Amazon est envahi par des livres écrits intégralement par l'IA de OpenAI, ChatGPT. Cela est insolite, mais pas réellement surprenant !
Les auteurs sont inquiets comme Mary Rasenberger, directrice du groupe d’écrivains Authors Guild qui évoque cette problématique : "Ces livres vont inonder le marché et de nombreux auteurs vont se retrouver au chômage". On sait que ChatGPT est très puissant pour générer des textes. Depuis qu'il est utilisable par tout le monde, des livres ont été générés par des utilisateurs. Couplé à des générateurs d'images, eux aussi basés sur l'IA, on peut même réaliser du contenu pour enfants.
Sur Amazon, l'agence Reuters a notamment repéré plus de 200 livres électroniques avec ChatGPT notifié en tant qu'auteur. On peut même imaginer que beaucoup de romans générés par ChatGPT ne sont pas notifiés comme tels... Le prix débute à 1 dollar, mais peut monter beaucoup plus haut.
ChatGPT est facile à utiliser. On retrouve même des tutoriels sur des plateformes comme TikTok et Reddit. Il ne suffit que de quelques heures pour générer un ouvrage complet. Recettes de cuisine, guides de voyages, apprentissage sont des sujets qu'il est possible de générer grâce à une intelligence artificielle.
Les auteurs professionnels sont bien évidemment menacés et demandent de la transparence sur ces œuvres générées par IA. Le problème du plagiat est aussi de la partie. ChatGPT utilisant les œuvres déjà existantes, nous pourrons retrouver de grandes ressemblances avec des romans déjà écrits.
Amazon a réagi par la voix d'une de ses porte-parole, Lindsay Hamilton. Elle a ainsi indiqué : "Tous les livres de la boutique doivent respecter nos directives en matière de contenu, notamment en se conformant aux droits de propriété intellectuelle et à toutes les autres lois applicables".
ChatGPT est une innovation qui permet de réaliser beaucoup de choses. Malheureusement, comme pour toute grande innovation, il y a des dérives. Il faudra essayer de trouver des solutions pour contrer ces problèmes.
Vous utilisez ChatGPT ? Pour quelles utilisations ?
Dans ce tutoriel, nous allons étudier les permissions NTFS et les permissions de partage. Une notion de base à connaître et à maîtriser lorsque l'on s'intéresse à la gestion d'un serveur de fichiers sous Windows Server.
Après avoir vu ce qui différencie les permissions NTFS et les permissions de partage, nous allons voir comment configurer ces permissions. Pour cet exemple, un serveur sous Windows Server 2022 est utilisé, mais la procédure reste la même sur les autres versions de Windows Server, ainsi que les versions desktop de Windows.
II. Différences permissions NTFS et de partage
Bien que NTFS ne soit pas le seul système de fichiers pris en charge par Windows Server, il est utilisé lorsque l'on met en place un serveur de fichiers. Sur un volume NTFS, chaque dossier et chaque fichier à ses propres permissions NTFS, visibles via l'onglet "Sécurité" dans les propriétés de l'élément. Cet onglet permet de visualiser les permissions NTFS des différents utilisateurs et groupes. C'est également à partir de cette fenêtre que l'on peut éditer les permissions NTFS.
Ces permissions permettent de définir l'accès aux données : accès en lecture, accès en lecture/écriture, aucun accès, etc... Les possibilités sont nombreuses, comme nous le verrons par la suite.
En complément des permissions NTFS, il y a les permissions de partage. Ces permissions sont configurables uniquement lorsque le dossier est partagé et le choix est plus limité : Contrôle total, Modifier, Lecture.
À partir de l'onglet "Partage" d'un répertoire (1), on peut consulter les permissions effectives sur un partage. Il suffit de cliquer sur "Partage avancé" (2) puis sur "Autorisations" (3) pour voir apparaître une fenêtre qui liste les groupes et utilisateurs ayant des droits (4), avec le niveau de droits associés. Si l'on sélectionne le groupe "Tout le monde", qui est positionné par défaut, les autorisations affichées correspondent à ce groupe.
Au-delà du fait qu'il y ait moins de choix qu'avec les permissions NTFS, la différence se situe dans la portée des permissions. Les permissions de partage s'appliquent uniquement lorsque l'on accède à distance à un dossier ou un fichier !
Tandis que les permissions NTFS s'appliquent aussi bien lorsque l'on accède en local, ou à distance, de façon identique. Autrement dit, pour les accès locaux, les permissions de partage ne s'appliquent pas. Par ailleurs, les permissions de partage se configurent uniquement sur le répertoire partagé.
Il faut savoir également que les permissions de partage sont définies sur le dossier partagé en lui-même et que cela s'applique à l'ensemble des données du partage.
