L'Alliance pour les chiffres de la Presse et des Media (ACPM) publie ce jeudi la troisième vague 2021 des résultats d'audience des marques de presse (imprimées et numériques).
Aujourd'hui, plus de 50,6 millions d'individus (de 15 ans et plus) lisent chaque mois au moins une marque de presse, soit 95,9% des Français. Un paysage qui a profondément évolué ces dernières années avec l'importance prise par les smartphones. Ainsi 41% des lecteurs consultent la presse exclusivement sur leur mobile contre 30% exclusivement sur des supports imprimés. 11% utilisent un ordinateur et 6% une tablette.
43 millions de lecteurs en numérique
Au final, 76 % des Français sont lecteurs de presse sur mobile ou tablette, 72 % lisent au moins une marque de presse sur mobile et 23 % lisent au moins une marque de presse sur tablette. 81,6 % des Français lisent donc au moins une marque de presse en version numérique (ordinateur, mobile ou tablette), soit 43 millions d'individus.
Le profil des lecteurs montre des augmentations marquées sur certaines catégories depuis la dernière enquête : +13% de 15-24 ans, +5% d'hommes 35-49 ans et +5% de femmes 15-34 ans. Pour la presse papier, les gains se sont principalement faits autour des lecteurs artisans, commerçants et assimilés (+10%) et des 15-24 ans (+6%). Pour le numérique, les progressions remarquables concernent les hommes de 15-34 ans (+14%) et les femmes des catégories socio-professionnelles (CSP+) supérieures.
La Dépêche dans le Top 20
Dans le Top 20 des marques de presse, les titres de la presse quotidienne régionale (PQR66) arrivent en tête avec 42,744 millions de lecteurs mensuels (mesurés au mois de mars 2021. La Dépêche du Midi est à la 20e place de ce classement qui a mesuré l'audience de 139 marques de presse.
Ce mercredi 23 juin arrive dans les kiosques un nouveau magazine scientifique, Epsiloon, créé par d’anciens journalistes de Science & Vie qui avaient quitté ce dernier après son rachat par le sulfureux groupe Reworld Media sur de profonds désaccords concernant la ligne éditoriale.
Record pour une campagne de financement participatif
Pour lancer le projet d’un nouveau magazine scientifique, les journalistes ont conduit une opération de financement participatif sur la plateforme Ulule. Avec plus de 24 000 abonnements, cette campagne de prélancement est la plus importante réalisée en France.
À ce record, il faut ajouter le soutien de nombreuses personnalités, notamment du monde scientifique. Lancé avec l’éditeur de presse Unique Heritage Media (UHM), Epsiloon, qui s’est doté d’une charte d’indépendance, fonctionnera avec un budget dont 93 % viendront des lecteurs et seulement 7 % de la publicité. Magazine « engagé » mais « pas militant », Epsiloon ouvre son n° 1 sur la génétique des arbres et la modification du climat.
Six mois après le lancement de sa commercialisation, la 5G peine à séduire au point que certains évoquent un flop. Le nouveau réseau représenterait ainsi moins de 1 % du trafic mobile…
La 5G « démarre assez doucement en termes d’usages », reconnaissait dernièrement dans Le Figaro Olivier Roussat, directeur général du Groupe Bouygues. « La 5G commence seulement, l’appétit n’est pas complètement au rendez-vous. La perception pour le client n’est pas claire. Dans l’usage quotidien du mobile, on ne perçoit pas la différence. Les vrais usages de la 5G arriveront avec la deuxième étape, fin 2022 début 2023 », poursuit-il. Pour le grand public, en effet, le gain d’un passage de la 4G à la 5G n’est pas suffisamment perceptible. Certains tests effectués par des sites spécialisés montrent même que le débit, censé être 10 fois plus rapide en 5G, n’est parfois que légèrement supérieur à celui de la 4G…
Les clients préfèrent rester en 4G pour l’instant
Du coup, les Français ne se précipitent pas pour bénéficier de la 5G, d’autant que pour cela, il faut disposer d’un smartphone compatible et surtout du bon forfait mobile, plus cher que les forfaits 4G.
Chez Orange, près d’un téléphone sur deux vendu en boutique est ainsi compatible avec la 5G, selon des chiffres communiqués à Europe 1. Les clients ne prennent pas les forfaits qui vont avec et préfèrent rester en 4G pour le moment.
