Alors que la concurrence fait rage dans le domaine de l’IA, OpenAI est sous le feu des critiques pour avoir drastiquement réduit le temps consacré aux tests de sécurité de ses derniers modèles, notamment “o3”.
Autrefois saluée pour son engagement envers la responsabilité éthique, la société a récemment choisi de mettre ses modèles de langage de grande taille (LLMs) sur le marché plus rapidement, au détriment des tests de sécurité approfondis. Cette décision, motivée par la pression croissante de la concurrence et la demande incessante du marché, soulève des préoccupations sur les risques potentiels et la sécurité de ces technologies.
Selon des informations relayées par le Financial Times, les équipes internes ainsi que les groupes tiers chargés de ces évaluations n’auraient eu que quelques jours pour tester certains modèles récents, contre plusieurs mois auparavant. Une source ayant participé aux tests du modèle “o3” a exprimé son mécontentement, soulignant : « Nous avions des tests de sécurité bien plus approfondis lorsque cela avait moins d’importance ».
Accélération du développement au détriment de la sécurité
Sous la pression d’une concurrence acharnée de Google, Meta, xAI ou Mistral, OpenAI accélère considérablement le développement de ses modèles d’IA. Cette course à l’innovation vise à maintenir son avance, et le contraste est frappant : alors que GPT-4 avait été testé pendant six mois avant son lancement en 2023, OpenAI aurait fait pression pour lancer son modèle “o3” dès la semaine prochaine, accordant ainsi à certains testeurs moins d’une semaine pour effectuer leurs vérifications de sécurité, selon des sources proches du dossier.
Au-delà des aspects techniques, c’est aussi l’image de l’entreprise qui est en jeu. Autrefois à but non lucratif, OpenAI est régulièrement accusée de s’être éloignée de sa mission initiale, tournée vers l’intérêt général. Une stratégie perçue comme favorisant la vitesse et le profit au détriment de la sécurité pourrait durablement nuire à sa crédibilité. De nombreux experts estiment en effet qu’un temps de test aussi court risque de compromettre la qualité du modèle dès sa mise en ligne. « Si le modèle génère des erreurs graves ou des contenus problématiques, cela sapera la confiance du public et freinera son adoption », avertit Pareekh Jain, PDG et analyste principal chez Parekh Consulting.
Des protocoles de test remis en question
Les critiques pointent également du doigt un autre problème : les tests sont souvent réalisés sur des versions préliminaires des modèles, alors que les versions finales peuvent être modifiées après cette phase de validation. Un ancien membre de l’équipe OpenAI a qualifié cette pratique de « mauvaise », en raison du risque de décalage entre ce qui est évalué et ce qui est réellement lancé.
Et si l’Union européenne a récemment adopté une réglementation plus stricte en matière d’IA, il n’existe toujours pas de cadre mondial harmonisé sur les tests de sécurité des modèles. De nombreux experts appellent à une régulation plus robuste, qui imposerait des standards clairs avant toute mise sur le marché.
Dans la dernière version de Windows 11 Entreprise, Microsoft propose d’appliquer les mises à jour de sécurité sans avoir besoin de redémarrer le PC.
En début de mois, Microsoft a publié la version 24H2 de Windows 11 Enterprise avec une fonction très attendue par les administrateurs systèmes et les spécialistes de la sécurité : le hotpatching. En effet, selon nos confrères de Bleepingcomputer, l’éditeur propose d’installer les mises à jour de sécurité de l’OS en les téléchargeant et en les appliquant en arrière-plan sans redémarrer le PC.
Pour cela, il déploie les patchs de sécurité en corrigeant le code en mémoire des processus en cours d’exécution, sans les redémarrer après chaque installation. Microsoft indique :« avec les mises à jour à chaud, vous pouvez rapidement prendre des mesures pour protéger votre entreprise contre les cyberattaques, tout en minimisant les perturbations pour les utilisateurs. Vous devez d’abord créer une politique de mise à jour, puis l’activer par hotpatch dans Windows Autopatch via la console Intune ».
L’éditeur précise que les PC ainsi éligibles « se verront proposer le hotpatching selon un cycle trimestriel. Huit mois sur douze, vous n’aurez pas besoin de redémarrer le PC pour que les correctifs soient effectifs ». Pour activer cette fonction, il faut disposer d’un abonnement Windows 11 Enterprise E3, E5 ou F3 ou Windows 11 Education A3 ou A5 ou Windows 365 Enterprise. Les autres conditions requises sont un processeur x64 AMD64 ou Intel, la sécurité basée sur la virtualisation (VBS) activée et Microsoft Intune pour gérer le déploiement des mises à jour à chaud. Microsoft a précisé que la fonction est encore en mode preview pour les terminaux sous Arm64.
