Search for:
Médicaments radioactifs : Une avancée ciblée contre le cancer

Les médicaments radioactifs offrent une précision inégalée pour cibler et traiter le cancer

La révolution des produits radiopharmaceutiques dans le traitement du cancer

Le 30 janvier 1896, Rose Lee, une femme d’âge moyen, se trouvait dans une petite usine d’ampoules électriques à Chicago. Ce jour-là, elle devenait le premier patient à recevoir une thérapie aux rayons X pour traiter une tumeur maligne de son sein gauche. Cet événement marqua la naissance de la radiothérapie, une avancée médicale majeure. Depuis lors, la radiothérapie a évolué, intégrant de nouvelles technologies et découvrant des métaux radioactifs comme le radium. Aujourd’hui, une nouvelle révolution est en marche avec les produits radiopharmaceutiques.

Les Débuts de la Radiothérapie

À ses débuts, la radiothérapie utilisait des rayons X pour traiter les tumeurs superficielles. La découverte de métaux radioactifs comme le radium permit d’administrer des doses plus élevées de radiation, ciblant ainsi des cancers plus profonds. L’introduction de la protonthérapie affina cette approche, permettant de diriger avec précision les faisceaux de radiation vers les tumeurs tout en épargnant les tissus sains environnants. Les progrès en physique médicale, en informatique et en imagerie ont permis d’améliorer encore cette précision.

 

L’Émergence des Radiopharmaceutiques

Le tournant décisif est survenu avec l’avènement des produits radiopharmaceutiques ciblés. Ces agents agissent comme des missiles à recherche de chaleur, voyageant dans le sang pour délivrer leurs charges radioactives directement aux tumeurs. Actuellement, seules quelques thérapies radiopharmaceutiques sont disponibles commercialement, principalement pour les cancers de la prostate et certaines tumeurs neuroendocrines. Cependant, ce nombre est appelé à croître rapidement grâce aux investissements massifs des géants de l’industrie biopharmaceutique tels qu’AstraZeneca, Bristol Myers Squibb (BMS), et Eli Lilly.

Les Transactions Majeures et l’Investissement Croissant

Le 4 juin, AstraZeneca a finalisé l’acquisition de Fusion Pharmaceuticals pour 2,4 milliards de dollars, rejoignant ainsi le secteur des produits radiopharmaceutiques de nouvelle génération. Ce mouvement suit des transactions similaires de BMS et Eli Lilly, ainsi que des acquisitions antérieures par Novartis, qui continue d’investir massivement dans ce domaine prometteur. George Sgouros, physicien radiologue et fondateur de Rapid, souligne que ces investissements reconnaissent la valeur unique des produits radiopharmaceutiques pour traiter le cancer.

Les Défis de la Production et de la Distribution

Malgré leur potentiel, les produits radiopharmaceutiques posent des défis uniques, notamment en termes de fabrication et de distribution. Les isotopes radioactifs ont une courte durée de vie, ce qui exige une coordination précise entre la production et l’administration aux patients. L’expansion de la thérapie à un plus large éventail de cancers nécessitera également de nouveaux types de particules et des cibles supplémentaires appropriées.

Les Avancées en Radiopharmaceutiques

Depuis des décennies, une forme radioactive d’iode est utilisée pour traiter le cancer de la thyroïde. Cependant, cette approche n’est pas applicable à d’autres types de tumeurs. Les chercheurs ont donc conçu des médicaments capables de reconnaître et de s’attacher à des protéines spécifiques produites par les cellules tumorales, agissant ainsi comme des vecteurs pour les isotopes radioactifs. Les premiers agents de ce type visaient uniquement à obtenir des images des tissus corporels, mais la technologie a évolué pour inclure des agents capables de tuer les cellules tumorales.

De Nouveaux Agents Thérapeutiques

Le premier traitement combinant isotopes radioactifs et molécules ciblantes a été Quadramet, approuvé en 1997 pour soulager les douleurs osseuses causées par le cancer. Bien que d’autres médicaments similaires aient suivi, ils n’ont pas réussi à rivaliser avec des traitements non radioactifs comme le rituximab. Ces revers ont temporairement réduit l’intérêt pour les produits radiopharmaceutiques, mais la recherche a continué, notamment à l’université de Weill Cornell Medicine.

Ciblage du PSMA et des Récepteurs de la Somatostatine

Des chercheurs ont développé des médicaments ciblant l’antigène membranaire spécifique de la prostate (PSMA) et les récepteurs de la somatostatine, présents dans certains cancers neuroendocrines. Le Lutathera, marqué au lutécium, a été approuvé en 2017 après des essais montrant une efficacité clinique remarquable. Cela a incité Novartis à acquérir la société Advanced Accelerator Applications pour près de 4 milliards de dollars, marquant un tournant dans l’intérêt de l’industrie pour les radiopharmaceutiques.

Les Particules Alpha : Une Nouvelle Frontière

Les traitements actuels utilisent principalement des particules bêta, mais l’attention se tourne de plus en plus vers les émetteurs alpha, plus énergétiques et précis. Ces particules pénètrent moins profondément dans les tissus, minimisant les dommages aux cellules saines. Des entreprises comme Fusion Pharmaceuticals développent des produits émetteurs alpha, promettant des traitements encore plus ciblés et efficaces.

Les produits radiopharmaceutiques représentent une avancée majeure dans le traitement du cancer, offrant des thérapies ciblées avec une précision inégalée. Malgré les défis de fabrication et de distribution, les investissements croissants et les nouvelles recherches ouvrent la voie à une nouvelle ère de traitements oncologiques. Alors que l’industrie continue d’explorer de nouvelles cibles et de développer des agents plus efficaces, l’avenir des produits radiopharmaceutiques semble prometteur, apportant de nouvelles solutions pour combattre le cancer avec une précision atomique.