Le cumul des permissions
Pour les accès à distance, les deux types de permissions vont s'appliquer et se cumuler en quelque sorte. Côté utilisateur, les permissions effectives correspondront aux permissions les plus restrictives !
Par exemple, si un utilisateur à l'accès en lecture et écriture dans les permissions de partage, mais qu'il n'a que les autorisations de lecture dans les permissions NTFS, il pourra uniquement lire des données sur le partage !
Bien souvent, on considère que les permissions de partage sont moins importantes que les permissions NTFS, car ces dernières vont permettre d'avoir le même niveau de permissions en local et à distance. Ce qui ne veut pas dire pour autant qu'il faut négliger les permissions de partage.
III. Configurer les permissions NTFS et de partage
Dans cet article, je n'aborde pas la création des groupes de sécurité, ni leur convention de nommage, mais uniquement la manière dont on configure les droits sur un répertoire partagé. Toutefois, il est recommandé d'appliquer les droits en suivant la méthode AGDLP et d'ajouter les droits à des groupes de sécurité plutôt qu'à des utilisateurs directement.
Partons du principe que :
Le répertoire "C:\Partage" du serveur "SRV-ADDS-01" est partagé avec le nom "Partage"
Ce répertoire doit être accessible aux membres du groupe "GDL_Partage_RW" en lecture et écriture
Ce répertoire doit être accessible aux membres du groupe "GDL_Partage_RO" en lecture seule
A. Configurer les permissions de partage
Commençons par configurer les droits de partage. Par défaut, lorsqu'un partage est créé, le groupe "Tout le monde" est positionné avec des droits "Modifier" et "Lecture". Bien que ce sera restreint par les permissions NTFS, il est préférable d'adapter cette configuration pour cibler uniquement les groupes devant bénéficier de permissions sur ce répertoire.
Pour cela, il faut accéder aux propriétés du dossier "Partage", cliquer sur l'onglet "Partage" (1), sur "Partage avancé" (2) puis sur "Autorisations" (3) pour voir apparaître une fenêtre qui liste les groupes et utilisateurs ayant des droits (4), avec le niveau de droits associés.
Voici les actions à réaliser :
Cliquer sur "Tout le monde" et cliquer sur "Supprimer" pour supprimer les droits
Cliquer sur "Ajouter" et choisir le groupe "Admins du domaine" afin d'ajouter l'autorisation "Contrôle total"
Cliquer sur "Ajouter" et choisir le groupe "GDL_Partage_RO" afin d'ajouter l'autorisation "Lecture"
Cliquer sur "Ajouter" et choisir le groupe "GDL_Partage_RW" afin d'ajouter les autorisations "Lecture" et "Modifier"
Ce qui donne :
C'est fait pour les permissions du partage. Passons aux permissions NTFS.
B. Configurer les permissions NTFS
Toujours à partir des propriétés du répertoire, il faut cliquer sur l'onglet "Sécurité" pour ajuster les permissions NTFS. Pour configurer les permissions initiales sur un répertoire, il est préférable de cliquer sur le bouton "Avancé" pour accéder à la gestion avancée des droits NTFS. Par contre, pour la gestion quotidienne des permissions, l'interface qui s'affiche quand on clique sur le bouton "Modifier" suffira.
Tout d'abord, il est préférable de désactiver l'héritage sur le dossier partagé de manière à définir explicitement les droits sur cette racine. Ceci évite que les permissions d'un dossier de niveau supérieur puissent impacter notre répertoire partagé.
Pour désactiver l'héritage, tout en conservant les permissions héritées (pour ne pas partir de zéro), il faut : cliquer sur le bouton "Avancé" (1), puis sur "Désactiver l'héritage" (2) et confirmer en cliquant sur "Convertir les autorisations héritées en autorisations explicites sur cet objet" (3).
Désormais, il y a des permissions sur le dossier, mais elles ne sont plus héritées. On peut éditer les permissions à notre guise. Il faut commencer par supprimer les autorisations pour le groupe "Utilisateurs" car nous allons restreindre en ajoutant uniquement les groupes "GDL_Partage_RO" et "GDL_Partage_RW". Il suffit de sélectionner "Utilisateurs" et de cliquer sur "Supprimer".
Une fois que le nettoyage est fait, il faut ajouter les nouvelles autorisations. Pour cela, il faut cliquer sur "Ajouter" puis sur "Sélectionnez un principal" pour indiquer le nom du groupe et finir par sélectionner les autorisations. Il est à noter qu'il y a des autorisations plus précises accessibles en cliquant sur "Afficher les autorisations avancées".
