Hackers: ChatGPT est plus efficace et moins coûteux qu’un cybercriminel

 Hackers: ChatGPT est plus efficace et moins coûteux qu’un cybercriminel

@KORBEN  —  18 AVRIL 2024

Les grands modèles de langage (LLM), comme le célèbre GPT-4 d’OpenAI, font des prouesses en termes de génération de texte, de code et de résolution de problèmes. Perso, je ne peux plus m’en passer, surtout quand je code. Mais ces avancées spectaculaires de l’IA pourraient avoir un côté obscur : la capacité à exploiter des vulnérabilités critiques.

C’est ce que révèle une étude de chercheurs de l’Université d’Illinois à Urbana-Champaign, qui ont collecté un ensemble de 15 vulnérabilités 0day bien réelles, certaines classées comme critiques dans la base de données CVE et le constat est sans appel. Lorsqu’on lui fournit la description CVE, GPT-4 parvient à concevoir des attaques fonctionnelles pour 87% de ces failles ! En comparaison, GPT-3.5, les modèles open source (OpenHermes-2.5-Mistral-7B, Llama-2 Chat…) et même les scanners de vulnérabilités comme ZAP ou Metasploit échouent lamentablement avec un taux de 0%.

Heureusement, sans la description CVE, les performances de GPT-4 chutent à 7% de réussite. Il est donc bien meilleur pour exploiter des failles connues que pour les débusquer lui-même. Ouf !

Mais quand même, ça fait froid dans le dos… Imaginez ce qu’on pourrait faire avec un agent IA qui serait capable de se balader sur la toile pour mener des attaques complexes de manière autonome. Accès root à des serveurs, exécution de code arbitraire à distance, exfiltration de données confidentielles… Tout devient possible et à portée de n’importe quel script kiddie un peu motivé.

Et le pire, c’est que c’est déjà rentable puisque les chercheurs estiment qu’utiliser un agent LLM pour exploiter des failles coûterait 2,8 fois moins cher que de la main-d’œuvre cyber-criminelle. Sans parler de la scalabilité de ce type d’attaques par rapport à des humains qui ont des limites.

Alors concrètement, qu’est ce qu’on peut faire contre ça ? Et bien, rien de nouveau, c’est comme d’hab, à savoir :

Patcher encore plus vite les vulnérabilités critiques, en priorité les « 0day » qui menacent les systèmes en prod

Monitorer en continu l’émergence de nouvelles vulnérabilités et signatures d’attaques

Mettre en place des mécanismes de détection et réponse aux incidents basés sur l’IA pour contrer le feu par le feu

Sensibiliser les utilisateurs aux risques et aux bonnes pratiques de « cyber-hygiène »

Repenser l’architecture de sécurité en adoptant une approche « zero trust » et en segmentant au maximum

Investir dans la recherche et le développement en cybersécurité pour garder un coup d’avance

Les fournisseurs de LLM comme OpenAI ont aussi un rôle à jouer en mettant en place des garde-fous et des mécanismes de contrôle stricts sur leurs modèles. La bonne nouvelle, c’est que les auteurs de l’étude les ont avertis et ces derniers ont demandé de ne pas rendre publics les prompts utilisés dans l’étude, au moins le temps qu’ils « corrigent » leur IA.

Source: https://korben.info/ia-malefiques-quand-llm-menacent-cybersecurite.html?fbclid=IwZXh0bgNhZW0CMTEAAR1zKqtIIY8zR_xVove97bXHBXGk58y2iWLVPD9oZvXfbDa7rFNcyoa9gAM_aem_AfMHfnYov3d0C2fPmtPRU398Tj-laL0TQkD_URzvaiCRaXq4pdwXgpStKhc7GixUeH52-xoRoRRYfp5yVV3dhym8

Un nouveau genre de cybermalveillance : les faux podcasts

 

Un nouveau genre de cybermalveillance : les faux podcasts

Aux Etats-Unis, où les podcasts sont désormais plus populaires que la radio, une nouvelle arnaque étonnante se développe : des invitations à participer à un faux podcast, sous prétexte de dérober des informations personnelles. 

