Webtagr - Résumé de news de technologie

Le pKVM d'Android obtient la certification SESIP niveau 5 : une nouvelle ère pour la sécurité mobile

2025-08-18

Google a annoncé que pKVM (protected KVM), l'hyperviseur qui alimente le framework de virtualisation Android, a obtenu la certification SESIP niveau 5, une première pour un système de sécurité logiciel conçu pour un déploiement à grande échelle dans l'électronique grand public. Cela permet à Android de prendre en charge en toute sécurité les charges de travail isolées de haute criticité de la prochaine génération, telles que le traitement de l'IA sur l'appareil utilisant des données ultra-personnalisées, avec les plus hautes garanties de confidentialité et d'intégrité. La certification, effectuée par Dekra et conforme à la norme EN-17927, inclut AVA_VAN.5, le niveau le plus élevé d'analyse des vulnérabilités et de tests d'intrusion. Cette réalisation pose une pierre angulaire de la stratégie de sécurité multicouche d'Android et fournit aux fabricants d'appareils une base de micrologiciels robuste et open source.

Lire plus

(security.googleblog.com)

Technologie Certification SESIP niveau 5

OSS Rebuild : Reconstruire la confiance dans les écosystèmes de paquets open source

2025-07-22

Le nouveau projet OSS Rebuild de Google vise à renforcer la confiance dans les écosystèmes de paquets open source en reproduisant les artefacts en amont. Face à la multiplication des attaques de la chaîne d'approvisionnement, OSS Rebuild automatise la création de définitions de build déclaratives pour PyPI, npm et Crates.io, fournissant une provenance SLSA répondant aux exigences du niveau 3 de build SLSA sans intervention de l'éditeur. Il offre des outils d'observabilité et de vérification de build, ainsi que des définitions d'infrastructure permettant aux organisations d'exécuter leurs propres instances. En reconstruisant, générant, signant et distribuant la provenance, OSS Rebuild aide à détecter divers compromis de la chaîne d'approvisionnement, tels que du code source non soumis, des environnements de build compromis et des portes dérobées furtives, améliorant ainsi la confiance dans les paquets et accélérant la réponse aux vulnérabilités.

Lire plus

(security.googleblog.com)

Développement

Des millions de qubits bruyants pourraient briser le chiffrement RSA : nouvelle estimation de Google

2025-05-24

La recherche de Google Quantum AI suggère qu'un ordinateur quantique avec 1 million de qubits bruyants pourrait théoriquement briser le chiffrement RSA 2048 bits en une semaine. Il s'agit d'une réduction de 20 fois par rapport à son estimation de 2019. Bien que les ordinateurs quantiques actuels ne possèdent que des centaines ou des milliers de qubits, ce résultat souligne l'urgence de migrer vers les normes de cryptographie post-quantique (PQC) pour contrer les futures menaces de l'informatique quantique à grande échelle. Les améliorations des algorithmes et de la correction d'erreurs sont essentielles à cette prévision actualisée, réduisant considérablement le nombre de qubits nécessaires pour briser RSA. Le NIST a déjà publié des normes PQC, recommandant de déprécier les systèmes vulnérables après 2030 et de les interdire après 2035.

Lire plus

(security.googleblog.com)

Technologie chiffrement RSA

Google publie une bibliothèque stable de signature de modèles pour sécuriser la chaîne d'approvisionnement de l'IA

2025-04-05

L'essor des grands modèles de langage (LLM) a mis en lumière l'importance de la sécurité de la chaîne d'approvisionnement de l'IA. La falsification des modèles, l'empoisonnement des données et autres menaces sont des préoccupations croissantes. Pour y remédier, Google, en partenariat avec NVIDIA et HiddenLayer, et avec le soutien de l'Open Source Security Foundation, a publié la première version stable de sa bibliothèque de signature de modèles. Cette bibliothèque utilise des signatures numériques, telles que celles de Sigstore, pour permettre aux utilisateurs de vérifier que le modèle utilisé par une application est identique à celui créé par les développeurs. Cela garantit l'intégrité et la provenance du modèle, le protégeant contre les manipulations malveillantes tout au long de son cycle de vie, de la formation au déploiement. Les projets futurs incluent l'extension de cette technologie aux ensembles de données et autres artefacts ML, afin de construire un écosystème de confiance plus robuste pour l'IA.

