Revolve Job Zero : la revue de presse sécurité – Mai 2023

Temps de lecture : 7 minutes

Le mois de mai ne fait exception dans l’actualité de la sécurité informatique dans les nuages. Dans cette édition de mai 2023 de la revue de presse Sécurité, nous vous proposons quelques articles qui ont attiré notre attention, en lien avec la sécurité. Nous vous invitons également à lire RePlay : la revue de presse généraliste du Cloud.

C’est eFICcace ! 

Du 5 au 7 avril 2023 s’est tenu, à Lille, le Forum international de la Cybersécurité (FIC). Au programme, on y parle d’identité numérique et de cybersécurité industrielle en passant par de l’OSINT, des démonstrations d’attaques ou encore le Web3. Deux annonces ont particulièrement attirées mon attention : 

L’ambition d’un portail tech à la française

Le fondateur d’OVHcloud, Octave Klaba, veut racheter le moteur de recherche français Qwant avec pour ambition de créer un portail de solutions technologiques grand public rivalisant avec les services et suites de logiciels des géants américains Google et Microsoft tels que : messagerie, agenda, outils de vidéoconférence, stockage, collaboration, etc.

Pour ce faire, l’entrepreneur a annoncé la création d’une holding avec la Caisse des dépôts, nommée « Synfonium ». Celle-ci doit intégrer Shadow, une société de solutions d’informatique à distance, d’abord spécialisée dans le cloud gaming, qu’a acquise Octave Klaba en avril 2021, et Qwant, le moteur de recherche français qu’elle entend racheter.

Cloud de confiance, du nouveau ?

Bruno Le Maire, ministre de l’Économie, des Finances et de la Souveraineté industrielle et numérique, et Jean-Noël Barrot, ministre délégué chargé de la transition numérique et des télécommunications, ont annoncé au FIC des « avancées importantes pour la disponibilité d’offres cloud de confiance avec la sélection de 39 lauréats dans deux actions de la stratégie cloud de France 2030 », dans un communiqué du 6 avril 2023.

  • La première annonce concerne l’appel à projets « Suites bureautiques collaboratives cloud » de France 2030, « de qualité et qualifiées SecNumCloud », dont l’objectif est « d’accélérer le passage à l’échelle des acteurs français » – notamment concernant des alternatives crédibles aux suites Microsoft 365 et Google Workspace. Au total, 23 millions d’euros d’aides France 2030 seront mobilisés pour financer ces projets. Cet appel à projets, lancé en avril 2022 et opéré par Bpifrance, a permis de sélectionner trois projets lauréats, portés par Wimi, Jamespot et Interstis. Ils associent 18 partenaires, comme XWiki sur l’édition collaborative, 3DS Outscale pour l’hébergement des données sur un socle qualifié SecNumCloud, ou encore BlueMind sur les messageries mail.
  • La deuxième annonce concerne le dispositif d’accompagnement à la qualification SecNumCloud. Cette initiative, dont le guichet a été lancé en décembre 2022 et est opéré par Bpifrance, a pour vocation de soutenir la montée en maturité cyber des PME et start-up, éditrices de logiciels Software-as-a-Service (Saas) ou Platform-as-a-Service (Paas), tout en facilitant leur accès à la qualification SecNumCloud. Fort de l’intérêt grandissant qui dépasse le budget de 3,5 millions d’euros, le gouvernement a annoncé sa décision de doubler ce budget pour la seconde relève, qui se clôture le 19 juillet 2023. Cette deuxième relève cible en priorité des PME et start-up qui souhaitent commercialiser une offre qualifiée SecNumCloud sous 2 ans.

AWS Security blog 

Nick Jones, Cloud Security Specialist, Principal Consultant & Cloudsec lead chez WithSecure a publié un billet très intéressant sur les tests de pénétration sur AWS. Vous pourrez y lire ce qu’est un test de pénétration, les basiques, comment le réaliser, les autres options qui s’offrent à vous ainsi que quelques suggestions sur l’approche. 

Dans la même veine, Teri Radichel, Cloud Security Training and Penetration Testing et AWS Hero, a publié un billet sur la création de comptes AWS Backup afin d’avoir les bonnes pratiques pour se prémunir des ransomware et autres acteurs malicieux d’accéder à vos backup. 

Le mois dernier était également l’occasion pour AWS d’inaugurer de nouvelles fonctionnalités dans GuardDuty – son service de détection des menaces – en étendant la couverture à d’autres charges de travail AWS et à des cas d’utilisation de déploiement de base, en fournissant des résultats de sécurité avec des détails spécifiques à la ressource. Ces trois fonctionnalités étendent la protection de l’outil : 

  • Au comportement d’exécution des conteneurs ;
  • Aux bases de données ;
  • Aux environnements serverless.