Une exploitation réussie d’une faille décelée dans Apache Parquet ouvrirait la voie aux attaquants pour voler des données, installer des logiciels malveillants, voire prendre le contrôle total de systèmes big data.
Des attaquants pourraient exploiter une faille dans le code de gestion de Parquet, le format de fichier de données en colonnes open source d’Apache, pour exécuter du code arbitraire sur les instances vulnérables. Ce trou de sécurité, référencé CVE-2025-30065, introduit un problème de désérialisation (CWE-502) dans la bibliothèque Java de Parquet pouvant déboucher sur l’exécution de fichiers Parquet malveillants. « Cette vulnérabilité peut avoir un impact sur les pipelines de données et les systèmes d’analyse qui importent des fichiers Parquet, en particulier lorsque ces fichiers proviennent de sources externes ou non fiables », a expliqué Endor Labs dans un billet de blog. Les entreprises qui utilisent Parquet pour leurs piles de big data et d’analyse, un cas d’usage courant pour le stockage de données en colonnes de Parquet, doivent faire pression pour que cette faille soit corrigée immédiatement afin d’éviter une prise de contrôle potentielle du système.
Les implémentations Java d’Apache Parquet concernées
La bibliothèque Parquet Java, une implémentation de référence pour travailler avec les fichiers Parquet dans l’écosystème Java, est affectée dans les versions antérieures à 1.15.1. « Nos propres données indiquent que ce problème a été introduit dans la version 1.8.0, mais les directives actuelles prévoient l’examen de toutes les versions antérieures », indique Endor Labs. Même si les détails techniques d’un exploit potentiel restent à venir, un module spécifique, Parquet-avro, découvert dans la bibliothèque, rend possible la désérialisation de données non fiables et l’exécution de codes envoyés à distance sous forme de fichiers Parquet élaborés. Toute application ou service utilisant la bibliothèque Java, y compris les frameworks de big data populaires comme Hadoop, Spark et Flink, sont susceptibles d’être attaqués. « L’exécution de code à distance (Remote Code Execution, RCE) qui en résulte sur les systèmes des victimes peut permettre aux attaquants de prendre le contrôle des systèmes, d’altérer ou de voler des données, d’installer des logiciels malveillants et/ou de perturber les services », a ajouté Endor Labs.
Pas d’exploit connu à date
Ni Endor Labs ni l’entrée NVD du NIST n’ont signalé de tentatives d’exploitation de la vulnérabilité CVE-2025-30065 à date. Apache a publié discrètement un correctif avec la version 1.15.1 le 16 mars 2025, avec une redirection GitHub vers les changements apportés dans la mise à jour. Endor Labs conseille de corriger rapidement la vulnérabilité, qui menace la confidentialité, l’intégrité et la disponibilité des systèmes concernés. Il a averti les développeurs que l’absence d’attaques signalées ne devrait pas retarder l’action, car le problème est maintenant connu du public. L’un des facteurs atténuants pour les entreprises vulnérables est la nécessité d’une interaction avec l’utilisateur pour une exploitation réussie. Seul un fichier Parquet malveillant importé par l’utilisateur dans leurs systèmes peut déclencher la vulnérabilité. Mais cela ne les met pour autant à l’abri très longtemps. Le mois dernier, une faille critique découverte dans un autre service d’Apache basé sur Java, Tomcat, a été exploitée dans les 30 heures qui ont suivi sa divulgation.
Empêtré dans une affaire de violation de données depuis plusieurs semaines, Oracle a prévenu ses clients que le piratage ne concernait pas sa plateforme Cloud Infrastructure mais des serveurs obsolètes. Mais plusieurs experts remettent en cause ce scénario.
