Alors que les chercheurs et les professionnels débattent de l'impact que les nouveaux modèles d'IA auront sur la cybersécurité, **Mozilla** a déclaré mardi avoir utilisé un accès anticipé à **Anthropic's Mythos Preview** pour trouver et corriger 271 vulnérabilités dans sa nouvelle version du navigateur Firefox 150. Pendant ce temps, des chercheurs ont identifié un groupe de pirates nord-coréens moyennement prospères utilisant l'IA pour tout, du codage de malware à la création de faux sites Web d'entreprise, dérobant jusqu'à 12 millions de dollars en trois mois. Des chercheurs ont enfin déchiffré le malware perturbateur connu sous le nom de **Fast16**, qui précède **Stuxnet** et aurait pu être utilisé pour cibler le programme nucléaire iranien. Il a été créé en 2005 et a probablement été déployé par les États-Unis ou un allié. **Meta** est poursuivi en justice par la **Consumer Federation of America**, une organisation à but non lucratif, pour des publicités frauduleuses sur **Facebook** et **Instagram** et pour avoir prétendument trompé les consommateurs sur les efforts de l'entreprise pour les combattre. Un programme de surveillance américain qui permet au **FBI** de consulter les communications des Américains sans mandat est sur le point d'être renouvelé, mais les législateurs sont dans l'impasse quant aux prochaines étapes. Un nouveau projet de loi vise à répondre aux préoccupations croissantes des législateurs, mais manque de substance. Et si vous cherchez une analyse approfondie, *WIRED* a enquêté sur la querelle de longue date derrière le système d'exploitation mobile **GrapheneOS**, axé sur la confidentialité et la sécurité. Nous avons également examiné l'étrange histoire de la façon dont la Chine a espionné la patineuse artistique américaine Alysa Liu et son père. Et il y a plus. Chaque semaine, nous faisons le tour des nouvelles sur la sécurité et la confidentialité que nous n'avons pas couvertes en profondeur nous-mêmes. Cliquez sur les titres pour lire les articles complets. Et restez en sécurité. Le modèle d'IA **Anthropic’s Mythos Preview** a été présenté comme un outil dangereusement capable de trouver des vulnérabilités de sécurité dans les logiciels et les réseaux, si puissant que son créateur a soigneusement restreint sa diffusion. Mais un groupe d'amateurs sur **Discord** a trouvé ses propres moyens, relativement simples – aucun piratage d'IA requis – pour accéder sans autorisation à un prix numérique convoité : **Mythos** lui-même. Malgré les efforts d'**Anthropic** pour contrôler qui peut utiliser **Mythos Preview**, un groupe d'utilisateurs de **Discord** a obtenu l'accès à l'outil grâce à un travail de détective relativement simple : ils ont examiné les données d'une récente violation de **Mercor**, une startup d'entraînement à l'IA qui travaille avec des développeurs, et ont "fait une supposition éclairée sur l'emplacement en ligne du modèle basée sur la connaissance du format qu'**Anthropic** a utilisé pour d'autres modèles" – une phrase qui, selon de nombreux observateurs, fait référence à une URL Web – selon Bloomberg, qui a révélé l'histoire. La personne aurait également profité des autorisations qu'elle possédait déjà pour accéder à d'autres modèles **Anthropic**, grâce à son travail pour une société contractante d'**Anthropic**. Suite à leurs investigations, ils auraient cependant eu accès non seulement à **Mythos** mais aussi à d'autres modèles d'IA **Anthropic** non publiés. Heureusement, selon Bloomberg, le groupe qui a accédé à **Mythos** ne l'a utilisé jusqu'à présent que pour créer des sites Web simples – une décision conçue pour éviter sa détection par **Anthropic** – plutôt que de pirater la planète. ## Des entreprises de surveillance exploitent des vulnérabilités télécoms vieilles d'un an pour espionner Les chercheurs en sécurité ont longtemps averti que les protocoles télécoms connus sous le nom de Signaling System 7, ou **SS7**, qui régissent la