La société franco-américaine Hugging Face met un pied supplémentaire dans la robotique… ou du moins dans la distribution de robots. Elle a en effet annoncé lundi l’acquisition de la startup bordelaise Pollen Robotics, qui conçoit et vend un robot humanoïde baptisé Reachy, avec une approche résolument open source.
« Le premier robot que nous proposons est Reachy 2, votre petit compagnon de laboratoire convivial pour l’ère de l’IA, déjà utilisé dans des laboratoires comme Cornell ou Carnegie Mellon. C’est un robot humanoïde de pointe, open source et compatible avec la réalité virtuelle, conçu pour la recherche, l’éducation et les expériences d’IA incarnée. Vous pouvez d’ores et déjà le commander pour 70 000 dollars ! », se réjouit l’acquéreur, selon qui la robotique constituera « la prochaine interface de l’IA ».
Dévoilé à l’automne 2024, Reachy 2 adopte des traits mi-Pixar, mi-Skellington, avec une tête, deux bras et un tronc rayé. Le robot ne dispose cependant pas de jambes, mais d’une base circulaire, éventuellement motorisée.
Développé à Bordeaux, par une équipe d’une trentaine de personnes, il ambitionne, selon ses créateurs interrogés par Placéco, de devenir la plateforme de référence « des entreprises qui collectent et génèrent énormément de données, pour créer des bibliothèques et des modèles d’intelligence artificielle appliquée à la robotique ».
Reachy peut désormais se targuer d’avoir convaincu l’une des premières d’entre elles. Hugging Face a de son côté investi depuis mai 2024 le champ de la robotique, avec la mise en ligne d’une plateforme dédiée, LeRobot, qui référence et donne accès à des modèles d’IA et des outils dédiés au développement d’applications robotisées.
Deux responsables de Google viennent de rappeler aux éditeurs de sites web que la création en masse de grandes quantités de contenu, en particulier à l’aide de l’IA, relève du « spam » (sauf si elle fait montre d’originalité et offre une réelle valeur ajoutée). Or, l’algorithme de recommandation de contenus Discover de Google promeut (au moins) une quarantaine de sites générés par IA (GenAI), dont plusieurs relaient rumeurs et infox.
Parmi les 3 500 sites d’infos générés par IA (GenAI) que nous avons identifiés, une quarantaine (au moins) ont été mis en avant par Discover, la « fonctionnalité de la recherche Google qui présente aux internautes des contenus en rapport avec leurs centres d’intérêt, en fonction de leur activité sur le Web et les applications » (que, pour notre part, nous avons utilisée sans aucune personnalisation, et en désactivant l’historique des recherches, de sorte d’avoir des recommandations aussi « neutres » que possible).
Si deux de cette quarantaine de sites d’infos GenAI recommandés par Google font partie du groupe de presse Économie Matin, tous les autres émanent de professionnels du SEO. Les pics de trafic que connaissent les articles apparaissant sur Discover sont tels que les revenus publicitaires associés sont devenus une véritable « machine à cash » pour ces mercenaires de l’info.
Non contents, pour la plupart, de paraphraser, voire plagier des articles écrits par de véritables journalistes, ils relaient aussi de nombreuses rumeurs et infox, « hallucinées » par leurs IA, et racontent souvent « n’importe quoi », pour reprendre le célèbre mème d’Anouk Ricard (cf son compte Instagram), Grand Prix de la 52ᵉ édition du Festival International de la Bande Dessinée d’Angoulême.
Ce qui ne les empêche donc pas d’être mis en avant par l’algorithme Discover de Google, au mépris des propres règles de ce dernier, allant parfois jusqu’à afficher deux articles GenAI de suite, comme en témoignent ces captures d’écran.
Captures d’écran d’articles GenAI relayant des rumeurs mais néanmoins promus sur Google Discover
Quelques sites GenAI pénalisés… suite à un reportage de France 2 ?
Il reste 83% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Dans un memo rendu public sur X, le directeur général de Shopify Tobi Lutke a déclaré modifier l’approche de son entreprise en termes de ressources humaines.
Il intime à ses équipes de prouver que des tâches ne peuvent être réalisées à l’aide de l’intelligence artificielle avant de demander une augmentation de ressources ou d’équipes.
Et de préciser que l’usage de l’IA est une « attente fondamentale » envers les équipes de Shopify, dans la mesure où elle aurait « multiplié » la productivité de ceux qui l’utilisent.