Trois semaines après Oracle s’en tient à sa position, à savoir que sa principale plateforme OCI n’est pas impliquée, mais la confusion aurait peut-être pu être évitée grâce à une meilleure communication. Subir une violation est un défi énorme pour n’importe quelle organisation, mais il est parfois bien moindre que les problèmes de communication avec les clients, les journalistes et l’armée de chercheurs intéressés prêts à lever toute ambiguïté. Des semaines après que la faille a été rendue publique, ces ambiguïtés n’ont toujours pas été levées.” >la mise en ligne par un pirate de données prétendument issues de la compromission d’un serveur en production de service SSO d’Oracle, le fournisseur n’en démord pas. Malgré la confirmation de fuite de données par des clients, le fournisseur continue à minimiser la violation de données dont il a été victime, insistant dans un courriel envoyé aux clients cette semaine que le piratage n’a pas impliqué sa plate-forme principale, Oracle Cloud Infrastructure (OCI). Normalement, un tel démenti devrait mettre fin à l’histoire, mais les circonstances de cette violation et la réponse confuse de big red à ce sujet au cours des dernières semaines ont amené certains à remettre en question le compte-rendu de l’incident par l’entreprise. Le courriel de cette semaine affirmait que l’incident concernait « deux serveurs obsolètes » sans lien avec OCI ou les environnements cloud des clients.
« Oracle souhaite affirmer sans équivoque qu’Oracle Cloud – également connu sous le nom d’Oracle Cloud Infrastructure ou OCI – n’a PAS subi de violation de sécurité », indique la lettre. « Aucun environnement client OCI n’a été pénétré. Aucune donnée de client OCI n’a été consultée ou volée. Aucun service OCI n’a été interrompu ou compromis de quelque manière que ce soit », poursuit la lettre. Aucun mot de passe utilisable n’a été exposé car ils étaient « chiffrés et/ou hachés [….] Par conséquent, le pirate n’a pas été en mesure d’accéder aux environnements ou aux données des clients », conclut l’e-mail.
Des informations personnelles d’identification hackées
Mais si les « deux serveurs obsolètes » ne faisaient pas partie du système OCI, de quoi faisaient-ils partie ? Et à quelles données clients le pirate a-t-il eu accès, le cas échéant ? À ce stade, les opinions des chercheurs en sécurité et les contre-affirmations d’Oracle commencent à diverger. L’existence d’une brèche quelconque a été rendue publique pour la première fois en mars, lorsqu’un pirate utilisant le pseudonyme « rose87168 » a rendu public sur un forum de brèches le vol de six millions d’identifiants SSO et LDAP, parmi d’autres données sensibles, prétendument dérobées à la plateforme cloud de l’éditeur. Si c’est vrai, ce serait un gros problème car les identifiants SSO et LDAP, même hachés avec compétence, ne sont pas des éléments qu’un fournisseur de services cloud ou un client souhaiterait voir entre les mains d’un tiers.
Le pirate a déclaré à Bleeping Computer qu’il avait accédé au système Oracle en février, après quoi il avait tenté (en vain) de l’extorquer en échange de la non-divulgation des données. Mais même si les hachs restaient sécurisés, d’autres données sensibles pourraient être utilisées pour monter des attaques ciblées, a fait remarquer la société de sécurité Trustwave : « L’ensemble des données comprend des PII (informations personnelles d’identification), telles que les noms et prénoms, les noms d’affichage complets, les adresses électroniques, les fonctions, les numéros de département, les numéros de téléphone, les numéros de portable et même les coordonnées du domicile », écrivent les chercheurs de Trustwave, qui soulignent que les conséquences d’une telle violation pourraient être coûteuses. « Pour les entreprises concernées, une fuite comme celle-ci pourrait entraîner des responsabilités en cas de violation de données, des sanctions réglementaires, des atteintes à la réputation, des perturbations opérationnelles et une érosion à long terme de la confiance des clients », écrivent-ils.
Une ambiguïté persistante pas levée
Big red a par la suite démenti l’allégation de violation, déclarant aux médias : « Les informations d’identification publiées ne concernent pas l’Oracle Cloud. Aucun client d’Oracle Cloud n’a été victime d’une violation ou n’a perdu de données. » Au début du mois d’avril, l’entreprise a légèrement changé de tactique, admettant avoir été victime d’une violation tout en insistant sur le fait que les données avaient été extraites d’un « environnement existant » (alias Oracle Classic) datant de 2017. La société avait commencé à contacter ses clients, mentionnant que le FBI et CrowdStrike enquêtaient sur l’incident qui est venu s’ajouter à une autre violation de données – décrite comme un événement de cybersécurité – affectant sa filiale spécialisée dans les soins de santé, Health. Jusqu’ici, tout va bien en ce qui concerne les démentis d’Oracle, sauf que le pirate a ensuite partagé des données montrant son accès à login.us2.oraclecloud.com, un service qui fait partie d’Access Manager, le système IAM de l’entreprise utilisé pour contrôler l’accès aux systèmes hébergés par Oracle. Il est également apparu que certaines des données divulguées semblaient dater de 2024 ou 2025, mettant en doute l’affirmation d’Oracle selon laquelle elles étaient anciennes.
