92 est la moitié de 99

Nouvelles de la KW52.2025

Juste avant la fin de l'année encore une dernière relecture de la semaine de Noël jusqu'à entre les vacances (22.12-28.12.2025), comme d'habitude 9 nouvelles de la technologie et de l'informatique, cette fois avec opinion, cannelle et sucre.

Conformité 26 | Consentement aux cookies | L'IA dans les jeux | Bitlocker Speed | MongoDB CVE | Changement de nom d'alias Gmail | 39C3 Conclusion de l'OEB | 39C3 DiDay | fuite de fil

Article premier

Aperçu juridique 2026: Mettre l'accent sur la conformité de l'IA et la sécurité informatique

Belle vue d'ensemble dans le magazine iX à la fin de l'année: En droit informatique, l’année 2026 marque le passage de la législation à la mise en œuvre pratique. Alors que de nouveaux projets à grande échelle font défaut, les ajustements (paquet omnibus numérique) et les décisions de principe des tribunaux sont au centre de l'attention.

Vue d'ensemble des principaux thèmes:

Réglementation de l'IA (AI Act): À partir du 2 août 2026 la plupart des dispositions de la loi sur l’IA s’appliquent, en particulier aux systèmes à haut risque. Les entreprises doivent maintenant mettre en place des structures de gouvernance, même si le train de mesures «omnibus numérique» pourrait prolonger certains délais pour alléger la charge pesant sur l’économie jusqu’en 2027/28.

KI & Droit d'auteur: À la suite de la décision de la GEMA contre OpenAI, une procédure d’appel historique est attendue pour 2026. La question centrale est de savoir si la formation des modèles d'IA constitue une violation du droit d'auteur ou relève d'une exception légale.

Droit des données (Data Act): À partir de septembre 2026, les obligations Fourniture de données. Les fabricants de produits connectés (IoT) doivent veiller techniquement à ce que les utilisateurs puissent facilement accéder à leurs données et les emmener chez d'autres fournisseurs.

Sécurité informatique (NIS2 & CRA): 2026 est la première année complète de la nouvelle Loi de mise en œuvre du NIS2. De plus en plus d'entreprises sont désormais soumises à la surveillance du BSI et doivent se conformer à des exigences strictes en matière de risques et de rapports. En outre, à l’automne 2026, les premières exigences en matière de déclaration du Loi sur la cyber-résilience (CRA).

Identité numérique (eIDAS 2.0): D’ici à 2026, les États membres de l’UE devraient: Portefeuille d'identité numérique offrir. Les citoyens peuvent ainsi gérer numériquement leurs cartes d'identité ou certificats sur leur smartphone et les signer en toute sécurité.

Plateformes & Souveraineté: Sous DSA et DMA, les premières sanctions contre les grandes entreprises technologiques sont attendues. Dans les marchés publics, une tendance se dessine «Buy European» La souveraineté et l’interchangeabilité en nuage deviennent des critères d’attribution importants.

Cette vidéo de VamiSec résume bien les informations les plus importantes:

Conclusion: 2026 sera l'année de Vérification de la conformité. Les responsables informatiques doivent adapter les architectures existantes aux nouvelles catégories réglementaires afin d'éviter les amendes et les risques de responsabilité.

Fin de l'inondation des bannières? Lancement du premier «agent de consentement» reconnu

Article par heise.de. Une pièce importante du puzzle pour l'autodétermination numérique entre dans le test pratique: Avec l'outil Consenter Le premier service national de gestion des consentements aux cookies, officiellement reconnu par l'Agence fédérale de protection des données, est disponible.

Les détails du lancement:

Silent Release: Le plugin du navigateur est à jour disponible via un lien de pré-lien dans le Chrome Store. La mise sur le marché officielle et l'inscription pour Firefox et Safari ont lieu le 26 janvier 2026.

Fonctionnement: Les utilisateurs définissent leurs préférences en matière de protection des données de manière centralisée et unique dans le plug-in du navigateur. L'agent les transmet automatiquement aux sites Web visités, éliminant ainsi les clics manuels gênants sur les bannières de cookies.

L'obstacle: Pour que le système fonctionne, les exploitants de sites Web doivent également jouer le jeu. Étant donné que de nombreuses solutions de consentement existantes ne traitent pas encore volontairement les signaux des plug-ins de navigateur, l'équipe derrière Consenter propose sa propre bannière compatible pour les sites Web.

