Archives par mot-clé : IA

Cybersécurité, IA

Vers un barème mondial pour les vulnérabilités de l’IA

L’OWASP lance l’AI Vulnerability Scoring System (AIVSS), un cadre inédit pour mesurer les risques des systèmes d’intelligence artificielle autonomes, au-delà des limites du modèle CVSS.

Le Common Vulnerability Scoring System (CVSS) reste la norme en cybersécurité, mais il atteint ses limites face aux IA modernes, non déterministes et autonomes. Pour combler ce vide, un groupe d’experts piloté par Ken Huang, en partenariat avec l’OWASP, a créé l’AI Vulnerability Scoring System (AIVSS). Ce nouveau modèle évalue la gravité des failles dans les systèmes d’IA, intégrant des critères comme l’autonomie, la capacité d’adaptation ou l’usage d’outils. Objectif : fournir une mesure fiable des menaces spécifiques à l’IA agentique, dont la nature évolutive échappe aux approches de sécurité classiques.

Une évaluation repensée pour l’intelligence artificielle

Le système AIVSS reprend la structure du CVSS tout en y ajoutant des indicateurs adaptés aux IA. Chaque vulnérabilité est d’abord notée selon le barème classique, puis ajustée à l’aide de paramètres liés au comportement de l’agent. Cette « surcouche » mesure l’autonomie, le non-déterminisme et la capacité d’interaction avec des outils externes. Le score final est obtenu en divisant le total par deux, puis en appliquant un coefficient environnemental.

Ken Huang, chercheur et expert en sécurité de l’IA, précise que ce modèle vise à traduire la réalité d’une IA « qui agit de manière dynamique, interagit et apprend ». Le projet, mené au sein de l’OWASP, réunit également Michael Bargury (Zenity), Vineeth Sai Narajala (AWS) et Bhavya Gupta (Stanford). Ensemble, ils cherchent à bâtir un référentiel mondial d’évaluation des vulnérabilités spécifiques à l’IA.

Le portail aivss.owasp.org met déjà à disposition un outil de calcul des scores et une documentation détaillée pour aider les chercheurs et entreprises à évaluer leurs risques d’exposition.

Les risques uniques de l’IA agentique

Les systèmes d’intelligence artificielle autonomes posent un problème inédit : leur autonomie partielle multiplie les points d’attaque possibles. « L’autonomie n’est pas une vulnérabilité, mais elle accroît les risques », explique Huang. Contrairement aux logiciels déterministes, une IA peut modifier son comportement ou son identité à la volée. Cette fluidité complique la traçabilité et le contrôle d’accès.

L’équipe AIVSS a ainsi recensé dix types de menaces majeures pour les IA agentives : usage abusif d’outils, violations d’accès, défaillances en cascade, orchestration non sécurisée, usurpation d’identité, manipulation du contexte mémoire, interactions non sécurisées avec des systèmes critiques, attaques par dépendance, agents intraçables et détournement des objectifs.

Selon le rapport AIVSS, ces risques se recoupent souvent. Un agent mal protégé peut, par exemple, manipuler ses instructions, détourner un outil légitime, puis compromettre d’autres agents connectés. Le risque se propage alors en chaîne.

Vers une standardisation de la cybersécurité de l’IA

L’ambition du projet AIVSS est d’unifier l’évaluation de la sécurité des IA à l’échelle internationale. Les chercheurs d’OWASP espèrent que ce cadre deviendra, à terme, un standard comparable au CVSS pour les logiciels classiques. Il doit permettre aux responsables sécurité de mieux anticiper les dérives des systèmes d’IA agentifs, capables d’apprendre ou de redéfinir leurs propres objectifs. La mise en œuvre d’un tel cadre pourrait influencer la future régulation de l’intelligence artificielle, notamment en Europe, où la directive AI Act impose déjà des niveaux de contrôle différenciés selon les usages.

Huang insiste sur la nécessité d’un équilibre entre autonomie et sécurité : « Si l’on veut une IA vraiment indépendante, il faut lui donner des privilèges. Mais ces privilèges doivent être mesurés, surveillés et évalués. »

Avec l’AIVSS, la cybersécurité entre dans une nouvelle ère : celle où les failles ne résident plus seulement dans le code, mais dans la capacité des machines à penser et à agir seules. La question reste ouverte : comment concilier innovation et sécurité sans freiner le développement de l’IA autonome ?