La principale plateforme OCI d’Oracle a-t-elle été violée ou non ? Tout le monde n’est pas convaincu par les dénégations catégoriques de l’entreprise. Selon Kevin Beaumont, éminent chercheur en sécurité, l’entreprise a essentiellement joué sur les mots pour différencier les serveurs Oracle Classic dont elle admet qu’ils ont été violés et les serveurs OCI, dont elle maintient qu’ils ne l’ont pas été. « Oracle a rebadgé les anciens services Oracle Cloud en Oracle Classic. Oracle Classic a l’incident de sécurité », a noté Beaumont dans une dissection de l’incident et de la réponse d’Oracle sur Medium. « Oracle nie qu’il s’agit d’Oracle Cloud en utilisant cet argument – mais il s’agit toujours de services Oracle Cloud, qu’Oracle gère. Cela fait partie de son travail de jouer sur les mots. » La société américaine a également contacté discrètement plusieurs clients pour confirmer l’existence d’une sorte de violation, a-t-il ajouté. Les parties intéressées ont donc le sentiment insatisfaisant que quelque chose de fâcheux s’est produit, sans savoir exactement de quoi il s’agit.
Pour l’instant, Oracle s’en tient à sa position, à savoir que sa principale plateforme OCI n’est pas impliquée, mais la confusion aurait peut-être pu être évitée grâce à une meilleure communication. Subir une violation est un défi énorme pour n’importe quelle entreprise, mais il est parfois bien moindre que les problèmes de communication avec les clients, les journalistes et l’armée de chercheurs intéressés prêts à lever toute ambiguïté. Des semaines après que la faille a été rendue publique, ces ambiguïtés n’ont toujours pas été levées.
Selon Fortinet, l’ajout du support de FortiAI à sa plateforme phare Security Fabric renforce la protection contre les menaces et simplifie les opérations de réseau et de sécurité.
Le support de l’IA s’applique à l’ensemble de la plateforme de cybersécurité afin de protéger les entreprises clientes contre l’évolution des menaces et de simplifier les opérations de réseau et de sécurité. Plus précisément, l’extension de la technologie FortiAI à la plateforme Security Fabric offre aux clients une automatisation plus intelligente, une défense proactive et une efficacité opérationnelle supérieure à l’implementation actuelle. Basé sur le langage naturel et l’IA, l’assistant de sécurité FortiAI promet d’améliorer la gestion des opérations de sécurité et celle du réseau. À l’origine, l’assistant FortiAI faisait partie de la plateforme de gestion des informations et des événements de sécurité SIEM (Security Information and Event Management) FortiSIEM et du produit d’orchestration, d’automatisation et de réponse à la sécurité FortiSOAR (Security Orchestration, Automation, and response) de Fortinet. Plus récemment, le fournisseur a ajouté la prise en charge de FortRAI à son offre cloud FortiNetwork Detection and Response (FortiNDR). Il est désormais profondément intégré dans le Security Fabric afin d’étendre la détection et l’analyse des menaces basées sur l’IA.
« Avec l’intégration de FortiAI et des nouvelles capacités d’IA alimentées par agent à la plateforme Fortinet Security Fabric, nos clients disposent des moyens de réduire la charge de travail de leurs analystes sécurité et réseau tout en améliorant l’efficacité, la rapidité et la précision de leurs opérations de sécurité et de réseau », a déclaré Michael Xie, fondateur, président et directeur de la technologie chez Fortinet, dans un communiqué. « Parallèlement, la couverture de l’écosystème Fabric a été étendue pour que les clients puissent surveiller et contrôler l’utilisation des services basés sur la GenAI au sein de leur entreprise ».
Parmi les nouvelles fonctionnalités, on peut citer :
– La possibilité de hiérarchiser les notifications de sécurité en fonction du risque, du contexte et des modèles historiques, de supprimer les alertes en doublon et de ne signaler que les menaces à forte probabilité.
– La prise en charge de la chasse aux menaces adaptative, qui analyse les journaux, le trafic réseau et le comportement des utilisateurs pour rechercher les menaces sans attendre une intervention humaine.
– La possibilité d’effectuer une recherche des causes profondes, en s’appuyant sur un raisonnement basé sur l’IA pour identifier l’origine, la méthode et l’impact d’une attaque.
– Une amélioration de la défense proactive grâce à la corrélation des schémas d’attaque et à l’attribution des tactiques de l’adversaire.
– Une prise en charge de l’automatisation de la configuration du réseau et des mises à jour de la politique de sécurité, de la validation et de la correction des configurations existantes.
