Connect with us

Technologie

L’ICO lance des conseils sur l’IA et la protection des données

Published

on


Le Bureau du Commissaire à l’information (ICO) a publié un document d’orientation de 80 pages à l’intention des entreprises et d’autres organisations sur l’utilisation de l’intelligence artificielle (IA) conformément aux principes de protection des données.

Cette orientation est l’aboutissement de deux années de recherche et de consultation menées par Reuben Binns, professeur agrégé au département d’informatique de l’Université d’Oxford, et à l’équipe d’IA de l’ICO.

Les lignes directrices couvrent ce que l’OIC considère comme « les meilleures pratiques en matière d’IA conforme à la protection des données, ainsi que sur la façon dont nous interprétons la loi sur la protection des données telle qu’elle s’applique aux systèmes d’IA qui traitent les données à caractère personnel. Les directives ne sont pas un code législatif. Il contient des conseils sur la façon d’interpréter le droit pertinent tel qu’il s’applique à l’IA, et des recommandations sur les bonnes pratiques en matière de mesures organisationnelles et techniques visant à atténuer les risques pour les individus que l’IA peut causer ou exacerber ».

Il vise à fournir un cadre pour « l’audit de l’IA, en mettant l’accent sur les meilleures pratiques en matière de conformité à la protection des données – que vous conceviez votre propre système d’IA ou que vous en mettez en œuvre un à partir d’un tiers ».

Il incarne, dit-il, « les outils et les procédures de vérification que nous utiliserons dans les vérifications et les enquêtes; des directives détaillées sur l’IA et la protection des données; et une boîte à outils conçue pour fournir un soutien pratique supplémentaire aux organisations qui auditent la conformité de leurs propres systèmes d’IA ».

Il s’agit également d’un document interactif qui invite à une communication plus poussée avec l’OIC.

Ces lignes directrices s’adressent à deux auditoires : « ceux qui ont une orientation en matière de conformité, comme les agents de protection des données (DPO), les avocats généraux, les gestionnaires des risques, la haute direction et les vérificateurs de l’OIC; et des spécialistes de la technologie, y compris des experts en apprentissage automatique, des scientifiques des données, des développeurs de logiciels et des ingénieurs, et des gestionnaires de la cybersécurité et des risques it ».

Il souligne deux risques pour la sécurité qui peuvent être exacerbés par l’IA, à savoir la « perte ou l’utilisation abusive des grandes quantités de données à caractère personnel souvent nécessaires à la formation des systèmes d’IA; et les vulnérabilités logicielles à introduire à la suite de l’introduction de nouveaux codes et infrastructures liés à l’I ».

Car, comme le souligne le document d’orientation, les pratiques standard s’tiques pour le développement et le déploiement de l’IA impliquent, par nécessité, le traitement de grandes quantités de données. Il existe donc un risque inhérent que cela ne respecte pas le principe de minimisation des données.

Ceci, selon le GDPR [the EU General Data Protection Regulation] comme l’a fait l’ancien journaliste d’Computer Weekly Warwick Ashford, « emande aux organisations de ne pas détenir de données plus longtemps que nécessaire, et de ne pas modifier l’utilisation des données de l’objet pour lequel elles ont été collectées à l’origine, tandis que – en même temps – elles doivent supprimer toutes les données à la demande de la personne concernée ».

Bien que le document d’orientation indique que la protection des données et l’« éthique de l’IA » se chevauchent, il ne cherche pas à « fournir des principes éthiques ou de conception génériques pour votre utilisation de l’IA ».

AI pour l’ICO

Qu’est-ce que l’IA, aux yeux de l’OIC? « Nous utilisons le terme générique « IA » parce qu’il est devenu un terme standard de l’industrie pour une gamme de technologies. Un domaine important de l’IA est l’apprentissage automatique, qui est l’utilisation de techniques de calcul pour créer (souvent complexe) des modèles statistiques en utilisant (généralement) de grandes quantités de données. Ces modèles peuvent être utilisés pour faire des classifications ou des prédictions sur de nouveaux points de données. Bien que toutes les IA ne concernent pas ML, la plupart de l’intérêt récent pour l’IA est motivé par ML d’une certaine manière, que ce soit dans la reconnaissance d’image, la parole-à-texte, ou la classification du risque de crédit.