Principaux risques liés aux systèmes d’IA agentifs 

Le projet AIVSS a également identifié les dix principaux risques de sécurité pour Agentic AI , même si l’équipe s’est abstenue de les qualifier de liste officielle des « 10 principaux ». Data Security Breach vous les propose ci-dessous : 

  • Utilisation abusive des outils d’IA agentique 
  • Violation du contrôle d’accès de l’agent 
  • Défaillances en cascade des agents 
  • Orchestration des agents et exploitation multi-agents 
  • usurpation d’identité d’agent 
  • Mémoire de l’agent et manipulation du contexte 
  • Interaction non sécurisée entre agents et systèmes critiques 
  • Attaques par chaîne d’approvisionnement et dépendance des agents 
  • Agent intraçable 
  • Manipulation des objectifs et des instructions de l’agent
Entreprise, Justice

New York encadre la tarification algorithmique

New York devient le premier État américain à réglementer l’usage des algorithmes dans la fixation des prix.

Depuis lundi, la loi new-yorkaise sur la tarification algorithmique impose aux entreprises de déclarer si elles exploitent les données personnelles des consommateurs pour ajuster leurs tarifs. Cette obligation marque une première nationale, la loi californienne équivalente n’étant pas encore entrée en vigueur.

Des prix calculés à partir des données personnelles

La tarification algorithmique repose sur des modèles capables de modifier automatiquement les prix en fonction de variables comme le revenu, l’historique d’achats ou la géolocalisation. Cette pratique, utilisée dans le commerce en ligne ou les services de transport, permet d’optimiser les marges, mais soulève de fortes inquiétudes éthiques.

Selon les défenseurs de la vie privée, cette « tarification de la surveillance » risque d’amplifier les discriminations économiques, en facturant davantage certaines catégories de consommateurs jugées plus solvables. La Federal Trade Commission (FTC) a d’ailleurs publié en janvier un rapport analysant ces risques et les dérives possibles de l’IA dans la fixation des prix.

La procureure générale durcit le ton

La procureure générale Letitia James a publié une alerte aux consommateurs, appelant les New-Yorkais à signaler tout cas d’utilisation non divulguée de données personnelles dans la tarification.
Elle a rappelé dans un communiqué : « Les New-Yorkais méritent de savoir si leurs informations personnelles servent à fixer les prix qu’ils paient. Je n’hésiterai pas à agir contre ceux qui tentent d’induire les consommateurs en erreur. »

Le bureau de la procureure entend renforcer la transparence et la responsabilité des entreprises, notamment celles qui emploient des outils d’intelligence artificielle ou d’apprentissage automatique pour personnaliser les prix.

Vers une régulation nationale de la tarification automatisée ?

L’entrée en vigueur de la loi new-yorkaise pourrait faire école. En Californie, le texte équivalent, encore en attente d’application, devrait s’inspirer du modèle new-yorkais pour encadrer la collecte, le traitement et l’usage des données de consommation dans la tarification.

Cette régulation s’inscrit dans un mouvement plus large aux États-Unis visant à limiter les effets opaques de l’IA dans la sphère économique. La question centrale demeure : comment concilier innovation algorithmique et respect des droits des consommateurs ?

L’ère des algorithmes régissant les prix touche à sa première grande régulation. Entre transparence et surveillance, New York teste le futur du commerce automatisé. La loi suffira-t-elle à freiner les dérives de l’intelligence économique ?

Cybersécurité, Entreprise

OpenAI lance Aardvark, un agent IA dédié à la chasse aux failles

OpenAI dévoile Aardvark, un agent GPT-5 autonome capable d’analyser le code, détecter les failles et suggérer des correctifs, marquant son entrée dans la cybersécurité.

OpenAI a lancé Aardvark, un agent d’intelligence artificielle fondé sur GPT-5 et destiné aux équipes de sécurité. L’outil scanne les dépôts de code, identifie les vulnérabilités, reproduit les exploitations en environnement isolé et propose des correctifs vérifiés. Intégré à GitHub, il fonctionne sur les projets open source comme en entreprise. D’après les tests internes, Aardvark détecte 92 % des vulnérabilités connues. OpenAI prévoit aussi des analyses gratuites pour certains dépôts publics afin de renforcer la sécurité de la chaîne logicielle. Le programme reste en bêta fermée, accessible sur demande via un formulaire d’inscription disponible sur le site d’OpenAI.