Fortinet a également intégré une fonctionnalité appelée FortiAI-Protect au sein de la plateforme Security Fabric, laquelle fournit une visibilité, un contrôle et des capacités de détection des menaces avancées pour les applications d’IA des entreprises. « FortiAI-Protect peut détecter si les applications d’IA et de genAI utilisent plus de 6 500 URL d’IA », a précisé le fournisseur. L’idée est d’aider les équipes de sécurité à déterminer les cas d’usage prévus des applications d’IA, les modèles d’apprentissage qu’elles utilisent et où les données sont acheminées », a ajouté Fortinet. La solution utilise des techniques d’IA et d’apprentissage machine pour l’analyse de données à grande échelle afin de détecter et de neutraliser les menaces émergentes de logiciels malveillants. Le système apprend des modèles et les combine avec des indicateurs de menace connus pour développer une identification précise de cette menace.
Le gestionnaire d’actifs de l’Allemand Commerzbank migre progressivement une partie de son infrastructure cloud chez OVH. Objectif : retrouver la souveraineté des données et se conformer à la réglementation européenne, à l’heure où la politique américaine sème le doute sur l’intégrité des hyperscalers américains.
Et si l’ère Donald Trump 2.0 poussait finalement les entreprises européennes dans les bras des cloud locaux ? En Allemagne, après la décision du groupe Schwarz (Lidl, Kaufland) de développer, utiliser et vendre son cloud maison, c’est au tour de Commerz Real, gestionnaire d’actifs du groupe allemand Commerzbank, de s’échapper progressivement des cloud américains, en se tourne vers un acteur européen, en l’occurrence le Français OVHcloud.Né il y a plus de 50 ans, Commerz Real gère, pour le compte d’investisseurs, près de 35 Md€ d’actifs – fonds immobiliers et d’infrastructures basés sur des actifs corporels, investissements dans des entreprises.Fournisseur de services financiers d’envergure mondiale, il se doit ainsi à la fois de disposer d’une infrastructure informatique efficace et rentable et de se conformer à des exigences strictes en matière de protection des données et de sécurité de l’information. Cela se traduit par l’hébergement local des données sur le territoire de l’Union européenne, ainsi que par la sécurisation et le contrôle du stockage et du traitement des data. Les réglementations concernées sont en particulier le règlement général sur la protection des données (RGPD) et le Digital Operational Resilience Act (DORA), qui oblige les banques et les sociétés financières à faire preuve de résilience.Objectif souveraineté et Made in EUCommerz Real a donc décidé à l’avenir d’héberger une grande partie – sans plus de précision – de son infrastructure cloud chez le fournisseur de cloud français OVHcloud. Installé à Roubaix, ce dernier exploite plus de 40 datacenters cloud dans le monde, y compris à Francfort-sur-le-Main, dans plusieurs régions de France et à Varsovie (Pologne). « Nous voulons faire appel à un fournisseur européen en plus des grands cloud américains que nous utilisons déjà pour notre stratégie de cloud hybride [Microsoft Azure], afin de garantir la souveraineté des données et le Made in EU, précise Nikolaus Schmidt, directeur monde de la technologie et de l’innovation chez Commerz Real. OVHcloud et [l’intégrateur allemand] Controlware/Networkers nous ont totalement convaincus avec leur solution et leur modèle de transition. » Le prestataire a planifié une stratégie de migration pour les cinq prochaines années, s’appuyant sur des services managés qui soulagent l’équipe interne de Commerz Real de nombreuses tâches chronophages d’exploitation et de gestion des ressources cloud.Commerzbank n’est pas le seul à chercher à se libérer des liens avec les grands hyperscalers américains, dans un contexte d’extrême incertitude géopolitique. L’an dernier, le groupe de grande distribution Schwarz (Lidl, Kaufland) a en effet fait un pas encore plus important vers l’autonomie vis-à-vis des hyperscalers américains, en annonçant désormais disposer de son propre cloud hébergé en Allemagne, en complément de Google Cloud. La filiale informatique Schwarz Digit développe cette plateforme depuis 2018 et vend également l’hébergement à plusieurs administrations et entreprises privées. Schwarz a également développé ses propres services de cybersécurité.
Pour garantir les mesures de sécurité et de conformité qu’il estime nécessaire, Microsoft demande à tous les utilisateurs d’appliquer les dernières mises à jour de Teams sur leur ordinateur. Le cas échéant l’accès à cette application sera bloquée.
