Les logiciels de transfert de fichiers sĂ©duisent les cybercriminels. Dernier exemple en date, une faille de type zero day est activement exploitĂ©e dans les produits LexiCom, VLTrader et Harmony de l’Ă©diteur Cleo.
Les failles au sein de MoveIT de Progress Software ou GoAnywhere ont fortement perturbĂ©s les activitĂ©s des entreprises en 2023. Le spectre d’une menace similaire plane sur les logiciels de Cleo de transfert de fichiers managĂ©s (MFT). En effet, une faille critique est activement exploitĂ©e sur les dernières versions LexiCom, VLTrader et Harmony de Cleo. Les experts conseillent de dĂ©connecter temporairement ces systèmes de l’Internet jusqu’Ă la publication d’un correctif. Huntress, Ă©diteur de MDR (managed detection and response) a Ă©tĂ© le premier Ă signaler les attaques après avoir dĂ©tectĂ© les exploits dans les systèmes de certains de ses clients.
Les systèmes concernĂ©s utilisaient une ancienne version du logiciel Cleo, vulnĂ©rable Ă une faille corrigĂ©e en octobre, mais les chercheurs de Huntress ont dĂ©terminĂ© que le correctif Ă©tait insuffisant et que mĂŞme les itĂ©rations les plus rĂ©centes du produit Ă©taient vulnĂ©rables. « D’après notre tĂ©lĂ©mĂ©trie, les serveurs Cleo d’au moins 10 entreprises ont Ă©tĂ© compromis, et nous avons observĂ© une augmentation notable de l’exploitation le 8 dĂ©cembre vers 07:00 UTC », a indiquĂ© l’Ă©quipe de Huntress dans son rapport. « Cependant, après une première analyse, nous avons trouvĂ© des preuves d’exploitation dès le 3 dĂ©cembre. » De son cĂ´tĂ© des experts de Rapid7 ont confirmĂ© les conclusions de Huntress et enquĂŞtent Ă©galement sur les signes d’une exploitation rĂ©ussie dans les environnements de certains de ses clients. Les attaquants exploitent la faille pour Ă©crire des fichiers malveillants Ă des endroits spĂ©cifiques du serveur, lesquels sont ensuite automatiquement exĂ©cutĂ©s par le logiciel.
Un correctif inefficace
Le 24 octobre, Cleo avait publiĂ© un avis de sĂ©curitĂ© pour une vulnĂ©rabilitĂ© de tĂ©lĂ©chargement de fichiers sans restriction, rĂ©fĂ©rencĂ©e CVE-2024-50623, potentiellement exploitable pour exĂ©cuter un code Ă distance. L’Ă©diteur a conseillĂ© aux utilisateurs de mettre Ă jour Harmony, VLTrader et LexiCom vers la version 5.8.0.21 afin d’attĂ©nuer la faille. Cependant, selon Huntress, le patch ne corrige pas toutes les voies d’attaque et peut toujours ĂŞtre exploitĂ© sur la version 5.8.0.21. Un PoC a Ă©tĂ© crĂ©Ă© par les chercheurs et partagĂ© avec Cleo qui a confirmĂ© le problème et travaille sur un nouveau correctif et sur des mises Ă jour. Selon un dernier avis pour lequel aucun numĂ©ro CVE n’a encore Ă©tĂ© attribuĂ©, le correctif sera disponible dans la version 5.8.0.23.
Utilisation abusive de la fonction d’exĂ©cution automatique
Huntress pense que l’un des exploits abuse de la vulnĂ©rabilitĂ© de tĂ©lĂ©chargement de fichier pour dĂ©poser un fichier appelĂ© healthchecktemplate.txt dans un sous-rĂ©pertoire appelĂ© autorun du dossier de l’application. Les fichiers prĂ©sents dans le dossier sont automatiquement traitĂ©s par les applications Cleo. Après inspection, ce fichier malveillant invoque la fonction d’importation native du logiciel Cleo pour traiter un autre fichier dĂ©posĂ© dans le dossier temporaire du disque et appelĂ© LexiCom6836057879780436035.tmp (le nom peut varier d’un exploit Ă l’autre). MalgrĂ© son extension .tmp, ce fichier est en fait une archive ZIP qui contient un sous-rĂ©pertoire appelĂ© hosts avec un fichier appelĂ© mail.xml. Le fichier .xml sert de fichier de configuration pour une fonction qui permet, semble-t-il, de crĂ©er une autre connexion Ă une boĂ®te aux lettres dans le logiciel Cleo. Lorsqu’il est importĂ©, ce fichier exĂ©cute les commandes stockĂ©es dans sa dĂ©claration , en l’occurrence une commande PowerShell malveillante.
