Les modèles qu'Anthropic n'ose pas rendre publics peuvent détecter des milliers de vulnérabilités. Voici une liste de 15 conseils pour la sécurité numérique à conserver précieusement.

Auteur : Ole Lehmann

Traduction : Deep Tide TechFlow

Lecture guidée par Deep Tide : Anthropic a publié le dernier modèle de pointe Claude Mythos Preview. Ce modèle a identifié des milliers de vulnérabilités zero-day sur tous les principaux systèmes d’exploitation et navigateurs, et il est si puissant qu’Anthropic lui-même n’ose pas le publier publiquement. La mauvaise nouvelle, c’est que des modèles aux capacités similaires finiront tôt ou tard entre les mains d’attaquants. L’année dernière, le cofondateur d’OpenAI, Karpathy, a dressé une liste de sécurité numérique ; il est maintenant temps de la prendre au sérieux.

Les choses se passent comme ça : hier, Anthropic a annoncé Claude Mythos Preview.

À quel point ce modèle est-il puissant ? Il a découvert des milliers de vulnérabilités zero-day sur tous les principaux systèmes d’exploitation et navigateurs. À tel point qu’Anthropic n’ose même pas le publier au grand public, par crainte d’actions dévastatrices incontrôlables.

Ce modèle n’est pas encore public. Mais dès que des malfaiteurs mettront la main sur un modèle doté d’une capacité équivalente (c’est seulement une question de temps), les cyberattaques auxquelles vous serez confronté passeront à un niveau que la plupart des gens ne réalisent même pas qu’ils ont déjà été compromis.

C’est comme une pandémie dans le monde des logiciels.

Donc, votre ligne de défense en matière de sécurité numérique doit être renforcée dès maintenant.

Le guide de sécurité numérique de Karpathy

L’année dernière, le cofondateur d’OpenAI, Karpathy, a rassemblé un guide de sécurité numérique, couvrant les bases de la protection personnelle à l’ère de l’IA.

C’est l’une des meilleures listes d’introduction que j’aie vues. Voici les 15 choses que vous devriez faire maintenant :

1. Utilisez un gestionnaire de mots de passe (par exemple 1Password)

Générez un mot de passe aléatoire et indépendant pour chaque compte.

Si un service est compromis, l’attaquant utilisera les mêmes identifiants et mots de passe pour tenter d’accéder à toutes les autres plateformes. Le gestionnaire de mots de passe élimine directement ce risque, et il peut aussi remplir automatiquement les champs : en pratique, c’est même plus rapide que la réutilisation de mots de passe.

2. Équipez-vous de clés de sécurité matérielles (par exemple YubiKey)

Il s’agit d’un appareil physique, qui sert de deuxième facteur d’authentification. L’attaquant doit avoir réellement ce dispositif pour se connecter à votre compte.

Les codes de vérification par téléphone sont en réalité peu sûrs ; le piratage de carte SIM (quelqu’un appelle l’opérateur en se faisant passer pour vous, et fait basculer votre numéro vers son téléphone) n’est pas aussi difficile à réaliser que vous ne le pensez.

Achetez 2 à 3 YubiKey, et placez-les dans des endroits différents, pour éviter de vous retrouver verrouillé à l’extérieur si vous en perdez une.

3. Activez l’authentification biométrique sur tous vos appareils

Face ID, empreintes digitales : activez ce que votre appareil prend en charge. Activez aussi le gestionnaire de mots de passe, les applis bancaires et toutes les applications sensibles.

C’est la troisième couche d’authentification : qui vous êtes. Personne ne peut voler votre visage depuis une base de données.

4. Traitez les questions de sécurité comme des mots de passe

« Quel est le nom de jeune fille de votre mère ? » Ce type de question peut être retrouvé sur Google en 10 secondes.

Générez des réponses aléatoires pour les questions de sécurité, et stockez-les, avec les mots de passe, dans votre gestionnaire de mots de passe. Ne répondez jamais honnêtement aux questions de sécurité.

5. Activez le chiffrement du disque

Sur Mac, cela s’appelle FileVault ; sur Windows, BitLocker.

Si votre ordinateur portable est volé, le chiffrement du disque signifie que le voleur ne récupère qu’une simple brique, et non l’ensemble de vos fichiers. Cela peut être activé en 2 minutes, avec un fonctionnement silencieux en arrière-plan.

6. Réduisez les appareils domotiques

Chaque appareil « intelligent » est fondamentalement un ordinateur connecté au réseau, avec un microphone assis chez vous.

