Qilin le groupe de cybercriminalité lié à la Russie et soupçonné d’être à l’origine des attaques de juin dernier dans plusieurs hôpitaux britanniques, a très récemment utilisé une technique nouvelle afin de voler des identifiants stockés dans le navigateur Google Chrome.

Cette attaque semble avoir été divisée en 4 étapes :

• Qilin a accédé à un réseau via des identifiants VPN compromis, sans double authentification (2FA ou MFA) ;
• Après une phase d’inactivité de 18 jours (probablement utilisée pour cartographier le réseau), Qilin a modifié certaines règles de configuration (des objets de stratégie de groupe aussi appelés GPO pour « Group Policy Object») afin d’exécuter un script collectant des identifiants stockés dans Chrome ;
• Ce script a volé des identifiants et les a enregistrés sur un serveur de commande et de contrôle tout en supprimant les traces locales ;
• Enfin, le ransomware a été déployé, chiffrant les données sur les machines compromises afin d’exiger une rançon à l’utilisateur pour récupérer ses données.

Cette nouvelle technique pose problème car le vol d’identifiants pourrait mener à des attaques ultérieures et nécessiter un changement de mots de passe non seulement sur le réseau, mais aussi pour tous les sites tiers où les utilisateurs avaient enregistré leurs identifiants dans Chrome.

Pour se prévenir de cette attaque, il n’est pas nécessaire de mettre en place des mesures particulièrement avancées. Il s’agit surtout de rappeler des mesures essentielles en cyber informatique :

• Ne pas stocker d’informations sensibles (dont des mots de passe) dans les navigateurs (Google Chrome, Opera, Edge notamment) ;
• Mettre en place la double authentification dès que possible (même sur les VPN) ;
• Appliquer le principe du moindre privilège sur les ordinateurs professionnels et personnels car dans le cas où l’appareil serait infecté, les actions malveillantes ne pourront pas prendre le contrôle de l’intégralité de ce dernier.

Le Commandement du ministère de l’Intérieur dans le cyberespace (COMCYBER-MI) institué par le décret n° 2023-1084 du 23 novembre 2023 vient de rendre public son premier rapport annuel sur la cybercriminalité (RACY).

Pour mémoire, c’est notamment par l’édification de ce rapport que le COMCYBER-MI est chargé d’élaborer la stratégie ministérielle, notamment par l’édification d’un rapport annuel sur l’état de la menace (cf. édition bull. nov. 2023).

Ce dernier dresse ainsi un état des lieux sans concession des défis cyber auxquels la France a été confrontée en 2023. Il permet, par le biais d’une identification et d’une compréhension approfondies des cybermenaces, d’anticiper ces dernières, mais aussi d’affiner notre vision stratégique et d’orienter plus efficacement les opérations des unités et services sur le terrain.

Ce bilan de 2023, réalisé en complémentarité avec les analyses annuelles de l’ANSSI – Agence nationale de la sécurité des systèmes d’information, bénéficie des travaux du Centre d’analyse et de regroupement des Cybermenaces (CECyber) du COMCYBER-MI, mais aussi des données du Service statistique ministériel de la sécurité intérieure (SSMSI), complétées par d’autres sources institutionnelles.

L’innovation et la coopération, aux côtés de l’anticipation, tant au niveau national qu’international, constituent donc la véritable cheville ouvrière de ce rapport, permettant in fine de relever les nombreux défis actuels et à venir.

Ce rapport met donc en avant l’approche concertée du Gouvernement dans la lutte contre la cybercriminalité, illustrée par des retours d’enquêtes significatifs, mais aussi et surtout de sa détermination à sécuriser l’espace numérique français.

Consultez ici l’intégralité du document : Rapport annuel sur la cybercriminalité 2024 (COMCYBER-MI, 30 juillet 2024)

Le mois d’avril n’est pas en reste sur le sujet de l’Intelligence Artificielle (IA), il est certain que ce sujet prend de plus en plus d’importance dans notre société, dans notre tissu économique et donc dans ce bulletin. Car en effet, l’IA progresse et avec elle les interrogations sur son encadrement technique, juridique et éthique. Au regard de ces capacités qui évoluent très rapidement, il était évident que la question de la protection des données personnelles se pose.

En tant qu’autorité de contrôle nationale, la CNIL ne pouvait pas ignorer cette évolution majeure. Depuis presque 2 ans elle a mis en place une section spéciale dédiée à l’IA, des consultations publiques, des bacs à sable, etc. Aujourd’hui elle « accouche » de ces premières recommandations et commence doucement à coordonner la construction d’une IA respectueuse de la vie privée dès la conception !

Dans ces premières recommandations sorties début avril, la CNIL s’attaque tout d’abord à la phase de développement d’un système d’IA qui comprend la conception du système, la constitution de la base de données et l’apprentissage.

Son objectif est de permettre de réfléchir aux enjeux de protection des données personnelles en amont de la conception du système. Pour cela, elle interroge le lecteur ou le concepteur sur chaque élément essentiel constituant un traitement de données personnelles conforme aux exigences du RGPD.

La fiche 1 permet de comprendre les systèmes d’IA concernés par la conformité au RGPD. En résumé, la CNIL considère qu’il existe 3 de systèmes d’IA concernés :

• Les systèmes fondés sur l’apprentissage automatique (machine learning) ;
• Les systèmes dont l’usage opérationnel est défini dès la phase de développement et les systèmes à usage général (general purpose AI) ;
• Les systèmes dont l’apprentissage est réalisé une fois ou de façon continue en utilisant des données d’utilisation pour l’amélioration dudit système.