« Ces orientations se concentrent donc sur les défis liés à la protection des données que l’IA basée sur le ML peut présenter, tout en reconnaissant que d’autres types d’IA peuvent poser d’autres défis en matière de protection des données. »

Le concept d’« xpplicabilit » dans l’IA est particulièrement intéressant pour l’OIC. L’orientation se poursuit : « En collaboration avec l’Institut Alan Turing, nous avons produit des conseils sur la meilleure façon d’expliquer leur utilisation de l’IA aux individus. Il en est résulté que la Expliquer les décisions prises avec l’IA d’orientation, qui a été publié en mai 2020 ».

Les directives contiennent des commentaires sur la distinction entre un « ontrôl » et un « ontectio ». Il indique que « les organisations qui déterminent les buts et les moyens de traitement seront des contrôleurs indépendamment de la façon dont ils sont décrits dans tout contrat concernant les services de traitement ».

Cela pourrait être potentiellement pertinent à la controverse entourant l’implication de la société américaine d’analyse de données Palantir dans le projet NHS Data Store, où a été souligné à plusieurs reprises que le fournisseur est simplement un processeur et non un contrôleur – qui est le NHS dans cette relation contractuelle.

Données biaisées

Le guidance discute également de questions telles que les biais dans les ensembles de données conduisant à des IA prenant des décisions biaisées, et offre ce conseil, entre autres conseils: « Dans les cas de données de formation déséquilibrées, il peut être possible de l’équilibrer en ajoutant ou en supprimant des données sur les sous-ensembles sous-représentés ou surreprésentés de la population (par exemple, en ajoutant plus de points de données sur les demandes de prêt des femmes).

« Dans les cas où les données de formation reflètent la discrimination passée, vous pouvez soit modifier les données, modifier le processus d’apprentissage, soit modifier le modèle après la formation ».

Simon McDougall, sous-commissaire à l’innovation et à la technologie réglementaires à l’OIC, a déclaré à propos des lignes directrices : « Comprendre comment évaluer le respect des principes de protection des données peut être difficile dans le contexte de l’IA. Des risques exacerbés, parfois nouveaux, pour la sécurité qui découlent de l’utilisation des systèmes d’IA, au risque de discrimination et de biais dans les données. Il est difficile pour les spécialistes de la technologie et les experts en conformité de naviguer leur chemin vers des systèmes d’IA conformes et réalisables.

« Les lignes directrices contiennent des recommandations sur les meilleures pratiques et les mesures techniques que les organisations peuvent utiliser pour atténuer les risques causés ou exacerbés par l’utilisation de cette technologie. Elle reflète les pratiques actuelles en matière d’IA et est pratiquement applicable.

Continue Reading
Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Technologie

Un bug de code tiers a laissé les utilisateurs d’Instagram à risque de reprise de compte

Published

on


Les équipes de sécurité de Check Point et Facebook ont mis en évidence les dangers de s’appuyer sur le code tiers dans le processus de développement après la divulgation d’une vulnérabilité critique d’exécution de code distant (RCE) dans la plate-forme de partage de photos Instagram, qui aurait pu permettre aux acteurs malveillants de prendre le contrôle de l’Instagram de leur victime et de transformer leur appareil en un outil d’espionnage.

Assigné CVE-2020-1895, la vulnérabilité est décrite par Facebook comme un débordement entier conduisant à un débordement de mémoire tampon tas, et existait au sein de Mozjpeg, un décodeur JPEG open source, tiers utilisé dans Instagram pour télécharger des images sur l’application. Il a été corrigé il ya six mois, mais est seulement divulgué maintenant que suffisamment d’utilisateurs ont, nous l’espérons mis à jour leurs applications pour atténuer son impact.

