PolySécure Podcast

Parce que… c'est l'épisode 0x609! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Dans cet épisode spécial, l'hôte du podcast P secure reçoit Davy Adam pour analyser une question cruciale : l'internet mondial existe-t-il encore vraiment, ou est-il déjà mort ? Cette discussion fait suite à leur précédent échange sur la souveraineté numérique et s'inscrit dans le contexte géopolitique mouvementé de 2025, marqué par les changements de politique américaine sous l'administration Trump. La nature d'internet et ses fondements Davy Adam commence par rappeler ce qu'est réellement internet : contrairement à la perception commune qui l'assimile à un service centralisé, internet est en réalité l'interconnexion de réseaux privés avec des règles de routage permettant d'accéder aux ressources. Quand nous visitons un site de commerce en ligne ou de streaming, nous accédons à une infrastructure privée appartenant à une entreprise, internet servant de réseau intermédiaire. Cette vision du “village planétaire” et des “autoroutes de l'information” a longtemps été portée par les États comme un bien commun. L'origine d'internet remonte à DARPANET, que Bill Clinton a décidé de rendre public. En France, le Minitel représentait une alternative prometteuse, mais son contrôle centralisé par une seule entité l'a empêché de rivaliser avec le modèle décentralisé d'internet qui favorisait la compétition et l'innovation. La fin de la neutralité d'internet Un des problèmes majeurs identifiés est la disparition progressive de la neutralité d'internet. Les acteurs privés qui contrôlent aujourd'hui les plateformes ne sont nullement neutres : ils ont leurs propres visions idéologiques et modèles sociologiques qu'ils imposent à travers leurs services. L'exemple d'Elon Musk avec Twitter/X illustre parfaitement cette dérive : depuis son acquisition, il a banni des centaines de milliers de comptes opposés à ses idées, modifié les algorithmes pour favoriser ses propres tweets, et utilisé la plateforme comme un outil de propagande personnelle. Cette manipulation s'étend au-delà des réseaux sociaux. Les résultats de recherche varient désormais selon la géolocalisation, créant des bulles informationnelles nationales. L'exemple récent du “golfe du Mexique” rebaptisé “golfe de l'Amérique” par Trump illustre comment la géopolitique influence directement l'information accessible aux utilisateurs selon leur localisation. La fragmentation géopolitique d'internet L'internet mondial subit une fragmentation croissante sous l'influence des tensions géopolitiques. Pendant la guerre en Ukraine, le gouvernement américain a décidé de couper certains liens reliant la Russie à l'internet mondial. En parallèle, la Russie développe son propre internet interne pour réduire sa dépendance. La Chine, avec son “grand firewall”, oblige tous les fournisseurs de services à héberger leurs données sur son territoire sous contrôle gouvernemental. Cette balkanisation reflète une tendance plus large : les gouvernements préfèrent aujourd'hui contrôler l'information plutôt que de permettre la libre circulation des idées. Comme le soulignent les intervenants, c'est exactement la stratégie de toute dictature : prendre le contrôle des médias pour déverser un flux constant de propagande et de “fausses vérités”. L'effacement de l'histoire et la manipulation de l'information Un aspect particulièrement inquiétant évoqué dans le podcast est la capacité des États-Unis à faire disparaître des données publiques. L'exemple des bases de données climatiques, collectées par des entités scientifiques et universitaires américaines et utilisées comme référence mondiale, qui ont été coupées récemment par l'administration Trump, illustre cette dérive. Cette suppression s'inscrit dans une démarche climatonégationniste qui va jusqu'à effacer les preuves scientifiques. Cette capacité d'effacement rappelle le travail du protagoniste de “1984” d'Orwell, chargé de réécrire constamment l'histoire. Amazon a déjà retiré des livres des bibliothèques numériques de particuliers, démontrant le pouvoir de ces entreprises privées de faire littéralement disparaître des œuvres de l'histoire littéraire. L'évolution dangereuse des outils de recherche Le podcast soulève également les risques liés au remplacement progressif des moteurs de recherche traditionnels par des intelligences artificielles comme ChatGPT. Contrairement aux moteurs de recherche qui fournissent une liste de sources avec leurs adresses spécifiques, les IA offrent une synthèse sans sources vérifiables. Cette évolution prive les utilisateurs de la possibilité de vérifier l'information et de consulter plusieurs sources. Les intervenants mettent en garde contre cette tendance : ChatGPT ne comprend pas réellement les requêtes et peut fournir des réponses erronées ou biaisées selon les intentions de ceux qui le contrôlent. Cette centralisation de l'information dans les mains de quelques acteurs privés représente un danger majeur pour l'accès à une information objective et diversifiée. La concentration du pouvoir technologique Le podcast analyse également la concentration du pouvoir entre les mains des GAFAM (Google, Apple, Facebook, Amazon, Microsoft). Ces entreprises ne se contentent plus de fournir des services ; elles possèdent désormais leurs propres réseaux backbone mondiaux, leur donnant un pouvoir considérable sur l'infrastructure même d'internet. Cette concentration s'accompagne d'une influence politique croissante. L'exemple d'Elon Musk dans l'administration Trump illustre l'émergence de “techno-états” où les dirigeants technologiques deviennent des acteurs politiques majeurs. Ces personnalités, souvent libertariennes, prônent la disparition des régulations étatiques pour favoriser leur business, créant un environnement de “far-west numérique”. Les risques pour la résilience globale Un aspect critique soulevé concerne la résilience des systèmes. La dépendance totale à internet créé une vulnérabilité systémique : en cas de panne majeure, nos sociétés pourraient “retourner au Moyen Âge” selon l'expression utilisée dans le podcast. Cette dépendance est d'autant plus dangereuse que les infrastructures critiques comme les systèmes DNS (Domain Name System) restent majoritairement contrôlées par les États-Unis. L'exemple de Starlink, contrôlé par Elon Musk, illustre parfaitement cette vulnérabilité. Ce système, devenu essentiel dans de nombreuses régions rurales et zones de conflit, peut être coupé ou manipulé selon les décisions d'un seul individu. Les menaces répétées de Musk de couper l'accès à l'Ukraine démontrent le pouvoir démesuré de ces acteurs privés. La passivité européenne Les intervenants critiquent sévèrement la “lâcheté” des États européens qui, malgré leurs compétences technologiques, se réfugient systématiquement vers les solutions des GAFAM. L'Europe dispose pourtant des talents et des entreprises nécessaires, mais manque de courage politique pour mener à bien des projets souverains. L'exemple du Minitel français, abandonné face à internet au lieu d'évoluer, symbolise cette tendance européenne à “battre en retraite” face à la concurrence américaine. Cette passivité a conduit à une fuite des cerveaux vers les États-Unis, où l'argent et les capitaux favorisaient l'innovation technologique. Vers un retour aux sources Face à ces constats alarmants, le podcast propose des solutions. Les intervenants prônent un retour aux sources d'internet avec les plateformes décentralisées comme Mastodon, qui échappent au contrôle des corporations. Ces systèmes, basés sur le “Fediverse”, permettent un partage d'information sans filtrage algorithmique imposé. Ils encouragent également une démarche active de diversification des sources, de vérification croisée des informations, et de questionnement systématique sur les motivations des fournisseurs d'information. L'éducation, particulièrement des jeunes générations souvent abreuvées par TikTok, devient cruciale pour développer l'esprit critique nécessaire à la navigation dans cet environnement manipulé. Conclusion : un appel à la résistance Le podcast se termine sur une note à la fois pessimiste et optimiste. Pessimiste car la situation actuelle révèle une manipulation généralisée de l'information et une concentration dangereuse du pouvoir technologique. Optimiste car les intervenants croient en un réveil des consciences et un retour aux interactions humaines authentiques, loin de la manipulation algorithmique. Ils appellent à considérer Trump comme un “agent de chaos” qui, malgré ses aspects négatifs, peut catalyser des changements positifs en révélant au grand jour les dérives du système actuel. La citation de Camus qui clôt l'émission résume bien cette philosophie : “Je ne choisis pas ce qu'on fait de ce qu'on m'a fait mais je choisis ce que j'en fais.” Ce podcast constitue un avertissement lucide sur l'évolution préoccupante d'internet et un appel à l'action pour préserver la liberté d'information et la démocratie face aux dérives technopolitiques actuelles. Collaborateurs Nicolas-Loïc Fortin Davy Adam Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x608! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Introduction et contexte Nicolas accueille Christophe d'Arlhac pour cette nouvelle édition du podcast. Faisant suite à leur précédent échange sur l'importance de l'analyse des menaces, cette discussion se concentre sur l'outillage associé à l'analyse de risque. L'objectif est de mettre en perspective les avantages et inconvénients de ces outils pour en tirer le maximum de bénéfices tout en évitant les pièges potentiels. Les avantages fondamentaux de l'outillage Structure et guidance Les outils d'analyse de risque constituent un élément structurant essentiel qui aide les analystes à effectuer leur travail méthodiquement sans rien omettre. Christophe souligne que ces outils permettent d'identifier, d'évaluer et de prioriser les menaces potentielles pesant sur les systèmes d'information. L'intégration intrinsèque de différentes fonctionnalités offre un cadre rigide qui évite l'oubli de certaines étapes importantes et standardise les méthodes de calcul. Conservation et pérennisation de l'information Un avantage majeur réside dans la capacité de ces outils à conserver et pérenniser l'information. Contrairement aux fichiers Excel artisanaux, les outils dédiés facilitent le transfert du travail entre différents intervenants. Nicolas observe que dans un contexte plus artisanal, chaque changement d'analyste tend à provoquer une reprise complète du travail, chacun ayant sa propre approche. Cette tendance à “repartir de zéro” fait perdre les bénéfices de l'amélioration continue et de l'approche itérative préconisée par les méthodologies actuelles. Gestion de la complexité Les fichiers Excel deviennent rapidement volumineux et difficiles à gérer, posant des problèmes de sécurité et de partage de droits. La ultra-personnalisation de ces fichiers les rend difficilement compréhensibles pour d'autres utilisateurs, créant un cercle vicieux où il devient plus simple de recommencer que de comprendre le travail précédent. L'adaptabilité face aux évolutions Suivi des menaces évolutives L'évolution constante des menaces constitue un argument fort en faveur des outils stables. L'exemple de la guerre en Ukraine illustre parfaitement comment la nature des menaces peut changer rapidement, modifiant le niveau de risque pour certains secteurs ou pays. Les outils permettent de pivoter et de suivre ces évolutions dans le temps, offrant une vision claire des raisons des changements de risque. Évolution réglementaire De même, les réglementations évoluent constamment, particulièrement en Europe où l'activité législative est intense. Les outils intègrent ces mises à jour réglementaires automatiquement, permettant de suivre facilement ces évolutions et de comprendre pourquoi un risque peut différer selon l'époque, non seulement à cause des attaques mais aussi des changements réglementaires. Les fonctionnalités avancées Intégration et pré-remplissage Les outils modernes offrent des capacités d'intégration avec d'autres systèmes, permettant de puiser dans des sources de données existantes. Cette fonctionnalité pré-remplit automatiquement les informations sur les actifs de support et business, représentant un gain de temps considérable. Pour les entreprises matures disposant de CMDB (Configuration Management Database), cette intégration automatique élimine l'effort manuel de collecte d'informations. Collaboration et reporting Ces outils favorisent la collaboration entre équipes et s'intègrent avec d'autres solutions pour enrichir les données d'entrée. Ils offrent également des capacités de reporting avancées avec des tableaux de bord permettant aux dirigeants de prendre des décisions éclairées concernant les investissements sécuritaires, avec une vue historique des choix stratégiques et financiers. Les écueils à éviter Faux sentiment de sécurité L'utilisation d'outils peut créer une illusion de précision et un