PolySécure Podcast

Follow PolySécure Podcast
Share on
Copy link to clipboard

Podcast francophone sur la cybersécurité. Pour professionels et curieux.

Nicolas-Loïc Fortin et le Polysecure crew


    • Jun 24, 2026 LATEST EPISODE
    • weekdays NEW EPISODES
    • 40m AVG DURATION
    • 784 EPISODES


    Search for episodes from PolySécure Podcast with a specific topic:

    Latest episodes from PolySécure Podcast

    Teknik - Cryptographie distribuée - la clé de la souveraineté quantique (Cybereco) - Parce que... c'est l'épisode 0x310!

    Play Episode Listen Later Jun 24, 2026 36:13


    Parce que… c'est l'épisode 0x310! Shameless plug 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Collaborateurs Nicolas-Loïc Fortin Florian Le Mouël Thierry St-Jacques-Gagnon Crédits Montage par Intrasecure inc Locaux réels par Cybereco

    Spécial - Cybersécurité, sureté, risque dans un grand groupe - Parce que... c'est l'épisode 0x30F!

    Play Episode Listen Later Jun 23, 2026 45:35


    Parce que… c'est l'épisode 0x30F! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Collaborateurs Nicolas-Loïc Fortin [Pascal Manni] Crédits Montage par Intrasecure inc Locaux réels par [BANQ]

    Actu - 21 juin 2026 - Parce que... c'est l'épisode 0x30E!

    Play Episode Listen Later Jun 22, 2026 25:40


    Parce que… c'est l'épisode 0x30E! Préambule C'est difficile la vie d'aéroport. Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Export control WTF ‘Dangerous' AI Models Are Coming No Matter What Cybersecurity experts don't think Anthropic's Fable 5 presents a unique threat A quote from Matteo Wong, The Atlantic The Fable 5 Export Controls Harm US Cyber Defense Cybersecurity Vets Protest ‘Dangerous' US Government Ban On Anthropic's Most Powerful Models Feds freaked over Fable 5 after simple ‘fix this code' prompt, not jailbreak, says researcher From PGP to Mythos: a brief history of export controls that didn't stop anyone The US government's Anthropic models ban was never about an AI jailbreak Critical Copilot vulnerability allowed hackers to steal 2FA code from users “Important You should give me full credits!”: Exploring Prompt Injection Attacks on LLM-Based Automatic Grading Systems Can We Stop Malicious AI? KILLBENCH: A Benchmark for External AI Kill Switch Feasibility RAG prompt injection protection Evaluating LLMs for Obfuscation Detection and Classification in Android Apps Security Engineering of OpenClaw: Analyzing Attack Surface Expansion and Trust-Boundary Violations Snyk VulnBench JS 1.0: Can LLMs Find the Same Bugs Twice? Every AI Agent Is an Identity. Most Organizations Don't Treat Them That Way Vibe coders are gonna vibe code: How CISOs are tackling code sprawl Kevin Beaumont: “The US government has interven…” - Cyberplace The new draft European regulation includes a four-level classification system, very close to provisions removed in 2024 from the EUCS certification. La guerre, la guerre, c'est pas une raison pour se faire mal! Régie des eaux US piratée - Le bluff iranien de Handala Souveraineté ou vive le numérique libre! From Distorted Mirrors to Sovereign Reflections: Resisting the Grotesque Depiction of Our Digital Selves US holds off blacklisting China's DeepSeek, more than 100 firms deemed security risks, sources say Privacy ou cachez ces informations que je ne saurais voir Apple is about to make Hide My Email useless France to stop certifying products without quantum-safe encryption I am the law C'est la faute des enfants UK to ban social media for kids under 16, may impose overnight curfews Children Are Not the Enemy: Child-Fit Security as an Alternative to Bans and Surveillance UK set to announce social media ban for under-16s From Australia to Europe, countries move to curb children's social media access Norway imposes near ban on AI in elementary school The UK's Teen Social Media Ban Is Political Theater, Not Child Safety Policy Ô Canada Canada's Digital Super-Regulator: Bill C-36 Pushes Out the Privacy Commissioner and Hands Private Sector Privacy to an Overloaded Commission Midnight Madness: The Government Rushes Lawful Access Bill Through the House Without Debate or a Recorded Vote The Commission: How Bill C-34 Creates an Internet Super-Regulator That Will Touch the Lives of Millions of Canadians Red ou tout ce qui est brisé Massive breach spills credentials for thousands of sensitive networks FortiBleed — 75k Fortinet firewalls have admin passwords cracked The Internet Runs on Names India temporarily blocks Telegram over medical exam cheating fears Telegram admits it couldn't police exam-leak channels, India tells court 27-Year-Old OpenBSD Vulnerability Allows Attackers to Bypass PAP Authentication Entirely Microsoft Confirms Defender RoguePlanet 0-Day Exploit and Working to Release Patch New iPhone BootROM Vulnerability Exposes Apple SoCs to Full Chain-of-Trust Compromise When Does a Threat Intelligence IOC Expire? Most CISOs Report Pressure to Bury Bad Security News Stressors, AI Forcing Changes to Cybersecurity Teams I discovered a large-scale malware distribution on GitHub Microsoft Discovers Cryptocurrency Stealer That Spreads Through USB Drives and Uses Tor Crooks found a new way to collaborate using Teams – by hiding command-and-control traffic Cyber offenses now account for around a third of all crime across Asia and South Pacific Microsoft site throwing warnings after someone forgot to renew cert Blue ou tout ce qui améliore notre posture [curl summer of bliss daniel.haxx.se](https://daniel.haxx.se/blog/2026/06/15/curl-summer-of-bliss/) Divers ou parce que j'ai aucune idée où les placer AMD FTW Users cry foul after AMD stripped memory crypto from its consumer CPUs AMD will reinstate memory encryption on Ryzen 9000 CPUs through a BIOS update in July — TSME is coming back after ‘valuable community feedback' Cabal How the Peter Thiel-Linked Dialog Club Secretly Ranks Its Members Leak Exposes Members of Peter Thiel's Secretive ‘Dialog' Society Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par YUL

    Teknik - Panel nsec 2026 - Parce que... c'est l'épisode 0x30D!

    Play Episode Listen Later Jun 18, 2026 51:27


    Parce que… c'est l'épisode 0x30D! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Collaborateurs Nicolas-Loïc Fortin François Labrèche François Proulx Charles F. Hamilton Christian Paquin Philippe Pépos Petitclerc Crédits Montage par Intrasecure inc Locaux réels par Northsec

    Spécial - L'IA au service de la cybersécurité - de l'optimisation à la transformation (Cybereco) - Parce que... c'est l'épisode 0x30C!

    Play Episode Listen Later Jun 17, 2026 32:52


    Parce que… c'est l'épisode 0x30C! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Dans cet épisode, je reçois Samuel Bonneau, venu présenter Cybereco la transformation profonde que son entreprise — une société de développement logiciel établie depuis quinze ans, qui intègre l'intelligence artificielle depuis huit ans — a opérée au cours de la dernière année. Contrairement à plusieurs entreprises qui se contentent d'un discours marketing autour de l'IA, l'organisation a réellement transformé ses façons de faire en profondeur. D'un objectif de 50 % à un changement de mentalité radical L'histoire débute par un objectif ambitieux fixé aux employés : devenir 50 % plus performants grâce à l'IA, sur une période d'un an. Plusieurs équipes ont dépassé largement cette cible en cours de route, ce qui a mené l'entreprise à revoir entièrement son approche. Samuel illustre ce changement par une analogie automobile : viser 50 % plus de vitesse revient à accélérer davantage avec le même véhicule, alors que viser une multiplication par dix ou vingt force à repenser entièrement le moyen de transport. C'est ce changement de paradigme — un mindset de croissance exponentielle plutôt qu'incrémentale — que l'entreprise a adopté, en parallèle de l'arrivée de modèles et d'outils de codage de plus en plus performants, dont Claude Code, qui a rapidement surpassé les outils utilisés jusque-là. Cette transformation ne s'est pas limitée aux équipes techniques : les ressources humaines, la finance et le reste du back-office ont aussi été intégrés, développant leurs propres flux de travail avec des agents, des compétences (skills) partagées entre équipes, et même de nouveaux outils et plateformes internes. Samuel souligne que la petite taille de l'équipe administrative et une culture d'innovation déjà bien ancrée ont facilité cette adoption, réalisée sur une période de trois à six mois pour la cinquantaine de personnes moins familières avec ces outils. Une urgence stratégique et des risques émergents Samuel explique que ce virage n'était pas optionnel : dans un domaine où l'IA évolue très rapidement, ne pas adopter ces outils aurait signifié perdre en pertinence face à des concurrents capables de développer plus vite et à moindre coût. Ce sentiment d'urgence (« do or die ») a guidé les décisions de l'entreprise. Or, cette accélération massive amène son lot de défis en cybersécurité. Les employés développant leurs propres agents et automatisations utilisent souvent leurs propres identifiants, ce qui peut devenir dangereux si ces agents ne sont pas correctement encadrés. Samuel cite l'exemple de la sandboxing des agents codeurs, un besoin pour lequel peu de solutions matures existaient sur le marché — l'outil le plus prometteur, Nvidia Open Shell, étant encore en préalpha, ce qui illustre bien le décalage entre la rapidité de l'innovation en IA et la maturité des outils de protection. Une plateforme cybersécurité développée à l'interne Face à ce constat, l'équipe a bâti sa propre plateforme de cybersécurité, intégrée à un robot Slack déjà utilisé pour les demandes liées à la sécurité. Cette plateforme analyse automatiquement les demandes d'utilisation d'outils ou de compétences (skills) externes, attribue des scores de risque et permet d'approuver ou de rejeter les requêtes. Plutôt que de gérer cela à travers du code traditionnel, l'équipe travaille désormais par spécifications : il suffit de modifier les spécifications fonctionnelles pour que le système se régénère avec les nouvelles règles, par exemple en ajoutant un critère lié à la localisation des données. L'élément le plus distinctif de cette plateforme est sa capacité à puiser dans toute la documentation interne d'un projet client — transcriptions de réunions, documents de conception, échanges — afin de déterminer automatiquement le niveau de criticité, les enjeux de disponibilité et les risques associés à un système avant même son développement. Cette information alimente ensuite la génération de spécifications de sécurité sur mesure, adaptées au contexte d'affaires réel du client plutôt qu'à des standards génériques. Encadrer les agents : god rails et supervision Une partie importante de l'entretien porte sur la façon de limiter les comportements destructeurs que pourraient avoir des agents autonomes. Samuel explique que chaque agent développé par l'entreprise comporte une douzaine de composantes, dont des mécanismes de garde-fous (« god rails ») qui valident que son comportement reste dans les limites prévues. Il illustre cela avec l'exemple d'un agent d'intégration des nouveaux employés (onboarding), qui ne doit jamais pouvoir exécuter des actions de désactivation de comptes (offboarding), même s'il possède techniquement les droits nécessaires pour créer des comptes. Un agent superviseur additionnel surveille les actions des agents opérationnels pour détecter et bloquer tout comportement anormal. Cette approche de décomposition en agents très spécialisés, plutôt qu'en un seul agent polyvalent, réduit non seulement les risques d'erreurs ou d'hallucinations liées à une fenêtre de contexte trop chargée, mais permet aussi de réduire les coûts en tokens en choisissant des modèles adaptés à la complexité réelle de chaque tâche. Choix des modèles et expertise interne L'entreprise s'appuie sur une équipe d'une quarantaine de spécialistes en IA, plusieurs détenant un doctorat, qui combinent rigueur scientifique et application concrète (programmation, entraînement et ajustement de modèles). Leur rôle a évolué : alors qu'ils entraînaient autrefois des modèles sur des infrastructures dédiées, ils se concentrent aujourd'hui davantage sur le choix du modèle optimal selon le contexte, qu'il soit local ou hébergé via une API externe, agissant essentiellement comme un routeur intelligent entre différents modèles de langage. Vers la commercialisation et les prochains défis Développée depuis janvier, la plateforme interne sert déjà à la fois à protéger l'entreprise et à soutenir des contrats clients de longue durée. Samuel évoque un potentiel de commercialisation, possiblement sous forme de produit en mode SaaS, déjà testé auprès de grands clients déployant des systèmes agentiques complexes. En clôture, Samuel partage sa vision des prochains défis : l'arrivée de robots humanoïdes en milieu industriel, déjà amorcée chez certains clients, qui posera de nouveaux enjeux de sécurité et de sûreté (safety) lorsque ces robots, connectés à des systèmes intelligents, devront être encadrés pour éviter des actions dangereuses. L'entreprise prévoit relancer une division spécialisée pour anticiper cette vague, prévue dans un horizon de deux à cinq ans. Collaborateurs Nicolas-Loïc Fortin Samuel Bonneau Crédits Montage par Intrasecure inc Locaux réels par Cybereco

    Le marché dérégulé selon Cyber Citoyen et Polysécure - Parce que... c'est l'épisode 0x30B!

    Play Episode Listen Later Jun 16, 2026 61:32


    Parce que… c'est l'épisode 0x30B! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Dans cette 17e collaboration entre les balados Cyber Citoyen et Polysécure, Catherine anime la discussion avec Sam et Nicolas autour de quatre grands thèmes : la surveillance étatique en Russie, les abus du système de surveillance routière Flock, une étude sur les noms de domaine malveillants et le couplage de cette tendance avec le phishing, et enfin une anecdote sur les véhicules de livraison Amazon. Le système Sorm en Russie Sam ouvre l'épisode en présentant le Sorm, un système russe de surveillance des communications téléphoniques et internet datant de 1995. Conçu au départ pour donner au FSB un accès direct aux infrastructures téléphoniques, il a été étendu en 1998 aux fournisseurs d'accès internet, puis intensifié autour des Jeux olympiques de Sochi sous prétexte sécuritaire. Les fournisseurs doivent installer cet équipement à leurs propres frais, ce qui pousse les petits opérateurs à résister, sous peine d'amendes ou de retrait de licence pendant dix ans. Le système permet désormais des recherches par mots-clés et centralise des données extrêmement sensibles : adresses, passeports, coordonnées bancaires, géolocalisation, adresses IP et courriels. Les intervenants soulignent le parallèle avec les pratiques américaines révélées par Snowden, et notent que cette intensification coïncide avec le mécontentement intérieur lié à la guerre en Ukraine. La discussion s'élargit aux blocages d'internet ailleurs (Iran, listes blanches), à la conférence SplinterNet sur la fragmentation du réseau mondial, puis à des tendances similaires dans les démocraties occidentales (Chat Control en Europe, le projet de loi C-2 au Canada, les lois britanniques), illustrant que l'identification obligatoire (numéros de téléphone, cartes SIM, interdiction des téléphones jetables aux États-Unis) n'est pas l'apanage des régimes autoritaires. Nicolas évoque aussi son expérience personnelle en Corée du Sud, où l'identité est systématiquement liée aux services numériques. Le segment se conclut sur l'inquiétude que cette centralisation des données personnelles russes constitue elle-même une cible de choix pour des puissances rivales, et sur le constat plus large d'une incompréhension généralisée des conséquences à long terme de ces choix technologiques. Les dérives du système Flock Nicolas revient ensuite sur Flock, le système de reconnaissance de plaques d'immatriculation, déjà abordé dans un épisode précédent. Grâce au site DeFlock, des citoyens ont découvert que leur plaque avait été recherchée des centaines de fois sans justification : un cas où un policier avait consulté la plaque d'une victime plus de cent fois, et un chef de police pris à espionner sa propre conjointe. La réponse de l'entreprise Flock, qui se targue de transparence plutôt que de reconnaître le problème, est jugée particulièrement maladroite, surtout après la révélation qu'une quarantaine de nouveaux cas d'abus ont été recensés en un seul mois. Les animateurs saluent le rôle du journalisme d'enquête (notamment celui de 404 Media) dans la mise en lumière de ces dérives, et comparent l'absence de garde-fous chez Flock aux systèmes d'alerte automatique utilisés dans les réseaux hospitaliers ou les agences gouvernementales, où une consultation anormale d'un dossier déclenche immédiatement une enquête. Le débat se conclut sur la question de savoir si cette absence de contrôle relève de l'incompétence ou d'un choix délibéré de ne pas investir dans la prévention des abus. Noms de domaine, phishing et marché de la fraude Sam présente ensuite une étude d'Interisle sur les noms de domaine enregistrés en 2025 : sur 85 millions de domaines créés, 8,5 millions ont fini bloqués pour usage frauduleux, soit un plancher d'environ 10 %, probablement plus proche de 15 à 20 % en réalité. Cinq bureaux d'enregistrement concentrent la moitié des domaines bloqués, l'un d'eux affichant un taux de 88 %, souvent via l'enregistrement automatisé en masse de domaines à très bas coût. Le groupe critique l'approche du rapport, trop centrée sur l'autorégulation du marché, alors qu'aucun mécanisme structurel n'empêche ces registraires de continuer leurs pratiques. L'exemple belge du CCB, qui bloque au niveau national les domaines jugés dangereux, est cité comme une approche plus efficace, comparable à une mesure de santé publique. La conversation aborde aussi la difficulté d'agir à l'échelle internationale, faute de coordination entre les autorités américaines et européennes. En lien avec ce sujet, Sam note une diminution du volume des attaques de phishing de 20 % en 2024 et 2025, non pas parce que la menace recule, mais parce que les attaquants privilégient désormais des campagnes plus sophistiquées et ciblées plutôt que des envois massifs peu rentables, une tendance facilitée par les outils d'intelligence artificielle générative. L'anecdote des camionnettes Amazon et la question de l'authenticité Le dernier sujet porte sur une mise à jour logicielle des camions de livraison Amazon qui coupe la climatisation après seulement trente secondes d'inactivité, exposant les chauffeurs à des chaleurs dangereuses, notamment au Texas. La réponse officielle d'Amazon, qui présente cette mesure comme un gain de confort et d'autonomie de batterie, est tournée en dérision par les animateurs, qui y voient un exemple typique d'absence d'accountability corporative. Cette anecdote sert de tremplin à une réflexion plus large sur le manque d'authenticité des communications d'entreprise contemporaines, illustrée par le retrait du slogan « Don't Be Evil » chez Google, et une brève mention du manifeste controversé du dirigeant de Palantir, sujet que le groupe prévoit de traiter dans un épisode futur dédié. Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    Actu - 14 juin 2026 - Parce que... c'est l'épisode 0x30A!

    Play Episode Listen Later Jun 15, 2026 48:25


    Parce que… c'est l'épisode 0x30A! Préambule Expérimentation avec une nouvelle approche d'enregistrer en itinérance. Le son n'est pas idéal, mais pas trop loin de l'objectif. Un nouvel essai aura lieu le 21 juin, où j'améliorerai l'approche pour atteindre une qualité suffisante en limitant la quantité de choses que j'apporte lorsque je suis en voyage. Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Fable ou fiction Claude Fable 5 Doesn't Change the Mythos Security Story Anthropic says these topics are too dangerous to let its Fable 5 model talk about Cybersecurity researchers aren't happy about the guardrails on Anthropic's Fable Il était une fois… l'export control ou la fable de l'accès universel Statement on the US government directive to suspend access to Fable 5 and Mythos 5 Anthropic Anthropic's Claude Fable 5 Alleged Jailbreak to Generate Stack Exploits Anthropic shuts down Fable, Mythos models following Trump admin directive Our response to the US ban on Fable 5 and Mythos 5 How Amazon and the White House ended Anthropic's Fable US ban on Anthropic's Fable 5 and Mythos 5 has ‘Amazon link': Researchers from Amazon used a series of prompts to … Tech Things: There is a massive shadow hanging over this Fable thing Lawsuit: ChatGPT validated suicidal woman's distrust of crisis lines Zcash - Une IA déniche en 24h une faille vieille de 4 ans Extracting Recurring Vulnerabilities from Black-Box LLM-Generated Software Friend or Foe? Language as an ideological switch in open-weight LLMs under Russian disinformation stress AI Code Sandboxes: A Comparative Security Study Part 1 of 2 — Engine-Level Properties (Attack Surface, Leakage, Stackability, CVE History, Patch Cadence, Fuzzing) Sample-Efficient LLM-Based Detection of Malicious Web Server Logs with Forensically Explainable Reasoning SecureClaw: Clawing Back Control of LLM Agents Security Risks of Apple's AI Changing Your Passwords Blame AI: Patch Tuesday Hits Record 206 CVEs Un ver informatique qui raisonne tout seul China-linked operators revive botnet, stir AI datacenter debate Are Frontier LLMs Ready for Cybersecurity? Evidence for Vertical Foundation Models from Dual-Mode Vulnerability Benchmarks Bypassing Prompt Guards in Production with Controlled-Release Prompting Mind your key: An Empirical Study of LLM API Credential Leakage in iOS Apps GenAI Is Both Hunter and Hunted at Pwn2Own Berlin 2026 La guerre, la guerre, c'est pas une raison pour se faire mal! Iran Signed a Ceasefire — Its Hackers Didn't The Strange Defeat of Nuclear Deterrence Souveraineté ou vive le numérique libre! Digital Sovereignty Becomes An Imperative As the US Reads Dutch Emails All the Ways Europe Is Ditching American Technology Euro-Office 1.0 Arrives To Open-Source Infighting: ‘Compatibility Is Not Sovereignty' Infineon to Open German Chip Fab as Part of EU Sovereignty Push AI Sovereignty: A Qualitative Model of Strategic Competition as AI Becomes an Instrument of National Power Canada: Artificial Intelligence as a Pillar of Digital Sovereignty - INCYBER NEWS Kevin Beaumont: “I'm on year 3 of trying to con…” - Cyberplace Germany

    PME - Reconnaitre le bias cognitif pour mieux se protéger - Parce que... c'est l'épisode 0x309!

    Play Episode Listen Later Jun 11, 2026 51:21


    Parce que… c'est l'épisode 0x309! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Collaborateurs Nicolas-Loïc Fortin Emeline Manson Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    Teknik - Doxxing-proof authentic digital media - trust the asset, protect the source (nsec) - Parce que... c'est l'épisode 0x308!

    Play Episode Listen Later Jun 10, 2026 40:34


    Parce que… c'est l'épisode 0x308! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Notes Doxxing-proof authentic digital media - trust the asset, protect the source Collaborateurs Nicolas-Loïc Fortin Christian Paquin Crédits Montage par Intrasecure inc Locaux réels par Northsec

    H'umain - Horizon 2030 - Le cerveau humain, nouvelle infrastructure critique de la cybersécurité (Cybreeco) - Parce que... c'est l'épisode 0x307!

    Play Episode Listen Later Jun 9, 2026 43:48


    Parce que… c'est l'épisode 0x307! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Collaborateurs Nicolas-Loïc Fortin Mélissa Canseliet Crédits Montage par Intrasecure inc Locaux réels par Cybereco

    Actu - 7 juin 2026 - Parce que... c'est l'épisode 0x306!

    Play Episode Listen Later Jun 8, 2026 48:57


    Parce que… c'est l'épisode 0x306! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Mythos Anthropic invites EU to access Mythos hacking tech Anthropic scales Claude Mythos to critical infrastructure in 15+ countries Anthropic Expands Project Glasswing Claude Mythos Preview to 150 New Organizations Kevin Beaumont: “Mythos is not great btw. Runni…” - Cyberplace Free AI model powers self-spreading worm in enterprise test network Instapassword Hackers Used Meta's AI Support Bot to Seize Instagram Accounts Instagram Meta AI Vulnerability Allegedly Enables Password Reset for Accounts Hackers duped Meta AI support chatbot to steal celebrity Instagram accounts Instagram Fixes Password Reset Flaw That Exposes User Emails and Phone Numbers Hackers Simply Asked Meta AI to Give Them Access to High-Profile Instagram Accounts. It Worked Kevin Beaumont: “How people hacked Meta account…” - Cyberplace Injecte moi ça ChatGPT for Google Sheets Exfiltrates Workbooks New Google Gemini Vulnerability Exploited via Prompt Injections from WhatsApp, Slack, and SMS New ChatGPT Lockdown Mode Limits Tools That Could Enable Data Exfiltration Irresponsable Florida sues OpenAI, Sam Altman after multiple ChatGPT-linked murders School shooting survivor sues AI gun detection firm after system failed to spot weapon AI Agents Get Their Own Directory Built Atop DNS Remove all LLM generated commits before people get hurt by this nonsense. · Issue #934 · RsyncProject/rsync Amazon Shuts Down Internal AI Leaderboard After Employees Cheated Open source project contains hidden instruction for “AI” agents: delete my code DOD wants to integrate cyber in all operations, and integrate security into AI Trump plan to test AI models has a problem—US security teams were gutted by DOGE Kevin Beaumont: “xAI have asked a court to stri…” - Cyberplace Commvault says it's time to rethink resiliency as AI crooks leave victims in a ‘dark, dead' state Attackers Use AI to Automate EDR Evasion Testing Pluralistic: Delusion as a service (04 Jun 2026) – Pluralistic: Daily links from Cory Doctorow These LLMs are the best at resisting Russian propaganda RAG Security and Privacy: Formalizing the Threat Model and Attack Surface From Attack Simulation to SIEM Rule: Deterministic Detection-as-Code Synthesis with Probe-Level Traceability Will the Agent Recuse Itself? Measuring LLM-Agent Compliance with In-Band Access-Deny Signals Critical Hugging Face Transformers Vulnerability Enables Remote Code Execution Attacks La guerre, la guerre, c'est pas une raison pour se faire mal! Iran-Linked Hackers Destroy IT, Backups, and Recovery Systems in Cyberattack targeting Middle East Pentagon raised threat of Israeli spying on U.S. to highest level, sources say Souveraineté ou vive le numérique libre! EU plots long game against US digital supremacy OSI welcomes the European Union's “Tech Sovereignty” package Cable lobby warns of chaos if FCC doesn't relax ban on foreign routers Privacy ou cachez ces informations que je ne saurais voir The Pentagon Finally Admits That Location Data Is a Battlefield Problem Age verification for social media – the beginning of the end for a free internet? Privacy isn't dead: it's just that tech companies have made it inconvenient Amazon-owned Ring should pay Americans for scanning their faces, lawsuit says Elon Musk tries again to escape FTC audits of X data handling I am the law Policy-Compliant Cloud Storage Systems GrapheneOS user reported to authorities for using GrapheneOS Red ou tout ce qui est brisé Cachez ce fiasco que j'ai fait Microsoft's Zero-Day Legal Threats Spark Backlash Microsoft Clarifies It Won't Sue Security Researchers Amid Nightmare-Eclipse Controversy Microsoft reaches for olive branch after public dustup with 0-day researcher Nightmare Eclipse incident shows the researcher-vendor fights may never fully go away Another bug hunter leaks Microsoft exploits in defiance of company's handling of vulnerability disclosures Microsoft MSRC Allegedly Dismissed Dependency Confusion Vulnerability, Claims Researcher Just LOL BIN BAS Kevin Beaumont: “Wake up babe, new lolbins and …” - Cyberplace Microsoft's Coreutils project brings Linux commands to Windows Microsoft Investigates MFA Setup Failure and MySigns-In Portal Outage Dozens of Red Hat packages backdoored through its official NPM channel Inspector general finds NIST mistakes have made vulnerability database ineffective Sur le serveur X.Org, neuf nouvelles failles de sécurité dont huit débusquées par une IA HTTP/2 Bomb : une mini-requête suffit pour faire tomber nginx, Apache ou IIS Blue ou tout ce qui améliore notre posture - An Analysis of GrapheneOS's Server Infrastructure - Android phones will soon be able to detect spoofed calls and impersonation scams - Kernel-Level Ground Truth: Why eBPF is Replacing User-Space Agents for Security Observability - Dashlane explains how attackers managed to download encrypted password vaults - Let's Encrypt Unveils Merkle Tree Certificates to Secure the Web Against Quantum Threats Divers ou parce que j'ai aucune idée où les placer - The Infosec Phrasebook - United Airlines Flight To Spain Pulls U-Turn Over Bluetooth Device Name - Cyber Insurance Rates Are Dropping, but Exclusions Widen - DNS is for people - not for IT infrastructure - The US Military Quietly Turned GPS Into a Global ‘Numbers Station,' Evidence Suggests - I led the 2014 U.S. CDC Ebola response. An action plan is needed now - Teen social media ban risks strengthening Big Tech dominance: Bluesky Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

    PME - Mythos ou pas mythos - Parce que... c'est l'épisode 0x305!