« Ce processus est reliĂ© Ă une adresse IP externe pour rĂ©cupĂ©rer des fichiers JAR en vue d’une post-exploitation continue », ont expliquĂ© les chercheurs. « Ces fichiers JAR contiennent des fonctionnalitĂ©s de type webshell pour la persistance sur le terminal. Nous avons observĂ© que les attaquants supprimaient ensuite ces fichiers JAR après leur exĂ©cution afin de prolonger leurs attaques et de rester relativement discrets. » Les chercheurs ont notĂ© que certains fichiers avaient dĂ©jĂ Ă©tĂ© supprimĂ©s par les attaquants avant de pouvoir ĂŞtre rĂ©cupĂ©rĂ©s pour analyse, mais un fichier journal appelĂ© LexiCom.dbg devrait contenir des traces sur les fichiers d’exĂ©cution automatique exĂ©cutĂ©s. Les chercheurs ont Ă©galement vu les attaquants en train d’effectuer une reconnaissance de l’Active Directory Ă l’aide de l’outil de ligne de commande nltest.exe, prĂ©sent sur les serveurs Windows et utilisĂ© pour Ă©numĂ©rer les contrĂ´leurs de domaine.
Isoler les serveurs pour atténuer le problème
En attendant la disponibilitĂ© du correctif, il est possible de dĂ©sactiver la fonction de rĂ©pertoire d’exĂ©cution automatique dans la configuration du logiciel Cleo. Pour cela, Huntress explique qu’il faut sĂ©lectionner « Options » dans le menu « Configuration » du logiciel et supprimer le contenu du champ « RĂ©pertoire d’exĂ©cution automatique » (Autorun Directory) dans le panneau « Autres ». Cependant, cette suppression n’empĂŞchera pas l’exploitation de la vulnĂ©rabilitĂ© de tĂ©lĂ©chargement arbitraire de fichiers. Selon Rapid7, la meilleure approche est d’isoler de l’Internet les serveurs Ă©quipĂ©s du logiciel concernĂ© ou de placer un pare-feu devant eux.
Les Ă©quipes de sĂ©curitĂ© devraient Ă©galement rechercher des traces de cet exploit sur leurs serveurs Cleo en inspectant le fichier journal ou en recherchant la prĂ©sence d’un fichier main.xml ou d’un fichier 60282967-dc91-40ef-a34c-38e992509c2c.xml contenant des commandes PowerShell. Cette dernière attaque contre les produits Cleo montre que les solutions de transfert de fichiers gĂ©rĂ©es (MFT) sont toujours une cible d’intĂ©rĂŞt pour les attaquants. Des groupes de ransomware ont dĂ©jĂ exploitĂ© des vulnĂ©rabilitĂ©s dans les dispositifs Accellion File Transfer Appliance (FTA) en 2020 et 2021, dans les serveurs Fortra/Linoma GoAnywhere MFT au dĂ©but de 2023 et dans les dĂ©ploiements MOVEit Transfer en mai 2023.
Les logiciels de transfert de fichiers sĂ©duisent les cybercriminels. Dernier exemple en date, une faille de type zero day est activement exploitĂ©e dans les produits LexiCom, VLTrader et Harmony de l’Ă©diteur Cleo.
Les failles au sein de MoveIT de Progress Software ou GoAnywhere ont fortement perturbĂ©s les activitĂ©s des entreprises en 2023. Le spectre d’une menace similaire plane sur les logiciels de Cleo de transfert de fichiers managĂ©s (MFT). En effet, une faille critique est activement exploitĂ©e sur les dernières versions LexiCom, VLTrader et Harmony de Cleo. Les experts conseillent de dĂ©connecter temporairement ces systèmes de l’Internet jusqu’Ă la publication d’un correctif. Huntress, Ă©diteur de MDR (managed detection and response) a Ă©tĂ© le premier Ă signaler les attaques après avoir dĂ©tectĂ© les exploits dans les systèmes de certains de ses clients.
Les systèmes concernĂ©s utilisaient une ancienne version du logiciel Cleo, vulnĂ©rable Ă une faille corrigĂ©e en octobre, mais les chercheurs de Huntress ont dĂ©terminĂ© que le correctif Ă©tait insuffisant et que mĂŞme les itĂ©rations les plus rĂ©centes du produit Ă©taient vulnĂ©rables. « D’après notre tĂ©lĂ©mĂ©trie, les serveurs Cleo d’au moins 10 entreprises ont Ă©tĂ© compromis, et nous avons observĂ© une augmentation notable de l’exploitation le 8 dĂ©cembre vers 07:00 UTC », a indiquĂ© l’Ă©quipe de Huntress dans son rapport. « Cependant, après une première analyse, nous avons trouvĂ© des preuves d’exploitation dès le 3 dĂ©cembre. » De son cĂ´tĂ© des experts de Rapid7 ont confirmĂ© les conclusions de Huntress et enquĂŞtent Ă©galement sur les signes d’une exploitation rĂ©ussie dans les environnements de certains de ses clients. Les attaquants exploitent la faille pour Ă©crire des fichiers malveillants Ă des endroits spĂ©cifiques du serveur, lesquels sont ensuite automatiquement exĂ©cutĂ©s par le logiciel.