Contexte scientifique: Le projet a été financé par le ministère fédéral de la Recherche et développé sous la direction du Prof. Dr. von Grafenstein (UdK Berlin). L’objectif est de lutter contre la «fatigue du consentement» et de permettre une véritable souveraineté numérique.

Pourquoi c'est important pour les décideurs informatiques: Le consultant fournit une évaluation automatisée des risques pour les outils tiers. Les exploitants de sites Web qui mettent en œuvre le système reçoivent une sorte d'évaluation indépendante de l'impact sur la protection des données. Cela peut non seulement rendre la conformité plus sûre sur le plan juridique, mais aussi accroître l'acceptation par les utilisateurs grâce à une transparence accrue.

Article 3

L'utilisation de l'IA coûte un Indie Award: Clair Obscur - Expedition 33 perd son titre

Lire sur Reddit. Le studio français Sandfall Interactive s'impose peu de temps après son succès. Indie Game Awards 2025 Redonner deux titres. La raison en est une violation des directives strictes sur l'utilisation de l'intelligence artificielle.

Le contexte de la décision:

Politique de tolérance zéro: Les Indie Game Awards autorisent uniquement les nominations pour les jeux entièrement développés sans outils d'IA. Sandfall Interactive avait assuré au cours du processus de candidature qu'elle respecterait cette exigence.

L’indice du charabia: Peu de temps après la sortie, les joueurs ont découvert des textures générées par l'IA (texte illisible sur une colonne de baril). Le studio a ensuite admis dans une interview avoir utilisé «un peu d’IA» pour des textures d’espace réservé qui étaient restées accidentellement dans la version commerciale.

Les conséquences: Le jeu perd par la suite les récompenses en tant que «Jeu indépendant de l’année» (débute maintenant Blue Prince) et le «Debut Game Award» (à partir de Désolé, nous sommes fermés).

Distinction importante: Le titre général multiplateforme «Game of the Year» des différents Les Game Awards peut conserver le jeu, car l’utilisation de l’IA n’entraîne pas l’exclusion.

Pertinence pour les secteurs de l’informatique et de la création: L’affaire met en évidence l’écart croissant dans l’évaluation de l’IA: Bien qu'il devienne la norme dans l'industrie AAA en tant qu'outil d'efficacité, il est souvent considéré comme tabou sur la scène indépendante. Pour les développeurs, cela signifie: La transparence de la « pile technologique » devient de plus en plus un risque juridique et de réputation dans les soumissions de prix et dans le marketing.

Article 4

Accélération matérielle pour BitLocker: Plus de vitesse pour les NVMe-Drives

Microsoft a annoncé un changement d'architecture majeur pour le chiffrement Windows. Avec le Accélération matérielle BitLocker L'entreprise s'attaque aux pertes de performances qui étaient jusqu'à présent particulièrement perceptibles avec les SSD NVMe ultra-rapides et les tâches gourmandes en calcul (édition vidéo, jeux). Cela devrait être mis en œuvre avec les prochaines générations de CPU d'ici 2026.

Les points forts techniques:

Déchargement de crypto: Le travail de chiffrement est effectué à partir du processeur principal vers un processeur dédié. Moteur de cryptographie dans le SoC (System on Chip). Cela permet d'économiser en moyenne, selon Microsoft 70 % Cycles de CPU et préserve la batterie.

Hardware Protected Keys: Les clés de chiffrement sont isolées du côté matériel («wrapped»). L'objectif est de bannir complètement les clés BitLocker du cache CPU et de la mémoire à l'avenir afin de les protéger contre les attaques de lecture.

Algorithme: Les appareils pris en charge utilisent par défaut XTS-AES-256.

Disponibilité et conditions préalables:

Logiciel: La condition préalable est la mise à jour de Windows 11 de septembre 2025 (version 24H2) ou la nouvelle version 25H2.

Matériel: Commencer à faire des appareils avec Intel à venir Processeurs «Panther Lake» (Core Ultra Series 3). D'autres constructeurs suivront.

Vérification: À propos de la commande Statut de manage-bde l’invite de commande permet de vérifier si l’«accélération matérielle» est active.

Remarque importante pour les administrateurs: Le hardware bitlocker désactivé, lorsque les stratégies de groupe (GPO) forcent des algorithmes obsolètes ou incompatibles (tels que AES-CBC). Microsoft recommande de passer aux stratégies XTS-AES-256 pour bénéficier des avantages de performance.

