’un moyen de pression : les terres rares. Le pays représente environ 69% de la production mondiale de ces minerais essentiels dans beaucoup d’industries. Face à cette pression, la question du recyclage des terres rares contenus dans les équipements IT suscite un regain d’intérêt. Dans ce cadre, Western Digital et Microsoft en collaboration avec Critical Materials Recycling et PedalPoint Recycling ont mené un programme pilote pour expérimenter…
Il vous reste 94% de l’article à lireVous devez posséder un compte pour poursuivre la lecture
Vous avez déjà un compte?
A la fin janvier, Asus a divulgué la présence de failles dans le firmware des puces AMD Epyc. Le hic est que les correctifs n’étaient pas encore sortis. Ils sont maintenant disponibles, mais leur application devrait prendre du temps.
Le timing pour la publication des failles peut parfois tourner au casse-tête. Preuve en est avec AMD qui a mis à disposition en début de semaine des correctifs pour des failles de sécurité dans le micrologiciel des puces Epyc. La société a précisé que le problème pouvait entraîner la perte de la fonction Secure Encrypted Virtualization (SEV). L’inconvénient est que les détails de ces vulnérabilités ont été publiés par Asus dans le cadre d’une mise à jour bêta du Bios à la fin janvier. AMD n’était pas préparé et a mis un certain temps pour publier ses patchs.
Ce laps de temps aurait pu être préjudiciable à la cybersécurité des entreprises. Les spécialistes avaient exhorté les administrateurs à mettre en place des mesures d’isolement réseau et de blocage des mises à jour des correctifs en attendant la réponse d’AMD. Ce dernier avait relativisé la capacité à utiliser les brèches, « l’exécution de l’attaque nécessite un accès au système au niveau de l’administrateur local, ainsi que le développement et l’exécution d’un micrologiciel malveillant. »
Une application des patchs qui va prendre du temps
En raison de la nature des correctifs publiés, les utilisateurs doivent maintenant attendre que les OEM et d’autres partenaires mettent en œuvre les patchs dans le firmware spécifique de leur matériel. « Cette situation va peser sur les équipementiers des fournisseurs de matériel et cela peut entraîner un retard dans l’adoption », a déclaré John Price, CEO de la société de sécurité SubRosa, basée à Cleveland. Un avis partagé par Flavio Villanustre, responsable de la sécurité de LexisNexis Risk Solutions en estimant que les retards seront différents en fonction de la rapidité du fournisseur à appliquer les correctifs.
Matt Kimball, vice-président et analyste principal chez Moor Insights & Strategy considère lui qu’AMD a bien géré la situation. « Il est bon de voir AMD travailler avec sa communauté pour résoudre rapidement ces vulnérabilités. La quantité de travail nécessaire pour fournir un correctif – et le tester de manière approfondie – est considérable. Il s’agit d’une pression importante sur les ressources, d’où la bonne coordination de la part d’AMD », a-t-il déclaré.
Une longue liste de puces Epyc concernées
Flavio Villansutre insiste sur le fait que les administrateurs doivent se concentrer sur l’UEFI (unified extensible firmware interface), qui est l’interface entre l’OS et le microcode. « Si l’UEFI n’est pas mis à jour le problème du microcode reviendra à chaque démarrage des serveurs », souligne l’expert. « Cette situation montre à quel point les problèmes de firmware sont devenus un élément essentiel de l’informatique moderne », a déclaré John Price. « Cela va rendre les correctifs d’urgence plus difficiles à l’avenir. Ils nécessiteront des redémarrages complets du système », conclut le spécialiste.
A noter que le second correctif évite une attaque par canal latéral basée sur le cache, qui affecte également SEV. Ce problème concerne les « processeurs AMD Epyc de 1ère génération dont le nom de code était Naples, ceux de 2ème génération dont le nom de code était Rome, ceux de 3ème génération dont le nom de code était Milan et ceux de 4ème génération dont le nom de code était Gênes ». Le fournisseur ajoute à cette liste les puces Epyc embedded (3000, 7002, 7003 et 9004).
A la fin janvier, Asus a divulgué la présence de failles dans le firmware des puces AMD Epyc. Le hic est que les correctifs n’étaient pas encore sortis. Ils sont maintenant disponibles, mais leur application devrait prendre du temps.
Le timing pour la publication des failles peut parfois tourner au casse-tête. Preuve en est avec AMD qui a mis à disposition en début de semaine des correctifs pour des failles de sécurité dans le micrologiciel des puces Epyc. La société a précisé que le problème pouvait entraîner la perte de la fonction Secure Encrypted Virtualization (SEV). L’inconvénient est que les détails de ces vulnérabilités ont été publiés par Asus dans le cadre d’une mise à jour bêta du Bios à la fin janvier. AMD n’était pas préparé et a mis un certain temps pour publier ses patchs.
Ce laps de temps aurait pu être préjudiciable à la cybersécurité des entreprises. Les spécialistes avaient exhorté les administrateurs à mettre en place des mesures d’isolement réseau et de blocage des mises à jour des correctifs en attendant la réponse d’AMD. Ce dernier avait relativisé la capacité à utiliser les brèches, « l’exécution de l’attaque nécessite un accès au système au niveau de l’administrateur local, ainsi que le développement et l’exécution d’un micrologiciel malveillant. »
Une application des patchs qui va prendre du temps
En raison de la nature des correctifs publiés, les utilisateurs doivent maintenant attendre que les OEM et d’autres partenaires mettent en œuvre les patchs dans le firmware spécifique de leur matériel. « Cette situation va peser sur les équipementiers des fournisseurs de matériel et cela peut entraîner un retard dans l’adoption », a déclaré John Price, CEO de la société de sécurité SubRosa, basée à Cleveland. Un avis partagé par Flavio Villanustre, responsable de la sécurité de LexisNexis Risk Solutions en estimant que les retards seront différents en fonction de la rapidité du fournisseur à appliquer les correctifs.