Comme le relève CNBC, la directive est formulée alors que les entreprises du numérique investissent des milliards de dollars dans le développement de l’intelligence artificielle, en même temps qu’elles licencient régulièrement.
En 2024, selon le décompte de Layoffs.fyi, 152 000 postes ont été supprimés dans 549 entreprises de la tech.
Chez Shopify, les équipes totalisaient 8 100 personnes au mois de décembre, contre 8 300 plus tôt en 2024. L’entreprise avait supprimé 14 % de ses équipes en 2022 et 20 % en 2023.
Par rapport à ses concurrents, Free était largement à la traine sur l’activation d’IPv6 pour ses clients mobiles. Au dernier décompte, l’opérateur était à 99 % sur le fixe, mais à seulement 1 % sur le mobile. L’activation par défaut est en route.
C’est via un message sur X que l’opérateur annonce la bonne nouvelle : « l’IPv6 est désormais activée par défaut pour nos nouveaux abonnés ! Pour nos abonnés actuels, l’activation de l’IPv6 a commencé début mars et sera étalée sur plusieurs semaines ». L’opérateur affirme vouloir généraliser l’IPv6, comme c’est le cas sur les Freebox.
Free Mobile : de 1 % des clients activés en IPv6 à… ?
Dans son observatoire annuel sur l’état de l’Internet en France, l’Arcep tient les comptes des taux de clients activés en IPv6 (on parle bien de clients activés, pas de savoir si l’option est disponible ou non). Selon le dernier rapport, mise en ligne pendant l’été 2024, Free était à seulement 1 % des offres grand public en IPv6 et 0 % sur les offres Pro.
Free Mobile était loin derrière ses concurrents. Bouygues Telecom était largement en tête avec 91 % sur le grand public, suivi par Orange à 79 % et SFR à 62 %. On parle bien ici de lignes activées en IPv6, et donc avec le protocole utilisable.
« Si les principaux opérateurs proposent tous de l’IPv6, la différence se fait sur l’activation » et sur le système d’exploitation, rappelait à juste titre l’Arcep. C’était un des points noirs de Free Mobile : IPv6 n’était pas activé par défaut et donc peu de client changeaient cette option, qui est disponible depuis des années.
Pour celles et ceux qui seraient passés à côté de la bonne nouvelle, l'IPv6 est disponible et activable depuis votre espace abonné.
L’année dernière, le régulateur rappelait que la situation était chaotique. Sur Android, « Bouygues Telecom, Orange et SFR activent par défaut l’IPv6 sur les mobiles Android dont la date de commercialisation est postérieure à 2018 (Bouygues), 2020 (Orange) et 2021 (SFR). Free n’active pas l’IPv6 par défaut ». C’est désormais le cas, mais la liste de compatibilité n’est pas précisée.
Passons aux iPhone : « Bouygues Telecom, Orange et SFR activent par défaut IPv6 sur les iPhone dont la version iOS est au minimum iOS 12.2 (Bouygues), iOS 13.0 (Orange pour iPhone 7 et plus récent), iOS 14.3 (SFR), iOS 15.4 (Orange pour iPhone 6S et SE) ».
Chez Free encore une fois pas de liste de compatibilité. Il y a trois ans, l’Arcep publiait le tableau récapitulatif suivant, accompagné de la procédure à suivre pour activer IPv6. Désormais, chez Free, c’est du « par défaut ».
Free à 99 % d’activés sur le fixe depuis des années
Sur le fixe par contre, Free est le bon élève depuis plusieurs années avec un taux d’activation de 99 % (depuis au moins 2020). Chez ses concurrents, c’est assez variable : 92 % chez Orange pour le grand public, 85 % chez Bouygues Telecom et 35 % seulement chez SFR. La marque au carré rouge prévoit d’atteindre 87 % mi-2026 et devrait être à 72 % au milieu de cette année.
La France deuxième sur le taux d’utilisation d’IPv6
L’Arcep rappelle que, « depuis le 25 novembre 2019, le RIPE NCC (le registre régional d’adresses IP, qui alloue les IPv4 pour l’Europe et le Moyen-Orient) est en pénurie d’IPv4 ». La transition vers IPv6 est donc une nécessité, connue depuis de très longues années.
