Ces derniers temps, on ne parle que d'IA (enfin, on parle de LLM, ou Large Language Model, mais c'est moins vendeur). Les marchés financiers en raffolent et, corollaire évident, les entreprises se démènent pour en ajouter là où elles peuvent. Évidemment, le revers de la médaille de cette course effrénée est l'ajout encore peu maîtrisé de fonctionnalités riches pouvant introduire des vecteurs de compromission au sein d'applications sensibles. Le but de cet article est donc de faire un retour à travers mes audits ainsi que sur l’état de l’art, établi suite aux publications de l’OWASP, afin de déterminer le risque pour une entreprise qui souhaite ajouter de l’IA sous la forme d’un chatbot.

Quand j’ai découvert ChatGPT dans la période de son lancement, je rêvais pouvoir faire la même chose à la maison, et en me basant sur des documents maîtrisés : pages de manuels, documents techniques et autres. Aujourd’hui c’est possible, mais si on veut avoir un système efficace, il sera nécessaire de faire attention à quelques détails qu’on va explorer dans cet article.

Installer un antivirus douteux trouvé sur un store parallèle, se connecter sans réfléchir à un Wi-Fi gratuit dans une gare, laisser une application demander toutes les permissions sans jamais vérifier… Ces pratiques suffisent rarement à un attaquant pour prendre le contrôle d’un smartphone. Là où hier quelques lignes de code ou un APK bricolé ouvraient toutes les portes, il faut désormais composer avec des mécanismes de défense de plus en plus solides : durcissement du noyau Android, sandboxing, renforcement des stores officiels, initiatives comme Play Protect, sécurité déportée au niveau des API et parfois un SOC prêt à réagir dès qu’un comportement suspect émerge.

C'est officiel, la toute dernière version de FreeBSD intègre, par défaut, un dépôt spécifique aux modules noyau, c'est FreeBSD-kmods (jetez un œil à votre /etc/pkg/FreeBSD.conf). Ceci règle un problème de longue date découlant du fait que les paquets binaires sont construits sur la base de la version x.(y-1) pendant trois mois après la diffusion de la version x.y, pour des questions de support. Ça marche sans problème pour les paquets « userland », mais pose un vrai souci pour les modules noyau (et drm-kmod en particulier). Ainsi, 14.3 a décidé d'officialiser l'existence d'un dépôt dédié, et c'est là la parfaite excuse pour enrichir le support, se retrousser les manches et, pourquoi pas, développer vos modules/pilotes bien à vous...