faux sentiment de sécurité. Les utilisateurs risquent de devenir moins objectifs et de manquer de contextualisation, se concentrant davantage sur les capacités de l'outil que sur l'analyse critique des données. Cette tendance peut conduire à suivre mécaniquement une checklist sans remettre en question les données ou la logique sous-jacente. Risque de déshumanisation Un piège particulièrement dangereux consiste à croire qu'un outil peut remplacer l'expérience humaine. Certaines organisations font l'erreur de penser qu'un consultant junior peut utiliser l'outil de manière autonome, sous prétexte que celui-ci le guide. Cette approche néglige l'importance de l'expertise humaine dans l'interprétation des résultats et l'analyse contextuelle. Stagnation des compétences Les outils évoluent constamment, nécessitant une formation continue. Les utilisateurs peuvent avoir tendance à rester sur les fonctionnalités qu'ils maîtrisent, passant à côté des améliorations et nouvelles capacités. Cette stagnation limite l'efficacité de l'outil et peut conduire à une sous-utilisation de ses potentialités. L'importance du binôme expérimenté-junior Nicolas et Christophe soulignent l'importance de faire travailler ensemble des consultants expérimentés et des juniors. Cette approche permet un transfert de connaissances efficace tout en évitant les écueils de l'utilisation d'outils par des personnes inexpérimentées. L'outil accélère le travail de l'expert et aide le junior à progresser plus rapidement en se concentrant sur l'analyse plutôt que sur les aspects techniques. La valeur ajoutée de l'expertise humaine Interprétation et explication La capacité d'expliquer les résultats aux dirigeants reste fondamentalement humaine. Un expert doit pouvoir expliquer pourquoi l'outil produit certains résultats, quelles valeurs ont été saisies et pour quelles raisons. Cette interprétation constitue le cœur de métier du consultant et ne peut être automatisée. Solutions créatives L'expertise humaine permet d'identifier des solutions organisationnelles simples là où l'outil proposerait uniquement des mitigations techniques complexes. Les exemples abondent de problèmes résolus par de simples changements de processus plutôt que par des solutions techniques coûteuses et complexes. Dialogue avec les métiers L'écoute des équipes métier reste cruciale pour identifier les solutions les plus appropriées. Souvent, ces équipes ont déjà proposé des solutions simples qui n'ont pas été entendues par les départements IT. L'analyse de risque, guidée par un expert utilisant les bons outils, permet de remettre toutes les parties prenantes autour de la table et de créer cette cohésion nécessaire. Recommandations pour une utilisation optimale Formation et processus La réussite de l'implémentation d'outils d'analyse de risque nécessite une formation approfondie des utilisateurs et l'implication de toutes les parties prenantes. La documentation des processus et la sollicitation régulière des retours utilisateurs permettent d'optimiser l'utilisation et de mesurer le retour sur investissement. Critères de choix Le choix d'un outil doit tenir compte de plusieurs facteurs : interface intuitive et ergonomique, capacité de personnalisation, flexibilité de connexion avec d'autres systèmes, qualité du reporting et des visualisations, fonctionnalités collaboratives permettant le partage sécurisé de données confidentielles, et capacité d'évolution qualitative. Amélioration continue La contribution des experts utilisateurs au développement des outils bénéficie à tout l'écosystème. Les retours d'expérience permettent aux éditeurs d'améliorer leurs produits, créant un cercle vertueux d'amélioration continue qui profite à tous les acteurs de la cybersécurité. Conclusion L'outillage en analyse de risque représente un élément essentiel pour structurer et améliorer l'efficacité des analyses de sécurité. Cependant, ces outils ne doivent jamais remplacer l'expertise humaine mais l'augmenter. Ils constituent des accélérateurs qui permettent aux analystes de se concentrer sur leur valeur ajoutée : l'interprétation, l'analyse contextuelle et la création de solutions adaptées aux besoins réels des organisations. L'approche idéale combine la puissance structurante des outils avec l'expertise humaine, dans un processus d'amélioration continue impliquant toutes les parties prenantes. Collaborateurs Nicolas-Loïc Fortin Christophe D'ARLHAC Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x607! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Un épisode depuis Paris Cet épisode spécial du podcast propose une rencontre inhabituelle entre deux Québécois expatriés à Paris pour assister au leHACK, un événement mythique de cybersécurité francophone. L'animateur retrouve Martin Dubé, ancien organisateur du HAckfest au Québec, qui réalise un rêve de quinze ans en découvrant enfin cet événement légendaire. Depuis 2010, Martin s'impliquait dans le milieu de la cybersécurité québécoise, notamment avec le Hackfest, avant de prendre une pause pour des raisons familiales. Aujourd'hui entrepreneur indépendant, il s'est offert ce voyage comme un cadeau personnel. Découverte du leHACK et de son atmosphère unique Le leHACK, anciennement appelé “La Nuit du Hack”, se révèle être un événement impressionnant par son ampleur et son organisation. Avec environ 3000 participants, l'événement se déroule à la Cité des Sciences, offrant un cadre exceptionnel avec des espaces généreux et bien distribués. Contrairement au NorthSec ou au Hackfest québécois, l'atmosphère y est remarquablement détendue et non-compétitive. Le CTF (Capture The Flag) rassemble plus de 400 participants dans deux grandes salles, mais fonctionne selon un principe individuel plutôt qu'en équipes, ce qui explique cette ambiance plus relaxe. Différences culturelles et techniques L'infrastructure technique du leHACK impressionne par son approche “old school” avec des serveurs sur site, des switches 10GB et 25GB, et trois gros serveurs Xeon avec 128GB de RAM chacun. Cette approche filaire contraste avec la tendance cloud des événements québécois. L'aspect culturel se révèle également fascinant : les deux Québécois découvrent un environnement plus ouvert et respectueux, où les conflits se résolvent par une simple bise plutôt que par des confrontations. Cette différence culturelle enrichit leur expérience, même si elle crée parfois un sentiment d'isolement initial. Conférences : entre excellence et redondance L'amphithéâtre de 900 places offre des conditions d'écoute exceptionnelles, avec un son et un confort impeccables. Les conférences présentent un mélange intéressant : certaines sont remarquables, comme celle sur le reverse engineering d'une montre connectée à 12 euros. Cette présentation technique de haut niveau démontre comment les conférenciers ont contourné des protections complexes pour révéler que l'appareil générait simplement des données de santé aléatoires. D'autres conférences, malheureusement, recyclent des concepts déjà largement abordés dans le milieu, créant une certaine frustration chez les participants expérimentés. Réflexions sur l'évolution du milieu L'événement révèle une problématique générationnelle intéressante : de nombreux sujets “basiques” doivent encore être expliqués, révélant des lacunes dans la formation académique. Les techniques de sécurité recommandées aujourd'hui pour l'IA reprennent souvent des principes établis il y a vingt ans, soulignant un éternel recommencement dans le domaine. Cette situation crée un dilemme : les vétérans aimeraient du contenu plus avancé, mais les nombreux jeunes participants ont besoin de ces bases fondamentales. Observations sur la relève et l'écosystème Le leHACK frappe par la jeunesse de ses participants, contrastant avec le vieillissement observé dans certains événements québécois. De nombreuses écoles sont présentes, notamment l'École 42, démontrant un investissement fort dans la formation. Cette diversité générationnelle enrichit l'événement, même si elle complique parfois le niveau des présentations. L'écosystème français semble plus dynamique pour attirer et former la relève en cybersécurité. Expérience personnelle et networking Malgré leur statut d'étrangers, les deux Québécois parviennent à créer des liens intéressants, notamment grâce à Florent, associé français de l'un d'eux, qui facilite les rencontres. L'événement se distingue par son accessibilité : pas de files d'attente interminables comme au DefCon, une circulation fluide, et des espaces qui ne donnent pas cette impression d'écrasement malgré les 3000 participants. Cette organisation permet de véritablement profiter du contenu et des interactions. Anecdotes et détails marquants L'événement réserve quelques surprises technologiques, comme la présence de minitels connectés au WiFi, rappelant l'histoire des télécommunications françaises. Un chien robot programmable attire l'attention, créant des réactions mitigées selon les profils des participants. La canicule parisienne ajoute une dimension climatique inattendue pour des Québécois habitués à des températures plus clémentes en cette période. Bilan et perspectives Cette première participation au leHACK constitue une réussite totale pour Martin Dubé, qui envisage déjà un retour en 2026. L'événement offre un excellent équilibre entre contenu technique de qualité, networking efficace, et découverte culturelle. Il confirme l'importance des événements internationaux pour élargir les perspectives professionnelles et personnelles. L'expérience démontre que sortir de sa zone de confort géographique et culturelle apporte une richesse inestimable au développement professionnel. L'épisode se conclut sur une note philosophique concernant l'importance de la diversité culturelle dans l'enrichissement professionnel, Martin soulignant comment ces expériences internationales le rendent plus complet comme professionnel de la cybersécurité. Collaborateurs Nicolas-Loïc Fortin Martin Dubé Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x606! Préambule Nous avons rencontré un problème technique durant l'enregistrement. L'équipement a cessé de fonctionner, sans que nous nous en rendions compte. Nous avons conservé le segment qui est utilisable. Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Ce podcast enregistré lors de NorthSec réunit l'animateur et Martin Dubé pour une discussion nostalgique sur l'évolution de la communauté cybersécurité québécoise, particulièrement autour du Hackfest et de NorthSec. Les débuts du Hackfest et l'innovation des CTF Martin Dubé raconte ses débuts en 2010 au Hackfest, alors qu'il était étudiant en deuxième année d'université. À cette époque, l'événement était très différent d'aujourd'hui : les organisateurs transportaient des serveurs physiques hébergés chez eux jusqu'à l'hôtel, utilisant des technologies comme Proxmox et VMware. Cette période artisanale contraste fortement avec l'automatisation moderne mise en place par des équipes comme celle de Laurent au NorthSec. L'innovation majeure de cette époque fut l'introduction du format “attaque-défense” pour les CTF, remplaçant le traditionnel format “jeopardy” (matrice de challenges par catégories). Ce nouveau format permettait aux participants d'attaquer les infrastructures des autres équipes tout en défendant la leur, créant une dynamique plus réaliste et complexe. Leadership et apprentissage par la pratique Martin souligne l'importance de l'aspect leadership dans son rôle de responsable des CTF. Gérer une équipe de bénévoles non rémunérés lui a enseigné des compétences précieuses en gestion d'équipe, motivation par la reconnaissance et coordination de projets complexes. Cette expérience s'est révélée cruciale pour sa carrière professionnelle, démontrant que l'implication dans la communauté offre bien plus que des compétences techniques. Il encourage fortement les nouveaux arrivants dans le domaine à s'impliquer dans de tels événements, car cela permet de garnir son CV d'expériences pertinentes et facilite l'entrée sur le marché du travail. Cette recommandation reste valable aujourd'hui, même si le domaine s'est professionnalisé. L'innovation de la track Windows Un moment marquant fut la création de la “track Windows” au NorthSec, une innovation que Martin et Stéphan Sigman considèrent comme pionnière. Contrairement aux challenges synthétiques habituels, cette track simulait un véritable environnement d'entreprise avec Active Directory, partages réseau mal configurés, GPO contenant des mots de passe, et autres vulnérabilités typiques des infrastructures corporatives. Cette approche répondait à une critique importante : les CTF traditionnels développaient des compétences sur des challenges artificiels, tandis que les vrais pentesters doivent attaquer des réseaux d'entreprise réels. La track Windows a forcé les participants à développer des compétences directement applicables au Red Teaming et aux tests d'intrusion internes. Évolution technologique et impact de l'IA La discussion aborde l'évolution technologique