Quoi qu’il en soit, la France n’est pas la plus mal lotie sur IPv6, loin de là. Sur la carte interactive du top 100 des pays avec le plus d’internautes, la France se classe en deuxième position (données de février 2025) avec un taux d’utilisation de 68,6 %, assez loin derrière le numéro 1 : l’Inde à 73,3 %. La Malaisie (66,6 %), l’Allemagne (65,6 %), la Belgique (65,1 %) et l’Arabie saoudite (60,7 %) complètent le classement.
Quatre agences chinoises ont annoncé vendredi une nouvelle série de règles qui obligeront les fournisseurs de services, à partir du 1ᵉʳ septembre 2025, à désigner comme tels les contenus générés par IA.
« Afin de répondre activement aux préoccupations sociales et aux préoccupations du public, l’Administration chinoise du cyberespace, en collaboration avec le ministère de l’Industrie et des Technologies de l’information, le ministère de la Sécurité publique et l’Administration d’État de la radio et de la télévision, a formulé une méthode d’étiquetage », explique la Cyberspace Administration of China (CAC).
« La loi sur l’étiquetage aidera les utilisateurs à identifier la désinformation et tiendra les fournisseurs de services responsables de l’étiquetage de leur contenu », précise la CAC dans un communiqué : « Il s’agit de réduire l’utilisation abusive des contenus générés par l’IA ».
Cette « méthode d’identification » vise à « promouvoir le développement sain de l’intelligence artificielle, à normaliser la génération d’identification de contenu synthétique par l’intelligence artificielle, à protéger les droits et intérêts légitimes des citoyens, des personnes morales, et d’autres organisations, et sauvegarder les intérêts publics sociaux ».
Des contenus GenAI dotés d’identifiants explicites et implicites
Le texte de la loi précise que « les identifiants de contenu synthétique générés par l’IA comprennent des identifiants explicites et des identifiants implicites ».
Les fournisseurs de services devront en effet « ajouter des identifiants explicites au contenu synthétique généré tel que du texte, de l’audio, des images, des vidéos, des scènes virtuelles, etc. », ainsi que des « identifiants implicites sous la forme de filigranes numériques » dans leurs métadonnées.
Ces dernières devront contenir des « informations sur les éléments de production telles que la génération d’informations sur les attributs de contenu synthétique, le nom ou le code du fournisseur de services et le numéro de contenu et d’autres informations sur les éléments de production ».
La loi précise d’autre part qu’ « aucune organisation ou individu ne peut supprimer, altérer, falsifier ou dissimuler de manière malveillante le logo de contenu synthétique généré spécifié dans les présentes mesures », ni fournir d’outils ou de services permettant à d’autres de commettre de tels « actes malveillants ».
Des initiatives similaires en Europe et aux États-Unis
La Chine rejoint ainsi l’Union européenne et les États-Unis qui ont, eux aussi, adopté des règlementations afin de contrôler les risques de désinformation en exigeant l’étiquetage des contenus synthétiques en ligne, souligne Bloomberg.
L’article 50 de l’AI Act européen prévoit en effet que « les fournisseurs de systèmes d’IA, y compris les systèmes d’IA à usage général, qui génèrent des contenus synthétiques audio, image, vidéo ou texte, veillent à ce que les résultats du système d’IA soient marqués dans un format lisible par machine et détectables comme étant générés ou manipulés artificiellement ».
« Les déployeurs d’un système d’IA qui génère ou manipule un texte publié dans le but d’informer le public sur des questions d’intérêt public doivent indiquer que le texte a été généré ou manipulé artificiellement », précise-t-il en outre.
Une obligation qui ne s’appliquera pas, cela dit, « lorsque le contenu généré par l’IA a fait l’objet d’un processus d’examen humain ou de contrôle éditorial et qu’une personne physique ou morale assume la responsabilité éditoriale de la publication du contenu ».
L’ancien président Joe Biden avait de son côté signé un décret, en octobre 2023, ordonnant l’élaboration de mécanismes efficaces pour authentifier les contenus et le suivi de leurs provenances, et étiqueter les contenus synthétiques, « par exemple à l’aide d’un filigrane ». Reste encore à savoir ce qu’en fera le gouvernement de Donald Trump.