Les États-Unis bannissent le logiciel antivirus Kaspersky dès juillet

L'administration Biden bannit le logiciel Kaspersky aux USA dès juillet, invoquant des préoccupations de sécurité nationale

Invoquant la sécurité nationale, les États-Unis interdiront le logiciel antivirus Kaspersky en juillet

En juillet 2024, l’administration Biden interdira toutes les ventes du logiciel antivirus Kaspersky aux États-Unis. Cette décision, rapportée par Reuters et confirmée par un dossier du ministère américain du Commerce, est motivée par des préoccupations de sécurité nationale. Le gouvernement américain estime que le logiciel de sécurité fabriqué par Kaspersky Lab, basé à Moscou, représente un risque significatif. Selon la secrétaire au Commerce, Gina Raimondo, le gouvernement russe pourrait utiliser le logiciel de Kaspersky pour installer des logiciels malveillants, bloquer d’autres mises à jour de sécurité et collecter et utiliser les informations personnelles des Américains comme une arme.

Raimondo a déclaré lors d’un point de presse : « Quand vous pensez à la sécurité nationale, vous pensez peut-être aux armes, aux chars et aux missiles. Mais la vérité est que, de plus en plus, il s’agit de technologie, de technologie à double usage et de données. »

Les entreprises et les consommateurs américains ne pourront plus acheter de nouveaux logiciels de Kaspersky à partir du 24 juillet 2024. Les utilisateurs actuels auront la possibilité de télécharger le logiciel, de le revendre et de recevoir des mises à jour pendant 100 jours supplémentaires, permettant aux entreprises et aux particuliers de trouver une alternative. Les produits renommés utilisant le logiciel de Kaspersky seront également concernés par cette interdiction.

 

Cette décision fait suite à une enquête de sécurité nationale de deux ans menée par le ministère du Commerce sur le logiciel antivirus de Kaspersky. L’interdiction est mise en œuvre en vertu d’une loi d’autorisation de défense nationale signée sous l’administration Trump en 2018. Cette mesure est le point culminant de préoccupations de longue date au sein de plusieurs administrations présidentielles. Le logiciel de Kaspersky a été banni des systèmes des agences gouvernementales américaines à la suite d’allégations de liens avec les services de renseignement russes.

En 2022, la Commission fédérale des communications des États-Unis a ajouté Kaspersky à une liste de menaces pour la sécurité, incluant également les fabricants de matériel chinois Huawei et ZTE. Cette inclusion n’a pas interdit les ventes aux consommateurs, mais a empêché Kaspersky de recevoir un financement de la FCC.

En réponse à cette interdiction, Kaspersky et ses représentants ont toujours nié les allégations du gouvernement américain. Eugene Kaspersky, le PDG de l’entreprise, a qualifié les rapports de 2017 de « BS brassées sur [un] agenda politique ». La société a également accusé la FCC en 2022 de prendre des décisions « sur des bases politiques » et « non basées sur une évaluation technique des produits Kaspersky ».

Le 21 juin 2024, Kaspersky a publié une déclaration réitérant que les mesures prises par le ministère du Commerce sont avant tout politiques plutôt que basées sur des faits. La société s’engage à poursuivre toutes les options légalement disponibles pour protéger ses activités. La déclaration de Kaspersky souligne que la décision du Département américain du Commerce n’affecte pas la capacité de l’entreprise à vendre et à promouvoir des offres et des formations en matière de renseignements sur les cybermenaces aux États-Unis.

« Kaspersky est au courant de la décision du Département américain du Commerce d’interdire l’utilisation du logiciel Kaspersky aux États-Unis. La décision n’affecte pas la capacité de l’entreprise à vendre et à promouvoir des offres et/ou des formations en matière de renseignements sur les cybermenaces aux États-Unis. Malgré la proposition d’un système dans lequel la sécurité des produits Kaspersky aurait pu être vérifiée de manière indépendante par un tiers de confiance, Kaspersky estime que le ministère du Commerce a pris sa décision sur la base du climat géopolitique actuel et de préoccupations théoriques, plutôt que sur une évaluation complète de l’intégrité des produits et services de Kaspersky. Kaspersky ne s’engage pas dans des activités qui menacent la sécurité nationale des États-Unis et, en fait, a apporté une contribution significative en signalant et en protégeant divers acteurs menaçants qui ciblaient les intérêts et alliés des États-Unis. Nous poursuivrons toutes les options disponibles pour préserver nos opérations et nos relations actuelles. »

Depuis plus de 26 ans, Kaspersky a réussi à construire un avenir plus sûr en protégeant plus d’un milliard d’appareils. Kaspersky fournit des produits et services de pointe à ses clients du monde entier pour les protéger contre tous les types de cybermenaces et a démontré à plusieurs reprises son indépendance vis-à-vis de tout gouvernement. De plus, Kaspersky a mis en œuvre des mesures de transparence importantes, inégalées par aucun de ses pairs du secteur de la cybersécurité, pour démontrer son engagement durable en faveur de l’intégrité et de la fiabilité. La décision du ministère du Commerce ignore injustement ces preuves.

Le principal impact de ces mesures sera le bénéfice qu’elles apporteront à la cybercriminalité. La coopération internationale entre experts en cybersécurité est cruciale dans la lutte contre les logiciels malveillants, mais cette interdiction limitera ces efforts. En outre, cela prive les consommateurs et les organisations, grandes et petites, de la liberté d’utiliser la protection qu’ils souhaitent, les obligeant à s’éloigner de la meilleure technologie anti-malware du secteur, selon des tests indépendants. Cela entraînera une perturbation dramatique pour nos clients, qui seront contraints de remplacer de toute urgence la technologie qu’ils préfèrent et sur laquelle ils comptent pour leur protection depuis des années.

Kaspersky reste déterminé à protéger le monde contre les cybermenaces. L’activité de l’entreprise reste résiliente et solide, marquée par une croissance de 11 % des réservations de ventes en 2023. Nous attendons avec impatience ce que l’avenir nous réserve et continuerons à nous défendre contre les actions qui cherchent à nuire injustement à notre réputation et à nos intérêts commerciaux.


Cette interdiction de Kaspersky par les États-Unis marque un tournant important dans la cybersécurité mondiale. En invoquant des risques pour la sécurité nationale, les États-Unis imposent des mesures drastiques qui pourraient avoir des répercussions significatives sur les entreprises et les consommateurs. Les allégations de liens entre Kaspersky et le gouvernement russe continuent de diviser l’opinion, mais la décision de l’administration Biden reflète une méfiance croissante envers les technologies perçues comme des menaces potentielles. La situation géopolitique actuelle ne fait qu’intensifier ces tensions, et l’avenir de Kaspersky aux États-Unis demeure incertain.