Après avoir effectué la configuration, on obtient ceci :
Chaque groupe a bien les autorisations de lecture ou lecture/écriture en fonction de la logique imaginée dès le départ. Il ne restera plus qu'à tester à partir d'un compte utilisateur sur un poste de travail (ou un serveur éventuellement). Si la session de l'utilisateur de test est déjà ouverte, il faut vous déconnecter et vous reconnecter. Si vous avez suivi correctement le principe évoqué dans cet article, les droits doivent correspondre à vos attentes !
Sinon, vous pouvez utiliser la fonction "Accès effectif" accessible dans les paramètres de sécurité avancés du dossier pour préciser un nom d'utilisateur et voir quels sont les droits effectifs sur le répertoire en question. Parfois, c'est utile pour faire du troubleshooting sur les permissions.
IV. Conclusion
Suite à la lecture de cet article, vous êtes en mesure de configurer les permissions NTFS et de partage, et de comprendre la différence entre ces deux types de permissions. De manière générale, je vous recommande de respecter les règles suivantes :
Ne pas donner d'autorisations au groupe "Tout le monde" ou "Everyone" en anglais
Ne pas assigner d'autorisations à des utilisateurs directement, vous devez spécifier des groupes pour que la gestion soit plus simple
Ne pas attribuer l'autorisation "Contrôle total" à un groupe utilisateurs (hors administrateur) sur un partage de fichiers
Désactiver l'héritage des permissions NTFS sur la racine d'un partage pour définir des permissions explicites sur la racine
Auditer régulièrement les permissions NTFS pour mettre à jour les permissions si nécessaire
Dans un prochain article, nous allons aborder la méthode AGDLP qui est préconisée par Microsoft pour bien gérer les permissions d'accès aux partages de fichiers.
Google a mis en ligne des statistiques au sujet de son programme de bug bounty "Vulnerability Reward Program". L'occasion d'avoir accès à quelques informations croustillantes.
En 2022, Google a versé plus de 12 millions de dollars aux chercheurs en sécurité qui sont parvenus à identifier plus de 2 900 failles de sécurité corrigées ensuite par les équipes de Google. Sur une année, c'est tout de même phénoménal.
D'ailleurs, c'est en 2022 que Google a versé la plus grosse prime de son histoire dans le cadre de son programme Vulnerability Reward Program : 605 000 dollars. Cette récompense correspond à une chaîne d'exploitation critique de 5 failles de sécurité ((CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20459, CVE-2022-20460) qui affectait Android et qui a été soumise par gzobqq. En 2021, ce même chercheur en sécurité avait empoché 157 000 dollars en découvrant une autre chaine d'exploitation dans Android.
Le graphe ci-dessous montre aussi que chaque année, Google verse toujours plus d'argent aux chercheurs en sécurité.
4,8 millions de dollars pour Android
En 2022, et rien que pour Android, Google a versé 4,8 millions de dollars en récompense aux chercheurs en sécurité ! Cette somme importante correspond à plusieurs centaines de bugs. Et si l'on veut faire un classement, voici le "TOP 3" des chercheurs ayant signalés le plus de vulnérabilités Android en 2022 :
Aman Pandey de Bugsmirror - plus de 200 vulnérabilités
Zinuo Han d'OPPO Amber Security Lab - 150 vulnérabilités
Yu-Cheng Lin - près de 100 vulnérabilités
Personnellement, je ne pensais pas qu'il y avait autant de failles de sécurité corrigées dans Android.
4 millions de dollars pour Chrome et ChromeOS
Par ailleurs, Google est concerné par les failles de sécurité dans son navigateur Chrome et dans son système d'exploitation ChromeOS. Là encore, on parle de centaines de vulnérabilités : 363 dans Chrome et 110 dans ChromeOS. Sur cette somme de 4 millions de dollars, les récompenses associées à ChromeOS représentent seulement 500 000 dollars.
Google a également annoncé qu'en 2023, le programme bug bounty dédié à Chrome et ChromeOS allait bénéficier de bonus.
110 000 dollars de récompenses pour les projets open source
Lancé en août 2022, le programme de récompense dédié aux projets open source de chez Google a récompensé plus de 100 personnes, pour un montant total qui atteint 110 000 dollars. Parmi ces projets, on retrouve Bazel, Angular, Golang, ou encore Fuchsia.
Au total, Google a récompensé 703 chercheurs différents en 2022 ! L'entreprise américaine est également partenaire de certains événements de sécurité comme NahamCon et BountyCon.
La popularité du chatbot d'OpenAI, ChatGPT, inspire les cybercriminels puisqu'ils veulent inciter les utilisateurs à télécharger un soi-disant client Windows de ChatGPT ou accéder à une version illimitée du chatbot. Faisons le point sur ces nouvelles menaces.
Depuis plusieurs mois, ChatGPT est une véritable attraction et les pirates informatiques l'ont bien compris. Pour eux c'est l'occasion de mettre en place des campagnes malveillantes pour infecter les ordinateurs et smartphones des utilisateurs.