du domaine. Martin observe que la sécurité par défaut s'est considérablement améliorée depuis les années 2010, rendant les vulnérabilités basiques moins fréquentes. L'arrivée de l'intelligence artificielle transforme également le paysage professionnel, mais plutôt comme un assistant qu'un remplaçant pour les pentesteurs. L'IA automatise certains aspects du travail de sécurité, notamment dans les outils de défense comme Sentinel pour l'analyse de logs. Cependant, Martin et l'animateur s'accordent sur le fait que l'IA reste un multiplicateur de force nécessitant une direction humaine, particulièrement en Red Team et pentest. Expérimentations mémorables Le podcast évoque plusieurs expérimentations marquantes, notamment les CTF avec des maquettes physiques comme le barrage hydroélectrique de 2013, précurseur des préoccupations actuelles sur la sécurité IoT et OT. Ces innovations visuelles permettaient aux non-participants de comprendre concrètement ce qu'était le hacking. L'expérience la plus mémorable reste les éditions “taupes” : des CTF 12 vs 12 ou 20 vs 20 où certains participants étaient secrètement des espions pour l'équipe adverse, simulant l'espionnage industriel. Ces expérimentations, bien que créatrices de “drama”, démontraient l'importance de prendre des risques calculés pour innover. Communauté et networking professionnel Un aspect crucial souligné est la valeur du réseau professionnel créé par ces événements. La communauté cybersécurité québécoise, bien que pas nécessairement composée d'amis proches, forme un réseau où chacun connaît les autres et peut interagir facilement. Cette connectivité s'avère particulièrement précieuse lors des transitions de carrière ou des périodes de recherche d'emploi. Cette dimension communautaire devient encore plus importante dans le contexte économique actuel, où les restrictions budgétaires entraînent des licenciements même dans le secteur technologique traditionnellement stable. Gestion des risques et culture d'apprentissage La conversation aborde la culture du risque et de l'erreur dans la communauté. Martin prône une approche permettant l'expérimentation et l'erreur, créant un “safe space” pour les bénévoles. Il partage un exemple récent où un bénévole a rencontré des difficultés opérationnelles, et comment son expérience lui a permis d'accompagner cette personne pour désamorcer le stress et trouver une solution. Cette philosophie s'oppose à l'élitisme parfois présent dans la communauté cybersécurité. Les deux interlocuteurs s'accordent sur l'importance de permettre aux nouveaux arrivants de faire des erreurs et d'apprendre, condition essentielle pour éviter la stagnation communautaire et favoriser l'inclusion. Réflexions sur l'humilité et l'évolution Le podcast se termine sur une note d'humilité, évoquant comment Olivier (probablement le président sortant de NorthSec) a publiquement reconnu avoir peut-être poussé trop fort ses équipes de bénévoles vers la perfection. Cette reconnaissance publique illustre la maturité croissante de la communauté et l'importance de l'équilibre entre excellence et bienveillance. Martin partage également ses propres “blessures de guerre” professionnelles, ces erreurs passées qui, bien que parfois encore douloureuses, constituent un apprentissage précieux qu'il souhaite transmettre aux générations suivantes. Conclusion Ce podcast offre un regard privilégié sur l'évolution de la cybersécurité québécoise, montrant comment l'innovation, la prise de risques calculés et la construction communautaire ont façonné l'écosystème actuel. Il souligne l'importance de maintenir un équilibre entre excellence technique et bienveillance humaine, tout en continuant à expérimenter pour faire évoluer le domaine. L'expérience de Martin Dubé illustre parfaitement comment l'implication bénévole peut catalyser une carrière professionnelle tout en contribuant significativement au développement d'une communauté technique dynamique et inclusive. Collaborateurs Nicolas-Loïc Fortin Martin Dubé Crédits Montage par Intrasecure inc Locaux réels par Northsec

Parce que… c'est l'épisode 0x605! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Dans cet épisode spécial du podcast enregistré lors de l'événement Cyberco, l'animateur reçoit Vicky Desjardins, candidate au doctorat en criminologie à l'Université de Montréal et spécialiste en réponse à incident. Vicky présente les résultats de sa recherche de cinq années sur les rançongiciels, offrant une perspective unique qui combine criminologie et cybersécurité. Parcours et motivation de la recherche Vicky a débuté sa thèse avant la pandémie, cherchant à comprendre pourquoi les défenseurs semblaient toujours surpris et en mode réaction face aux attaques de rançongiciels. Malgré son manque initial d'expertise technique, elle était déterminée à contribuer à résoudre ce problème croissant. L'arrivée du Covid-19 a considérablement amplifié l'ampleur du phénomène qu'elle étudiait. Son expérience dans l'industrie a transformé sa perspective de recherche. Elle a réalisé qu'il existait souvent un fossé important entre la recherche académique et la réalité terrain. Cette prise de conscience l'a amenée à adopter une approche différente, se concentrant non pas sur ce qui change constamment dans les techniques d'attaque, mais plutôt sur les éléments stables et prévisibles du comportement criminel. Approche criminologique des rançongiciels L'originalité de la recherche de Vicky réside dans son approche criminologique. Plutôt que de se concentrer uniquement sur les aspects techniques qui évoluent rapidement, elle a choisi d'analyser les comportements humains sous-jacents aux attaques. Sa philosophie est que les techniques ne sont que des outils utilisés par des humains pour commettre des actes criminels. Cette perspective lui a permis de découvrir que les attaques de rançongiciels sont beaucoup moins sophistiquées qu'on pourrait le croire. En réalité, la plupart peuvent être exécutées en quelques lignes de commande une fois l'accès obtenu. Cette simplicité contraste avec l'image de tours de magie technologiques souvent véhiculée dans les médias. Constats sur la simplicité des attaques L'un des enseignements les plus marquants de sa recherche concerne la banalité technique des attaques. Vicky observe que les méthodes utilisées aujourd'hui sont essentiellement identiques à celles d'il y a six ans. Les attaquants utilisent toujours la même approche : ils “se tapent la tête” sur différents systèmes jusqu'à ce qu'ils trouvent une faille exploitable. La principale évolution qu'elle note est l'augmentation de la spécialisation des tâches. Alors qu'auparavant, un même attaquant gérait l'ensemble du processus, on observe maintenant une séparation entre ceux qui obtiennent l'accès initial (Initial Access Brokers) et ceux qui mènent l'attaque finale. Cette fragmentation n'augmente cependant pas la complexité technique fondamentale des attaques. Problèmes de base en cybersécurité Vicky souligne que beaucoup d'organisations investissent massivement dans des produits de cybersécurité sophistiqués sans maîtriser les fondamentaux. Elle observe fréquemment des entreprises qui possèdent des outils avancés mais mal déployés ou mal configurés, parfois même pas mis en place du tout. Sa première question lors d'interventions de réponse à incident est révélatrice : “Savez-vous ce que vous avez dans votre environnement ?” La réponse est souvent approximative, ce qui illustre le problème fondamental. Sans une connaissance précise de son infrastructure et une configuration appropriée des éléments de base, les investissements en cybersécurité perdent leur efficacité. Dépendance des attaquants à l'infrastructure des victimes L'une des découvertes les plus importantes de la recherche concerne la forte dépendance des attaquants vis-à-vis de l'infrastructure des victimes. Cette observation est cruciale car elle identifie un point de contrôle pour les défenseurs. Contrairement aux outils d'attaque qu'on ne peut pas contrôler, l'infrastructure appartient à l'organisation et peut être configurée de manière à compliquer considérablement le travail des attaquants. Cette dépendance se manifeste dans tous les aspects de l'attaque : reconnaissance, mouvement latéral, élévation de privilèges, et exfiltration de données. En rendant l'infrastructure moins “accueillante” pour les attaquants, on peut augmenter significativement la difficulté de leurs opérations. Importance critique des comptes valides Les comptes valides représentent la technique la plus stable et la plus utilisée dans l'arsenal des attaquants de rançongiciels. Vicky les observe à toutes les étapes du processus d'attaque : entrée initiale, évasion des défenses, reconnaissance interne, élévation de privilèges, persistance, et mouvement latéral. Cette omniprésence des comptes valides dans les attaques souligne l'importance cruciale de repenser complètement la gestion des accès. Il ne s'agit plus seulement d'appliquer le principe de moindre privilège, mais d'adopter une approche beaucoup plus granulaire et contextuelle. Recommandations pour la gestion des accès Vicky propose une approche révolutionnaire de la gestion des accès basée sur plusieurs dimensions. D'abord, une segmentation par groupes d'employés avec des accès spécifiques à leurs besoins réels, pas théoriques. Ensuite, l'implémentation de restrictions temporelles : la plupart des employés ne travaillent pas après 21h, leurs comptes ne devraient donc pas avoir accès aux systèmes critiques durant ces heures. Elle suggère également des restrictions géographiques, bloquant les connexions depuis des emplacements non autorisés. Ces mesures forcent les attaquants à opérer dans des créneaux temporels et géographiques spécifiques, compliquant considérablement leurs opérations et potentiellement les décourageant de cibler l'organisation. Cibles privilégiées des attaquants L'analyse révèle que certains éléments de l'infrastructure sont systématiquement ciblés. Les antivirus et firewalls sont désactivés par des scripts automatisés. Les solutions de détection (EDR) voient leurs configurations modifiées. L'Active Directory et les contrôleurs de domaine sont particulièrement visés car ils donnent accès à des privilèges étendus. Le cloud est devenu une cible majeure depuis 2020, coïncidant avec la migration massive due à la pandémie. Les services d'accès distant (VPN, bureaux à distance) constituent des portes d'entrée privilégiées. Ces observations permettent de prioriser les efforts de sécurisation sur les éléments les plus à risque. Stratégies d'évasion et de dissimulation Les attaquants investissent énormément d'efforts dans l'évasion de la détection plutôt que dans la sophistication technique. Leur avantage principal réside dans leur capacité à rester indétectés le plus longtemps possible avant de révéler leur présence. Vicky observe de nombreuses techniques de brouillage du trafic réseau, rendant la détection difficile dans le volume normal des communications. Cette approche furtive explique pourquoi une détection précoce peut transformer radicalement la dynamique de l'incident, forçant les attaquants à opérer sous pression et à commettre des erreurs. Aspects comportementaux et motivations L'approche criminologique révèle des aspects souvent négligés. Les attaquants ont des vies personnelles et des contraintes temporelles. Beaucoup opèrent selon des horaires de travail normaux dans leur fuseau horaire. Cette humanisation des attaquants ouvre des possibilités de défense basées sur l'analyse comportementale. Concernant les motivations, au-delà de l'aspect financier évident des rançongiciels, Vicky identifie des problématiques plus subtiles comme les Initial Access Brokers qui vendent des accès pour des sommes dérisoires. Ces cas révèlent souvent des motivations personnelles (frustration professionnelle, problèmes financiers personnels) plutôt que purement lucratives. Méthodologie multidisciplinaire La force de cette recherche réside dans son approche multidisciplinaire, combinant écologie, économie, criminologie et technique. Cette convergence permet de créer une nouvelle chaîne d'attaque (kill chain) basée sur les techniques les plus fréquemment observées, offrant des points d'intervention plus précis. L'approche évite l'écueil de la sur-sophistication des menaces. Plutôt que de se préparer contre des groupes APT ultra-sophistiqués qui ciblent rarement les PME, elle encourage une évaluation réaliste des menaces appropriées à chaque organisation. Impact de la spécialisation criminelle L'évolution vers une spécialisation des rôles dans l'écosystème criminel reflète une professionnalisation du secteur. Les Initial Access Brokers se spécialisent dans l'obtention d'accès qu'ils revendent ensuite. Cette séparation des tâches, bien qu'augmentant l'efficacité globale, crée aussi de nouveaux points de vulnérabilité dans la chaîne criminelle. Le marché des accès révèle des prix parfois dérisoires, suggérant que certains vendeurs sont motivés par autre chose que le profit pur. Cette réalité soulève des questions importantes sur la gestion des risques internes et la satisfaction des employés ayant accès à des systèmes critiques. Recommandations stratégiques La recherche aboutit à des recommandations pragmatiques centrées sur le “security by design”. Il s'agit de repenser fondamentalement l'architecture de sécurité plutôt que d'ajouter des couches successives de protection. Cette approche reconnaît qu'il n'est jamais trop tard pour réviser ses configurations de base. L'objectif n'est pas de créer une forteresse impénétrable, mais de rendre l'environnement suffisamment “ennuyeux” ou difficile pour décourager les attaquants opportunistes. Dans l'esprit de Vicky, “le meilleur truc en cybersécurité, c'est juste être plus embêtant que quelqu'un d'autre”. Cette philosophie pragmatique reconnaît les limites des ressources et se concentre sur l'efficacité maximale avec les moyens disponibles, privilégiant une approche de risque proportionné plutôt que de protection absolue. Collaborateurs Nicolas-Loïc Fortin Vicky Desjardins Crédits Montage par Intrasecure inc Locaux réels par Cybereco