Les données personnelles se situent donc dans les bases de données utilisées pour entraîner les systèmes d’IA et cet entrainement peut intervenir pendant la conception, pendant l’utilisation ou même les deux.

La fiche 2 permet de définir la finalité du système d’IA afin de cadrer et de limiter les données personnelles utilisées pour l’entraînement du système. La CNIL profite de cette fiche pour contredire certaines objections. En effet, il est parfois entendu que définir une finalité est incompatible avec l’IA car cette dernière peut développer des caractéristiques non anticipées. Cependant, la CNIL considère que la finalité d’un système d’IA doit être adaptée à son contexte et donne ainsi des exemples :

• L’usage opérationnel est connu : l’objectif de l’usage est donc la finalité de la phase de développement comme de la phase de déploiement et d’utilisation.
• L’usage est général : la finalité ne doit pas être trop générale et pour cela la CNIL recommande de formuler dans la finalité : le type de système développé ainsi que ces fonctionnalités et capacités techniquement envisageables.
• L’usage à des fins de recherche scientifique : la CNIL tolère moins de précisions dans cette finalité compte tenu des difficultés à définir précisément les objectifs en début de travaux mais elle recommande de fournir ces précisions complémentaires à mesure que le projet avance.

La fiche 3 permet de déterminer les responsabilités au sens du RGPD dans un projet de conception d’un système d’IA. Autrement dit, il s’agit de déterminer le rôle des acteurs du projet : responsable de traitement, sous-traitant ou co-responsables.

En pratique, le règlement sur l’IA définit de son côté deux types d’acteurs :

• Le fournisseur de système d’IA qui développe ou fait développer un système, le met sur le marché ou le met en service à titre payant ou gratuit.
• Les importateurs, distributeurs, utilisateurs ou déployeurs de ces systèmes.

Contrairement à ce qu’on pourrait penser les responsabilités au sens du RGPD ne s’attribuent pas arbitrairement à l’un ou l’autre rôle définit par le règlement sur l’IA. Tout dépend de l’analyse qui est faite de chaque cas. Il faut donc interroger le rôle définit par le règlement sur l’IA à la lumière des définitions du RGPD. Cette fiche comprend des exemples proposés par la CNIL afin de pouvoir plus facilement déterminer votre rôle et donc vos responsabilités.

La fiche 4 permet d’établir la base légale la plus adaptée au système d’IA. Dans cette recommandation la CNIL apporte des précisions sur certaines bases légales mais le message principal est qu’il n’existe pas de base légale prédominante pour les systèmes d’IA, il faut pouvoir choisir la plus adaptée au projet et toujours être en capacité de la démontrer ou de la justifier.

Cette fiche 4 met également en avant une notion importante, celle de la réutilisation de certaines données personnelles. La CNIL y distingue plusieurs cas de figure :

• Le fournisseur réutilise des données qu’il a lui-même déjà collectées ;
• Le fournisseur réutilise des données publiquement accessibles ;
• Le fournisseur réutilise des données acquises auprès d’un tiers (ex : courtiers en données).

Par cette fiche, la CNIL insiste particulièrement sur la compatibilité de la réutilisation des données et sur la licéité des traitements précédents non-réalisés par le fournisseur qui réutilise lesdites données car les responsabilités ne disparaissent pas pour autant.

La fiche 5 rappelle l’importance voire la nécessité de réaliser une analyse d’impact sur la protection des données (ou AIPD) dans le cadre de la conception de systèmes d’IA. La CNIL rappelle les critères permettant de savoir si une AIPD doit être réalisée, mais surtout elle intègre un nouveau critère apporté par le règlement sur l’IA : le risque ! La CNIL considère que pour le développement des systèmes d’IA dits à « haut risque » par le règlement sur l’IA et impliquant des données personnelles, la réalisation d’une AIPD est en principe nécessaire.

Les fiches 6 et 7 s’attardent sur le principe de minimisation des données utilisées par les systèmes d’IA car au regard de leur volume important qui n’empêche pas que ces données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire. Mais qui s’attardent également sur le principe de limitation de conservation des données personnelles.

Dans cette fiche la CNIL insiste particulièrement sur le fait de rechercher les techniques pour atteindre l’objectif visé nécessitant le moins de données personnelles possibles. Ainsi elle met en avant les différents choix de protocoles, les choix de conception, la consultation de comité éthique, des techniques de collecte de données différentes, etc.

A travers ces recommandations, la CNIL démontre que le RGPD n’est pas un obstacle à l’innovation que peut apporter les systèmes d’IA et qu’il est possible voire crucial d’innover dans le respecte des données personnelles et de la vie privée pour une IA éthique ! Le règlement sur l’IA ou IA Act n’a pas vocation à remplacer le RGPD, bien au contraire, il va le compléter ! C’est d’ailleurs ce qu’explique en détails M. DAUTIEU, Directeur de l’accompagnement juridique de la CNIL.

La CNIL compte poursuivre ces travaux avec des recommandations sur la phase de déploiement d’un système d’IA dès que possible.

Consultez ici l’intégralité de l’arrêt de la CJUE : IA : la CNIL publie ses premières recommandations sur le développement des systèmes d’intelligence artificielle, 8 avril 2024