Les journaux cachés de Google détaillent des milliers de violations de la vie privée

Les journaux cachés de Google détaillent des milliers de violations de la vie privée

Les journaux cachés de Google détaillent des milliers de violations de la vie privée

Dans un monde où les données sont aussi précieuses que l’or, même les géants technologiques comme Google ne sont pas à l’abri des pièges liés à la gestion de vastes réservoirs d’informations personnelles. Récemment, des rapports internes de Google ont révélé des milliers de violations de la vie privée, affectant tout, depuis les numéros de plaque d’immatriculation jusqu’aux voix d’enfants et aux itinéraires de covoiturage.

La divulgation des incidents

Selon les rapports des employés de Google, ces incidents, qu’on peut qualifier d’erreurs, d’incidents ou d’imprudences, mettent en lumière les défis complexes auxquels est confrontée l’entreprise dans la gestion de ses systèmes d’information. Entre 2016 et 2022, des milliers de cas de violations de la vie privée ont été documentés, montrant comment les données sensibles peuvent être accidentellement collectées, stockées et parfois divulguées.

Gamme d’incidents

Une période de six ans de rapports internes, découverts par 404 Media, révèle un éventail inquiétant de violations de la vie privée. Ces incidents touchent divers aspects de la vie privée des utilisateurs, allant des données vocales des enfants aux adresses personnelles des utilisateurs de covoiturage.

L’un des incidents les plus notables concerne Google Street View. En 2016, Google a accidentellement transcrit et stocké les numéros de plaque d’immatriculation des véhicules, pris pour du texte ordinaire par ses algorithmes de reconnaissance. Cette erreur a conduit à la création d’une base de données involontaire de numéros de plaque d’immatriculation géolocalisés.

 

Recommandations YouTube basées sur des historiques de visionnage supprimés

Les violations de la vie privée comprennent également l’élaboration de recommandations YouTube basées sur les historiques de visionnage supprimés des utilisateurs. Bien que ces problèmes puissent sembler insignifiants individuellement, ils révèlent des failles significatives dans les systèmes de gestion des données de Google.

Exposition des données de Socratic.org

Une autre violation importante a impliqué la divulgation des adresses e-mail de plus d’un million d’utilisateurs de Socratic.org, une plateforme éducative acquise par Google. Les données sensibles, telles que les informations de géolocalisation et les adresses IP, sont restées accessibles via la page source de la plateforme pendant plus d’un an.

 

La réponse de Google

La révélation de ces problèmes provient d’une information anonyme reçue par 404 Media. Un porte-parole de Google a confirmé l’authenticité des rapports et a déclaré : « Chez Google, les employés peuvent rapidement signaler les problèmes potentiels liés au produit pour examen par les équipes compétentes. Lorsqu’un employé soumet le signalement, il suggère le niveau de priorité à l’évaluateur. »

Ils ont ajouté : « Les rapports obtenus par 404 datent d’il y a plus de six ans et sont des exemples de ces signaux d’alarme – chacun d’entre eux a été examiné et résolu à ce moment-là. Dans certains cas, ces signaux d’employés se sont avérés ne pas poser de problèmes du tout ou étaient des problèmes que les employés ont trouvés dans les services tiers. »

Mesures proactives à prendre

À une époque où la vie privée numérique est constamment menacée, il n’a jamais été aussi impératif de prendre des mesures proactives pour protéger vos informations personnelles, en particulier à la lumière des récentes révélations sur les violations de la vie privée chez des géants de la technologie comme Google.

1. Créez des mots de passe forts

Utilisez des mots de passe complexes et modifiez-les régulièrement. Évitez d’utiliser le même mot de passe sur plusieurs sites. Pensez à utiliser un gestionnaire de mots de passe pour générer et stocker des mots de passe complexes.

2. Activez l’authentification à deux facteurs

Dans la mesure du possible, utilisez l’authentification à deux facteurs pour ajouter une couche de sécurité supplémentaire à vos comptes. Cette méthode vous alerte de toute connexion suspecte et protège vos informations contre les accès non autorisés.

3. Méfiez-vous des escroqueries par phishing

Apprenez à identifier les e-mails et les messages suspects susceptibles de tenter de voler vos informations personnelles. Installez une protection antivirus sur tous vos appareils pour vous alerter des e-mails de phishing ou des logiciels malveillants.

4. Utilisez des réseaux sécurisés

Évitez d’utiliser le Wi-Fi public pour les transactions sensibles. Pensez à utiliser un VPN pour une meilleure sécurité. Un VPN peut vous protéger contre le suivi et l’identification de votre emplacement potentiel sur les sites Web que vous visitez.

5. Investissez dans des services de suppression de données

Bien qu’aucun service ne promette de supprimer toutes vos données d’Internet, disposer d’un service de suppression est idéal si vous souhaitez surveiller et automatiser en permanence le processus de suppression de vos informations divulguées sur des centaines de sites.

6. Gérez vos paramètres de réseaux sociaux

Rendez vos comptes de réseaux sociaux privés et soyez prudent quant aux informations que vous partagez en ligne. Révisez régulièrement les autorisations que vous avez accordées aux applications et aux sites Web et révoquez celles qui sont inutiles.

7. Mettez à jour vos appareils

Gardez vos logiciels et vos appareils à jour pour vous protéger contre les dernières menaces de sécurité. Les mises à jour régulières corrigent les vulnérabilités et améliorent la sécurité de vos données.

8. Examinez les autorisations

Examinez régulièrement les autorisations que vous avez accordées aux applications et aux sites Web. Révoquez celles qui sont inutiles ou trop intrusives pour mieux contrôler vos données personnelles.

 

Mot de la fin

À l’ère numérique, où nos données personnelles sont constamment menacées, il est crucial de prendre des mesures pour protéger notre vie privée. Les révélations récentes sur les violations de la vie privée chez Google montrent que même les géants technologiques ne sont pas infaillibles. En suivant les étapes mentionnées ci-dessus, vous pouvez renforcer la sécurité de vos informations personnelles et réduire les risques de violations de la vie privée.