La semaine passée, le conseil des ministres espagnol avait de son côté approuvé un projet visant à sanctionner les contenus n’indiquant pas qu’ils sont générés par IA. Si la Chine ne précise pas les pénalités qui pourraient être infligées, l’Espagne prévoit quant à elle des sanctions qui s’échelonneront de 500 000 à 7,5 millions d’euros, ou de 1 % à 2 % du chiffre d’affaires mondial des entités prises en défaut.
Hello mes chers amis, pourquoi pareille titraille me direz-vous ? Eh bien, j’ai fini à la bourre, et ai eu bien du mal à trancher dans mes idées cette semaine, tout simplement. Si je vous dis que j’ai de l’avance et que c’est à cause de ça que je suis en retard, vous ne me croirez pas. Je vous en garde donc peut-être sous le coude pour la semaine prochaine, si vous êtes sages !
Il reste 63% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Medefer, une société travaillant régulièrement avec le système de santé anglais, aurait eu pendant plusieurs années une API mal configurée qui aurait pu permettre l’exfiltration de données médicales sensibles. Aucun vol d’informations ne serait à déplorer, mais le cas rappelle le danger entourant les API mal configurées ou « perdues », comme le signalaient plusieurs rapports de sécurité l’année dernière.
Le NHS (National Health System) travaille en partenariats réguliers avec plusieurs entreprises du secteur privé. Parmi elles, Medefer, un géant anglais de la consultation externe, dont le produit doit permettre une accélération de la prise en charge. Dans le cadre de sa mission, il y a donc des échanges réguliers de données entre le NHS et les systèmes de Medefer.
Une porte grande ouverte
Hier, dans un article de la BBC, on apprenait que le NHS se penchait sur de sérieuses accusations : les données des patients auraient été vulnérables à des attaques à cause d’un bug chez Medefer. Plus précisément, une API (Application Programming Interface) était mal configurée, ce qui permettait en théorie de l’interroger pour obtenir des données médicales sensibles, sans vérifications particulières.
Ce qui est qualifié de « faille » a été découvert par un ingénieur, selon qui le problème existerait depuis au moins six ans. L’homme avait été embauché en octobre pour tester la sécurité des solutions logicielles de Medefer. La découverte a eu lieu en novembre et corrigée dans les jours qui ont suivi.
Un audit externe de sécurité a également commencé depuis fin février. Selon Medefer, rien ne prouve que le problème de configuration existe depuis aussi longtemps.
Une enquête est en cours pour définir plus précisément le périmètre du problème et de ses conséquences. Selon l’ingénieur (qui a tenu à rester anonyme), il est peu probable que des données aient été extraites, ce qui serait un immense coup de chance. Toutefois, il a invité à attendre le terme de l’enquête. Selon Medefer, les résultats préliminaires vont dans le même sens : aucune preuve de violation de données.
La société ajoute que le processus d’enquête est « extrêmement ouvert », que l’ICO (Information Commissioner’s Office) a été averti, tout comme la CQC (Care Quality Commission). C’est d’ailleurs cette dernière qui délivre les approbations permettant aux entreprises privées de nouer des échanges avec le NHS.
De novembre à février
Comme l’indique la BBC, la communauté des experts en cybersécurité n’est pas tendre avec Medefer. Beaucoup signalent ainsi que l’entreprise aurait beaucoup de chance si l’enquête et l’audit finissaient par ne révéler aucune fuite d’informations. Alan Woodward par exemple, de l’université de Surrey, rappelle ainsi que « la base de données peut être chiffrée et toutes les autres précautions prises, mais s’il existe un moyen de fausser l’autorisation de l’API, n’importe qui sachant comment faire peut y accéder ».
Pour le chercheur Scott Helme, il y a surtout un gros problème dans l’enchainement des évènements. Qu’aucune donnée n’ait été volée n’excuse pas le temps écoulé entre la découverte du problème en novembre et le déclenchement d’une enquête et d’un audit fin février. L’ingénieur qui avait trouvé le défaut de configuration avait pourtant recommandé de lancer immédiatement un audit.
Le NHS, de son côté, a rappelé que les organisations qui le composent ont la responsabilité de s’assurer que les prestataires privés « respectent leurs responsabilités légales et les normes nationales de sécurité des données ».
Plein feu sur les API
L’accident est d’autant plus visible que l’année 2024 a été marquée par un nombre croissant de rapports sur la recrudescence des attaques via les API. C’était le cas en janvier avec un épais document de Cloudflare, puis en août avec celui d’Akamai.