Parce que… c'est l'épisode 0x604! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Introduction et présentation de l'expert Dans cet épisode spécial de “Police Sécure Cyber Éco”, Emmanuel Christian Nternanya, expert en cybersécurité d'origine congolaise, présente ses recherches révolutionnaires sur la détection de l'empoisonnement de modèles d'intelligence artificielle. Certifié CISSP avec plus d'une décennie d'expérience dans l'industrie informatique depuis 2012 et cinq années spécialisées en cybersécurité, Emmanuel apporte une expertise technique approfondie à un sujet critique pour l'avenir de l'IA. Le problème de l'empoisonnement des modèles d'IA L'empoisonnement de modèles d'IA représente une menace sophistiquée et souvent invisible. Contrairement à l'expérience utilisateur simplifiée que nous connaissons avec ChatGPT ou d'autres interfaces conversationnelles, la réalité technique est bien plus complexe. Chaque modèle d'IA possède un “cerveau” qui doit être entraîné avec des données pour acquérir ses capacités de prédiction et de classification. Le principe fondamental est simple mais préoccupant : si un modèle est entraîné avec des données corrompues indiquant que 1+1=3, il reproduira fidèlement cette erreur. Les modèles d'IA ne font que reproduire ce qu'ils ont appris, sans capacité de discernement critique. Cette vulnérabilité ouvre la porte à des attaques sophistiquées où des adversaires peuvent corrompre intentionnellement les données d'entraînement. La recherche d'Emmanuel démontre qu'il suffit parfois de contaminer seulement 1% des données d'entraînement pour réussir à modifier significativement le comportement d'un modèle. Cette découverte est particulièrement alarmante car elle révèle qu'une intervention minimale peut avoir des conséquences majeures, tout en restant pratiquement indétectable par les méthodes conventionnelles. La solution innovante : le “docteur” en IA Face à cette menace, l'équipe d'Emmanuel a développé une approche révolutionnaire : créer un “docteur” spécialisé dans le diagnostic des modèles d'IA. Ce système de détection peut identifier si un modèle a été empoisonné en analysant uniquement ses poids internes, sans avoir accès aux données d'entraînement originales. La méthodologie de recherche s'appuie sur une approche rigoureuse et extensive. L'équipe a créé 1000 ensembles de données d'entraînement soigneusement vérifiés et non contaminés, puis a entraîné 1000 modèles correspondants. Parmi ces modèles, les 950 présentant les meilleures performances ont été sélectionnés pour l'analyse approfondie. Le processus d'analyse se concentre sur l'architecture des réseaux de neurones convolutifs, particulièrement sur les trois couches denses et la couche de classification finale utilisant une fonction sigmoïde. Chaque couche contient des neurones qui apprennent et retiennent l'information sous forme de poids, des valeurs numériques représentant la connaissance acquise par le modèle. La transformation des poids en images diagnostiques L'innovation majeure réside dans la transformation des poids du modèle en images analysables. Emmanuel explique que les poids d'un modèle varient généralement entre -1 et 1, des valeurs difficiles à interpréter directement. L'équipe a développé un algorithme propriétaire capable de convertir ces poids en valeurs d'intensité d'image (de 1 à 255), créant ainsi des représentations visuelles des états internes du modèle. Cette approche s'inspire de l'imagerie médicale : tout comme un cerveau humain peut être analysé par radiographie, le “cerveau” d'un modèle d'IA peut être “radiographié” en convertissant ses poids en images. Cette analogie n'est pas qu'une métaphore ; elle constitue la base technique de leur méthode de diagnostic. Le système utilise deux docteurs spécialisés, chacun entraîné sur des images de dimensions différentes extraites de couches distinctes du modèle analysé. Le premier docteur analyse des images de 100x100 pixels, tandis que le second traite des images de 200x200 pixels. Cette approche multicouche permet une analyse plus complète et nuancée des modèles suspects. L'apprentissage d'ensemble et les performances La combinaison des deux docteurs spécialisés à travers l'apprentissage d'ensemble (ensemble learning) produit un diagnostic final plus précis que chaque docteur individuellement. Cette synergie permet d'atteindre des taux de réussite impressionnants de 98% à 99% dans la détection des modèles empoisonnés. La validation de ces performances s'effectue sur des modèles que les docteurs n'ont jamais vus pendant leur entraînement. L'équipe utilise des bases de données publiques reconnues comme MNIST Fashion et des données de plaques d'immatriculation disponibles publiquement. Cette approche garantit l'objectivité des résultats et la capacité de généralisation du système. Les défis de la détection à faible contamination Cependant, la détection devient plus complexe lorsque le niveau de contamination diminue. À 1% de contamination, le taux de réussite chute à 77%, révélant les limites actuelles de la technologie. Cette limitation est critique car les adversaires sophistiqués privilégieront naturellement des niveaux de contamination faibles pour éviter la détection. Emmanuel explique que l'amélioration de ces performances nécessite l'optimisation des hyperparamètres et l'exploration de nouvelles techniques d'apprentissage automatique. Néanmoins, il souligne un aspect rassurant : l'analyse du rapport signal/bruit révèle que les modèles empoisonnés à très faible niveau présentent souvent un bruit supérieur de 4% aux modèles sains, les rendant potentiellement inutilisables en pratique. Applications critiques et enjeux sociétaux L'importance de cette recherche transcende les aspects purement techniques. Emmanuel souligne les applications critiques où l'empoisonnement de modèles pourrait avoir des conséquences dramatiques : détection de cancer, diagnostic médical, reconnaissance de plaques d'immatriculation pour les systèmes de sécurité routière. Il illustre ces risques par un exemple concret : un modèle empoisonné de reconnaissance de plaques pourrait identifier incorrectement le véhicule d'un délinquant en fuite, envoyant la convocation à une personne innocente. Ces erreurs ne sont pas de simples dysfonctionnements techniques, mais des failles de sécurité aux conséquences sociales et judiciaires importantes. L'écosystème d'IA et ses vulnérabilités Un aspect particulièrement préoccupant concerne l'écosystème actuel de l'IA. De nombreuses applications utilisent des APIs payantes comme celle de ChatGPT sans vérification de l'intégrité des modèles sous-jacents. Les développeurs intègrent ces services par confiance, sans moyens de vérifier si les modèles ont été compromis. Cette situation crée une chaîne de vulnérabilités où la contamination d'un modèle central peut affecter des milliers d'applications dérivées. L'objectif d'Emmanuel est de fournir des outils forensiques permettant de vérifier l'intégrité des modèles avant leur mise en production, même sans accès complet au modèle original. Perspectives et développements futurs La recherche continue d'évoluer vers une meilleure adaptation aux différentes architectures de modèles. L'équipe développe des algorithmes capables d'ajuster automatiquement l'analyse en fonction de l'architecture spécifique de chaque modèle testé, améliorant ainsi la précision et la polyvalence du diagnostic. Les travaux s'étendent également vers l'analyse de modèles publics disponibles sur des plateformes comme Hugging Face, bien que cette phase n'ait pas encore été complètement mise en œuvre. Cette extension permettrait de cartographier la prévalence réelle de l'empoisonnement dans l'écosystème d'IA public. Conclusion et mission de sensibilisation Au-delà des aspects techniques, Emmanuel porte une mission de sensibilisation cruciale. Il cherche à éveiller les consciences sur l'existence réelle des modèles empoisonnés et leurs implications. Alors que l'adoption de l'IA s'accélère dans tous les secteurs, la compréhension de ces vulnérabilités devient essentielle pour un déploiement sécurisé. Cette recherche représente une contribution significative à la sécurisation de l'écosystème d'intelligence artificielle, offrant des outils concrets pour détecter et prévenir les attaques par empoisonnement de modèles, tout en sensibilisant la communauté aux enjeux critiques de sécurité dans l'ère de l'IA généralisée. Collaborateurs Nicolas-Loïc Fortin Christian Emmanuel Nteranya Crédits Montage par Intrasecure inc Locaux réels par Cybereco

Parce que… c'est l'épisode 0x603! Shameless plug 27 et 29 juin 2025 - LeHACK 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Introduction et contexte Ce cinquième épisode de collaboration entre les balados Super Citoyen et Polysécure, animé par Catherine Dupont-Gagnon et Samuel Harper, avec la participation de Nicolas, aborde deux sujets majeurs touchant la cybersécurité et la vie privée des citoyens canadiens. Après une pause d'une semaine, les animateurs se retrouvent pour discuter d'enjeux critiques qui affectent directement les utilisateurs de technologies et les citoyens. Première partie : Les vulnérabilités de Microsoft Copilot La découverte d'une faille majeure L'épisode débute par l'analyse d'une vulnérabilité critique découverte dans Microsoft Copilot, spécifiquement dans sa version M365. Cette faille permet aux attaquants d'injecter des instructions malveillantes dans des documents de manière invisible pour les utilisateurs humains, mais détectable par l'agent d'indexation de Copilot. Le mécanisme d'attaque L'attaque fonctionne selon un principe relativement simple mais efficace : les cybercriminels cachent du texte dans des documents en utilisant des techniques comme l'écriture en blanc sur fond blanc ou des polices de caractères microscopiques. Lorsque Copilot analyse ces documents pour répondre aux requêtes des utilisateurs, il lit ces instructions cachées et les exécute comme s'il s'agissait de commandes légitimes. Samuel Harper explique que cette vulnérabilité est particulièrement dangereuse avec la version M365 de Copilot car cet agent peut indexer l'ensemble du contenu personnel d'un utilisateur : courriels, documents OneDrive, conversations Teams. Les instructions malveillantes peuvent donc ordonner à Copilot d'effectuer des actions non autorisées, comme envoyer des informations sensibles à des adresses externes. Les implications pour les entreprises Cette faille représente un risque considérable pour les organisations, particulièrement celles possédant des secrets industriels ou des informations confidentielles. Un attaquant pourrait théoriquement envoyer un courriel contenant des instructions cachées demandant à Copilot de transmettre tous les secrets industriels à une adresse spécifique. L'agent exécuterait ces commandes sans que l'utilisateur ne s'en aperçoive. Un problème systémique Les animateurs soulignent que bien que Microsoft ait corrigé cette vulnérabilité spécifique, le problème est plus large. Tous les agents d'intelligence artificielle utilisant des modèles RAG (Retrieval-Augmented Generation) - qui puisent leurs réponses dans des bases de données externes - sont potentiellement vulnérables à ce type d'attaque. Google Gemini, Claude et d'autres plateformes similaires pourraient être ciblés par des méthodes comparables. Deuxième partie : Le projet de loi C-4 et la protection des données Une loi aux multiples facettes Samuel Harper présente ensuite une analyse approfondie du projet de loi C-4 du gouvernement Carney, officiellement intitulé “Loi visant à rendre la vie plus abordable pour les Canadiens”. Si les trois premières parties de cette loi concernent effectivement des mesures d'abordabilité (baisses d'impôts, fin de la taxe carbone, remboursement de la TPS pour l'achat d'une première maison neuve), la quatrième partie introduit des