La gestion des données personnelles chez Google révèle des défis significatifs, notamment des violations de la vie privée touchant les numéros de plaque d’immatriculation, les voix d’enfants et les itinéraires de covoiturage, soulignant l’importance de mots de passe forts, d’authentification à deux facteurs et de la vigilance contre les escroqueries par phishing.

Google, vie privée, violations de données, numéros de plaque d’immatriculation, voix d’enfants, itinéraires de covoiturage, recommandations YouTube, historiques de visionnage, Socratic.org, adresse e-mail, géolocalisation, adresse IP, gestion des données, sécurité des informations, mots de passe forts, authentification à deux facteurs, escroqueries par phishing, protection antivirus, VPN, services de suppression de données, paramètres de réseaux sociaux, mises à jour des appareils, autorisations des applications, collecte de données, Google Street View, Google Chrome incognito

Quelle est la valeur de vos informations personnelles sur le dark web ?

Quelle est la valeur de vos informations personnelles sur le dark web ?

À l’ère numérique, où nos informations personnelles sont constamment échangées en ligne, la question de leur sécurité et de leur valeur devient cruciale. Bien que la vie privée soit inestimable pour la plupart d’entre nous, elle se vend étonnamment à des prix relativement bas sur le dark web. En 2023, selon une étude de Whizcase, des années de gestion de votre page de médias sociaux peuvent être en vente pour aussi peu que 14 $ pour une connexion Facebook. Mais comment ces informations se retrouvent-elles sur le dark web, et que pouvons-nous faire pour les protéger ?

La valeur de vos informations sur le dark web

Le dark web est un marché noir numérique où des informations personnelles volées sont échangées quotidiennement. Les comptes de médias sociaux comme Facebook, Reddit et LinkedIn se vendent respectivement pour 14 $, 6 $ et 45 $. Cela soulève des questions sur la sécurité de nos données et sur les mesures que nous devons prendre pour nous protéger.

Comment vos informations finissent-elles sur le dark web ?

La principale raison pour laquelle nos informations se retrouvent sur le dark web est la faiblesse des mots de passe et les violations de données des entreprises. Créer des mots de passe uniques et complexes pour chaque compte en ligne n’est pas simplement un conseil, c’est une nécessité. Les mots de passe simples peuvent être facilement déchiffrés ou devinés par des pirates informatiques, et l’utilisation du même mot de passe pour plusieurs comptes expose tous ces comptes en cas de compromission.

 

Même si vous faites un effort pour créer des mots de passe complexes et utilisez un gestionnaire de mots de passe, vos informations peuvent toujours être exposées si une entreprise à laquelle vous vous connectez est infiltrée. Les violations de données sont courantes, et souvent, nous sommes informés trop tard que nos informations ont été compromises.

En outre, si votre appareil est infecté par des logiciels malveillants ou des virus, vos identifiants et mots de passe peuvent être volés et vendus sur le dark web. Il est donc essentiel de comprendre comment protéger vos informations et réagir efficacement en cas de compromission.

Que faire si vos informations se retrouvent sur le dark web ?

Lorsque vous recevez une notification indiquant que vos informations ont été compromises, voici quelques étapes pour minimiser les dommages :

1. Déconnectez-vous de tous les appareils

De nombreux réseaux sociaux, comme Instagram, permettent de voir où et sur quels appareils votre compte est ouvert. Vous pouvez vous déconnecter de tous les appareils pour éviter un accès non autorisé. Voici comment faire sur Instagram :

  1. Cliquez sur l’icône de profil en bas à droite de l’écran.
  2. Cliquez sur les trois lignes horizontales en haut à droite.
  3. Appuyez sur Centre des comptes.
  4. Faites défiler vers le bas et appuyez sur Mot de passe et sécurité.
  5. Appuyez sur Où vous êtes connecté pour afficher votre activité de connexion récente.
  6. Pour vous déconnecter, appuyez sur l’un de vos comptes, puis faites défiler vers le bas et appuyez sur Sélectionner les appareils à déconnecter.
  7. Sélectionnez les appareils et appuyez sur Se déconnecter.

 

2. Changez votre mot de passe

Utiliser des gestionnaires de mots de passe comme ceux sur Safari et Chrome peut vous informer si vos mots de passe sont compromis, faibles ou réutilisés. Avoir des mots de passe complexes et uniques pour chaque compte est crucial pour sécuriser vos informations en ligne. Les gestionnaires de mots de passe peuvent générer et gérer ces mots de passe pour vous.

3. Activez l’authentification à deux facteurs

Cette étape peut sembler ennuyeuse, mais elle est cruciale pour sécuriser vos comptes. L’authentification à deux facteurs vous alerte de toute connexion ou demande de réinitialisation de mot de passe, permettant de sécuriser vos comptes rapidement.

4. Installez un logiciel antivirus puissant

Un bon logiciel antivirus peut détecter et éliminer les logiciels malveillants avant qu’ils ne volent vos informations. Il est essentiel de protéger vos appareils avec les meilleurs logiciels antivirus disponibles pour Windows, Mac, Android et iOS.

5. Retirez-vous d’Internet

Bien que ce ne soit pas une solution parfaite, utiliser un service de suppression de données peut aider à surveiller et à automatiser la suppression de vos informations de nombreux sites web. Cela réduit la quantité de vos informations disponibles en ligne.

6. Bénéficiez d’une protection contre le vol d’identité

Des services de protection contre le vol d’identité offrent une surveillance continue du dark web pour détecter toute utilisation non autorisée de vos informations. Ils peuvent vous alerter immédiatement et vous aider à geler vos comptes bancaires et de carte de crédit pour empêcher toute fraude.

Les principaux points à retenir

À l’ère numérique, il est troublant de penser que des années de nos interactions personnelles peuvent être réduites à une simple transaction sur le dark web. Cependant, être informé est la première étape pour renforcer nos défenses numériques. Voici quelques points clés pour protéger vos informations personnelles :

  • Utilisez des mots de passe complexes et uniques pour chaque compte.
  • Activez l’authentification à deux facteurs sur tous vos comptes.
  • Installez un logiciel antivirus fiable pour protéger vos appareils.
  • Surveillez régulièrement les activités suspectes sur vos comptes.
  • Utilisez des services de protection contre le vol d’identité pour surveiller le dark web.

