Comment les actifs numériques s’autogardent-ils ? Liste de vérification en 15 étapes du cofondateur d'OpenAI

Titre original : Comment rester en sécurité numérique à l'ère de Claude Mythos (en utilisant la liste de vérification en 15 étapes de Karpathy)
Auteur original : Ole Lehmann
Traduction : Peggy, BlockBeats

Note de l'éditeur : Alors que les capacités de l'IA commencent à approcher de la limite d'un « outil général », la signification de la cybersécurité change également. Il ne s'agit plus seulement d'un problème de défense contre les pirates informatiques, les virus ou les violations de données, mais évolue vers un jeu de « capacités asymétriques ».

Avec l'introduction de Claude Mythos par Anthropic, qui présente la découverte de vulnérabilités de haut niveau de type expert, les attaques de réseau entrent dans une nouvelle étape plus secrète et automatisée, et la sécurité individuelle passe du statut d'« option » à celui de « nécessité ». D'une part, le seuil d'attaque est abaissé, et d'autre part, l'efficacité de l'attaque augmente de façon exponentielle. Cela signifie que la « sécurité passive » deviendra de plus en plus insoutenable.

Dans ce contexte, la check-list proposée par Andrej Karpathy, cofondateur d'OpenAI, propose un parcours de réponse exploitable. À l'ère de l'IA, la sécurité n'est plus seulement un « remède après un incident » mais fait partie du « comportement quotidien ». Vérification d'identité, isolement des autorisations, minimisation des informations et réforme des habitudes. Les 15 étapes apparemment triviales reconstruisent essentiellement une frontière de sécurité qu'un utilisateur ordinaire peut contrôler.

Le vrai risque ne réside pas dans le fait de savoir si vous êtes la cible d'une attaque mais dans le fait de savoir si vous êtes sans défense lorsqu'une attaque se produit.

Voici le texte original :

Ce qui peut être sûr, c'est qu'en matière de cybersécurité, vous n'avez plus la place d'être paresseux.

L’étape Mythos publiée par Anthropic hier marque un point de non-retour.

Cette technologie n'est pas encore publique, mais une fois qu'elle tombe entre les mains d'acteurs malveillants (ce qui est presque inévitable)... vous serez confronté à une cyberattaque extrêmement avancée, la plupart des gens réalisant qu'il est trop tard avant même de savoir qu'ils ont été violés.

C'est comme le COVID-19 dans le monde du logiciel.

C'est pour cette raison que désormais, votre cybersécurité doit être étanche.

Guide d'hygiène numérique de Karpathy

L'année dernière, Andrej Karpathy (@karpathy, Cofondateur d'OpenAI) a élaboré un « Guide d'hygiène numérique », décrivant systématiquement les méthodes fondamentales pour se protéger à l'ère de l'IA.

C'est l'un des guides d'introduction les plus intéressants que j'ai rencontrés.

Voici toutes les mesures de sécurité que vous devez prendre en cette ère d'incertitude :

1. Utiliser un gestionnaire de mot de passe (par exemple, 1Password)

Générez un mot de passe aléatoire unique pour chaque compte que vous possédez. Une fois qu'un service est violé, les attaquants utilisent souvent ces mots de passe de compte pour bourrer leurs identifiants. Un gestionnaire de mots de passe peut complètement atténuer ce risque et peut même effectuer un remplissage automatique, ce qui le rend plus rapide en pratique que la réutilisation des mots de passe.

2. Configurer des clés de sécurité matérielles (par exemple, YubiKey)

Il s'agit d'un appareil physique qui sert de deuxième facteur pour se connecter. Les attaquants doivent « avoir la clé physique » pour accéder à votre compte. En revanche, les codes SMS sont facilement volés grâce à des attaques de type « SIM swap » (lorsqu'une personne se fait passer pour vous auprès de l'opérateur pour transférer votre numéro sur son téléphone).

Il est recommandé d'acheter 2 à 3 YubiKeys, de les conserver à différents endroits pour éviter d'être verrouillé de vos comptes si l'une d'elles est perdue.

3. Activer la biométrie partout

Par exemple, l'identification faciale, la reconnaissance d'empreinte digitale, etc., devraient être activées dans les gestionnaires de mots de passe, les applications bancaires et les applications critiques. C'est la troisième couche de l'authentification : « vous » vous-même. Personne ne peut voler votre visage dans une base de données.

4. Traiter les questions de sécurité comme des mots de passe

Des questions comme « Quel est le nom de jeune fille de votre mère ? » peuvent être trouvées en ligne en 10 secondes. Vous devez générer une réponse aléatoire et la stocker dans votre gestionnaire de mots de passe. Ne fournissez jamais de réelles informations.