Un nouvel acteur dans la cybersécurité

Jusqu’ici concentrée sur les modèles de langage, OpenAI s’ouvre à la cybersécurité avec Aardvark, présenté comme une « avancée majeure dans la recherche en IA et en sécurité ». Cet agent agit comme un chercheur automatisé capable d’examiner des dépôts entiers et de construire un modèle de menace contextuel. Il s’intègre nativement à GitHub et s’adapte aux environnements d’entreprise comme aux projets open source.

Aardvark fonctionne en quatre étapes : cartographie des risques, analyse des commits, reproduction d’exploitations en sandbox et élaboration de correctifs via le moteur Codex d’OpenAI. Chaque rapport est soumis à validation humaine avant tout déploiement. Ce modèle hybride garantit rapidité et fiabilité, tout en maintenant la supervision humaine au cœur du processus de correction.

Résultats prometteurs et concurrence émergente

Les tests internes d’OpenAI indiquent une détection de 92 % des vulnérabilités connues et synthétiques. En pratique, Aardvark a découvert plusieurs failles inédites dans des projets open source, certaines déjà enregistrées sous identifiant CVE. Ce positionnement s’inscrit dans une stratégie de contribution à la sécurité numérique mondiale. L’entreprise offrira gratuitement des analyses à des dépôts non commerciaux pour renforcer la sécurité de la chaîne logicielle libre. Ce que propose OpenAI avec Aardvark rappelle CodeMender de Google, un outil concurrent capable de détecter et corriger automatiquement des vulnérabilités dans le code. Aucune date de sortie officielle n’a été communiquée, mais l’accès à la version bêta peut être demandé via le formulaire disponible sur le site d’OpenAI.

Cybersécurité, Espionnage Spy, IA, IOT, Securite informatique

L’Inde accélère sa stratégie cyber autour du CERT-In

Porté par le CERT-In, le secteur indien de la cybersécurité devient un pilier économique majeur, combinant innovation, coopération internationale et défense numérique proactive.

L’Inde affirme sa position mondiale en cybersécurité grâce au CERT-In, l’agence nationale de réponse aux incidents informatiques. Selon son directeur, le Dr Sanjay Bahl, l’écosystème indien pèse désormais 20 milliards de dollars (18,5 milliards d’euros), soutenu par 400 start-ups et 650 000 professionnels. Face à la hausse des ransomwares et des menaces alimentées par l’intelligence artificielle, l’agence mise sur l’automatisation, la formation et la coopération internationale. Le ministère de l’Électronique et des Technologies de l’information (MeitY) voit dans cette approche une clé pour bâtir une Inde numérique sûre et résiliente.

NE MANQUEZ PAS NOTRE NEWS LETTER (CHAQUE SAMEDI). INSCRIPTION

Start-ups et compétences : le moteur de la croissance

L’écosystème cyber indien s’impose comme un acteur mondial, stimulé par un réseau dense de jeunes entreprises. Plus de 400 start-ups développent aujourd’hui des solutions d’analyse forensique, de détection des menaces et de surveillance assistée par IA. Leur croissance reflète l’essor d’un marché estimé à 20 milliards de dollars (18,5 milliards d’euros).

Près de 650 000 professionnels travaillent dans la sécurité numérique, couvrant des domaines allant de l’audit à la réponse aux incidents. Selon le Dr Bahl, cette main-d’œuvre qualifiée contribue à la résilience nationale face aux cyberattaques. L’Inde, longtemps concentrée sur l’externalisation informatique, se repositionne désormais comme un fournisseur de technologies de défense numérique à haute valeur ajoutée.

Ce développement repose sur la convergence entre innovation locale et expertise publique. Les start-ups bénéficient d’un environnement réglementaire favorable et de partenariats stratégiques avec les ministères techniques. Cette synergie accélère la modernisation des infrastructures critiques et renforce la sécurité des réseaux publics et privés.

Le CERT-In, pivot de la cyberdéfense nationale

Créé sous l’autorité du ministère de l’Électronique et des Technologies de l’information, le CERT-In joue un rôle central dans la détection et la gestion des incidents. Il coordonne les réponses entre secteurs publics et privés, évalue les vulnérabilités et assure la diffusion rapide d’alertes. Le Dr Bahl décrit l’intelligence artificielle comme une « arme à double tranchant », capable d’améliorer la défense tout en offrant de nouveaux outils aux cybercriminels. Pour contrer cet effet miroir, le CERT-In intègre des algorithmes d’apprentissage automatique dans ses systèmes de surveillance afin de détecter les anomalies et d’automatiser les contre-mesures.