Matt Kimball, vice-président et analyste principal chez Moor Insights & Strategy considère lui qu’AMD a bien géré la situation. « Il est bon de voir AMD travailler avec sa communauté pour résoudre rapidement ces vulnérabilités. La quantité de travail nécessaire pour fournir un correctif – et le tester de manière approfondie – est considérable. Il s’agit d’une pression importante sur les ressources, d’où la bonne coordination de la part d’AMD », a-t-il déclaré.
Une longue liste de puces Epyc concernées
Flavio Villansutre insiste sur le fait que les administrateurs doivent se concentrer sur l’UEFI (unified extensible firmware interface), qui est l’interface entre l’OS et le microcode. « Si l’UEFI n’est pas mis à jour le problème du microcode reviendra à chaque démarrage des serveurs », souligne l’expert. « Cette situation montre à quel point les problèmes de firmware sont devenus un élément essentiel de l’informatique moderne », a déclaré John Price. « Cela va rendre les correctifs d’urgence plus difficiles à l’avenir. Ils nécessiteront des redémarrages complets du système », conclut le spécialiste.
A noter que le second correctif évite une attaque par canal latéral basée sur le cache, qui affecte également SEV. Ce problème concerne les « processeurs AMD Epyc de 1ère génération dont le nom de code était Naples, ceux de 2ème génération dont le nom de code était Rome, ceux de 3ème génération dont le nom de code était Milan et ceux de 4ème génération dont le nom de code était Gênes ». Le fournisseur ajoute à cette liste les puces Epyc embedded (3000, 7002, 7003 et 9004).
Dans une déclaration récente, le régulateur européen de la protection des donnés ouvre la voie à l’usage des données personnelles pour la formation des modèles d’IA sans consentement. Une possibilité très encadrée qui a soulevé des avis mitigés.
Un petit pavé dans la mare. Le CEPD (comité européen de la protection des données) a dévoilé hier un avis sur « l’utilisation des données personnelles dans le développement et le déploiement des modèles d’IA ». Dans ce rapport, on peut lire que dans le cadre de l’entraînement des modèles d’IA, « le consentement des personnes concernées n’est pas toujours obligatoire ». Le régulateur assorti cette assertion d’un…
Il vous reste 93% de l’article à lireVous devez posséder un compte pour poursuivre la lecture
Vous avez déjà un compte?
Amazon a décalé d’un an la mise en place de la suite bureautique cloud Microsoft 365, en raison de problèmes de sécurité. La communauté de la cybersécurité a salué cette initiative même si certains y voient une opération de communication.
On ne badine pas avec la sécurité IT et Amazon vient d’en faire la démonstration avec Microsoft. La semaine dernière, Bloomberg indiquait que le géant du e-commerce et du cloud avait mis sur pause pendant une année entière le déploiement de Microsoft 365 auprès de ses collaborateurs (1,6 million). Ce laps de temps a été nécessaire pour corriger une longue liste de problèmes de sécurité identifiés par Amazon.
Le CISO d’Amazon, CJ Moses a indiqué à nos…
Il vous reste 93% de l’article à lireVous devez posséder un compte pour poursuivre la lecture
Vous avez déjà un compte?
ByteDance, le propriétaire de TikTok, a licencié puis poursuivi en justice un stagiaire pour avoir délibérément saboté son LLM. Une affaire qui pose la question de la supervision de la personne par l’IT et l’inefficacité des garde-fous des modèles d’IA.
Un mauvais film pour TikTok ou plus précisément pour ByteDance. La société chinoise a récemment découvert qu’un stagiaire avait endommagé un LLM sur lequel il était chargé de travailler. La personne a été poursuivie en justice pour plus d’un million de dollars de dommages. Cette action pose la question du management du stagiaire et la mise en place de garde-fous dans le LLM pour alerter sur des incohérences ou des modifications dans le code.
Un manque de supervision de l’IT
Car selon…
Il vous reste 88% de l’article à lireVous devez posséder un compte pour poursuivre la lecture
Vous avez déjà un compte?
Un salarié de Macy’s a réussi à cacher entre 132 et 154 millions de dollars de frais de livraison dans la comptabilité de la société l’obligeant à retarder la publication de ses résultats. L’affaire montre les limites des ERP et des logiciels de comptabilité pour détecter ces erreurs.
En début de semaine la chaîne de magasin américaine Macy’s a annoncé retarder la publication de ses résultats financiers. Le motif : un employé a dissimulé pendant trois ans des frais de livraison pour un montant compris entre 132 et 154 millions de dollars. Une annonce qui tombe au plus mal à quelques jours des fêtes (Thanksgiving et du Black Friday) et qui met en évidence les lacunes des contrôles sur les logiciels de comptabilité et des ERP.
Dans un communiqué, le distributeur précise…
Il vous reste 94% de l’article à lireVous devez posséder un compte pour poursuivre la lecture
Vous avez déjà un compte?