Un correctif inefficace
Le 24 octobre, Cleo avait publiĂ© un avis de sĂ©curitĂ© pour une vulnĂ©rabilitĂ© de tĂ©lĂ©chargement de fichiers sans restriction, rĂ©fĂ©rencĂ©e CVE-2024-50623, potentiellement exploitable pour exĂ©cuter un code Ă distance. L’Ă©diteur a conseillĂ© aux utilisateurs de mettre Ă jour Harmony, VLTrader et LexiCom vers la version 5.8.0.21 afin d’attĂ©nuer la faille. Cependant, selon Huntress, le patch ne corrige pas toutes les voies d’attaque et peut toujours ĂŞtre exploitĂ© sur la version 5.8.0.21. Un PoC a Ă©tĂ© crĂ©Ă© par les chercheurs et partagĂ© avec Cleo qui a confirmĂ© le problème et travaille sur un nouveau correctif et sur des mises Ă jour. Selon un dernier avis pour lequel aucun numĂ©ro CVE n’a encore Ă©tĂ© attribuĂ©, le correctif sera disponible dans la version 5.8.0.23.
Utilisation abusive de la fonction d’exĂ©cution automatique
Huntress pense que l’un des exploits abuse de la vulnĂ©rabilitĂ© de tĂ©lĂ©chargement de fichier pour dĂ©poser un fichier appelĂ© healthchecktemplate.txt dans un sous-rĂ©pertoire appelĂ© autorun du dossier de l’application. Les fichiers prĂ©sents dans le dossier sont automatiquement traitĂ©s par les applications Cleo. Après inspection, ce fichier malveillant invoque la fonction d’importation native du logiciel Cleo pour traiter un autre fichier dĂ©posĂ© dans le dossier temporaire du disque et appelĂ© LexiCom6836057879780436035.tmp (le nom peut varier d’un exploit Ă l’autre). MalgrĂ© son extension .tmp, ce fichier est en fait une archive ZIP qui contient un sous-rĂ©pertoire appelĂ© hosts avec un fichier appelĂ© mail.xml. Le fichier .xml sert de fichier de configuration pour une fonction qui permet, semble-t-il, de crĂ©er une autre connexion Ă une boĂ®te aux lettres dans le logiciel Cleo. Lorsqu’il est importĂ©, ce fichier exĂ©cute les commandes stockĂ©es dans sa dĂ©claration , en l’occurrence une commande PowerShell malveillante.
« Ce processus est reliĂ© Ă une adresse IP externe pour rĂ©cupĂ©rer des fichiers JAR en vue d’une post-exploitation continue », ont expliquĂ© les chercheurs. « Ces fichiers JAR contiennent des fonctionnalitĂ©s de type webshell pour la persistance sur le terminal. Nous avons observĂ© que les attaquants supprimaient ensuite ces fichiers JAR après leur exĂ©cution afin de prolonger leurs attaques et de rester relativement discrets. » Les chercheurs ont notĂ© que certains fichiers avaient dĂ©jĂ Ă©tĂ© supprimĂ©s par les attaquants avant de pouvoir ĂŞtre rĂ©cupĂ©rĂ©s pour analyse, mais un fichier journal appelĂ© LexiCom.dbg devrait contenir des traces sur les fichiers d’exĂ©cution automatique exĂ©cutĂ©s. Les chercheurs ont Ă©galement vu les attaquants en train d’effectuer une reconnaissance de l’Active Directory Ă l’aide de l’outil de ligne de commande nltest.exe, prĂ©sent sur les serveurs Windows et utilisĂ© pour Ă©numĂ©rer les contrĂ´leurs de domaine.
Isoler les serveurs pour atténuer le problème
En attendant la disponibilitĂ© du correctif, il est possible de dĂ©sactiver la fonction de rĂ©pertoire d’exĂ©cution automatique dans la configuration du logiciel Cleo. Pour cela, Huntress explique qu’il faut sĂ©lectionner « Options » dans le menu « Configuration » du logiciel et supprimer le contenu du champ « RĂ©pertoire d’exĂ©cution automatique » (Autorun Directory) dans le panneau « Autres ». Cependant, cette suppression n’empĂŞchera pas l’exploitation de la vulnĂ©rabilitĂ© de tĂ©lĂ©chargement arbitraire de fichiers. Selon Rapid7, la meilleure approche est d’isoler de l’Internet les serveurs Ă©quipĂ©s du logiciel concernĂ© ou de placer un pare-feu devant eux.
Les Ă©quipes de sĂ©curitĂ© devraient Ă©galement rechercher des traces de cet exploit sur leurs serveurs Cleo en inspectant le fichier journal ou en recherchant la prĂ©sence d’un fichier main.xml ou d’un fichier 60282967-dc91-40ef-a34c-38e992509c2c.xml contenant des commandes PowerShell. Cette dernière attaque contre les produits Cleo montre que les solutions de transfert de fichiers gĂ©rĂ©es (MFT) sont toujours une cible d’intĂ©rĂŞt pour les attaquants. Des groupes de ransomware ont dĂ©jĂ exploitĂ© des vulnĂ©rabilitĂ©s dans les dispositifs Accellion File Transfer Appliance (FTA) en 2020 et 2021, dans les serveurs Fortra/Linoma GoAnywhere MFT au dĂ©but de 2023 et dans les dĂ©ploiements MOVEit Transfer en mai 2023.