Pourtant tout est là : les smartphones compatibles 5G sont courants et disponibles à des tarifs de plus en plus abordables. Et le déploiement du réseau a atteint un rythme de croisière. Au 1er juin, l’Agence nationale des fréquences (ANFR) a autorisé 25 105 sites 5G en métropole, dont 14 284 sont déclarés techniquement opérationnels par les opérateurs de téléphonie mobile. « La quasi-totalité de ces implantations 5G ont été autorisées sur des sites existants, déjà utilisés par les technologies 2G, 3G ou 4G. Sur le mois de mai, les sites 5G autorisés ont donc augmenté de 3,7 % », précise l’ANFR. FreeMobile dispose de 16 683 sites 5G dans la bande 700 MHz. Bouygues Telecom, Orange et SFR disposent de 8 376 sites 5G sont autorisés dans la bande 2 100 MHz et de 8 550 dans la nouvelle bande 3,5 GHz. Le déploiement de la 5G n’est toutefois activé que dans une quarantaine d’agglomérations.
L'impact de la crise du Covid-19
Finalement, ce qui pourrait expliquer le désintérêt du public pour la 5G est… la crise du Covid-19. A cause des confinements et des couvre-feux successifs depuis mars 2020, nous avons passé plus de temps à la maison qu’à l’extérieur en déplacement. Le télétravail, la classe à la maison, les loisirs numériques comme la vidéo à la demande ont fait évoluer les priorités : la fibre plutôt que la 5G.
Ce que confirme Fabienner Dulac, directrice générale d’Orange. « Nous n’avons pas pris de retard dans le déploiement de la 5G. Nous avons continué à travailler dessus mais on voit que l’appétence des clients s’est plutôt reportée sur les demandes de fibre, où on voit les demandes exploser : +50 % par rapport à avant la crise sanitaire », détaillait sur Europe1 la dirigeante, qui prédit un regain d’intérêt pour la 5G à la rentrée de septembre.
À condition peut-être que les opérateurs donnent un petit coup de pouce : la 4G avait véritablement décollé lorsqu’elle avait été incluse dans les forfaits.
Le démarrage du pass sanitaire ce mercredi commence sous le feu des critiques. Après la polémique sur les failles de sécurité qui entourent l'application de vérification des QR Code, Tous Anti Covid Verif, c'est le principe même du pass sanitaire qui est sur la sellette.
L'association de défense des libertés la Quadrature du net, a en effet, décidé "de "déposer un référé (recours d’urgence) contre ce passe sanitaire devant le Conseil d’État car il divulgue de façon injustifiée des données sur l’état civil et des données de santé."
Pour l'association le pass sanitaire équivaut à une carte d'identité numérique
"L’accès aux grands événements sera limité aux personnes présentant certaines garanties contre la pandémie, telles que le fait d’être vaccinées, d’avoir réalisé un test PCR ou de s’être récemment rétablies de la maladie. Ce n’est pas cette limitation que nous avons choisi d’attaquer. Le problème principal que nous attaquons est que, pour apporter la preuve d’une telle garantie, chaque personne devra fournir un passe sanitaire comportant son nom afin, comme l’a expliqué Cédric O, de prouver qu’elle en est bien la titulaire par la production d’une carte d’identité ou d’un passeport. Ainsi, l’accès aux grands événements sera en pratique limité aux personnes disposant d’une carte d’identité ou d’un passeport. C’est cette conséquence du passe sanitaire que nous sommes sur le point d’attaquer devant le Conseil d’État" explique l'association.
La possession d’une carte d’identité ne doit pas s’imposer
"Si, en pratique, la possession d’une carte d’identité semble être une obligation pour beaucoup de personnes, elle ne l’est pas en droit : notre identité se prouve par tout moyen (pendant des siècles, par exemple, elle se prouvait simplement par témoignage oral, ce que l’administration admet d’ailleurs comme étant toujours valable)", rappelle la Quadrature du Net.
"La possession d’une carte d’identité ne doit pas s’imposer davantage qu’elle ne l’est aujourd’hui, car ce type de fichage généralisé risque d’avoir de terribles conséquences avec le développement des nouvelles technologies et la légalisation de la surveillance de masse", poursuit l'association qui estime que "la crise sanitaire ne doit pas être un prétexte pour rétablir l’obligation généralisée de détenir une carte d’identité" et que le "système simple et pratique de code en 2D facilitera le traçage constant et à grande échelle de toute personne présentant sa carte d’identité."
C’est l’une des nouveautés les plus remarquables de la deuxième phase du déconfinement qui a commencé ce mercredi : le pass sanitaire. Ce certificat qui permet de prouver que l’on est vacciné, que l’on a passé un test PCR négatif récemment ou que l’on est immunisé, est l’une des clés du retour à la vie d’avant, tant en France qu’au niveau Européen. Le certificat vert a d’ailleurs été approuvé hier par le Parlement européen et chacun des Etats membres doit désormais le mettre en œuvre avec la possibilité d’en étendre les capacités à d’autres fonctionnalités.