    Play Episode Listen Later Jun 4, 2026 16:41


    Parce que… c'est l'épisode 0x305! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Dans cet épisode, l'animateur réunit son trio composé de Cyndie Feltz, Nicholas Milot et Dominique Derrier pour discuter de Mythos, un sujet qui fait beaucoup les manchettes. D'entrée de jeu, l'équipe précise que l'important n'est pas tant Mythos en soi — entouré de beaucoup de bruit et de marketing — que la prise de conscience qu'il provoque : les modèles d'IA, qu'ils soient spectaculaires comme Mythos ou plus sobres comme Opus, marquent un changement de paradigme dans la découverte de vulnérabilités et dans la façon dont les attaquants opèrent. L'enjeu central pour les PME est simple : il deviendra encore plus facile de s'attaquer aux systèmes, alors que c'était déjà facile. Qu'est-ce que Mythos ? Pour ceux qui auraient « vécu sous une roche » ces dernières semaines, l'équipe explique le concept. Nous sommes à l'ère de l'IA et des LLM (large language models), capables de générer des images, de communiquer, de faire du « vibe coding ». Des chercheurs ont eu l'idée d'utiliser ces modèles pour découvrir des vulnérabilités dans les applications. En poussant le modèle, on obtient une puissance démultipliée — quoique coûteuse en tokens — capable d'analyser du code, de tester et de trouver les failles permettant de pénétrer les systèmes. Mythos est un modèle hautement spécialisé qui n'est pas encore réellement accessible au public; seules de grosses organisations et certains gouvernements peuvent y accéder. L'équipe évoque le fait qu'Anthropic l'utiliserait elle-même pour tester de grands projets open source, et mentionne un projet (« Glass Wind » ou similaire) regroupant de gros joueurs comme CrowdStrike, Amazon et Apple, qui utiliseraient Mythos pour sécuriser les systèmes. Un participant souligne avec ironie l'angle marketing : si l'outil était vraiment si dangereux, Anthropic n'en aurait simplement pas parlé et l'aurait gardé à l'interne. Un outil à double tranchant Les intervenants insistent : il s'agit avant tout d'un excellent outil d'analyse de code permettant de corriger des vulnérabilités. C'est précisément le travail quotidien de Nicholas et Cyndie. L'avantage d'une machine, c'est qu'elle ne dort pas la nuit ni les fins de semaine — elle fonctionne 24/7, sans relâche. L'exploit le plus médiatisé a été la découverte de vulnérabilités dans le navigateur Firefox, des failles qu'un humain n'aurait peut-être pas trouvées dans un temps ou avec une logique humaine. Un point technique crucial est soulevé : Mythos n'est pas un outil « point and shoot ». Il ne suffit pas de pointer une URL pour faire pirater une application. Il faut fournir le code source de l'application. C'est une nuance importante, d'autant que bien des organisations — voire des gouvernements — ne savent même pas où se trouve leur propre code source. L'équipe reste honnête : en mai 2026, leur propre métier de recherche de failles repose déjà sur l'IA, tout en conservant un volet manuel. Ils perfectionnent leurs propres outils. Et les acteurs malveillants, moins scrupuleux, font exactement la même chose. C'est là le vrai message : l'IA va faciliter et accélérer les attaques. L'aspect positif demeure : connaître ces vulnérabilités permet de les corriger et de produire du code plus sécuritaire. La fondation Mozilla profite ainsi du travail effectué, et personne ne peut s'opposer à du code plus solide — surtout pour un navigateur, qui constitue notre principale porte d'entrée vers Internet. La limite des humains et des machines Preuve que l'IA ne remplace pas tout : Anthropic a justement lancé un programme de bug bounty cette semaine. À la question « pourquoi ne pas simplement utiliser Mythos? », la réponse est que le modèle n'est pas encore capable de trouver tous les bugs qu'un humain détecterait, et vice versa. L'humain et l'IA ne perçoivent pas le code ni l'application de la même manière. L'impact pour les PME Faut-il paniquer? Non, mais il faut accélérer. Le mantra d'hygiène de base en cybersécurité reste valable, mais doit devenir plus strict. Il faut accélérer les déploiements et l'application des correctifs. D'autres modèles arriveront, possiblement bon marché (un « DeepSeek » de la vulnérabilité), donc la pression de correction touchera toutes les entreprises. Les notions d'inventaire, de mise à jour et d'application des correctifs deviennent incontournables : on ne pourra plus dire « on sait qu'on a des portes ouvertes et on vivra avec ça. » Les intervenants notent toutefois avec lucidité que beaucoup de clients peinaient déjà à maintenir un inventaire à jour et à gérer leur programme de vulnérabilités, avec des outils comme Tenable. S'exciter pour Mythos sans d'abord régler ces bases serait contre-productif. Il faut prendre le dessus sur ses vulnérabilités actuelles et tenir un inventaire d'actifs à jour avant même de songer à utiliser ce type d'outil. Cette hygiène n'est plus optionnelle : sans elle, impossible de sortir la tête de l'eau. Et dès qu'une vulnérabilité reçoit un nom médiatisé — comme Heartbleed ou Dirty COW —, on ne peut plus l'ignorer : sinon, c'est le patron ou les clients qui exigeront une action. L'analogie finale L'animateur propose une analogie : avant, les voleurs d'autos étaient peu nombreux dans un quartier tranquille. Aujourd'hui, votre voiture se trouve dans un quartier chaud où de nombreux voleurs potentiels circulent. Vous n'êtes pas mieux protégé, mais votre risque augmente fortement. La priorité n'est plus de craindre les outils sophistiqués, mais de commencer par verrouiller ses portes. L'équipe conclut que, là où l'on connaissait peut-être un incident par année, on risque désormais un incident par mois sans une hygiène suffisante. Le message final : verrouillez vos portes, car vous n'avez plus le choix. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    Teknik - A systematic approach to evading antivirus software - Parce que... c'est l'épisode 0x304!

    Play Episode Listen Later Jun 3, 2026 37:55


    Parce que… c'est l'épisode 0x304! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Notes A systematic approach to evading antivirus software Collaborateurs Nicolas-Loïc Fortin Philippe Pépos Petitclerc Crédits Montage par Intrasecure inc Locaux réels par NorthSec éléments de cadrage. Premièrement, la modernité : on ne parle plus vraiment d'antivirus mais d'EDR (Endpoint Detection and Response). Selon lui, l'antivirus a été fusionné dans le concept d'EDR, qui correspond à un antivirus auquel s'ajoutent des capacités de télémétrie, de visibilité et de réponse pour les équipes de défense (Blue Team). Deuxièmement, pour rendre la recherche constructive comme première étude dans ce domaine, il a mis de côté les modèles statistiques pour se concentrer d'abord sur les moteurs déterministes, c'est-à-dire ceux dont le résultat est certain (par exemple, chercher un hash précis dans un fichier). Capacités versus signatures Pour généraliser son approche, Philippe travaille avec un « AV générique » plutôt qu'un produit en particulier, l'objectif étant de bâtir un plan d'évasion applicable à n'importe quel antivirus rencontré. Il introduit une distinction centrale : la capacité de détection, qu'il décompose en « une analyse plus une raison ou une façon de regarder ». Il compare cela aux signatures : la signature, c'est ce qu'on cherche (par exemple le hash lui-même), tandis que la capacité, c'est comment et où on le cherche. Hacher un fichier et comparer le résultat constitue une capacité ; le hash recherché est la signature. Construire l'inventaire des capacités Pour cartographier ces capacités, Philippe a combiné deux sources. D'une part, la littérature scientifique sur les techniques de détection, abondante, bien qu'on ignore lesquelles ont réellement été adoptées dans les produits commerciaux (beaucoup relèvent du secret industriel, difficile à citer en recherche académique). D'autre part, l'observation des techniques d'évasion utilisées « in the wild », même non documentées sérieusement, car leur popularité révèle indirectement quelles détections fonctionnent vraiment. Il a ensuite classifié ces capacités selon les mêmes principes que l'analyse de programme classique, produisant une arborescence où chaque technique s'inscrit dans des classes successives, ce qui permet de « couper des branches » pour identifier précisément la méthode en jeu — une démarche qu'il rapproche de la philosophie d'ATT&CK. La cartographie statique et dynamique La cartographie se divise en deux grandes catégories. Les analyses statiques examinent un fichier sur disque sans l'exécuter : hashes, recherche de séquences d'octets (avec ou sans « trous »), reconstruction d'information sémantique comme un graphe de flot de contrôle (CFG), ou simple analyse de chaînes de caractères. Ces analyses « cheap » sont fréquentes mais faciles à évader, car l'apparence d'un fichier se modifie aisément. Les analyses dynamiques se subdivisent entre le virtuel (sandbox, émulation, dans un faux système) et le concret (sur le vrai système). On y trouve le traçage d'appels de fonction, le hooking, et la réapplication de détections statiques à des moments clés — puisque scanner la mémoire est coûteux, l'antivirus utilise des déclencheurs pour choisir quand inspecter. Philippe souligne cet effort d'économie de ressources inhérent à chaque implémentation. La technique du « probing » Une contribution importante est le probing (sondage) : on teste un programme, on le modifie légèrement, puis on le reteste pour comparer les détections. Si le programme part non détecté, il peut rester non détecté ou le devenir. S'il part détecté, trois issues sont possibles : devenir non détecté, rester détecté avec le même identifiant, ou être détecté avec un nouvel identifiant. Comme les antivirus retournent des identifiants distincts plutôt qu'un simple verdict binaire, on extrait davantage d'information. En choisissant intelligemment la transformation, on isole la capacité réelle. Par exemple, ajouter un octet inoffensif casse un hash : si la détection reste identique, elle n'était pas basée sur un hash. Pour le dynamique, utiliser un packer (crypter) qui chiffre le payload et le déchiffre à l'exécution permet de révéler la présence d'une sandbox. Différences entre moteurs et stratégie d'évasion Tous les moteurs testés possèdent une sandbox détectable, mais leur usage varie énormément : certains détectent beaucoup via leur sandbox, d'autres presque rien. Philippe note que la capacité marketing (« on a du behavior, du sandboxing ») peut exister tout en ayant une banque de signatures si mince qu'elle ne se déclenche presque jamais. Les philosophies d'implémentation diffèrent : chaque éditeur capitalise sur sa technologie de prédilection. Sa méthode d'évasion consiste à « blinder » chaque capacité détectée : une fois la présence d'un unpacker ou d'une sandbox identifiée, il associe les techniques d'évasion connues qui neutralisent spécifiquement chacune, construisant un ensemble minimal couvrant toutes les capacités trouvées. L'objectif n'est pas une évasion universelle unique, mais un flowchart indiquant quoi faire et quoi éviter — ajouter du code inutile risquant de se faire repérer. Les résultats détaillés figureront dans sa thèse, le protocole étant maintenant stable et prêt à être lancé à grande échelle. Le volet CTF et l'intelligence artificielle L'équipe montréalaise de Philippe, active depuis une dizaine d'années, monte presque toujours sur le podium au Nordsec et vise une qualification au DEF CON. Leur distinction : une propension à sortir des sentiers battus et à trouver des solutions « weird », parfois des bypass transformant un défi de six heures en trente minutes. Sur l'IA, le Nordsec a levé cette année ses restrictions. L'équipe constate que le harnessing et le prompting ont moins d'impact que de simplement relancer le modèle plusieurs fois : la température et la répétition comptent davantage. Les modèles plus puissants, surchargés d'outils, « se creusent des trous » en polluant leur contexte. L'IA réussit aujourd'hui environ 95 % des défis sauvegardés, ce qui soulève des questions sur le plaisir et l'avenir des CTF — un défi que Philippe fait confiance aux organisateurs du DEF CON pour relever. Notes A systematic approach to evading antivirus software Collaborateurs Nicolas-Loïc Fortin Philippe Pépos Petitclerc Crédits Montage par Intrasecure inc Locaux réels par NorthSec

    Teknik - GenAI en cybersécurité - cas concret d'utilisation et retour d'expérience (Cybereco) - Parce que... c'est l'épisode 0x303!

    Play Episode Listen Later Jun 2, 2026 28:36


    Parce que… c'est l'épisode 0x303! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Dans cet épisode spécial Cybereco, Cédric Thibault partage un retour d'expérience sur le développement d'une plateforme d'automatisation de workflows de cybersécurité utilisant réellement l'IA générative. Sa motivation : il existe beaucoup de discours sur l'IA, mais peu de retours concrets de bâtisseurs qui ont fait des choix, commis des erreurs et obtenu des succès. Le problème : des analystes noyés Le constat de départ est partagé par toutes les entreprises qu'il côtoie. Face à la montée réelle des attaques — ce n'est pas qu'un argument marketing — les moyens humains restent très limités. Paradoxalement, ajouter des outils, même justifié, produit souvent l'effet inverse : cela noie davantage les équipes et réduit la capacité humaine en bout de chaîne. Son objectif est de redonner de la capacité aux clients et de remettre les analystes dans un véritable poste d'analyste. Un analyste devrait faire de l'analyse et exercer son esprit critique, pas exécuter des clics séquencés en suivant un playbook. Beaucoup de processus de sécurité existent d'ailleurs en dehors du SOC. L'exemple récurrent est le triage des courriels signalés comme hameçonnage par les utilisateurs : ces signalements s'accumulent dans une boîte cyber partagée, et les analystes valident les indicateurs, lisent les courriels et jugent leur caractère malicieux. Additionné, cet effort représente des heures, pour une tâche répétitive sans réelle valeur ajoutée — comparable à la roue d'un hamster, puisque le flux de courriels malicieux est infini. L'approche : déterminisme d'abord, IA aux points clés Cédric insiste sur le mot clé du déterminisme. Par nature, un agent IA ne sera jamais pleinement déterministe : on peut maximiser sa fiabilité sans jamais la garantir totalement. Face à la pression marketing qui promet de remplacer des équipes entières par un agent, son retour d'expérience est différent : il faut utiliser l'IA là où elle est réellement utile, et s'appuyer sur des bases solides et déterministes — du procode ou du low-code via des plateformes d'automatisation. Ces plateformes existent depuis des années, et la cybersécurité connaît bien les SOAR, mais ceux-ci sont restés cantonnés à l'univers du SOC. L'avantage de l'IA est qu'en mêlant les deux technologies — automatisation robuste et agents IA très ponctuels à des endroits clés — on obtient une valeur maximale : interaction intelligente avec les utilisateurs d'un côté, garantie que la prise d'action est exécutée par des scripts de l'autre. Bloquer le port 80 doit signifier exactement le port 80, pas une approximation. Cette fiabilité est indispensable, car aucune équipe cyber n'adoptera des processus qui ne sont pas fiables à 100 %. Cédric rappelle un constat partagé deux ou trois ans plus tôt par David Gérard : en cybersécurité, la tolérance à la déviation est nulle, et dès qu'un analyste constatait une hallucination, c'était l'abandon systématique de toute la solution. Ces abandons sont dommageables, car la technologie bien employée apporte beaucoup de valeur. Le mode « yolo » n'est pas recommandé : déployer des workflows IA en production exige une démarche très structurée et beaucoup d'ingénierie, un aspect trop peu évoqué face aux vidéos YouTube spectaculaires. L'ingénierie et l'équipe hybride Un conseil fort : ne jamais confier un projet d'ingénierie IA uniquement à des ingénieurs IA. Il faut des spécialistes de domaine. Pour un workflow anti-hameçonnage dans M365, un spécialiste M365 est nécessaire, car les API ne sont pas si simples. Cédric recommande une équipe hybride en binôme : un ingénieur IA qui maîtrise la plateforme d'automatisation et l'invocation optimale du LLM (tokens, coûts, garde-fous), et un spécialiste de contenu qui choisit le meilleur flow et la bonne façon de travailler avec les outils tiers. Concrètement, dans ce type de workflow, environ 90 % des nodes sont purement déterministes et seulement 10 % relèvent d'agents IA — mais placés au bon endroit, ils servent de « colle » permettant de finaliser le processus de bout en bout. Il déconseille d'utiliser des agents pour prendre des actions en console quand un simple script déterministe fait l'affaire, sans risque ni coût en tokens. Gestion du risque et amélioration continue Le niveau d'acceptation du risque varie selon les clients. Certains gardent un human in the loop — une alerte Teams avec un bouton « approve » ou « reject » avant toute action. D'autres, après une preuve de concept concluante, acceptent une automatisation complète, mais toujours avec des actions déterministes qui réduisent le risque sans le supprimer. Une fois les premiers résultats observés, l'effet est impressionnant : les clients veulent enrichir leurs workflows et améliorer des processus qu'ils n'optimisaient pas faute de temps. L'analyste passe alors en mode amélioration et critique. Mais il faut stabiliser des versions, car l'observabilité et l'évaluation de performance exigent des jeux de tests roulés en permanence pour garantir la stabilité, tout en développant les versions suivantes en parallèle. L'automatisation génère aussi de nombreux KPI, impossibles à obtenir dans des processus manuels, formant une boucle de rétroaction continue. Comme le reporting des plateformes low-code/no-code est souvent pauvre, son équipe exporte les logs des agents vers les SIEM des clients pour créer des tableaux de bord. Ce qu'on ne peut mesurer, on ne peut le faire évoluer. Une évolution nécessaire Cédric reprend une formule tirée d'un papier de la CSA lié à Mythos : ne pas faire évoluer ses processus de cybersécurité aujourd'hui revient à préparer ses équipes au burnout. Il ne s'agit pas que l'IA fasse tout, mais qu'elle améliore des points critiques pour décharger les analystes face à l'alert fatigue déjà bien présente. Les premiers retours clients sont très positifs. Il anticipe une adoption plus large et précise qu'il n'a pas abordé le sujet des agents personnels, un autre enjeu dont on parlera beaucoup en 2026. Collaborateurs Nicolas-Loïc Fortin Cédric Thibault Crédits Montage par Intrasecure inc Locaux réels par Cybereco

    Actu - 31 mai 2026 - Parce que... c'est l'épisode 0x302!

    Play Episode Listen Later Jun 1, 2026 46:44


    Parce que… c'est l'épisode 0x302! Préambule Finalement, ce n'est pas tant concluant la nouvelle façon d'enregistrer. J'aurai d'autres tests à faire si je désire continuer avec cet équipement. Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Retour de l'enfant Mythos Anthropic to release Mythos-class models to the public Anthropic's Restricted Claude Mythos Moves Toward Public Release via Claude Code and Security Mythos Detected 23,000 Vulnerabilities Across 1,000 OSS Projects Anthropic confirms Claude Mythos-class models will roll out to the public Raz le bol AI is becoming increasingly unpopular Fed up with vibe coders, dev sneaks data-nuking prompt injection into their code Menteur menteur LLMs believe false statements even after explicit warnings that they're false AI bots ignore evidence. Can we trust them with science? Kevin Beaumont: “If anybody is wondering how th…” - Cyberplace SecuClaude Anthropic Releases Free Security Plugin for Claude Code Terminal to Detect Vulnerabilities Anthropic Updates Claude Code With Security Plugin and Faster Performance Aider ce qui ne veut pas se faire aider Open-Weight LLM Fine-Tuning Defenses are Susceptible to Simple Attacks Jailbreaking and Mitigation of Vulnerabilities in Large Language Models Provably Secure Agent Guardrail Millions of AI agents imperiled by critical vulnerability in open source package The pressure Agentic AI Isn't Risky; the Way Orgs Deploy It Is Leak@

    Teknik - Sécurité des sous-stations électriques - Parce que... c'est l'épisode 0x301!

    Play Episode Listen Later May 28, 2026 52:12


    Parce que… c'est l'épisode 0x301! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Dans cet épisode, Georges Badro, consultant chez Mandiant à Paris spécialisé dans les infrastructures critiques et les systèmes industriels, explique le fonctionnement et la sécurisation des sous-stations électriques. Architecture du réseau électrique Le réseau électrique se décompose en trois zones : la génération (centrales hydrauliques, nucléaires, thermiques, renouvelables), le transport et la distribution. Le réseau de transmission permet de limiter les pertes d'énergie et surtout d'équilibrer production et consommation afin de maintenir une fréquence stable. Contrairement à un réseau d'eau, un réseau électrique exige un équilibre permanent entre ce qui est produit et ce qui est consommé, sous peine de l'endommager. Les sous-stations sont les nœuds névralgiques de ce réseau de transmission : ces grands parcs clôturés que l'on aperçoit au bord des routes centralisent et redistribuent l'électricité. On y trouve des transformateurs et des disjoncteurs, ces derniers permettant d'ouvrir ou de fermer le courant. Aujourd'hui, ces équipements ne sont plus opérés manuellement mais via du contrôle numérique : interfaces homme-machine (IHM), contrôle à distance, RTU (Remote Terminal Units servant de passerelle vers le centre de contrôle), relais de protection et de contrôle (qui lisent tension, intensité et fréquence pour automatiser des décisions), postes d'ingénierie et équipements réseau. Interconnexion croissante et surface d'attaque Badro insiste sur la disparition de l'« air gap » d'autrefois. Les sous-stations sont désormais interconnectées avec les centres de contrôle, des tiers, des partenaires, parfois directement à internet, voire avec le cloud pour la maintenance prédictive. L'architecture type comprend un réseau IT, une DMZ séparant l'IT des systèmes industriels (OT), un centre de contrôle régional ou national (avec historians, serveurs SCADA, bases de données) relié aux sous-stations via VPN ou MPLS. Chaque sous-station est configurée différemment. Certaines connexions exploitent le Powerline Communication (PLC), qui utilise les câbles électriques existants pour transmettre des paquets TCP/IP. Cette multiplication des accès distants, justifiée par la difficulté d'intervenir physiquement dans des zones rurales, augmente considérablement le risque. Les protocoles courants incluent IEC 104, DNP3 et GOOSE. Scénario d'attaque en Red Team Badro détaille l'approche Red Team de Mandiant, précisant qu'un véritable attaquant ne prendrait pas les mêmes précautions. L'attaque commence généralement par un accès initial à l'IT via phishing ou exploitation de vulnérabilités. Suit une phase de reconnaissance : énumération du domaine, recherche de documentation sur les partages réseau et wikis, fichiers de configuration aux extensions spécifiques, mots de passe en clair (notamment de VPN) et schémas d'architecture. L'accès au réseau OT s'obtient ensuite via un VPN, l'exploitation de flux autorisés au firewall, ou la compromission d'hyperviseurs hébergeant des VM IT et OT. Plutôt qu'un scan NMAP destructeur, l'équipe privilégie une reconnaissance furtive : écoute passive du trafic, analyse des adresses IP et MAC, utilisation de logiciels légitimes d'opérateurs et de scripts spécialisés (Modbus, DNP3). Les vulnérabilités exploitées sont souvent basiques : mots de passe par défaut sur interfaces web, SSH ou Telnet, parfois sur des fonctionnalités cachées utilisées par les fournisseurs et inconnues des équipes. À partir d'une IHM, l'attaquant remonte vers les relais de protection, cibles plus insidieuses permettant des dégâts coûteux. Compromissions réelles Badro compare deux attaques réelles. En Ukraine en 2015, l'attaque a démarré sur l'IT par phishing (malware Black Energy via macro), récupéré des mots de passe VPN, accédé aux IHM, RTU et switchs Moxa, puis ouvert les disjoncteurs et déployé des firmwares corrompus pour empêcher la reprise de contrôle. En Pologne en décembre 2025, l'attaque a ciblé directement l'OT en exploitant une CVE connue mais non corrigée pendant plusieurs semaines sur des firewalls exposés à internet. L'attaquant s'est étendu aux RTU, relais, IHM et convertisseurs série-Ethernet via des comptes par défaut, a lancé des scans locaux, uploadé des firmwares corrompus, supprimé des fichiers système des relais et déployé des wipers sur les IHM. Le constat marquant : malgré dix ans d'écart, les mêmes vulnérabilités basiques persistent. Si l'entrée dans les réseaux IT s'est durcie, le côté OT reste comme l'IT « d'il y a très longtemps » — peu de mots de passe robustes, peu de contrôles — par préjugé d'isolement et par des pratiques de maintenance figées. Attaques avancées et défense Au-delà de la simple ouverture d'un disjoncteur, des attaques plus subtiles ciblent la logique des relais : modifier des valeurs de déclenchement, fausser une LED, ou altérer la fonction de réenclenchement automatique. Ces manipulations restent invisibles jusqu'à une condition rare (un arbre tombant sur une ligne) et sont très difficiles à diagnostiquer sans journalisation. Côté défense, Badro recommande : changer les mots de passe par défaut (et alerter si l'ancien est réutilisé), maintenir à jour les systèmes exposés à internet, restreindre les accès SSH/HTTP à des points spécifiques, contrôler les flux PLC venant des centrales, et surtout établir une visibilité réseau et événementielle à tous les niveaux. La prévisibilité des réseaux OT facilite la définition d'une baseline et la détection d'anomalies. L'approche consiste à décomposer chaque système, comprendre les fonctions et leurs interfaces internes/externes (par exemple le GPS spoofing), puis concevoir protections et détections adaptées — en protégeant avant tout le disjoncteur, élément le plus critique. Collaborateurs Nicolas-Loïc Fortin Georges Badro Crédits Montage par Intrasecure inc Locaux réels par Google Paris

    Teknik - Private Key Leaks in the Wild - Insights from Certificate Transparency (nsec) - Parce que... c'est l'épisode 0x300!

    Play Episode Listen Later May 27, 2026 33:15


    Parce que… c'est l'épisode 0x300! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Dans cet épisode du podcast Polysécure enregistré au NorthSec, Gaëtan Ferry et Guillaume Valadon, tous deux cyber security researchers chez GitGuardian depuis deux ans, présentent une recherche consacrée aux fuites de clés privées cryptographiques. Guillaume est par ailleurs mainteneur du logiciel Scapy et rédacteur en chef du magazine MISC. Le problème de l'attribution Contrairement à des secrets classiques comme les clés AWS, dont on peut retrouver le propriétaire en interrogeant les services associés, une clé privée cryptographique (RSA par exemple) ne se rattache à aucune identité. C'est un simple objet mathématique aux propriétés cryptographiques, utilisable pour de multiples usages : connexion SSH, protection d'un site web en TLS, etc. En regardant la clé seule, impossible de savoir à quoi elle sert ou à qui elle appartient. Quelques indices existent parfois — le nom de fichier (norssec.io.key) — mais souvent on tombe sur des private.key inexploitables. L'enjeu de la recherche était donc de trouver une technique générique de catégorisation. La méthode : Certificate Transparency La solution repose sur les Certificate Transparency logs, un mécanisme de l'infrastructure X.509 datant de 2015. Chaque fois qu'une autorité de certification émet un certificat, elle doit le journaliser dans ces registres publics, souvent opérés par d'autres autorités. Ces journaux contiennent donc l'historique de tous les certificats émis. Le principe du matching est le suivant : une clé privée contient des informations sur sa partie publique (le module, dans le cas de RSA). On extrait cette partie publique, on calcule une empreinte SHA-256, et on fait de même pour les certificats. Comme un certificat TLS associe une clé publique à une identité (généralement le nom du site protégé), une simple jointure entre les deux bases d'empreintes permet de relier une clé privée à un site et à son propriétaire. La recherche s'est accélérée lors de la conférence Pass the SALT à Lille, où des contacts chez Google les ont alertés : les anciens logs de Certificate Transparency, coûteux à opérer, allaient être mis hors ligne. Or c'était précisément la dimension historique du dataset qui les intéressait. Un partenariat s'est noué : GitGuardian a fourni une liste d'empreintes, et Google a effectué la correspondance dans sa base propriétaire, renvoyant les certificats associés. Les chiffres Le dataset de fin 2025 comptait un million de clés privées distinctes, collectées via l'activité historique de GitGuardian — le public monitoring qui scanne GitHub, Docker Hub et d'autres sources à la recherche de secrets codés en dur, puis avertit les victimes en mode « bon samaritain ». Sur ce million, 42 000 clés correspondaient à des certificats émis par des autorités. Le chiffre peut sembler modeste, mais la majorité des clés ne servent jamais au TLS (projets personnels, SSH, autorités privées d'entreprise absentes des logs publics). Ces 42 000 clés étaient liées à plus de 140 000 certificats, signe que certaines avaient servi à émettre plusieurs certificats successifs, prolongeant d'autant la durée d'exposition. Après vérification, 2 600 clés restaient associées à un certificat valide en septembre 2025. Grâce à des techniques d'OSINT, 1 300 certificats ont pu être rattachés à environ 600 entités. La divulgation responsable, un parcours décevant L'équipe a entrepris un responsible disclosure en envoyant environ 4 300 emails à ces 600 entreprises. Résultat : seulement 54 réponses, soit environ 9 %. Même en se limitant aux adresses certaines à près de 100 %, le taux ne dépassait pas 36 %. Pour gérer un envoi aussi massif sans être bloqués comme spam, ils ont dû collaborer avec leurs collègues du marketing, rompus aux techniques de délivrabilité. Plus frappant que le silence : l'incompréhension des répondants. Beaucoup confondaient clé privée et certificat. Certains ont répondu avoir « changé le certificat », croyant le problème réglé. Une équipe de réponse à incident d'une grande entreprise a même produit une analyse détaillée pour conclure que l'endpoint utilisait désormais un autre certificat, refusant toute révocation — alors qu'un attaquant peut toujours mener une attaque man-in-the-middle avec l'ancien certificat non révoqué. Le certificat a fini par expirer un mois plus tard. Fait notable, 19 entités gouvernementales étaient concernées, et aucune n'a répondu. Comprendre TLS Le malentendu de fond tient au fonctionnement de TLS. On génère sa clé privée chez soi, puis on signe une demande de certificat (CSR) envoyée à l'autorité avec la clé publique. L'autorité vérifie les informations, journalise dans CT et renvoie le certificat. Le certificat n'est qu'une partie publique : il associe une clé publique à une identité, sans contenir le secret. Changer de certificat sans changer de clé n'invalide donc rien : l'ancien certificat reste exploitable pour usurper le service tant qu'il n'est pas révoqué. Forcer la révocation et la vraie solution Face au silence, l'équipe a contacté directement les autorités de certification pour demander la révocation, en fournissant les preuves de possession. Cette voie autoritative s'est révélée plus efficace, mais a généré des réactions parfois hostiles — dont un individu insultant expliquant que sa clé était « volontairement publique » pour permettre l'interception (cas d'usage type Burp), sans que le site l'indique clairement. Les chercheurs avouent un moment de doute, au point de vérifier auprès d'anciens collègues de l'ANSSI : le problème est bien systémique. La solution qu'ils privilégient n'est pas seulement l'éducation, mais l'automatisation. La réduction drastique de la durée de vie des certificats (vers 47 jours) imposera des outils comme Certbot, qui renouvelle déjà la clé privée en même temps que le certificat. Or 20 % des clés trouvées avaient fui plus de deux ans avant l'expiration du certificat le plus récent : des clés compromises réutilisées sur de nouveaux certificats pendant des années. Renouveler systématiquement la clé aurait éliminé ce cinquième des compromissions. Notes Private Key Leaks in the Wild: Insights from Certificate Transparency Collaborateurs Nicolas-Loïc Fortin Guillaume Valadon Gaetan Ferry Crédits Montage par Intrasecure inc Locaux réels par NorthSec

    Teknik - Stratégie de sécurité applicative adaptée à l'IA (Cybereco) - Parce que... c'est l'épisode 0x2FF!