modifications controversées à la loi électorale. L'exemption des partis politiques Cette section du projet de loi soustrait les partis politiques fédéraux aux lois de protection des renseignements personnels. Concrètement, cela signifie que les partis politiques, leurs bénévoles et tous ceux qui travaillent en leur nom peuvent exercer toutes les activités avec les renseignements personnels sans aucune restriction légale. Le contexte juridique Cette modification législative fait suite à une décision de 2022 du commissaire à la vie privée de la Colombie-Britannique, qui avait déterminé que les partis fédéraux devaient également respecter la loi provinciale PIPA (Personal Information Protection Act). Les partis politiques ont contesté cette décision jusqu'en Cour suprême de la Colombie-Britannique et ont perdu leur cause. Une stratégie législative discutable Les animateurs dénoncent la tactique consistant à inclure ces modifications controversées dans un projet de loi sur l'abordabilité. Cette approche, rappelant les “omnibus bills” de l'ère Harper, rend difficile l'opposition à des mesures populaires tout en faisant passer des dispositions problématiques. Les risques pour la démocratie Le micro-ciblage politique Catherine et Samuel discutent des dangers du micro-ciblage politique, comparant les stratégies des partis politiques à celles utilisées par Cambridge Analytica. Ils soulignent que les mêmes techniques de marketing qui poussent les consommateurs vers des achats peuvent être utilisées pour manipuler les intentions de vote. L'érosion du choix démocratique Les animateurs expriment leurs préoccupations concernant l'utilisation d'algorithmes pour influencer les électeurs. Ils argumentent que ces pratiques transforment le processus démocratique en exercice de marketing, éloignant les citoyens d'un choix libre et éclairé basé sur leurs valeurs personnelles. La paresse technologique Un thème récurrent de l'épisode est la “paresse technologique” - la tendance des utilisateurs à accepter passivement les solutions automatisées sans exercer leur esprit critique. Cette passivité, selon les animateurs, représente un danger plus immédiat que l'intelligence artificielle générale souvent évoquée dans les scénarios catastrophiques. Réflexions sur l'engagement citoyen La responsabilité démocratique Les animateurs insistent sur l'importance de l'engagement citoyen au-delà du simple vote. Ils encouragent les auditeurs à contacter leurs députés pour exprimer leurs préoccupations concernant des projets de loi comme le C-4, rappelant que la démocratie ne se limite pas aux périodes électorales. L'urgence d'agir Samuel souligne que le projet de loi C-4 pourrait être adopté très rapidement, utilisant une procédure accélérée qui contourne les étapes normales du processus législatif. Cette urgence rend encore plus crucial l'engagement immédiat des citoyens. Conclusion et perspectives L'épisode se termine sur une note qui mélange pessimisme et espoir. Bien que les animateurs identifient des tendances inquiétantes - vulnérabilités technologiques, érosion de la vie privée, manipulation démocratique - ils maintiennent leur foi en la capacité des citoyens canadiens à influencer leur système politique par l'engagement actif. Les deux sujets traités dans cet épisode illustrent les défis interconnectés de notre époque numérique : d'une part, des technologies puissantes mais imparfaites qui créent de nouvelles vulnérabilités ; d'autre part, des institutions politiques qui tentent de s'adapter à ces nouvelles réalités parfois aux dépens des protections démocratiques traditionnelles. L'appel à l'action des animateurs est clair : les citoyens doivent rester vigilants, s'informer activement et s'engager dans le processus démocratique pour préserver leurs droits dans un monde de plus en plus numérisé. La technologie n'est ni bonne ni mauvaise en soi, mais son impact dépend largement de la façon dont la société choisit de l'encadrer et de l'utiliser. Notes À venir Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x602! Shameless plug 27 et 29 juin 2025 - LeHACK 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Introduction et contexte François Proulx fait son retour pour présenter l'évolution de ses recherches sur la sécurité des chaînes d'approvisionnement (supply chain) depuis sa présentation de l'année précédente. Ses travaux portent sur la détection de vulnérabilités dans les pipelines de construction (build pipelines) des projets open source, un sujet qui avait suscité beaucoup d'intérêt suite à l'incident XZ Utils. Évolution de la méthodologie de recherche Depuis l'année dernière, l'équipe de François a considérablement amélioré ses outils et sa stratégie de détection. Plutôt que de scanner massivement tous les dépôts disponibles, ils ont adopté une approche plus ciblée en se concentrant sur des entités majeures comme Google, Red Hat, Nvidia et Microsoft. Ces organisations sont des contributeurs importants de projets open source critiques et bien maintenus. Cette nouvelle approche leur permet de découvrir des centaines d'organisations GitHub par entité, chacune contenant parfois des milliers de dépôts. L'objectif reste le même : détecter des vulnérabilités zero-day dans les build pipelines qui permettent de compiler, tester et distribuer les projets open source, notamment via GitHub Actions. La problématique fondamentale des CI/CD François présente une analogie frappante pour expliquer la dangerosité des systèmes d'intégration continue : “un CI/CD, c'est juste du RCE as a service” (Remote Code Execution as a Service). Ces systèmes sont des applications web qui attendent de recevoir des déclencheurs sur une interface publique accessible via Internet. Dans le cas de GitHub Actions, il suffit d'ouvrir une pull request pour déclencher automatiquement l'exécution de tests. Cette situation rappelle les vulnérabilités des années 1990-2000 avec les débordements de pointeurs. François utilise une formule percutante : “les build pipelines ressemblent à une application PHP moyenne de 2005 en termes de codage sécurisé”. Cette comparaison souligne que malgré les décennies d'évolution en sécurité informatique, les mêmes erreurs fondamentales se répètent dans de nouveaux contextes. Les mécanismes d'exploitation Les vulnérabilités exploitent principalement les entrées non fiables (untrusted input) provenant des pull requests. Même les brouillons de contributions peuvent déclencher automatiquement l'exécution de tests avant qu'un mainteneur soit notifié. Le problème s'aggrave quand les pipelines nécessitent des secrets pour communiquer avec des systèmes externes (notifications Slack, télémétrie, etc.). Par défaut, GitHub Actions hérite parfois d'anciennes permissions en lecture-écriture, ce qui permet aux tests d'avoir accès à un token avec des droits d'écriture sur le dépôt. Cette configuration peut permettre à un attaquant d'écrire dans le dépôt de manière non visible. Résultats impressionnants des analyses L'équipe a considérablement affiné ses outils de détection. À partir de 200 000 résultats initiaux, ils appliquent des règles plus précises pour identifier environ 10 000 cas intéressants. Ces règles valident non seulement la présence de vulnérabilités, mais aussi les critères d'exploitation et la présence de secrets exploitables. Après validation manuelle, environ 25% de ces 10 000 cas s'avèrent facilement exploitables. Ces chiffres démontrent l'ampleur du problème dans l'écosystème open source, même en reconnaissant l'existence probable de nombreux faux négatifs. Cas concrets : Google et les régressions François rapporte avoir découvert des vulnérabilités dans 22 dépôts appartenant à Google, notamment dans un projet lié à Google Cloud (probablement Data Flow). Après avoir signalé et reçu une récompense pour la correction, une régression est survenue une semaine plus tard dans le même workflow, leur valant une seconde récompense. Cette situation illustre un problème récurrent : même les grandes organisations comme Google peuvent reproduire les mêmes erreurs après correction, souvent par méconnaissance des mécanismes sous-jacents de ces nouvelles techniques d'exploitation. L'affaire Ultralytics : un cas d'école L'incident le plus marquant concerne la bibliothèque Python Ultralytics, très populaire pour la détection d'images par apprentissage automatique. En août, l'équipe avait détecté une vulnérabilité dans ce projet mais s'était concentrée sur les découvertes chez Google, négligeant de signaler cette faille. En décembre, Ultralytics a été compromis par l'injection d'un crypto-mineur, exploitant précisément la vulnérabilité identifiée quatre mois plus tôt. Cette attaque était particulièrement ingénieuse car elle ciblait des environnements avec des GPU puissants (utilisés pour le machine learning), parfaits pour le minage de cryptomonnaies, tout en restant discrète dans un contexte où une forte consommation GPU est normale. Pivot vers la détection proactive Cet incident a motivé un changement stratégique majeur : passer de la simple détection de vulnérabilités à la détection proactive d'exploitations en cours. L'équipe ingère désormais le “firehose” des événements publics GitHub, soit environ 5,5 millions d'événements quotidiens. Après filtrage sur les projets critiques avec des build pipelines, ils analysent environ 500 000 événements intéressants par jour. En appliquant leurs analyses sophistiquées et en croisant avec leurs connaissances des vulnérabilités, ils obtiennent environ 45 événements suspects à investiguer quotidiennement. Validation forensique avec Kong Cette nouvelle approche s'est rapidement avérée efficace. Pendant les vacances de Noël, leur système a continué d'ingérer les données automatiquement. Au retour, l'incident Kong (un contrôleur Ingress pour Kubernetes) leur a permis de créer une timeline forensique détaillée grâce aux données accumulées pendant leur absence. Découverte sur les forums cybercriminels La collaboration avec Flare, spécialisée dans l'analyse du dark web, a révélé des informations troublantes. En recherchant “Ultralytics” sur Breach Forum avec un filtrage temporel précis, François a découvert qu'un utilisateur avait créé un compte 24 heures avant l'attaque, publié exactement la vulnérabilité du pipeline Ultralytics en mentionnant l'utilisation de “Poutine” (leur outil), puis confirmé 24 heures après l'exploitation avoir gagné des Monero grâce à cette attaque. Cette découverte confirme que les cybercriminels utilisent activement les outils de recherche en sécurité pour identifier et exploiter des vulnérabilités, transformant ces outils défensifs en armes offensives. Implications et recommandations Cette situation soulève des questions importantes sur la responsabilité des chercheurs en sécurité. François insiste sur le fait que Poutine, leur outil de détection, devrait devenir le minimum absolu pour tout projet open source. Il compare cette nécessité à l'interdiction d'avoir des dépôts Git pour ceux qui n'implementent pas ces vérifications de base. L'analogie avec PHP 2005 reste pertinente : il a fallu des années pour que la communauté PHP matûrisse ses pratiques de sécurité. Les build pipelines traversent actuellement la même phase d'évolution, avec des erreurs fondamentales répétées massivement dans l'écosystème. Défis techniques et limites François reconnaît honnêtement les limitations de leur approche. Leur système ne détecte que les attaques les moins sophistiquées - des “low hanging fruits”. Des attaques complexes comme celle de XZ Utils ne seraient probablement pas détectées par leurs outils actuels, car elles sont trop bien camouflées. Le défi principal reste de filtrer efficacement le bruit dans les millions d'événements quotidiens pour obtenir un nombre d'alertes gérable par une petite équipe d'analystes. Ils reconnaissent que la majorité des incidents leur échappe probablement encore. Perspective d'avenir François exprime l'espoir que la maturation de l'écosystème des build pipelines sera plus rapide que les 20 ans qu'il a fallu pour sécuriser PHP. Leur travail de pionnier contribue à cette évolution en sensibilisant la communauté et en fournissant des outils concrets. L'angle d'analyse des build pipelines est particulièrement pertinent car il se situe à la croisée des chemins entre le code source et sa distribution, avec des possibilités d'exécution de code qui en font un point critique de la chaîne d'approvisionnement logicielle. Cette présentation illustre parfaitement l'évolution rapide des menaces dans l'écosystème open source moderne et la nécessité d'une vigilance constante pour sécuriser les infrastructures critiques dont dépend l'ensemble de l'industrie logicielle. Notes François Proulx Collaborateurs Nicolas-Loïc Fortin François Proulx Crédits Montage par Intrasecure inc Locaux réels par Northsec

Parce que… c'est l'épisode 0x601! Shameless plug 27 et 29 juin 2025 - LeHACK 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Collaborateurs Nicolas-Loïc Fortin Thierry St-Jacques-Gagnon Nora Boulahia Cuppens Berenice Alanis Frédéric Cuppens Crédits Montage par Intrasecure inc Locaux réels par Propolys - Polytechnique Montréal