Les API sont de petits modules logiciels permettant d’interroger un produit pour obtenir des informations ou déclencher une action. Elles sont omniprésentes et notamment à la base du développement des applications sur les systèmes d’exploitation. Ces derniers exposent leurs capacités via des API, auxquelles le code des applications se réfèrent, pour des actions aussi variées que maximiser la taille d’une fenêtre ou faire appel à une solution de chiffrement gérée nativement.
Or, les rapports et chercheurs étaient formels : les entreprises ne font globalement pas assez attention à leurs API. Elles sont de plus en plus nombreuses et constituent autant de portes d’entrée, dont les accès doivent être sécurisés pour contrôler qui peut accéder aux ressources, selon le contexte.
Les rapports de Cloudflare et d’Akamai enjoignaient notamment les entreprises à dresser un inventaire complet et régulièrement mis à jour de toutes les API entourant leurs produits. Il fallait surtout référencer celles tournées vers l’extérieur, et donc accessibles par le réseau, internet ou autre. Ils alertaient également sur le danger des API fantômes : des interfaces créées il y a un certain temps et oubliées depuis.
L’entreprise de cybersécurité CrowdStrike explique dans son rapport annuel qu’en 2024, la plupart des cyberattaques n’utilisaient pas de logiciel malveillant, mais s’appuyaient plutôt sur ce qui se situe entre la chaise et le clavier : l’utilisateur. Cette utilisation massive de l’ingénierie sociale, qui s’appuie de plus en plus sur l’IA générative, pose des difficultés importantes de détection.
Les pirates utilisent de moins en moins de logiciels malveillants pour accéder à une machine ou aux données d’un utilisateur, selon le rapport annuel 2025 de CrowdStrike [PDF]. En 2024, 79 % des cyberintrusions n’auraient pas utilisé ce genre d’outils, contre 40 % en 2019.
L’entreprise de cybersécurité explique qu’« au lieu des logiciels malveillants traditionnels », les pirates « privilégient des méthodes plus rapides et plus furtives telles que le vishing, l’ingénierie sociale, les services de courtiers d’accès [access brokers, en anglais] et l’abus de relations de confiance ». Et rappelons que se faire avoir par le vishing n’arrive pas qu’aux autres.
CrowdStrike a constaté que le vishing avait plus que quadruplé entre le premier et le second semestre 2024 (+ 442 %). Elle explique que dans la plupart des campagnes de vishing de 2024, les pirates se sont fait passer pour un assistant informatique appelant les utilisateurs ciblés sous prétexte de résoudre des problèmes de connectivité ou de sécurité.
L’entreprise a suivi pendant l’année dernière six campagnes de la sorte « similaires, mais probablement distinctes ». Au cours de celles-ci, les attaquants se faisant passer pour du personnel informatique « ont appelé leurs cibles et tenté de les persuader d’établir des sessions d’assistance à distance, souvent à l’aide de Microsoft Quick Assist. Dans de nombreux cas, les appels ont été effectués via Microsoft Teams » à partir de locataires externes.
L’IA générative, outil de base du pirate
De plus, CrowdStrike pointe le fait que l’IA générative est « devenue un outil attrayant pour les pirates, avec une faible barrière à l’entrée qui la rend largement accessible ». Les progrès de cette technologie ont, selon l’entreprise, permis d’améliorer significativement certaines cyberattaques et « en particulier celles qui font appel à l’ingénierie sociale ».
Dans son rapport, l’entreprise de cybersécurité donne l’exemple du groupe de pirates nord-coréen Famous Chollima. Celui-ci arriverait à obtenir « des postes dans des entreprises du monde entier sous de fausses identités, en utilisant parfois des outils de genAI pour manipuler socialement les recruteurs pendant le processus de candidature ». Ils créeraient des profils LinkedIn fictifs avec de fausses images de profils et passent les entretiens en utilisant des réponses générées par IA.
CrowdStrike renvoie aussi à plusieurs études scientifiques mises en ligne sur arXiv sur l’utilisation des grands modèles de langage pour l’ingénierie sociale. L’une d’elles indique par exemple que les messages de phishing générés par des LLM ont un taux de clics nettement plus élevé (54 %) que les messages d’hameçonnage vraisemblablement rédigés par des humains (12 %). Une autre étude montre que les taux de détection des pages de phishing générées par le LLM étaient comparables à ceux des pages de phishing créées par l’homme.