    Play Episode Listen Later May 26, 2026 33:13


    Parce que… c'est l'épisode 0x2FF! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Le défi fondamental : le volume dépasse les humains Jonathan Marcil part d'un constat simple mais vertigineux : l'IA génère du code à une vitesse que les équipes de sécurité ne peuvent plus suivre humainement. Le volume de code produit est tel qu'il devient impossible de tout réviser avec rigueur sans y perdre sa santé mentale. Cette réalité impose une réponse stratégique, et c'est précisément l'objet de sa présentation à Cybereco : proposer des stratégies qui utilisent l'IA pour répondre aux problèmes que l'IA elle-même crée. L'humain reste une variable limitante Même si l'IA ne connaît pas de fatigue propre, les humains qui travaillent avec elle, eux, s'épuisent. Jonathan illustre ce point avec l'exemple du programme de bug bounty de cURL, qui a dû être fermé parce que les participants utilisaient l'IA pour générer des rapports de bogues en masse. Le résultat : une surcharge humaine impossible à gérer, même pour des experts qui connaissent le système depuis des dizaines d'années. L'IA peut amplifier le bruit autant que le signal. Le prompting : une compétence éphémère Un thème central de la discussion est la nature instable de la compétence en prompt engineering. Chaque nouveau modèle frontier réagit différemment, ce qui rend les techniques de prompting acquises partiellement obsolètes à chaque mise à jour majeure. Jonathan voit néanmoins une vertu dans cette diversité des modèles : elle empêche une standardisation totale et maintient une forme de compétition saine entre les fournisseurs. Cela dit, il met en garde contre la tentation de consacrer trop d'énergie à suivre chaque lancement au détriment des compétences fondamentales en sécurité. Le vibe coding et la perte de compétences L'un des points les plus préoccupants soulevés par Jonathan est le risque de dépendance cognitive. Le « vibe coding » — cette pratique de générer du code sans vraiment le comprendre — crée une illusion de productivité. Tant que tout fonctionne, personne ne pose de questions. Mais le jour où un bug survient ou qu'une faille est découverte, si les développeurs n'ont plus les compétences fondamentales pour diagnostiquer le problème, ils se retrouvent à demander à l'IA de corriger ce qu'elle a elle-même mal produit. Jonathan cite un exemple personnel : il a demandé à un modèle de réviser ses diapositives, et le modèle a omis un élément important — sans le signaler spontanément. L'autocritique reste un angle mort des LLM. Les stratégies proposées La réponse de Jonathan à ces défis repose sur plusieurs axes concrets : 1. Diversifier les modèles. Utiliser plusieurs IA en parallèle — demander à l'un de valider ce que l'autre a produit — est une pratique simple mais efficace pour introduire un regard critique dans le processus. Il suggère aussi de soumettre d'anciens travaux aux nouvelles versions des modèles, qui peuvent en faire de meilleures révisions. 2. Charger les bonnes pratiques de l'entreprise dans le LLM. Plutôt que d'utiliser un modèle générique, Jonathan propose d'alimenter le LLM avec la gouvernance, les politiques et les standards de sécurité propres à l'organisation. Les résultats, selon son expérience avec une formation Cybereco l'année précédente, peuvent être spectaculaires : des équipes ont corrigé des vulnérabilités réelles en moins de 15 minutes après avoir simplement fourni au modèle les bonnes pratiques contextuelles. 3. Combiner petits et grands modèles. Pour gérer les coûts et la vitesse, il propose d'utiliser des modèles légers (souvent locaux) pour les tâches d'exploration — par exemple, repérer les zones d'authentification dans une base de code — puis de faire traiter les résultats par un modèle plus puissant. Cette architecture en pipeline est à la fois économique et efficace. 4. Explorer les modèles open weight. Les modèles à poids ouverts, notamment ceux optimisés par des contributeurs chinois pour tourner sur du matériel modeste, offrent une flexibilité précieuse. Ils permettent de ne pas être entièrement dépendant des fournisseurs cloud et d'adapter l'usage à la tolérance au risque propre à chaque organisation. Le problème systémique : insécure par défaut La conversation se clôt sur une observation structurelle importante : les infrastructures cloud sont historiquement configurées pour maximiser l'adoption, c'est-à-dire ouvertes par défaut. Jonathan constate que les LLM ont reproduit ce même réflexe — livrer vite, livrer simple, quitte à négliger la sécurité. La sécurité applicative, qui arrive toujours en fin de processus, paie le prix de cette course à l'adoption. Il plaide pour inverser cette logique : partir d'une posture fermée et sécurisée par défaut, puis ouvrir ce qui est nécessaire, plutôt que l'inverse. Collaborateurs Nicolas-Loïc Fortin Jonathan Marcil Crédits Montage par Intrasecure inc Locaux réels par Cybereco

    Actu - 24 mai 2026 - Parce que... c'est l'épisode 0x2FE!

    Play Episode Listen Later May 25, 2026 51:46


    Parce que… c'est l'épisode 0x2FE! Préambule Moins bonne qualité sonore parce que je n'ai pas mon équipement standard. Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Tout est dans le code Linus Torvalds says AI-powered bug hunters have made Linux security mailing list ‘almost entirely unmanageable' Bug bounty businesses bombarded with AI slop AI eyes scanning for bugs create a worrisome Linux security trend Linux kernel flaw opens root-only files to unprivileged users BrianKrebs: “If AI is truly making it easie…” - Infosec Exchange score by collisions, patch by panic Boum ou BOM What Will Make AI BOMs Real? Operationalising Artificial Intelligence Bills of Materials (AIBOMs) for Verifiable AI Provenance and Lifecycle Assurance How to Make AI BOMs Usable in a Modern Security Program CtF Autonomous LLM Agents & CTFs: A Second Look Retour sur nsec 2026: le pouls de la communauté sur l'agentic CTF Where OpenClaw Security Is Heading Hidden Signals Can Hijack AI Voice Systems When Skills Don't Help: A Negative Result on Procedural Knowledge for Tool-Grounded Agents in Offensive Cybersecurity Gemini 3.5 deleted 28,745 lines, broke production for 33 minutes, and wrote itself a fake post-mortem claiming credit for the fix : r/Bard Even Claude agrees: hole in its sandbox was real and dangerous Agent Security is a Systems Problem Jailbroken Gemini helped Russian-speaking fraudster target MAGA crypto users Anthropic's Claude Mythos Preview Uncovers 10,000+ 0-Days in Project Glasswing Trump abruptly cancels EO signing event after top AI firm CEOs declined to go La guerre, la guerre, c'est pas une raison pour se faire mal! Cable dans l'eau chaude Iran eyes a new source of power deep beneath the Strait of Hormuz Iran Now Threatens Fees for Subsea Internet Cables in the Strait of Hormuz Fuel Tank Breaches Expand Scope of Iran's Cyber Offensive Souveraineté ou vive le numérique libre! Poland builds its own Signal amid security concerns The EU Is Going Through a Trump-Fueled Breakup With Big Tech Sovereign cloud: Thales and Google create a S3NS clone in Germany Privacy ou cachez ces informations que je ne saurais voir BrianKrebs: “The Trump Mobile grift keeps g…” - Infosec Exchange Discord adds end-to-end encryption to voice and video calls by default A Bipartisan Amendment Would End Police License Plate Tracking Nationwide Why the Supreme Court's Chatrie case could change the meaning of privacy in America Texas AG sues Meta over claims that WhatsApp doesn't provide end-to-end encryption I am the law Pluralistic: There's no such thing as “age verification” You Can Get Some of Your Nudes Removed From the Internet Under a New Law Red ou tout ce qui est brisé Mother of all leak CISA Admin Leaked AWS GovCloud Keys on Github Senator presses CISA for answers about alleged GitHub repository leak Lawmakers Demand Answers as CISA Tries to Contain Data Leak Bitwhat? Get your passwords out of BitWarden while you still can The Quiet Renovation at Bitwarden Microsoft Releases Mitigation for Windows BitLocker Security Bypass 0-Day Vulnerability GitHub confirms being hacked by TeamPCP, says customer data unaffected Google Publishes Exploit Code Threatening Millions of Chromium User Les clés API Google encore en vie même après leur suppression A hacker group is poisoning open source code at an unprecedented scale Scammers Are Abusing an Internal Microsoft Account to Send Spam Links Blue ou tout ce qui améliore notre posture Microsoft disrupts alleged malware-signing operation used by ransomware gangs Europe dismantles VPN service used by cybercriminals to hide ransomware attacks Divers ou parce que j'ai aucune idée où les placer NTSB Wants PDF Removed After It Exposed Final Cockpit Audio From UPS Crash Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Courtyard by Marriott Montreal Midtown

    Spécial - Retour sur Google Next 2026 - Parce que... c'est l'épisode 0x2FD!

    Play Episode Listen Later May 21, 2026 25:12


    Parce que… c'est l'épisode 0x2FD! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Dans cet épisode spécial, Nicolas Bédard revient sur sa participation à Google Next 2026, son quatrième événement du genre, mais le premier qu'il vivait en tant qu'employé de Palo Alto plutôt que de Google. Il y présente les quatre intégrations majeures que Palo Alto a lancées en partenariat avec Google, dans un contexte où l'intelligence artificielle agentielle se déploie à grande vitesse — souvent sans encadrement de sécurité adéquat. Le contexte : la plateforme Gemini Enterprise se réorganise Avant d'aborder les intégrations, Nicolas explique les changements de nomenclature chez Google. Gemini Enterprise est désormais divisé en deux volets : Gemini Enterprise Apps : l'interface utilisateur permettant d'accéder aux agents, aux connecteurs de données (SharePoint, Outlook, etc.) et aux outils IA. Gemini Enterprise AI Platform : la couche cloud sous-jacente, qui remplace l'ancienne plateforme Vertex AI. Cette restructuration simplifie la compréhension de l'écosystème : tout ce qui touche à l'IA en entreprise chez Google s'appelle désormais Gemini Enterprise. Intégration 1 — Prisma AIRS dans l'Agent Gateway La première et probablement la plus stratégique des intégrations concerne Agent Gateway, une nouvelle fonction au cœur d'Agent Cloud, la plateforme Google pour exécuter des agents IA. Agent Gateway agit comme un point d'insertion au sein des load balancers internes : il permet d'injecter des fonctions de sécurité ou d'autres capacités dans les flux de communication entre agents, entre un agent et un serveur MCP, ou entre un utilisateur et son agent. Palo Alto a annoncé l'intégration de son AI Runtime de Prisma AIRS directement dans ce gateway. L'idée est de centraliser la sécurité plutôt que de la déléguer à chaque développeur. Concrètement, cela signifie que les garde-fous — validation des comportements, prévention des fuites de données, protection contre les abus — s'appliquent automatiquement à tous les agents, sans que les équipes de développement aient besoin d'expertise en cybersécurité. Agent Gateway s'articule autour de trois piliers : l'identité, le runtime (pare-feu IA) et l'observabilité. Pour l'instant, seuls les deux premiers sont ouverts aux partenaires tiers comme Palo Alto. Cette approche répond directement à la préoccupation numéro un des équipes de sécurité en entreprise : le Shadow AI, soit l'utilisation non contrôlée d'outils IA par des employés ou des développeurs, qui expose l'organisation à des risques importants. Intégration 2 — Le scan de modèles open source via Gemini Enterprise Apps La deuxième intégration adresse un risque souvent sous-estimé : l'utilisation de modèles IA provenant de plateformes communautaires comme Hugging Face. Si les grands modèles commerciaux (Google, Anthropic, OpenAI, Mistral) offrent des garanties relatives à leur provenance, les modèles open source sont publiés par n'importe qui, sans vérification systématique. Ils peuvent contenir des vulnérabilités cachées, des kill switches, du code malveillant dissimulé dans l'enveloppe du fichier (notamment via des fichiers pickle), ou avoir été entraînés sur des données douteuses. Palo Alto a lancé un agent de scan de modèles directement accessible depuis Gemini Enterprise Apps. Intégré au cycle de développement logiciel (SDLC), cet agent permet à un développeur de soumettre un modèle hébergé sur Hugging Face ou dans un registre interne pour vérification avant déploiement — sans avoir à sortir de son environnement de travail habituel. Nicolas précise que cet agent fonctionne dans le tenant du client, ce qui garantit que les données restent dans l'infrastructure de l'entreprise. Intégration 3 — Wildfire et l'analyse de malwares dans les flux IA La troisième intégration s'inscrit dans une approche plus classique, mais essentielle : la détection de malwares dans les fichiers transitant par des agents IA. Google utilisait déjà la technologie de pare-feu de Palo Alto pour son Cloud NGFW. Ce qui est nouveau à Google Next, c'est l'ajout de Wildfire, le moteur de sandboxing de Palo Alto, sous la forme d'un service géré appelé Advance Malware Sandboxing. Concrètement : lorsqu'un utilisateur envoie un fichier via un agent Gemini Enterprise — vers un dépôt documentaire, par exemple — ce fichier est intercepté, analysé dans un environnement isolé, puis validé avant d'être stocké. Cela protège les autres utilisateurs ou agents qui pourraient accéder à ce fichier ultérieurement. L'enjeu est d'autant plus grand que les malwares générés par IA sont désormais créés on the fly, spécifiquement pour une cible, ce qui rend les approches basées sur des signatures connues insuffisantes. Intégration 4 — Le pare-feu dans l'Application Design Center La quatrième intégration touche à l'expérience des développeurs. Google a ouvert son Application Design Center (ADC) aux partenaires tiers. L'ADC est un outil visuel dans la console cloud qui permet d'assembler des services Google (Cloud Run, Pub/Sub, BigQuery, etc.) pour créer des applications. Palo Alto a travaillé avec Google pour permettre l'insertion native d'un pare-feu dans ces assemblages. Un développeur qui crée une architecture dans l'ADC peut maintenant ajouter un gabarit Palo Alto d'un clic. Une fois la configuration validée, l'outil génère automatiquement le code Terraform correspondant, incluant les load balancers et le pare-feu. L'objectif est de démocratiser la sécurité réseau en la rendant accessible à des développeurs qui ne maîtrisent pas nécessairement les subtilités des pare-feux d'infrastructure. Collaborateurs Nicolas-Loïc Fortin Nicolas Bédard Crédits Montage par Intrasecure inc Locaux réels par Nicolas Bédard

    Teknik - État de la menace en 2026 (Cybereco) - Parce que... c'est l'épisode 0x2FC!

    Play Episode Listen Later May 20, 2026 47:25


    Parce que… c'est l'épisode 0x2FC! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Dans cet épisode spécial de Polysécure consacré à Cybereco, Charles F. Hamilton présente son analyse annuelle de l'état de la menace cyber en 2026. Comme chaque année, il s'efforce de distinguer le discours marketing des vendeurs de la réalité observée sur le terrain, fort de son expérience quotidienne en tests d'intrusion offensifs. Azure et Entra ID : des failles par défaut Une large partie de la discussion porte sur l'environnement Microsoft Azure et Entra ID (anciennement Azure Active Directory). Charles souligne un problème fondamental : beaucoup d'entreprises partent du principe que « si c'est Microsoft, c'est sécurisé », ce qui crée une forme de déresponsabilisation dangereuse. En réalité, la configuration par défaut d'Azure offre très peu de visibilité — les logs et informations de sécurité essentiels sont verrouillés derrière un paywall, rendant la validation quasi impossible sans un intervenant offensif. Un exemple frappant illustre ce problème : lorsqu'une entreprise configure une politique d'accès conditionnel imposant le MFA pour toutes les applications mais ajoute une seule exception (par exemple pour un compte d'automatisation), Microsoft ajoutait silencieusement Microsoft Graph et Azure Active Directory dans les exceptions. Or, Microsoft Graph est le point d'entrée vers pratiquement tous les services cloud. Un attaquant disposant d'un identifiant et mot de passe pouvait donc s'authentifier via Microsoft Graph sans aucun MFA. Bien que Microsoft ait corrigé ce comportement récemment, toute exception créée avant le correctif reste active. Charles en découvre encore quotidiennement, ce qui pose un problème majeur — notamment pour les assureurs, dont les questionnaires de conformité ne détectent pas ces failles. Le décalage entre sécurité offensive et défensive Charles défend l'idée que la sécurité offensive a une longueur d'avance considérable sur la défensive. Les produits de sécurité défensive bloquent souvent des menaces qui datent de plusieurs années, pas celles d'aujourd'hui. Il prend l'exemple du device code phishing, une technique qu'il utilise depuis une dizaine d'années et que les attaquants malveillants commencent seulement à découvrir en 2026. Les entreprises qui ont investi dans des tests offensifs il y a cinq ou six ans sont déjà protégées ; les autres paniquent aujourd'hui. Il insiste sur la valeur du Red Team : contrairement à un scan automatisé qui produit des milliers de vulnérabilités toutes marquées « critiques », un Red Team raconte une histoire — il identifie le chemin qu'un attaquant emprunterait pour atteindre ce qui a réellement de la valeur pour l'entreprise. Charles mentionne également le score EPSS (Exploit Prediction Scoring System), encore trop méconnu, qui permet de prioriser les vulnérabilités en fonction de leur probabilité réelle d'exploitation plutôt que de leur sévérité théorique. Infostealers et ClickFix : les menaces du quotidien La conversation aborde ensuite les infostealers, des logiciels malveillants qui récupèrent les mots de passe stockés dans les navigateurs. Leur efficacité tient à leur discrétion : ils ne touchent pas aux processus surveillés par les EDR/XDR et sont donc très peu détectés. Pire, ils se propagent souvent via des installeurs gratuits pour des jeux populaires comme Roblox ou Minecraft, ciblant les enfants. Quand un parent prête son ordinateur professionnel à son enfant, les identifiants corporatifs se retrouvent compromis. Charles rapporte des chiffres vertigineux : un de ses contacts dans le domaine possède des logs provenant de 600 millions de postes uniques infectés par des infostealers. Quant aux attaques ClickFix, Charles se dit fasciné qu'elles fonctionnent, car elles demandent à l'utilisateur d'exécuter une série d'étapes complexes — copier du PowerShell dans une invite de commande, par exemple. Mais l'utilisateur moyen ne comprend tout simplement pas ce qu'il fait : les extensions de fichiers, les commandes, tout cela n'a aucun sens pour lui. Le succès du phishing repose uniquement sur l'expérience utilisateur : plus c'est simple, plus ça marche. Supply chain et cas extrêmes Charles partage des histoires marquantes de sa carrière. Il a testé la sécurité d'avions dont les interfaces pilotes tournaient sous Flash et Windows embarqué. Bien que l'avion soit physiquement déconnecté d'internet, le laptop de mise à jour, lui, y passait — ouvrant la porte à des attaques de supply chain. Il raconte aussi le cas de guichets ATM dont le système de gestion acceptait des mises à jour non signées, permettant l'injection de code malveillant. Plus récemment, il a travaillé sur des cas d'infiltration d'employés nord-coréens se faisant passer pour des développeurs. Fait surprenant : ces individus étaient de bons ingénieurs et se faisaient toujours démasquer par des anomalies humaines (incohérences de localisation), jamais par leur code. IA, vibe coding et secrets exposés L'essor du vibe coding assisté par IA aggrave un problème existant : des développeurs qui ne comprennent pas ce qu'ils produisent. Charles a trouvé plus de 124 000 résultats sur GitHub pour « remove client secret » — des commits où des développeurs retirent des secrets Azure (tenant ID, application ID, client secret) sans jamais les révoquer. Beaucoup de ces commits portent les traces caractéristiques de code généré par IA, avec des emojis dans les commentaires. Le paradoxe de l'industrie cyber En conclusion, Charles soulève un paradoxe central : on n'a jamais eu autant de produits de sécurité, de solutions et de technologies pour prévenir les brèches, et pourtant on n'a jamais eu autant de brèches. Les entreprises s'étouffent sous les abonnements coûteux et les promesses marketing, mais négligent l'hygiène de base — segmentation réseau, gestion des correctifs, inventaire des systèmes. L'industrie souffre aussi d'un manque de conséquences réelles pour les entreprises négligentes, ce qui pousse beaucoup d'entre elles à faire le strict minimum. Le vrai travail reste à faire, et il commence par les fondamentaux. Collaborateurs Nicolas-Loïc Fortin Charles F. Hamilton Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

    Ah ben Flock! Selon Cyber Citoyen et Polysecure. - Parce que... c'est l'épisode 0x2FB!

    Play Episode Listen Later May 19, 2026 80:55


    Parce que… c'est l'épisode 0x2FB! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Le Honduras Gate : ingérence américaine et israélienne en Amérique latine Sam Harper ouvre l'épisode avec le Honduras Gate, une série de fuites de conversations Telegram et téléphoniques publiées par un collectif anonyme de journalistes honduriens. Ces révélations exposent un plan visant à remettre au pouvoir l'ancien président Juan Orlando Hernández, condamné à des décennies de prison pour trafic de drogue sous l'administration Biden, puis gracié par Donald Trump. La campagne de lobbying derrière ce pardon implique Roger Stone, vétéran des coups bas politiques américains depuis l'ère Nixon, ainsi que Benjamin Netanyahu, qui aurait contribué au financement logistique. Les fuites révèlent également des négociations pour le retour au pays d'Hernández et l'installation, en échange, d'une base militaire américaine au Honduras, la création de zones économiques spéciales — sortes de « charter cities » libertariennes où les lois nationales ne s'appliqueraient pas — et des conditions favorables aux investissements technologiques, notamment en intelligence artificielle. Plus troublant encore, les documents montrent qu'environ 350 000 dollars auraient été versés par le président argentin Javier Milei pour constituer une équipe médiatique financée en partie par des fonds publics, destinée à mener des campagnes de désinformation contre les gouvernements de gauche en Colombie et au Mexique. Sam souligne que les journalistes à l'origine des publications ont signalé des attaques informatiques massives contre leur site, avec des requêtes provenant principalement des États-Unis et de Tel-Aviv. Ce qui rend ce dossier particulièrement intéressant, note-t-il, c'est qu'on y voit les États-Unis directement impliqués dans des opérations d'influence, un renversement de la dynamique habituelle où l'on pointe du doigt la Russie, la Chine ou l'Iran. Flock : la surveillance municipale hors de contrôle Catherine enchaîne avec un sujet qui lui tient particulièrement à cœur : les caméras de surveillance Flock. Ce système, capable de se connecter à pratiquement n'importe quelle caméra reliée à internet et doté d'outils d'intelligence artificielle, est utilisé par de nombreuses municipalités, principalement aux États-Unis. Les scandales s'accumulent autour de cette technologie. Des policiers s'en sont servis pour traquer des ex-conjointes via les plaques d'immatriculation. L'organisme ICE l'a utilisé pour des contrôles d'immigration ciblés. Plus inquiétant encore, un vice-président de Flock a été identifié en train d'accéder aux caméras d'un gymnase d'école secondaire, officiellement dans le cadre d'une démonstration de vente, ce que les trois animateurs trouvent profondément troublant. Le système souffre d'un manque criant d'imputabilité : personne n'audite réellement qui accède à quoi. Catherine rappelle le fiasco publicitaire de Flock lors du Super Bowl, quand l'entreprise avait annoncé un partenariat avec Amazon Ring pour retrouver les chiens perdus grâce à la reconnaissance par IA dans les caméras de sonnettes des quartiers résidentiels. Le tollé public a été tel que le partenariat a été entièrement annulé. Ce rejet populaire est encourageant, selon Catherine, qui insiste sur le pouvoir citoyen au niveau municipal. Elle exhorte les auditeurs à s'impliquer dans les conseils d'arrondissement, à refuser ces technologies de surveillance et à interpeller leurs élus locaux, car c'est à cette échelle que ces décisions se prennent souvent, devant une poignée de citoyens seulement. Le séparatisme albertain : quand Russes, Américains et Hollandais se donnent la main Sam présente ensuite un rapport de DisinfoWatch sur les campagnes de désinformation ciblant le mouvement séparatiste albertain. Le phénomène réunit des acteurs improbables. D'abord, une entité liée à l'ancien Institut d'étude de l'internet de Prigogine, qui opérait un site web et des comptes sur les réseaux sociaux promouvant la séparation de l'Alberta. Ensuite, le réseau médiatique russe autour de Pravda, qui publiait des articles gonflant la popularité du mouvement. Puis des influenceurs MAGA comme Tucker Carlson, Tim Pool et Benny Johnson — ces deux derniers ayant d'ailleurs été impliqués dans le scandale Tenet Media, un conduit pour de l'argent russe vers des influenceurs américains. Enfin, des individus aux Pays-Bas qui produisaient du contenu sensationnaliste sur le séparatisme albertain uniquement pour générer des revenus publicitaires, selon le même modèle que les « fake news » macédoniennes. Un fil conducteur : manipulation, radicalisation et économie de l'attention Tout au long de l'épisode, les trois animateurs tissent des liens entre ces sujets. Catherine introduit le concept de la fenêtre d'Overton pour expliquer comment des discours autrefois inacceptables se normalisent progressivement, et celui de la longue traîne, emprunté au marketing, pour décrire les mécanismes de radicalisation algorithmique : on commence par un intérêt anodin et, d'incrémentation en incrémentation, les algorithmes nous poussent vers des contenus de plus en plus extrêmes parce que les niches sont rentables. Nicolas-Loïc fait le parallèle avec l'intelligence artificielle, qui tend au contraire à ramener les utilisateurs vers un « centre » défini par les données d'entraînement, tout en étant vulnérable à la manipulation — Sam cite d'ailleurs une étude montrant que les points de discussion pro-russes sur la guerre en Ukraine ont doublé dans les réponses de certains modèles d'IA. L'épisode se conclut sur un appel à l'action citoyenne. Catherine rappelle que le pouvoir d'influence ne s'exerce pas uniquement lors des élections fédérales ou provinciales : les décisions municipales, souvent prises devant des salles quasi vides, ont un impact direct sur la vie privée et la surveillance au quotidien. Comme le résume Nicolas-Loïc, les citoyens disposent encore d'un pouvoir considérable pour façonner la société dans laquelle ils veulent vivre — à condition de l'exercer. Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    Actu - 17 mai 2026 - Parce que... c'est l'épisode 0x2FA!

    Play Episode Listen Later May 18, 2026 50:52


    Parce que… c'est l'épisode 0x2FA! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Mythos ou le mythe qui ne veut pas mourrir Rival Research — Mythos ‘Discovered' a CVE Already in Its Training Data - and That's Still Worrying Anthropic's bug-hunting Mythos was greatest marketing stunt ever, says cURL creator Japan's PM orders cybersecurity review to defend against Anthropic Mythos “Too Dangerous to Release” — Or Just Too Expensive? The Real Reason Anthropic Is Hiding Its Most Powerful AI - Kingy AI Mythos, l'IA d'Anthropic, aide à percer le kernel d'un Mac M5 en cinq jours Is there a doctor in this AI plane Your doctor's AI notetaker may be making things up, Ontario audit finds “Will I be OK?” Teen died after ChatGPT pushed deadly mix of drugs, lawsuit says Viber for style Security Incentivization: An Empirical Study of how Micropayments Impact Code Security The Boring Stuff is Dangerous Now Reading code instead of writing code: The underestimated senior discipline Linux Kernel Adds Documentation For What Qualifies As A Security Bug, Responsible AI Use Hallucination pour les nuls Fake OpenAI Privacy Filter Repo Hits #1 on Hugging Face, Draws 244K Downloads How AI Hallucinations Are Creating Real Security Risks Microsoft Research Shows AI Can Generate Realistic Command Lines and Process Telemetry Massive blackhole AI-powered hacking has exploded into industrial-scale threat, Google says Google neutralise la première cyber-attaque massive générée par une IA Hackers Use AI for Exploit Development, Attack Automation Why Agentic AI Is Security's Next Blind Spot Hugging Face Packages Weaponized With a Single File Tweak Can LLM Agents Simulate Dynamic Networks? A Case Study on Email Networks with Phishing Synthesis AI models are getting better at replacing cybersecurity pros on certain tasks Claude Opus 4.7 and Threat Modeling La guerre, la guerre, c'est pas une raison pour se faire mal! Iran Is Using Tiny ‘Mosquito' Boats to Shut Down the Strait of Hormuz Souveraineté ou vive le numérique libre! FCC pushes ban on security updates for foreign-made routers, drones to 2029 [EU Cloud Comparison European Cloud Feature Matrix](https://eualternative.eu/eu-cloud-comparison/) Privacy ou cachez ces informations que je ne saurais voir C-22 Canada's Bill C-22 Is a Repackaged Version of Last Year's Surveillance Nightmare Canada Says Critics Don't Understand Its Surveillance Bill Google account registration now requires sending an SMS via phone instead of receiving an SMS myAudi permettaient de localiser un véhicule à partir de son code VIN Texas sues Netflix over alleged data practices that create ‘surveillance machinery' without user consent I am the law Sony's failed war against Internet piracy may doom other copyright lawsuits EU to crack down on TikTok, Instagram ‘addictive design' hooking kids Red ou tout ce qui est brisé La faille du jour BrianKrebs: “We've come to an icky time in …” - Infosec Exchange Mullvad - Votre clé WireGuard vous trahit malgré le VPN Fragnesia - Une nouvelle faille Linux dans la lignée de Dirty Frag Une faille permet d'ouvrir un disque BitLocker avec quelques fichiers sur une clé USB Une faille présente depuis 18 ans découverte dans nginx, le serveur qui fait tourner un tiers du web After Stumbling From CVE To CVE Will Linux Get A Kill Switch? Old is new again Device Code Phishing is an Evolution in Identity Takeover Microsoft backpedals: Edge to stop loading passwords into memory Usurpatate GitHub commit spoofing - Quand n'importe qui peut être Linus How I Defeat Passkeys Nearly Every Time To gain root access, intruder just had to ask Taiwan's train cyber-trauma reveals a global system that's coming off the tracks Robots chiens Unitree - La backdoor que personne ne corrige Thousands of DICOM servers exposed due to shameful lack of basic security measures Vos câbles fibre optique peuvent servir à vous espionner, et ça marche très bien Hacking Hard Drive Firmware Experts Confirm the Fast16 Malware Was Sabotaging Nuclear Weapons Tests, Likely in Iran Blue ou tout ce qui améliore notre posture Signal: “To help protect Signal users f…” - Mastodon Complexity Creates Risk: Why Simpler Infrastructure Is Safer Infrastructure · FS HOT Secure Messaging Apps have already solved Encryption. The Rest is the Problem. Divers ou parce que j'ai aucune idée où les placer Adam Shostack :donor: :rebelverified:: ““Best practice” is just how co…” - Infosec Exchange Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

    Teknik - Mythos no hype - Parce que... c'est l'épisode 0x2F9!