Dans une lettre ouverte, plus de 150 chercheurs, Ă©thiciens, juristes et professeurs ont demandĂ© aux entreprises proposant de l’IA gĂ©nĂ©rative d’ouvrir leur technologie Ă des Ă©valuations de sĂ©curitĂ© externes.
L’absence d’évaluations indĂ©pendantes quant aux protections de base des technologies d’IA inquiète de nombreux professionnels. Dans une lettre ouverte, plus de 150 Ă©minents chercheurs en intelligence artificielle, Ă©thiciens, juristes et autres appellent les entreprises commercialisant des solutions de GenAI Ă se soumettre Ă des audits de leurs systèmes. La lettre, rĂ©digĂ©e par des chercheurs du MIT, de Princeton et de l’universitĂ© de Stanford, demande des protections juridiques et techniques pour la recherche de bonne foi sur les modèles d’IA gĂ©nĂ©rative, qui, selon eux, entrave les mesures de sĂ©curitĂ© qui pourraient contribuer Ă protĂ©ger le public. La lettre, et l’Ă©tude qui la sous-tend, ont Ă©tĂ© rĂ©digĂ©es avec l’aide d’une vingtaine de professeurs et de chercheurs qui ont demandĂ© « un cadre lĂ©gal de sĂ©curité » pour l’Ă©valuation indĂ©pendante des produits de GenIA.
Militer pour des red teams
Ce document, envoyĂ© Ă des entreprises comme OpenAI, Anthropic, Google, Meta et Midjourney, demande un droit d’accès des chercheurs aux produits afin de s’assurer que les consommateurs sont protĂ©gĂ©s contre les prĂ©jugĂ©s, les violations prĂ©sumĂ©es des droits d’auteur et les images intimes non consensuelles. « Nombreux sont ceux qui estiment que l’Ă©valuation indĂ©pendante des modèles d’IA dĂ©jĂ dĂ©ployĂ©s est essentielle pour garantir la sĂ»retĂ©, la sĂ©curitĂ© et la confiance », ont Ă©crit deux des chercheurs dans un billet de blog. « Des recherches indĂ©pendantes sur les modèles d’IA ont permis de dĂ©couvrir des vulnĂ©rabilitĂ©s liĂ©es aux langages Ă faibles ressources, au contournement des mesures de sĂ©curitĂ© et Ă un large Ă©ventail de jailbreaks. « Ces Ă©valuations portent sur des dĂ©fauts très divers souvent imprĂ©vus que l’on peut trouver dans les modèles, liĂ©s soit Ă une mauvaise utilisation, Ă des prĂ©jugĂ©s, Ă des droits d’auteur et Ă d’autres problèmes », ont-ils ajoutĂ©.
Parmi les signataires figurent des professeurs des Ă©coles de l’Ivy League et d’autres universitĂ©s rĂ©putĂ©es, dont le MIT, ainsi que des dirigeants d’entreprises comme Hugging Face et Mozilla. La liste comprend Ă©galement des chercheurs et des Ă©thiciens comme Dhanaraj Thakur, directeur de recherche au Center for Democracy and Technology (Centre pour la dĂ©mocratie et la technologie), et Subhabrata Majumdar, prĂ©sident de l’AI Risk and Vulnerability Alliance.
Plus d’ouverture et de transparence souhaitées
Si la lettre reconnaĂ®t et se rĂ©jouit du fait que certains fabricants de genAI disposent de programmes spĂ©ciaux pour permettre aux chercheurs d’accĂ©der Ă leurs systèmes, elle leur reproche aussi d’être trop restrictifs quant aux personnes qui peuvent ou ne peuvent pas voir leur technologie. Les chercheurs ont notamment citĂ© les entreprises d’IA Cohere et OpenAI comme des exceptions Ă la règle, « mĂŞme si une certaine ambiguĂŻtĂ© subsiste quant Ă la portĂ©e des activitĂ©s protĂ©gĂ©es ». Cohere autorise les « tests de rĂ©sistance intentionnels de l’API et les attaques adverses » Ă condition que les vulnĂ©rabilitĂ©s soient divulguĂ©es de manière appropriĂ©e (sans promesse lĂ©gale explicite). Et OpenAI a Ă©largi sa sphère de sĂ©curitĂ© pour inclure la « recherche sur la vulnĂ©rabilitĂ© des modèles » et la « recherche universitaire sur la sĂ©curitĂ© des modèles » en rĂ©ponse Ă une première version de notre proposition.
Mais, dans d’autres cas, les entreprises de genAI ont suspendu les comptes des chercheurs et mĂŞme modifiĂ© leurs conditions de service pour dĂ©courager certains types d’Ă©valuation. Or, selon les chercheurs, « priver les chercheurs indĂ©pendants de leur pouvoir n’est pas dans l’intĂ©rĂŞt des entreprises d’IA ». Les Ă©valuateurs indĂ©pendants qui Ă©tudient les produits d’IA gĂ©nĂ©rique craignent la suspension de leur compte (sans possibilitĂ© d’appel) et les risques juridiques, « qui peuvent tous deux avoir un effet dissuasif sur la recherche », selon la lettre ouverte.
