Plandex est un moteur de codage d’IA open source basé sur un terminal pour des tâches complexes. Ce moteur utilise des agents de longue durée pour effectuer des tâches qui s’étendent sur plusieurs fichiers et nécessitent de nombreuses étapes. Les modifications sont accumulées dans un bac à sable protégé…

Il y avait des failles critiques dans ChatGPT et ses plugins. Ça n’a rien à voir avec l’article précédent, car cette fois c’est Salt Labs qui a découvert le pot aux roses et publié ça dans un article de blog où ils explique comment des affreux pouvaient accéder aux conversations privées des utilisateurs et même à leurs comptes GitHub perso, juste en exploitant des failles dans l’implémentation d’OAuth…

Une faille de GitHub pourrait mettre en danger des millions d’utilisateurs. Cette vulnérabilité représente une menace importante pour les référentiels appartenant à des organisations réputées telles que Google. Des millions de logiciels en danger sur GitHub, rien que ça. C’est le cri d’alarme lancé par Aqua, une société spécialisée dans la sécurité du cloud. En cause, …

GitHub est une entreprise de développement logiciel et de service dont le siège est situé aux États-Unis. GitHub développe notamment la plateforme GitHub, l'éditeur de texte Atom ou encore le framework Electron. GitHub est exploité pour la productivité et la collaboration avec une sécurité intégrée. Cette plate-forme attire les développeurs et accélère le développement de logiciels de haute qualité. La présence d'outils comme Codespaces stimule la vitesse des développeurs dans un environnement de développement complet.

Les publicités Facebook poussent le nouveau logiciel malveillant de vol de mots de passe Ov3r_Stealer. Un nouveau malware de vol de mot de passe nommé Ov3r_Stealer se propage via de fausses offres d’emploi sur Facebook, dans le but de voler les identifiants de compte et la cryptomonnaie. Les fausses offres d’emploi concernent des postes de direction et conduisent les utilisateurs vers une URL Discord où un script PowerShell télécharge la charge utile du malware à partir d’un référentiel GitHub.

De multiples vulnérabilités ont été découvertes dans les produits Nextcloud. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).

Lorsqu’un attaquant avait accès à un code d’autorisation, il pouvait s’authentifier à tout moment à l’aide de ce code. Désormais, ils sont invalidés au bout de 10 minutes et ne seront plus authentifiés. Il est recommandé de mettre à niveau le serveur Nextcloud vers la version 28.0.0. Aucune solution de contournement disponible

La confidentialité en informatique est un principe fondamental qui garantit la protection des données personnelles des utilisateurs. Elle implique que les informations sensibles soient accessibles uniquement aux personnes autorisées. Avec la prolifération des plateformes en ligne et des appareils connectés, la préservation de la confidentialité devient cruciale.

Les technologies telles que le chiffrement des données et les pare-feu jouent un rôle essentiel dans cette protection. Cependant, des préoccupations persistent concernant la collecte excessive de données par les entreprises et les gouvernements, mettant en péril la vie privée des individus. Ainsi, il est impératif de mettre en place des réglementations strictes et des pratiques de sécurité robustes pour préserver la confidentialité des données dans le monde numérique.

La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données.

De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation. Nul doute que l'utilisation d'un Réseau Privé Virtuel (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges. En juin 2023, la société Proton lance son extension de navigateur Proton Pass. Un gestionnaire de mots de passe sécurisé, gratuit et open source

La politique de sécurité informatique, essentielle à l'ère numérique, vise à protéger les systèmes, réseaux et données contre les menaces en ligne. Elle établit des directives pour gérer les risques, mettre en place des mesures de prévention et de détection des intrusions, ainsi que des protocoles de réponse en cas d'incidents. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation.

Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie. La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en œuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques. Certaines cyberattaques réussissent en contournant ou diminuant les politiques de sécurité. Le CERT et le CISA préconisent le comblement immédiat des correctifs des failles critiques et plus particulièrement ceux qui concernent les vulnérabilités de catégorie Zero Day.

En promouvant la sensibilisation, la formation et la conformité aux normes de sécurité, une politique efficace renforce la résilience des organisations face aux cyberattaques, garantissant la confidentialité, l'intégrité et la disponibilité des informations cruciales.

Le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page. Les possibilités des XSS sont très larges puisque l'attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java, Flash...) et de nouvelles possibilités sont régulièrement découvertes notamment avec l'arrivée de nouvelles technologies comme HTML5. Il est par exemple possible de rediriger vers un autre site pour de l'hameçonnage ou encore de voler la session en récupérant les cookies. En exploitant les failles critiques Zero-Day, les cybercriminels lancent des attaques XSS dans le but d'insérer des scripts malveillants dans les sites internet. Les navigateurs sont incapables de distinguer l'origine des balises malwares de celles qui sont légitimes. Cette action donne aux pirates un accès complet aux informations confidentielles enregistrées par les internautes dans l'historique et les cookies de navigation.

Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.

Microsoft face à plusieurs fuites de données.

Le Géant américain a dû faire face à un nouveau dysfonctionnement interne lié à la protection des données. Au cours des trois dernières années, il s’avère que 38 To (Téraoctets) de données internes ont été exposés accidentellement, via un simple lien GitHub. Mais ce n’est pas tout…

TikTok cède à son tour à la mode de la connexion par passkeys.

La prophétie de Google continue de faire son petit bonhomme de chemin. Il y a quelques jours, GitHub indiquait qu’il était désormais possible pour les utilisateurs de sa plateforme de sécuriser leur compte à l’aide de passkeys. Désormais, c’est au tour de TikTok d’offrir la même chose à ses utilisateurs.

Appel à témoins : à quoi et comment utilisez-vous ChatGPT, Midjourney, Dall-E et les autres IA ?

Avez-vous entendu parler de ChatGPT, de DALL-E, de Midjourney, de Stable Diffusion, de GitHub Copilot ? Question de pure rhétorique… évidemment que oui. Ce sujet a débordé dans l’actualité comme une boisson gazeuse trop secouée. Mais utilisez-vous vraiment l’une ou l’autre de ces « intelligences artificielles génératives » ? (Sources)

Au tour de GitHub d’avoir son “ChatGPT” pour écrire ou corriger le code des développeurs.

La plateforme de code consacrée aux développeurs GitHub dévoile à son tour son assistant, ou « copilote », qui fonctionne grâce à l’IA et adopte le modèle GPT-4. (Sources)

GitHub est une entreprise de développement logiciel et de service dont le siège est situé aux États-Unis. GitHub développe notamment la plateforme GitHub, l'éditeur de texte Atom ou encore le framework Electron. GitHub est exploité pour la productivité et la collaboration avec une sécurité intégrée. Cette plate-forme attire les développeurs et accélère le développement de logiciels de haute qualité. La présence d'outils comme Codespaces stimule la vitesse des développeurs dans un environnement de développement complet.