Article 5

Appel urgent de patch: Vulnérabilité critique dans MongoDB

Lire sur Bleepingcomputer.com: MongoDB avertit les administrateurs d'une vulnérabilité majeure (CVE-2025-14847) dans la gestion de la mémoire, ce qui nécessite une action immédiate.

Les faits les plus importants:

Le risque: Une erreur dans le zlibL'implémentation du serveur permet aux attaquants non authentifiés de lire à distance la mémoire non initialisée (Heap Memory). L'attaque est peu complexe et ne nécessite aucune interaction de la part des utilisateurs.

Conséquences possibles: Selon les experts en sécurité, dans le pire des cas, l'écart pourrait amener les attaquants à prendre le contrôle des systèmes affectés.

Versions concernées: La liste est longue et comprend presque toutes les versions courantes (de v4.4 à v8.2), ainsi que toutes les versions des séries v4.2, v4.0 et v3.6.

Mesures d'urgence:

Mise à jour: Mise à jour vers les versions 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 ou 4.4.30.

Solution de contournement: Si une mise à jour n'est pas possible immédiatement, la Compression zlib désactivée seront. Cela se fait en lançant mongod ou mongos Avec l'option, zlib explicitement des networkMessageCompressors à exclure.

Classification de la sécurité informatique: Comme MongoDB est l'une des bases de données NoSQL les plus utilisées au monde (plus de 62 000 clients, dont de nombreuses entreprises du classement Fortune 500), cet écart constitue une cible attrayante pour les attaques automatisées. Les administrateurs doivent prioriser l'insertion des correctifs en raison de l'exécution à distance sans authentification.

Article 6

39C3: Critiques sévères à l'encontre de l'EPA car les lacunes en matière de sécurité ne sont pas résolues

Un an après l'introduction du dossier électronique du patient (ePA), la recherche sur la sécurité passe au 39e rang. Chaos Communication Congress est un bilan décevant. La chercheuse Bianca Kastl prévient que des problèmes structurels majeurs persistent.

Les principales critiques:

Identités incertaines: Le principal problème réside dans les procédures d'authentification de l'infrastructure télématique. Kastl critique le fait que les processus de vérification d'identité sont sujets à des erreurs organisationnelles et permettent des abus, ce qui ne peut être corrigé par de petites corrections.

Manque de transparence: La communication du ministère fédéral de la santé (campagne «ePA, bien sûr!») est considérée comme embellissante. Les avis critiques des experts seraient ignorés ou relativisés.

Responsabilité diffuse: Entre la politique, les autorités et les acteurs, la responsabilité des risques pour la sécurité est déplacée. En fin de compte, ce sont les assurés qui assument l’intégralité du risque (par exemple en cas de fuite de données ou d’accès incorrect).

Avertissement concernant le portefeuille EU ID: En ce qui concerne le portefeuille national d’identification de l’UE prévu (voir eIDAS 2.0), Kastl met en garde contre la réapparition des mêmes erreurs structurelles, mais avec un impact beaucoup plus important sur la souveraineté numérique.

Heise était sur place et a également des séquences vidéo en ligne:

Article 7

Révolution de Gmail: Adresse e-mail enfin modifiable (système d'alias)

Après plus de 20 ans, Google a assoupli l'une de ses règles les plus strictes: Les utilisateurs peuvent désormais utiliser leur @gmail.comChanger d'adresse sans avoir à ouvrir un nouveau compte. C’est particulièrement une bénédiction pour ceux qui considèrent le «péché juvénile» comme un nom de courrier électronique (par exemple: party-maus2005@) Échanger contre une adresse sérieuse.

Voici comment fonctionne le nouveau système:

Fonction d'alias automatique: Si vous modifiez votre adresse, l'ancienne adresse ne sera pas supprimée. Elle reste en tant que alias lié de façon permanente à votre compte.

Pas de perte de données: Tous les e-mails, photos, fichiers Drive et logins sont conservés. Vous continuez à recevoir des e-mails envoyés à l'ancienne adresse, mais vous vous présentez à l'extérieur avec le nouveau nom.

Connexion flexible: Vous pouvez toujours vous connecter aux services Google avec les deux adresses (ancienne et nouvelle).

Restrictions : * Le changement est seulement Une fois tous les 12 mois possible.