    Play Episode Listen Later May 14, 2026 31:27


    Parce que… c'est l'épisode 0x2F9! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Le contexte : un signal d'alarme venu de Google Next Nicolas Bédard, professionnel en cybersécurité chez Palo Alto Networks, revient de Google Next où il a tenu 16 rencontres clients. Un constat frappant : la quasi-totalité de ces clients avaient Mythos en tête de liste de leurs préoccupations. Ce modèle d'intelligence artificielle d'Anthropic, encore en phase de prévisualisation, a déclenché une vague d'inquiétude dans l'industrie. Nicolas admet lui-même qu'il avait sous-estimé l'ampleur du phénomène avant de constater, face à face, l'anxiété généralisée de ses interlocuteurs. Qu'est-ce que Mythos et pourquoi ça change la donne ? Mythos est un modèle d'IA de nouvelle génération, considérablement plus performant que les modèles précédents (comme Opus 4.7 de Claude) pour une tâche précise : trouver des vulnérabilités dans du code logiciel. Sa force ne réside pas uniquement dans sa capacité à détecter des failles individuelles, mais surtout dans son aptitude à établir des liens entre plusieurs vulnérabilités mineures. Là où deux ou trois failles de niveau faible ou moyen seraient jugées sans conséquence prises isolément, Mythos est capable de les relier pour révéler une vulnérabilité critique. C'est un changement de paradigme majeur. Le programme d'accès anticipé d'Anthropic Palo Alto Networks fait partie du programme « Class Wing » d'Anthropic, aux côtés d'autres grands acteurs du cloud et de la cybersécurité. Ces partenaires ont reçu un accès privilégié à Mythos avant son lancement public, leur permettant de scanner leur propre code à la recherche de failles inconnues. Selon Nicolas, cette démarche relève d'un geste de responsabilité corporative : Anthropic a anticipé les risques liés à la puissance de son modèle et a donné une longueur d'avance aux joueurs majeurs pour se préparer. Palo Alto a d'ailleurs lancé, en collaboration avec son équipe Unit 42, une offre d'accompagnement pour aider les clients à réaliser des analyses similaires avec des modèles déjà accessibles publiquement. La menace pour les systèmes anciens et le code ouvert L'un des aspects les plus préoccupants concerne les systèmes hérités. Historiquement, un vieux programme en COBOL sur AS/400 ou un mainframe oublié bénéficiait d'une forme de sécurité par l'obscurité : personne ne s'intéressait à y chercher des failles parce que c'était trop coûteux et peu rentable. Seuls les acteurs étatiques avaient les moyens de développer des exploits sophistiqués. Avec Mythos et ses futurs équivalents, cette barrière financière disparaît. N'importe qui pourra potentiellement analyser du code ancien et y trouver des failles exploitables. Le risque s'étend aussi à la chaîne d'approvisionnement logicielle. Le code ouvert, massivement réutilisé par l'industrie, devient un vecteur d'attaque amplifié. Un acteur malveillant pourrait scanner des bibliothèques populaires, y découvrir des vulnérabilités non divulguées, et les exploiter à grande échelle — ou pire, contribuer du code malicieux que des milliers de développeurs téléchargeraient en toute confiance. Le déluge de correctifs qui s'annonce Les premières conséquences sont déjà visibles : Microsoft et d'autres grandes entreprises ayant accès à Mythos publient des volumes de correctifs bien supérieurs à la normale. Nicolas anticipe que la situation va s'intensifier considérablement dans les mois à venir, particulièrement autour de la sortie publique du modèle, estimée vers juin ou juillet. Le modèle traditionnel du « Patch Tuesday » — ce cycle mensuel prévisible d'application de correctifs — risque de voler en éclats, car certaines failles seront trop critiques pour attendre le prochain cycle. Pour les entreprises qui peinent déjà à appliquer 10 à 12 correctifs mensuels sur des systèmes comme SAP, l'idée d'en gérer 200 ou 500 est vertigineuse. Les arrêts de production, les tests de régression, la coordination avec les équipes d'affaires : tout cela se complexifie de manière exponentielle. Et les pratiques modernes de développement (microservices, SRE, CI/CD) qui pourraient absorber ce choc ne sont maîtrisées que par une poignée de grandes entreprises technologiques. Les recommandations concrètes Face à ce tsunami, Nicolas et son interlocuteur reviennent aux fondamentaux avec trois axes prioritaires. Premièrement, scanner son propre code dès maintenant avec les modèles disponibles, sans attendre Mythos. Des chercheurs ont publié des méthodes de prompting permettant de simuler les capacités de Mythos avec Opus 4.7. Deuxièmement, assurer une couverture à 100 % des contrôles de sécurité existants. Chaque exception, chaque angle mort, chaque compte de service mal configuré devient une porte d'entrée potentielle. L'analogie de l'eau est parlante : comme l'eau qui s'infiltre par la moindre fissure, ces modèles d'IA trouveront inlassablement le moindre trou dans les configurations. Troisièmement, réduire l'exposition externe au maximum et développer une capacité de réaction en temps réel. Le passage de « plusieurs jours » à « quelques minutes » pour répondre aux menaces impose une transformation profonde des centres d'opérations de sécurité. Les approches traditionnelles de réponse aux incidents, avec leurs processus de révision humaine, ne suffiront plus. Un appel à l'action pour les dirigeants Nicolas conclut avec un message direct : chaque responsable de la sécurité (CISO) devrait engager dès maintenant une conversation transparente avec son conseil d'administration sur les implications de Mythos. Il s'agit d'aller chercher les budgets et les ressources nécessaires avant la crise, plutôt qu'après une attaque. L'industrie s'apprête à vivre un moment pivot où l'on passera d'une logique de liste noire à une logique de liste blanche, où seul ce qui est explicitement autorisé sera permis. Les paradigmes vont changer, et ceux qui ne s'y préparent pas risquent d'en subir les conséquences de plein fouet. Collaborateurs Nicolas-Loïc Fortin Nicolas Bédard Crédits Montage par Intrasecure inc Locaux réels par Nicolas Bédard

    Spécial - Naviguer à travers les sept îles (7 islands) - Parce que... c'est l'épisode 0x2F8!

    Play Episode Listen Later May 13, 2026 26:48


    Parce que… c'est l'épisode 0x2F8! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Présentation de l'invité et de Seven Islands Nicolas Duguay est le président fondateur de Seven Islands Defense and Intel, une jeune firme spécialisée dans le conseil stratégique en cybersécurité, cyberdéfense et renseignement. Avant de lancer cette entreprise, il a occupé le poste de directeur général d'InCyber (anciennement In.Sec.M), le cluster canadien de la cybersécurité. Son parcours est atypique : il a d'abord été journaliste à Radio-Canada pendant une dizaine d'années, puis a évolué dans le secteur du renseignement privé, avant de bifurquer progressivement vers la cybersécurité. C'est cette trajectoire diversifiée qui lui a permis de développer une compréhension fine des écosystèmes internationaux et des dynamiques de marché. La mission de Seven Islands Seven Islands est née d'un constat simple : l'écosystème canadien de la cybersécurité est principalement composé de PME ambitieuses mais disposant de peu de moyens, qui passent souvent sous le radar des grands donneurs d'ordre. Fort de son expérience chez In.Sec.M, où il a mené des travaux de prospection et de cartographie d'écosystèmes à l'international en collaboration avec Affaires mondiales Canada, Nicolas a accumulé une connaissance approfondie des distinctions entre les marchés et des facteurs qui font qu'une entreprise réussit ou échoue à l'étranger. Seven Islands met cette expertise au service d'organisations qui souhaitent pénétrer de nouveaux marchés, non seulement en cybersécurité, mais aussi dans les secteurs de la défense et des outils de renseignement. Des marchés en pleine transformation L'Ukraine constitue un exemple frappant de marché en rupture de paradigme. La pression à ses frontières a engendré une explosion de la demande et le développement d'un écosystème local très innovant. Les pays limitrophes de l'espace russe — pays baltes, Europe centrale et de l'Est — connaissent une dynamique similaire. Or, plusieurs entreprises canadiennes arrivent dans ces marchés avec des produits pensés selon une logique traditionnelle de défense, sans tenir compte de la réalité du terrain : il faut des solutions abordables, accessibles, produites rapidement et utilisables sans formation poussée. C'est pratiquement l'inverse de la tradition habituelle en matière de produits de défense. Le rôle concret de Seven Islands auprès de ses clients La clientèle type de Seven Islands se compose de startups et de scaleups ayant atteint un niveau de maturité technologique suffisant pour aborder les marchés internationaux. La firme intervient pour raccourcir le temps d'acquisition de marché, c'est-à-dire pour permettre à ces entreprises de comprendre rapidement les particularités du procurement local, d'identifier les bons partenaires ou acheteurs, d'éviter les pièges propres à chaque marché et de structurer leur montage financier. Nicolas estime pouvoir réduire de moitié, voire du tiers, le temps et les coûts habituellement nécessaires à une pénétration de marché, qui se chiffrent normalement en centaines de milliers de dollars sur six mois à un an. Le Canada, un marché en silos Une partie importante de la conversation porte sur les particularités du marché canadien, souvent mal compris par les entreprises étrangères. L'erreur la plus répandue est de considérer le Canada comme un marché américain en plus petit ou, pour les Français, de voir le Québec comme une extension naturelle de la France. La réalité est tout autre : le Canada est un ensemble de silos distincts, chacun avec sa culture, ses réseaux et ses dynamiques propres. Toronto représente le pôle principal pour la cybersécurité privée, porté par le secteur bancaire et sa position de deuxième ou troisième place financière nord-américaine. La compétition y est féroce. Vancouver constitue le deuxième pôle en importance, avec un écosystème vibrant tourné vers la côte ouest américaine, la Silicon Valley et le marché Asie-Pacifique — une porte d'entrée stratégique souvent sous-estimée. Montréal est un marché significatif mais très insulaire, fortement centré sur lui-même et sur le Québec, avec des réseaux établis difficiles à pénétrer. Ottawa est le cœur du marché gouvernemental et devrait devenir l'un des pôles les plus intéressants du pays grâce aux récents investissements en défense. Calgary se distingue pour tout ce qui touche à la sécurité des systèmes énergétiques, tandis que des villes atlantiques comme Halifax et Fredericton investissent beaucoup d'efforts dans le développement de leur écosystème. Nicolas souligne que les entreprises étrangères qui échouent au Canada reviennent chez elles avec une image déformée du marché : elles racontent leur échec sans en analyser les causes profondes, alimentant ainsi des perceptions erronées chez d'autres entreprises qui pourraient autrement y trouver leur place. De nouvelles alliances géopolitiques et commerciales La conversation s'ouvre ensuite sur les marchés émergents les plus prometteurs. Nicolas observe un recadrage géopolitique important qui redéfinit les alliances commerciales du Canada. Le marché scandinave, longtemps ignoré, suscite aujourd'hui un intérêt considérable : la Suède notamment exprime un véritable appétit pour des échanges avec le Canada dans une dynamique nordique partagée. Les pays baltes — Estonie, Lettonie, Lituanie — ainsi que la Pologne offrent également des occasions majeures, avec moins de protectionnisme que les grands marchés traditionnels comme l'Allemagne, la France ou le Royaume-Uni. Nicolas constate que les entreprises canadiennes, habituées à la proximité confortable du marché américain, ont développé une certaine paresse stratégique. Elles commencent à peine à regarder au-delà de l'Amérique du Nord, et la courbe d'apprentissage risque d'être exigeante pour celles qui ne se sont pas outillées pour comprendre ces nouveaux marchés. C'est précisément là que Seven Islands entend jouer son rôle d'accompagnement. Notes 7 Islands Defense & Intel Collaborateurs Nicolas-Loïc Fortin Nicolas Duguay Crédits Montage par Intrasecure inc Locaux réels par Cyberconférence 2026

    Spécial - Rebondissement dans l'univers WordPress - Parce que... c'est l'épisode 0x2F7!

    Play Episode Listen Later May 12, 2026 58:35


    Parce que… c'est l'épisode 0x2F7! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Le déclencheur : une attaque publique au WordCamp US En septembre 2024, Matt Mullenweg, fondateur de WordPress et dirigeant d'Automattic, profite de sa présentation de clôture au WordCamp US pour s'en prendre violemment à WP Engine, un hébergeur spécialisé WordPress. Il les qualifie de « cancer pour l'écosystème ». Le ton est d'autant plus choquant que les WordCamp sont des événements communautaires accessibles et abordables, portés par l'esprit de l'open source — le WordCamp Montréal, par exemple, ne coûtait que 50 dollars pour un weekend complet. WP Engine est un acteur majeur qui a bâti tout son modèle d'affaires autour de WordPress, offrant de l'hébergement dédié et ayant acquis plusieurs produits populaires, dont Advanced Custom Fields (ACF), un plugin utilisé par des millions de sites. Mullenweg reproche à WP Engine de générer d'importants revenus grâce à WordPress sans contribuer suffisamment au projet. Il avait d'ailleurs lancé l'initiative « Five for the Future », invitant les entreprises bénéficiant de l'écosystème à y consacrer 5 % de leurs ressources. Or, aucune obligation légale ne contraint quiconque à contribuer, et Mullenweg lui-même tire profit de l'écosystème via Automattic et WordPress.com. L'escalade : actions légales et blocages Trois jours après l'attaque publique, WP Engine réplique par une mise en demeure pour diffamation et extorsion. Le 25 septembre, Mullenweg bloque l'accès des serveurs de WP Engine au dépôt officiel de plugins et thèmes WordPress, empêchant des centaines de milliers de sites clients de recevoir leurs mises à jour, y compris les correctifs de sécurité. WP Engine doit alors développer en urgence des solutions de contournement. Le 30 septembre, la communauté découvre que WordPress.org — la plateforme qui héberge tout l'écosystème open source — appartient personnellement à Matt Mullenweg et non à la fondation WordPress, créée pourtant pour assurer transparence et gouvernance indépendante. Cette révélation amplifie l'inquiétude : une seule personne contrôle l'infrastructure sur laquelle repose près de 40 à 50 % des CMS du web, alors que le deuxième concurrent plafonne sous les 5 %. Le 2 octobre, WP Engine dépose une plainte officielle pour pratiques anticoncurrentielles et abus de pouvoir, rendant publics des échanges compromettants entre Mullenweg et la direction de WP Engine. Le chaos interne et la prise de contrôle d'ACF En parallèle, les employés d'Automattic s'interrogent sur les agissements de leur patron, qui communique de façon impulsive sur les réseaux sociaux et son blogue. Mullenweg pose un ultimatum à ses employés : être avec lui ou partir, avec un délai de 24 à 48 heures. Environ 159 personnes, soit près de 10 % de l'effectif, choisissent de quitter l'entreprise. Mullenweg reprend ensuite le contrôle du plugin ACF au nom de la sécurité de l'écosystème, s'appuyant sur la licence GPL qui régit les extensions déposées sur le dépôt WordPress. Il crée un clone baptisé SCF (Secure Custom Fields) et redirige silencieusement les mises à jour d'ACF vers SCF, de sorte que la plupart des utilisateurs changent de plugin sans même s'en rendre compte. Cette manœuvre soulève de sérieuses questions sur la pérennité de SCF, un produit gratuit sans modèle économique ni équipe dédiée à long terme. Pour les agences comme celle de Maxime, la situation est un casse-tête : faut-il informer les clients, revenir à ACF, attendre ? L'équipe de Maxime décide de redéployer ACF sur les sites concernés, estimant que les clients sont pris en otage dans ce conflit. Les conséquences sur l'écosystème Mullenweg réduit drastiquement les contributions d'Automattic au projet open source, passant de 4 000 heures par semaine à environ 45, provoquant une stagnation du développement. La version 6.8 de WordPress accumule les retards. BlackRock, investisseur dans Automattic, dévalue ses parts. Des développeurs commencent à remettre en question la pertinence de publier sur le dépôt WordPress. Face à cette centralisation problématique, des initiatives émergent pour décentraliser la distribution des extensions. WP Engine rachète WP Packagist et Roots lance WP Packages, offrant des alternatives au dépôt officiel. L'adoption reste cependant un défi majeur pour les utilisateurs non techniques. L'arrivée de EmDash par Cloudflare Le 1er avril 2025, Cloudflare lance EmDash, une solution de gestion de contenu basée sur le framework Astro. Son approche distingue le contenu statique du contenu dynamique grâce au concept d'« îles », offrant de meilleures performances. EmDash isole également les plugins dans des sandbox pour renforcer la sécurité, contrairement à WordPress où un plugin défaillant peut compromettre tout le site. Maxime reconnaît l'intérêt technique de cette solution, mais tempère l'enthousiasme : aucun écosystème de plugins, aucune communauté établie, aucun expert disponible. Cloudflare a les moyens financiers de soutenir le projet, mais il est trop tôt pour y migrer des projets clients. WordPress n'est ni mort ni véritablement menacé à court terme. Perspectives La bataille juridique entre Automattic et WP Engine devrait connaître des avancées en juin 2025. Maxime anticipe une tentative de règlement hors cour de la part de Mullenweg, face à un WP Engine soutenu par un fonds d'investissement de plusieurs milliards déterminé à aller jusqu'au bout. Plus le conflit dure, plus il nuit à l'ensemble de l'écosystème. L'espoir reste qu'un retour à la maturité permette à chacun de poursuivre son activité dans un marché suffisamment vaste pour tous. Collaborateurs Nicolas-Loïc Fortin Maxime Jobin Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    Actu - 10 mai 2026 - Parce que... c'est l'épisode 0x2F6!

    Play Episode Listen Later May 11, 2026 53:42


    Parce que… c'est l'épisode 0x2F6! Shameless plug 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Mythos ou le grand réveil Mozilla says AI helped squash 423 Firefox security bugs Opinion: Actually, Mythos is the best cybersecurity news we've ever had Spooked by Mythos, Trump suddenly realized AI safety testing might be good AI-BOMs replace SBOMs as way to track AI agents and bots AI didn't delete your database, you did Chrome installe en douce un modèle IA de 4 Go sur votre disque sans rien demander Malicious OpenClaw DeepSeek Skill Exploits Agentic AI Workflows to Deliver RAT and Stealer Hackers Hate AI Slop Even More Than You Do Thousands of Vibe-Coded Apps Expose Corporate and Personal Data on the Open Web Kevin Beaumont: “got owned by teenagers copying and pasting commands from PDFs written in 2019 by Jurass1cKn0b316” - Cyberplace La guerre, la guerre, c'est pas une raison pour se faire mal! Inside Israel's AI targeting system: How data from a phone become a death sentence Polish intelligence warns hackers attacked water treatment control systems Souveraineté ou vive le numérique libre! DHS Demanded Google Surrender Data on Canadian's Activity, Location Over Anti-ICE Posts Privacy ou cachez ces informations que je ne saurais voir Apple Security Updates: What They Mean for Mac and iPhone Privacy (1) Alberta voter list leak is a potential public safety disaster: Enforcement experts Canadian election databases use “canary traps”—and they work A college student is suing a dating app that allegedly used her TikTok videos to target men in her dormitory PSA: Instagram Encrypted Messaging Ends on Friday, May 8 I am the law Protégeons nos enfants 16% of Parents Help Their Children Bypass Online Age Checks, Study Finds. One 15-Year-Old Just Uses a Fake Moustache Some children are drawing on fake moustaches to bypass online age checks, report finds Meta, Zuckerberg Sued Over Alleged Copyright Infringement by Book Publishers and Scott Turow One House Democrat is pressing Commerce on the government's spyware use Elon Musk faces criminal probe in France after ignoring summons in X case France Moves to Break Encrypted Messaging Red ou tout ce qui est brisé Copy for the fail CISA says ‘Copy Fail' flaw now exploited to root Linux systems ‘Copy Fail' is a real Linux security crisis wrapped in AI slop Ransomware is getting uglier as cybercriminals fake leaks and skip encryption entirely Microsoft Edge Stores Passwords in Process Memory, Posing Risk VoidStealer Malware Darts Past Google Chrome's Encryption Azure AD Conditional Access Bypassed Through Phantom Device Registration and PRT Abuse White House App Is a Terrifying Security Mess Guessable admin password exposes sloppy network security 60% of MD5 password hashes are crackable in under an hour Blue ou tout ce qui améliore notre posture Security Through Obscurity Is NOT Bad Achieving CVE Remediation in an Era of Escalating Vulnerabilities Divers ou parce que j'ai aucune idée où les placer 1 in 8 workers say selling company logins is justifiable Kevin Beaumont: “Always good when your EDR provider gets hit by a ransomware group.” - Cyberplace Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Moxy Montreal Downtown

    Spécial - RETEX conférence S3NS 2026 aka part 2 - Parce que... c'est l'épisode 0x2F5!

    Play Episode Listen Later May 7, 2026 23:49


    Parce que… c'est l'épisode 0x2F5! Shameless plug 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Contexte et premières impressions Dans cet épisode spécial du podcast Polysécure, Nicolas Bédard reçoit son collègue de Palo Alto Networks pour un retour d'expérience sur la conférence S3NS, qui s'est tenue à Paris à la mi-février 2026. S3NS est le cloud souverain français, une offre construite sur la technologie de Google Cloud et certifiée par l'ANSSI (l'agence nationale française de cybersécurité) en décembre 2025 — soit à peine trois mois avant la conférence. L'invité y était envoyé en tant que représentant de Palo Alto Networks, pour présenter comment une entreprise américaine peut s'inscrire dans un écosystème de cloud souverain. Il avoue y être arrivé avec de sérieuses appréhensions : en tant que Nord-Américain travaillant pour une grande compagnie américaine, il craignait un accueil hostile, voire franchement anti-américain. La réalité qu'il a vécue a complètement renversé ses attentes. Une affluence surprenante, un discours inattendu Premier constat : l'ampleur de l'événement. Plus de 2 000 personnes étaient inscrites au sommet S3NS, un chiffre qui a surpris l'invité. La conférence était animée et les kiosques, dont celui de Palo Alto qui figurait parmi les plus grands, ont attiré une foule nombreuse et curieuse. Deuxième constat, et sans doute le plus marquant : le discours sur la souveraineté numérique entendu dans les keynotes était diamétralement opposé à ce qu'on entend habituellement au Québec ou en Amérique du Nord. Contrairement à ce que l'invité anticipait, il n'y avait aucune hostilité envers les entreprises américaines. Le message central de la conférence reposait sur deux piliers : la confiance d'abord, le contrôle ensuite. L'idée n'était pas de rejeter les technologies étrangères, mais de s'assurer qu'elles priorisent les intérêts des utilisateurs européens et qu'elles respectent leurs contraintes légales et opérationnelles. Cette nuance est fondamentale : mettre la souveraineté et l'innovation en opposition serait contre-productif. Les cyberattaquants, eux, utilisent les outils les plus avancés sans se soucier de leur origine. Une organisation qui sacrifierait l'innovation au nom de la souveraineté se retrouverait donc dans une position défavorable face aux menaces. Une maturité acquise avec le temps Nicolas Bédard apporte ici un éclairage précieux : il suit l'évolution du discours européen sur la souveraineté numérique depuis 2021-2022. À cette époque, le ton était beaucoup plus fermé, plus protectionniste, voire souverainiste au sens étroit du terme. En 2026, la pensée européenne a évolué vers une approche beaucoup plus pragmatique et collaborative, reconnaissant que la souveraineté ne signifie pas l'isolement, mais la maîtrise. Cette maturité, les Français l'ont acquise après des années de débat public sur le sujet. En comparaison, le Québec en est encore à une phase plus émotionnelle, réactive au contexte géopolitique récent. Les animateurs du podcast expriment le souhait que le débat local gagne lui aussi en nuance et en profondeur dans les années à venir. Palo Alto dans un cloud souverain : comment ça fonctionne ? La question naturelle se pose : comment une entreprise américaine comme Palo Alto Networks peut-elle opérer dans un environnement souverain, sachant que la certification SecNumCloud impose que l'opérateur soit une entité française ? La réponse est technique et pragmatique. Palo Alto ne peut pas être directement certifié SecNumCloud — et ne cherche pas à l'être. En revanche, ses produits peuvent tourner à l'intérieur d'une infrastructure souveraine certifiée. La stratégie retenue dans un premier temps consiste à déployer des solutions sous forme de machines virtuelles (VM) : pare-feu virtuels, console de gestion Panorama en VM, ou encore AI Runtime Security pour protéger les inférences localement. Le client télécharge et opère ces outils lui-même, dans son infrastructure souveraine, sans dépendre d'un service SaaS américain. Cette approche rappelle les déploiements dans les infrastructures critiques hors ligne — comme les sous-stations électriques — où l'on déploie des pare-feu entièrement autonomes, sans connexion à des services cloud externes. Le cloud souverain suit la même logique : le contenant est souverain, et le client garde le plein contrôle sur ce qui tourne à l'intérieur. Un use case qui dépasse les frontières françaises Un autre constat inattendu : la conférence S3NS attirait non seulement des organisations françaises, mais aussi des entreprises d'autres pays de l'Union européenne — Suisse, Italie, Allemagne, entre autres. Ces organisations voient dans S3NS une solution idéale pour la reprise après sinistre (DR) ou pour certaines charges de travail sensibles, en dehors même de toute obligation légale française. S3NS représente la certification cloud souveraine la plus exigeante disponible en Europe, ce qui en fait une option attractive pour quiconque cherche à minimiser son exposition aux juridictions extra-européennes. La souveraineté comme un oignon L'image la plus éclairante de la conférence est celle de l'oignon : la souveraineté se décline en couches. Certaines données et certains workloads nécessitent une infrastructure pleinement certifiée SecNumCloud — avec le surcoût que cela implique, inévitable pour tout cloud souverain qui ne bénéficie pas des économies d'échelle mondiales des grands hyperscalers. D'autres données, moins sensibles ou non soumises à des obligations légales, peuvent reposer sur des infrastructures alternatives offrant des garanties partielles de souveraineté — comme les offres équivalentes chez Microsoft ou AWS — à moindre coût. Ce n'est pas tout ou rien. C'est une stratégie graduée, adaptée à la nature de chaque donnée et à chaque contexte réglementaire. Ce qui s'en vient En conclusion, les deux animateurs notent que l'écosystème des clouds souverains est en pleine expansion : Bleu (basé sur Azure) est en cours de certification en France, un équivalent est annoncé en Allemagne, et d'autres suivront. La décentralisation vers de plus petits clouds régionaux s'amorce, portée en partie par le contexte géopolitique actuel. Un sujet à suivre de près — et assurément matière à un prochain épisode. Collaborateurs Nicolas-Loïc Fortin Nicolas Bédard Crédits Montage par Intrasecure inc Locaux réels par Nicolas Bédard

    Spécial - Vraust.ai ou comment protéger les personnes vulnérables de la fraude (Propolys) - Parce que... c'est l'épisode 0x2F4!

    Play Episode Listen Later May 6, 2026 31:02


    Parce que… c'est l'épisode 0x2F4! Shameless plug 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Présentation de l'invité et de la plateforme Dans cet épisode spécial enregistré dans le cadre de la cohorte Propolys, Nicolas reçoit Elnathan Tiokou, fondateur et CEO de Vraust.ai (vraust.ai). Cette startup québécoise se spécialise dans la prévention des arnaques (scams) en temps réel, ciblant principalement les citoyens canadiens les plus vulnérables. Elnathan présente sa plateforme comme un outil capable d'évaluer en quelques secondes si un site web, un courriel ou une conversation téléphonique présente des signes de fraude, en retournant un score de risque accompagné de recommandations concrètes. Comment fonctionne la fraude aujourd'hui Elnathan rappelle que la grande majorité des fraudes modernes repose sur le social engineering, c'est-à-dire la manipulation psychologique des victimes. Il illustre le propos avec un exemple parlant : un parent âgé qui tombe sur une fausse plateforme d'investissement et qui, faute de pouvoir rejoindre un proche plus averti, n'a aucun moyen de vérifier la légitimité du site. L'intelligence artificielle a considérablement amplifié la menace. Les fraudeurs peuvent désormais cibler des dizaines de milliers de personnes simultanément, avec des messages rédigés dans un français impeccable, rendant la détection humaine de plus en plus difficile. Même des professionnels en cybersécurité peuvent se faire piéger, comme Nicolas l'admet lui-même au fil de l'échange. Les axes d'analyse de Vraust.ai La plateforme s'appuie sur trois grandes familles d'analyse : L'analyse textuelle : courriels, sites web, messages de romance scam sur les réseaux sociaux. La plateforme effectue une analyse sémantique et sentimentale du contenu pour détecter les tentatives de manipulation. L'analyse vocale : les arnaques par appel téléphonique ou en vidéoconférence (Zoom, Teams) sont également couvertes. L'outil repère des signaux comme l'urgence dans le ton, les silences inhabituels ou les incohérences dans le discours. L'analyse technique : vérification de l'adresse IP, localisation du domaine, et autres indicateurs classiques en cybersécurité qui permettent de tracer l'origine d'une tentative de fraude. Ces trois couches alimentent un score de risque global, accompagné d'une catégorisation du type d'arnaque détecté (job scam, romance scam, fraude bancaire, etc.) et d'un lien vers des ressources gouvernementales présentant des situations similaires déjà documentées. La cible : les personnes vulnérables, pas les convaincus Elnathan soulève une statistique frappante : 78 % des adultes canadiens se disent confiants dans leur capacité à détecter une fraude, alors que 23 % d'entre eux continuent pourtant d'en être victimes. Cette fausse assurance crée un angle mort dangereux : plus on se croit invulnérable, plus on baisse sa garde. Plutôt que de dépenser énergie et capital à convaincre cette majorité confiante, Vraust.ai concentre ses efforts sur les segments les plus exposés : les personnes âgées, d'une part, et les jeunes de 13 à 18 ans, d'autre part — ces derniers représentant 25 à 27 % des victimes de fraude, un chiffre souvent méconnu. La stratégie commerciale repose sur un forfait familial : un adulte inscrit peut y intégrer ses parents et ses enfants, ces derniers ne pouvant rejoindre la plateforme qu'avec autorisation parentale. Une intégration pensée pour réduire la friction Actuellement, la plateforme fonctionne comme une interface conversationnelle en ligne — l'utilisateur y colle un texte suspect et reçoit une analyse instantanée. La prochaine étape, en cours de développement, est une application en arrière-plan (overlay) installée sur téléphone ou ordinateur. Celle-ci restera invisible dans l'usage quotidien et n'alertera l'utilisateur que lorsqu'une situation suspecte est détectée : un appel entrant frauduleux, un site web malveillant, etc. L'utilisateur garde le contrôle : il choisit quelles applications faire surveiller. La vie privée est au cœur de la conception — les données des utilisateurs ne sont pas stockées par défaut, et le modèle tourne en grande partie localement sur l'appareil. Simplifier le signalement aux autorités L'un des problèmes majeurs soulevés dans l'épisode est la barrière au signalement. Selon Elnathan, les 643 millions de dollars de pertes liées à la fraude rapportés l'an dernier au Canada ne représentent que 5 à 10 % des fraudes réelles — le reste n'étant jamais déclaré, souvent par honte, par découragement ou par manque de temps. Vraust.ai cherche à réduire ce processus à un seul clic : la plateforme structure automatiquement l'information (numéro du fraudeur, type d'arnaque, localisation potentielle) et la transmet aux autorités compétentes — en commençant par le Québec. Des échanges sont déjà en cours avec les autorités locales pour bâtir ce pipeline de signalement. Une fonction de rapport vocal est également prévue, permettant à une victime de simplement raconter son histoire à voix haute pour que la plateforme l'analyse et la transmette. En conclusion : la fraude se combat en communauté Elnathan conclut l'épisode par un appel au partage et à la déstigmatisation. Se faire arnaquer n'est ni une honte ni un signe d'ignorance — tout le monde peut en être victime. Il encourage chacun à reporter ses expériences, car chaque signalement alimente le modèle et protège les prochaines victimes potentielles. Nicolas renchérit : même les professionnels de la cybersécurité se font piéger, et 2026 s'annonce comme une année charnière dans la lutte contre la fraude numérique au Canada. Notes Vraust.ai Propolys Collaborateurs Nicolas-Loïc Fortin Elnathan Tiokou Crédits Montage par Intrasecure inc Locaux réels par Cyberconférence 2026

    Teknik - La place du tooling dans le threat intelligence (CTI) - Parce que... c'est l'épisode 0x2F3!