L'histoire que raconte Alex Kantrowitz, auteur de la newsletter Big Technology, est aussi édifiante qu'étonnante. Ce chroniqueur américain spécialisé dans le secteur du podcasting a reçu une invitation à participer à un podcast appelé "The Global Influencer Podcast". L'invitation semblait légitime, avec un email professionnel et un message bien écrit. Cependant, après quelques recherches, Kantrowitz a découvert que le podcast n'existait pas. Il a constaté que l'adresse email utilisée pour l'invitation n'était pas liée à l'organisation qu'elle prétendait représenter. Il s'est rendu compte que c'était une tentative d'escroquerie visant à obtenir des informations personnelles et professionnelles.

"Les fausses invitations à des podcasts sont un nouveau stratagème utilisé par les escrocs pour s'emparer de vos comptes en ligne, écrit-il. Quelqu'un vous invite à apparaître dans une émission, vous demande de participer à un « contrôle technique », puis prend vos informations d'identification lors de l'installation. Finalement, au lieu d’une apparition médiatique, vous vous retrouvez avec un cauchemar de récupération de compte".

Les escrocs utilisent l'attrait d'une plateforme de podcast populaire pour attirer des individus et des entreprises dans leur piège. Ils créent des invitations qui semblent légitimes, avec des adresses email professionnelles et des messages bien écrits, pour tromper leurs victimes en pensant qu'ils participent à un véritable podcast. Une fois que la victime a accepté l'invitation, les escrocs orientent leurs victimes vers des sites pour leur soutirer un maximum d'informations personnelles (Alex Kantrowitz ne dit pas lesquelles exactement). Ils peuvent alors utiliser les informations collectées à des fins malveillantes.

Pour se protéger, il est recommandé de vérifier soigneusement toute invitation à participer à un podcast. Recherchez le podcast en question et contactez directement les organisateurs via leurs canaux officiels pour confirmer l'invitation. Rappelez-vous que, bien que les podcasts soient une excellente plateforme pour partager des idées et des informations, il est essentiel de rester vigilant et de protéger vos informations personnelles et professionnelles. Soyez conscient de cette nouvelle forme d'escroquerie et restez en sécurité dans le monde du podcasting.

Si vous recevez une invitation à participer à Monde Numérique, pas de panique, vous êtes en territoire sécurisé !

REF.: https://mondenumerique.info/blog/nouveau-type-de-cybermalveillance-les-fausses-invitations-un-podcast?fbclid=iwzxh0bgnhzw0cmtaaar3oadawvautdpsi42s67l87hnoh8wtlwtubcztbxbyov34axylzeuben0u_aem_afnamup8gz5ckty46jlyakcd_xajcht01ibrzk6ibgdzzuly6ofxj9tyqt0zg-pepbq1zol4bn1zvyh9dqmiac03#google_vignette

L'IA avec VASA-1 – Des visages parlants ultra-réalistes et en temps réel

 L'IA avec VASA-1 – Des visages parlants ultra-réalistes et en temps réel

@KORBEN  —  18 AVRIL 2024

VASA-1 est un nouveau framework qui permet de générer des visages parlants ultra-réalistes en temps réel ! En gros, vous balancez une simple photo à cette IA, ainsi qu’un petit clip audio, et bim ! Elle vous pond une vidéo d’un visage qui parle, avec une synchronisation de la bouche nickel chrome, des expressions faciales hyper naturelles et des mouvements de tête très fluides. C’est hyper bluffant !

Les chercheurs de Microsoft ont réussi ce tour de force en combinant plusieurs techniques de pointe en deep learning. Ils ont d’abord créé un espace latent expressif et bien organisé pour représenter les visages humains. Ça permet de générer de nouveaux visages variés, qui restent cohérents avec les données existantes. Ensuite, ils ont entraîné un modèle de génération de dynamiques faciales et de mouvements de tête, appelé le Diffusion Transformer, pour générer les mouvements à partir de l’audio et d’autres signaux de contrôle.

Et le résultat est juste époustouflant. On a l’impression de voir de vraies personnes qui parlent, avec toutes les nuances et les subtilités des expressions faciales. Les lèvres bougent parfaitement en rythme avec les paroles, les yeux clignent et regardent naturellement, les sourcils se lèvent et se froncent…

En plus de ça, VASA-1 peut générer des vidéos en haute résolution (512×512) à une cadence élevée, jusqu’à 40 images par seconde, avec une latence de démarrage négligeable. Autant dire que c’est le graal pour toutes les applications qui nécessitent des avatars parlants réalistes. On peut imaginer des assistants virtuels avec lesquels on pourrait interagir de manière super naturelle, des personnages de jeux vidéo encore plus crédibles et attachants, des outils pédagogiques révolutionnaires pour apprendre les langues ou d’autres matières, des thérapies innovantes utilisant des avatars pour aider les patients… etc etc..