Parce que… c'est l'épisode 0x600! Shameless plug 2 au 4 avril 2025 - Humaco 8 et 9 avril 2025 - Cybereco 10 au 18 mai 2025 - NorthSec 27 au 30 mai 2025 - Cycon 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Introduction et contexte Le 600e épisode du podcast Policesécure réunit une assemblée d'experts en cybersécurité pour aborder un sujet particulièrement pertinent : l'obsec (operational security) personnel et la façon dont les professionnels de la sécurité gèrent leurs propres risques numériques. L'animateur Nicolas souligne d'emblée le paradoxe central de cette discussion : bien que ces experts conseillent quotidiennement leurs clients sur les meilleures pratiques de sécurité, ils admettent volontiers ne pas toujours appliquer ces recommandations dans leur vie personnelle. Cette conversation virtuelle rassemble des professionnels aux parcours variés : Vincent Milette (gestionnaire chez Air Canada), Guillaume Ross (expert en sécurité avec plus de 20 ans d'expérience), Samuel Harper (journaliste spécialisé), Dominique Derrier (consultant en cybersécurité), Catherine Dupont-Gagnon (spécialiste en sensibilisation), Alexandre Fournier (expert en continuité d'activité), Stéphane Laberge (professionnel chevronné) et Andréanne Bergeron (professeure associée à l'Université de Montréal). Les approches personnelles de la sécurité Vincent Milette : l'approche pragmatique Vincent adopte une perspective d'affaires même dans sa vie personnelle. Il privilégie la praticité et évite les solutions trop contraignantes qui pourraient affecter la flexibilité de sa famille. Sa stratégie repose sur la diversification : plusieurs navigateurs selon les contextes, utilisation de VPN pour certaines activités spécifiques, et adaptation aux besoins d'une famille où les niveaux techniques varient considérablement. Guillaume Ross : l'expert prudent mais réaliste Guillaume se distingue par sa rigueur concernant les mises à jour système et les sauvegardes. Il maintient un chiffrement systématique de ses données, qu'elles soient locales ou dans le cloud. Cependant, il avoue ne pas utiliser de VPN par paranoïa du WiFi public, préférant s'appuyer sur le chiffrement TLS généralisé. Son approche révèle une contradiction intéressante : parfois, trop de sécurité peut créer des vulnérabilités, comme il l'illustre avec l'anecdote de ses trois appareils dans le même sac contenant son gestionnaire de mots de passe. Samuel Harper : le journaliste pragmatique En tant que journaliste d'enquête, Samuel présente un cas d'usage particulier. Il utilise des VPN principalement pour ses recherches sur des infrastructures suspectes et maintient des comptes séparés pour ses investigations. Il souligne la difficulté pratique de maintenir un anonymat total, notamment concernant les numéros de téléphone anonymes, et prône une approche équilibrée entre sécurité et sanité mentale. Les autres approches Dominique se décrit comme “pourri” dans son obsec personnel malgré ses conseils professionnels. Catherine révèle les défis liés à son passé en marketing, où elle a construit une présence numérique importante avant de s'intéresser à la cybersécurité. Andréanne propose une philosophie intéressante : éviter la paranoïa excessive tout en maintenant une cohérence entre discours et pratique. Les anecdotes révélatrices L'incident de Catherine : un cas d'école de sécurité physique Catherine partage une anecdote particulièrement instructive de l'époque où elle animait un canal Twitch. En annonçant publiquement ses déplacements vers un café spécifique et en diffusant depuis son appartement avec une fenêtre visible, elle a involontairement fourni assez d'informations pour qu'un spectateur déduise son adresse exacte. Cette histoire illustre parfaitement comment l'ingénierie sociale et l'agrégation d'informations apparemment anodines peuvent compromettre la sécurité personnelle. Les désastres de sauvegarde Plusieurs participants partagent leurs expériences de pertes de données. Nicolas raconte avoir perdu des machines complètes à cause de clés de chiffrement perdues, tandis qu'Alexandre évoque sa “formation” précoce à l'importance des sauvegardes après avoir accidentellement supprimé des répertoires entiers sur un mainframe militaire, affectant 200 personnes passant un examen. La sécurité physique versus numérique La discussion révèle une dichotomie intéressante entre sécurité numérique et physique. Andréanne avoue une obsession pour la sécurité physique, cachant ses équipements dans des “pièces secrètes” et utilisant des leurres, contrastant avec son approche décontractée de la cybersécurité. Cette différence d'approche soulève des questions sur la perception des menaces et leur hiérarchisation. Les participants abordent également les défis pratiques des voyages : où laisser son passeport, comment gérer les appareils électroniques, l'utilisation des coffres-forts d'hôtel (généralement considérés comme peu fiables), et les précautions à prendre aux frontières. Les outils et leur utilisation Gestionnaires de mots de passe La conversation révèle des approches variées concernant les gestionnaires de mots de passe. Alors que la plupart utilisent des solutions classiques, Andréanne se distingue en utilisant un algorithme mental personnel pour générer ses mots de passe. Dominique utilise trois voûtes différentes selon le niveau de sensibilité des comptes. VPN et WiFi public Les avis divergent considérablement sur l'utilité des VPN. Guillaume argue que le chiffrement TLS généralisé rend les VPN moins critiques pour le WiFi public, tandis que d'autres les utilisent pour des cas spécifiques. La discussion souligne l'importance de comprendre la menace réelle plutôt que de suivre aveuglément des recommandations génériques. Passkeys et nouvelles technologies Les participants sont généralement optimistes concernant les passkeys, avec Sony PlayStation citée comme exemple positif d'implémentation, malgré des défis de récupération complexes. L'adoption reste limitée par la fragmentation entre les écosystèmes (Google, Apple, Microsoft). La fatigue sécuritaire et l'expérience utilisateur Un thème central émerge : la fatigue sécuritaire. Trop de mesures de sécurité peuvent conduire à l'abandon ou à des pratiques moins sûres. Les participants soulignent l'importance de l'expérience utilisateur dans l'adoption des bonnes pratiques. Les exemples incluent les sites bloquant le copier-coller de mots de passe, les demandes répétitives d'authentification, et les interfaces mal conçues qui poussent les utilisateurs vers des solutions moins sécurisées. Signal et la communication sécurisée La discussion sur “Signalgate” illustre les limites des outils de communication sécurisée. Signal offre un excellent chiffrement de bout en bout, mais ne protège pas contre les mauvaises pratiques d'utilisation ou les compromissions d'appareils. Les participants soulignent l'importance de comprendre ce que chaque outil protège réellement versus ce qu'il ne protège pas. Les menaces modernes et l'évaluation des risques Au-delà du hacker traditionnel Les participants identifient des menaces souvent négligées : la manipulation par la publicité ciblée, l'exploitation des données par des courtiers légitimes, et l'utilisation de ces informations par les forces de l'ordre sans mandat. Samuel souligne que cette collecte légale de données personnelles représente souvent une menace plus concrète que les cyberattaques traditionnelles. L'exemple des employés nord-coréens La discussion aborde le phénomène des employés nord-coréens infiltrant des entreprises occidentales, illustrant comment les processus de vérification d'identité pour les employés distants sont souvent moins rigoureux que ceux appliqués aux clients. Évolutions technologiques et perspectives Les participants notent plusieurs améliorations positives : 99% des connexions Chrome utilisent maintenant TLS, les gestionnaires de mots de passe sont intégrés dans les systèmes d'exploitation, et le chiffrement devient standard. Cependant, des défis persistent, notamment les paramètres par défaut souvent inadéquats et la complexité de maintenance de certaines solutions. Réflexions sur l'industrie et l'éducation La conversation révèle une autocritique de l'industrie de la sécurité : les experts reconnaissent leur difficulté à communiquer efficacement avec le grand public. Les conseils sont souvent trop techniques, contradictoires, ou inadaptés au modèle de menace réel des utilisateurs moyens. L'exemple du “carnet de mots de passe” illustre cette déconnexion : universellement critiqué par les experts, il peut pourtant être la solution la plus sécurisée pour certains utilisateurs. Conclusion Ce 600e épisode de Policesécure offre une perspective rafraîchissante et honnête sur la sécurité personnelle. En admettant leurs propres failles et contradictions, ces experts humanisent les défis de la cybersécurité. Leur message principal est clair : l'évaluation du risque doit précéder toute mesure de sécurité. Il ne s'agit pas d'atteindre la perfection sécuritaire, mais de trouver un équilibre praticable entre protection et fonctionnalité. La discussion souligne l'importance de contextualiser les conseils de sécurité selon le profil de menace réel de chaque individu, plutôt que d'appliquer une approche universelle. Elle met également en lumière les défis persistants de l'industrie pour rendre la sécurité accessible et compréhensible pour tous, tout en évitant la fatigue sécuritaire qui peut paradoxalement réduire le niveau de protection global. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Stéphane Laberge Andréanne Bergeron Catherine Dupont-Gagnon Samuel Harper Vincent Milette Guillaume Ross Alexandre Fournier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x599! Shameless plug 27 et 29 juin 2025 - LeHACK 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Ce deuxième bloc de conversation avec les experts de Propolis, un incubateur d'entreprises, explore les défis complexes de la commercialisation des innovations en cybersécurité au Québec et au Canada. Les défis de la vulgarisation technique Berenice Alanis, représentante de Propolis, souligne un problème récurrent chez les entrepreneurs techniques : leur difficulté à communiquer efficacement leurs solutions. Les start-ups en cybersécurité peinent particulièrement à vulgariser leurs innovations, ce qui constitue un obstacle majeur à la commercialisation. L'incubateur consacre six mois à former ces entrepreneurs aux compétences relationnelles (soft skills) par le biais d'ateliers, de mentorat et de coaching. Le défi principal réside dans l'incapacité des entrepreneurs à bien poser le problème qu'ils tentent de résoudre. Comme l'explique Nora Boulahia Cuppens, professeure-chercheuse, cette difficulté existe aussi dans le milieu académique : un article scientifique n'est accepté que si le problème est clairement positionné et que l'innovation apporte une solution nouvelle et rentable. Les entrepreneurs doivent apprendre à expliquer leur solution comme s'ils s'adressaient à un enfant de dix ans, en évitant le jargon technique excessif. La spécificité du marché de la cybersécurité Thierry St-Jacques-Gagnon, entrepreneur en résidence, identifie une particularité fondamentale du secteur : contrairement aux technologies médicales où les clients sont naturellement du domaine médical, la cybersécurité doit s'adresser à des entreprises qui ne sont pas spécialisées en sécurité informatique. Les premiers clients ne sont pas les experts en cybersécurité, qui pourraient être des concurrents, mais plutôt les utilisateurs finaux qui ont besoin de protection. Cette réalité crée un paradoxe : la cybersécurité n'est ni considérée comme “sexy” ni comme prioritaire par les entreprises. Elle reste perçue comme une fonction de support plutôt qu'une unité d'affaires stratégique. L'intérêt ne se manifeste généralement qu'après un incident de sécurité, moment où les budgets deviennent soudainement disponibles, mais cet élan retombe rapidement. L'innovation par l'amélioration de l'expérience utilisateur L'approche de Kelvin Zero illustre une stratégie prometteuse : positionner la cybersécurité comme un amélioration de l'expérience utilisateur plutôt qu'une contrainte. L'exemple des solutions sans mot de passe démontre comment il est désormais possible d'augmenter simultanément la sécurité et la facilité d'utilisation, rompant avec le paradigme traditionnel selon lequel ces deux aspects étaient inversement proportionnels. L'insularité du secteur cybersécuritaire Un problème structurel majeur émerge des discussions : l'écosystème cybersécuritaire québécois reste très insulaire. Les professionnels se parlent entre eux lors de conférences spécialisées, mais peinent à franchir les frontières sectorielles pour atteindre les véritables utilisateurs finaux. Cette situation contraste avec celle observée aux États-Unis, où