Le pass sanitaire largement approuvé par les Français
Le pass sanitaire, qui avait par le passé déclenché une vive polémique lorsqu’on parlait alors de «passeport sanitaire» est désormais largement plébiscité par les Français. «61% sont favorables à la mise en place d’un pass sanitaire conditionnant l’accès à certains lieux ou événements (stades, salles de concert, festivals…) à une vaccination contre la Covid-19 ou à un test négatif récent», indiquait un sondage Elabe le 20 mai, qui notait que l’adhésion au pass sanitaire augmente même nettement avec l’âge, de 53% chez les moins de 50 ans à 79% chez les 65 ans et plus.
Les principales réserves qui sont pour l’heure exprimées concernent la protection des données personnelles et la question de la fracture numérique. Au moment du vote, plusieurs eurodéputés ont ainsi émis des réserves quant à la protection des données personnelles. L’eurodéputée écologiste française Michèle Rivasi a estimé que le pass «ouvre un nouveau risque en manière de traçabilité».
Le QR Code transite... par une société américaine
En présentant le pass sanitaire, qui est une nouvelle fonctionnalité de son application TousAntiCovid, le gouvernement s’est voulu rassurant. «Plusieurs garanties ont été apportées pour assurer le respect des données des utilisateurs», indique l’exécutif précisant que «les informations personnelles affichées sur l’application TousAntiCovid Verif (l’autre application utilisée pour le personnel chargé de vérifier le QR Code de TousAntiCovid, ndlr) lors des contrôles sont minimisées.»
«Lors du contrôle du pass sanitaire via l’application TousAntiCovid Verif, aucune donnée personnelle n’est stockée, que ce soit sur le terminal de la personne habilitée à contrôler ou sur un serveur central. La signature électronique de la preuve sanitaire est transmise à un serveur central pour s’assurer de son authenticité. C’est cette transmission de la signature qui permet au certificat d’être infalsifiable», explique le gouvernement.
Mais cette transmission à un serveur central semble moins sécurisée qu’annoncée comme viennent de le démontrer plusieurs hackers et informaticiens. « Tout le contenu du 2D-DOC (le QR code, ndlr) est envoyé vers un serveur d’IN Groupe (Imprimerie nationale) qui renvoie le résultat de la vérification », explique au site spécialisé 01Net le développeur «GilbsGilbs »?
Selon lui, mais aussi d’autres informaticiens, si la transmission entre TousAntiCovid Verif et IN Groupe est sécurisée, les données arrivent en clair chez un prestataire tiers américain, Akamai, qui peut donc collecter les données de santé des Français... « Que fait-on si les serveurs d’IN Groupe tombent en panne ou subissent une attaque ?», interroge GilbsGiglbs. TousAntiCovid Verif utilise par ailleurs des interfaces de programmation tierces et propriétaires comme Google Firebase ou Crashlytics.
Cédric O a annoncé une mise à jour
L’application TousAntiCovid « qui avait promis, craché, juré qu’elle ne contiendrait pas de données personnelles vient donc de revenir très discrètement sur ses promesses», estime dès lors Christian Quest, data scientist et porte-parole d’OpenStreetMap.
Face à ces critiques, Cédric O, secrétaire d’Etat au numérique, a expliqué mardi que TousAntiCovid Vérif allait faire l’objet d’une mise à jour qui devrait supprimer les composants de Google et permettre une vérification en local sur le smartphone, sans transmission de données cette fois.
L’intelligence artificielle entre dans une nouvelle aire avec l’émergence de la technologie dite d’IA frugale. Économe en données, en ressources machines et en énergie, l’intelligence artificielle frugale est particulièrement pertinente lorsque l’entité qui souhaite la déployer ne possède pas de volumes de données qualifiées importants. Appliquée aux nouvelles générations de chatbots intelligents, l’IA frugale permet à des industries ou des secteurs de pointes, même à partir de documents très techniques, d’adopter des agents conversationnels très performants.
L’intelligence artificielle est partout… Mais bien souvent, pour déployer des technologies de Machine Learning ou Deep Learning, il est indispensable de disposer d’un volume de données considérable (Big Data). Relativement accessibles pour des domaines génériques, ces données sont en revanche bien plus rares (et bien plus chères) lorsqu’il s’agit de domaines bien spécifiques ou très techniques. On peut ainsi penser aux industries telles que l’aéronautique et le spatial, la défense, la pharmacologie, la chimie, la banque et l’assurance… et plus globalement, à tous les secteurs de pointe.