Les courtiers d’accès font de plus en plus de pub
L’entreprise affirme aussi que les attaques liées à l’accès initial d’un système informatique ont explosé, « représentant 52 % des vulnérabilités observées par CrowdStrike en 2024 ». Elle constate aussi que « la fourniture d’accès en tant que service est devenue une activité florissante, les publicités pour les courtiers en accès ayant augmenté de 50 % d’une année sur l’autre ».
Enfin, la Chine a encore augmenté son activité cyber de 150 %, selon CrowdStrike et constitue la principale menace émanant d’un État-nation. L’entreprise affirme même que « certaines industries ciblées ont subi une augmentation de 200 à 300 % des attaques par rapport à l’année précédente ».
L’ANSSI a publié pour la première fois un rapport faisant le point sur les menaces ciblant le cloud. L’agence française dit avoir observé « une augmentation des attaques », qu’elles soient orchestrées contre des environnements intégralement dans le nuage ou hybrides.
Dans un communiqué paru jeudi, l’Agence nationale de la sécurité des systèmes d’information note que le cloud est devenu omniprésent, mais qu’il est « nécessaire de connaître les menaces et de mesurer les risques qui accompagnent son utilisation ». Elle propose donc un rapport (PDF) servant deux objectifs : réaliser un état de la menace et fournir une liste de recommandations élémentaires.
Si le cloud est devenu si utilisé, ce n’est pas un hasard pour l’agence : il apporte des opportunités et un effet levier. Mais ces mêmes apports sont autant de vecteurs pour de nouvelles attaques et problématiques de sécurité, avertit l’ANSSI. Toutes les entités faisant appel au cloud sont concernées, qu’elles aient déplacé l’intégralité de leur environnement dans le nuage ou qu’elles en contrôlent encore une partie sur site (on premise).
Réussir une attaque contre une infrastructure cloud peut permettre aux acteurs malveillants de faire coup double. Les données hébergées représentent bien sûr un intérêt, mais ils peuvent également tenter une latéralisation. De là, selon les opportunités disponibles, les pirates peuvent aussi atteindre des accès vers les clients de l’entreprise attaquée. Finalités lucratives, espionnage et déstabilisation sont autant de moteurs.
Montée en compétences et failles humaines
Selon l’ANSSI, le cloud fait aussi bien partie de la vie des entreprises que de celles des pirates. Certains groupes s’en sont faits une spécialité. Mango Sandstorm, Scattered Spider, Nobelium, Storm-0558 et Storm-0501 sont cités en exemples.
Il y a plusieurs conséquences. Tout d’abord, une grande expertise technique, qui permet de savoir précisément à quoi on s’attaque pour y chercher des brèches. Cette expertise peut inclure la connaissance de failles de sécurités, les vulnérabilités de type 0-day étant toujours très recherchées. Cependant, ces mêmes connaissances peuvent servir à mettre sur pied des infrastructures cloud conçues pour l’attaque.
Pour l’ANSSI, il s’agit « d’une des tendances grandissantes ». Il n’y a pas toujours besoin de posséder soi-même le matériel, car les pirates peuvent louer l’infrastructure chez un opérateur de cloud classique. Dans tous les cas, ces méthodes « complexifient la détection en dissimulant les activités malveillantes au sein du trafic légitime des utilisateurs de ces plateformes ».
Contrairement à ce que l’on pourrait penser cependant, les failles de sécurité – même 0-day – ne représentent pas la majorité des accès initiaux. L’agence cite ainsi une étude de Thales selon laquelle elles ne concernent « que » 28 % des compromissions. 31 % d’entre elles viennent d’erreurs humaines et de problèmes de configuration. Chez Google, plus de 51 % des compromissions seraient dues « à l’exploitation d’interface cloud sans mots de passe ou dotées d’un mot de passe faible ».
Des responsabilités partagées
L’ANSSI souligne également qu’en fonction de la configuration de la solution cloud adoptée, les responsabilités sont partagées entre clients et fournisseurs de solutions cloud (CSP). Dans le cas des données, par exemple, il en va toujours de celle des clients. Même constat pour tout ce qui touche aux installations sur site.