En 2024, l’agence a recensé 147 attaques par ransomware. Nombre d’entre elles ont été contenues grâce à la coordination et au partage d’informations en temps réel. Le CERT-In organise également des exercices de simulation de crise et soutient les enquêtes forensiques menées par les forces de l’ordre.

Cette stratégie s’appuie sur un modèle de résilience active : anticipation, réponse rapide et apprentissage post-incident. Elle positionne le CERT-In comme un point de convergence entre cybersécurité opérationnelle et diplomatie technologique.

Un modèle collaboratif au service de la résilience nationale

L’approche du CERT-In illustre une politique cyber fondée sur la coopération. Le modèle réunit agences publiques, entreprises privées, universités et partenaires étrangers. Ce maillage institutionnel, piloté par le MeitY, renforce la souveraineté numérique indienne tout en facilitant les échanges d’expertise avec les pays alliés.

La cybersécurité n’est plus perçue comme un simple enjeu technique mais comme une composante essentielle de la politique de sécurité nationale. La sensibilisation des utilisateurs, la formation des ingénieurs et l’innovation locale sont intégrées dans la stratégie globale de développement.

VEILLE ZATAZ : NOUS RECHERCHONS VOS DONNÉES PIRATÉES. DÉCOUVRIR

Toutefois, les menaces évoluent plus vite que les défenses. Les attaquants exploitent l’IA, les deepfakes et les outils automatisés pour cibler entreprises et administrations. Le CERT-In constate une augmentation des identifiants falsifiés et des campagnes d’hameçonnage sophistiquées. Le Dr Bahl insiste sur le facteur humain : la technologie seule ne suffit pas. Les capacités humaines, la veille et la coopération internationale restent indispensables pour maintenir la résilience du pays. Le MeitY continue de miser sur la régulation agile et la montée en compétence pour contrer des adversaires toujours plus inventifs.

L’Inde consolide son statut d’acteur majeur de la cybersécurité mondiale, alliant puissance technologique et coordination stratégique. Reste à savoir si cette dynamique permettra au pays d’anticiper les menaces émergentes dans un cyberespace de plus en plus instable.

Cybersécurité, Microsoft, Mise à jour, Securite informatique

Edge muscle sa défense contre les arnaques scareware

Microsoft déploie un nouveau détecteur dans Edge capable d’identifier et bloquer les sites frauduleux en temps réel, renforçant la protection offerte par Defender SmartScreen.

Le navigateur Edge intègre désormais un modèle d’apprentissage automatique local capable de reconnaître instantanément les pages de type scareware. Ces attaques visent à effrayer les internautes par de faux messages d’alerte, les incitant à contacter un prétendu support technique. Grâce à ce système, Edge alerte SmartScreen avant même qu’un site malveillant soit répertorié dans la base de données, réduisant considérablement le délai de réaction face aux escroqueries en ligne.

Un apprentissage automatique au cœur du filtrage

Jusqu’ici, SmartScreen bloquait les pages signalées uniquement après leur ajout à une liste noire centralisée. Le nouveau bloqueur de scareware intégré à Edge modifie cette logique. Le modèle local analyse le comportement et les éléments visuels d’un site pour en déduire son niveau de dangerosité. Aucune donnée personnelle ni capture d’écran n’est transmise. Seules les informations techniques nécessaires à l’évaluation sont partagées avec Microsoft.

En cas de détection, Edge interrompt le mode plein écran, coupe les sons intempestifs et affiche un avertissement accompagné d’une miniature du site. L’utilisateur peut alors fermer la page ou poursuivre à ses risques. Ce processus vise à neutraliser les effets psychologiques de panique souvent exploités dans ce type de fraude.

Ne manquez pas nos dernières actualités sur Google Actualités. Ajoutez-nous comme source préférée sur Google. Suivez-nous

La fonctionnalité, intégrée à Edge version 142, est pour l’instant désactivée par défaut. Microsoft prévoit de l’activer automatiquement pour tous les utilisateurs bénéficiant déjà de SmartScreen dans les semaines à venir. Les internautes peuvent aussi signaler manuellement des sites suspects afin d’améliorer la base de détection.

