avril 18th, 2018

En Bref …

Posté on 18 Avr 2018 at 8:38

Le site Web du LA Times offre gracieusement à ses lecteurs un script de crypto-jacking, insidieusement caché sur une ressource Amazon S3 utilisée par les serveurs du quotidien et accessible en lecture-écriture, explique Kevin Beaumont . Plus rentable qu’une bannière ?

I.A., le meilleur de l’insécurité (suite)

Posté on 18 Avr 2018 at 8:17

 100 pages sur les dangers « SSI » de l’I.A. (document accessible à tous), voilà l’œuvre de 26 chercheurs issus de 14 organisations scientifiques différentes, comptant notamment l’EFF, l’Université d’Oxford, l’OpenAI ou l’Université de Cambridge. Chacun a imaginé une série de scénarii abordant trois angles majeurs : la sécurité numérique, physique et politique. Et d’imaginer des situation orwelliennes provoquées par une overdose d’I.A. hors de contrôle, ou plus exactement sous le contrôle de « décideurs » qui y trouvent leur compte. Le tout dans le but avoué de pousser les industriels à réfléchir aux conséquences de leurs actes et envisager tous les aspects de leurs développements. Dans le but également d’attirer l’attention des politiques pour qu’ils apportent une réponse politique… et non technique comme cela a trop souvent été le cas par le passé.

Le premier scénario imagine l’I.A. au service de cyber-truands spécialisés dans l’ingénierie sociale. Une I.A capable, dans la seconde, d’espionner une victime, de déterminer (en exploitant des données procurées par un premier malware) son profil et ses goût personnels, d’expédier un pop-up ou un mail d’incitation à visiter telle ou telle site particulièrement attrayant, de charger la page visitée d’un vecteur d’attaque spécifiquement adapté à la configuration informatique de la victime, et enfin de profiter d’une vulnérabilité pour ensuite tenter de contaminer d’autres appareils, et pourquoi pas une I.A. évoluant dans la sphère privée de la cible. La sophistication des attaques, et surtout l’adaptation en quasi temps réel du « payload » par rapport au système ciblé, l’automatisation et l’enrichissement permanent de ces nouvelles générations de virus qui seront capables d’apprendre en fonction des défenses et des mécanismes de sécurité rencontrés, ce n’est déjà plus tout à fait de la science-fiction. Nombreuses sont les conférences sécurité à caractère universitaire qui accueillent des chercheurs ayant conçus des PoC de ce genre.

Que le méchant de l’histoire soit une bande mafieuse ou les combattants d’un Etat-Nation, dans tous les cas, l’automatisation à grande échelle d’attaques complexes et personnalisées risque d’accélérer et amplifier les attaques, et surtout les optimiser. L’I.A. est capable d’intervenir et améliorer chaque phase de l’assaut, du repérage à la compromission, de l’attaque à l’extorsion dans le cas, par exemple, d’un crypto-virus. Rien n’interdit non plus d’imaginer l’I.A. s’assurer du bon déroulement de toute la chaine de payement, voire de la transaction avec les victimes. Si une intelligence artificielle est d’ores et déjà capable d’assurer les échanges clients d’un service marketing ou d’un support client, le règlement d’une rançon n’est jamais qu’une très légère variation sur ce même thème.

Et les équipes de chercheurs d’imaginer les I.A. d’un aspirateur autonome jouer les kamikazes pour assassiner un personnage politique, transformer de piètres pieds-nickelés en tireurs d’élite assistés par ordinateurs, coordonner les attentats d’une foultitude de loups solitaires… et, de l’autre côté de la barrière, des gouvernements faire appel aux machines pour renforcer l’efficacité des surveillances téléphoniques, du flicage des caméras sur la voie publique, transformer les informations distillées à la presse … des 100 pages du rapport, bien peu de cas relèvent du fantasme ou de la jamesbonderie. Machine Learning et Deep Learning ne feront qu’amplifier des pratiques séculaires du comportement humain. Et ce comportement est une constante, insiste les rédacteurs du rapport. Souvenons-nous d’Amesys, imaginons ce que de tels « vendeurs de stylo » pourraient faire avec une I.A., et rappelons-nous que les entreprises pour lesquelles ils travaillent sont également des vecteurs de recherche dans le domaine de l’intelligence artificielle.

La seconde moitié de cet ouvrage est constitué d’un interminable questionnaire. Comment détecter des menaces I .A., comment contrôler, encadrer l’usage de ces outils, comment établir des règles de salubrité, tant au niveau matériel que logiciel. Ce sont les mêmes questions que l’on se pose aujourd’hui dans le domaine de la SSI et auxquelles il est encore difficile d’apporter une réponse.

I.A., le meilleur des mondes (prélude)

Posté on 18 Avr 2018 at 7:37

Tout d’abord, la méthode Coué,celle qui consiste à réciter le mantra « l’I.A. va revaloriser les travailleurs en leur épargnant les tâches les plus ingrates ».

Et la vision perspectiviste qui, à la lumière des révolutions technologiques passées, émet de sérieux doutes sur ce « meilleur des mondes » que nous réserve l’intelligence artificielle.

Et dans les deux cas, des armadas de spécialistes et de savants, chacun défendant son point de vue. Dans la catégorie optimiste, un article de MM Erik Brynjolfsson et Tom Mitchell intitulé « What can machine learning do ? Workforce implications (communication closed source), mis en exergue par les présentateurs de Yahoo Finance. L’I.A. est l’outil idéal qui libèrera les médecins des corvées de paperasse, et aidera les dermatologues à distinguer les affections cutanées cancéreuses des inflammations bénignes… vive l’I.A. qui offrira à chacun la possibilité de s’épanouir dans son travail, de se dégager des contingences matérielles et administratives abrutissantes. Fermez le ban, car comme chacun sait, le monde est constitué de dermatologues, de lecteurs de Forbes et de Yahoo Finances.