  • Dans l'ensemble, le maximum trois changements d'adresse Autorisé par compte.
  • Dans certains systèmes profondément enracinés (tels que les anciennes entrées de calendrier), l'adresse d'origine peut toujours être visible.

Fonctionnalité supplémentaire «Shielded Email»: En parallèle, Google lance ce que l'on appelle «Shielded Emails» à partir de. Cela permet de créer des alias temporaires pour les lettres d’information ou les inscriptions aux applications (semblable à «cacher l’adresse électronique» d’Apple). Ceux-ci envoient des messages à votre boîte aux lettres principale, mais gardent votre adresse réelle secrète et protègent ainsi contre le spam.

La fonction d’alias elle-même n’est d’ailleurs pas nouvelle, seule la modification de l’« adresse principale » qui devient ainsi une adresse d’alias.

Article 8

39C3: L’Alliance appelle au «Jour de l’indépendance numérique»

Lire sur golem.de: Sur le 39. Chaos Communication Congress (39C3) a une large alliance autour de la Chaos Computer Club (CCC) et Wikimedia Allemagne Lancement d'une nouvelle initiative contre la domination des grandes entreprises technologiques.

Le «Di.Day»: À partir du 4 janvier 2026 Le jour de l'indépendance numérique est célébré chaque premier dimanche du mois. L'objectif est de réduire l'influence des plateformes américaines sur les processus démocratiques et la vie privée.

Fêtes de changement & Ateliers: Les hackerspaces de plus de dix villes organisent des ateliers pour les aider à se déplacer, par exemple de WhatsApp à Signal, de Chrome à Firefox ou de Windows à Linux.

Soutien de célébrités: L'auteur Marc-Uwe Kling Il a fait la promotion de l'action au Congrès. L’objectif est de sortir du «capitalisme de surveillance» et de promouvoir la souveraineté numérique au moyen de «parties intermittentes» (y compris hors ligne).

Recettes de changement: Sur la page de la campagne Di.Day les utilisateurs trouveront des instructions concrètes sur la façon d'exporter des données et de migrer en toute sécurité vers des alternatives gratuites.

Article 9

Fuite de données chez WIRED: Des hackers publient des millions de données d'utilisateurs

Et encore une fois Bleepingcomputer.com: Un cybercriminel portant le pseudonyme «Lovely» possède une base de données du célèbre magazine américain WIRED fuite. La fuite fait partie d'une attaque majeure contre le groupe de médias Condé Nast, Selon la menace du hacker, jusqu'à 40 millions d'enregistrements de différentes publications (dont vogue, Le New Yorker et Vanity Fair) pourrait circuler.

Les détails de l'incident:

Portée : La base de données WIRED publiée contient env. 2,37 millions d'enregistrements.

Contenu : Les adresses e-mail, les identifiants internes et les horodatages ont été divulgués. Certains abonnés incluent également des noms clairs, des adresses physiques, des dates de naissance et des numéros de téléphone. Les mots de passe ne semblent pas être en clair à ce jour, mais les données ont déjà été vérifiées en les comparant à d'autres journaux d'Info Stealer.

Contexte: Le hacker affirme avoir signalé en vain des failles de sécurité à Condé Nast pendant un mois. L’entreprise n’ayant pas réagi, il a désormais publié les données en tant que «sanction». Cependant, les experts en sécurité ne considèrent pas l'auteur comme un chercheur éthique, mais comme un chantage classique.

État actuel: Les données ont déjà été mises en service «Have I Been Pwned» C'est bien soigné. Les utilisateurs peuvent vérifier si leur adresse e-mail est concernée.

Importance pour la sécurité informatique: Ce cas démontre une fois de plus le risque d’attaques de «credential stuffing» et de phishing. Étant donné que la base de données contient des informations datant de 1996, les utilisateurs de longue date sont également menacés. Les services informatiques devraient sensibiliser les employés qui ont utilisé les e-mails d'entreprise pour des abonnements privés à des titres Condé Nast.

Pour les comptes annuels, vous devez me préférer, comme nous l'avons déjà annoncé la semaine dernière, notre collègue Sun-Tsu est en vacances de Noël bien méritées et s'amuse sur le Retro-LAN. Je vais faire court: Venez bien et nous nous reverrons dans la fraîcheur de la nouvelle année!

Stephan
|
| | | | |
vers le haut | accueil | pour la recherche