Selon Rob Franco, responsable de la sécurité pour l’équipe Edge, cette technologie a déjà démontré son efficacité : « Lorsque Scareware Blocker a détecté pour la première fois une arnaque utilisant de faux messages de la “police”, SmartScreen et Google Safe Browsing n’étaient pas encore parvenus à la bloquer. Ce nouveau détecteur permet aux utilisateurs d’être avertis immédiatement, avant que la campagne frauduleuse n’ait la possibilité de se propager. »

Vers un renforcement global de la lutte anti-fraude ?

Avec cette approche locale et réactive, Microsoft renforce la dimension comportementale de la défense contre les arnaques en ligne. L’entreprise cherche à limiter la dépendance aux listes centralisées, souvent mises à jour avec retard. L’intégration de l’intelligence artificielle au niveau du navigateur permet d’identifier des signaux faibles comme l’usage de pop-ups, la redirection forcée ou les messages alarmistes.

Cette évolution reflète une tendance plus large : la protection proactive en périphérie, au plus près de l’utilisateur. Dans un écosystème où les attaques se multiplient et se renouvellent sans cesse, la capacité à détecter une tentative de fraude avant sa diffusion massive devient un enjeu stratégique pour les éditeurs de navigateurs.

La combinaison entre modèle local et SmartScreen en nuage pourrait marquer une nouvelle étape dans la détection des arnaques d’ingénierie sociale. La question reste de savoir si cette stratégie hybride pourra s’étendre à d’autres vecteurs d’attaque, comme les extensions malveillantes ou les campagnes publicitaires injectées.

Boostez votre cybersécurité avec notre service de veille ZATAZ.
Alertes, surveillance et infos exclusives pour anticiper les menaces. Découvrir le service

Sources

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Google muscle Drive avec une IA anti-ransomware

Google ajoute une nouvelle barrière dans Drive : une IA dédiée à stopper le ransomware avant la restauration. Objectif : limiter les dégâts une fois l’antivirus contourné.

Google lance une nouvelle protection dans Drive pour Windows et macOS, destinée à bloquer les attaques de ransomware avant qu’elles ne paralysent tout un réseau. Contrairement aux solutions classiques centrées sur le malware, l’outil repose sur une IA entraînée à détecter les comportements suspects, comme le chiffrement massif de fichiers. Dès alerte, la synchronisation cloud s’interrompt et les données passent en quarantaine. Présentée comme une « nouvelle couche » par Luke Camery, responsable produit chez Google Workspace, la solution complète antivirus et restauration, sans les remplacer. Disponible en bêta ouverte, elle sera intégrée sans surcoût dans la majorité des abonnements Workspace.

Une nouvelle couche face aux rançongiciels

Les ransomwares ont démontré les limites des protections classiques. Les antivirus stoppent une partie des menaces, mais les attaquants réussissent régulièrement à franchir cette barrière. Les solutions de restauration existent, mais elles restent coûteuses et lourdes pour les équipes IT. C’est dans cet interstice que Google place sa nouvelle défense.

« Nous ne remettons pas en cause l’efficacité des acteurs traditionnels, mais force est de constater que l’approche actuelle ne suffit pas », résume Luke Camery. Selon lui, l’erreur du statu quo consiste à ne pas intégrer de détection comportementale en amont de la restauration. L’outil Drive se veut donc une couche distincte, un filet de sécurité supplémentaire, destiné à stopper une attaque en cours avant que le chiffrement ne devienne irréversible.

Le principe est simple : supposer que l’antivirus a échoué, puis intervenir. Google compare cela à une maison protégée par des serrures et des assurances, mais dépourvue d’alarme. Avec ce dispositif, l’alarme se déclenche dès qu’un intrus tente de verrouiller toutes les portes.

Une IA entraînée sur des millions d’exemples

Le cœur de la solution est un modèle d’intelligence artificielle personnalisé. Entraîné sur des millions de cas de ransomware, il ne cherche pas à identifier un code malveillant précis mais à reconnaître des schémas de comportement. L’exemple type : un processus qui tente de chiffrer brutalement de nombreux fichiers.

Dès qu’un tel comportement est repéré, Drive suspend immédiatement la synchronisation avec le cloud. Les fichiers potentiellement compromis sont alors isolés, placés dans une forme de quarantaine. L’objectif est d’empêcher la propagation et de préserver des copies saines.