En suivant ces conseils, vous pouvez mieux protéger vos informations personnelles et minimiser les risques associés aux violations de données et aux transactions sur le dark web.

La protection de vos informations personnelles contre la cybercriminalité et les transactions sur le dark web nécessite l’utilisation de mots de passe complexes, l’activation de l’authentification à deux facteurs, l’installation d’un antivirus et une vigilance constante quant à la sécurité des données.

Dark web, informations personnelles, sécurité des données, violation de données, mots de passe complexes, gestionnaire de mots de passe, logiciels malveillants, antivirus, authentification à deux facteurs, protection contre le vol d’identité, surveillance des comptes, Instagram, Facebook, LinkedIn, Reddit, Whizcase, protection des données, services de suppression de données, fraude en ligne, sensibilisation à la sécurité, piratage informatique, gestion de la vie privée, sécurisation des appareils, cybercriminalité, transactions en ligne

Éviter les dangers du code généré par l’IA

Éviter les dangers du code généré par l'IA

2023 a été une année charnière pour les développeurs et l’IA générative. GitHub Copilot a terminé sa phase de prévisualisation technique en juin 2022 et OpenAI a publié ChatGPT en novembre 2022. À peine 18 mois plus tard, selon une enquête de Sourcegraph, 95 % des développeurs déclarent utiliser l’IA générative pour les aider à écrire du code. L’IA générative peut aider les développeurs à écrire plus de code dans un laps de temps plus court, mais nous devons considérer dans quelle mesure cela peut être une bonne chose.

Lorsque nous parlons d’outils d’IA pour le développement de logiciels, cela signifie actuellement principalement ChatGPT et GitHub Copilot, bien qu’il existe une concurrence de Google Bard, Amazon CodeWhisperer et Sourcegraph’s Cody. Les développeurs réussissent à utiliser l’IA générative pour résoudre des problèmes de codage courants, répétitifs et peu complexes. Cependant, ces assistants ne parviennent pas à comprendre des bases de code complexes, à reconnaître des modèles complexes et à détecter des problèmes et des vulnérabilités complexes.

Selon les premières recherches de GitHub concernant l’utilisation de Copilot, les développeurs écrivent du code de manière mesurable plus rapidement et se perçoivent comme plus productifs, moins frustrés et plus épanouis. Qu’est-ce qui pourrait mal se passer?

 

Code non sécurisé généré par l’IA

Une étude de Stanford réalisée à peu près à la même époque a révélé que les participants ayant accès à un assistant IA étaient plus susceptibles d’écrire du code non sécurisé et plus susceptibles de qualifier leurs réponses de sécurisées par rapport à un groupe témoin. Parallèlement, une enquête de Sauce Labs a révélé que 61 % des développeurs admettent utiliser du code non testé généré par ChatGPT, et 28 % le font régulièrement.

Ainsi, les développeurs écrivent du code plus rapidement et en produisent davantage avec l’aide de l’IA générative. Mais ils sont plus susceptibles d’écrire du code non sécurisé, tout en le croyant sécurisé, et même de le mettre en production sans le tester. En 2024, il est probable que nous verrons les premières grandes vulnérabilités logicielles attribuées au code généré par l’IA. Le succès de l’utilisation d’outils d’IA pour créer des logiciels entraînera un excès de confiance dans les résultats et, en fin de compte, une faille qui sera imputée à l’IA elle-même.

Pour éviter une telle expérience, l’industrie dans son ensemble doit redoubler d’efforts en matière de pratiques de développement garantissant que le code, écrit à la fois par les développeurs et par l’IA, est analysé, testé et conforme aux normes de qualité et de sécurité. Il est important que les organisations élaborent des processus garantissant que le code est analysé, testé et révisé afin qu’il soit fiable, quelle que soit la manière dont il a été créé.

 

Ces pratiques créent un tampon permettant aux développeurs d’exploiter les générateurs de code d’IA sans risque, aujourd’hui et à l’avenir. C’est important maintenant car les outils d’IA générative sont nouveaux et assez rudimentaires et nécessitent beaucoup de surveillance humaine pour les guider dans la bonne direction. C’est également important à l’avenir, car l’IA générative et la technologie qui l’utilise continuent d’évoluer rapidement. Nous ne savons pas à quoi cela ressemblera dans le futur, mais nous savons que sans les outils et les processus nécessaires pour contrôler le code, nous ne comprendrons peut-être pas ce que nous déployons.

Mettre l’accent sur un code propre

À mesure que l’adoption d’outils d’IA pour créer du code augmente, les organisations devront mettre en place les freins et contrepoids appropriés pour garantir que le code qu’elles écrivent est propre, maintenable, fiable, de haute qualité et sécurisé. Les dirigeants devront faire du code propre une priorité s’ils veulent réussir.

Un code propre (un code cohérent, intentionnel, adaptable et responsable) garantit un logiciel de qualité supérieure tout au long de son cycle de vie. Avec autant de développeurs travaillant simultanément sur le code, il est impératif que les logiciels écrits par un développeur puissent être facilement compris et modifiés par un autre à tout moment. Avec un code propre, les développeurs peuvent être plus productifs sans passer autant de temps à comprendre le contexte ou à corriger le code d’un autre membre de l’équipe.

Lorsqu’il s’agit de production massive de code assisté par l’IA, le maintien d’un code propre est essentiel pour minimiser les risques et la dette technique. La mise en œuvre d’une approche « propre pendant que vous codez » avec des tests et des analyses appropriés est cruciale pour garantir la qualité du code, qu’il soit généré par l’homme ou par l’IA.

En parlant d’humains, je ne crois pas que les développeurs vont disparaître, mais la manière dont ils font leur travail au quotidien va certainement changer. La façon dont les développeurs utiliseront l’IA sera aussi simple et courante que de rechercher quelque chose sur Google comme raccourci. Il y a beaucoup à explorer sur l’utilisation de l’IA moderne, et nous devons considérer l’élément humain au premier plan pour vérifier les inconvénients de l’IA.

En garantissant que les logiciels générés par l’IA contiennent un code propre, les organisations peuvent éviter d’être victimes des inconvénients potentiels de l’IA, comme des bugs subtils ou des failles de sécurité, et elles peuvent tirer davantage de valeur de leurs logiciels de manière prévisible et durable. Ceci n’est pas négociable alors que le statut et l’avenir du développement logiciel en tant que profession sont intimement liés à l’intégration de l’IA.