    Play Episode Listen Later May 5, 2026 34:43


    Parce que… c'est l'épisode 0x2F3! Shameless plug 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Présentation des invités Dans cet épisode technique de Polysécure, l'animateur reçoit deux analystes de l'équipe TDR (Threat Detection and Research) de Sekoya. Charles Meslay se spécialise en reverse engineering et en analyse de malware, tandis que Félix Aimé se concentre sur l'étude de campagnes liées à des États — cyberespionnage, sabotage — et joue un rôle central dans le développement d'outils internes pour mener les investigations. L'épisode prend appui sur un billet de blog récemment publié par l'équipe portant sur une campagne d'APT28, groupe étatique lié à la Russie, pour élargir la discussion à l'ensemble du tooling utilisé en CTI. Du reverse engineering manuel à l'automatisation Le point de départ concret est l'analyse d'un malware écrit en .NET, attribué à APT28 et découvert début 2025. Initialement, le travail reposait sur des outils classiques comme dnSpy : une interface graphique permettant de décompiler le code, de renommer les fonctions et de comprendre progressivement leur logique. Ce processus, bien que relativement accessible, est extrêmement chronophage — de une à trois semaines par binaire et par analyste. Avec l'émergence des LLM, Charles a d'abord commencé à copier-coller manuellement des portions de code dans ChatGPT pour accélérer l'analyse. Cette pratique l'a conduit à une idée d'automatisation : la création d'un serveur MCP (Model Context Protocol), un protocole permettant à un LLM d'interagir avec des outils externes via une interface de type API. Ce serveur, mis en open source, est en réalité une brique d'un outil plus large développé en interne : Sara. sarA : un orchestrateur d'analyse automatisée Sara est présentée comme le cœur de l'écosystème d'analyse de Sekoya. Son fonctionnement est le suivant : on lui soumet un fichier, le LLM identifie le type de fichier et sélectionne les outils adaptés — qu'il s'agisse de Ghidra, d'IDA Pro ou d'outils maison en ligne de commande — pour procéder à l'analyse. À l'issue du processus, Sara génère un rapport structuré comprenant la description du comportement du binaire, les différentes couches d'obfuscation détectées, des scripts de désobfuscation si nécessaire, et une liste explicite des angles morts de l'analyse, notamment en cas de limitations liées aux tokens ou au nombre de passes effectuées. Le gain est spectaculaire : le temps d'analyse est passé de plusieurs semaines à quelques minutes. Au-delà du gain de vitesse, Sara a également élargi le cercle des analystes capables de contribuer au reverse engineering, y compris ceux qui n'avaient pas de formation approfondie dans ce domaine. Les analystes spécialisés, comme Charles, continuent quant à eux à intervenir sur les cas complexes que l'outil ne résout pas seul. Un écosystème d'outils progressivement construit Félix retrace l'histoire du tooling interne, développé de façon itérative au fil des années. Au départ, l'équipe disposait d'un simple serveur de cache connecté à des API tierces comme VirusTotal, permettant de limiter la consommation de quotas. Ce serveur a ensuite été refondu pour gérer de manière transparente les clés d'API, simplifiant ainsi la vie des développeurs internes. L'équipe a ensuite créé un ensemble d'API maison pour automatiser des tâches courantes : requêtes DNS, récupération de plages d'IP sur des AS, etc. Ces briques ont permis de construire 150 transformes pour Maltego, un logiciel d'analyse permettant d'appliquer des micro-opérations sur des entités (adresses IP, noms de domaine, etc.) afin d'enrichir les investigations. Aujourd'hui, l'équipe envisage de migrer vers Flosint, une solution open source française au fonctionnement similaire. Pour le suivi dans le temps des infrastructures malveillantes, deux outils ont été développés. Tracker interroge des services comme Shodan, Censys ou VirusTotal avec des règles précises pour surveiller en quasi-temps réel des infrastructures ou des malwares. Irma, plus orientée vers le hunting, permet d'initier des investigations à partir d'heuristiques poussées — par exemple, détecter un nom de domaine enregistré chez un registraire douteux qui résout vers un routeur potentiellement compromis en France. L'ergonomie au cœur du développement Un principe philosophique fort ressort de l'échange : l'ergonomie prime sur la complexité technique. Félix insiste sur le fait que les outils en ligne de commande, aussi puissants soient-ils, finissent par être abandonnés si leur utilisation requiert de consulter le manuel à chaque fois. L'objectif est que l'intégralité des outils soit accessible depuis un navigateur web, via des sous-domaines dédiés, avec une interface de recherche permettant de trouver un outil par mot-clé (par exemple, taper « LLM » pour lister tous les outils liés à l'intelligence artificielle). Cette centralisation présente plusieurs avantages : harmonisation des dépendances, déploiement automatisé via des pipelines CI/CD, et adoption effective par l'ensemble de l'équipe. Comme le résument les deux invités, un outil que personne n'utilise ne vaut rien — peu importe ses capacités techniques. L'IA comme accélérateur transversal L'arrivée des LLM a transformé deux autres facettes du travail. D'abord, le prototypage : là où il fallait parfois des semaines pour valider une preuve de concept, quelques heures suffisent aujourd'hui pour déterminer si une idée mérite d'être poursuivie ou abandonnée. Ensuite, la capitalisation du renseignement. L'équipe ingère des rapports publics d'éditeurs tiers, les modélise au format STIX — un standard structuré d'objets liés (campagnes, groupes d'attaquants, indicateurs de compromission) — et enrichit sa base de connaissance. Ce travail, autrefois fastidieux et manuel, est aujourd'hui en grande partie automatisé grâce aux LLM, avec une revue humaine finale. L'analyste se retrouve alors libéré des tâches répétitives pour se concentrer sur ce qui reste hors de portée de l'IA : la création de règles YARA, le développement de trackers d'infrastructure, et l'identification de détails techniques fins qui nécessitent encore un vrai jus de cerveau. Conclusion Cet épisode offre un regard rare et concret sur le quotidien d'une équipe CTI de pointe. Entre automatisation intelligente, philosophie d'ergonomie et intégration progressive de l'IA, Charles et Félix décrivent un métier en pleine mutation — où l'analyste humain reste indispensable, mais se concentre désormais sur ce qu'il fait le mieux. Notes APT28, sarA Is watching you! Collaborateurs Nicolas-Loïc Fortin Charles Meslay Félix Aimé Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    Actu - 3 mai 2026 (edition home sweet home) - Parce que... c'est l'épisode 0x2F2!

    Play Episode Listen Later May 4, 2026 45:20


    Parce que… c'est l'épisode 0x2F2! Shameless plug 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Mythos ou Baba Yaga Mythos Changed the Math on Vulnerability Discovery. Most Teams Aren't Ready for the Remediation Side AI digs up decades of code debt. Patch up. AI Finds 38 Security Flaws in OpenEMR What Anthropic's Mythos Means for the Future of Cybersecurity Anthropic's Mythos Has Landed: Here's What Comes Next for Cyber OpenAI locks GPT-5.5-Cyber behind velvet rope Amid Mythos' hyped cybersecurity prowess, researchers find GPT-5.5 is just as good Pentagon keeps Anthropic barred despite Mythos interest Pentagon reaches agreements with top AI companies, but not Anthropic Vibe to oblivion Claude-powered AI coding agent deletes entire company database in 9 seconds — backups zapped, after Cursor tool powered by Anthropic's Claude goes rogue Vibe Coding Will Break Your Company AI threats in the wild: The current state of prompt injections on the web Anthropic's definition of safety is too narrow Multiple OpenClaw Vulnerabilities Enables Policy Bypass and Host Override Who Owns the Code Claude Wrote? School-shooting lawsuits accuse OpenAI of hiding violent ChatGPT users Fooling large language models just keeps getting simpler Everyone's building AI agents. Almost nobody's ready for what they do to identity. Govern your bots carefully or chaos could ensue I can never talk to an AI anonymously again Anthropic Launches Claude Security in Public Beta for Enterprise Customers La guerre, la guerre, c'est pas une raison pour se faire mal! Chinese spy group caught lurking in Poland, Asia networks Cyber spies target Russian aviation firms to steal satellite and GPS data Souveraineté ou vive le numérique libre! Digital Sovereignty: Wire to Replace Signal as Standard in the Bundestag Privacy ou cachez ces informations que je ne saurais voir US tech embraces Sam Altman's World iris-scan ID banned in places - Rest of World I am the law Age verification bazaar Meta found in breach of EU law for failing to keep children off platforms EU waves through age-check app to keep kids safe online Glenn Meder (@GlennMeder): “

    PME - Retour d'expérience sur la première cohorte du programme UQTR FORCE - Parce que... c'est l'épisode 0x2F1!

    Play Episode Listen Later Apr 29, 2026 27:26


    Parce que… c'est l'épisode 0x2F1! Shameless plug 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Un programme de cybersécurité taillé pour les PME québécoises Dans cet épisode du balado Polysécure, l'animateur Nicolas reçoit Gino Plourde et Dominic Villeneuve pour faire le bilan de la première cohorte du programme Quatre Force, une formation en cybersécurité conçue spécifiquement pour les techniciens et administrateurs des petites et moyennes entreprises (PME). Les résultats sont au-delà des attentes, et l'enthousiasme des deux créateurs est palpable tout au long de la conversation. Une première cohorte prometteuse La première cohorte s'est terminée le 27 février avec 11 participants provenant de six régions administratives différentes du Québec. La diversité des apprenants a été l'une des grandes surprises : on y retrouvait des gens issus de PME manufacturières, de firmes comptables et juridiques, de ministères gouvernementaux, ainsi que des propriétaires de petites entreprises en technologies de l'information. La cohorte s'est conclue par un rassemblement en présentiel où les attestations ont été remises dans une ambiance conviviale. La deuxième cohorte a démarré le 9 mars avec 10 participants, cette fois répartis dans encore plus de régions, incluant la Montérégie, la Vallée-de-l'Outaouais et même la Côte-Nord. Ce dernier participant, géographiquement isolé, a particulièrement apprécié le format asynchrone à distance, qui répond directement aux contraintes des régions éloignées. Fort de ce succès, Gino a ouvert les inscriptions pour une troisième cohorte dès le 13 mars, prévue pour le 14 septembre. Un contenu ancré dans la réalité des entreprises Le programme est structuré en six modules (du module 0 au module 5) sur une durée de 14 semaines, à raison d'environ 10 heures par semaine. Dominic souligne que dès le module zéro — le module de base théorique —, les participants réalisent à quel point leur entreprise est exposée. On y aborde la mentalité des pirates, la doctrine de guerre appliquée à la cybersécurité (notamment l'approche de Sun Tzu), ainsi qu'une introduction au cadre CVSS. Un exercice simple, comme demander un certificat SSL, suffit à illustrer concrètement comment des informations supposément privées deviennent publiquement accessibles. À partir du module 1, les apprenants passent à la pratique avec des laboratoires concrets. Un exemple marquant : les participants apprennent à exploiter la vulnérabilité Print Nightmare dans un environnement contrôlé. Ainsi, lorsqu'ils doivent convaincre leur direction de mettre à jour ou de retirer des serveurs obsolètes, ils peuvent démontrer en temps réel les risques encourus — un argument bien plus percutant qu'un rapport théorique. Le contenu a été délibérément épuré de tout ce qui n'est pas utile aux PME. Chaque heure de formation doit apporter une valeur directe à l'entreprise et à la personne. Les créateurs insistent : ce n'est pas un cours dilué ou facile à survoler comme on en trouve sur des plateformes généralistes. C'est exigeant, mais cette intensité est au service de l'intégration réelle des connaissances. Une formation qui évolue grâce aux retours des apprenants L'équipe a apporté plusieurs ajustements entre la première et la deuxième cohorte, tous basés sur les commentaires des participants. Une semaine supplémentaire a été accordée au module zéro, jugé trop dense à l'origine. Une semaine de relâche a également été introduite à mi-parcours, permettant aux apprenants légèrement en retard de se rattraper, et aux autres de laisser décanter la matière. Quelques laboratoires particulièrement ardus ont aussi été révisés pour mieux correspondre à des défis réalistes, sans sacrifier la rigueur du contenu. Dominic souligne avec humour qu'un laboratoire qu'il complétait lui-même en une heure pouvait prendre jusqu'à huit heures à un apprenant moins expérimenté — un signal clair qu'un ajustement s'imposait. Une communauté de pratique en pleine croissance Au-delà de la formation elle-même, Gino et Dominic ont mis sur pied un groupe privé sur Discord regroupant tous les diplômés des cohortes. Cet espace d'échange permet aux participants de partager des informations sur des attaques récentes, des patterns menaçants ou des solutions concrètes — sans honte ni jugement. Deux semaines après la fin de la première cohorte, un participant a signalé au groupe avoir été victime d'un cryptovirus, détaillant le vecteur d'attaque pour que tout le monde puisse s'en prémunir. Nicolas soulève un point important : cette communauté joue un rôle crucial parce qu'elle est accessible à des gens qui ne se sentent pas encore légitimes pour intégrer les grandes communautés de cybersécurité existantes. Les experts chevronnés peuvent être intimidants pour ceux qui commencent. Ce groupe offre un espace de progression à rythme raisonnable, avec des pairs au niveau comparable. Les échanges y sont aussi agnostiques par rapport aux fournisseurs, ce qui permet des discussions honnêtes sur les produits et solutions disponibles sur le marché. Une vision d'avenir pour le Québec et au-delà En conclusion, Gino et Dominic réaffirment leur ambition : voir ce programme contribuer concrètement à rendre les PME québécoises — et peut-être internationales — plus résilientes face aux cybermenaces. Les inscriptions pour la cohorte d'automne sont ouvertes, des subventions sont disponibles pour les PME et OBNL, et tout professionnel en TI qui souhaite approfondir ses compétences en cybersécurité sans nécessairement être un spécialiste de haut niveau est le bienvenu. La formation est conçue pour les jacks of all trades du numérique — y compris, soulignent-ils avec fierté, les femmes, encore trop peu représentées dans le domaine. Collaborateurs Nicolas-Loïc Fortin Dominic Villeneuve Gino Plourde Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    Le gazon selon Cyber Citoyen et PolySécure - Parce que... c'est l'épisode 0x2F0!

    Play Episode Listen Later Apr 28, 2026 77:45


    Parce que… c'est l'épisode 0x2F0! Préambule Je suis dans une alcôve dans une chambre d'hôtel, d'où l'écho inhabituel… et première diffusion live sur Twitch. Shameless plug 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Les vérifications d'identité : une fausse sécurité ? L'épisode s'ouvre sur un phénomène observé sur Tinder : certains profils contiennent une dernière photo manifestement absurde — un visage humain grossièrement intégré dans une image aléatoire (statue, panneau publicitaire). La théorie qui circule est que ces photos serviraient à contourner le système de vérification d'identité de la plateforme. Les fraudeurs utiliseraient cette image pour obtenir le badge « vérifié », puis la laisseraient en dernière position en espérant que les utilisateurs, éblouis par les premières photos générées par IA, n'y prêtent pas attention. Ce constat amène une réflexion plus large sur la valeur réelle des systèmes de vérification en ligne. Les coanimateurs rappellent l'époque du « vrai » crochet bleu sur Twitter, qui exigeait pièces d'identité et articles pour valider l'authenticité d'un compte. Depuis le rachat par Elon Musk et la transformation en X, n'importe qui peut acheter cette certification, vidant le système de son sens. L'épisode fait le parallèle avec Meta, qui facture également l'authentification. Résultat : les fraudeurs ont simplement appris à acheter la confiance plutôt qu'à la mériter, et les utilisateurs, rassurés par un badge, perdent leur réflexe naturel de vigilance. Un exemple hilarant illustre bien le chaos engendré : un compte parodique nommé « Eli Lilly » avait annoncé que l'insuline devenait gratuite, forçant la vraie entreprise pharmaceutique à démentir publiquement. Le vibe coding : l'illusion de créer sans comprendre Le second sujet porte sur Bolt.new (appelé « vapor » dans l'épisode), une application qui promet à n'importe qui de créer son propre site web ou application sans connaissances en programmation, grâce à l'IA. Le problème est apparu au grand jour quand des bases de données d'utilisateurs se sont retrouvées entièrement exposées au public. La plateforme a d'abord tenté de rejeter la faute sur ses utilisateurs en affirmant que la notion de « public » dans sa documentation était mal comprise — une formulation que les animateurs attribuent elle-même à une rédaction par IA tant le ton est caractéristique. Cette controverse illustre un problème de fond : coder est un métier qui intègre des principes de sécurité appris au fil des années. Le « vibe coding » reproduit les erreurs des quarante dernières années de développement logiciel, où tout est ouvert par défaut et où la sécurité n'est jamais pensée dès la conception (security by design). L'IA génère du code sans jamais demander « as-tu pensé à la sécurité de tes utilisateurs ? ». Le danger est double : non seulement les applications ainsi créées sont vulnérables, mais les utilisateurs qui s'y connectent ne peuvent pas savoir si elles l'ont été. La discussion s'élargit à la dévalorisation progressive des métiers créatifs et techniques — photographes, graphistes, développeurs — dont le travail devient invisible aux yeux de décideurs incapables de distinguer un résultat généré automatiquement d'un travail véritablement expert. Les animateurs anticipent toutefois un retour de balancier : les entreprises qui misent tout sur l'IA finiront par réaliser que la valeur humaine est ce qui les différencie réellement sur le marché. Modèles d'IA et cybersécurité : la guerre asymétrique Un troisième bloc aborde la sortie de modèles d'IA présentés comme potentiellement « dangereux » pour la cybersécurité. Les animateurs analysent ces annonces avec scepticisme, y voyant surtout des coups marketing habiles. Ils notent que les vulnérabilités mises en avant ont pu être reproduites avec des modèles publics existants, ce qui relativise le danger présenté. L'enjeu réel, selon eux, n'est pas tant la puissance brute des modèles que la façon dont ils sont utilisés. Des modèles plus petits, qui hallucinent davantage, peuvent en réalité trouver des vulnérabilités inédites précisément parce qu'ils explorent des zones imprévisibles — une forme de créativité non intentionnelle. L'approche par agents autonomes décentralisés, inspirée du fonctionnement du cerveau ou même des tentacules d'une pieuvre (chaque tentacule dispose d'une capacité décisionnelle propre), est présentée comme bien plus prometteuse que la course aux modèles toujours plus grands. Le réseau 764 : grooming, extorsion et idéologies radicales Le sujet le plus lourd de l'épisode est abordé par Catherine, qui le prépare depuis plusieurs semaines. À l'occasion de l'arrestation d'un homme de 26 ans à Québec, accusé d'avoir contacté des mineurs de 12-13 ans, elle explique l'écosystème criminel connu sous le nom de The Com — un réseau informel structuré autour du cybercrime, de la sextorsion et de la violence hors ligne. Le groupe 764 est une branche de cet écosystème. Né d'une idéologie néonazie, il s'est rapidement transformé en réseau de grooming systématique ciblant des adolescents vulnérables sur des plateformes comme Roblox, Minecraft et Discord. Les abuseurs repèrent des jeunes exprimant des difficultés (santé mentale, identité, isolement), pratiquent le love bombing pour devenir leur unique point d'ancrage affectif, puis exercent du chantage à partir de photos compromettantes, allant jusqu'à demander des automutilations filmées. Les animateurs insistent sur l'importance de parler ouvertement avec les enfants, sans jugement, et de connaître les signaux d'alerte : blessures inexpliquées, cadeaux inattendus, comportements dissimulateurs en ligne. Des ressources comme le site du gouvernement néo-zélandais (Netsafe) sont recommandées pour accompagner ces conversations. En guise de conclusion : l'humour comme résistance L'épisode se termine sur une réflexion collective sur la déshumanisation numérique, la dissociation permanente que génère l'habitude de tout filmer, et le sentiment d'un futur bouché chez les jeunes générations — autant de facteurs qui alimentent ces dérives. Mais plutôt que le désespoir, les animateurs choisissent l'humour comme mécanisme d'adaptation et comme forme d'espoir : rire ensemble, c'est aussi reconnaître une communauté de valeurs et continuer à croire qu'un autre monde est possible. Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    Actu - 26 avril 2026 - Parce que... c'est l'épisode 0x2EF!

    Play Episode Listen Later Apr 27, 2026 47:41


    Parce que… c'est l'épisode 0x2EF! Shameless plug 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Mythos NSA Reportedly Using Anthropic's Mythos Despite Pentagon Blacklist US security agency is using Anthropic's Mythos despite blacklist, Axios reports Unauthorized Group Gains Access to Anthropic's Exclusive Cyber Tool Mythos Anthropic Mythos shaping up as nothingburger The Boy That Cried Mythos: Verification is Collapsing Trust in Anthropic The Guardian view on Anthropic's Claude Mythos: when AI finds every flaw, who controls the internet? Mozilla: Anthropic's Mythos found 271 security vulnerabilities in Firefox 150 The AI era demands a different kind of CISO Paradigme AI-Powered Exploitation May Collapse the Patch Window for Defenders AI Model Claude Opus turns bugs into exploits for just $2,283 Why the Axios attack proves AI is mandatory for supply chain security Un agent IA chinois a trouvé près de 1 000 failles inédites, dont certaines dans Microsoft Office MCP MCP Servers Are the New APIs — And We're Making the Same Security Mistakes How Anthropic's Model Context Protocol Allows For Easy Remote Execution Prove You Are a Robot: CAPTCHAs for Agents Anthropic secretly installs spyware when you install Claude Desktop AI Agents Think. They Just Don't Know They're Being Watched. Vuln in Google's Antigravity AI agent manager could escape sandbox, give attackers remote code execution Lovable denies data leak, cites ‘intentional behavior' Kernel code removals driven by LLM-created security reports Introducing OpenAI Privacy Filter La guerre, la guerre, c'est pas une raison pour se faire mal! Iran claims US used backdoors in networking equipment Souveraineté ou vive le numérique libre! [Matrix in Europe Digital sovereignty](https://element.io/en/matrix-in-europe) FCC adds mobile hotspots to router ban Privacy ou cachez ces informations que je ne saurais voir Une faille IndexedDB permettait de relier toutes vos identités Tor Nullroom - Un chat P2P qui s'efface en 15 minutes Proton CEO: Age checks turn internet into ID checkpoint Apple stops weirdly storing data that let cops spy on Signal chats Why you should refuse to let your doctor record you Privacy Advocate Accuses US Government of Investing in AI-Powered Mass Surveillance I am the law Elon Musk fails to appear for questioning by French police over sexualized AI images on X Loi séparatisme - Le blocage sans juge gagne du terrain Most Australian teens admit the social media ban isn't working as they try to sidestep age verification blocks with face masks and their parents' IDs Colorado Adds Open-Source Exemption to Age-Attestation Bill Red ou tout ce qui est brisé You Don't Need to Hack the System. You Just Need to Make People Think You Did. Apple Knows. Visa Knows. Nobody Has Fixed It. Here's Why. Cyberattack at French identity document agency may have exposed personal data France's ‘Secure' ID agency probes claimed 19M record breach Another npm supply chain worm hits dev environments Bitwarden CLI Compromised in Ongoing Checkmarx Supply Chain … Why Phishing Still Works (Even If You Know About It) Blue ou tout ce qui améliore notre posture DDoS Kevin Beaumont: “If anybody is wondering, masto…” - Cyberplace DDoS wave continues as Mastodon hit after Bluesky incident Network ‘background noise' may predict the next big edge-device vulnerability NCSC: Passkeys now good enough to be the default standard Kevin Beaumont: “I just want to give the analysts at Dragos credit here for how they framed this - it's really responsible.” - Cyberplace You don't want long-lived keys Divers ou parce que j'ai aucune idée où les placer Quadratic Contrary to popular superstition, AES 128 is just fine in a post-quantum world In a first, a ransomware family is confirmed to be quantum-safe Original GrapheneOS responses to WIRED fact checker Palantir Employees Are Starting to Wonder if They're the Bad Guys Les cartes bancaires biométriques sont-elles une vraie avancée ou du bullshit marketing ? Histoire Un malware qui pourrait être la toute première cyberarme de l'histoire Discret 11, the French TV encryption of the 80's Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Moxy Montreal Downtown

    Teknik - IA SOC - Parce que... c'est l'épisode 0x2EE!

    Play Episode Listen Later Apr 22, 2026 40:40


    Parce que… c'est l'épisode 0x2EE! Shameless plug 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Un historique souvent oublié David Bizeul rappelle d'emblée que l'intelligence artificielle en cybersécurité n'est pas un phénomène récent. Ses racines remontent aux années 1950 avec les travaux d'Alan Turing, mais c'est surtout à partir des années 1990 que le machine learning commence à s'intégrer concrètement dans les produits de sécurité. Les systèmes experts et les algorithmes de classification — supervisés ou non supervisés — permettent alors de traiter de grands volumes de données : filtres bayésiens pour les e-mails, détection d'anomalies réseau via les outils NDR, etc. Cette évolution se fait progressivement et sans grand bruit jusqu'en 2023, où l'architecture Transformer de Google — à l'origine de ChatGPT et d'OpenAI — change radicalement la donne. Les LLM (grands modèles de langage) ouvrent de nouvelles possibilités dès lors qu'on leur fournit un corpus textuel structuré. Les produits de sécurité intègrent d'abord des assistants conversationnels, capables de répondre à des questions sur des groupes d'attaquants ou des menaces connues, en s'appuyant simplement sur ce que le modèle a appris. Vient ensuite le RAG (Retrieval-Augmented Generation), qui permet de combiner la connaissance générale du LLM avec des données internes propres à chaque client : analyses de risques, politiques de sécurité, rapports de tests d'intrusion. Le contexte devient ainsi beaucoup plus pertinent et personnalisé. L'ère agentique : plusieurs agents qui collaborent La véritable rupture arrive avec l'approche agentique, qui s'impose véritablement à partir de fin 2025 et début 2026. Plutôt qu'un modèle unique qui répond à des requêtes, on dispose désormais d'un framework composé de plusieurs agents spécialisés qui travaillent ensemble de façon orchestrée. David illustre cela avec un cas d'usage concret dans un SOC : Un agent d'investigation analyse les alertes en profondeur : il examine les événements associés, identifie les actifs concernés, recoupe les informations pour confirmer si une attaque a réellement progressé ou a été bloquée. Un agent de triage joue le rôle d'orchestrateur : il mobilise l'agent d'investigation sur l'ensemble des alertes en attente, puis produit un verdict ou un score de pertinence pour chacune d'elles. Un agent de contre-mesures prend le relais une fois la situation clarifiée : il propose des actions correctives en tenant compte des outils disponibles (présence ou non d'API, de protocoles MCP) et de leur accessibilité réelle dans l'environnement du client. Chaque agent dispose d'un périmètre d'action délimité, d'une capacité de raisonnement (un LLM interne ou externe) et d'une batterie d'actions possibles. C'est exactement la trajectoire suivie par l'entreprise de David, qui déploie ces modules agentiques cette année. Maîtriser les hallucinations et personnaliser les agents Pour s'assurer qu'un agent reste dans les rails, plusieurs mécanismes sont mis en place. Le premier est le system prompt : une instruction détaillée — parfois l'équivalent de cinq pages — qui définit les objectifs, les étapes à suivre et les comportements à éviter. Les clients peuvent ensuite surcharger ces instructions avec leurs propres règles métier. Par exemple, une entreprise qui préfère parler d'un « score de 0 à 100 » plutôt que de « faux positifs » peut reconfigurer l'agent en conséquence. Pour réduire les hallucinations, il est également possible de faire itérer un agent sur plusieurs passes de vérification, voire de solliciter plusieurs LLM différents afin de confronter leurs points de vue. David donne l'exemple d'un agent de renseignement sur les menaces étatiques : interroger successivement un modèle américain, européen et chinois permet de mettre en évidence des biais géographiques, puis de synthétiser une vue équilibrée. Cette approche multi-modèles n'est cependant pas systématiquement recommandée : elle multiplie les coûts et la latence, et n'apporte une valeur réelle que pour des questions à fort enjeu stratégique. Choisir son modèle : externe, interne ou spécialisé Trois grandes options s'offrent aux organisations : L'API externe (OpenAI, Anthropic, etc.) : simple à mettre en œuvre, mais nécessite un encadrement contractuel rigoureux pour la protection des données. Le modèle open source hébergé en interne : instancié sur les propres GPU de l'entreprise, il garantit confidentialité et maîtrise de la latence, au prix d'une infrastructure plus lourde. Le DSLM (Domain-Specific Language Model) : un modèle entraîné spécifiquement pour la cybersécurité, plus léger et plus rapide qu'un LLM généraliste, à l'image de ce qu'avait réalisé Cisco. Cette approche marque en quelque sorte un retour aux origines du machine learning spécialisé, mais enrichi des apports de l'architecture Transformer. Impact sur les équipes : augmentation, pas remplacement L'IA ne remplacera pas les analystes SOC, mais elle transformera profondément leurs rôles. Le triage — tâche répétitive et chronophage — sera bientôt entièrement automatisé. Les analystes seront alors libérés pour se concentrer sur des missions à plus forte valeur ajoutée : detection engineering, gestion de crise, définition des règles d'automatisation. Le paradigme évolue du « human in the loop » — l'humain intégré dans la boucle, qui la ralentit — vers le « human on the loop » : l'humain en posture de pilotage, qui supervise et ajuste sans intervenir à chaque étape. Face à des attaques de plus en plus automatisées et rapides (des outils comme Shannon permettent déjà de séquencer des opérations de pentest de façon autonome), la défense n'a pas d'autre choix que de s'automatiser à son tour. Une question sans réponse : la formation des futurs experts La discussion se conclut sur une interrogation ouverte et préoccupante : si les postes de niveau junior — qui constituaient historiquement le terrain d'apprentissage des futurs seniors — disparaissent au profit de l'automatisation, comment formera-t-on les experts de demain ? Une piste serait d'utiliser l'IA elle-même pour accélérer la montée en compétences via des simulations réalistes. Mais la question reste entière, et David l'admet sans détour : il n'a pas la réponse. Collaborateurs Nicolas-Loïc Fortin David Bizeul Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    PME - Comment simplifier un message complexe pour qu'il soit retenu? - Parce que... c'est l'épisode 0x2ED!