Cette logique de surveillance permanente et réactive place la solution au-dessus d’un antivirus classique et en dessous d’un outil de restauration. Elle se veut complémentaire : non pas un remplacement, mais une barrière intermédiaire.

En cas d’attaque détectée, l’utilisateur reçoit une alerte sur son poste ainsi qu’un e-mail détaillant les étapes à suivre. Un assistant permet ensuite de restaurer facilement une version non contaminée des fichiers. La démonstration fournie par Google montre un processus aussi simple que de récupérer un document effacé dans la corbeille Windows, sans recours à des outils externes ni réinstallation complexe.

Côté administrateurs, les informations remontent dans la console Admin. Ils disposent d’un journal d’audit et peuvent ajuster la configuration. La fonctionnalité sera activée par défaut, mais les responsables IT gardent la possibilité de désactiver la détection ou la restauration si nécessaire.

L’outil est dès aujourd’hui accessible en bêta ouverte. Il sera intégré sans frais supplémentaires dans la plupart des abonnements Google Workspace commerciaux. Google espère ainsi réduire l’impact des ransomwares qui, malgré les efforts combinés des solutions antivirus et des services de sauvegarde, continuent de frapper organisations publiques et privées.

Cybersécurité, Espionnage Spy, loi, Securite informatique

Sénateurs réclament un briefing sur la sécurité électorale avant les scrutins majeurs

Deux sénateurs redoutent que Tulsi Gabbard ait ralenti la transmission d’alertes sur les opérations d’influence étrangères visant le scrutin américain.

Les démocrates Mark Warner et Alex Padilla pressent la directrice du renseignement national d’expliquer ses choix. Ils craignent que le renseignement électoral soit restreint au moment où des acteurs étrangers affinent leurs campagnes de manipulation grâce à l’intelligence artificielle.

Un courrier d’alerte au renseignement

Les deux élus ont écrit à Gabbard pour obtenir, avant le 10 octobre, une réunion avec les sénateurs. Ils exigent une évaluation des mesures prévues pour protéger les élections locales de novembre et les législatives de l’an prochain. Leur lettre critique également les propos de la responsable sur la sécurité des machines à voter, jugés « infondés et nuisibles ». Des audits indépendants ont montré que les accusations de vulnérabilités sont surtout alimentées par des narratifs forgés par des puissances adverses.

L’administration actuelle cherche à relativiser les conclusions sur l’ingérence russe en 2016. Pourtant, un rapport bipartisan du Sénat avait confirmé que Vladimir Poutine voulait favoriser Donald Trump. Parallèlement, plusieurs structures fédérales de suivi des opérations d’influence ont été démantelées, au motif qu’elles censuraient des contenus en coopération avec les plateformes. La CISA, qui avait certifié la sécurité du scrutin de 2020, a vu ses responsables limogés. Selon Warner et Padilla, ces décisions créent un climat de peur au sein des agents.

Une menace technologique en constante évolution

Les services de renseignement disposent d’outils secrets pour suivre les campagnes de manipulation en ligne. Sous Joe Biden, ils ont régulièrement diffusé des analyses sur les opérations russes, chinoises et autres. Ces campagnes sont désormais dopées par l’IA. Des chercheurs américains ont documenté l’usage, par Pékin, d’entreprises spécialisées comme GoLaxy. Cette société a constitué des dossiers sur 117 parlementaires américains et plus de 2 000 personnalités politiques et intellectuelles.

L’IA renforce l’opacité et la crédibilité des campagnes d’influence étrangères. La question reste entière : les agences américaines ont-elles encore la liberté d’alerter le Congrès sans frein politique ? (NextGov)

Cybersécurité, Espionnage Spy, IA

ChatGPT accusé à Moscou de transmettre des données au Pentagone

OpenAI est accusée par un responsable russe de partager automatiquement avec les agences américaines les requêtes en russe envoyées via ChatGPT.

Selon le site Caliber, Alexander Asafov, premier vice-président de la commission de la Chambre publique de Moscou sur la société civile, affirme que les demandes en langue russe soumises à ChatGPT seraient transférées « proactivement et automatiquement » au FBI et au Pentagone. Il ajoute que des dirigeants d’entreprises d’intelligence artificielle auraient reçu cette année « des grades au Pentagone ». Aucune preuve n’a été apportée pour étayer ces accusations.