Microsoft ne rigole pas avec la sécurité de Teams. Lors de la publication d’une nouvelle version de l’application, l’éditeur a indiqué laisser aux utilisateurs 90 jours pour appliquer la mise à jour. S’ils ne le font pas, une « page de blocage » leur demandera d’installer la mise à jour avant de pouvoir recommencer à utiliser l’application. Des rappels de mise à jour récurrents sont envoyés au bout de 30 jours. Les utilisateurs qui ne souhaitent pas effectuer la mise à jour peuvent passer à l’application web. Microsoft justifie ce blocage en expliquant que les mises à jour garantissent à tous les utilisateurs d’utiliser l’application en toute sécurité et répondent à des mesures de conformité.
L’entreprise a fait cette annonce pour la première fois en novembre 2024. À l’époque, elle avait posté le message suivant sur le Centre de messages Microsoft 365 ; « Il est essentiel que Microsoft Teams soit à jour pour garantir la sécurité et la conformité de vos appareils. Par défaut, et comme prévu, Teams se met à jour automatiquement, ce qui permet de mettre à jour avec succès la plupart des clients dans le monde sans frais supplémentaires ».
Une exigence de maintenance
Microsoft Teams est régi par la politique de cycle de vie moderne qui exige que le client de bureau Teams soit maintenu à jour. […] Comme documenté, quand un client n’est plus à jour, l’utilisateur recevra des alertes récurrentes dans l’application, si l’application est obsolète depuis 30 à 90 jours, et une page de blocage empêchera l’utilisation de Teams, si l’application est obsolète depuis plus de 90 jours. À partir de ce délai, l’application propose des options de mise à jour, de contact avec l’administrateur IT ou les invite à utiliser Teams sur le web.
Par exemple, si la dernière application Teams est publiée le 1er janvier et que la mise à jour est pleinement disponible le 15 janvier, une alerte apparaîtra dans l’application 30 jours après, soit le 14 février. Un message plus récent indiquera les dates précises auxquelles la page de blocage s’affichera dans Teams. Sous Windows, le blocage de l’application desktop actuelle sera effectif le 11 avril 2025. Dans un environnement VDI, le blocage commencera le 6 mai 2025. Et sous macOS, il commencera le 15 mai 2025.
Ce mardi l’agence de régulation des banques nationales américaines a alerté le Congrès que des pirates informatiques avaient eu accès aux courriels du personnel. Plus de 150 000 mails ont été compromis.
Une cyberintrusion hors norme a touché l’Office of the Comptroller of the Currency (OCC). Qualifiée d’« extrêmement grave » celle-ci survient à un moment où « l’excellent travail effectué pour améliorer la cybersécurité aux États-Unis est soumis à une pression extraordinaire », a réagi, David Shipley, le directeur de Beauceron Security, un fournisseur canadien de formations de sensibilisation à la sécurité, après l’alerte émise le même jour par l’OCC. Ce bureau indépendant du département du Trésor affrète, réglemente et supervise toutes les banques nationales des États-Unis. Comme l’y oblige la loi sur la modernisation de la sécurité fédérale (Federal Security Modernization Act – FISMA), l’OCC a notifié au Congrès ce qu’il a qualifié « d’incident majeur de sécurité de l’information ». Le communiqué précise que « des examens internes et par des tiers indépendants avaient montré que des courriels de l’OCC et des pièces jointes aux courriels avaient fait l’objet d’un accès non autorisé. »
Le 11 février 2025, l’OCC a appris qu’il y avait eu des interactions inhabituelles entre un compte d’administration dans son environnement bureautique et les boîtes aux lettres des utilisateurs de l’OCC. Le 12 février, l’OCC a confirmé que l’activité n’était pas autorisée et a immédiatement déclenché ses protocoles de réponse aux incidents, qui comprennent le lancement d’une évaluation indépendante de l’incident par un tiers et le signalement de l’incident à l’agence de cybersécurité et de sécurité des infrastructures (CISA). Le 12 février, l’OCC a désactivé les comptes d’administration compromis et confirmé que l’accès non autorisé avait pris fin. L’OCC a publié un avis public sur l’incident le 26 février.