En plus de pouvoir contrôler la direction du regard, la distance de la tête et même les émotions du visage généré, VASA-1 est capable de gérer des entrées qui sortent complètement de son domaine d’entraînement comme des photos artistiques, du chant, d’autres langues…etc.

Bon, évidemment, il reste encore quelques limitations. Par exemple, le modèle ne gère que le haut du corps et ne prend pas en compte les éléments non rigides comme les cheveux ou les vêtements. De plus, même si les visages générés semblent très réalistes, ils ne peuvent pas encore imiter parfaitement l’apparence et les mouvements d’une vraie personne mais les chercheurs comptent bien continuer à l’améliorer pour qu’il soit encore plus versatile et expressif.

En attendant, je vous invite à checker leur page de démo pour voir cette merveille en action. C’est juste hallucinant ! Par contre, vu les problèmes éthiques que ça pourrait poser du style usurpation d’identité, fake news et compagnie, et connaissans Microsoft, je pense que VASA-1 ne sera pas testable par tous bientôt malheureusement. Mais je peux me tromper…

REF.: https://korben.info/vasa-1-ia-genere-visages-parlants-ultra-realistes-temps-reel.html?fbclid=IwZXh0bgNhZW0CMTEAAR2E1-_2Ozof_HkGyGo6fFNi_bx9EKt-YLp8BnINO2cY6NZ4TnDCrA_AWDk_aem_AfMHl0b1ZacbHFwtYS9IqWf6iSBz3wXntFXs8EAkoL8lzH7R17omjRdEckv96M6yB2ByHqujmBuOKGzMaQdck9Ef

Réseaux sociaux : Retour à l'interaction humaine avec Nospace,Youni et PI.FYI :

 Réseaux sociaux : Retour à l'interaction humaine avec Nospace,Youni et PI.FYI :

-Tiffany Zhong lance Nospace, une application qui remet les interactions humaines au cœur des réseaux sociaux, inspirée par les premiers jours de Myspace et Facebook, pour combattre la solitude numérique et renforcer les connexions authentiques.

Dans un monde numérique marqué par une "épidémie de solitude", Tiffany Zhong, jeune entrepreneure technologique, lance une contre-offensive avec sa nouvelle application, Nospace. À 27 ans, après dix années d'observation des comportements sur les réseaux sociaux, Zhong propose une plateforme qui renoue avec l'esprit des premiers jours de Myspace et Facebook : des pages de profil personnalisées et des mises à jour quotidiennes sur les petites choses de la vie, comme le petit-déjeuner ou les nouvelles découvertes musicales.

Nospace promet de mettre en avant la connexion et l'expression personnelle, avec des fonctionnalités permettant de partager ce que les utilisateurs voient, mangent, lisent ou écoutent, et de marquer leurs intérêts pour découvrir des personnes aux goûts similaires. Plus de 380 000 personnes sont déjà inscrites sur la liste d'attente pour cette application, qui doit être officiellement lancée à la fin avril.

Ce mouvement n'est pas isolé. D'autres plateformes émergentes, telles que Youni et PI.FYI, cherchent également à privilégier les interactions réelles plutôt que la consommation passive de contenu. Ces initiatives semblent répondre à une lassitude de la génération Z face aux médias sociaux traditionnels, exacerbée par une pandémie mondiale et ses répercussions économiques. Ces jeunes utilisateurs recherchent simplicité et camaraderie, se détournant des applications de rencontres pour l'amour et des grands réseaux comme Instagram et TikTok pour l'amitié.

Selon Katya Varbanova, stratège en marketing de marque, la génération Z "en a assez du même vieux schéma des réseaux sociaux" et cherche de nouvelles expériences que les applications mainstream ne parviennent pas à offrir. Cette quête d'authenticité pourrait bien redéfinir notre manière de socialiser à l'ère numérique, favorisant des plateformes qui valorisent l'expression de soi et les liens personnels, loin de l'égocentrisme encouragé par les algorithmes actuels.