Pour protĂ©ger les utilisateurs, les signataires souhaitent que les entreprises d’IA offrent deux niveaux de protection Ă la recherche :
– Une protection juridique pour garantir une recherche indĂ©pendante de bonne foi sur la sĂ»retĂ©, la sĂ©curitĂ© et la fiabilitĂ© de l’IA, le tout dans le cadre d’une divulgation bien Ă©tablie des vulnĂ©rabilitĂ©s.
– Un engagement de l’entreprise en faveur d’un accès plus Ă©quitable en faisant appel Ă des Ă©valuateurs indĂ©pendants pour modĂ©rer les demandes d’Ă©valuation des chercheurs.
Dans l’immĂ©diat, les deux entreprises OpenAI et Google n’ont pas rĂ©pondu Ă une demande de commentaire.
Les diffĂ©rents rebondissements du licenciement de Sam Altman d’OpenAI suscitent des interrogations sur un marchĂ© en pleine croissance.
Depuis vendredi dernier, le monde de l’IA a vécu à l’heure des différents soubresauts chez OpenAI après la décision du conseil d’administration de limoger son CEO, Sam Altman. Retour probable, regrets, menaces de la part des salariés, recrutements chez Microsoft, le feuilleton a alimenté les médias tout le week-end. Mais il a aussi soulevé des interrogations sur l’impact d’une telle affaire sur le développement de l’IA générative.
Une vie sans OpenAI est possible
Pour plusieurs experts, si OpenAI venait Ă imploser, cela n’aurait pas d’incidence notable sur le dĂ©veloppement de l’IA. « Ce n’est plus un secret pour personne, les gens savent ce que ces modèles peuvent faire et les recettes pour y parvenir », a dĂ©clarĂ© Braden Hancock, CTO et cofondateur de Snorkel AI, une startup qui aide les entreprises Ă dĂ©velopper de grands modèles de langage (LLM) pour un usage spĂ©cifique. « Open AI a rĂ©ussi Ă commercialiser et Ă livrer le produit, mais au moins une douzaine de grandes entreprises IT, bien financĂ©es et dotĂ©es en personnel, dĂ©veloppent simultanĂ©ment la technologie de base, sans parler des laboratoires de recherche et des centaines de startups spĂ©cialisĂ©es dans l’IA », ajoute-t-il.Â
« Elles ont eu l’avantage d’ĂŞtre les premières Ă se lancer, mais l’IA gĂ©nĂ©rative est lĂ pour durer, peu importe qui mène la course en tĂŞte Ă un moment ou Ă un autre », prĂ©cise le dirigeant. Il conseille aux entreprises qui dĂ©ploient ou envisagent de dĂ©ployer des plateformes d’IA gĂ©nĂ©rative, d’Ă©laborer leurs stratĂ©gies d’IA de manière responsable, c’est-Ă -dire de ne pas trop dĂ©pendre d’un seul fournisseur. « Tout comme le multi-cloud a Ă©tĂ© essentiel dans la gestion des risques pour les entreprises pendant des annĂ©es, le multi-LLM devrait l’ĂŞtre Ă©galement », dĂ©clare-t-il.
L’IA générative, un Far West à réguler
Selon Jack Gold, analyste principal chez J. Gold Associates, l’univers de l’IA est actuellement un vĂ©ritable Far West. Et avec le changement de direction d’OpenAI, il est devenu encore plus sauvage. « Les deux crĂ©ateurs, fondateurs et forces vives d’OpenAI ont Ă©tĂ© embauchĂ©s par Microsoft, qui est aujourd’hui un investisseur », observe le consultant. « Mais Ă l’avenir, Microsoft deviendra un concurrent direct. Le fait qu’ils dirigent le laboratoire d’IA avancĂ©e de Microsoft leur donne la possibilitĂ© de recrĂ©er et de surpasser ce qu’OpenAI a fait. Microsoft dispose d’une quantitĂ© massive de ressources qu’il peut mettre en Ĺ“uvre ».
Avivah Litan, analyste distinguĂ©e et vice-prĂ©sidente de Gartner, a dĂ©clarĂ© que le conflit au sein d’OpenAI montre la nĂ©cessitĂ© d’une rĂ©glementation mondiale pour une IA sĂ»re et sĂ©curisĂ©e. « Notre sĂ©curitĂ© future ne devrait pas dĂ©pendre des caprices des individus qui dirigent les entreprises d’IA vers une IA gĂ©nĂ©rative », constate la consultante, faisant rĂ©fĂ©rence Ă la marche vers la « singularité », c’est-Ă -dire le moment oĂą l’IA n’aura plus besoin du contrĂ´le de l’homme. « Le rĂ©cent dĂ©cret du PrĂ©sident Joe Biden, qui a mis en place des garde-fous autour de l’IA pour les agences fĂ©dĂ©rales, reprĂ©sente un bon dĂ©but vers une rĂ©glementation substantielle significative, mais il faut aller plus loin », ajoute-t-elle. Avant de complĂ©ter, « la crise d’OpenAI devrait servir de signal d’alarme quant au besoin urgent d’action et de leadership ».