Des investissements attendus pour renforcer la sécurité
Un rapport publié mardi indique que « des attaquants inconnus qui se sont introduits dans l’Office of the Comptroller of the Currency (OCC) du Trésor en juin 2023 ont eu accès à plus de 150 000 courriels ». Selon M. Shipley, le meilleur scénario serait que l’intrusion a été pilotée par un État-nation qui ferait simplement de l’espionnage et du travail préparatoire. Si c’est le cas, « l’OCC et le secteur bancaire national en général seraient très, très chanceux ». Le pire scénario serait « qu’une ou plusieurs entités réglementées par l’OCC aient été violées à la suite de la compromission des courriels », a-t-il ajouté. « C’est stupéfiant, et cela arrive à un moment où le bon travail réalisé pour améliorer la cybersécurité aux États-Unis est soumis à des pressions extraordinaires, à la fois pour limiter les gains et les connaissances en matière de réglementation, et aussi simplement les ressources pour s’attaquer à ce problème. »
M. Shipley espère que « cette alerte est suffisamment grave pour engager immédiatement des investissements en vue de protéger l’infrastructure critique des États-Unis ». Il compte aussi sur la publication d’un rapport complet et transparent sur l’intrusion pour pouvoir en tirer des leçons. Il estime également que malgré son rôle de régulateur ne signifie pas pour autant que l’OCC bénéficiait des ressources nécessaires pour se protéger. « Il y a lieu de se demander si ces agences extrêmement importantes disposent des ressources nécessaires pour se protéger. Et il y a fort à parier que si l’on y regarde de plus près, on trouvera des équipes IT extraordinairement sollicitées, surchargées de travail et ne disposant pas de fonds suffisants pour se protéger. C’est très ironique, mais je ne serais pas surpris ». Quant à l’identité du commanditaire de l’intrusion, M. Shipley trouve que, quel qu’il soit, « il est vraiment très audacieux de s’en prendre au département du Trésor », car c’est là qu’opèrent les services secrets. « C’est là que le Secret Service enquête sur la cybercriminalité financière, on peut donc dire que c’est l’une des agences les mieux dotées en ressources de la planète. Or, une entité s’est sentie assez audacieuse pour réussir ce coup, et depuis longtemps. Cela devrait effrayer pas mal de gens ».
Un briefing cybersécurité de haut niveau pour Rodney E. Hood
Dans une déclaration envoyée par courriel mardi soir, un porte-parole de l’OCC a déclaré que l’agence avait appris l’existence d’un accès non autorisé à son système de messagerie électronique le lendemain de l’entrée en fonction du contrôleur de la monnaie par intérim, l’Acting Comptroller of the Currency, Rodney E. Hood. Le 25 février, M. Hood « a reçu un briefing de haut niveau sur cet incident, et l’OCC a publié un avis public sur l’incident le jour suivant. À ce moment-là, M. Hood n’avait pas reçu d’informations détaillées sur la durée totale de l’accès non autorisé, ni sur le nombre et le contenu spécifiques des communications électroniques affectées », a indiqué le porte-parole, notant que l’OCC avait fait appel à des experts en cybersécurité tiers pour effectuer un examen complet sur l’enquête et les analyses médico-légales. « L’OCC applique un programme complet de sécurité de l’information et de cyberprotection pour protéger ses ressources d’information critiques, y compris les informations sensibles des institutions financières dont elle a la garde », a rappelé le porte-parole. L’agence met en œuvre des contrôles de sécurité et de confidentialité qui respectent ou dépassent les normes du National Institute of Standards and Technology (NIST), et elle évalue continuellement ces contrôles afin d’en mesurer l’efficacité.
Déjà tombée (ou pas) dans l’oubli, la panne provoquée en juillet dernier par Crowstrike a été la plus coûteuse de l’histoire des technologies de l’information. Et ce d’au moins un ordre de grandeur. Qu’avons-nous appris pour éviter qu’une telle crise ne se reproduise ?
L’été dernier, une mise à jour défectueuse du logiciel Crowdstrike a mis hors service des millions d’ordinateurs, causant des milliards de dommages. Une mise en évidence des risques liés aux tiers qu’encourent les entreprises ou des limites de leur capacité de réaction aux perturbations. « Il s’agit d’une étude de cas intéressante sur l’impact cyber mondial », déclare Charles Clancy, directeur de la technologie de la société Mitre, spécialisée dans la…
Il vous reste 97% de l’article à lireVous devez posséder un compte pour poursuivre la lecture
Vous avez déjà un compte?
Impliqué depuis de nombreuses années dans le développement des normes de réseaux mobiles, Apple suit logiquement de près l’établissement de la norme 6G.