    Play Episode Listen Later Apr 21, 2026 15:55


    Parce que… c'est l'épisode 0x2ED! Préambule Nous avons rencontré un petit défi d'enregistrement vers la 12e minute. Shameless plug 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Le contexte : une surcharge informationnelle sans précédent En 2026, nos cerveaux font face à un défi sans précédent : la quantité d'informations importantes à traiter et à retenir n'a jamais été aussi grande. L'essor de l'intelligence artificielle amplifie encore ce phénomène, en générant davantage de contenu tout en réduisant notre capacité à agir sur ce que nous recevons. C'est dans ce contexte que Cédrick Bruyère aborde une question fondamentale pour toute entreprise, tout conférencier ou tout professionnel qui souhaite faire passer un message : comment s'assurer qu'il sera réellement retenu ? L'exemple du courriel en cybersécurité : quand trop d'information tue l'information Pour illustrer son propos de façon concrète, Cédrick présente un cas fictif mais très réaliste : un expert en cybersécurité qui souhaite sensibiliser son équipe aux dangers des clés USB trouvées par terre. Dans sa version initiale, le courriel est un véritable mur de texte technique. Il y est question de vecteurs d'attaque physique, de contournement des mécanismes de sécurité périmétrique, de microcontrôleurs émulant des périphériques HID, d'exfiltration de données, de propagation latérale, de conformité à la loi 25, de politiques GPO, de solutions EDR, et de bacs à sable (sandboxes) pour l'analyse de fichiers suspects. Le résultat ? Un message que même un professionnel du domaine peine à suivre jusqu'au bout. Pour quelqu'un qui n'a pas de formation technique, c'est simplement incompréhensible — et donc inutile. Ce qui se passe dans le cerveau face à trop d'information Cédrick explique le mécanisme neurologique derrière cette défaillance de communication. Lorsqu'une trop grande quantité d'informations arrive simultanément, le cortex préfrontal — la région du cerveau responsable de la prise de décision et de la priorisation — se retrouve en état de saturation cognitive. Il n'est plus capable de distinguer l'essentiel du superflu. Face à cette surcharge, le cerveau abandonne purement et simplement l'idée de retenir quoi que ce soit. Cédrick cite à ce sujet James Carville : « If you say three things, you don't say anything. » Quand on en dit dix, c'est encore pire. Le contre-exemple : aller à l'essentiel Face au courriel initial, Cédrick propose une version épurée qui tient en quelques lignes : une clé USB inconnue peut infecter un ordinateur en quelques secondes et donner accès à toutes les données de l'entreprise. Si vous trouvez une clé par terre, ne la branchez pas dans votre ordinateur, car elle pourrait déclencher une attaque et compromettre toute l'organisation. C'est le même message. Mais cette fois, il ne contient qu'une seule idée centrale, claire et actionnable : ne branchez pas de clé USB inconnue. Tout ce qui était superflu a été retiré. Ce qui reste, c'est exactement ce que l'on veut que les gens retiennent. Cédrick précise que cette démarche de simplification a été au cœur du travail réalisé chez Vigilia lors de la création de leurs formations en cybersécurité. Des capsules qui duraient initialement entre cinq et dix minutes ont été condensées en formats de une minute trente à trois minutes — sans perdre leur efficacité, bien au contraire. Le principe fondamental : un message parfait, c'est un message auquel on ne peut plus rien enlever Issu d'un background en rédaction, Cédrick partage sa règle d'or : un message atteint la perfection non pas quand il n'y a plus rien à ajouter, mais quand il n'y a plus rien à enlever. Quand chaque mot restant est indispensable, le message est à son niveau optimal d'efficacité. Pour y parvenir, la première question à se poser est : qu'est-ce qu'on veut que les gens retiennent ? Une seule réponse, claire et simple, doit guider l'ensemble de la rédaction. L'exemple de la compagnie aérienne : la mission comme boussole Pour illustrer comment une idée centrale peut structurer toute une organisation, Cédrick évoque l'exemple d'une compagnie aérienne à succès — vraisemblablement Southwest Airlines — dont la mission tient en quelques mots : être la ligne aérienne la moins chère. Cette formulation simple permet à des milliers d'employés de prendre des décisions cohérentes au quotidien, sans avoir besoin de consulter une longue liste de directives. Quand le département marketing propose d'améliorer les repas à bord, la question est immédiate : est-ce que ça nous rend moins chers ? Si la réponse est non, la décision est prise. Une mission bien formulée devient ainsi un filtre décisionnel puissant, applicable à tous les niveaux de l'entreprise. Comment développer ce réflexe au quotidien ? Cédrick propose une approche progressive et accessible. Le site web d'une entreprise constitue un excellent terrain d'entraînement : chaque page peut être relue avec un œil critique, chaque message peut être réécrit en se demandant si l'essentiel est vraiment mis de l'avant. Le même exercice s'applique aux courriels, aux présentations clients, aux dépliants de vente. Avec de la pratique, cette question — est-ce qu'il y a vraiment que l'essentiel ici ? — devient un réflexe naturel. Elle finit par s'intégrer dans la façon de composer n'importe quel message. L'intention plutôt que la planification En guise de conclusion, Cédrick glisse une dernière réflexion : il est souvent plus payant de mettre son énergie sur l'intention plutôt que sur la planification. Une planification rigide peut s'effondrer dès le premier imprévu, sans que l'on sache comment se réaligner. Une intention claire, elle, résiste aux aléas : même si le chemin change, on sait toujours où l'on va. En somme, simplifier un message, ce n'est pas l'appauvrir — c'est lui donner toutes ses chances d'être compris, retenu et appliqué. Collaborateurs Nicolas-Loïc Fortin Cédrick Bruyère Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    Actu - 19 avril 2026 - Parce que... c'est l'épisode 0x2EC!

    Play Episode Listen Later Apr 20, 2026 61:34


    Parce que… c'est l'épisode 0x2EC! Shameless plug 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes RETEX Botconf IA ou Ghost in the shell Mythos qui ne veut pas mourir [AI Cybersecurity After Mythos: The Jagged Frontier AISLE](https://aisle.com/blog/ai-cybersecurity-after-mythos-the-jagged-frontier) On Anthropic's Mythos Preview and Project Glasswing - Schneier on Security UK gov's Mythos AI tests help separate cybersecurity threat from hype - Ars Technica [In the Wake of Anthropic's Mythos, OpenAI Has a New Cybersecurity Model—and Strategy WIRED](https://www.wired.com/story/in-the-wake-of-anthropics-mythos-openai-has-a-new-cybersecurity-model-and-strategy/) Anthropic releases Claude Opus 4.7, a less risky model than Mythos [AI cybersecurity is not proof of work - ](https://antirez.com/news/163) [White House to give US agencies Anthropic Mythos access, Bloomberg News reports Reuters](https://www.reuters.com/technology/white-house-give-us-agencies-anthropic-mythos-access-bloomberg-news-reports-2026-04-16/) Frontier AI Reinforces the Future of Modern Cyber Defense We Reproduced Anthropic's Mythos Findings With Public Models - Vidoc Security Lab Every Old Vulnerability Is Now an AI Vulnerability US Government Now Wants Anthropic's ‘Mythos', Preparing for AI Cybersecurity Threats - Slashdot Nude Apple a menacé de virer Grok de l'App Store à cause des deepfakes publiés sur X - Korben [The Deepfake Nudes Crisis in Schools Is Much Worse Than You Thought WIRED](https://www.wired.com/story/deepfake-nudify-schools-global-crisis/) AI Chatbots and Trust - Schneier on Security OpenAI rotates macOS certs after Axios attack hit code-signing workflow How Hackers Are Thinking About AI - Schneier on Security Agentic LLM Browsers Expose New Attack Surface for Prompt Injection and Data Theft AI platform n8n abused for stealthy phishing and malware delivery Google, Pentagon Discuss Classified AI Deal - Slashdot MCP ‘design flaw' puts 200k servers at risk: Researcher • The Register In the AI propaganda war, Iran is winning La guerre, la guerre, c'est pas une raison pour se faire mal! Hackers Target Israeli Desalination Plants With ZionSiphon Sabotage Malware Souveraineté ou vive le numérique libre! Linux commence à retirer le support des processeurs russes Baikal - Korben Baumgartner Introduces Bipartisan Bill to Tighten Controls on Sensitive Chipmaking Equipment - Michael Baumgartner Privacy ou cachez ces informations que je ne saurais voir Contrôlons nos enfants EU Age Verification Blueprint — the dedicated technical portal EU age verification app announced to protect children online EU's New Age Verification App Can Be Hacked Within 2 Minutes, Researchers Claim 702 is the code [In defeat for Trump, House extends electronic spying program for just 10 days The Record from Recorded Future News](https://therecord.media/fisa–trump-congress-extension-surveillance) [Keep Pushing: We Get 10 More Days to Reform Section 702 Electronic Frontier Foundation](https://www.eff.org/deeplinks/2026/04/keep-pushing-we-get-10-more-days-reform-section-702) Meta Is Warned That Facial Recognition Glasses Will Arm Sexual Predators - Slashdot Audit Finds Google, Microsoft, and Meta Still Tracking Users After Opt-Out - Slashdot [It Is Time to Ban the Sale of Precise Geolocation Lawfare](https://www.lawfaremedia.org/article/it-is-time-to-ban-the-sale-of-precise-geolocation) Old Cars ‘Tell Tales' by Storing Data That's Never Wiped - Slashdot I am the law [Majority of Australian youth still use social media despite ban, researchers find The Record from Recorded Future News](https://therecord.media/social-media-ban-australia-research) FCC exempts Netgear from ban on foreign routers, doesn't explain why - Ars Technica Red ou tout ce qui peut tourner mal [No one owes you supply-chain security purplesyringa's blog](https://purplesyringa.moe/blog/no-one-owes-you-supply-chain-security/) [The Dumbest Hack of the Year Exposed a Very Real Problem WIRED](https://www.wired.com/story/crosswalk-city-hack-cybersecurity-lessons/) [Mailbox rules in O365—a post-exploitation tactic in cloud ATO Proofpoint US](https://www.proofpoint.com/us/blog/threat-insight/mailbox-rules-o365-post-exploitation-tactic-cloud-ato?utm_source=twitter&utm_medium=social_organic) Quatre bugs Microsoft ressortent du placard, dont un de 14 ans - Korben [NIST narrows scope of CVE analysis to keep up with rising tide of vulnerabilities CyberScoop](https://cyberscoop.com/nist-narrows-cve-analysis-nvd/) Dutch navy frigate tracked by mailing it a Bluetooth tracker • The Register MAD Bugs: Even “cat readme.txt” is not safe - Calif Tycoon 2FA Phishers Scatter, Adopt Device Code Phishing Microsoft defender under attack as three zero-days, two of them still unpatched, enable elevated access Blue ou bleu est la nuit Defense in Depth, Medieval Style - Schneier on Security [ANNOUNCE] WireGuard for Windows and WireGuardNT, Version 1.0 - Jason A. Donenfeld Divers ou la crise identitaire Rien hahahahahaha! Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Sheraton Saint-Hyacinthe Hotel

    H'umain - Projet accompagné par Propolys - Mindlock - Parce que... c'est l'épisode 0x747!

    Play Episode Listen Later Apr 15, 2026 37:45


    Parce que… c'est l'épisode 0x747! Shameless plug 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Une experte à la croisée des neurosciences et de la cybersécurité Dans cet épisode spécial Propolys, l'hôte reçoit Mélissa Canseliet, experte en neurosciences et en cyberpsychologie, qui développe une start-up en cybersécurité appelée Mindlock. Avec un parcours atypique allant de la recherche en neurosciences à Oxford jusqu'à plus de 14 ans dans l'industrie du jeu vidéo — notamment chez Ubisoft, Samsung et Missplay —, Mélissa incarne une vision résolument interdisciplinaire de la sécurité informatique. Le constat : des formations en cybersécurité inefficaces La conversation s'ouvre sur un problème que les deux interlocuteurs connaissent très bien : les formations traditionnelles de sensibilisation à la cybersécurité sont, au mieux, inefficaces, et au pire, contre-productives. L'hôte décrit avec humour sa propre expérience de ces interminables présentations PowerPoint que tout le monde s'empresse de traverser le plus vite possible, en répondant aux questions de validation sans vraiment retenir quoi que ce soit. Ce constat, qui dure selon lui depuis plus de vingt ans, illustre un problème structurel : ces formations ne tiennent absolument pas compte de la façon dont le cerveau humain apprend et s'engage. Mélissa confirme ce diagnostic. Lors de ses nombreux entretiens menés dans le cadre du projet Mindlock, elle a constaté que la cybersécurité est systématiquement perçue par les non-spécialistes comme un domaine austère, peu prioritaire et difficile d'accès. Les formations existantes s'attardent souvent sur l'aspect technique des attaques, mais abordent très peu comment nous, en tant qu'humains, fonctionnons — et surtout, comment nous commettons des erreurs. Le facteur humain : le grand oublié de la cyberdéfense L'un des fils conducteurs de l'entretien est la place centrale du facteur humain dans les cyberattaques. En s'appuyant sur des rapports comme celui du Forum économique mondial, Mélissa rappelle que la vaste majorité des cyberattaques sont liées à des erreurs humaines. Pourtant, les défenseurs ont longtemps misé presque exclusivement sur des solutions techniques, laissant de côté les expertises issues des sciences cognitives et de la psychologie. Les attaquants, eux, ont depuis longtemps compris cette réalité. L'ingénierie sociale — l'art de manipuler les individus plutôt que de pirater des systèmes — repose précisément sur une connaissance fine des mécanismes psychologiques universels : l'urgence, la peur, l'autorité, la confiance. Ces « boutons » émotionnels sont exploités méthodiquement par des cybercriminels qui ne sont pas nécessairement des génies de la technique, mais qui savent, selon la formule savoureuse de Mélissa, « bien se f**re de la gueule du monde ». Arrogance, humilité et vulnérabilité cyber Un passage particulièrement marquant de la discussion porte sur le lien entre les traits de personnalité et la vulnérabilité aux attaques. Contrairement à l'idée reçue selon laquelle « seuls les naïfs se font avoir », Mélissa explique que l'arrogance est une vulnérabilité cyber à part entière. Une personne qui se croit à l'abri ne développe pas de vigilance ; elle se laisse porter par sa surconfiance et ne perçoit pas les signaux d'alerte. À l'inverse, une personne plus humble, capable de reconnaître ses limites, sera naturellement plus attentive à une situation inhabituelle — une demande anormalement urgente, par exemple. Les états émotionnels comme la colère, la peur ou le sentiment d'urgence sont également des portes d'entrée exploitées par les attaquants, comme en témoignent les célèbres fraudes au président. Comprendre ces mécanismes, c'est commencer à s'en protéger. L'empathie comme bouclier La notion d'empathie occupe une place importante dans la vision de Mélissa. Souvent perçue comme une faiblesse ou une qualité purement relationnelle, l'empathie est en réalité, dans une perspective neuroscientifique, un outil puissant. L'ingénierie sociale en est d'ailleurs une forme détournée : les cybercriminels font preuve d'une empathie redoutable pour anticiper les réactions de leurs cibles. La réponse consiste donc à développer une empathie envers soi-même — comprendre ses propres réactions, ses biais, ses angles morts — afin de reconquérir un espace de discernement et de choix éclairé dans un environnement numérique de plus en plus fluide et automatisé. Mindlock : mettre l'expertise du jeu vidéo au service de la sécurité C'est dans ce contexte que s'inscrit le projet Mindlock, un jeu de sensibilisation à la cybersécurité centré sur le facteur humain. L'idée est d'appliquer au domaine de la sécurité les standards d'expérience utilisateur que Mélissa a développés au fil de sa carrière dans l'industrie du jeu vidéo, notamment dans la phase dite d'onboarding — la première heure de jeu, étudiée à la minute près pour maximiser l'engagement. Mindlock ambitionne de rompre avec le modèle de la formation unique et générique distribuée une fois par an. Le cerveau ne construit pas de nouvelles habitudes en « one shot » : il lui faut de la récurrence, de la motivation et de la personnalisation. En s'inspirant des mécaniques de jeu et des connaissances issues des neurosciences, Mindlock vise une expérience à la fois intuitive, engageante et adaptée à chaque utilisateur — une expérience qui donne envie de revenir, non par obligation, mais parce qu'elle permet d'apprendre quelque chose sur soi-même. Un enjeu de société En toile de fond, la discussion soulève un enjeu beaucoup plus large : dans un monde désormais entièrement numérisé — accéléré par la pandémie de COVID-19 —, la cybersécurité est devenue une question citoyenne. Protéger son organisation, c'est aussi apprendre à se protéger soi et à protéger ses proches. Et face à l'essor de l'intelligence artificielle, le risque n'est pas seulement de se faire pirater, mais d'assister à une atrophie progressive de l'intelligence humaine, faute de l'exercer. Le cerveau, première cible des pièges du numérique, est aussi, selon Mélissa, la protection la plus sous-exploitée qui soit. C'est ce pari que tente de relever Mindlock. Notes Parcours Entreprendre en cybersécurité Humanet Collaborateurs Nicolas-Loïc Fortin Mélissa Canseliet Crédits Montage par Intrasecure inc Locaux réels par Club Claude

    PME - Vibe coding ou programmation à la bonne franquette - Parce que... c'est l'épisode 0x746!

    Play Episode Listen Later Apr 14, 2026 18:21


    Parce que… c'est l'épisode 0x746! Shameless plug 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Introduction Dans cet épisode de PME, l'animateur reçoit Cyndie Feltz, Nicholas Milot et Dominique Derrier pour discuter du vibe coding — une tendance qui consiste à générer du code quasi entièrement à l'aide d'outils d'intelligence artificielle, souvent sans posséder de solides bases en développement. Le ton est décontracté, ponctué d'humour, mais le fond du propos est sérieux : si le vibe coding ouvre des portes fascinantes, il comporte aussi des risques bien réels, particulièrement en matière de sécurité et de maintenabilité. L'analogie de la maison : séduisant mais fragile Pour illustrer le concept, Cyndie propose une analogie percutante : imaginez construire une maison en se contentant de décrire vocalement ce qu'on veut — la couleur des murs, l'emplacement des fenêtres — sans aucune connaissance en construction. Le résultat visuel peut être bluffant, mais irait-on habiter cette maison ? Probablement pas, car personne n'a pensé aux normes antisismiques, aux règles du bâtiment, à la plomberie ou à l'électricité. L'analogie tient parfaitement pour le développement logiciel : une application vibe codée peut avoir l'air fonctionnelle et même impressionnante en surface, tout en étant criblée de failles de sécurité, dépourvue de gestion des erreurs, et incapable de passer en production. Le rendu visuel crée une illusion de compétence qui peut être dangereuse si l'on n'a pas les bases pour évaluer ce qu'on a réellement construit. Les cas d'usage légitimes Les participants s'accordent néanmoins à reconnaître la valeur réelle du vibe coding dans certains contextes précis : Les preuves de concept (POC) : pour valider rapidement une idée, démontrer la viabilité d'une fonctionnalité ou présenter un prototype à des parties prenantes, l'outil est fantastique. Il permet d'éviter de gaspiller des cycles de développement coûteux avant même de savoir si l'idée mérite d'être poursuivie. Les outils internes : pour des scripts légers, des automatisations maison ou des utilitaires qui ne seront jamais exposés à des utilisateurs externes, le vibe coding offre une grande souplesse. Les petits sites vitrines : créer une page web simple pour présenter une entreprise est un cas d'usage où les risques restent limités. Nicholas souligne que le scénario change radicalement si c'est un expert qui utilise le vibe coding pour accélérer son travail plutôt qu'un non-initié qui s'y fie aveuglément. Un développeur expérimenté sait quelles questions poser, quelles contraintes intégrer dans ses prompts, et surtout quand le code généré est insuffisant ou dangereux. Les risques concrets La sécurité, grande oubliée Cyndie, qui œuvre dans le domaine de la sécurité, pointe plusieurs vulnérabilités typiques du vibe coding : La gestion des secrets : une personne sans expérience va naturellement coller ses clés API (Stripe, GitHub, OpenAI) directement dans le code, sans comprendre que c'est une pratique catastrophique. Les permissions excessives : si on fournit à l'agent IA un accès complet à une base de données, rien ne l'empêche de générer — et d'exécuter — une commande DROP TABLE. Il faut réfléchir aux moindres privilèges, ce qui requiert une connaissance du domaine. Le contournement des protections : certains LLM, interrogés de la bonne façon, acceptent désormais de fournir des techniques pour bypasser des systèmes de sécurité (comme les EDR), voire d'écrire des preuves de concept malveillantes. L'incident Amazon Un exemple concret frappe les esprits : en février 2026, Amazon aurait subi une interruption de service d'environ 13 heures après qu'un employé a utilisé un outil de type Cursor (l'éditeur interne « Kiro ») pour supprimer et recréer des secrets et des connexions, mettant accidentellement AWS hors ligne. En réaction, Amazon a instauré une règle interne obligeant les développeurs juniors et intermédiaires à faire approuver leurs mises en production par un développeur senior — ce qui revient à admettre officiellement que l'expérience humaine reste indispensable. La dette technique et la maintenabilité Nicholas insiste sur un autre écueil : le code vibe codé est difficile à maintenir. Sans documentation adéquate, sans architecture réfléchie, le code généré par IA ressemble à du Perl écrit en une ligne — on ne comprend plus ce qu'on a fait quelques semaines plus tard. Plus l'application grossit, plus la gestion du contexte entre les différents agents IA devient complexe, et plus il faut investir dans des fichiers de documentation (Markdown, instructions de projet) pour garder le cap. Les hallucinations de dépendances Un autre cas inquiétant est évoqué : un LLM qui invente une dépendance npm inexistante. Des centaines de dépôts GitHub se sont retrouvés à référencer un package qui n'existe pas, parce que l'IA l'avait suggéré avec confiance. Au-delà du dysfonctionnement, le risque de sécurité est évident : si quelqu'un crée un vrai package malveillant portant ce nom, il serait automatiquement adopté par tous ces projets. Le vibe coding comme exosquelette La métaphore finale la plus juste est celle de l'exosquelette : le vibe coding décuple les capacités de ceux qui savent déjà marcher, mais ne remplace pas les jambes. L'humain reste central. L'IA accélère, automatise et débloque des possibilités nouvelles — mais elle ne remplace ni le jugement, ni l'expérience, ni la responsabilité. La course à la vitesse pousse les entreprises à sacrifier la qualité et la sécurité, ce qui mène inévitablement à des échecs retentissants. Le consensus des panélistes : utiliser le vibe coding pour explorer et prototyper, puis confier la production à des processus rigoureux, idéalement guidés par des personnes qui comprennent ce qu'elles construisent. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    Actu - 12 avril 2026 - Parce que... c'est l'épisode 0x745!

    Play Episode Listen Later Apr 13, 2026 52:36


    Parce que… c'est l'épisode 0x745! Préambule Je suis en déplacement et je n'ai pas tous mes équipements habituels. Je n'ai pas encore trouvé l'équilibre entre la frugalité des choses que je mets dans ma valise et le maintien de la qualité de l'enregistrement. Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Mythos The ‘Vulnpocalypse': Why experts fear AI could tip the scales toward hackers Kevin Beaumont: “I've had a bunch of people ask…” - Cyberplace Kevin Beaumont: “Companion video https://youtu.…” - Cyberplace Kevin Beaumont: “I don't think anybody actually…” - Cyberplace Anthropic Teams Up With Its Rivals to Keep AI From Hacking Everything Anthropic Mythos model can find and exploit 0-days Anthropic limits access to Mythos, its new cybersecurity AI model Scoop: OpenAI plans new product for cybersecurity use We're Getting the Wrong Message from Mythos Anthropic's Mythos Will Force a Cybersecurity Reckoning—Just Not the One You Think Has Mythos just broken the deal that kept the internet safe? Japan relaxes privacy laws to make AI development easy The demise of software engineering jobs has been greatly exaggerated First man convicted under Take It Down Act kept making AI nudes after arrest Police corporal created AI porn from driver's license pics Trump-appointed judges refuse to block Trump blacklisting of Anthropic AI tech OpenAI Backs Bill That Would Limit Liability for AI-Enabled Mass Deaths or Financial Disasters Florida investigates OpenAI for role ChatGPT may have played in deadly shooting Californians sue over AI tool that records doctor visits Hacker Uses Claude and ChatGPT to Breach Multiple Government Agencies La guerre, la guerre, c'est pas une raison pour se faire mal! Iran intruders disrupting US water, energy facilities UK says it exposed Russian submarine activity near undersea cables Souveraineté ou vive le numérique libre! numerique.gouv.fr Privacy ou cachez ces informations que je ne saurais voir Why you can't trust Privacy & Security Report: US demands Reddit unmask ICE critic, summons firm to grand jury “Not Even Government Agencies” FBI Extracts Suspect's Deleted Signal Messages Saved in iPhone Notification Database I am the law Apple continues to roll out age verification around the world Greece to ban under-15s from social media from next year Reaffirming our commitment to child safety in the face of European Union inaction Senator launches inquiry into 8 tech giants for failures to adequately report CSAM Wisconsinites Can Keep Watching Porn After Governor Vetoes Age Verification Bill New Mexico's Meta Ruling and Encryption LinkedIn scanning users' browser extensions sparks controversy and two lawsuits UK government threatens tech bosses with jail time if they do not adequately fight nudification tools Red ou tout ce qui est brisé Quantum FTW? A Cryptography Engineer's Perspective on Quantum Computing Timelines Cloudflare fast-tracks post-quantum rollout as new research puts encryption on notice Why is the timeline to quantum-proof everything constantly shrinking? Disgruntled researcher leaks “BlueHammer” Windows zero-day exploit FBI says cybercrime losses hit record $20.87B in 2025 Microsoft Abruptly Terminates VeraCrypt Account, Halting Windows Updates Un ransomware frappe le logiciel de dossiers patients de 80 % des hôpitaux néerlandais Why more Mac attacks now rely on social engineering Blue ou tout ce qui améliore notre posture Little Snitch for Linux Open source security at Astral Static code analysis in Kotlin Google rolls out Gmail end-to-end encryption on mobile devices Brocards for vulnerability triage Divers ou parce que j'ai aucune idée où les placer Dad stuck in support nightmare after teen lied about age on Discord Scoop: Meta removes ads for social media addiction litigation Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par CitizenM Gare de Lyon

    Spécial - Teaser ITSec - René-Sylvain Bédard - Parce que... c'est l'épisode 0x744!