Lire plus

(security.googleblog.com)

IA Signature de modèle

Google dévoile Sec-Gemini v1 : une nouvelle ère pour la cybersécurité alimentée par l'IA

2025-04-04

Google a annoncé Sec-Gemini v1, un modèle d'IA expérimental conçu pour repousser les limites de l'IA en cybersécurité. En combinant les capacités avancées de Gemini avec des connaissances et des outils de cybersécurité en temps quasi réel, Sec-Gemini v1 excelle dans les flux de travail clés tels que l'analyse de la cause racine des incidents, l'analyse des menaces et la compréhension de l'impact des vulnérabilités. Il surpasse d'autres modèles sur des benchmarks importants, affichant une amélioration d'au moins 11 % sur CTI-MCQ et d'au moins 10,5 % sur CTI-Root Cause Mapping. Google met Sec-Gemini v1 gratuitement à la disposition d'organisations, d'institutions, de professionnels et d'ONG sélectionnées à des fins de recherche afin de favoriser la collaboration et le progrès de l'IA en cybersécurité.

Lire plus

(security.googleblog.com)

IA

Le programme racine Chrome améliore la sécurité du Web PKI avec MPIC et linting obligatoires

2025-03-31

L'équipe Chrome de Google a annoncé que son programme racine rend obligatoires deux améliorations de sécurité clés : la corroboration d'émission multi-perspectives (MPIC) et l'analyse de code des certificats. La MPIC réduit le risque de certificats frauduleusement émis en raison d'attaques BGP en vérifiant le contrôle de domaine à partir de plusieurs emplacements géographiques, tandis que l'analyse de code automatise la détection des erreurs de certificats, améliorant ainsi la sécurité. Les deux sont obligatoires pour les certificats de confiance publique à partir du 15 mars 2025, renforçant la sécurité et la stabilité de l'écosystème Web PKI et réduisant les émissions incorrectes de certificats. L'équipe Chrome prévoit également de supprimer les méthodes de validation de domaine faibles et d'explorer activement des solutions pour un monde de cryptographie post-quantique.

Lire plus

(security.googleblog.com)

Technologie Sécurité Web Certificats numériques

Éliminer les vulnérabilités de sécurité mémoire : un engagement collectif pour la sécurité par conception

2025-02-26

Pendant des décennies, les vulnérabilités de sécurité mémoire ont affecté l'industrie technologique, coûtant des milliards et érodant la confiance. Les approches traditionnelles n'ont pas suffi. Cet article appelle à un changement fondamental vers des pratiques de « sécurité par conception » pour éliminer ces vulnérabilités. Les progrès récents dans les langages sécurisés pour la mémoire (comme Rust) et les technologies matérielles (comme le MTE d'ARM) rendent cela réalisable. Les auteurs proposent un cadre standardisé pour évaluer objectivement les assurances de sécurité mémoire, incitant les fournisseurs à investir et, en fin de compte, permettant aux clients d'exiger et de récompenser la sécurité, ce qui stimule l'acquisition de systèmes plus sûrs. Cela nécessite un cadre neutre sur le plan technologique, prenant en charge diverses approches, adaptant les exigences de sécurité en fonction des besoins, dans le but ultime d'un monde numérique sécurisé.

Lire plus

(security.googleblog.com)

Développement sécurité par conception

Rapport de sécurité Google Play 2024 : des défenses basées sur l’IA protègent des milliards d’utilisateurs

2025-02-03

Le rapport de sécurité Google Play 2024 souligne l’engagement de Google envers la sécurité des utilisateurs et des développeurs. En utilisant la détection des menaces grâce à l’IA, des politiques de confidentialité renforcées et des outils améliorés pour les développeurs, Google Play a empêché la publication de 2,36 millions d’applications non conformes aux règles et a banni plus de 158 000 comptes de développeurs malveillants. Le rapport met l’accent sur le rôle de l’IA dans l’identification proactive des logiciels malveillants, la collaboration avec les développeurs pour améliorer la sécurité et la confidentialité (limitation de l’accès aux données sensibles, options d’effacement des données améliorées), et l’analyse en temps réel de Google Play Protect, qui a identifié plus de 13 millions d’applications malveillantes provenant de sources externes à Google Play. De nouvelles fonctionnalités de protection contre la fraude protègent les utilisateurs des escroqueries et des logiciels malveillants. Google collabore également avec les gouvernements et les partenaires du secteur pour établir de nouvelles normes d’évaluation de la sécurité des applications afin de créer un écosystème d’applications plus sûr.

Lire plus

(security.googleblog.com)

Technologie Sécurité des applications IA de sécurité

Google publie OSV-SCALIBR : une bibliothèque puissante d’analyse de composition logicielle

2025-01-19

Google a publié OSV-SCALIBR, une bibliothèque extensible d’analyse de composition logicielle (SCA) permettant de scanner les paquets installés, les binaires autonomes et le code source à la recherche de vulnérabilités. Elle prend en charge de nombreux langages de programmation et gestionnaires de paquets, et génère des listes de composants logiciels (SBOM). OSV-SCALIBR est le moteur SCA principal utilisé en interne par Google et est désormais open source, avec des plans pour l’intégrer à OSV-Scanner afin d’obtenir une interface en ligne de commande plus robuste.

Lire plus

(security.googleblog.com)

Développement Sécurité logicielle