L’IA a un potentiel de transformation pour le développement de logiciels, mais nous ne devons pas la laisser fonctionner sans contrôle, surtout lorsque les entreprises numériques dépendent aujourd’hui des logiciels qui la sous-tendent.

Phil Nash est un défenseur des développeurs pour Sonar au service des communautés de développeurs à Melbourne et partout dans le monde. Il adore travailler avec JavaScript ou Ruby pour créer des applications et des outils Web pour aider les développeurs. On peut le trouver lors de rencontres et de conférences, jouer avec les nouvelles technologies et les API, ou écrire du code open source. Avant de travailler chez Sonar, il était l’un des principaux développeurs évangélistes chez Twilio.

L’adoption croissante des outils d’IA générative tels que GitHub Copilot et ChatGPT nécessite une surveillance humaine rigoureuse et des pratiques de développement solides pour garantir un code sécurisé et de qualité, minimisant ainsi les vulnérabilités et les failles de sécurité potentielles.

IA générative, code sécurisé, développement logiciel, GitHub Copilot, ChatGPT, OpenAI, Google Bard, Amazon CodeWhisperer, Sourcegraph Cody, Stanford, Sauce Labs, vulnérabilités, tests de sécurité, analyse de code, pratiques de développement, code propre, dette technique, processus de révision, surveillance humaine, freins et contrepoids, qualité du code, production de code, API, bugs subtils, failles de sécurité, Phil Nash

Extensions VSCode avec code malveillant installées 229 millions de fois

Extensions VSCode avec code malveillant installées 229 millions de fois

Le marché des extensions Visual Studio Code (VSCode) de Microsoft est en proie à des téléchargements malveillants et à un manque de contrôles de sécurité, a déclaré un groupe de chercheurs dans une lettre ouverte publiée sur Medium.

La lettre du 3 juin est la troisième partie d’une série de six blogs rédigés par un groupe comprenant Amit Assaraf, directeur technique de Landa, Itay Kruk, fondateur d’AppTotal, et Idan Dardikman, chercheur en sécurité chez Zscaler, qui ont mené une expérience le mois dernier dans laquelle ils ont « piraté » plus de 100 organisations, dont plusieurs entreprises multimilliardaires, avec une version typosquattée d’une extension VSCode populaire.

« Au cours de nos recherches sur le marché, nous avons découvert un nombre incroyable de failles de sécurité mises en œuvre par Microsoft, qui offrent aux acteurs malveillants des moyens incroyables d’acquérir de la crédibilité et d’accéder », a écrit le groupe dans son blog du 4 juin.

Visual Studio Code est l’environnement de développement intégré (IDE) le plus utilisé avec plus de 15 millions d’utilisateurs mensuels, et le VSCode Marketplace obtient plus de 4,5 millions de vues par mois, offrant une gamme d’extensions telles que des thèmes de couleurs et des embellisseurs de code. Le marché héberge environ 60 000 extensions provenant d’environ 45 000 éditeurs, et le développeur moyen utilise environ 40 extensions IDE, a estimé le groupe.

 

Les extensions VSCode malveillantes gagnent rapidement du terrain

Dans leur premier blog, le groupe a présenté une expérience qu’ils ont menée dans laquelle ils ont créé une copie typosquattée de l’extension populaire Dracula Theme, qu’ils ont appelée Darcula Official.

Outre le code source légitime de Dracula, les chercheurs ont inclus un code qui envoyait le code sur lequel la victime travaillait à leur propre serveur, ainsi que des informations sur la machine de la victime, telles que le nom d’hôte, le domaine, la plate-forme et le nombre d’extensions installées.

La création de l’extension Darcula a pris 30 minutes, ont rapporté les chercheurs, et sa première installation a eu lieu en quelques minutes. Les chercheurs ont également rapidement gagné en crédibilité pour leur fausse extension en enregistrant le domaine « darculatheme.com » et en l’associant à leur compte VSCode Studio pour devenir un « éditeur vérifié » avec une coche bleue à côté de leur liste. En quelques jours, Darcula Official a été présenté sur la première page du marché en tant qu’extension « tendance » et a été installée plus de 100 fois.

Les chercheurs ont révélé que les organisations qui ont installé leur extension potentiellement dangereuse comprenaient plus de 10 sociétés valant plusieurs milliards de dollars, dont une société cotée en bourse avec une capitalisation boursière de 483 milliards de dollars, ainsi qu’une importante société de cybersécurité et un réseau de tribunaux nationaux.

 

Le groupe a fait des révélations responsables à ces victimes, en plus d’une divulgation incluse dans la licence de l’extension, qui déclarait : « Ceci est un fork du thème Dracula créé à des fins de recherche » et notait que l’extension collectait certaines données et démontrait l’exécution de code.

Les chercheurs découvrent près de 1 300 extensions VSCode malveillantes avec 229 millions d’installations au total

À la suite de leur expérience, les analystes ont mené des recherches plus approfondies sur l’écosystème du marché VSCode et ont découvert un certain nombre de pratiques préoccupantes et d’extensions potentiellement dangereuses, dont 1 283 avec des dépendances malveillantes connues qui représentaient au total 229 millions d’installations.

De plus, ils ont trouvé 8 161 extensions qui communiquent avec une adresse IP codée en dur, 1 452 qui exécutent un binaire exécutable ou une DLL inconnue sur la machine hôte, 145 signalées comme malveillantes avec un niveau de confiance élevé par VirusTotal et 87 qui tentent de lire la base de données /etc/passwd sur la machine hôte.

En plus de la barre basse pour devenir un éditeur vérifié, qui nécessitait uniquement de lier un domaine vérifié par DNS à son compte d’éditeur, les chercheurs ont découvert la possibilité de copier facilement des extensions légitimes en liant le référentiel GitHub de cette extension au copieur, ce qui ne nécessite aucune preuve que le dépôt appartenait à l’éditeur. Le groupe a trouvé 2 304 extensions utilisant le dépôt GitHub d’un autre éditeur comme dépôt « officiel » de leur extension.