Un chaos où l’open source a sa carte à jouer
Selon Cliff Jurkiewicz, vice-prĂ©sident de la stratĂ©gie mondiale pour le service de recrutement basĂ© sur l’IA Phenom, contrairement aux technologies de rupture prĂ©cĂ©dentes, ChatGPT et d’autres outils d’IA gĂ©nĂ©ratives innovent Ă un rythme beaucoup plus rapide. Il pense que ce qui se joue publiquement dans l’affaire OpenAI, c’est la capacitĂ© de suivre ce rythme tout en maintenant la stabilitĂ© et la confiance dans leur prise de dĂ©cision. « Le conseil d’administration d’OpenAI a adoptĂ© l’approche « fail fast » de l’innovation et l’a appliquĂ©e Ă la gestion d’une entreprise. Mais ce n’est pas de l’innovation. C’est le chaos », estime Cliff Jurkiewicz. « La monĂ©tisation de la technologie n’Ă©tait pas conforme Ă la mission et aux valeurs du conseil d’administration. Nous vivons dans un monde capitaliste. Les entreprises peuvent ĂŞtre Ă la fois rentables et Ă©thiques. La confiance dans une entreprise dĂ©pendra du niveau d’éthique auquel elle se situe quant Ă l’usage de l’intelligence artificielle, si, en particulier, elle fait passer l’humain au premier plan ».
« En tant que start-up, OpenAI dĂ©pend presque entièrement d’investisseurs en capital-risque, et ceux-ci, sont souvent impatients d’obtenir un retour rapide sur leurs investissements », analyse Jon Gold. C’est peut-ĂŞtre ce qui a conduit au licenciement de Sam Altman. Bizarrement, celui-ci a fait partie des 33 700 personnes qui ont signĂ© une lettre ouverte, avec des personnalitĂ©s du monde de la technologie comme le cofondateur d’Apple Steve Wozniak, appelant Ă une pause dans le dĂ©veloppement du LLM GPT d’OpenAI. Les experts du secteur ont estimĂ© que la prochaine itĂ©ration du LLM, GPT-5, pourrait se rĂ©aliser et ouvrir la porte Ă l’inconnu en matière d’IA. « MĂŞme si quelques startups d’IA pourraient pâtir de cette situation, elles ne sont pas les seules sur le marché », a dĂ©clarĂ© Luis Ceze, CEO de la plateforme de dĂ©ploiement de modèles d’IA OctoML, professeur Ă l’universitĂ© de Washington et investisseur en capital-risque chez Madrona Ventures. « Par exemple, l’open source offre aujourd’hui un tas de modèles qui permettent aux entreprises de se diversifier. Ce faisant, ces startups peuvent se transformer rapidement et minimiser les risques ». Selon lui, l’affaire OpenAI pourrait avoir un « effet positif majeur » dans la mesure oĂą de nombreux modèles open source surpassent dĂ©jĂ GPT-4 en termes de prix, de performances et de rapiditĂ©. Ils ne sont tout simplement pas encore reconnus.
Cisco a mis Ă jour plusieurs services de sĂ©curitĂ© rĂ©seau après la dĂ©couverte de failles critiques. Celles-ci conduisent Ă l’injection de commandes ou la gĂ©nĂ©ration de dĂ©nis de service.
Les administrateurs réseaux et les équipes de sécurité sont mobilisés pour appliquer rapidement les correctifs publiés par Cisco. Ces patchs concernent plusieurs produits de sécurité réseau de la firme : Firepower, Identity Services Engine (ISE) et Adaptive Security Appliance (ASA). La CISA (équivalent de l’Anssi aux Etats-Unis) a publié une alerte sur ces dispositifs qui offrent aux attaquants une position privilégiée sur le réseau pour se déplacer latéralement.
Un risque d’injection de commandes pour la faille la plus grave
La faille la plus grave se trouve dans le logiciel Management Center de Firepower. Elle donne Ă un attaquant authentifiĂ© la capacitĂ© d’envoyer des commandes de configuration non autorisĂ©es aux dispositifs Firepower Threat Defense (FTD). Le cybercriminel peut s’authentifier sur l’interface web et exploiter la vulnĂ©rabilitĂ© en envoyant une requĂŞte HTTP spĂ©cialement conçue au terminal cible.
MĂŞme si Cisco ne prĂ©cise pas dans son avis quelles actions peut rĂ©aliser le pirate grâce Ă ces commandes de configuration, la faille est considĂ©rĂ©e comme critique. La brèche n’existe que dans le logiciel Management Center Software, de sorte que les Ă©quipements FTD autonomes gĂ©rĂ©s par Firepower Device Manager (FDM) ne sont pas concernĂ©s. Le logiciel Adaptive Security Appliance (ASA), prĂ©dĂ©cesseur de Firepower, n’est pas non plus affectĂ©.