Une rhétorique géopolitique

Cette déclaration s’inscrit dans une série de prises de position russes qui présentent les grands acteurs occidentaux du numérique comme des instruments d’ingérence. En ciblant OpenAI, Moscou met l’accent sur l’usage de l’IA générative en Russie et sur les risques supposés d’espionnage. L’accusation d’un transfert automatique au FBI et au Pentagone relève davantage d’un discours politique que d’une information vérifiée.

L’angle cyber et renseignement

La Russie multiplie les alertes autour de la collecte de données par les plateformes étrangères, qu’elle considère comme un levier de surveillance occidentale. La référence à un lien direct entre OpenAI et le Pentagone illustre une stratégie classique : associer les outils numériques à une infrastructure de renseignement militaire. Cette rhétorique vise autant l’opinion publique russe que les utilisateurs potentiels de l’IA dans la région.

Ni OpenAI ni les autorités américaines n’ont réagi à cette déclaration au moment de la publication. La formulation employée par Asafov — « automatiquement » et « initiative » d’OpenAI — ne repose sur aucune documentation technique accessible. À ce stade, il s’agit d’une accusation politique relayée par la presse locale, sans élément de corroboration indépendant.

La question centrale reste donc : cette accusation relève-t-elle d’une alerte fondée sur des renseignements techniques, ou d’une construction géopolitique destinée à encadrer l’usage de l’IA en Russie ?

article partenaire, IA

Se reconvertir en dix semaines : décryptage d’un bootcamp centré sur la pratique

Comment apprendre à coder sans passer par un long cursus universitaire ? Pour un nombre croissant d’adultes en reconversion, la réponse passe par un bootcamp intensif, format encore récent en France mais désormais bien installé. La Capsule fait partie des pionniers.

Créée en 2017, présente aujourd’hui dans neuf villes en France et en Europe, l’école propose une formation intensive de dix semaines pour devenir développeur web et mobile junior. Son approche est claire : apprendre en codant, chaque jour, sur des projets concrets.

Pauline, qui a terminé la formation developpement web en mars 2025, décrit une expérience à la fois intensive et gratifiante :
« J’ai adoré apprendre en travaillant sur des projets concrets, c’est vraiment motivant et formateur. Le rythme est intense, mais c’est justement ce qui permet de progresser vite et de se dépasser. »

Inspiré des écoles d’informatique, mais accompagné

À La Capsule, la journée commence par un cours théorique en petit groupe, animé par un formateur présent sur place. Ensuite, les élèves passent à la pratique, en autonomie ou en binôme, sur une série d’exercices conçus pour monter progressivement en complexité. Tout au long de la journée, l’équipe pédagogique reste disponible pour répondre aux questions, débloquer les situations et accompagner les apprentissages.

Bastien, ancien élève, y voit un équilibre réussi : « Des exercices et des projets à réaliser toute la journée, validés par un programme de tests. Mais ici, on a en plus un support de cours solide et un excellent professeur, disponible toute la journée. »

L’apprentissage est progressif et structuré. Pauline salue les supports pédagogiques : « Les notions sont super bien expliquées, on sent qu’ils ont été pensés pour vraiment nous aider à comprendre.« 

H2: Une progression rapide grâce au collectif

Au-delà des outils et du contenu, plusieurs élèves insistent sur l’ambiance et l’entraide. Bastien évoque un système de binôme efficace :
« Ceux qui ont plus d’expérience renforcent leurs acquis en expliquant, et ceux qui débutent apprennent encore plus vite. J’ai vu des camarades partir de zéro et progresser à une vitesse impressionnante. » Ce travail collectif culmine dans le projet final : trois semaines de conception et développement en équipe, pour créer une application mobile ou un site web mobilisant l’ensemble des compétences acquises.

Une employabilité affichée comme priorité

Derrière l’intensité de la formation, un objectif : permettre l’insertion rapide dans un secteur en forte demande. La Capsule annonce un taux de retour à l’emploi de 90 %.