En revanche, dès que l’on s’avance vers des niveaux plus avancés de passage dans le cloud, tout dépend des besoins du client. Dans une offre IaaS (Infrastructure as a Service), le CSP est responsable de l’infrastructure, donc des serveurs, réseaux et unités de stockage. Avec les offres PaaS (Platform as a Service), le CSP ajoute à ses responsabilités le système d’exploitation. Enfin, les offres les plus complètes, dites SaaS (Software as a Service), reprennent les éléments précédents et y ajoutent tout l’applicatif. Plus on « grimpe » dans les offres, plus le fournisseur a de responsabilités.
C’est du moins la théorie, comme le précise d’ailleurs l’ANSSI. En pratique, ces découpages sont loin d’être aussi simples. « En effet, il est possible depuis plusieurs années de bâtir un système d’information ou une application en « kit », reposant sur l’empilement et l’assemblage de briques disponibles sur étagère, où chacune d’entre elles fournit un service spécialisé « clé en main » en fonction du niveau de délégation recherché (par ex. base de données, front-end, back-end, pipeline de traitements, stockage, lacs de données, tableaux de bords, gestion des identités, etc) », indique l’ANSSI.
Conséquence de cette souplesse, un même client peut se servir « à la carte » chez plusieurs CSP. L’infrastructure créée est une combinaison de services en provenance de fournisseurs multiples. L’Agence de sécurité met d’ailleurs en garde : ce type d’assemblage peut rendre les erreurs de configuration plus fréquentes, à cause de la multiplicité des interfaces.
Une grande surface d’attaque
Même quand cette multiplicité est réduite, la surface d’attaque reste vaste, note l’ANSSI, qui donne une liste d’exemples. En premier lieu, « les interfaces de gestion, telles que les portails Web et les API ».
Ces dernières sont régulièrement pointées du doigt pour des défauts de sécurité. On se souvient que l’année dernière, des rapports de Cloudflare et Akamai allaient justement dans ce sens. Les deux prestataires avaient noté une explosion des attaques basées sur des faiblesses dans des interfaces de programmation insuffisamment protégées. Les deux entreprises avertissaient également du problème des « API fantômes », des composants clés de communication dont personne ne se souvient, avec tous les dangers associés. Il était recommandé aux entreprises de tenir un inventaire à jour.
L’ANSSI liste les autres vecteurs principaux : les failles de sécurité bien sûr, les mauvaises pratiques de gestion des accès et des identités (mots de passe faibles, absence de MFA…), les erreurs de configuration dans les services cloud (notamment les permissions excessives), ainsi que les dépendances à des tiers.
Les recommandations de l’ANSSI
L’agence termine son rapport par une liste de recommandations, tant pour les fournisseurs de solutions cloud que pour leurs clients.
Elle enjoint ainsi les premiers à se pencher d’abord sur la mise en œuvre de son guide d’hygiène numérique, en tant que socle élémentaire. Vient ensuite l’application des bonnes pratiques de développement : analyses de risques sur les applications, identification et gestion rigoureuse des dépendances, tests de sécurité dans des « configurations réalistes », et enfin protection et analyse du cycle de vie des secrets.
L’ANSSI recommande également de cartographier et limiter la surface exposée des services, de cloisonner le système de gestion de l’infrastructure utilisée par les clients, de sécuriser les postes des développeurs associés, de s’approcher autant que possible du référentiel SecNumCloud, de réaliser régulièrement des sauvegardes ou encore de proposer différents mécanismes de protection, que ce soit contre les attaques par déni de service ou les destructions de ressources.
Côté clients, l’agence a aussi une liste de conseils, dont l’assurance que des contacts techniques sont toujours joignables. Les recommandations, générales, restent proches de celles formulées pour les CSP, avec par exemple la mise en œuvre d’une politique de cloisonnement entre les systèmes et un audit de l’exposition des services cloud. L’ANSSI recommande chaudement la mise en place d’un plan de continuité et de reprise d’activité (PCA/PRA).
Sans surprise, l’agence pousse une nouvelle fois son référentiel SecNumCloud dans le choix d’offres cloisonnées pour les activités sensibles. Chiffrement des données clients, cloisonnement des clients entre eux, protection des moyens d’accès et contre les lois extraterritoriales sont ainsi au rendez-vous. « Pour le traitement et l’hébergement de données sensibles, il est recommandé de privilégier les services conformes au référentiel SecNumCloud », ajoute l’agence.
Connexion