D’autre failles sérieuses
Deux autres vulnĂ©rabilitĂ©s liĂ©es Ă l’injection de commandes ont Ă©galement Ă©tĂ© corrigĂ©es dans Firepower Management Center, mais elles peuvent entraĂ®ner l’exĂ©cution de commandes sur le système d’exploitation sous-jacent, et non sur les terminaux managĂ©s. Pour exploiter ces faiblesses, l’attaquant doit aussi disposer d’informations d’identification valides, mais il n’est pas nĂ©cessaire qu’il s’agisse du compte administrateur. Ces deux vulnĂ©rabilitĂ©s ont Ă©tĂ© qualifiĂ©es de « gravitĂ© Ă©levĂ©e ».
Un quatrième bug d’injection de code a Ă©tĂ© dĂ©couvert et corrigĂ© dans Firepower Management Center et Firepower Threat Defense. Le problème se situe dans un mĂ©canisme de communication entre terminaux et permet Ă un attaquant authentifiĂ© d’exĂ©cuter des commandes en tant que root. Cependant, pour y parvenir, l’attaquant doit avoir le rĂ´le d’administrateur sur un dispositif FTD pour cibler le dispositif Management Center, ou avoir des privilèges d’administrateur sur Management Center pour exĂ©cuter des commandes root sur un dispositif FTD associĂ©. Deux problèmes d’injection de commandes de haute gravitĂ© ont Ă©galement Ă©tĂ© corrigĂ©s dans Identity Services Engine (ISE) et pourraient offrir Ă un attaquant local authentifiĂ© d’exĂ©cuter des commandes en tant que root sur le système d’exploitation sous-jacent. L’ISE a par ailleurs reçu des correctifs pour deux failles aboutissant au tĂ©lĂ©chargement de fichiers arbitraires sur le terminal ou de dĂ©sactiver le traitement du protocole de dĂ©couverte Cisco Discovery Protocol (CDP).
D’autres vulnĂ©rabilitĂ©s exposent Ă un dĂ©ni de service
D’autres vulnĂ©rabilitĂ©s Ă haut risque pouvant entraĂ®ner des dĂ©nis de service ont Ă©tĂ© corrigĂ©es dans les logiciels Adaptive Security Appliance, Firepower Threat Defense,  Firepower Management Center et les pare-feu de la sĂ©rie Cisco Firepower 2100. Ces problèmes Ă©taient localisĂ©s dans les fonctionnalitĂ©s suivantes : le traitement des messages ICMPv6, le VPN d’accès Ă distance, les règles d’inspection du pare-feu, l’API Log, et l’inspection ICMPv6 avec dĂ©tection Snort 2.
La demande en automatisation est de plus en plus forte. Les entreprises vont de plus en plus se tourner vers les solutions de low-code, no-code. Selon Gartner, ce marché va progresser de 25% en revenu sur 2023.
AccĂ©lĂ©ration dans la crĂ©ation d’applications, automatisation des processus associĂ©es Ă un manque de compĂ©tences IT, il n’en faut pas plus pour faire des services low-code/no-code des axes prioritaires en 2023. Selon une Ă©tude rĂ©cente de Gartner, ce marchĂ© devrait connaĂ®tre une croissance des revenus de 25% pour atteindre pour atteindre environ 10 milliards de dollars en 2023 et 12,3 milliards de dollars en 2024. « Pour rĂ©pondre Ă la demande croissante de livraison rapide d’applications et de flux d’automatisation hautement personnalisĂ©s, les entreprises se tournent de plus en plus vers les technologies de dĂ©veloppement low-code », a dĂ©clarĂ© Varsha Mehta, chercheur senior spĂ©cialisĂ© dans les Ă©tudes de marchĂ© chez Gartner.
En dehors de ces plateformes, le marchĂ© plus global de « l’hyperautomatisation », comprenant notamment les outils de RPA ou d’iPaaS devraient atteindre près de 32 milliards de dollars en 2024, contre 18,5 milliards en 2021. « Le coĂ»t Ă©levĂ© des talents IT et la croissance de la main-d’Ĺ“uvre hybride ou sans frontières contribueront Ă l’adoption des technologies low-code », a dĂ©clarĂ© Jason Wong, vice-prĂ©sident analyste distinguĂ© chez Gartner. Par « main-d’Ĺ“uvre sans frontières ».
Revenus des technologies de développement low-code (en millions de dollars). (Crédit : Gartner)
Le low-code/no-code impliqué dans 70% des applications en 2025
Selon un rapport de Morgan Stanley, il y a aujourd’hui 26 millions de dĂ©veloppeurs dans le monde, avec un besoin de 38 millions prĂ©vu d’ici Ă 2024. L’automatisation via le low-code ou no-code peut ĂŞtre une rĂ©ponse Ă cette pĂ©nurie. Gartner prĂ©voit que d’ici Ă 2025, 70 % des nouvelles applications dĂ©veloppĂ©es par les entreprises utiliseront ces technologies, contre moins de 25 % en 2020. Les dĂ©partements IT restent sous tension en termes de recrutement de talents informatiques alors que le phĂ©nomène de Grande DĂ©mission se poursuit et que les projets de digitalisation en cours augmentent la pression sur les ressources existantes.