Marlène Antoinat, CEO de La Capsule, souligne : « Nous nous adressons à des personnes qui n’ont pas forcément de background tech, mais qui ont besoin d’une formation concrète, rapide, et qui débouche sur un métier. Notre rôle, c’est de leur fournir les bons outils, dans un cadre exigeant mais bienveillant.« 

Un accompagnement structuré est également proposé via le Career Center : coaching personnalisé, ateliers CV, simulations d’entretiens.
Noël Paganelli, CTO, précise : « On apprend à coder, mais aussi à travailler en équipe, à expliquer ses choix techniques, à être autonome. C’est cette posture de développeur opérationnel que nous cherchons à transmettre.« 

Cybersécurité, IA

DeepSeek : 12 000 Clés API Exposées — L’IA, nouvelle faille de sécurité ?

Une récente analyse a révélé qu’environ 12 000 clés API, mots de passe et jetons d’authentification ont été accidentellement exposés lors de l’entraînement du modèle d’IA de DeepSeek sur des données accessibles en ligne. Cette fuite met en évidence les risques liés à l’utilisation de données publiques pour l’entraînement des modèles d’intelligence artificielle (IA).

Une fuite de grande ampleur

L’incident concerne un jeu de données issu de Common Crawl, une bibliothèque publique qui archive des copies de pages web du monde entier. En décembre 2024, une analyse de ce jeu de données, représentant 400 téraoctets et comprenant 47,5 millions de sites et 2,67 milliards de pages, a permis d’identifier une quantité alarmante d’informations sensibles.

Les chercheurs ont découvert près de 12 000 clés API et informations d’authentification valides. Ces clés donnaient accès à des services critiques comme Amazon Web Services (AWS), Slack et Mailchimp. Une partie des informations trouvées était directement intégrée dans le code source des pages HTML, exposée sans aucune protection.

Un cas frappant concerne une clé API de WalkScore, retrouvée 57 029 fois sur 1 871 sous-domaines différents. Cette diffusion massive d’une seule clé démontre le manque de contrôle dans la gestion des informations sensibles par certaines entreprises.

Une mauvaise gestion des clés API

L’analyse a montré que 63 % des clés d’accès étaient réutilisées dans plusieurs environnements, augmentant considérablement le risque d’attaques en cascade. Si une clé compromise est utilisée sur plusieurs services, un attaquant pourrait exploiter cette faille pour pénétrer plusieurs systèmes simultanément.

Le cas de Mailchimp est particulièrement préoccupant : plus de 1 500 clés API ont été retrouvées dans le jeu de données, directement accessibles dans le code côté client. Une clé Mailchimp exposée pourrait permettre à un pirate d’envoyer des emails de phishing depuis le compte légitime d’une entreprise, augmentant ainsi le taux de réussite des attaques.

Certaines pages web contenaient même des informations de connexion root (administrateur), offrant potentiellement à un attaquant un contrôle total sur le système cible. Une telle situation pourrait entraîner des conséquences dévastatrices, comme la perte de contrôle d’une infrastructure critique.

Le problème structurel de l’entraînement des modèles d’IA

Ce type de fuite met en lumière une faille structurelle dans le développement des modèles d’IA. Les modèles comme DeepSeek sont entraînés sur de vastes ensembles de données issues d’internet, incluant des bases de code, des forums de développeurs et des bases de données publiques. Ces ensembles de données contiennent souvent, par négligence, des informations sensibles comme des clés API ou des mots de passe.

Lorsque ces modèles sont entraînés sur des données contenant des failles de sécurité, ils peuvent reproduire ces vulnérabilités dans le code généré. Certains modèles de langage, comme GitHub Copilot, sont capables de suggérer des clés API ou des mots de passe dans le code généré, simplement parce qu’ils ont été entraînés sur des données comportant ce type d’information.

Cette capacité des modèles d’IA à « imiter » les failles de sécurité pose un défi majeur. Si un modèle reproduit ces vulnérabilités dans un code déployé en production, le risque de voir des attaques ciblées se multiplier devient réel.

Un risque de propagation des failles

L’absorption de données vulnérables par des modèles d’IA soulève le risque d’une propagation des failles à grande échelle. Si un modèle d’IA intègre des clés API ou des mots de passe dans le code qu’il génère, les conséquences pourraient être catastrophiques. Un attaquant pourrait alors exploiter ce code vulnérable pour infiltrer plusieurs systèmes, ouvrant la voie à des attaques en cascade.

Un modèle d’IA entraîné sur des données contenant des failles pourrait également influencer les développeurs à adopter des pratiques risquées, simplement en générant du code qui reproduit ces vulnérabilités.