Si un utilisateur d’Instagram avait enregistré une image malveillante envoyée par e-mail, WhatsApp ou SMS, puis ouvert l’application Instagram, l’exploitation aurait été déclenchée, donnant à l’attaquant un accès complet aux messages et images de la victime, lui permettant de publier ou de supprimer des images sur Instagram, et d’accéder à d’autres fonctionnalités du téléphone, y compris les données de localisation, les contacts téléphoniques et les médias stockés. Il aurait également pu être utilisé pour bloquer l’installation de la victime d’Instagram, leur refusant l’accès à elle et les forçant à supprimer et à réinstaller.

Yaniv Balmas de Check Point, responsable de la cyber-recherche, a mis en garde les développeurs contre les risques liés à l’utilisation de bibliothèques de code tierces comme Mozjpeg sans les vérifier minutieusement pour les bogues. Il a souligné que s’il est courant de gagner du temps dans le processus de développement en utilisant du code tiers pour gérer des tâches communes telles que le traitement de l’image et du son, ce code peut souvent contenir des bogues qui introduisent des vulnérabilités plus graves dans le produit final.

« Les bibliothèques de codes tierces peuvent constituer une menace sérieuse. Nous exhortons vivement les développeurs d’applications logicielles à vérifier les bibliothèques de code tierces qu’ils utilisent pour construire leurs infrastructures d’applications et s’assurer que leur intégration se fait correctement », a déclaré Balmas.

« e code tiers est utilisé dans pratiquement toutes les applications là-bas, et il est très facile de passer à côté des menaces graves intégrées dans elle. Aujourd’hui, c’est Instagram, demain – qui sait? »

Balmas a déclaré que les utilisateurs finaux pourraient également se protéger en prenant le temps de vérifier les autorisations d’une application comme Instagram a sur leur appareil. Bien que cela puisse sembler un fardeau, il est également l’un des mécanismes de défense les plus forts disponibles pour l’utilisateur moyen de l’application.

« Je conseillerais à tout le monde de prendre une minute et de réfléchir, est-ce que je veux vraiment donner à cette application l’accès à mon appareil photo, à mon microphone, et ainsi de suite? » a-t-il dit.

Balmas a également exhorté les gens à mettre à jour régulièrement leurs applications mobiles et leurs systèmes d’exploitation mobiles, soulignant que des correctifs de sécurité souvent critiques sont expédiés dans de telles mises à jour tout le temps.

Un porte-parole de Facebook a déclaré: « Nous avons résolu le problème et n’ont pas vu de preuves d’abus. Nous sommes reconnaissants de l’aide de Check Point pour assurer la sécurité d’Instagram.

Commentant la divulgation, Stuart Sharp, vice-président des services techniques de OneLogin, a déclaré : « Cette vulnérabilité montre à quel point nos comptes en ligne sont vulnérables. En permettant l’accès à distance à un compte Instagram, les attaquants pourraient l’utiliser à n’importe quel but qu’ils souhaitent, y compris le chantage ou le compromis de grands profils ou des comptes Instagram d’entreprise. Instagram doit travailler le plus rapidement possible pour corriger cette vulnérabilité. »

Il a soutenu que la divulgation d’une telle vulnérabilité devrait inciter tout fournisseur de services, comme Facebook, à « retourner à la table à dessin » et à repenser son approche de la sécurité pendant le processus de développement.

Javvad Malik, défenseur de la sensibilisation à la sécurité à KnowBe4 a décrit la vulnérabilité comme à la fois intéressante et inquiétante, compte tenu de la quantité d’informations sensibles que les comptes de médias sociaux peuvent contenir.