D’autres problèmes découverts au cours de l’expérience comprenaient la possibilité de gonfler les numéros d’installation à l’aide d’un fichier Docker configuré pour s’exécuter en boucle et la possibilité de générer de faux avis positifs pour une extension.

Microsoft trop laxiste sur les autorisations d’extension VSCode, disent les chercheurs

L’un des principaux problèmes abordés dans la lettre ouverte adressée à Microsoft est l’absence d’un modèle d’autorisation pour les extensions VSCode, qui permet aux extensions d’effectuer n’importe quelle action API, notamment la lecture et l’écriture de fichiers et l’exécution de code sans autorisation explicite de l’utilisateur.

« Contrairement à des cas similaires comme les extensions Chrome ou les compléments Gmail, les extensions VSCode n’ont aucune limitation sur ce qu’elles peuvent faire sur l’hôte. Ils peuvent générer des processus enfants, exécuter des appels système et importer n’importe quel package NodeJS de leur choix, ce qui les rend très risqués », ont écrit les analystes.

Il est peu probable que les outils de détection et de réponse des points de terminaison (EDR) protègent les systèmes contre les extensions VSCode malveillantes en raison de la grande confiance accordée à VSCode. En tant qu’IDE, VSCode est censé effectuer des activités telles que la lecture et l’écriture de fichiers et l’exécution de code, et les EDR peuvent ne pas être capables de faire la distinction entre l’utilisation légitime de VSCode par un développeur et l’activité provenant d’une extension malveillante, ont écrit les auteurs.

De plus, comme les extensions VSCode sont mises à jour silencieusement et automatiquement par défaut, un éditeur malveillant peut mener une attaque secrète de la chaîne d’approvisionnement en gagnant du terrain avec une extension légitime avant d’y insérer ultérieurement du code malveillant, un peu comme ce qui s’est produit avec les utilitaires xz plus tôt cette année.

« Cher Microsoft, vous avez créé un produit étonnant, utilisé et adoré par des millions de développeurs, mais ces développeurs vous font confiance pour concevoir un produit sûr. Je ne peux qu’espérer que les failles de sécurité mentionnées dans cet article de blog seront corrigées dans les mois à venir », ont écrit les chercheurs dans la conclusion de leur lettre.

Assaraf, Kruk et Dardikman ont déclaré qu’ils prévoyaient de publier prochainement un outil gratuit appelé ExtensionTotal qui aidera les développeurs à détecter les risques potentiels sur le marché VSCode.

Les chercheurs en sécurité ont découvert une vulnérabilité critique dans les extensions de Visual Studio Code (VSCode) de Microsoft, avec des dépendances malveillantes signalées par VirusTotal, des adresses IP codées en dur, et des binaires exécutables non identifiés, soulignant l’importance d’un modèle d’autorisation rigoureux et d’outils comme ExtensionTotal pour protéger les utilisateurs.

vulnérabilité, Visual Studio Code, VSCode, Microsoft, extensions, sécurité, code malveillant, typosquattage, Dracula Theme, Darcula Official, piratage, organisations, entreprises, éditeur vérifié, Medium, expérience, divulgation responsable, dépendances malveillantes, VirusTotal, IP codée en dur, binaire exécutable, DLL inconnue, /etc/passwd, dépôt GitHub, Docker, avis positifs, modèle d’autorisation, API, EDR, chaîne d’approvisionnement, ExtensionTotal, outil gratuit, chercheurs en sécurité

Une faille de corruption de mémoire dans Fluent Bit pourrait perturber les plateformes cloud

Une faille de corruption de mémoire dans Fluent Bit pourrait perturber les plateformes cloud

Une vulnérabilité critique de corruption de mémoire appelée « Linguistic Lumberjack » a été observée dans le serveur HTTP intégré de l’outil open source Fluent Bit, qui pourrait potentiellement permettre des attaques par déni de service, une perte de données ou l’exécution de code à distance.

Fluent Bit a été largement déployé dans les organisations qui utilisent des environnements cloud et de conteneurs pour la journalisation et les métriques, en particulier dans les distributions Kubernetes. Il est également intégré aux principales plates-formes cloud telles que Microsoft Azure, Google Cloud Platform et Amazon Web Services. Les équipes utilisent Fluent Bit pour gérer la collecte de journaux d’applications conteneurisées complexes, l’enrichissement des métadonnées et le traitement des données.

Dans un article de blog du 20 mai, les chercheurs de Tenable ont déclaré que les équipes de sécurité pouvaient résoudre la vulnérabilité (CVE-2024-4323) en effectuant une mise à niveau vers la dernière version de Fluent Bit et en limitant l’accès au point de terminaison vulnérable.

Les chercheurs de Tenable ont déclaré que le bug avait été signalé aux responsables du projet Fluent Bit le 30 avril et que les correctifs avaient été apportés à la branche principale du projet le 15 mai. Ils ont ensuite été inclus dans la version 3.0.4 de Fluent Bit le 20 mai.

Eric Schwake, directeur de la stratégie de cybersécurité chez Salt Security, a expliqué que la vulnérabilité Linguistic Lumberjack peut potentiellement causer des dommages importants aux environnements cloud de trois manières.

 

Premièrement, les attaques par déni de service peuvent submerger les ressources cloud, entraînant des pannes de service et des perturbations pour les entreprises et leurs clients. Deuxièmement, les fuites d’informations peuvent également exposer des données sensibles stockées dans des environnements cloud, entraînant ainsi des pertes financières potentielles, une atteinte à la réputation et des conséquences juridiques. Enfin, dans les cas où l’exécution de code à distance est réalisée, les attaquants pourraient se déplacer latéralement, prenant pied dans l’environnement cloud, compromettant potentiellement davantage les systèmes et les données.

« L’utilisation généralisée de Fluent Bit dans les environnements cloud augmente ces risques », a déclaré Schwake. « Il est crucial pour les organisations de donner la priorité aux mesures de correction et d’atténuation afin de protéger leur infrastructure et leurs données. »

Les débordements de tas peuvent être des vulnérabilités difficiles à gérer, a expliqué John Bambenek, président de Bambenek Consulting. En raison de leur nature et des mécanismes de lancement d’attaques sur les services cloud, les attaques par déni de service sont assez simples, a déclaré Bambenek.