Avec sa puce modem C1 5G et son énorme division dédiée au développement des technologies réseaux, Apple joue un rôle majeur dans le développement de la norme de réseau mobile sans fil de prochaine génération. Lors d’une récente session d’atelier organisé dans le cadre du 3rd Generation Partnership Project (3GPP) à Séoul, l’entreprise a partagé sa vision et ses priorités pour la norme 6G en cours de développement. En particulier, Apple a insisté sur la nécessité de fournir une bonne expérience utilisateur, avec des opérations de mise en réseau stables et cohérentes, une compatibilité ascendante et une meilleure efficacité énergétique. L’entreprise a également souligné qu’une fois la 6G introduite, les fonctions et les terminaux qu’elle est censée prendre en charge devraient être disponibles dès le premier jour.
La firme a confirmé l’appel dans l’affaire qui l’oppose au Royaume-Uni sur le chiffrement des données personnelles. L’entreprise juge cette position autoritaire et technologiquement dangereuse et montre que la vie privée et la sécurité sont importantes pour elle. C’est la raison pour laquelle elle demande que la protection de la vie privée des utilisateurs soit la « pierre angulaire de l’architecture 6G ». (Cette demande pourrait s’avérer sans objet, compte tenu de l’ampleur des données collectées par les opérateurs de téléphonie mobile). Si l’atelier a exploré de nombreux détails, Apple estime nécessaire de corriger dans la 6G le défaut de cohérence de la 5G.
Une architecture 6G AI friendly souhaitée par Apple
En effet, au moment de la disponibilité de la 5G, la norme a été déclinée en plusieurs versions qui n’ont pas toutes été utilisées. Cette diversité a créé une certaine confusion et a probablement freiné l’adoption et la mise en œuvre des cas d’usage pertinents. Au final, selon la version utilisée, la 5G n’est pas toujours vraiment de la 5G. Apple, qui travaille depuis des années sur la 6G, pense que la prochaine norme doit être encore plus simple et qu’elle devrait prendre en charge d’emblée la majorité des appareils. Il est assez surprenant de constater que l’entreprise attache plus d’importance à une couverture cohérente, à une bonne autonomie de la batterie et à l’absence de latence qu’à une connectivité plus rapide. En d’autres termes, elle souhaite que la 6G soit aussi cohérente et facile à utiliser/déployer que n’importe quel produit Apple. Compte tenu de sa position unique en tant que fournisseur d’appareils mobiles, le groupe exhorte également les organismes de normalisation à promouvoir la faible consommation d’énergie, car elle sait que la réduction des besoins énergétiques des technologies réseaux prolonge considérablement la durée de vie des batteries.
Concernant l’architecture, la société insiste sur la prise en charge de l’IA/ML dans et par cette norme, sur la détection et les communications intégrées (Integrated Sensing and Communications, ISAC), sur le partage du spectre et sur la prise en charge étendue des fréquences. Elle souhaite aussi une meilleure intégration entre le satellite et les réseaux terrestres, mais n’a pas l’air de croire à la mise à disposition de nouveaux spectres 6G. Pour ce qui est de la rétrocompatibilité, l’entreprise précise que si la 6G n’est pas censée être rétrocompatible, elle devrait prendre en charge dès le départ les fonctionnalités et les cas d’usage de la 5G qui seront introduits ultérieurement. La 6G doit également être compatible avec les technologies à venir, ce qui signifie que de nouvelles fonctionnalités, de nouveaux services et de nouveaux cas d’usage pourront être déployés au fil du temps. L’entreprise pense que cet aspect pourrait s’avérer particulièrement important pour les nouvelles fonctions réseaux basées sur l’IA. Il est certain que la technologie de mise en réseau doit pouvoir être améliorée progressivement, comme devrait l’être n’importe quelle technologie pilotée par logiciel.
Une volonté de cohérence
Dans une large mesure, les priorités d’Apple en matière de développement de la 6G reflètent l’approche plus large que l’entreprise adopte pour tous ses produits : simplicité pour l’utilisateur, faible consommation d’énergie et expériences cohérentes. Il n’est donc pas surprenant que la firme à la pomme souhaite la même chose pour la technologie réseau de prochaine génération, une « conception propre et allégée dès le premier jour ». Les idées du fournisseur seront probablement adoptées par certaines des nombreuses entreprises qui participent aux groupes de travail du 3GPP 6G, en particulier parce que le constructeur compte désormais dans ses rangs des experts très respectés en matière de normes réseau. Mais il faudra attendre la fin de l’année 2029, date de la publication du premier ensemble de spécifications, pour savoir si cette tentative réussit. Il est clair qu’Apple souhaite que la spécification soit active d’ici à 2030, et l’urgence avec laquelle elle recherche la cohérence et la prise en charge totale de la norme laisse penser que l’entreprise ne tardera pas à commercialiser un iPhone 6G.