« Our cette attaque particulière, une image doit être envoyée à une cible et enregistrée sur son téléphone. Par conséquent, l’une des meilleures façons de se défendre contre cela serait que les gens se méfient des images entrantes, en particulier de la part de parties inconnues. Il est répandu que le téléphone de Jeff Bezos a également été compromise en raison de la réception d’une vidéo malware lacé via WhatsApp », at-il dit.

« Les utilisateurs peuvent également désactiver l’enregistrement automatique des images reçues via les médias sociaux tels que WhatsApp. Pour les influenceurs, ou les gestionnaires de marque qui utilisent Instagram ou d’autres médias sociaux à titre professionnel, il vaut la peine d’envisager d’utiliser des appareils distincts pour le travail et les utilisations personnelles des médias sociaux. Cela s’appliquerait non seulement aux influenceurs et aux célébrités eux-mêmes, mais aussi à tout le personnel qui les soutient et qui a accès à leurs comptes », a ajouté Malik.

CL’équipe de recherche de Heck Point a publié en ligne tous les détails techniques sur CVE-2020-1895. Ils ont noté que le bug Instagram était probablement « la pointe de l’iceberg » quand il s’agissait de Mozjpeg.

« Le projet basé sur Mozilla est encore largement utilisé dans de nombreux autres projets sur le web, en particulier Firefox, et il est également largement utilisé dans le cadre de différents projets open-source populaires tels que le projet sharp et libvips », ont déclaré les chercheurs de Check Point.

Continue Reading

Technologie

CyrusOne s’engage à devenir un fournisseur neutre en carbone d’ici 2040

Published

on


CyrusOne est devenu le dernier géant de la colocation à établir des plans pour réduire les émissions de carbone générées par son portefeuille mondial de centres de données.

L’entreprise, qui exploite plus de 50 centres de données à travers le monde, s’est publiquement engagée à devenir une organisation neutre en carbone d’ici 2040 afin de s’assurer que la croissance continue de l’entreprise ne se fasse pas au détriment de l’environnement.

À ce stade, CyrusOne a déclaré qu’il prévoit d’augmenter la quantité d’énergie renouvelable qu’il utilise pour alimenter ses installations, tout en se lançant dans une série de mises à niveau axées sur la durabilité de l’équipement à travers ses sites existants, tout en veillant à ce que toute nouvelle construction sont conçus avec l’efficacité énergétique à l’esprit.

« Comme CyrusOne se développe sur de nouveaux marchés, la société se concentre sur l’achat d’énergies renouvelables, l’exploitation de l’énergie verte et l’intégration de composants de conception durable pour toutes les installations », a déclaré l’organisation dans un communiqué décrivant son engagement.

« Dans les endroits existants, CyrusOne évalue stratégiquement les mises à niveau et les technologies qui réduisent l’intensité du carbone et ajoutent de l’énergie renouvelable au réseau, tout en restant rentable pour répondre aux besoins des clients. »

Ces initiatives seront suivies de la publication de la toute première Rapport sur la durabilité en octobre 2020, l’entreprise a confirmé.

Elle a déjà fait quelques pas vers l’amélioration de la durabilité de ses activités, l’entreprise confirmant en 2019 que ses trois datacentres londoniens fonctionnent exclusivement sur les énergies renouvelables, dans le cadre d’une campagne visant à répondre aux besoins d’infrastructure de ses clients d’une manière plus durable.

À ce stade, Bruce Duncan, président et chef de la direction de CyrusOne, a déclaré que l’engagement de 2040 neutre en carbone est également une preuve de son engagement à aider ses clients à améliorer la durabilité de leurs opérations aussi.

« S’engager à devenir neutre en carbone au cours des 20 prochaines années est une étape importante dans notre mission d’accroître nos efforts mondiaux de durabilité et d’aider les clients à atteindre leurs objectifs de durabilité », a-t-il déclaré.