En effet, le manque de données abondantes est un frein à l’utilisation des modèles d’intelligence artificielle aujourd’hui dominants. Dans ce contexte, l’analyse sémantique, la thématisation ou le déploiement d’un chatbot intelligent sont alors impossibles pour bon nombre de secteurs avec ces modèles. Mais désormais, la technologie dite d’intelligence artificielle frugale lève ce frein et va révolutionner, entre autres, l’univers des chatbots. Tous les secteurs, même les plus pointus, pourront ainsi se doter d’un agent conversationnel intelligent pour faciliter l’accès et le partage de connaissances.
L’IA frugale, comment ça marche ?
Contrairement au modèle dominant qui repose sur le Deep Learning ou le Machine Learning, l’IA frugale ne nécessite pas de grands volumes de données pour entraîner son modèle. Il s’agit bien là de la force première de cette technologie. En effet, la plupart des entreprises qui sollicitent un spécialiste en intelligence artificielle pour, par exemple, déployer un chatbot, ne possèdent pas un volume de données suffisant. Il faut alors envisager d’utiliser des ressources libres de droits ou tierces payantes, pas forcément très représentatives de leur secteur d’activité.
Une solution possible pour pallier ce problème est de créer ses propres ressources de données. Cette solution nécessite de mobiliser de très nombreux experts d’un sujet donné, sur le long terme. Difficile par exemple, pour un avionneur, de mobiliser des pilotes et des mécaniciens pendant des mois pour annoter des ressources documentaires. Le coût serait exorbitant et le travail particulièrement fastidieux et éloigné de leur métier. De plus, les besoins en ressources machines seraient alors particulièrement élevés, de même que la consommation d’énergie associée.
Seconde solution, adopter des modèles qui contournent le problème d’un grand volume de données disponibles : l’IA frugale. Cette technologie est capable d’apprendre à partir de très peu d’exemples. Le défi majeur est de réussir à initier un modèle suffisamment performant dans un premier temps, afin de susciter l’adhésion des utilisateurs, et ensuite d’apprendre en continu au fil des interactions homme-machine. L’acquisition de données ne se fait donc plus uniquement en amont du projet, mais sur un temps long, sans mobiliser d’importantes ressources humaines expertes.
L’IA frugale appliquée aux chatbots intelligents
Certains chatbots - ou agents conversationnels – dits intelligents, sont capables de lire et de comprendre une documentation, grâce à des technologies comme le Machine Reading. Là où l’intelligence artificielle frugale va encore plus loin, c’est qu’elle permet à ce type de technologie d’être efficiente sur des corpus documentaires très techniques, avec très peu d’exemples. Ainsi, il est tout à fait envisageable pour un laboratoire pharmaceutique, une entreprise de l’aérospatiale ou encore une société spécialisée dans la finance de déployer un chatbot afin de faciliter l’accès et le partage de connaissances au sein de ses équipes.
IA frugale, un gros plus pour un numérique plus vertueux
Le saviez-vous ? En six ans, les besoins en calculs liés au Deep learning – modèle actuellement dominant d’intelligence artificielle - ont été multipliés par 300.000, rien que ça ! Sachez également que le coût d'entraînement de ce type de technologie double plusieurs fois chaque année ! L’intelligence artificielle est donc loin de la sobriété de l’intelligence humaine. Quand un cerveau utilise une vingtaine de watts pour fonctionner, une IA basée sur le Deep Learning nécessite près d’un demi-million de watts ! L’IA frugale apparaît clairement comme un levier considérable pour accélérer la sobriété des technologies basées sur l’intelligence artificielle.
Un double mouvement pousse à l'adoption de la sécurité des identités dans le secteur des services financiers. Les organisations sont "poussées" par la menace croissante des cyber-attaques à repenser et à renforcer leur approche de la sécurité. Dans le même temps, elles sont également "tirées" par les avantages potentiels d'une plus grande efficacité opérationnelle et d'une meilleure conformité. Il n'est guère surprenant que le secteur des services bancaires et financiers soit déjà à la recherche d'opportunités cachées dans les cyberdéfis auxquels il est confronté. Après tout, il a été à l'avant-garde de l'utilisation de la technologie pour transformer la façon dont il exerce ses activités, de l'optimisation des opérations à l'amélioration de l'expérience client.
La sécurité des identités est une approche de la cybersécurité qui se concentre sur une vision globale de tous les accès dans une entreprise et des identités numériques auxquelles ils sont attribués. Cette approche présente l'avantage de protéger séparément chaque application, service et plateforme, car elle offre une plus grande visibilité et prévient les cybermenaces récurrentes telles que la duplication des mots de passe, la dérive des autorisations et le surdimensionnement.