5. Activer le chiffrement du disque

Sur Mac, il s'appelle FileVault ; sur Windows, c'est BitLocker. Si votre ordinateur est volé, le chiffrement garantit que tout ce que le voleur reçoit est une « brique » au lieu de toutes vos données. L'activer ne prend que 2 minutes et s'exécute automatiquement en arrière-plan.

6. Réduire les appareils intelligents pour la maison

Chaque « appareil intelligent » est essentiellement un ordinateur connecté avec un microphone. Ils collectent continuellement des données, se connectent fréquemment à Internet et sont souvent compromis. Votre moniteur intelligent de qualité de l'air domestique n'a pas besoin de connaître votre emplacement exact. Moins les appareils sont nombreux, moins les vecteurs d'attaque sont nombreux.

7. Utiliser le signal pour la communication

Signal fournit un cryptage de bout en bout, empêchant quiconque (y compris la plateforme elle-même, votre opérateur, les écouteurs) de lire le contenu. Les SMS standards et même iMessage conservent les métadonnées (qui, quand, fréquence des contacts). Activez « Messages disparaissants » (par exemple, 90 jours) pour éviter de conserver l'historique comme un risque.

8. Utilisez des navigateurs axés sur la confidentialité (par exemple, Brave)

Basé sur Chromium, compatible avec les extensions Chrome, offrant une expérience utilisateur presque identique.

9. Changez le moteur de recherche par défaut pour une recherche courageuse

Il a son propre indice (contrairement à DuckDuckGo, qui s'appuie sur Bing). Si un résultat de recherche n'est pas satisfaisant, vous pouvez ajouter « !g » pour passer à Google. La version payante, environ 3 $ par mois, vaut la peine — vous devenez client, et non le « produit vendu ».

10. Utiliser des cartes de crédit virtuelles (par exemple, Privacy.com)

Générez un numéro de carte unique pour chaque vendeur et fixez des limites de dépenses. Vous pouvez même fournir des noms et des adresses aléatoires. Si un vendeur est compromis, seul le numéro de carte jetable est exposé, et non votre véritable identité financière.

11. Utiliser une adresse postale virtuelle

Des services comme Virtual Post Mail recevront votre courrier physique, scanneront le contenu et vous permettront de le consulter en ligne.

Vous pouvez décider quels objets jeter et lesquels faire suivre. De cette façon, vous n'avez pas à donner votre vraie adresse personnelle à divers détaillants inconnus chaque fois que vous passez votre commande en ligne.

12. Ne cliquez pas sur les liens dans les emails

Les adresses email sont extrêmement faciles à spoofer. Avec l'aide de l'IA, les emails d'hameçonnage d'aujourd'hui ne peuvent presque pas être distingués des vrais. Au lieu de cliquer sur les liens, saisissez manuellement l'adresse du site web et connectez-vous.

Dans le même temps, désactivez la fonction de chargement automatique des images dans votre messagerie, car les images intégrées sont souvent utilisées pour suivre si vous avez ouvert la messagerie.

13. Utiliser sélectivement un VPN (par exemple, Mullvad)

Un VPN (Virtual Private Network) peut masquer votre adresse IP (l’identifiant unique de votre appareil et de votre emplacement) aux services auxquels vous accédez. Il n'a pas besoin d'être allumé tout le temps, mais assurez-vous de l'utiliser lorsque vous êtes en Wi-Fi public ou que vous accédez à des services moins fiables.

14. Configurer le blocage des annonces au niveau DNS (par exemple, NextDNS)

Le DNS peut être considéré comme le « répertoire téléphonique » d'un appareil pour consulter des sites web. Le blocage à ce niveau signifie que les annonces et les trackers sont arrêtés avant même leur chargement.

Et cela fonctionne pour toutes les applications et tous les navigateurs de votre appareil.

15. Installer des outils de surveillance réseau (par exemple, Little Snitch)

Il vous montre quelles applications de votre ordinateur se connectent à Internet, combien de données elles envoient et où les données se dirigent. Toute application dont la fréquence de "téléphone à la maison" est anormalement élevée doit lever un signal d'alarme et probablement être désinstallée.

Actuellement, Mythos reste uniquement entre les mains du côté défense du Projet Glasswing (comme Anthropic, Apple, Google, etc.). Cependant, des modèles aux capacités similaires tomberont bientôt entre les mains d'acteurs malveillants (peut-être dans les 6 mois ou même avant).

C'est pourquoi il est crucial de renforcer vos défenses de sécurité dès maintenant. Passer 15 minutes pour effectuer ces paramètres peut vous aider à éviter une foule de problèmes graves à l'avenir.

Restez en sécurité, et en vous souhaitant le meilleur.

[Original Article Lien]