manière dont les réseaux téléphoniques se connectent les uns aux autres et acheminent les appels et les SMS, sont vulnérables à des abus qui permettraient une surveillance discrète. Cette semaine, des chercheurs de l'organisation de défense des droits numériques **Citizen Lab** ont révélé qu'au moins deux fournisseurs de surveillance à but lucratif ont effectivement utilisé ces vulnérabilités – ou des vulnérabilités similaires dans la prochaine génération de protocoles télécoms – pour espionner de véritables victimes. **Citizen Lab** a découvert que deux entreprises de surveillance avaient essentiellement agi comme des opérateurs téléphoniques clandestins, exploitant l'accès à trois petites entreprises de télécommunications – le transporteur israélien **019Mobile**, le fournisseur britannique **Tango Mobile**, et **Airtel Jersey**, basé sur l'île de Jersey dans la Manche – pour suivre la localisation des téléphones des cibles. Les chercheurs de **Citizen Lab** affirment que des personnes "haut placées" ont été suivies par les deux entreprises de surveillance, bien qu'elles aient refusé de nommer les entreprises ou leurs cibles. Les chercheurs avertissent également que les deux entreprises qu'ils ont découvertes en train d'abuser des protocoles ne sont probablement pas les seules, et que la vulnérabilité des protocoles télécoms mondiaux reste un vecteur très réel pour l'espionnage téléphonique dans le monde entier. ## 2 responsables présumés de complexes d'escroquerie en Asie du Sud-Est inculpés Signe d'une répression croissante – bien que tardive – par les forces de l'ordre américaines contre l'industrie criminelle tentaculaire des complexes d'escroquerie alimentés par la traite des êtres humains en Asie du Sud-Est, le **Department of Justice (DOJ)** a annoncé cette semaine des accusations contre deux hommes chinois pour avoir prétendument aidé à gérer un complexe d'escroquerie au Myanmar et cherché à en ouvrir un second au Cambodge. Jiang Wen Jie et Huang Xingshan ont tous deux été arrêtés en Thaïlande plus tôt cette année pour des infractions à l'immigration, selon les procureurs, et font maintenant face à des accusations pour avoir prétendument dirigé une vaste opération d'escroquerie qui a attiré des victimes de traite des êtres humains vers leur complexe avec de fausses offres d'emploi, puis les a forcées à escroquer des victimes, y compris des Américains, pour des millions de dollars avec des investissements frauduleux en cryptomonnaies. Le **DOJ** affirme avoir également "restreint" 700 millions de dollars de fonds appartenant à l'opération – gelant essentiellement les fonds en préparation de saisie – et a également saisi un canal sur l'application de messagerie **Telegram** que les procureurs disent avoir été utilisé pour appâter et asservir des victimes de traite. ## 500 000 dossiers de santé britanniques mis en vente sur Alibaba Trois institutions de recherche scientifique ont été surprises à vendre des informations de santé de citoyens britanniques sur **Alibaba**, ont révélé cette semaine le gouvernement britannique et l'organisation à but non lucratif **UK Biobank**. Au cours des deux dernières décennies, plus de 500 000 personnes ont partagé leurs données de santé – y compris des images médicales, des informations génétiques et des dossiers de soins de santé – avec **UK Biobank**, ce qui permet aux scientifiques du monde entier d'accéder à ces informations pour mener des recherches médicales. Cependant, l'organisation caritative a déclaré que la fuite de données impliquait une "violation du contrat" signé par trois organisations, l'un des ensembles de données mis en vente étant censé inclure des données sur l'ensemble des 500 000 sujets de recherche. Elle n'a pas détaillé tous les types de données mis en vente, mais a déclaré avoir suspendu les comptes **Biobank** de ceux qui vendaient prétendument les informations. Les annonces pour les données ont également été supprimées.