La sécurité des identités est mise en avant aujourd'hui car le secteur a récemment été confronté à une accélération forcée de la transformation numérique, grâce aux effets de la pandémie de Covid-19. Même avant la pandémie, le taux de numérisation des services bancaires et des technologies dorsales était de plus en plus intégré, à la fois entre les différents systèmes dorsaux d'une organisation et avec ceux de ses partenaires.
La nature de plus en plus numérique de la banque moderne entraîne une prolifération des données qui doivent être protégées. Les institutions financières traitent chaque jour des millions de transactions contenant de grandes quantités d'informations financières sensibles et d'informations personnelles identifiables. Si l'on associe la valeur de ces informations aux conséquences dévastatrices qu'elles peuvent avoir si elles tombent entre de mauvaises mains, on comprend pourquoi un certain nombre d'entreprises de services financiers sont à la fois réticentes à prendre des risques et fortement réglementées, ce qui crée une demande de solutions de sécurité qui réduisent les risques et améliorent la conformité.
Qu'est-ce qui freine le secteur des services financiers ?
Malgré d'importants investissements dans la formation du personnel, le secteur bancaire affiche l'un des taux les plus élevés de violations de données par des initiés. Les silos départementaux et les structures organisationnelles complexes posent des problèmes pour obtenir une visibilité totale sur les accès des utilisateurs, le stockage des données et les systèmes. Alors que le secteur bancaire a entamé sa transition vers le numérique, nombre d'entre elles se trouvent actuellement dans un état hybride qui contient encore des systèmes non cloud et une dépendance à l'égard des moyens traditionnels de suivi des données tels que les feuilles de calcul et autres processus manuels.
La double pression de la nécessité de sécuriser les données numériques et de la nécessité de les auditer conduit à une plus grande adoption du modèle de sécurité des identités. Mais cette évolution met également en lumière les avantages que l'on peut tirer de l'utilisation des dernières innovations technologiques pour y parvenir. L'automatisation peut réduire la charge des tâches manuelles répétitives tout en garantissant l'intégrité et l'exhaustivité des ensembles de données. L'ajout de capacités "intelligentes" grâce à l'apprentissage automatique permet aux organisations de services financiers de découvrir et de résoudre des problèmes jusqu'alors inconnus qui présentent des risques. L'utilisation de ces capacités dans le cadre d'un système agile de sécurité de l'identité signifie qu'il peut apprendre et s'adapter à l'évolution des besoins de l'entreprise.
Une sécurité renforcée pour faire face à l'avenir
L'évolution (et la nouvelle concurrence) du secteur bancaire signifie que les attentes en matière de pratiques commerciales sécurisées et intégrées ne vont pas se relâcher de sitôt. La sécurité des identités peut être le moyen de préparer l'avenir des organisations bancaires en intégrant la conformité, l'agilité et une vision holistique de l'accès.
En 2015, deux chercheurs ont trouvé une vulnérabilité qui permettait de prendre le contrôle à distance d’une Jeep Cherokee, y compris son système de direction et de freinage. Cette découverte avait entraîné un retrait du marché de 1,4 million de véhicules.
En 2020, NCC Group a réalisé une analyse de sécurité approfondie sur onze modèles de sonnette sans fil, produits par des géants du numérique tels que Ring (filiale d’Amazon), Vivint et Remo. Ils ont montré que diverses vulnérabilités permettaient de s’insérer dans le réseau de votre maison ou de vous espionner. Cette enquête a donné lieu à un dépôt de plainte contre Amazon pour « protections insuffisantes » contre le piratage.
Le marché des appareils connectés n’a cessé de croître ces dernières années. À l’hôpital par exemple, des thermomètres connectés surveillent la température des réfrigérateurs pour que les médicaments soient conservés dans des conditions convenables. Au quotidien, ampoules et balances connectées arrivent dans les logements, montres connectées à nos poignets, et aides aux manœuvres de stationnement dans nos véhicules.
Ces objets connectés constituent ensemble ce qu’on appelle l’« internet des objets » (soit « Internet of Things » ou « IoT », en anglais). Ils sont devenus une véritable aire de jeu pour les attaquants. Au moins 20 % des organisations ont subi une attaque en lien avec des dispositifs IoT entre 2015 et 2018 dans le monde. Par conséquent, sécuriser ces appareils, de plus en plus fréquents dans nos vies, est un enjeu primordial. Face à ces menaces, les entreprises et la recherche sont forcées d’adopter une stratégie basée sur l’attaque.