« Nous reconnaissons la durabilité comme une priorité à l’échelle de l’entreprise et nous nous efforçons de réduire notre empreinte environnementale. »

La nouvelle de l’engagement de CyrusOne en matière de réduction des émissions de carbone fait suite à l’annonce par un autre colocation Digital Realty en mai 2020 au sujet de ses plans de doublement sur la durabilité en se lançant dans un vaste ensemble de travaux visant à réduire ses émissions d’ici 2030.

Dans le cas de Digital Realty, il prévoit de suivre l’Initiative d’objectifs scientifiques (SBTI) soutenue par les Nations Unies, qui verra elle fixer une série d’objectifs de durabilité visant à réduire ses émissions de carbone aux niveaux nécessaires pour maintenir le réchauffement climatique en dessous de 2 °C, par rapport aux niveaux préindustriels.

Le secteur des centres de données, dans son ensemble, a constaté que son utilisation des énergies renouvelables et ses antécédents en matière de durabilité ont fait l’objet d’un examen minutieux au cours des dernières années de la part des organismes de réglementation, des lobbyistes et des gouvernements, par crainte du coût de sa croissance sur l’environnement.

Cela, à son tour, a vu les entreprises de cloud hyperscale, les fournisseurs de services Internet et les entreprises de colocation tous prendre des engagements publics pour alimenter leurs installations en utilisant des sources d’énergie durables, et de mieux utiliser les déchets générés par leurs opérations.

Continue Reading

Technologie

Le fondateur de WikiLeaks Julian Assange a le syndrome d’Asperger et le tribunal de dépression entend

Published

on


Julian Assange a été diagnostiqué avec le syndrome d’Asperger, dépression sévère, et a d’autres problèmes de santé mentale qui le mettent à risque de suicide, le tribunal a entendu.

Julian Assange est à haut risque de suicide s’il est extradé vers les experts médicaux américains a déclaré au cours de deux jours d’audiences à l’Old Bailey.

La santé mentale d’Assange et le risque de suicide sont l’un des principaux facteurs qui détermineront si le fondateur de WikiLeaks peut être extradé vers les États-Unis.

Dans deux cas de précédent, le Royaume-Uni a refusé l’extradition de Gary McKinnon en 2012 et Lauri Love en 2018 pour faire face à des accusations de piratage aux États-Unis au motif qu’ils avaient le syndrome d’Asperger et la dépression – des conditions qui les mettraient à risque de suicide.

Au cours des deux derniers jours, des experts médicaux ont déclaré à l’Old Bailey qu’Assange souffrait de dépression et d’autisme et qu’il courait un risque élevé de suicide si le tribunal ordonnait son extradition vers une prison américaine.

Assange a été inculpé de 17 chefs d’accusation en vertu de la loi américaine sur l’espionnage et d’une accusation en vertu de la Loi américaine sur la fraude informatique et les abus, après avoir reçu des centaines de milliers de documents gouvernementaux divulgués de l’ancienne soldate américaine Chelsea Manning.

Le fondateur de WikiLeaks fait face à d’autres allégations selon lesquelles il a conspiré avec des pirates informatiques pour les encourager à obtenir des documents secrets du gouvernement américain.

Syndrome d’Asperger

Prenant la parole mercredi, Quinton Deeley, un psychiatre consultant du NHS, a déclaré qu’il avait diagnostiqué Assange avec le syndrome d’Asperger.

Deeley a diagnostiqué la condition après avoir observé Assange terminer un test de deux heures en Janvier et six heures d’entrevues téléphoniques avec Assange en Juillet 2020.

Il a dit qu’Assange était une personne intelligente, avec une capacité d’analyse des systèmes de pensée et de compréhension, mais avait de la difficulté à comprendre les autres.

« Vec délibération, il peut se résoudre à comprendre ce que les autres pensent et ressentent, mais dans son expérience quotidienne, il est inconscient », a-t-il déclaré à la cour.

Le psychiatre a déclaré à la cour que le syndrome d’Asperger d’Assange, signifiait qu’il ruminait sur des questions obsessionnelles, et combiné avec ses antécédents de dépression, serait à haut risque de suicide s’il faisait face à l’extradition vers une prison américaine.