Les trois fonctionnalités présentées sont : EKS Runtime Monitoring, RDS Protection et Lambda Protection. Elles ont été ajoutées aux centaines de fonctions déjà disponibles dans GuardDuty et peuvent être activées sans autres exigences ou prérequis, selon AWS.

Dans vos oreilles

Si vous êtes de la team podcast, je vous recommande ces deux podcasts : 

  • Last week in AWS de Corey Quinn, notamment l’épisode #517 du 20 avril « Screwing Up the Messaging and Also the RSA Dates ». 
  • Le très connu et reconnu podcast NoLimitSecu notamment l’épisode #407 consacré à la désinformation dans le domaine du numérique.

Failles dans le système 

Google vient de publier une importante mise à jour de sécurité pour corriger la première faille zero day de l’année de Chrome – le navigateur le plus utilisé au monde. L’occasion pour nous de vous rappeler de mettre à jour régulièrement votre navigateur – que vous utilisiez Chrome ou non. 

Dans la même veine, le cybergang Lockbit a créé des chiffreurs de données ciblant pour la première fois les utilisateurs de Mac embarquant des puces M1. A l’état de test, ils ne sont pour l’heure pas encore pleinement opérationnels, mais annoncés à BleepingComputer par l’un des représentants de Lockbit comme « activement en cours de développement ».

Amazon Bedrock

Amazon fait son entrée sur le marché de l’IA générative avec Bedrock. En effet, Amazon ne compte pas laisser le très alléchant marché de l’IA être totalement accaparé par Google et Microsoft. Aussi, AWS a lancé, le 13 avril 2023, en avant-première, le service Bedrock.

Titan, la famille de modèles formés en interne par AWS, comprend deux nouveaux modèles de langage : 

  • LLM génératif pour des tâches telles que le résumé, la génération de texte, la classification, les questions-réponses ouvertes et l’extraction d’informations par exemple ; 
  • LLM d’ancrage qui traduit les entrées textuelles (mots, phrases ou textes) en représentation HTML.

Pour compléter cela, Bedrock inclut également : 

  • La famille Jurassic-2 des LLMs multilingues d’AI21 Labs, qui suivent des instructions en langage naturel pour générer du texte en espagnol, français, allemand, portugais, italien et néerlandais. 
  • Un accès à Claude, le LLM d’Anthropic, capable d’effectuer une grande variété de tâches relatives à la conversation et au traitement de texte
  • Un accès à la suite de modèles de Stability AI, y compris le populaire Stable Diffusion, capable de générer des images, de l’art, des logos et des dessins.

En bref, une belle panoplie digne de ses concurrents.

Blockchain as a service

Avec Exaion Node, lancée en décembre 2022, le groupe EDF est entré dans le cercle très fermé des fournisseurs d’infrastructure à la demande pour les développeurs d’applications blockchain. Un marché dominé par les sociétés américaines Infura et Alchemy, ces « AWS de la crypto » qui rendent le « Web3 » beaucoup moins décentralisé qu’on ne le pense.

Les batteries lithium-ion : les liaisons dangereuse des datacenters 

Après OVH en 2021, un incendie a ravagé un autre datacenter en France, en région lyonnaise. Dans ce sinistre, les batteries lithium-ion exploitées pour stocker de l’énergie semblent en cause. Une technologie dont l’utilisation se développe, mais qui présente des risques avérés – très peu traitée médiatiquement.

Sur ces équipements dédiés au stockage d’énergie, la technologie Lithium-ion (Li-ion) est de plus en plus utilisée dans les centres de données. Aujourd’hui couramment exploitées dans les alimentations sans interruption, elles devraient représenter 38,5 % du marché des batteries pour centres de données d’ici à 2025, contre 15 % en 2020, selon le cabinet de conseil Frost & Sullivan.

L’adoption des batteries Li-ion est motivée par leur faible encombrement, leur maintenance simplifiée et leur durée de vie plus longue que celle des batteries au plomb. En outre, le stockage d’énergie Li-ion est un élément clé dans la mutation des datacenters vers une alimentation par les énergies renouvelables, comme le souligne l’Uptime Institute, qui propose des services de résilience, des conseils sur la construction et l’exploitation des centres de données, ainsi que des services de certification.

Un risque grandissant, à prendre en compte. 

***

Ressources 

Le Monde

Siècle Digital

Banque des Territoire, Localtis 

Le blog de Nick Jones 

Le blog de Teri Radichel

01 net

Le Monde Digital 

Usine Digitale

Le Monde Informatique 

Frost & Sullivan 

Commentaires :

A lire également sur le sujet :