Quand l’attaque est la meilleure des défenses
Se mettre à la place d’un attaquant permet de mieux comprendre le fonctionnement des appareils IoT, en les détournant de leur fonctionnalité première. Ceci permet aussi d’anticiper les actions des attaquants et d’utiliser les mêmes outils et techniques, pour évaluer la sécurité des systèmes IoT et pour trouver de nouvelles vulnérabilités, des failles qui permettent de s’introduire dans le système.
Par exemple, une des failles les plus simples d’exploitation pour un cybercriminel est de trouver les identifiants de connexion par une attaque dite de « force brute » afin d’avoir accès a l’appareil. De plus, les utilisateurs ne modifient pas forcément les identifiants définis par défaut lors de la première utilisation. Il suffit alors pour un attaquant de retrouver les identifiants définis par le constructeur (la plupart du temps le même pour chaque type d’appareil) et de se connecter à un appareil afin d’avoir accès au réseau complet.
Cette faille a été utilisée lors de l’attaque Mirai Botnet en 2016. Les attaquants avaient identifié les objets IoT vulnérables qui utilisaient des identifiants et de mots de passe par défaut pour se connecter et installer un logiciel malveillant permettant d’effectuer des attaques à grande échelle. Plusieurs grandes entreprises responsables du trafic web, telles que OVH ou Dyn, en ont été victimes, ce qui a entraîné de nombreuses difficultés d’accès à Twitter ou Airbnb par exemple.
Cette faille a aussi permis a des attaquants de s’introduire dans le réseau d’un casino, afin d’avoir accès aux données des clients (identité, numéro de compte, etc.) par le biais d’un thermomètre déployé dans un aquarium.
Les failles liées aux spécificités des appareils connectés sont de plus en plus exploitées. Ces appareils fonctionnent sur batterie et sont pourvus de ressources mémoires limitées. Pour saturer le fonctionnement de ces éléments (batterie, mémoire), un attaquant peut envoyer de nombreuses requêtes à l’appareil et ainsi provoquer son arrêt – on parle alors d’attaque par « déni de service » (« DDoS »).
L’un des objectifs est d’identifier les « zones à risques » les plus évidentes dans le réseau d’objet connecté, afin de créer des solutions le plus rapidement possible… avant qu’une personne malveillante ne la trouve. On peut considérer cela comme un jeu où deux équipes s’affrontent pendant un temps imparti pour atteindre le même but : trouver la faille – certains la répareront, d’autres l’exploiteront.
Cette méthode a permis de découvrir plusieurs dysfonctionnements avant qu’ils n’engendrent des conséquences importantes, comme pour l’exemple du modèle de Jeep Cherokee cité plus haut. Cette méthode a aussi permis de rappeler plus de 500 000 pacemaker de la vente, suite à une découverte d’une faille pouvant entraîner la mort des patients par un groupe de chercheurs anglais.
Anticiper un portfolio d’attaques en développement constant
En adoptant le point de vue de l’attaquant, on peut aussi créer de nouvelles attaques qui dérivent des attaques existantes. De nouvelles attaques sont imaginées en continu, et les systèmes de sécurité doivent donc être testés continûment et mis à jour.
De plus, un nouveau type d’attaque se développe – elles utilisent des algorithmes d’apprentissage automatique, qui peuvent contourner plus facilement les systèmes de sécurité mis en place. En effet, en utilisant des algorithmes de machines learning, il est maintenant possible de créer des données semblables à celles circulant sur un réseau IoT et de les injecter dans ce dernier afin de falsifier des informations et de contourner le système de détection.
Ces algorithmes d’intelligence artificielle sont de plus en plus accessibles et faciles à implémenter, grâce à des outils libres et gratuits – ce qui va contribuer à rendre ce type d’attaque de plus en plus fréquent d’après Europol.
Les défis de sécurité des systèmes IoT
Avec un marché qui ne cesse de croître, les réseaux IoT deviennent de plus en plus nombreux et complexes. Cette croissance se fait de manière hétérogène, ce qui complique les travaux et les recherches en sécurité : chaque constructeur possède son propre matériel et logiciel. De nombreux protocoles peuvent être utilisés pour interconnecter les objets entre eux. Tous ces éléments sont à prendre en compte lors de l’établissement d’une solution de sécurité ou d’un nouveau système de détection d’attaque. Il n’existe pas encore pour le moment une solution applicable sur tous les appareils IoT permettant de faire face à toutes les attaques existantes et à venir.
De plus, ces appareils embarquent avec elle de nouvelles technologies comme l’intelligence artificielle. C’est par exemple le cas des enceintes Amazon Echo, qui intègrent des composants supportant l’apprentissage automatique permettant de répondre à des requêtes spécifiques (allumer une lumière, jouer une musique).