    Play Episode Listen Later Apr 12, 2026 19:11


    Parce que… c'est l'épisode 0x744! Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Un événement communautaire au cœur de la cybersécurité québécoise Dans cet épisode spécial, Nicolas-Loïc Fortin s'entretient avec René-Sylvain Bédard, un acteur bien connu de la communauté cybersécurité au Québec. Au menu : la conférence ITSec, ses origines, sa valeur, son thème de l'année, et les grandes réflexions que René-Sylvain s'apprête à y partager. Une conversation qui déborde rapidement sur des sujets plus larges, de l'intelligence artificielle à la gouvernance des données, en passant par le rôle des gestionnaires face aux défis de la cybersécurité. ITSec : bien plus qu'une conférence technique René-Sylvain décrit ITSec avec une affection non dissimulée. Impliqué depuis quatre ans, il qualifie l'événement de « grande messe » où se retrouvent professionnels de la cybersécurité et fournisseurs de services gérés (MSP) dans un esprit authentiquement communautaire. Ce qui le distingue des grands salons commerciaux, c'est précisément ce qu'il n'est pas : un show de vente. Ici, l'objectif est de partager la passion et les connaissances, pas de pousser des produits. L'ambiance y est conviviale mais résolument technique. La première journée est consacrée à la formation, suivie d'un capture the flag en soirée. Un spectacle humoristique vient ensuite marquer la transition entre les deux jours, permettant de souffler avant de replonger dans le contenu. Ce format — deux jours ni trop longs ni trop courts — contribue à maintenir une énergie positive tout au long de l'événement. Le parcours gestionnaire : amener le boss dans la salle L'une des innovations les plus marquantes des dernières années est l'introduction du « parcours gestionnaire », né d'un constat simple : après les présentations, des participants venaient régulièrement dire à René-Sylvain qu'ils auraient voulu que leur supérieur entende ce qui venait d'être dit. De là est née l'idée du Bring Your Own Boss — une invitation directe faite aux professionnels TI d'amener leur dirigeant à la conférence. Ce parcours, horizontal par nature, s'adresse à des gestionnaires issus de la TI, de la cybersécurité ou du monde MSP. L'objectif est d'assurer une « traduction » entre le langage technique des équipes et la réalité décisionnelle des dirigeants. Une initiative saluée par Nicolas-Loïc, qui souligne à quel point les grands événements comme le RSA contribuent parfois à brouiller les cartes en multipliant les annonces spectaculaires sans réelle valeur opérationnelle pour les praticiens. Le thème 2025 : l'IA qui protège nos mondes numériques Cette année, ITSec a choisi de centrer son édition autour de l'intelligence artificielle, non pas sous l'angle de la menace, mais sous celui de la protection. Le thème retenu — L'IA qui protège nos mondes numériques — ouvre une perspective rafraîchissante dans un paysage médiatique souvent dominé par les discours alarmistes. L'IA peut aussi être un bouclier, et ITSec entend démontrer comment. La conférence d'ouverture sera assurée par Anne-Gwen, dont René-Sylvain anticipe qu'elle va « souffler tout le monde » avec une vision nouvelle du sujet. Par ailleurs, Microsoft animera une formation sur la gouvernance des données comme prérequis à l'adoption de l'IA — un rappel bienvenu que déployer Co-Pilot sans avoir structuré ses données en amont, c'est prendre le problème à l'envers. La formule est connue : garbage in, garbage out. Gouvernance des données et sécurité : les deux faces d'une même pièce La discussion s'étend naturellement à la question de la gouvernance dans les environnements Microsoft 365. René-Sylvain illustre l'enjeu avec un exemple parlant : si la sécurité de vos données dans M365 n'est pas bien configurée, votre IA héritera des mêmes lacunes. Un stagiaire pourrait ainsi se retrouver avec accès aux salaires de toute l'organisation — non pas parce que l'IA est mal paramétrée, mais parce que les fondations de sécurité n'ont jamais été posées correctement. Cette réalité rejoint un problème plus large : la majorité des organisations déploient des outils d'IA générative sans avoir réalisé le travail préparatoire indispensable — nettoyage des données, gestion des accès, étiquetage (tagging). Un travail ingrat, invisible, mais absolument fondamental. La démocratisation de la cybersécurité pour les gestionnaires C'est le sujet que René-Sylvain s'apprête à aborder lors de sa présentation au parcours gestionnaire, en s'appuyant sur son livre en cours de publication. Son constat est sans appel : les outils technologiques de cybersécurité sont inutiles pour les dirigeants. Mettre une console Sentinel ou SentinelOne devant un gestionnaire — qu'il soit comptable, vendeur ou administrateur — ne produira aucun effet utile. 94 % d'entre eux, estime-t-il (et Nicolas-Loïc irait même jusqu'à 99 %), n'ont tout simplement pas les clés pour interpréter ce qu'ils voient. La question qu'il soulève n'est donc pas technique, mais stratégique : quelle est la couche de traduction qui manque pour rendre la cybersécurité digestible à un décideur ? Comment lui donner une visibilité réelle sur ce que ses équipes font, sans le noyer dans des millions de signaux d'alerte qu'il ne peut pas interpréter ? C'est le fil conducteur de sa présentation, et manifestement, un débat qui promet d'être animé. L'esprit de communauté comme moteur En conclusion, les deux interlocuteurs s'accordent sur l'essentiel : ce qui nourrit les professionnels de la cybersécurité, c'est le contact avec d'autres expertises, la confrontation bienveillante des points de vue, les échanges informels autour d'un café. ITSec, comme d'autres événements communautaires, remplit ce rôle en sortant les participants de la bulle négative pour les ramener à leur passion première : la technologie. Et si quelques tomates sont jetées en chemin, c'est souvent le signe qu'on a touché quelque chose de vrai. Notes 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 [ITSec - RenéSylvain Bédard] (https://it-sec.ca/schedule-speaker/rene-sylvain-bedard/) Collaborateurs Nicolas-Loïc Fortin René-Sylvain Bédard Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    Spécial - Teaser ITSec - Frédérik Bernard - Parce que... c'est l'épisode 0x743!

    Play Episode Listen Later Apr 11, 2026 34:31


    Parce que… c'est l'épisode 0x743! Préambule L'enregistrement a été effectué à partir d'un lien Internet avec beaucoup de latence. J'ai corrigé du mieux que je peux. Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Présentation de l'invité et de son entreprise Frédérik Bernard est président fondateur de Secur01, une entreprise québécoise spécialisée en cybersécurité depuis 12 ans. Dès sa fondation, l'objectif était clair : rendre la cybersécurité accessible aux PME. Si les grandes entreprises bénéficiaient déjà depuis longtemps de services spécialisés dans ce domaine, ce n'est que depuis environ cinq ans que les PME commencent à prendre conscience de l'importance de se protéger. Secure 01 accompagne aujourd'hui plus d'une centaine de clients actifs au Canada, aux États-Unis et en Europe. La cybersécurité, un domaine de spécialisation à part entière L'un des fils conducteurs de l'échange est la transformation profonde du secteur des technologies de l'information. Dans les années 2000, « faire du TI » signifiait tout à la fois : réparer des ordinateurs, installer des imprimantes, maintenir des serveurs, développer des sites web. Aujourd'hui, ces disciplines se sont fragmentées, tout comme le multimédia s'est autrefois détaché du reste de l'informatique. La cybersécurité suit exactement cette trajectoire. Les cadres de contrôle internationaux sont unanimes : les personnes qui gèrent les opérations TI au quotidien ne devraient pas être celles qui supervisent leur propre sécurité. La raison est simple et profondément humaine — on manque d'objectivité lorsqu'on évalue son propre travail. Frédérik Bernard fait le parallèle avec le monde du développement logiciel, où le contrôle qualité est depuis longtemps confié à des équipes distinctes de celles qui produisent le code. L'analogie médicale qu'il propose est particulièrement parlante : demander à un médecin généraliste d'opérer un cerveau n'a aucun sens, aussi compétent et bien intentionné soit-il. La cybersécurité, c'est la neurochirurgie des systèmes d'information. L'état du marché : moins d'attaques, mais plus dévastatrices Les rapports de référence du secteur — CDW, Verizon DBIR et autres — convergent vers un constat préoccupant : si le nombre d'attaques a légèrement diminué ces dernières années, leur portée et leur criticité ont explosé. Les attaquants passent de plus en plus de temps sur les réseaux compromis avant d'être détectés — parfois 20, 30 ou 40 jours —, le temps d'exfiltrer des centaines de gigaoctets de données sensibles. Ce constat est aggravé par une réalité de terrain que Frédérik Bernard rencontre régulièrement lors de réponses aux incidents : des équipes TI incapables de répondre à des questions élémentaires. À quoi sert tel serveur ? Quelles données y sont hébergées ? Quel est l'inventaire des machines actives sur le réseau ? Ces lacunes ne sont pas le résultat d'une mauvaise volonté, mais d'une surcharge chronique et d'un manque de spécialisation. Les équipes TI sont débordées, en retard de plusieurs semaines sur leurs projets, et la vague numérique post-COVID — télétravail, infonuagique, industrie 4.0 — n'a fait qu'amplifier cette pression. L'intelligence artificielle : accélérateur, pas substitut L'essor de l'IA dans le secteur est également abordé. Si les outils dopés à l'IA permettent effectivement de gagner du temps sur des tâches précises — comme l'analyse de journaux d'événements qui passait de 45 minutes à 2 minutes —, ils ne transforment pas pour autant un généraliste en expert de la cybersécurité. Entraîner un modèle à reconnaître des signaux d'alerte pertinents, le connecter à l'ensemble des sources de données d'un environnement, exige un investissement considérable en temps et en expertise. L'IA est un outil d'optimisation, pas une lampe magique. Les enjeux réglementaires et juridiques, un terrain miné La cybersécurité ne se joue pas seulement sur le plan technique. Frédérik Bernard soulève un point méconnu mais capital : au Québec, mener une réponse aux incidents — collecter des preuves, établir le récit d'une attaque — constitue légalement une activité d'investigation encadrée par la loi sur la sécurité privée. Seules les agences de sécurité privée disposant d'enquêteurs accrédités sont habilitées à exercer ces activités. De nombreux prestataires TI l'ignorent et s'y aventurent sans le savoir, s'exposant à des risques juridiques sérieux. Il cite un cas concret : un fournisseur TI ayant effacé toutes les preuves en débranchant physiquement les équipements lors d'une attaque par rançongiciel, puis rédigé un rapport désignant un tiers comme responsable, sans la moindre preuve. Le dossier s'est judiciarisé. Ce type de situation illustre à quel point l'absence de cadre professionnel peut nuire aux clients comme à l'ensemble de l'industrie. Vers une association professionnelle et un ordre professionnel C'est précisément pour répondre à ces dérives que l'association ITSec a été relancée avec une ambition politique claire : créer les conditions nécessaires à l'établissement d'un ordre professionnel en TI et en cybersécurité au Québec. L'objectif n'est pas de bureaucratiser le secteur, mais de lui donner les outils pour se défendre collectivement — un code de déontologie, des lignes directrices partagées, une voix crédible auprès des décideurs politiques et des médias. Le « beau frère » — cette figure du pseudo-expert qui branche une caméra sans fil et se proclame directeur TI — ne disparaîtra que lorsque l'industrie aura la capacité institutionnelle de dire « non » et de faire valoir ce qu'elle représente réellement : le Québec numérique, tenu à bout de bras, en coulisses, par des professionnels dont le travail reste largement invisible. Frédérik Bernard interviendra à deux reprises lors de la conférence ITSec. Le public est invité à assister à ses présentations pour approfondir ces sujets. Notes 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 [ITSec - Frédérik Bernard] (https://it-sec.ca/schedule-speaker/frederik-bernard/) Collaborateurs Nicolas-Loïc Fortin Frédérik Bernard Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    Teknik - EvilTokens - Parce que... c'est l'épisode 0x742!

    Play Episode Listen Later Apr 10, 2026 30:56


    Parce que… c'est l'épisode 0x742! Préambule Ma connexion Internet de l'hôtel où j'étais avait une latence insoutenable. J'ai tenté de retirer le awkward des pauses entre les interactions, mais ce n'est pas parfait. Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Introduction Dans cet épisode, l'animateur s'entretient avec Quentin Bourgue, chercheur en cybersécurité, au sujet d'un rapport récemment publié sur EvilTokens, un nouveau kit de phishing as a service (PhaaS) qui marque un tournant significatif dans le paysage des cybermenaces. Le sujet est présenté d'emblée comme particulièrement préoccupant, l'animateur confiant avoir eu « froid dans le dos » à la lecture des conclusions de l'analyse. Qu'est-ce qu'EvilTokens ? EvilTokens est un service de phishing découvert début mars 2026 lors d'une veille menée sur un canal Telegram spécialisé dans la fraude et le phishing. L'opérateur a développé un kit clé en main qu'il loue à des affiliés selon un modèle de souscription mensuelle — un modèle dit phishing as a service. Ce qui distingue immédiatement ce kit de ses concurrents, c'est sa technique d'attaque : le phishing par device code, plutôt que le phishing par adversary-in-the-middle (AiTM) qui prédomine dans la majorité des plateformes PhaaS existantes. Le phishing par device code : une technique jusque-là réservée aux élites Le phishing par AiTM consiste à s'intercaler entre la victime et le service d'authentification pour récupérer un cookie de session. Le phishing par device code fonctionne différemment : l'attaquant initie lui-même une demande d'autorisation pour un appareil virtuel — une méthode normalement conçue pour les smart TV ou les objets connectés — puis demande à la victime de compléter cette autorisation. Toutes les étapes s'effectuent sur les domaines légitimes de Microsoft, ce qui rend la détection bien plus difficile. À l'issue du processus, l'attaquant ne récupère pas un simple cookie de session, mais deux jetons Microsoft : Un access token, valable 60 à 90 minutes, donnant accès à des services comme Outlook, SharePoint, OneDrive, Microsoft Teams ou l'API Microsoft Graph. Un primary refresh token, permettant de maintenir un accès persistant pendant 90 jours. Avant EvilTokens, cette technique était réservée à des acteurs sophistiqués : groupes étatiques ou cybercriminels avancés. Le fait qu'elle soit désormais packagée dans un service accessible à des attaquants peu qualifiés représente un saut qualitatif majeur dans la menace. Un modèle économique structuré et professionnel Le kit est distribué entièrement via Telegram. L'opérateur a mis en place un bot pour automatiser les souscriptions, des canaux pour promouvoir les nouvelles fonctionnalités, et un système de support client. Le paiement s'effectue en cryptomonnaies via un service nommé Payment Now. La tarification est significativement plus élevée que les offres concurrentes : 1 500 dollars pour accéder au panneau d'administration, 500 dollars par mois pour les pages de phishing opérationnelles, soit 2 000 dollars le premier mois. Ce prix s'explique par les fonctionnalités avancées de post-compromission, notamment l'automatisation augmentée par l'intelligence artificielle — qui constitue sans doute l'innovation la plus redoutable du kit. La post-compromission automatisée par l'IA : le vrai saut technologique Une fois les jetons en main, l'attaquant peut déclencher une phase de reconnaissance automatisée via des requêtes à l'API Microsoft Graph. En quelques clics, il récupère : les emails de la victime, ses contacts, son calendrier, ses dossiers, et même sa position hiérarchique dans l'organisation (manager, subordonnés). Toutes ces données sont ensuite consolidées sur l'infrastructure d'EvilTokens, puis analysées par deux modèles d'intelligence artificielle via un service nommé Groq (avec un Q, distinct du Grok d'Elon Musk) : Groq Llama 3.8B analyse les emails par lots de 250 pour identifier les activités financières. Groq Llama 3.3 70B consolide les analyses, génère un score de fraude potentielle, et rédige automatiquement trois emails de compromission (BEC) prêts à l'envoi, injectés dans des fils de conversation existants pour maximiser leur crédibilité. Une fonction de traduction via l'API d'OpenAI permet également de traiter les boîtes mail dans d'autres langues que l'anglais. Ce qui prenait auparavant plusieurs heures, voire plusieurs jours de reconnaissance manuelle se fait désormais en quelques minutes, avec un niveau de contextualisation bien supérieur à ce qu'un attaquant humain pouvait atteindre seul. Un code probablement généré par IA L'analyse du code JavaScript d'EvilTokens a conduit Quentin Bourgue à estimer qu'il a été vibe-codé, c'est-à-dire généré en grande partie par un outil d'IA générative. Plusieurs indices le suggèrent : tout le code tient dans un seul fichier, les commentaires sont très soignés et sans fautes, des emojis apparaissent dans le code, et certaines fonctions semblent mortes ou non fonctionnelles — caractéristiques fréquentes des sorties LLM. Conséquences et mesures de remédiation EvilTokens préfigure une évolution rapide de l'ensemble de l'écosystème PhaaS. Déjà, des concurrents comme Kratos et Tycoon ont commencé à intégrer le phishing par device code. Il est probable que les fonctionnalités d'automatisation par IA se répandent dans la majorité des plateformes concurrentes dans les mois à venir. Pour les entreprises, les recommandations sont les suivantes : Bloquer l'autorisation par device code dans les politiques d'accès conditionnel, ou en restreindre l'usage à un sous-ensemble précis d'utilisateurs si des cas métier légitimes l'exigent (salles de réunion connectées, IoT). Sensibiliser les employés à risque — particulièrement ceux liés aux activités financières — à ce type de phishing et aux tentatives de fraude par compromission de messagerie professionnelle (BEC). Conclusion EvilTokens représente une convergence inédite entre phishing avancé, automatisation et intelligence artificielle, mise à la portée d'attaquants peu expérimentés. La vitesse et la précision des attaques que ce kit permet rendent la détection et la réponse aux incidents encore plus critiques pour les organisations. Une menace à surveiller de très près. Notes New widespread EvilTokens kit: device code phishing as-a-service – Part 1 EvilTokens: an AI-augmented Phishing-as-a-Service for automating BEC fraud – Part 2 Collaborateurs Nicolas-Loïc Fortin Quentin Bourgue Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    H'umain - Pourquoi LinkedIn me fait sentir aussi mal? - Parce que... c'est l'épisode 0x741!

    Play Episode Listen Later Apr 9, 2026 45:18


    Parce que… c'est l'épisode 0x741! Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Un retour inattendu sur une plateforme paradoxale Cet épisode du podcast Sécure réunit deux anciens connaissances, Gabrielle Thibault-Delorme et son interlocuteur, qui se sont retrouvés par hasard grâce à un article publié sur LinkedIn — ce qui constitue en soi une ironie savoureuse étant donné le sujet de leur conversation. Avant même d'appuyer sur « enregistrer », ils ont jasé pendant plus d'une heure dans un café, rappelant au passage qu'une rencontre dans le vrai monde reste, malgré tout, la forme de connexion la plus naturelle et la plus riche. LinkedIn : une plateforme de performance déguisée en réseau professionnel Gabrielle a récemment vécu un changement de carrière majeur : après quinze ans dans les médias, le journalisme et le marketing, elle a choisi de devenir massothérapeute. C'est dans ce contexte de transition professionnelle qu'elle s'est retrouvée aspirée, presque malgré elle, dans le fil d'actualité de LinkedIn. L'expérience a été psychologiquement éprouvante : au moment précis où elle se trouvait dans un « no man's land » entre deux carrières, elle était bombardée de publications célébrant des promotions, des équipes « en feu » et des lancements de marque triomphants. Ce contraste a mis en lumière un des malaises fondamentaux de la plateforme. LinkedIn n'est pas un réseau de connexion authentique : c'est un espace de performance de soi. Chaque publication devient une mise en scène, un acte de marketing personnel. Le vocabulaire y est codifié — on est toujours « dynamique », toujours « résilient », toujours en croissance. Même les récits d'échec y sont systématiquement assortis d'un spin positif, d'une leçon tirée, d'un rebond annoncé. L'échec pur et simple, sans morale édifiante, n'a pas sa place. Or, comme le souligne Gabrielle, des fois une mauvaise nouvelle, c'est juste une mauvaise nouvelle — et la forcer dans un cadre de croissance personnelle ne fait qu'amplifier le sentiment d'isolement de ceux qui traversent des moments difficiles. La fausse positivité et ses effets pervers La conversation aborde deux phénomènes particulièrement irritants sur LinkedIn : le compliment biaisé et la fausse humilité. Dans les deux cas, il s'agit de formes de communication dissonantes où le message réel est enveloppé dans un vernis de bienveillance qui sonne creux. L'échec n'y sert que de tremplin narratif pour mieux vendre sa réussite. Cette positivité performative, amplifiée depuis l'arrivée de ChatGPT et la multiplication des emojis automatisés, vide progressivement les échanges de leur substance humaine. Ce contexte est d'autant plus problématique que LinkedIn est souvent consulté à des moments de vulnérabilité — lors d'une recherche d'emploi, d'un burnout, d'une réorientation professionnelle. C'est précisément quand on est le moins bien dans sa peau qu'on se retrouve confronté à un flux ininterrompu de succès affichés. Le poids psychologique de cet écart entre la réalité vécue et l'image projetée par les autres est réel et sous-estimé. Un réseau qui tient rarement ses promesses Sur le plan concret, LinkedIn déçoit également. La plateforme promet du réseautage et des opportunités d'emploi, mais les deux interlocuteurs s'accordent à dire que le retour sur investissement est maigre. Les notifications de visites de profil créent une illusion d'attention qui ne se traduit presque jamais en contact réel. Pire encore, savoir que cinquante personnes ont consulté son profil sans laisser de message peut tout aussi bien être vécu comme cinquante rejets silencieux. Pour trouver du travail, les sites d'emploi traditionnels et le réseau réel restent bien plus efficaces. La bonne vieille lettre de motivation — et un profil Facebook sans photo embarrassante — l'emporte souvent sur un profil LinkedIn soigné. La reconnexion entre Gabrielle et son interlocuteur, facilitée par LinkedIn, est ouvertement décrite comme une heureuse exception, pas comme la norme. Reddit : l'anonymat comme espace d'humanité En contraste frappant avec LinkedIn, la discussion se tourne vers Reddit, que Gabrielle fréquente assidûment. Structuré autour de communautés thématiques, basé sur l'écriture et l'anonymat, Reddit offre un espace où les gens parlent de vrais problèmes — maladies, séparations, deuils — sans avoir à les habiller d'un spin positif. L'anonymat, loin d'être un vecteur systématique de toxicité, devient ici un outil de liberté et d'authenticité. Les gens y confient des choses qu'ils ne diraient jamais à visage ouvert, précisément parce qu'ils n'ont pas d'image professionnelle à protéger. La plateforme n'est pas sans défauts — les chambres d'écho, les communautés toxiques et les mouvements extrémistes y ont aussi trouvé terreau fertile — mais son modèle de modération par communauté et son filtrage par pertinence plutôt que par polémique en font un espace plus propice à la vraie connexion. Le vrai monde comme horizon La conclusion naturelle de cet échange revient à ce qui a rendu la conversation elle-même possible et agréable : deux personnes dans un café, avec du non-verbal, de la chaleur humaine, et l'impossibilité d'ouvrir quatre onglets en parallèle. Les réseaux sociaux, dans leur forme actuelle, sont devenus des bazars numériques où tout coexiste pêle-mêle — tribunes, portfolios, confessions, haine, validation — sans jamais vraiment remplir leur promesse originelle de créer du lien. Ce lien, rappellent-ils tous les deux, se construit encore dans le vrai monde, en se montrant dans son humanité imparfaite, sans masque ni mise en scène. Notes Pourquoi LinkedIn me fait sentir aussi mal? Collaborateurs Nicolas-Loïc Fortin Gabrielle Thibault-Delorme Crédits Montage par Intrasecure inc Locaux réels par Cafés Europa

    Spécial - Gestion de crise - Parce que... c'est l'épisode 0x740!

    Play Episode Listen Later Apr 8, 2026 33:47


    Parce que… c'est l'épisode 0x740! Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Enquête vs gestion de crise : deux mondes opposés Dans cet épisode, Nicolas reçoit Christophe pour approfondir un sujet évoqué lors d'une conversation précédente sur les enquêtes en cybersécurité : la gestion de crise. Si l'enquête s'inscrit dans un cadre ordonné — parfois judiciaire — où l'on dispose du temps, des outils et de la rigueur nécessaires pour reconstituer les faits, la gestion de crise, elle, est son exact opposé. Écrans qui clignotent, téléphones qui sonnent dans tous les sens, experts épuisés, informations incomplètes et décisions à prendre dans l'urgence : voilà le quotidien du gestionnaire de crise. Christophe résume bien cette dualité en parlant du brouillard de la guerre (fog of war) : on avance dans l'incertitude, on ajuste ses hypothèses au fur et à mesure que la réalité se révèle, sans jamais avoir toutes les cartes en main. La complexité humaine au cœur de la crise L'un des points les plus saillants de l'épisode est que la gestion de crise dépasse largement le seul volet technique. Elle constitue avant tout un test de maturité collective, qui mobilise des équipes venues de tous horizons : juridique, communication, ressources humaines, logistique. Or ces acteurs n'ont pas nécessairement de culture cyber, ce qui crée des frictions importantes. Un terme mal compris, une information mal transmise — et c'est déjà plusieurs heures de perdues à des clarifications qui auraient pu être évitées grâce à une sensibilisation préalable. Christophe souligne également le biais de transmission : dans un contexte de stress intense, un message se dégrade à chaque relais humain. Une information déjà incertaine à la source devient encore moins fiable après plusieurs mains. C'est pourquoi le rôle du gestionnaire de crise est d'agir comme un filtre, en s'assurant que seules les informations vérifiées et pertinentes circulent, tant en interne qu'en externe. La communication de crise, une discipline à part entière Les deux interlocuteurs insistent sur le fait que la communication de crise ne s'improvise pas, et ne ressemble en rien à la communication marketing habituelle. Vouloir « lisser » un message ou rassurer trop tôt peut s'avérer catastrophique — notamment face aux réseaux sociaux, qui amplifient immédiatement toute contradiction entre le discours officiel et la réalité sur le terrain. Pire encore : communiquer prématurément sur les actions de remédiation en cours, c'est potentiellement informer les attaquants — qui peuvent très bien observer les communications publiques — de ce que l'organisation est en train de faire. Dans certains cas, il peut même être stratégique d'orienter délibérément les communications pour leurrer des attaquants encore présents dans le système. Cette dimension tactique de la communication exige des spécialistes formés à la crise, pas de simples communicants. Le rôle du gestionnaire de crise : chef d'orchestre, pas omniscient Christophe décrit le gestionnaire de crise comme un chef d'orchestre : il ne joue pas de tous les instruments lui-même, mais il sait qui doit intervenir, à quel moment, et pour combien de temps. Son rôle n'est pas de détenir la vérité, mais de poser les bonnes questions — qu'est-ce qui fonctionne encore ? Que s'est-il passé hier ? Quel est l'état des équipes ? — afin que les experts puissent lever progressivement le brouillard. Une erreur classique en début de crise est de vouloir annoncer une conclusion trop tôt. Présenter une hypothèse comme une certitude fige la réflexion collective et ralentit la résolution, car il devient très difficile de revenir en arrière sur ce qui est perçu comme une « vérité ». Les premières heures doivent servir à collecter des informations, pas à trancher. Il faut aussi savoir gérer la hiérarchie : certains managers, habitués à piloter leurs équipes au quotidien, peuvent parasiter la gestion de crise. Le gestionnaire doit parfois avoir le courage de les écarter temporairement pour laisser les experts s'exprimer sans pression. Préparer la crise avant qu'elle n'arrive Un autre fil conducteur de l'épisode est l'importance de la préparation en amont. Avoir une cartographie du système d'information à jour, des annuaires de contacts valides, des templates de communication prêts, des prestataires externes identifiés, des salles de crise définies avec des moyens de communication de secours : tout cela peut faire gagner des heures précieuses le jour J. À l'inverse, une documentation obsolète contraint les équipes — internes comme externes — à perdre un temps irrémédiable à reconstituer l'existant, comme on tenterait de soigner un inconnu sans connaître ses antécédents médicaux. Crise vs urgence : ne pas confondre les deux Christophe propose une distinction utile entre urgence et crise. L'urgence, c'est une situation difficile mais connue, documentée, pour laquelle on s'est entraîné : on sait quoi faire, il faut juste le faire vite. La crise, en revanche, est par définition imprévisible, non documentée, inédite. L'objectif n'est pas de résoudre la crise d'un coup, mais de la faire redescendre au niveau de l'urgence — un état maîtrisable, moins épuisant pour les équipes. Conclusion : aller jusqu'au bout du traitement L'épisode se clôt sur une métaphore médicale : tout comme un patient qui interrompt son traitement trop tôt parce qu'il se sent mieux risque une rechute, une organisation qui déclare la crise terminée avant d'avoir complètement éradiqué la menace s'expose à une reprise. La vigilance doit se maintenir bien après le retour apparent à la normale — et c'est là toute la subtilité d'une bonne gestion de crise. Collaborateurs Nicolas-Loïc Fortin Christophe D'ARLHAC Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    PME - Shadow IA - Parce que... c'est l'épisode 0x739!

    Play Episode Listen Later Apr 7, 2026 18:14


    Parce que… c'est l'épisode 0x739! Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Contexte et ton de l'épisode Cet épisode spécial PME du podcast P-Secure réunit trois invités : Dominique Derrier, Nicolas Milot et Cyndie Fletz. L'ambiance est décontractée, avec quelques taquineries adressées à Dominique, qui avait raté le rendez-vous précédent. L'épisode fait suite à une discussion sur le Shadow IT en général, et se concentre cette fois-ci exclusivement sur le Shadow AI — un sujet qui suscite un intérêt croissant, autant chez les utilisateurs que chez les équipes de sécurité informatique. D'emblée, les trois participants rappellent qu'ils ne se présentent pas comme des experts absolus : le domaine est si récent et évolue si vite que les opinions exprimées reflètent l'expérience du moment. Ce qui est vrai aujourd'hui pourrait être caduc dans un an. Qu'est-ce que le Shadow AI ? Pour rappeler les bases, le Shadow IT désigne l'ensemble des outils et logiciels installés ou utilisés par les employés sans que le département informatique en ait connaissance ou contrôle. Le Shadow AI en est la déclinaison moderne : il s'agit de l'utilisation non encadrée d'outils d'intelligence artificielle — comme ChatGPT, Claude (Anthropic), Microsoft Copilot ou d'autres — dans le cadre professionnel, que ce soit via des abonnements personnels, des accès navigateur ou des outils non approuvés par l'entreprise. Pourquoi c'est inévitable L'un des points centraux de la discussion est que le Shadow AI ne peut pas être simplement interdit. Les participants font une analogie parlante : tenter de bloquer l'usage de l'IA dans une entreprise, c'est comme penser qu'un adolescent va vous obéir dès que vous avez le dos tourné. Les employés qui souhaitent utiliser ces outils trouveront toujours un moyen de le faire — via leur téléphone personnel, leur propre abonnement cloud ou leur ordinateur à domicile. La réalité, c'est que l'IA apporte une réelle valeur ajoutée : productivité accrue, autonomie renforcée, gain de temps sur des tâches répétitives. Nier cela ou l'interdire en bloc, c'est passer à côté d'une opportunité et pousser les employés vers des comportements encore moins contrôlés. Les risques concrets pour les PME Si les bénéfices sont réels, les risques le sont tout autant. Les intervenants en dressent une liste : La fuite de données confidentielles : les employés peuvent, parfois involontairement, copier-coller des informations sensibles dans un outil d'IA public. La frontière entre une utilisation prudente et un transfert non voulu d'informations est mince. Les MCP (Model Context Protocol) : ces connecteurs permettent de lier un modèle d'IA à des outils externes. Si leur usage n'est pas encadré, ils représentent une porte d'entrée potentielle pour des logiciels malveillants, même lorsque l'entreprise a approuvé un fournisseur d'IA spécifique. La mauvaise configuration des outils : contrairement à un logiciel d'entreprise classique, beaucoup d'outils d'IA sont accessibles directement via un navigateur, sans passer par le département IT. Le contrôle est donc structurellement plus difficile. Le faux sentiment de toute-puissance : les LLM peuvent donner aux utilisateurs l'impression d'avoir accès à une connaissance infaillible. Or, les modèles hallucinent, se trompent, et peuvent générer des rapports erronés sur lesquels des décisions d'entreprise seront prises. Un exemple évoqué dans l'épisode : une entreprise qui, pendant des mois, a fondé ses décisions sur des rapports générés par une IA sans jamais les vérifier — et qui s'est retrouvée avec des données complètement fausses. Le rôle de l'équipe IT : des garde-fous, pas des gardiens Une question intéressante est soulevée : qui est responsable du Shadow AI dans une entreprise ? La réponse est claire : ce ne peut pas être uniquement le département IT. Celui-ci peut mettre en place des garde-fous techniques, mais les décisions stratégiques — quels outils autoriser, dans quel cadre, avec quelles politiques — doivent venir d'un niveau hiérarchique plus élevé, impliquant la direction et les ressources humaines. L'IT est un exécutant de mesures de sécurité, pas le seul décideur d'une politique d'usage de l'IA. Recommandations pratiques pour les PME Les trois invités convergent vers plusieurs recommandations concrètes : Dialoguez avec vos employés avant d'écrire des politiques. Comprenez pourquoi ils utilisent ou voudraient utiliser l'IA, ce qu'ils espèrent en tirer, et intégrez-les dans la réflexion. Fournissez les outils vous-mêmes. Comme pour les gestionnaires de mots de passe, si vous souhaitez que les employés utilisent des outils sécurisés, donnez-leur accès à des licences approuvées. Sinon, ils se débrouilleront avec des alternatives gratuites ou personnelles. Ne montez pas votre propre LLM. Pour une PME, construire son propre modèle de langage local serait extrêmement coûteux et peu pertinent. Mieux vaut s'appuyer sur des fournisseurs existants, en choisissant ceux dont les pratiques éthiques et de sécurité sont les plus solides. Adaptez la politique au profil de risque. Une entreprise avec des développeurs techniques aura besoin d'une politique plus stricte qu'une PME de services dont les employés n'utilisent que le volet conversationnel de l'IA. Idem pour les secteurs réglementés comme le droit, où l'IA est utile pour la recherche générale mais ne doit jamais recevoir de données personnelles de clients. Éduquez et sensibilisez. Rappelez aux employés que l'IA n'est pas magique : elle se trompe, elle ne remplace pas l'expertise humaine, et elle doit être supervisée. L'image du stagiaire est utilisée : capable de beaucoup de choses, mais qui a besoin d'être bien briefé, encadré et vérifié. Conclusion L'épisode se termine sur un message d'équilibre : ni interdire, ni laisser faire sans garde-fous. L'IA est là, elle est utile, et les employés l'utiliseront de toute façon. Le rôle des entreprises — et notamment des PME — est d'en faire un usage contrôlé, éduqué et raisonné, en transmettant aux employés les bons réflexes pour minimiser les risques. Un peu comme avec des adolescents : on ne peut pas tout contrôler, mais on peut inculquer des comportements responsables. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    Actu - 5 avril 2026 - Parce que... c'est l'épisode 0x738!