En fait, selon une Ă©tude de Salesforce, 72 % des responsables IT affirment que le stock de projets les empĂŞchent dĂ©sormais de travailler sur d’autres initiatives stratĂ©giques. Selon Jason Wong, les dĂ©veloppeurs novices au sein des mĂ©tiers utilisent des applications low-code ou no-code pour rĂ©pondre aux besoins de l’entreprise et amĂ©liorer la productivitĂ©, l’efficacitĂ© et l’agilitĂ©, souvent au sein d’Ă©quipes fusionnĂ©es.
Selon une rĂ©cente Ă©tude de Gartner, 74 % des achats IT sont financĂ©s, au moins partiellement, par les mĂ©tiers. Seuls 26 % des investissements IT sont entièrement financĂ©s par l’IT. MĂŞme si les plates-formes d’applications low-code et no-code reprĂ©sentent le plus grand segment de marchĂ©, les plates-formes intĂ©grĂ©es de dĂ©veloppement devraient connaĂ®tre la croissance la plus rapide, avec une prĂ©vision de croissance de 30,2 % pour 2023. Selon le cabinet, l’automatisation des flux de travail, la crĂ©ation de formulaires Web, le rapprochement des donnĂ©es et du contenu entre plusieurs applications SaaS et la crĂ©ation de rapports et de visualisations de donnĂ©es font partie des cas d’usage typiques de ce type de plateformes. Gartner prĂ©voit que d’ici Ă 2026, les dĂ©veloppeurs n’appartenant pas aux services IT officiels reprĂ©senteront au moins 80 % de la base d’utilisateurs des outils de dĂ©veloppement low-code, contre 60 % en 2021.
Une aide à la ré-internalisation des compétences de développement
Le cabinet d’Ă©tudes IDC partage cet avis. Dans une note de recherche, il indique que la pĂ©nurie mondiale de dĂ©veloppeurs Ă temps complet passera de 1,4 million en 2021 Ă 4 millions en 2025, ce qui signifie que la main-d’Ĺ“uvre de dĂ©veloppeurs fonctionnait Ă 90,8 % de son potentiel en 2021, mais qu’elle ne sera plus qu’Ă 84,9 % en 2025. « Au moment oĂą les dĂ©veloppeurs novices se tournent vers les plates-formes low-code et no-code, environ un tiers des dĂ©veloppeurs professionnels utilisent Ă©galement ces outils pour simplifier le dĂ©veloppement et accĂ©lĂ©rer les temps de construction », a dĂ©clarĂ© John Bratincevic, analyste principal chez Forrester Research.
Une enquĂŞte rĂ©alisĂ©e en janvier par IDC auprès de 380 entreprises a montrĂ© que 48,6 % des rĂ©pondants achètent des plates-formes low-code ou no-code pour transfĂ©rer l’innovation en interne. Le deuxième motif le plus important justifiant l’achat de ces outils logiciels (39,3 %) met en avant « des besoins liĂ©s Ă une pandĂ©mie ». Les plates-formes low-code nĂ©cessitent moins de codage ; au lieu de cela, elles utilisent un ensemble d’outils modulaires (comparable Ă des Lego) pour crĂ©er des applications d’entreprise. Comparativement, les plates-formes no-code ne nĂ©cessitent que la saisie de texte pour les formules ou les expressions simples. Parmi les solutions les plus populaires figurent Zoho Creator, Microsoft PowerApps, Visual LANSA, Retool, m-Power, Appian, Mendix, OutSystems et Google App Maker. Certaines plates-formes low-code sont Ă©galement prĂ©-intĂ©grĂ©es pour fonctionner avec d’autres fournisseurs et leurs plates-formes, comme Salesforce, QuickBooks ou Oracle.
Attention à la sécurité
Si les plates-formes low-code simplifient la crĂ©ation d’applications d’entreprise, elles s’accompagnent de certains risques pour la sĂ©curitĂ©, car les utilisateurs ne sont pas toujours familiarisĂ©s avec les bonnes pratiques en la matière et n’ont pas forcĂ©ment conscience des vulnĂ©rabilitĂ©s potentielles ou peuvent ne pas les comprendre. Les logiciels low-code peuvent aussi ĂŞtre plus difficiles Ă adapter et Ă intĂ©grer aux services CRM et ERP existantes.
Selon Gartner, les investissements dans les technologies low-code qui soutiennent l’innovation et l’intĂ©gration composable vont aussi augmenter Ă mesure que les entreprises se transforment en « entreprise composable », c’est-Ă -dire en « entreprise agile et architecturĂ©e pour une adaptabilitĂ© en temps rĂ©el et une rĂ©silience face Ă l’incertitude ». « Les technologies low-code soutiennent l’entreprise composable en facilitant la crĂ©ation d’applications plus agiles et plus rĂ©silientes », a dĂ©clarĂ© Jason Wong.