L’intelligence artificielle permet de résoudre de nombreux problèmes et de rendre les appareils IoT plus autonomes, mais elle ouvre aussi de nouveaux vecteurs d’attaques. Par exemple, les voitures autonomes sont capables de reconnaître, entre autres, les panneaux de signalisation routière. Cependant, une modification en apparence anodine pour l’homme peut mener à de terribles répercussions sur un algorithme de machine learning : le simple ajout d’un autocollant sur un panneau « STOP » peut par exemple mettre l’algorithme en échec. Celui-ci croit alors qu’il s’agit d’un panneau de limitation de vitesse, et ce avec une grande confiance en lui (97 %).
Il devient donc bien évidemment primordial d’inclure ces nouveaux champs de menace en compte dans l’élaboration des nouveaux moyens de sécurité.
Enfin, quand une solution de sécurité est trouvée, il peut être difficile de l’appliquer sur tous les appareils IoT déjà déployés. En effet, certains constructeurs, pour des raisons essentiellement financières et de temps, ne permettent pas de mettre à jour les dispositifs IoT, qui par rapport aux autres outils informatiques connectés sont par définition plus autonomes et moins développés.
Des risques, mais aussi des solutions
Apporter des solutions de sécurité pour l’ensemble des réseaux IoT existants est impossible de nos jours. Cependant, il est envisageable de les sécuriser en fonction de leur utilisation et de leur domaine. Par exemple, les solutions de sécurité apportées pour une utilisation de surveillance ne seront pas les mêmes que celles pour une exploitation dans un milieu hospitalier. En effet, de nombreuses données privées transitent au sein des hôpitaux, comme le numéro de sécurité sociale ou l’âge d’un patient, ce qui n’est pas le cas pour un système de surveillance. Dans ce dernier, les attaquants se focaliseront plus sur l’intégrité de l’appareil IoT (batterie, composants électroniques) qui pourrait empêcher son bon fonctionnement que sur les données qui sont véhiculées. Ainsi, repérer les failles en amont, en prenant la place d’un attaquant dans des milieux réels, permet de répondre à cette problématique.
Dans tous les cas, l’un des moyens de se protéger face à ces attaques est de faire attention à ce que nous connectons sur nos réseaux, et bien sûr de respecter les protections de base, par exemple en changeant régulièrement ses mots de passe.
Bien que de nombreuses solutions existent pour sécuriser les réseaux IoT, comme l’exigence d’identifiants de connexion d'un niveau de sécurité élevé pour les appareils ou le chiffrement des données qui y circulent, la sécurité de ces derniers reste faible. Il est essentiel d’adopter une stratégie fondée sur l’attaque afin de mieux comprendre les attaquants et les outils qu'ils utilisent. La sécurité reste encore un domaine en tension, et au vu du nombre d’attaques apparaissant chaque année, il est devenu urgent de former de nouvelles personnes sur ce sujet.
L’Union européenne que ses contempteurs dépeignent souvent comme complexe et lointaine, déconnectée des réalités est pourtant rien moins tangible que lorsqu’elle a un impact direct dans la vie quotidienne des quelque 500 millions de citoyens européens. Le programme d’échange étudiant Erasmus, la fin des frais d’itinérance téléphoniques (roaming) qui provoquaient jadis de mauvaises surprises au retour des vacances et plus récemment l’achat groupé de vaccins anti-Covid-19 pour les 27 pays membres ou le futur certificat vert vaccinal sont quelques-unes des actions qui montrent que l’Europe agit efficacement.
Cette semaine la Commission européenne a proposé une idée qui pourrait bouleverser notre quotidien : la création d’une identité numérique fiable et sécurisée pour tous les Européens. À l’heure où la numérisation de nos sociétés n’a jamais été autant avancée et s’est accélérée sous l’effet de la pandémie de Covid, l’idée serait de définir un cadre pour les particuliers et les entreprises autour d’un portefeuille numérique sécurisé.
Reprendre le contrôle de ses données
Les citoyens pourraient ainsi depuis leur smartphone prouver leur identité, partager des documents électroniques, ou encore accéder à des services en ligne, grâce à leur identification numérique nationale reconnue dans toute l’Europe et par les grandes plateformes (réseaux sociaux, sites web…).
"L’identité numérique européenne nous permettra d’agir dans n’importe quel État membre comme nous le ferions chez nous, sans frais supplémentaires et plus facilement, que ce soit pour louer un appartement ou pour ouvrir un compte bancaire en dehors de notre pays d’origine. Et ce, en toute sécurité et transparence. Ce sera donc à nous de décider quelles informations personnelles nous souhaitons partager, avec qui et à quelle fin. Nous aurons ainsi une occasion unique d’approfondir ce que cela signifie de vivre en Europe et d’être européen", explique Margrethe Vestager, vice-présidente exécutive pour une Europe adaptée à l’ère du numérique.
