Faits marquants de la semaine
- À Davos, une table ronde sur les menaces cyber place au centre la sécurisation des agents d’intelligence artificielle, avec la crainte qu’ils deviennent une nouvelle forme de menace interne particulièrement difficile à contrôler.
- Le projet de l’outil en ligne de commande curl met fin à son programme de prime aux bogues sur HackerOne, submergé par un afflux de rapports de vulnérabilités de faible qualité générés par des systèmes d’intelligence artificielle.
- Le service ChatGPT Health, qui affiche des promesses fortes en matière de protection des données, suscite néanmoins d’importantes interrogations sur la sécurité des utilisateurs et les garanties effectives de sûreté associées à son déploiement.
- Des chercheurs détaillent une faille exploitant une injection de consignes indirecte dans Google Gemini pour contourner des mécanismes d’autorisation et utiliser Google Calendar comme canal d’extraction de données privées via des invitations malveillantes.
L’industrialisation rapide des usages d’intelligence artificielle met simultanément sous pression la sécurité des services critiques et des chaînes de développement : des agents autonomes débattus à Davos aux déploiements sensibles comme ChatGPT Health et Google Gemini, la question centrale devient la capacité réelle des fournisseurs à encadrer des systèmes potentiellement intrusifs et détournables pour l’exfiltration de données.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
La sélection des 9 actualités à retenir cette semaine
Les discussions à Davos portent sur la manière d'empêcher les agents d'IA de devenir incontrôlables.
Là où le nouvel objet hanté par la peur de manquer quelque chose (FOMO) se heurte à la réalité des menaces internes : les agents d’IA sont arrivés à Davos cette semaine, et la question de leur sécurisation… Lire la suite
Curl met fin à son programme de primes aux bogues suite à une avalanche de signalements de bogues liés à l'IA.
Le développeur de l'utilitaire et de la bibliothèque en ligne de commande curl, très populaire, a annoncé que le projet mettra fin à son programme de primes aux bogues de sécurité HackerOne à la fin du mois,… Lire la suite
ChatGPT Health soulève de sérieuses inquiétudes en matière de sécurité.
ChatGPT Health promet une protection des données robuste, mais certains aspects de son déploiement soulèvent d'importantes questions concernant la sécurité des utilisateurs. Lire la suite
Une faille d'injection de prompts dans Google Gemini a exposé des données de calendrier privé via des invitations malveillantes.
Des chercheurs en cybersécurité ont révélé les détails d'une faille de sécurité exploitant l'injection indirecte de requêtes ciblant Google Gemini afin de contourner les mécanismes d'autorisation et d'utiliser Google Agenda comme outil d'extraction de données. Cette vulnérabilité… Lire la suite
Une nouvelle étude révèle que GPT-5.2 peut développer de manière fiable des exploits zero-day à grande échelle.
Les modèles de langage avancés de grande taille peuvent développer de manière autonome des exploits fonctionnels pour les vulnérabilités zero-day, ce qui représente un changement significatif dans le paysage de la cybersécurité offensive. La recherche démontre que… Lire la suite
Anthropic a discrètement corrigé des failles dans son serveur Git MCP qui permettaient l'exécution de code à distance.
L'injection de code malveillant par invite de commande a été corrigée par Anthropic. La société a résolu trois failles dans son serveur Git MCP officiel qui, selon les chercheurs, pouvaient être exploitées en combinaison avec d'autres outils… Lire la suite
Un nouveau logiciel malveillant Android utilise l'IA pour cliquer sur des publicités cachées dans le navigateur.
Une nouvelle famille de chevaux de Troie de fraude au clic pour Android exploite les modèles d'apprentissage automatique TensorFlow pour détecter automatiquement des éléments publicitaires spécifiques et interagir avec eux. […] Lire la suite
Trois failles dans le serveur Git d'Anthropic MCP : activation de l'accès aux fichiers et de l'exécution du code
Trois failles de sécurité ont été découvertes dans mcp-server-git, le serveur officiel Git Model Context Protocol (MCP) maintenu par Anthropic. Ces failles pourraient être exploitées pour lire ou supprimer des fichiers arbitraires et exécuter du code sous… Lire la suite
Des failles dans le framework d'IA Chainlit permettent le vol de données via des vulnérabilités de lecture de fichiers et SSRF.
Des failles de sécurité ont été découvertes dans Chainlit, le framework open source d'intelligence artificielle (IA) très répandu. Ces failles pourraient permettre à des attaquants de dérober des données sensibles et, par conséquent, de se déplacer latéralement… Lire la suite
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