« Semblable aux débordements de tampon, il est beaucoup plus facile de faire planter un service que d’écraser la mémoire pour une exécution de code à distance fonctionnel et stable », a déclaré Bambenek. « Cela signifie que de nombreuses organisations qui disposent de services publics qui s’appuient sur des flux de travail cloud commenceraient à recevoir d’étranges erreurs de « service indisponible » dans les applications. Cela pourrait être le plus ennuyeux pour celles qui sont confrontées aux consommateurs ou aux utilisateurs finaux.

 

La vulnérabilité a été découverte par les chercheurs de Tenable, une entreprise spécialisée dans la cybersécurité, qui ont nommé cette faille « Linguistic Lumberjack » en raison de sa capacité à perturber les systèmes de journalisation et de gestion des données, un peu comme un bûcheron perturbant une forêt. Cette analogie illustre bien le potentiel de destruction et de chaos que cette vulnérabilité peut causer si elle est exploitée par des acteurs malveillants.

Le CVE-2024-4323 est une vulnérabilité de débordement de tas dans le serveur HTTP intégré de Fluent Bit. Les débordements de tas se produisent lorsque plus de données sont écrites sur un segment de mémoire alloué que ce qui était prévu, ce qui peut corrompre les données et permettre à des attaquants de contrôler l’exécution du code. Dans le cas de Fluent Bit, cette vulnérabilité peut être exploitée pour lancer des attaques par déni de service, causer des pertes de données ou permettre l’exécution de code à distance.

Pour mitiger cette vulnérabilité, les équipes de sécurité doivent mettre à jour Fluent Bit à la version 3.0.4 ou supérieure, qui inclut les correctifs nécessaires pour résoudre cette faille. De plus, il est recommandé de restreindre l’accès au serveur HTTP intégré de Fluent Bit, limitant ainsi l’exposition de l’application à des attaques potentielles.

Les environnements cloud sont particulièrement vulnérables aux attaques exploitant des failles comme Linguistic Lumberjack. Les organisations utilisant Fluent Bit pour la gestion des journaux et des métriques dans des environnements Kubernetes ou d’autres plateformes de conteneurs doivent prendre des mesures immédiates pour mettre à jour leurs systèmes et appliquer des configurations de sécurité appropriées.

Les débordements de tas sont une forme de vulnérabilité bien connue mais difficile à gérer, principalement en raison de leur potentiel à permettre des attaques par exécution de code à distance. Dans le cas de Fluent Bit, la nature de la vulnérabilité signifie que même des acteurs malveillants avec des compétences techniques limitées pourraient lancer des attaques par déni de service, perturbant les opérations normales des applications et services cloud.

Les conséquences de telles attaques peuvent être graves. Outre les interruptions de service, les organisations peuvent faire face à des pertes de données, des atteintes à la réputation et des répercussions financières importantes. Les attaques par déni de service peuvent surcharger les ressources des serveurs cloud, entraînant des pannes et des interruptions de service pour les utilisateurs finaux et les clients.

De plus, les vulnérabilités de débordement de tas peuvent également permettre aux attaquants d’exfiltrer des données sensibles, exposant ainsi les organisations à des violations de données potentielles. Les environnements cloud, qui hébergent souvent des volumes importants de données sensibles, sont des cibles privilégiées pour de telles attaques.

L’exécution de code à distance est l’une des conséquences les plus graves de la vulnérabilité Linguistic Lumberjack. En exploitant cette faille, les attaquants peuvent obtenir un accès non autorisé aux systèmes cloud, leur permettant de se déplacer latéralement dans l’environnement et de compromettre d’autres systèmes et données. Cette capacité à s’infiltrer profondément dans l’infrastructure cloud des organisations représente une menace sérieuse pour la sécurité des données et des systèmes.

John Bambenek, président de Bambenek Consulting, a souligné que bien que les attaques par débordement de tampon soient courantes, leur exploitation pour une exécution de code à distance stable est plus complexe. Cependant, même sans atteindre ce niveau d’exploitation, les attaques par déni de service peuvent causer des perturbations significatives.

La découverte de cette vulnérabilité souligne l’importance pour les organisations de maintenir leurs systèmes à jour avec les derniers correctifs de sécurité. Les développeurs et les équipes de sécurité doivent travailler ensemble pour identifier et corriger les vulnérabilités avant qu’elles ne soient exploitées par des attaquants. Dans le cas de Fluent Bit, la réponse rapide des développeurs pour corriger la faille et publier une mise à jour montre l’importance de la collaboration et de la vigilance en matière de cybersécurité.

Les organisations utilisant Fluent Bit dans leurs environnements cloud doivent prendre des mesures immédiates pour appliquer la mise à jour 3.0.4 ou une version ultérieure. En plus de la mise à jour, il est recommandé de mettre en place des mesures de sécurité supplémentaires, telles que la limitation de l’accès au serveur HTTP intégré et la surveillance des journaux pour détecter toute activité suspecte.

En conclusion, la vulnérabilité Linguistic Lumberjack dans Fluent Bit représente une menace sérieuse pour les environnements cloud et les systèmes de journalisation. Les organisations doivent agir rapidement pour mettre à jour leurs systèmes, appliquer des configurations de sécurité appropriées et surveiller leurs environnements pour prévenir et détecter toute tentative d’exploitation de cette faille. La vigilance et la collaboration entre les équipes de développement et de sécurité sont essentielles pour protéger les infrastructures cloud et les données sensibles contre les menaces de cybersécurité.

Les infrastructures cloud utilisant Fluent Bit pour la journalisation dans des environnements Kubernetes et sur des plateformes comme Microsoft Azure, Google Cloud Platform et Amazon Web Services doivent appliquer le correctif de sécurité pour la vulnérabilité CVE-2024-4323 afin de prévenir les attaques par déni de service, les pertes de données et l’exécution de code à distance.

vulnérabilité, corruption de mémoire, Fluent Bit, cloud, Kubernetes, Microsoft Azure, Google Cloud Platform, Amazon Web Services, déni de service, perte de données, exécution de code à distance, CVE-2024-4323, sécurité, Tenable, patch de sécurité, infrastructures cloud, journalisation, métriques, conteneurs, débordement de tas, Salt Security, Bambenek Consulting, correctif, environnement cloud, protection des données