Et puis il y a les autres, les Cassandres, les pessimistes. Ceux surtout, qui se souviennent. De l’arrivée des automates programmables et de la mise sur le carreau des ouvriers spécialisés dans certains contrôles de processus très pointus, ou ceux remerciés et remplacés par un bras-manipulateur, un engin filoguidé, un robot industriel. De l’arrivée des microordinateurs et des pools de secrétariat au chômage, des employés des entreprises de sous-traitance en mini-informatique pointant à l’ANPE. De l’apparition d’Internet, de la lente érosion des commerces de proximité, de la disparition de pans entiers du secteur tertiaire, de 80% de la presse d’information « papier », de l’effondrement du Livre, de la sublimation des sociétés de services dont le cœur de métier reposait sur la civilisation papier et les échanges postaux, le tout baigné dans un jus de surveillance sauce Gafam et opérateurs télécom…

Et chaque fois les discours se ressemblent, les progressistes tentant d’égarer les futures victimes avec des problèmes qui n’existent pas. L’automate programmable risque-t-il de faire exploser une centrale pétrochimique ? L’ordinateur personnel sera-t-il un jour capable d’obéir à la voix et se révolter contre son propriétaire ? La voiture sans chauffeur devra-t-elle choisir entre écraser un groupe d’écolières sur un passage clouté ou tuer son conducteur ? Cela évite d’avoir à s’interroger sur la politique du « tout routier », sur le développement rapide des « trains » de poids-lourds pilotés par un I.A., sur les millions d’emplois supprimés, sur l’aubaine, pour les dirigeants de chaque pays, à n’avoir plus à affronter les syndicats de chauffeurs… le temps, parfois, vient à bout des situations sociales les plus inextricables.

Kai-Fu Lee,pourtant un V.C. spécialiste de l’I.A., proteste avec énergie dans un article de la Revue du MIT : « Tech companies should stop pretending AI won’t destroy jobs ». L’I.A. non seulement va réduire à néant des foultitudes de métiers peu qualifiés, mais encore elle entraînera un clivage géopolitique important. Avec, comme grand gagnant, la Chine. La Chine qui possède les plus grands réservoirs de données (data lake) du monde, et par conséquent détient la matière première la plus riche qui soit en matière de développement de l’I.A. . Car c’est à partir de cette masse de données que se forge l’intelligence des machines. Les exemples de Kai-Fu Lee sont vertigineux. « Les Vélib Chinois, à raison de 50 millions de trajets facturés chaque jour, enrichissent de 30 To de données-capteurs les bases de données des loueurs. C’est 300 fois le volume d’informations généré aux USA. Cette suprématie commence nettement à se faire sentir lorsque l’on compare Weibo et Twitter, WeChat et Facebook…»

Et le capital-risqueur d’asséner le coup de grâce, en rappelant qu’en Chine, le pouvoir central, inamovible, est une garantie de stabilité politico industrielle. Les investissements prévus par le dernier plan quinquennal ou décennal ne sont pas remis en cause par un changement de régime car précisément la notion de changement de régime n’existe pas. La politique visant à encourager l’énergie solaire de la présidence Obama a été blackboulée par les promesses de retour au charbon de l’équipe Trump. Et les syndicats de routiers exigent aujourd’hui l’arrêt des recherches dans le domaine des poids-lourds autonomes. Pendant ce temps, Xi Jinping renforce sa politique de soft-power. Les I.A. américaines savent tout du jeu de Go, mais leurs maîtres n’en tirent aucune conséquence.

L’I.A. sera Chinoise, réelle et brutale, et rien ne peut l’arrêter, estime Kai-Fu Lee, avant de se pencher sur les conséquences sociales de cette évolution technique. Certains pensent que le meilleur des mondes naîtra, associant la richesse de l’esprit humain et la rapidité avec laquelle la machine acquerra expérience et savoir. Ce sera le cas pour certaines professions à haut niveau de qualification (avocats, médecins), mais c’est une illusion pour qui pratique un métier moins « intellectuel ». Peut-on espérer un jour voir les bénéfices financiers de l’I.A. venir alimenter la bourse des laissés pour compte de cette super-automatisation ? Les machines serviront-elle à acheter la paix sociale ? Non, répond l’auteur. Car aucune somme ne peut compenser la perte de dignité, le besoin d’être utile à la société qui anime chaque être. L’on pourrait ajouter d’ailleurs que l’idée d’un « revenu universel » prélevé sur les bénéfices de l’I.A. est une utopie que dément l’histoire récente. L’automatisme, la microinformatique, la généralisation d’Internet n’a fait que creuser le fossé qui sépare les plus riches des plus pauvres. La paix sociale sera lettre morte lorsque l’indice de Gini tendra de plus en plus vers 1.

En Bref …

Posté on 18 Avr 2018 at 9:28

Brute-forcer sans brutalité du mot de passe avec méthode (et surtout ne pas utiliser les SMS en guise de second facteur) : Rob VandenBrink, pour le journal du Sans, se lance dans un passionnant exercice de vulgarisation pour pentester amateurs et professionnels.

Publicité

MORE_POSTS

Archives

avril 2018
lun mar mer jeu ven sam dim
« Mar   Mai »
 1
2345678
9101112131415
16171819202122
23242526272829
30