Ils collectent en continu des données, les renvoient sans cesse aux serveurs, et ils sont aussi souvent piratés. Vous n’avez pas besoin de connaître vos coordonnées GPS précises pour utiliser l’outil de détection de qualité de l’air Wi-Fi que vous achetez chez Amazon.

Moins il y a d’appareils connectés, moins il y a d’entrées possibles pour votre réseau.

7. Utilisez Signal pour la communication quotidienne

Signal chiffre les messages de bout en bout : personne (y compris Signal lui-même, votre opérateur, ou quiconque intercepte des données) ne peut lire vos messages.

Les SMS ordinaires, voire iMessage, enregistrent des métadonnées (qui parle avec qui, quand, et pendant combien de temps) ; les personnes autorisées peuvent les analyser.

Activez la fonctionnalité de disparition automatique des messages : 90 jours est une bonne valeur par défaut, pour éviter que les anciennes conversations deviennent un risque.

8. Utilisez un navigateur axé sur la confidentialité (par exemple Brave)

Brave est construit sur Chromium ; toutes les extensions Chrome peuvent être utilisées, avec une expérience presque identique.

9. Remplacez le moteur de recherche par défaut par Brave Search

La raison : il possède son propre index indépendant, contrairement à DuckDuckGo qui est, fondamentalement, une interface de Bing.

Si certains résultats ne sont pas à la hauteur, ajoutez « !g » et la requête peut être redirigée vers Google.

La version premium coûte 3 dollars par mois. Mieux vaut payer pour devenir client que d’être gratuitement un produit.

10. Utilisez une carte de crédit virtuelle (par exemple Privacy.com)

Générez une nouvelle carte pour chaque commerçant. Vous pouvez définir une limite de dépenses pour chaque carte ; le nom du relevé et l’adresse peuvent être remplis au hasard.

Si un commerçant est compromis, l’attaquant ne récupère qu’un numéro de carte à usage unique, et non votre véritable identité financière. Cela signifie aussi qu’aucun commerçant ne connaît votre véritable adresse résidentielle.

11. Mettez en place une adresse de réception virtuelle

Des services comme Virtual Post Mail vous aident à recevoir du courrier physique, puis après numérisation vous permettent de le consulter en ligne. Ce sont vous qui décidez quels documents doivent être détruits et lesquels doivent être réexpédiés.

Ainsi, vous n’avez pas besoin, à chaque paiement, de donner votre adresse personnelle réelle à toutes sortes de boutiques en ligne.

12. Ne cliquez pas sur les liens dans les e-mails

Les adresses e-mail peuvent être falsifiées de manière extrêmement simple. Avec l’IA, les e-mails d’hameçonnage ressemblent désormais exactement aux vrais.

Plutôt que de cliquer sur un lien, ouvrez manuellement le site et connectez-vous.

Par ailleurs, il est recommandé de désactiver le chargement automatique des images dans les paramètres des e-mails, car les images intégrées peuvent servir à suivre si vous ouvrez l’e-mail.

13. Utilisez un VPN de manière sélective (par exemple Mullvad)

Un VPN masque votre adresse IP (l’identifiant unique de votre appareil et de votre position), ce qui empêche le service auquel vous vous connectez de voir qui vous êtes.

Nul besoin de le laisser allumé 24 heures sur 24, mais activez-le lorsque vous utilisez du Wi-Fi public ou accédez à des services que vous ne faites pas trop confiance.

14. Configurez un blocage publicitaire au niveau DNS (par exemple NextDNS)

Le DNS est essentiellement un répertoire téléphonique que votre appareil utilise pour retrouver les sites ; à ce niveau, bloquer signifie que les publicités et traqueurs sont neutralisés avant même de charger.

Cela s’applique à toutes les applis et à tous les navigateurs sur votre appareil.

15. Installez un outil de surveillance réseau (Little Snitch est recommandé sur Mac)

Il affichera quelles applis sur votre ordinateur communiquent, combien de données elles envoient, et où elles les envoient.

Toute application qui renvoie des données au-delà des attentes est suspecte : dans la plupart des cas, il faut la désinstaller.

Pour l’instant, Mythos n’est détenu que par la partie défensive de Project Glasswing (Anthropic, Apple, Google, etc.).

Mais les attaquants vont très vite obtenir des modèles au niveau de Mythos : environ dans les 6 mois, voire plus vite. Donc, le renforcement de la sécurité est une urgence maintenant.

Prenez 15 minutes pour tout configurer dès maintenant : vous éviterez par la suite toute une série d’ennuis.