Une version illimitée de ChatGPT, sans payer
Dernièrement, OpenAI a lancé une version payante de ChatGPT, facturée 24 dollars par mois et qui permet d'avoir un accès prioritaire au chatbot. Autrement dit, cela permet de ne plus être confronté au message "ChatGPT is at capacity right now" en plus d'intégrer d'autres avantages.
De ce fait, les pirates ont eu l'idée suivante : créer des sites en ligne promettant un accès premium à ChatGPT, mais sans payer. Bien sûr, c'est totalement faux et l'objectif est d'inciter l'utilisateur à installer un logiciel malveillant sur sa machine. Dans certains cas, l'objectif est de lui dérober ses identifiants.
Le chercheur en sécurité Dominic Alvieri a exposé un exemple concret reposant sur l'utilisation du domaine "chat-gpt-pc[.]online" utilisé par les pirates informatiques pour infecter les visiteurs avec le malware Redline. Pour cela, l'utilisateur est invité à télécharger un client de ChatGPT pour Windows.
Pour rappel, ce malware est capable de voler des identifiants sur la machine infectée.
La promotion de ce site malveillant est assurée par une page Facebook qui reprend le logo officiel d'OpenAI et qui compte quelques milliers d'abonnés.
D'après les chercheurs de chez Cyble, les pirates utilisent plusieurs domaines. Par exemple, le domaine "chatgpt-go[.]online" est utilisé pour distribuer le malware Aurora (voleur d'informations) et pour récupérer le contenu du presse-papier Windows. De plus, le domaine "openai-pc-pro[.]online" sert à distribuer un malware inconnu à ce jour.
Enfin, cela ne s'arrête pas là : le site "pay.chatgptftw[.]com" repéré par Cyble et utilisé par les pirates informatiques pour voler des numéros de cartes bancaires.
Sur mobile, attention aux applications ChatGPT
Windows n'est pas la seule cible. Les pirates informatiques ciblent aussi les mobiles sous Android. Toujours d'après le chercheur en sécurité Dominic Alvieri, de fausses applications ChatGPT sont distribuées sur le Play Store de Google et via des magasins d'applications tiers.
Les menaces sont nombreuses, que ce soit pour les utilisateurs d'Android ou de Windows, et des campagnes de phishing sont en cours. D'après les analyses de Cyble, il y a au moins 50 applications malveillantes qui circulent sur le Web et qui utilisent ChatGPT pour appâter les utilisateurs.
La seule adresse pour utiliser ChatGPT, c'est celle-ci : chat.openai.com - et les clients desktop officiels de ChatGPT sont disponibles sur GitHub.
Le noyau Linux 6.2 est désormais disponible, et dans la liste des changements publiée par Linus Torvald en personne, on peut lire que ce noyau prend en charge les puces fabriquées par Apple : Silicon M1, M1 Pro/Max et M1 ultra.
Voilà une information intéressante : la dernière mise à jour du noyau Linux, à savoir la version 6.2, ajoute la prise en charge des puces Apple Silicon M1, M1 Pro/Max et M1 ultra.
Rappelons également que vous pouviez déjà installer Asahi Linux depuis octobre 2021. Le projet est donc plus avancé et plus stable. Ce qui change c'est que maintenant vous pouvez installer des distributions plus populaires comme Fedora ou Ubuntu. Si vous êtes possesseur d'une puce M2, vous pouvez toujours utiliser le projet Asahi pour vos machines, car cette puce n'est pas dans la liste des puces prises en charge.
Toutefois, cette prise en charge n'est pas totale. Même si Linux sera fonctionnel, il y a toujours des travaux en cours pour prendre en charge une partie du matériel (Thunderbolt, support des haut-parleurs, du micro, etc.), d'après un document de support d'Asahi Linux. Ne parlons même pas de la Touch Bar et de Touch ID : le développement pour prendre en charge ces éléments n'a pas commencé.
Le projet Asahi Linux a ainsi annoncé la prise en charge du GPU des puces Apple Silicon via des pilotes en version Alpha, permettant l'utilisation de l'accélération matérielle pour des environnements de bureau tels que GNOME et KDE. Il est par ailleurs possible de lancer d'anciens jeux comme Quake 3. Des bugs subsistent, mais cette avancée est un pas important vers l'utilisation totale de distributions Linux avec les puces Apple Silicon, et donc sur un MacBook. Surtout pour la partie graphique avec l'accélération 3D. Sans cela, l'utilisation de Linux sur les Mac ne sera pas optimale et non confortable.
Possesseur de Mac, envisagez-vous d'installer une distribution Linux sur votre machine ? Ou vous préférez passer par une machine virtuelle ?