"Les portefeuilles européens d’identité numérique offrent une nouvelle possibilité de stocker et d’utiliser des données pour des services très variés, depuis l’enregistrement à l’aéroport jusqu’à la location d’une voiture. Il s’agit d’offrir aux consommateurs un choix européen. Nos entreprises européennes, grandes ou petites, bénéficieront aussi de cette identité numérique", rajoute Thierry Breton, commissaire au marché intérieur.
Derrière cette initiative visant à simplifier les démarches du quotidien, il y a aussi la volonté de permettre aux citoyens de reprendre le contrôle des données qui sont le carburant des géants du numérique américains – les GAFAM (Google Apple, Facebook, Amazon, Microsoft) et de susciter des initiatives privées européennes. Les portefeuilles pourront être fournis par des autorités publiques ou par des entités privées… reconnus par les États membres. Le projet très ambitieux devrait se concrétiser courant 2022.
L’élection présidentielle française de 2022 peut-elle échapper aux tentatives d’intrusions étrangères venues de Russie, de Chine ou d’ailleurs et/ou de manipulation de l’information ? Entre fake news et théories complotistes sans compte r des cyberattaques comme celle subies en 2017 par les équipes d’Emmanuel Macron, cette question est devenue cruciale à désormais dix mois de l’élection suprême. "La démocratie des crédules a pris le pouvoir dans certains pays, et notamment aux Etats-Unis sous la présidence de Donald Trump", analysait récemment dans l’Express le sociologue Gérald Bronner. Ce sont notamment les Deepfake qui inquiètent le plus l’exécutif. Les Deepfake ce sont des vidéos truquées où, grâce à l’intelligence artificielle, on peut plaquer des images (visages, lèvres) sur une personne pour lui faire dire tout et n’importe quoi. C’est cette technique qu’utilise l’imitateur Nicolas Canteloup. Il se dit que Brigitte Macron se serait laissée tromper tant le résultat est bluffant de vérité. On imagine ce qu’un tel dispositif pourrait produire durant une campagne d’autant qu’il devient de plus en plus facile et peu cher à utiliser…
Préserver les élections
Un proche d’Emmanuel Macron s’inquiétait aussi très récemment de la façon dont les réseaux sociaux organisent la modération des messages qu’ils hébergent. Afin de préserver le scrutin de ces menaces numériques, le gouvernement va créer une agence de lutte les manipulations de l’information en provenance de l’étranger visant à "déstabiliser l’Etat". L’annonce a été faite mercredi par le Secrétaire général de la défense et de la sécurité nationale (SGDSN), Stéphane Bouillon. Cette agence devrait voir le jour dès le mois de septembre et mobiliser à terme jusqu’à 60 personnes qui travailleront en sources ouvertes, c’est-à-dire à partir d’éléments publics, a-t-il précisé au cours d’une audition devant la Commission défense à l’Assemblée nationale. "Il ne s’agit pas de corriger ou rétablir la vérité, mais d’arriver à détecter les attaques quand elles viennent de l’étranger, pouvoir les caractériser et d’une certaine manière les attribuer pour pouvoir permettre aux hommes politiques, aux diplomates, à la justice et la presse de constater que sur 400 000 tweets de reprise de telle ou telle information, 200 000 viennent d’une ferme à bots (des comptes automatisés, ndlr) dans une région hors de notre pays ou que tel débat provient d’une ferme à trolls", a expliqué M. Bouillon.
"Il ne s’agit pas de faire du renseignement, ce qui nous intéresse c’est ce qui est en train de devenir pandémique sur le plan informationnel" et si cela émane d’"un pays étranger ou d’une organisation étrangère qui visent ainsi à déstabiliser l’Etat sur le plan politique", a-t-il insisté. En 2019, lors des élections européennes, Microsoft avait détecté une série d’attaques visant une centaine d’employés de plusieurs "think tanks" en Allemagne, France, Belgique, Pologne, Roumanie et Serbie.
Conscient du risque que cette nouvelle agence passe pour un outil d’influence en ligne au service de l’exécutif français à un an de la présidentielle, le SGDSN promet la "transparence totale" sur ses actions. Un comité d’éthique et scientifique doit chapeauter l’agence. D’autres pays ou groupes d’Etats se sont d’ores et déjà dotés de telles structures. L’Union européenne a créé en 2015 "East Strat Comm", spécifiquement consacrée à lutter contre les manipulations en provenance de Russie.