Cette quête de lien social et d'authenticité semble également être une réponse directe aux défis posés par la saturation des médias sociaux traditionnels, où la superficialité et la comparaison constante engendrent isolement et mal-être. Nospace et ses concurrents envisagent de transformer cette dynamique en favorisant des interactions plus significatives et personnelles.

En mettant l'accent sur des mises à jour en temps réel et en permettant aux utilisateurs de partager leurs intérêts de manière plus interactive, ces nouvelles plateformes aspirent à recréer un espace où les conversations spontanées et les connexions authentiques prévalent sur les likes et les vues. Avec de telles innovations, l'ère des réseaux sociaux pourrait bien connaître un renouveau, redéfinissant notre manière de tisser des liens à l'ère du numérique.

REF.: https://moncarnet.kessel.media/posts/pst_6eb4f2012eb2409da00e1bdc899569df/reseaux-sociaux-retour-a-linteraction-humaine-avec-nospace?fbclid=IwZXh0bgNhZW0CMTAAAR1LEsZOoYWMoeWkJ0WzLJhyHgyM4AnFjWxfhJpCXeGEEukMqT94uxDD_lA_aem_AfNsStJm7x3e2Zi94NWWgDCJgP7x3iVWHgu1dMH9wvyVfFbO37A90Nd78aexxrzPfEggTOftEx4KPWCnAFwFWsC0

Un client IRC fonctionnel intégré dans un BIOS (UEFI)

 Un client IRC fonctionnel intégré dans un BIOS (UEFI)

Par: @KORBEN  —  7 AVRIL 2024

Vous aimez les cryptomonnaies ❤️ Korben.info, alors cliquez ici pour me soutenir ! Merci !

La news de ce dimanche, c’est que Phillip Tennen, un de ces génies du clavier a réussi l’impensable : faire tourner un client IRC directement dans l’UEFI (anciennement appelé BIOS, si j’abuse un peu) de sa carte mère, sans même avoir besoin d’un système d’exploitation !

Alors, pour faire simple, le BIOS (ou l’UEFI maintenant), c’est comme le cerveau reptilien de votre ordinateur. C’est le premier truc qui se lance quand vous appuyez sur le bouton « ON », avant même que Windows, Linux ou MacOS ne pointe le bout de son nez. Normalement, ce bidule sert juste à vérifier que tout est en ordre et à passer la main au système d’exploitation. Mais voilà certains se lèvent un matin et décident que ce serait cool d’y coller un client IRC.

Alors concrètement, à quoi ça ressemble ? Eh bien ça a une vraie interface graphique, avec des polices TrueType et tout le toutim et notre bonhomme a même implémenté quelques commandes IRC de base, histoire de pouvoir tailler une bavette avec les copains sans même avoir à démarrer Windows. Pratique pour les soirées LAN où on a la flemme d’attendre que l’OS se lance ! (Quoi ça existe plus les soirées LAN ?? ouinnn)

Ça montre qu’avec un peu (beaucoup) d’huile de coude et une bonne dose de créativité, y’a pas de limites à ce qu’on peut faire avec nos bécanes même si dans 99% des cas, ça sert à rien, faut bien l’avouer.

Mais bon, je sais que parmi vous, y’a plein de bidouilleurs de génie qui rêvent déjà de faire tourner leur propre truc dans le BIOS, alors si vous voulez vous lancer, je vous conseille d’aller jeter un œil au code source et aux explications concernant ce fameux client IRC pour UEFI. C’est bourré de commentaires et d’explications, de quoi vous donner des idées pour vos propres projets délirants. Perso, si y’en a qui sont chaud, je vous commande un browser, une version offline de Korben.info et un client Twitter pour BIOS.

Bref, ça ne va pas révolutionner nos vies mais ça reste une sacrée prouesse technique !

Source; https://korben.info/client-irc-fonctionnel-integre-puce-bios-carte-mere.html?fbclid=IwAR305sAgq_0M8eCADCamPF-MBEZFUkekKmWwtjxVlxOWmRhYVRc0Df-nTTo_aem_AbUFvQA72zU7GXi97Q4shLaJAiMk7S3Jz-sWDeyoQd7uLbrnNeLQ8t9BryYDyO57oRnIPvEAIYxtd-KBadsiXocy