« C’est un résultat qu’il craint, un résultat qu’il redoute », a déclaré Deeley. « l a toujours dit qu’il trouverait que c’était une épreuve insupportable. »

« La réalité de la situation est que les gens qui sont déterminés à se suicider vont se suicider », a-t-il déclaré au tribunal.

James Lewis QC pour l’accusation a demandé à Deeley s’il était au courant qu’Assange était l’hôte d’une émission de télévision en 2012, et s’est engagé dans un « échange de conversation » au Frontline Club pour les journalistes en 2010.

Lorsqu’une vidéo du club Frontline a été diffusée au tribunal, Deeley a déclaré qu’Assange avait présenté un « monologue impressionnant » sur un sujet dans lequelle il est expert, mais qu’il a trouvé l’interaction spontanée plus difficile.

Assange avait montré des indications de l’autisme comme un enfant, y compris une préférence pour le jeu solitaire et comme un adolescent développé l’amitié avec un petit nombre de « geek » des gens qui partageaient son intérêt pour l’informatique, a déclaré Deeley.

Le psychiatre a interrogé un ami d’Assange d’Australie qui lui a dit que Assange se comportait souvent de façon inhabituelle.

Il était normal pour lui d’aller dans les cafés et déplacer les chaises autour, d’aller derrière le bar pour changer la musique à quelque chose qu’il aimait ou de prendre une photo du mur pour le regarder.

Il ne pouvait pas gérer les petites conversations, parler de football ou de la météo. Il parlait sur les gens, les interrompait et coupait les gens – non pas parce qu’il était arrogant, mais parce qu’il avait une pensée et qu’il voulait l’exprimer.

Deeley a dit qu’il semblait y avoir une histoire de trouble du spectre autistique dans l’histoire familiale d’Assange.

Sa mère s’est identifiée comme « sur le spectre » et sa grand-mère s’est isolée dans sa chambre pour apprendre le latin.

Hallucinations auditives

Michael Kopelman, chef de la neuropsychiatrie au King’s College de Londres a déclaré que Assange avait l’autisme, des épisodes de dépression et a eu des hallucinations auditives.

« Pour autant qu’un psychiatre puisse dire, le risque de suicide si l’extradition se produit est très élevé », a déclaré Kopelman à la cour.

En témoignant mardi, Kopelman, a déclaré Assange avait rédigé un testament et a avoué à un prêtre catholique qui lui a donné l’absolution.

Le tribunal a appris qu’Assange avait été trouvé en possession d’un grand nombre de paracétamol et qu’il avait été accusé de possession d’une lame de rasoir dans sa cellule de la prison de Belmarsh, dans le sud-est de Londres.

À une autre occasion, Assange a déclaré qu’il avait une « expérience de mort imminente ».

Malingering

James Lewis QC pour la poursuite a pressé Kopelman s’il avait l’expérience de repérer les prisonniers qui étaient malsering ou exagérer leurs symptômes.

Kopelman a déclaré: « e suis très bien conscient en tant que quelqu’un qui a fait beaucoup de cas de la possibilité de malingering et j’étais au courant de cela dans ce cas, » .

L’avocat de l’accusation a demandé à Kopelman pourquoi il n’avait pas mentionné dans son rapport qu’Assange avait lu le British Medical Journal.

Il a déclaré que Kopleman n’avait pas inclus des éléments enregistrés dans les notes d’Assange, y compris des exemples étaient Assange semblait détendu et avait nié l’automutilation, dans son rapport médical.

Kopelman a dit qu’il essayait d’écrire un résumé pour la cour, et que son rapport était plus complet que celui d’autres experts médicaux dans l’affaire.

« J’ai inclus des choses qu’il dit qui sont positives au sujet de sa santé mentale et des choses qui sont négatives. Je n’ai pas tout inclus », a-t-il dit.

L’affaire continue.

Continue Reading

Trending