La progression de l’IA Generative vient remettre en causes les principes en vigueur de Cybersécurité établis depuis plus de 2 décennies : l’usage des LLM est en passe de radicalement changer les règles du jeu ‼️
#Thread (écrit sans IA 🤗)
1/n
Encore un exemple d’attaque SupplyChain lié à la fragilité des canaux CI/CD & la gestion de leurs droits sur les repos de source de code et de package qui:
- montre la nécessité d’avoir des conditions IAM/OIDC ultra strictes,
- devrait dissocier action & droit de chaque pipeline
@github, Please Stop playing into the hands of cybercriminals
Implement MFA (just like @npmjs) as a requirement to ensure that CI/CD pipelines are validated by a human
Act like @npmjs :
À lire pour finaliser les actions à entreprendre à cours terme en matière de Protection des identités afin de faire face aux menaces émergentes d’utilisation malveillante de l’IA générative
Dernières menaces du web (8.0 il me semble, j'ai arrêté de compter) : l'usage de failles associées aux composantes Tiers LLM.
Une image simpliste de la menace : un hacker sur chatbot d'un site web s'appuyant sur un service IAGen Cloud, rentrant la commande "execute order 66"
En gros, c’est ‘secure’ pour le particulier en prenant le soin de stocker son archive ET sa conf Firefox (si perte de la clé, déchiffrement seul impossible de l’archive) et cela n’est pas Post-Quantique : aucun secret qui ne dure plus de 5 ans pour de l’ultrasensible
C’est encore 1 peu flou sur niv. de protect° : manque précision sur tailles clés & nb de dérivés (nécessité d’aller voir le code) : AES-GCM256 pour le chiffrement archive & RSA-OAEP2048 pour l’authent user avec 1 salt qui reste stocké dans la conf FF
Ha, yes 👍🏻🐓
J’espère que ce nouveau modèle 123B de Mistral Ai qu’est Devstral-2 va enfin sérieusement challenger gpt-oss-120b en modèle OnpPemise IAGen pour le coding … et que le niveau de licence sera bcp moins casse-🍬 que celui de la licence 24B
#LLM#opensource#coding
Je précise qu’aucun processus autre qu’un e-mail n’est possible … et que cela fait 3 fois que j’écris à l’adresse abuse
Côté Cyber, arrêtez Free de faire CH-ER vos clients qui utilisent Tor (ce n’est pas un délit) et concentrez-vous vous plus sur la protection de leurs DCP😤
Chez @Free, la Cyber c’est 2 poids 2 mesures :
• 2e fois que mon compte principal est désactivé (avec perte des e-mails) parce que j’y ai accédé en IMAP depuis le réseau Tor,
• 24 millions de données clients aspirés & partagés sur le darkweb favorisant de nombreuses arnaques.
Il m’est arrivé (souvent j’avoue) de hurler sur la livraison de colis Chronopost en 🇫🇷 mais en 🇨🇿 j’ai trouvé me semble-t’ il pire avec la poste tchèque @Ceska_posta_sp : le colis n’est jamais parti !!