    Play Episode Listen Later Apr 6, 2026 38:44


    Parce que… c'est l'épisode 0x738! Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou dans le prisme de la machine La chasse est ouverte Vulnerability Research Is Cooked Claude AI Discovers Zero-Day RCE Vulnerabilities in Vim and Emacs Amazon security boss: AI makes pentesting 40% more efficient C'est la fuite de Claude Claude Code's source reveals extent of system access What The Claude Code Leak Means for Engineering Teams in Regulated Industries Anthropic Issues Copyright Takedown Requests To Remove 8,000+ Copies of Claude Code Source Code - Slashdot Lalalalalalala Claude Code bypasses safety rule if given too many commands OpenAI ChatGPT fixes DNS data smuggling flaw Je te l'avais dit Rogers Netflix, Meta, IBM speakers discuss AI and their workdays MCP Is Great. You're Just Using It Wrong. Have I Been Pwned: Cuties AI Data Breach Vibe Coding Failures: Documented AI Code Incidents AI Can Clone Open-Source Software In Minutes Penalties Stack Up As AI Spreads Through the Legal System AI models will deceive you to save their own kind La guerre, la guerre, c'est pas une raison pour se faire mal! Je te tiens par ton datacenter Iran Strikes Leave Amazon Availability Zones “Hard Down” in Bahrain and Dubai, Per Internal AWS Communication Kevin Beaumont: “If Iran ever gets somebody to fly a plane into AWS us-east1 the global economy would probably stop.” - Cyberplace Iran Deploys ‘Pseudo-Ransomware,' Revives Pay2Key Operations Iran targets M365 accounts with password-spraying attacks The real danger of military AI isn't killer robots; it's worse human judgement Souveraineté ou vive le numérique libre! Rien ne va plus dans le royaume Euro-Office veut remplacer Microsoft 365, mais OnlyOffice crie au vol OnlyOffice Suspends Nextcloud Partnership For Forking Its Project Without Approval US router ban is ‘industrial policy' not better infosec ‘Fatal decision': EU slammed for caving to US pressure on digital rules Privacy ou cachez ces informations que je ne saurais voir Pour le Proton et le pire Proton launches new “Meet” privacy-focused conferencing platform Proton Meet Isn't What They Told You It Was Quad9 Enables DNS Over HTTP/3 and DNS Over QUIC LinkedIn Is Illegally Searching Your Computer A Secure Chat App's Encryption Is So Bad It Is ‘Meaningless' Quantum computing bombshells that are not April Fools Colorado's New Speed Camera System Makes Waze Nearly Useless I am the law Tout est une question d'age Apple Now Requires Device-Level Age Verification in the UK. Could the US Be Next? Age verification on Systemd and Flatpak Group Pushing Age Verification Requirements For AI Sneakily Backed By OpenAI Is “Hackback” Official US Cybersecurity Strategy? Piratage : Google, Cloudflare et Cisco contraints de bloquer des sites pirates en France Red ou tout ce qui est brisé Supply chain Trivy et cie Post Mortem: axios npm supply chain compromise · Issue #10636 · axios/axios The Axios supply chain attack used individually targeted social engineering Euro-hack [Technical Post-Mortem: IAM Exploitation via SSO Token Abuse — EU Europa / ShinyHunters CyberAlert](https://cyberalert.com.pl/articles/shinyhunters-eu-europa-breach-analysis.html) CERT-EU: European Commission hack exposes data of 30 EU entities CERT-EU - European Commission cloud breach: a supply-chain compromise Piratage du fichier des armes – 41 000 détenteurs exposés Users say Adobe Creative Cloud rewrote hosts file to detect installed app Man admits to locking thousands of Windows devices in extortion plot New Rowhammer attacks give complete control of machines running Nvidia GPUs Mary Jo Foley: What the heck is going on with Microsoft lately? The White House App Is Riddled With Cybersecurity Vulnerabilities The Hack That Exposed Syria's Sweeping Security Failures CBP facility codes sure seem to have leaked via online flashcards Someone at BrowserStack is Leaking Users' Email Address Blue ou tout ce qui améliore notre posture Apple's Camera Indicator Lights Apple expands iOS 18 updates to more iPhones to block DarkSword attacks Microsoft now force upgrades unmanaged Windows 11 24H2 PCs Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Cardo Brussels

    Teknik - Trivy... part 2 ou comment le supply chain est LE vecteur - Parce que... c'est l'épisode 0x737!

    Play Episode Listen Later Apr 4, 2026 42:27


    Parce que… c'est l'épisode 0x737! Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Contexte et rappel de l'épisode précédent Dans cet épisode technique, l'animateur reçoit à nouveau François Proulx pour faire le point sur une cyberattaque majeure dont les développements ont explosé depuis leur dernière conversation. L'épisode précédent portait sur une première attaque contre Trivy, un outil d'analyse de sécurité open source développé par l'entreprise israélienne Aqua Security. Trivy est massivement utilisé par de grandes entreprises pour inventorier les composants open source d'un projet (SBOM) et identifier les vulnérabilités associées (CVE). C'est précisément cette popularité qui en a fait une cible de choix. La deuxième vague : une réponse aux incidents incomplète À peine 20 jours après l'attaque initiale de fin février, Trivy a été compromis une seconde fois. La raison : Aqua Security n'avait pas révoqué la totalité des jetons d'accès (tokens) lors de sa réponse aux incidents. L'entreprise a attendu plusieurs jours avant de faire appel à une firme externe (Mend), ce qui lui a valu des critiques. Dans leur communiqué, ils ont admis avoir oublié de révoquer un token — et pas n'importe lequel : il s'agissait d'un token encore plus privilégié que celui utilisé lors de la première attaque, donnant accès à des dépôts privés internes contenant potentiellement de la propriété intellectuelle sensible. Cette deuxième attaque a été encore plus dévastatrice : non seulement Trivy a été empoisonné à nouveau, mais les GitHub Actions associées — des composants permettant d'intégrer Trivy dans des pipelines CI/CD — ont également été corrompues, y compris les versions antérieures. Ainsi, des organisations qui croyaient utiliser une version sûre et ancienne se sont retrouvées exposées sans le savoir. Une propagation en cascade Le vecteur initial était une vulnérabilité dans un workflow GitHub Actions du dépôt de Trivy, simple à exploiter mais peu connue. Les attaquants ont obtenu un token leur permettant de compiler et distribuer une version malveillante de Trivy sur les registres officiels — sans modifier le code source visible, ce qui rendait la détection plus difficile. Lorsque Trivy s'exécutait dans le pipeline CI/CD d'une entreprise victime, il agissait comme un info stealer : il exfiltrait les secrets et tokens présents dans l'environnement d'exécution. Ces tokens volés ont ensuite servi à compromettre d'autres projets, créant une chaîne de contamination à plusieurs niveaux : Premier ordre : Trivy lui-même, compromis chez Aqua Security. Deuxième ordre : les entreprises utilisant Trivy dans leurs pipelines, dont Checkmarx, un autre outil de sécurité applicative. Troisième ordre : des projets open source très populaires comme LiteLLM, une bibliothèque d'interfaçage avec des API de modèles de langage (LLM), dont le mainteneur semble avoir été compromis directement via son poste de travail. Environ 72 heures après l'attaque, des entreprises ont commencé à signaler publiquement que leurs tokens avaient été exfiltrés et réutilisés contre elles. Les attaquants se dévoilent Durant le week-end du 20 mars, le groupe responsable s'est révélé sur Twitter sous le nom Team PCP, en défaçant des dépôts GitHub pour prouver leurs accès. Ils ont ensuite établi des partenariats avec des groupes spécialisés dans les rançongiciels pour monétiser les accès obtenus — une évolution logique pour des acteurs en possession de téraoctets de secrets volés. Le FBI a officiellement nommé ce groupe et demandé à toutes les entreprises américaines victimes de déposer plainte. Selon François Proulx, le profil comportemental des attaquants — messages puérils, communication sur Telegram, manière de se vanter publiquement — laisse fortement penser qu'il s'agit d'adolescents, probablement situés hors du territoire américain, ce qui complique les poursuites. Pour entraver les équipes de réponse aux incidents, les attaquants ont utilisé des centaines de comptes GitHub légitimes achetés sur le marché noir (probablement issus de logs d'info stealers) pour inonder les fils de discussion d'incidents avec des commentaires génériques automatisés, rendant toute coordination difficile. Le problème structurel des dépendances transitives François Proulx soulève un enjeu critique lié à l'écosystème npm : la façon dont les contraintes de version sont définies dans les fichiers package.json. Lorsqu'une dépendance est déclarée de manière vague (ex. : axios: ^1.x), une mise à jour de routine peut automatiquement introduire une version compromise sans que le développeur s'en rende compte. La bibliothèque Axios, extrêmement populaire, a notamment été touchée dans cette attaque. Même avec un fichier de verrouillage (lock file), le risque n'est pas nul : une alerte de hash incohérent pourrait être ignorée ou, pire, conduire un développeur à régénérer le lock file en gelant ainsi la version malveillante. Ce que les développeurs peuvent faire François Proulx recommande deux mesures concrètes : Utiliser des outils de vérification en temps réel qui interceptent les téléchargements de composants npm ou PyPI pour les comparer à des listes de composants malveillants mises à jour plusieurs fois par heure. Adopter une période de gel (cool-off period) avant d'utiliser une nouvelle version d'une dépendance, afin de laisser à la communauté le temps de détecter d'éventuels problèmes. Il mentionne également Bagle, leur propre outil open source d'analyse locale, qui permet de détecter des secrets mal stockés sur un poste de travail (variables d'environnement, fichiers temporaires, etc.) sans rien envoyer à l'extérieur. Conclusion Au moment de l'enregistrement, le 2 avril, l'attaque était toujours en cours. Une grande partie des victimes ne sait même pas encore qu'elle a été compromise. Les semaines à venir risquent de révéler l'ampleur réelle des dégâts, notamment via les dépendances transitives. Cet épisode illustre à quel point la sécurité de la chaîne d'approvisionnement logicielle reste largement sous-estimée — et que ce réveil collectif, bien que douloureux, était peut-être nécessaire. Notes Teknik - Hackerbot-claw Collaborateurs Nicolas-Loïc Fortin François Proulx Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    Teknik - Survol de S3NS et le cloud souverain - Parce que... c'est l'épisode 0x736!

    Play Episode Listen Later Apr 3, 2026 35:52


    Parce que… c'est l'épisode 0x736! Préambule Nous sommes à la Cage durant un match des Canadiens. Le bruit ambiant a fait que nous parlons en “criant”, pour nous entendre. Le lendemain, je n'avais plus de voix. Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Introduction et mise en contexte Dans cet épisode spécial, l'animateur reçoit Nicolas Bédard, un expert en infonuagique qui a évolué chez Google avant de rejoindre Palo Alto Networks. Le prétexte de l'épisode est concret : Nicolas s'apprête à se rendre à Paris pour participer à la grande conférence de S3NS, une entreprise issue d'un partenariat franco-américain au cœur de la souveraineté numérique en France. C'est l'occasion idéale pour aborder un sujet devenu incontournable, alors qu'il était encore marginal il y a quelques années seulement. S3NS : la franchise numérique franco-américaine Pour expliquer le modèle de S3NS, Nicolas utilise une analogie parlante : celle de la franchise de restauration rapide. Comme un franchisé de McDonald's ou Tim Hortons qui investit dans son propre établissement tout en appliquant la recette du franchiseur, S3NS est une entreprise majoritairement détenue par le groupe français Thales, qui a obtenu de Google le « livre de recettes » de son infrastructure infonuagique — tant sur le plan matériel (serveurs, stockage, réseau) que logiciel (les services Google Cloud). S3NS propose deux offres distinctes : Cryptance : une couche de souveraineté appliquée directement sur l'infrastructure de Google Cloud. Les charges de travail (workloads) sont placées dans un dossier (folder) auquel sont attachées des règles de gouvernance strictes — notamment des clés de chiffrement gérées par S3NS — garantissant que les données demeurent sur le territoire français. Prémiance : un niveau supérieur, où Thales et Google ont co-construit des centres de données physiques en France. Ces infrastructures, propriété de S3NS, utilisent l'architecture de Google Cloud mais sont opérées de façon indépendante. Prémiance est certifiée SecNumCloud, la norme française de cybersécurité gérée par l'ANSSI, ce qui constitue une validation rigoureuse issue de plusieurs années d'expérimentation sur le terrain. La force des règles technologiques Un point central de la discussion porte sur la nature même des règles technologiques : contrairement aux règles entre humains, qui peuvent être interprétées, négociées ou contournées, les règles appliquées par une machine sont absolues. Nicolas illustre cela avec une anecdote personnelle : lors d'un projet pilote, des parties prenantes avaient exigé l'application de règles strictes, malgré ses mises en garde. En moins de 24 heures, le projet avait été abandonné parce que les participants ne pouvaient tout simplement pas « tolérer » des règles que la machine appliquait sans compromis. Cette rigidité est précisément ce qui rend la souveraineté numérique crédible. Le chiffrement, par exemple, ne se négocie pas : sans la clé détenue par l'entité française, même un acteur américain ne peut accéder aux données. Les craintes liées au Cloud Act américain, souvent agitées dans le débat public, se heurtent à cette réalité technique implacable. Le rôle de Palo Alto Networks Palo Alto Networks s'intègre dans cet écosystème parce que les clients qui migrent vers un cloud souverain s'attendent à retrouver les outils de sécurité qu'ils utilisaient dans leurs environnements traditionnels. Quatre produits de Palo Alto sont particulièrement concernés, tous basés sur des machines virtuelles (VM-based) : Les pare-feu de nouvelle génération (Next-Gen Firewalls) Prisma AIRS, le pare-feu dopé à l'IA pour contrer les injections de prompts et les fuites de données Panorama, la console centralisée de gestion des pare-feu XSIAM, la plateforme d'orchestration pour la réponse aux incidents Ces produits, parce qu'ils s'exécutent sur des machines virtuelles plutôt que sous forme de SaaS hébergé chez Palo Alto, peuvent être déployés aussi bien sur Cryptance que sur Prémiance, en conformité avec SecNumCloud. La vraie valeur du nuage et la modernisation des applications Nicolas insiste sur une vision souvent oubliée : le nuage, c'est avant tout du logiciel. Sa valeur réelle réside dans l'élasticité, la dématérialisation, les microservices et les conteneurs — pas dans la simple virtualisation de serveurs existants. Beaucoup d'entreprises ont mal abordé leur passage au nuage en y transférant des systèmes vieillissants sans les moderniser, ce qui les rend aujourd'hui incompatibles avec les exigences de la souveraineté numérique, qui impose une partition claire des services à l'échelle nationale. Rouler une application moderne — découpée en microservices indépendants, stateless, élastiques — sur un cloud souverain, c'est là que réside la vraie promesse de la prochaine génération d'infrastructures souveraines. Le retard canadien et les leçons européennes La France a commencé à réfléchir à la souveraineté numérique dès 2017 environ. Elle a construit ses normes, les a testées, les a fait évoluer. Le Canada, lui, s'est réveillé bien plus tard, emporté qu'il était par la « locomotive » américaine. Aujourd'hui, il n'existe pas d'équivalent canadien à SecNumCloud, et la maturité réglementaire nécessaire pour encadrer une véritable infrastructure souveraine est encore à construire. Les deux interlocuteurs s'entendent pour dire que le Canada devrait s'inspirer davantage de ce qui se fait en Europe — en France, en Allemagne, à travers des initiatives comme celle de la ville de Munich — plutôt que de se limiter à répéter le mot « souveraineté » sans se donner les outils concrets pour la réaliser. Cela implique une réarchitecture profonde des systèmes existants, un développement de compétences nationales et un cadre réglementaire sérieux. Conclusion La souveraineté numérique est un chantier de longue haleine, mais l'exemple de S3NS en France démontre qu'il est possible de concilier technologie américaine de pointe et contrôle national effectif. Nicolas conclut sur une note d'enthousiasme, impatient de voir la conférence parisienne et d'espérer que des modèles similaires finissent par voir le jour au Canada. Un suivi de l'épisode est d'ores et déjà prévu. Collaborateurs Nicolas-Loïc Fortin Nicolas Bédard Crédits Montage par Intrasecure inc Locaux réels par La Cage - Complexe Desjardins

    Teknik - Et si l'IA n'avait plus besoin de vos données? - Parce que... c'est l'épisode 0x735!

    Play Episode Listen Later Apr 2, 2026 61:16


    Parce que… c'est l'épisode 0x735! Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Retour aux sources techniques Dans cet épisode, l'animateur retrouve Frédéric Grelot, expert en intelligence artificielle, qu'il n'avait pas croisé depuis un moment. Frédéric a quitté son poste de dirigeant chez Glimps, une entreprise qu'il avait exportée au Canada, pour retrouver ses premières amours : la technique et la recherche. Il a rejoint l'AMIAD (Agence pour la maîtrise de l'IA de défense), rattachée au ministère des Armées français, créée en 2024. Un retour assumé, les « mains dans le cambouis », comme il le dit lui-même. Le fil conducteur de cet échange tourne autour d'une idée provocatrice : peut-on faire de l'intelligence artificielle sans données ? Frédéric avertit d'emblée que la formule est volontairement accrocheuse, et que la réponse sera nuancée. Une histoire de l'IA en quelques étapes clés Pour comprendre où l'on va, Frédéric propose un retour sur les grandes ruptures qui ont façonné l'IA depuis une quarantaine d'années. 1989 – Les débuts des réseaux convolutifs. Le réseau LeNet-5, conçu pour lire des chiffres manuscrits sur des chèques, représente l'un des premiers exemples concrets de réseaux de neurones convolutifs. Ces réseaux fonctionnent en empilant des couches d'analyse : les premières détectent des formes simples (points, lignes, angles), les suivantes des structures plus complexes (roues, rétroviseurs, puis une voiture entière). Ce paradigme a dominé le domaine pendant environ vingt ans. 2012 – La double révolution. Deux événements simultanés ont provoqué une explosion du domaine. D'une part, Nvidia a démocratisé l'utilisation des GPU pour le calcul scientifique via son API CUDA, rendant accessibles des calculs matriciels massivement parallèles. D'autre part, le jeu de données ImageNet a été publié en accès libre — un million d'images réparties en 1 000 catégories — offrant à la communauté une base commune pour entraîner et évaluer des modèles. Ces deux facteurs combinés ont déclenché une effervescence considérable, notamment dans le domaine de la vision par ordinateur. 2017 – L'avènement des transformers. La publication du célèbre article Attention is all you need introduit une nouvelle architecture qui va s'imposer comme le standard de l'IA moderne. Contrairement aux approches séquentielles précédentes, le transformer analyse chaque mot d'une phrase en le mettant en relation avec tous les mots qui le précèdent, enrichissant progressivement le sens de chaque élément couche après couche. Cette capacité à saisir le contexte global d'une séquence est à la base de tous les grands modèles de langage actuels. Son principal défaut : un coût de calcul quadratique par rapport à la longueur des séquences. Doubler la longueur d'un texte quadruple le volume de calcul. Les recherches de ces huit dernières années ont largement porté sur la résolution de ce problème, avec des résultats impressionnants — certains modèles open source atteignent aujourd'hui des fenêtres de contexte d'un à deux millions de tokens. Novembre 2022 – ChatGPT et la démocratisation. La sortie de ChatGPT marque moins une rupture technologique qu'une rupture d'usage. En mettant dans les mains du grand public ce qui n'existait que dans des laboratoires, OpenAI a transformé une évolution technique en révolution sociale. Les questions d'hallucinations, de jailbreak et d'alignement des modèles ont alors émergé comme des enjeux majeurs. Les modèles de fondation : l'IA qui apprend à vivre avant de se spécialiser C'est ici que Frédéric introduit son concept central : les modèles de fondation. L'analogie qu'il utilise est parlante : un enfant qui grandit jusqu'à 20 ans — observant des formes, des visages, des papillons, faisant du cerf-volant — développe une compréhension générique du monde qui en fait un « excellent modèle de fondation ». Il sera ensuite capable d'apprendre un métier précis, comme la géométrie ou la rétroingénierie de code, en repartant de cette base solide plutôt que de zéro. Un modèle de fondation est entraîné sur des quantités massives de données brutes, sans nécessairement annoter chaque exemple. Une fois cette phase généraliste accomplie, on n'a plus besoin que d'un tout petit volume de données spécialisées et annotées pour l'amener à un niveau d'excellence sur une tâche précise. Là où il fallait autrefois des millions d'exemples étiquetés, quelques centaines suffisent désormais. Ce paradigme bouleverse les rapports de force autour de la donnée. Frédéric, qui conseillait autrefois à ses clients de « conserver précieusement toutes leurs données », leur dit aujourd'hui d'en garder un peu, de bonne qualité. Le reste n'est plus indispensable. Vers l'inférence sans entraînement La dernière évolution abordée est peut-être la plus spectaculaire : le zero-shot learning. Grâce à la richesse des modèles de fondation, il est aujourd'hui possible de montrer une seule image d'un objet inconnu — une voiture jamais vue pendant l'entraînement — et d'être immédiatement capable de la reconnaître dans d'autres photos. Aucun entraînement supplémentaire n'est nécessaire : le modèle comprend l'objet à partir d'un seul exemple. C'est en ce sens que l'on peut parler d'IA « sans données » : non pas qu'il n'y en ait jamais eu, mais que l'utilisateur final n'a plus besoin d'en fournir pour bénéficier de capacités autrefois réservées aux experts disposant de vastes bases de données annotées. Un domaine en perpétuelle ébullition La conversation aborde également la dynamique concurrentielle entre modèles propriétaires américains et modèles open source, notamment chinois (DeepSeek) et français (Mistral). Les contraintes imposées aux acteurs chinois en matière de puissance de calcul ont paradoxalement stimulé l'innovation, à travers des techniques comme la distillation, le pruning ou l'optimisation des architectures d'attention. L'épisode se conclut sur une note d'ouverture : les hallucinations reculent, les modèles apprennent à dire « je ne sais pas », et le champ continue d'évoluer à un rythme soutenu — autant de raisons de se retrouver pour un prochain épisode. Collaborateurs Nicolas-Loïc Fortin Frédéric Grelot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    Spécial - Hacklore vs DarkSword - Parce que... c'est l'épisode 0x734!

    Play Episode Listen Later Apr 1, 2026 30:51


    Parce que… c'est l'épisode 0x734! Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Contexte Dans cet épisode spécial du podcast, l'animateur reçoit Guillaume Ross pour discuter d'un sujet d'actualité brûlant en cybersécurité mobile : la publication d'un outil d'exploitation sophistiqué — le toolkit DarkSword — sur la place publique, et ce que cela signifie concrètement pour la sécurité des utilisateurs ordinaires. La discussion s'inscrit dans la continuité des conseils véhiculés par le projet Hacklore, qui vise à démystifier la sécurité informatique pour le grand public. DarkSword et Corona : des outils de surveillance commerciaux Guillaume commence par recontextualiser la situation. DarkSword et Corona sont deux toolkits d'exploitation mobile qui combinent de nombreuses vulnérabilités — notamment plusieurs failles dans WebKit et dans iOS — pour compromettre des appareils ciblés. Ces outils, qui valaient autrefois des millions de dollars, semblent provenir d'une entreprise commerciale de surveillance. Comment ils se sont retrouvés dans le domaine public reste flou : fuite interne, employé corrompu ou revente illicite, l'origine exacte n'est pas encore établie. Ce qui est clair, c'est leur évolution d'utilisation : au départ déployés pour cibler des Ukrainiens dans le contexte du conflit avec la Russie (notamment via des watering hole attacks, soit des attaques à l'abreuvoir, où l'on compromise des sites web fréquentés par les cibles), ces outils ont ensuite été utilisés contre des acteurs du monde des cryptomonnaies et des jeux d'argent en ligne. Faut-il vraiment paniquer ? Guillaume tient un discours nuancé et rassurant pour la majorité des utilisateurs. La plupart des vulnérabilités exploitées par DarkSword et Corona ont été corrigées. En particulier, une personne qui maintenait son appareil à jour avec la version la plus récente d'iOS au moment de leur diffusion n'était généralement pas affectée. Aujourd'hui, il faudrait être deux versions en retard (soit en dessous d'iOS 26.2 au moment de l'enregistrement) pour rester vulnérable. Ce constat rejoint directement le message de fond de Hacklore : les mises à jour système sont la mesure de protection la plus importante. Non pas par peur des ports USB à l'aéroport ou des réseaux Wi-Fi publics — aucune des vulnérabilités connues de DarkSword n'est liée aux ports USB —, mais parce que le vecteur d'attaque principal reste les messages textes (SMS, iMessage) et la navigation web. Le vrai vecteur de menace : les messages et le web Contrairement à l'idée populaire que le danger vient des connexions physiques ou des réseaux publics, Guillaume souligne que les exploits mobiles les plus redoutables transitent principalement par : Les messages textes et iMessage, car l'utilisateur ne contrôle pas ce qu'il reçoit, et l'application Messages est complexe et supporte de nombreux formats de fichiers. La navigation web (attaques à l'abreuvoir), où un site légitime mais compromis peut servir de vecteur d'infection via Safari. Cela signifie que même en faisant « attention », une personne ciblée peut être compromise sans avoir cliqué sur quoi que ce soit de suspect. Recommandations concrètes selon le profil de risque Guillaume distingue clairement deux catégories d'utilisateurs : Pour monsieur et madame tout le monde : Installer les mises à jour iOS ou Android dès que possible, sans attendre. S'abonner à la liste de diffusion Security Announce d'Apple pour être alerté rapidement. Utiliser l'application iVerify pour recevoir des notifications presque instantanées lors de nouvelles mises à jour. Envisager le DNS over HTTPS pour avoir une meilleure visibilité sur le trafic réseau en entreprise. Pour les personnes à haut risque (journalistes, militants, détenteurs de cryptomonnaies importantes) : Activer le mode Isolement (Lockdown Mode) sur iPhone, qui désactive les aperçus de fichiers dans Messages et réduit considérablement la surface d'attaque. Utiliser iVerify pour une analyse forensique de l'appareil. Considérer le renouvellement régulier de l'appareil : le processeur de l'iPhone 17 (et des puces M5) intègre le Memory Integrity Enforcement (MIE), une technologie qui rend de nombreuses techniques d'exploitation nettement plus difficiles. Le problème des mises à jour négligées Un point important est soulevé concernant iOS 26 et son interface Liquid Glass, jugée peu populaire, voire franchement mauvaise selon Guillaume. Beaucoup d'utilisateurs décident délibérément de ne pas mettre à jour, préférant attendre iOS 27. C'est une erreur de sécurité significative, car les correctifs arrivent d'abord sur la version actuelle, avec un délai parfois important avant d'être rétroportés sur les versions plus anciennes. Ironiquement, Guillaume suggère que les nouveaux emojis inclus dans iOS 26.4 pourraient être le meilleur argument pour convaincre les récalcitrants de mettre à jour. Qui est vraiment à risque sans le savoir ? La partie la plus importante de la discussion porte sur les personnes qui ne se rendent pas compte de leur profil de risque élevé. Parmi elles : les détenteurs de cryptomonnaies avec des portefeuilles locaux, qui se sont retrouvés propriétaires d'actifs considérables sans avoir mis en place une hygiène de sécurité adéquate. Mais aussi des personnes vivant dans des pays où certaines caractéristiques personnelles (orientation sexuelle, opinions politiques) peuvent faire d'eux des cibles gouvernementales, sans qu'ils y pensent nécessairement. Conclusion En somme, la publication de DarkSword ne contredit pas les conseils de Hacklore — elle les confirme. Pour la grande majorité des utilisateurs, maintenir ses appareils à jour reste la mesure la plus efficace. Ce qui change, c'est que la fenêtre entre la disponibilité d'un exploit et son utilisation à plus grande échelle se rétrécit. La vigilance doit s'accélérer en conséquence. Collaborateurs Nicolas-Loïc Fortin Guillaume Ross Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    Claim PolySécure Podcast

    In order to claim this podcast we'll send an email to with a verification link. Simply click the link and you will be able to edit tags, request a refresh, and other features to take control of your podcast page!

    Claim Cancel