Tags populaires:
Virtualisation sécurité DNS vérification formelle analyse d'atteignabilité erreurs du compilateur conflit de macro extension web framework de développement Graphiques bitmap incohérences d'API Tous les tags

Google publie une bibliothèque stable de signature de modèles pour sécuriser la chaîne d'approvisionnement de l'IA

2025-04-05
Google publie une bibliothèque stable de signature de modèles pour sécuriser la chaîne d'approvisionnement de l'IA

L'essor des grands modèles de langage (LLM) a mis en lumière l'importance de la sécurité de la chaîne d'approvisionnement de l'IA. La falsification des modèles, l'empoisonnement des données et autres menaces sont des préoccupations croissantes. Pour y remédier, Google, en partenariat avec NVIDIA et HiddenLayer, et avec le soutien de l'Open Source Security Foundation, a publié la première version stable de sa bibliothèque de signature de modèles. Cette bibliothèque utilise des signatures numériques, telles que celles de Sigstore, pour permettre aux utilisateurs de vérifier que le modèle utilisé par une application est identique à celui créé par les développeurs. Cela garantit l'intégrité et la provenance du modèle, le protégeant contre les manipulations malveillantes tout au long de son cycle de vie, de la formation au déploiement. Les projets futurs incluent l'extension de cette technologie aux ensembles de données et autres artefacts ML, afin de construire un écosystème de confiance plus robuste pour l'IA.

Lire plus
(security.googleblog.com)
IA Signature de modèle

Google dévoile Sec-Gemini v1 : une nouvelle ère pour la cybersécurité alimentée par l'IA

2025-04-04
Google dévoile Sec-Gemini v1 : une nouvelle ère pour la cybersécurité alimentée par l'IA

Google a annoncé Sec-Gemini v1, un modèle d'IA expérimental conçu pour repousser les limites de l'IA en cybersécurité. En combinant les capacités avancées de Gemini avec des connaissances et des outils de cybersécurité en temps quasi réel, Sec-Gemini v1 excelle dans les flux de travail clés tels que l'analyse de la cause racine des incidents, l'analyse des menaces et la compréhension de l'impact des vulnérabilités. Il surpasse d'autres modèles sur des benchmarks importants, affichant une amélioration d'au moins 11 % sur CTI-MCQ et d'au moins 10,5 % sur CTI-Root Cause Mapping. Google met Sec-Gemini v1 gratuitement à la disposition d'organisations, d'institutions, de professionnels et d'ONG sélectionnées à des fins de recherche afin de favoriser la collaboration et le progrès de l'IA en cybersécurité.

Lire plus
(security.googleblog.com)
IA

Le programme racine Chrome améliore la sécurité du Web PKI avec MPIC et linting obligatoires

2025-03-31
Le programme racine Chrome améliore la sécurité du Web PKI avec MPIC et linting obligatoires

L'équipe Chrome de Google a annoncé que son programme racine rend obligatoires deux améliorations de sécurité clés : la corroboration d'émission multi-perspectives (MPIC) et l'analyse de code des certificats. La MPIC réduit le risque de certificats frauduleusement émis en raison d'attaques BGP en vérifiant le contrôle de domaine à partir de plusieurs emplacements géographiques, tandis que l'analyse de code automatise la détection des erreurs de certificats, améliorant ainsi la sécurité. Les deux sont obligatoires pour les certificats de confiance publique à partir du 15 mars 2025, renforçant la sécurité et la stabilité de l'écosystème Web PKI et réduisant les émissions incorrectes de certificats. L'équipe Chrome prévoit également de supprimer les méthodes de validation de domaine faibles et d'explorer activement des solutions pour un monde de cryptographie post-quantique.

Lire plus
(security.googleblog.com)
Technologie Sécurité Web Certificats numériques

Éliminer les vulnérabilités de sécurité mémoire : un engagement collectif pour la sécurité par conception

2025-02-26
Éliminer les vulnérabilités de sécurité mémoire : un engagement collectif pour la sécurité par conception

Pendant des décennies, les vulnérabilités de sécurité mémoire ont affecté l'industrie technologique, coûtant des milliards et érodant la confiance. Les approches traditionnelles n'ont pas suffi. Cet article appelle à un changement fondamental vers des pratiques de « sécurité par conception » pour éliminer ces vulnérabilités. Les progrès récents dans les langages sécurisés pour la mémoire (comme Rust) et les technologies matérielles (comme le MTE d'ARM) rendent cela réalisable. Les auteurs proposent un cadre standardisé pour évaluer objectivement les assurances de sécurité mémoire, incitant les fournisseurs à investir et, en fin de compte, permettant aux clients d'exiger et de récompenser la sécurité, ce qui stimule l'acquisition de systèmes plus sûrs. Cela nécessite un cadre neutre sur le plan technologique, prenant en charge diverses approches, adaptant les exigences de sécurité en fonction des besoins, dans le but ultime d'un monde numérique sécurisé.

Lire plus
(security.googleblog.com)
Développement sécurité par conception

Rapport de sécurité Google Play 2024 : des défenses basées sur l’IA protègent des milliards d’utilisateurs

2025-02-03
Rapport de sécurité Google Play 2024 : des défenses basées sur l’IA protègent des milliards d’utilisateurs

Le rapport de sécurité Google Play 2024 souligne l’engagement de Google envers la sécurité des utilisateurs et des développeurs. En utilisant la détection des menaces grâce à l’IA, des politiques de confidentialité renforcées et des outils améliorés pour les développeurs, Google Play a empêché la publication de 2,36 millions d’applications non conformes aux règles et a banni plus de 158 000 comptes de développeurs malveillants. Le rapport met l’accent sur le rôle de l’IA dans l’identification proactive des logiciels malveillants, la collaboration avec les développeurs pour améliorer la sécurité et la confidentialité (limitation de l’accès aux données sensibles, options d’effacement des données améliorées), et l’analyse en temps réel de Google Play Protect, qui a identifié plus de 13 millions d’applications malveillantes provenant de sources externes à Google Play. De nouvelles fonctionnalités de protection contre la fraude protègent les utilisateurs des escroqueries et des logiciels malveillants. Google collabore également avec les gouvernements et les partenaires du secteur pour établir de nouvelles normes d’évaluation de la sécurité des applications afin de créer un écosystème d’applications plus sûr.

Lire plus
(security.googleblog.com)
Technologie Sécurité des applications IA de sécurité

Google publie OSV-SCALIBR : une bibliothèque puissante d’analyse de composition logicielle

2025-01-19
Google publie OSV-SCALIBR : une bibliothèque puissante d’analyse de composition logicielle

Google a publié OSV-SCALIBR, une bibliothèque extensible d’analyse de composition logicielle (SCA) permettant de scanner les paquets installés, les binaires autonomes et le code source à la recherche de vulnérabilités. Elle prend en charge de nombreux langages de programmation et gestionnaires de paquets, et génère des listes de composants logiciels (SBOM). OSV-SCALIBR est le moteur SCA principal utilisé en interne par Google et est désormais open source, avec des plans pour l’intégrer à OSV-Scanner afin d’obtenir une interface en ligne de commande plus robuste.

Lire plus
(security.googleblog.com)
Développement Sécurité logicielle