davantage de non-experts participent aux événements cybersécuritaires et comprennent l'importance de ces enjeux pour leurs entreprises. Les approches culturelles et réglementaires La discussion révèle des différences culturelles significatives entre les approches nord-américaine et européenne. Frédéric Cuppens explique que l'Europe privilégie une approche “régalienne” où l'État impose des réglementations que les entreprises doivent respecter, comme illustré par le RGPD ou les lois sur les infrastructures critiques. Cette approche serait difficilement acceptable en Amérique du Nord, où l'on privilégie la libre entreprise. Cependant, ces différences s'estompent avec des initiatives comme le projet de loi C-26 au Canada, qui crée des opérateurs d'importance vitale sur le modèle européen. Cette évolution suscite des débats, les entreprises n'étant pas habituées à une intervention étatique aussi directe. L'impact de la peur et de la sensibilisation L'analyse comparative révèle que les États-Unis et Israël bénéficient d'un contexte de menaces qui facilite naturellement la sensibilisation à la cybersécurité. L'Europe a compensé ce facteur par la réglementation, créant une culture de la conformité. Au Québec et au Canada, l'absence de ces deux éléments maintient une certaine complaisance collective face aux enjeux cybersécuritaires. Les solutions d'accompagnement et de formation Propolis développe plusieurs stratégies pour surmonter ces défis. L'incubateur s'appuie sur des entrepreneurs en résidence, des partenariats avec de grandes entreprises comme CGI, et un réseau de mentors pour aider les start-ups à franchir la barrière entre l'innovation technique et la réalité commerciale. L'accès aux subventions et le développement de prototypes fonctionnels constituent également des éléments clés du programme d'accompagnement. Innovation pédagogique : la maîtrise entrepreneuriat-cybersécurité Face au constat que les étudiants ayant des projets d'innovation sont souvent contraints de choisir entre leurs études et leur projet entrepreneurial, Polytechnique Montréal a créé un parcours novateur. Cette maîtrise en cybersécurité avec spécialisation entrepreneuriat permet aux étudiants de développer leur start-up tout en validant leurs crédits académiques. Le programme s'appuie sur Propolis pour la partie incubation, créant un pont naturel entre formation et commercialisation. Les enjeux de financement et d'accessibilité Un défi important concerne l'accessibilité des programmes d'incubation. Tous les participants n'ont pas la liberté financière de se consacrer entièrement à leur projet d'innovation, particulièrement ceux qui ont déjà une famille et des obligations professionnelles. Cette réalité soulève la question du besoin de subventions spécifiques permettant aux entrepreneurs de se dégager temporairement de leurs autres activités. Vers une approche systémique de l'innovation Les experts identifient plusieurs pistes d'amélioration pour l'écosystème. Le concept de “living lab” développé par l'IMC2 vise à créer des espaces d'interaction entre chercheurs, industriels et start-ups. Ces plateformes permettraient de partager des expérimentations, des données et des résultats dans un environnement de confiance mutuelle. La nécessité d'une approche plus structurée émerge également, avec des parallèles tracés avec les secteurs de la construction ou de l'ingénierie, où l'innovation coexiste avec des cadres réglementaires stricts. L'idée d'une certification professionnelle pour les développeurs web, par exemple, illustre comment l'encadrement pourrait coexister avec l'innovation. En conclusion, ce podcast révèle que le succès de l'entrepreneuriat en cybersécurité au Québec nécessite une approche holistique combinant formation technique et commerciale, sensibilisation du marché, évolution réglementaire mesurée, et création d'écosystèmes collaboratifs entre l'académie, l'industrie et les start-ups. L'enjeu principal reste de transformer une expertise technique reconnue en solutions commercialement viables répondant aux besoins réels des entreprises québécoises. Collaborateurs Nicolas-Loïc Fortin Thierry St-Jacques-Gagnon Nora Boulahia Cuppens Berenice Alanis Frédéric Cuppens Crédits Montage par Intrasecure inc Locaux réels par Propolys - Polytechnique Montréal

Parce que… c'est l'épisode 0x598! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Introduction et contexte Ce podcast technique présente un retour d'expérience fascinant sur l'utilisation de l'intelligence artificielle lors du NorthSec CTF (Capture The Flag), l'un des plus importants événements de cybersécurité en Amérique du Nord. L'animateur s'entretient avec Mickael Nadeau, qui partage son expérience de l'intégration massive de l'IA dans les compétitions de sécurité informatique. L'évolution spectaculaire de l'IA dans les CTF Une transformation radicale Mickael souligne une évolution majeure depuis leur dernier enregistrement il y a deux ans. Alors qu'à l'époque l'IA était encore balbutiante dans le domaine des CTF, elle est devenue aujourd'hui un outil incontournable qui change fondamentalement la dynamique de ces compétitions. Cette transformation s'est révélée particulièrement frappante lors du NorthSec de cette année. Intégration pratique de ChatGPT L'un des aspects les plus remarquables rapportés est l'utilisation intensive de ChatGPT par les participants. Un membre de l'équipe de Mickael s'est présenté avec une tablette dédiée exclusivement à ChatGPT, l'utilisant pour prendre des notes, analyser des problèmes et combler ses lacunes en matière de connaissances sécuritaires. Cette approche a permis à des participants moins expérimentés de rester productifs et compétitifs tout au long de l'événement. Les défis techniques spécifiques du NorthSec La complexité IPv6 Le NorthSec se distingue par son utilisation délibérée d'IPv6, un choix stratégique des organisateurs pour complexifier les défis et sortir les participants de leur zone de confort. Cette particularité a créé des situations où même les participants expérimentés comme Mickael se sont retrouvés en difficulté, ayant oublié les spécificités des outils compatibles IPv6 après deux ans d'absence. L'IA comme solution aux lacunes techniques Face à ces défis techniques, l'IA s'est révélée être un allié précieux. Les participants ont pu interroger ChatGPT sur les outils compatibles IPv6, obtenir des explications sur des concepts complexes et recevoir des suggestions d'approches qu'ils n'auraient pas nécessairement envisagées seuls. Cette assistance a considérablement réduit le temps habituellement consacré à la consultation de documentation technique. L'impact sur l'analyse et le reverse engineering Analyse de fichiers simplifiée L'une des révolutions les plus marquantes concerne l'analyse de fichiers et le reverse engineering. Mickael décrit comment il était possible de simplement télécharger un fichier dans un outil alimenté par l'IA et obtenir instantanément une analyse détaillée. Cette capacité a particulièrement impressionné l'équipe, permettant d'extraire des métadonnées, d'identifier des méthodes de chiffrement et de décompiler des fichiers Linux sans avoir besoin de l'environnement technique traditionnel. Génération d'hypothèses L'IA excelle dans la génération d'hypothèses créatives. Plutôt que de remplacer l'expertise humaine, elle complète la réflexion en proposant des pistes que les participants n'auraient pas forcément explorées. Cette collaboration homme-machine s'est révélée particulièrement efficace pour débloquer des situations complexes et accélérer la résolution de défis. Les outils et plateformes émergentes Évolution des outils en ligne Mickael observe une prolifération d'outils en ligne intégrant l'IA, permettant d'effectuer des tâches complexes directement dans un navigateur. Cette évolution est particulièrement avantageuse pour les utilisateurs de MacBook, traditionnellement désavantagés dans les CTF par rapport aux environnements Linux. La possibilité de dropper simplement un fichier et d'obtenir une analyse automatique représente un changement de paradigme majeur. Les MCP (Model Context Protocol) Bien que Mickael n'ait pas eu l'opportunité d'utiliser pleinement les MCP pendant le CTF, il exprime un vif intérêt pour cette technologie. Il envisage de développer des chaînes MCP spécifiquement configurées pour les besoins du NorthSec, notamment pour automatiser les phases de reconnaissance et l'analyse IPv6. Impact social et collaboratif Démocratisation de la participation L'un des effets les plus remarquables de l'intégration de l'IA concerne l'aspect social des CTF. Mickael rapporte que cette édition a été la plus collaborative qu'il ait jamais vécue. L'IA a permis de niveler les compétences, permettant à des participants moins expérimentés de contribuer efficacement et de rester engagés tout au long de l'événement. Fin de l'isolement technique Traditionnellement, les CTF pouvaient créer des situations où certains participants se retrouvaient isolés, incapables de suivre le rythme ou de contribuer aux discussions techniques. L'IA a brisé ces barrières en permettant à chacun d'obtenir rapidement les informations nécessaires pour participer aux échanges et proposer des solutions. Maintien de l'engagement Pour la première fois de son expérience, Mickael observe que tous les membres de l'équipe sont restés motivés et impliqués jusqu'à la fin de l'événement. Cette constance dans l'engagement contraste fortement avec les éditions précédentes où certains participants décrochaient face à la complexité des défis. Défis et limitations Limites des garde-fous Malgré les avancages considérables, l'IA présente encore des limitations. Les garde-fous intégrés dans les systèmes peuvent parfois empêcher certaines opérations légitimes dans le contexte d'un CTF. Mickael envisage d'utiliser des instances locales ou des environnements cloud dédiés pour contourner ces restrictions. Risque de sur-dépendance Bien que non explicitement mentionné, la discussion suggère la nécessité de maintenir un équilibre entre l'utilisation de l'IA et le développement des compétences fondamentales. L'IA accélère l'apprentissage mais ne remplace pas la compréhension profonde des concepts sécuritaires. Perspectives d'avenir Préparation pour 2025 Mickael exprime son désir de mieux se préparer pour la prochaine édition en développant des outils MCP spécialisés et en explorant davantage les plateformes en ligne émergentes. Il envisage également de s'entraîner sur des CTF en ligne pour perfectionner ses techniques d'intégration de l'IA. Évolution technologique rapide Les intervenants soulignent la rapidité d'évolution du domaine. Ce qui semblait impossible il y a quelques années devient routine, et ils anticipent des changements encore plus drastiques d'ici la prochaine édition du NorthSec. Conclusion Cette expérience du NorthSec 2024 illustre une transformation fondamentale dans l'approche des compétitions de cybersécurité. L'IA ne remplace pas l'expertise humaine mais la démultiplie, rendant les CTF plus accessibles, plus collaboratifs et paradoxalement plus éducatifs. Cette évolution pourrait attirer de nouveaux participants et revitaliser l'intérêt pour ces événements, tout en maintenant leur caractère technique et challengeant. L'enthousiasme de Mickael pour cette nouvelle approche est palpable, et sa suggestion d'enregistrer en direct lors du prochain CTF témoigne de la dimension sociale renforcée de ces événements. L'IA semble avoir réussi le pari de rendre les CTF à la fois plus techniques et plus humains, une contradiction apparente qui pourrait bien définir l'avenir de la cybersécurité collaborative. Collaborateurs Nicolas-Loïc Fortin Mickael Nadeau Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x597! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Ce podcast spécial Cybereco réunit Dominique Derrier et Thomas Veynachter pour explorer l'univers méconnu mais crucial des key ceremonies (cérémonies de clés). Cette discussion révèle l'existence d'un processus de sécurité fondamental qui protège notre quotidien numérique, bien que moins de 0,1% de la population en connaisse l'existence. Un phénomène d'une rareté exceptionnelle Les key ceremonies représentent un phénomène d'une rareté stupéfiante dans le monde de la cybersécurité. Comme le souligne Dominique, expert en sécurité informatique qui se présente comme le “moldu” de la table face à Thomas, véritable expert du domaine, seulement 0,04% à 0,1% de la population sait ce qu'est une key ceremony. Pour donner une perspective, ce pourcentage équivaut approximativement au nombre de personnes possédant un jet privé personnel ou ayant terminé tous les jeux Mario à 100% sur toutes les plateformes. Cette rareté crée un paradoxe fascinant : ces cérémonies sont essentielles au fonctionnement de notre société numérique, mais restent totalement invisibles pour le grand public. Même des professionnels de la cybersécurité (CISO) peuvent ignorer leur existence, créant un véritable défi de communication et de sensibilisation. L'infrastructure invisible de notre confiance numérique Les key ceremonies constituent l'épine dorsale de notre écosystème numérique. Chaque transaction bancaire, chaque connexion sécurisée (HTTPS), chaque paiement sans contact s'appuie sur cette infrastructure cryptographique. Quand nous effectuons un paiement avec notre téléphone, des échanges de clés complexes se déroulent en arrière-plan en quelques secondes, garantissant que notre argent arrive au bon destinataire. L'exemple d'Apple illustre parfaitement cette omniprésence invisible. La PKI (Public Key Infrastructure) d'Apple distribue et renouvelle automatiquement des millions de certificats de manière transparente. Quand un certificat expire - comme cela est arrivé à de grands opérateurs de messagerie - les conséquences peuvent être dramatiques pour les utilisateurs. L'art et la science de la génération de clés Une key ceremony n'est pas un simple “meeting de gestion de clés”. Le terme “cérémonie” évoque intentionnellement un processus solennel, ritualisé, où chaque étape est cruciale. Ces événements peuvent durer plusieurs heures et nécessitent des semaines de préparation minutieuse. Le processus commence par la vérification de l'intégrité physique des équipements. Les HSM (Hardware Security Modules) arrivent dans des cartons scellés avec des étiquettes de sécurité numérotées. Chaque sceau, chaque numéro est vérifié pour s'assurer qu'aucune altération n'a eu lieu pendant le transport. Cette vigilance reflète les principes de sécurité de la chaîne d'approvisionnement poussés à l'extrême. La génération de la clé racine (root key) constitue le moment le plus critique. Cette clé maîtresse, souvent stockée offline dans des coffres-forts physiques, sert de fondation à toute la chaîne de confiance. Comme l'explique Thomas avec une métaphore parlante : “Si vous coupez la racine de l'arbre, la petite feuille qui vous est utile dans votre transaction ne marchera plus.” Une orchestration humaine complexe Les key ceremonies réunissent jusqu'à quinze personnes aux rôles spécialisés et complémentaires : Le maître de cérémonie supervise l'ensemble du processus et garantit le respect strict du protocole. Contrairement aux fantasmes, il ne porte ni toge ni chapeau, mais sa responsabilité est immense : s'assurer que ce qui était souhaité a été correctement livré. Les opérateurs manipulent les équipements et saisissent les commandes. Par sécurité, ils ne travaillent jamais seuls et possèdent chacun une partie du mot de passe administrateur, appliquant le principe de la double authentification. Les témoins valident l'intégrité du processus et s'assurent qu'aucune collusion n'a lieu entre les participants. Les porteurs de secrets détiennent chacun une fraction de la clé maîtresse, généralement selon le principe de Shamir. Ce mécanisme mathématique permet de diviser un secret en plusieurs parts (souvent 7) tout en établissant un quorum (par exemple 5 sur 7) nécessaire pour reconstituer la clé. Cette approche garantit qu'aucune personne seule ne peut compromettre le système, tout en maintenant une redondance si certains porteurs perdent leur part. Les défis logistiques et humains L'organisation d'une key ceremony représente un défi logistique considérable. Réunir simultanément treize personnes de différents départements ou organisations, s'assurer qu'elles ont toutes leurs documents d'identité (un oubli classique qui peut reporter toute la cérémonie), coordonner leurs agendas sur plusieurs semaines… Chaque détail compte car une erreur, même minime, oblige à tout recommencer. L'environnement physique ajoute une contrainte supplémentaire. Ces cérémonies se déroulent souvent dans des cages de Faraday ou des data centers aux conditions spartanes. La ventilation limitée, les allées chaudes et froides des centres de données, l'isolement électromagnétique… Les participants endurent ces conditions pendant des heures, témoignant de l'importance critique du processus. La sécurité poussée à son paroxysme Les key ceremonies appliquent tous les principes de cybersécurité fondamentaux, mais portés à leur extrême. Le hachage cryptographique permet de vérifier l'intégrité des clés : chaque caractère du hash est lu lettre par lettre et vérifié par tous les participants. Cette vérification, bien que fastidieuse, garantit que tous ont vu la même clé et qu'elle correspond exactement à celle stockée dans l'équipement. La séparation des connaissances (split knowledge) empêche qu'une seule personne détienne tous les éléments. La défense en profondeur multiplie les couches de sécurité : isolation physique, contrôle d'accès, vérification de l'intégrité, authentification multiple, témoins indépendants… Les conséquences catastrophiques des compromissions L'impact d'une compromission de clé racine dépasse l'entendement. L'exemple de Symantec, dont la valorisation a chuté de dix fois suite à une perte de confiance, ou celui de certificats révoqués par Google illustrent les enjeux financiers colossaux. Si la clé racine d'Apple était compromise, des millions d'appareils perdraient leur certification. Si celle d'une banque majeure était altérée, c'est tout le système de transactions qui s'effondrerait. La durée de vie maximale de tous les certificats dérivés est limitée par celle de la clé racine : si elle expire, tout l'écosystème doit être reconstruit. L'échange de clés : Un écosystème interconnecté Les key ceremonies ne servent pas uniquement à créer des clés, mais aussi à les échanger de manière sécurisée entre organisations. Les connexions entre banques et forces de l'ordre pour les enquêtes financières, les échanges entre administrations, les interconnexions entre systèmes critiques… Tout cela nécessite des cérémonies d'extraction et d'intégration de clés. Quand nous nous plaignons que les services d'impôts ne communiquent pas avec ceux de la santé, la cause peut être l'absence de key ceremony appropriée ou le manque de maturité organisationnelle pour en conduire une. Les héros méconnus de la sécurité numérique Les participants aux key ceremonies forment une communauté restreinte et discrète. Ils ne portent pas de t-shirt proclamant “Je connais toutes les clés maîtresses de la banque” et n'affichent pas cette expertise sur leur CV, car cela en ferait des cibles potentielles. Pourtant, ces professionnels dévoués sacrifient leur temps, endurent des conditions difficiles et assument d'énormes responsabilités pour maintenir la sécurité de notre infrastructure numérique. Paradoxalement, beaucoup de participants ne comprennent pas entièrement l'importance de leur rôle. Cette ignorance relative constitue une protection supplémentaire : ils suivent scrupuleusement les procédures sans subir la pression psychologique que pourrait exercer la connaissance complète des enjeux. L'innovation au service de la tradition Malgré leur caractère traditionnel et ritualisé, les key ceremonies évoluent avec les technologies. L'introduction de coffres-forts à double accès, les nouvelles méthodes de vérification d'intégrité, l'amélioration des HSM… Ces innovations permettent d'ajouter des couches de sécurité supplémentaires tout en respectant les principes fondamentaux. Le principe de la défense en profondeur reste central : si un attaquant brise une couche de sécurité, sept autres l'attendent. Cette redondance, bien que coûteuse et complexe, constitue le seul moyen de protéger des secrets d'une valeur inestimable. Vers une démocratisation des bonnes pratiques L'objectif de Dominique et Thomas dépasse la simple sensibilisation. Ils souhaitent que les professionnels de la cybersécurité s'inspirent des key ceremonies pour améliorer leurs pratiques quotidiennes. Sans aller jusqu'aux extrêmes de ces cérémonies, adopter certains principes - vérification d'intégrité, séparation des privilèges, témoignage indépendant - pourrait considérablement renforcer la sécurité des organisations. Cette présentation au Cyberecho vise également à rendre hommage aux acteurs méconnus de cette discipline. En reconnaissant publiquement leur contribution essentielle à notre sécurité collective, ils espèrent encourager une prise de conscience plus large de l'importance de ces processus. Conclusion : L'invisible fondation de notre monde numérique Les key ceremonies incarnent parfaitement le paradoxe de notre époque numérique : les processus les plus critiques restent les plus invisibles. Ces cérémonies, menées par une poignée d'experts dévoués, constituent les fondations invisibles sur lesquelles repose notre confiance numérique quotidienne. Leur rareté même - 0,04% de la population - souligne à la fois leur importance critique et la nécessité urgente de sensibiliser davantage de professionnels à leur existence. Car comprendre les key ceremonies, c'est comprendre les enjeux véritables de la cybersécurité moderne et l'extraordinaire complexité des systèmes qui protègent notre vie numérique. Dans un monde où chaque clic, chaque paiement, chaque connexion dépend de ces cérémonies secrètes, il devient essentiel de reconnaître et de célébrer le travail remarquable de ceux qui, dans l'ombre des data centers, perpétuent ces rituels technologiques garants de notre sécurité collective. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Thomas Veynachter Crédits Montage par Intrasecure inc Locaux réels par Cybereco

Parce que… c'est l'épisode 0x596! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Introduction et contexte Ce troisième épisode de la série dédiée à la souveraineté numérique explore SecNumCloud, un label français qui se positionne à l'intersection de la conformité et de la gestion des risques. Julien Levrard partage l'expérience d'OVHcloud dans l'obtention et la mise en œuvre de cette qualification, offrant une perspective unique sur un référentiel européen plus complet que les frameworks américains traditionnels. Qu'est-ce que SecNumCloud ? SecNumCloud est une qualification délivrée par l'ANSSI (Agence nationale de la sécurité des systèmes d'information), l'agence française en charge de la cybersécurité. Créé il y a environ 7-8 ans, ce référentiel définit un standard de sécurité pour les fournisseurs de services cloud destinés à l'administration, aux grandes entreprises et aux acteurs stratégiques français. Cette qualification s'inscrit dans un écosystème plus large de “visas de sécurité” développés par l'ANSSI, couvrant différents types d'acteurs : prestataires d'audit, de maintenance informatique, sociétés de services, etc. L'objectif est de créer un écosystème de confiance pour l'environnement économique français, aligné sur les exigences de cybersécurité nationales. L'évolution du contexte géopolitique Lors du lancement de SecNumCloud, le marché hésitait face à ce nouveau référentiel jugé complexe et dense. La souveraineté numérique n'était pas encore un enjeu prioritaire, et l'industrie imaginait le cloud comme un marché dominé par quelques grands acteurs internationaux proposant des services standardisés. OVHcloud a pris le risque de se positionner sur ce référentiel dès ses débuts, devenant le 4ème acteur français qualifié. Cette décision s'est révélée stratégique avec l'évolution du contexte géopolitique, qui a rendu la souveraineté et la maîtrise technologique de plus en plus cruciales. L'approche technique d'OVHcloud Premier produit : Hosted Private Cloud OVHcloud a débuté avec un produit d'environnement de virtualisation privatif basé sur les technologies VMware. Ce choix répondait à un large éventail de cas d'usage et était particulièrement adapté aux entreprises moyennes et grandes, les plus exigeantes en matière de sécurité. Évolution vers Bare Metal Pod Face aux limitations du premier produit, OVHcloud a développé Bare Metal Pod, un environnement de datacenter dédié avec des serveurs affectés aux clients et des outils d'orchestration sophistiqués. Cette approche offre plus de flexibilité pour déployer l'ensemble du catalogue dans un contexte qualifié SecNumCloud. La complexité du référentiel Volume des exigences Le référentiel SecNumCloud compte environ 280 exigences principales, mais en réalité, le nombre total d'exigences à respecter avoisine les 2000 points de contrôle une fois intégrées toutes les références aux guides et bonnes pratiques de l'ANSSI. Cette densité rend l'appropriation du framework extrêmement complexe et chronophage. Processus d'audit intensif L'audit SecNumCloud mobilise quatre auditeurs pendant trois semaines chaque année, représentant près de 60 heures d'audit. Cette intensité nécessite une organisation logistique importante et mobilise de nombreux opérationnels pour présenter les preuves de conformité. L'approche par les risques Contrairement aux frameworks purement conformité, SecNumCloud intègre une dimension d'analyse des risques. Les auditeurs peuvent refuser une qualification même si tous les points de conformité sont respectés, si l'architecture ou les choix de design présentent des risques jugés inacceptables. Cette approche nécessite des négociations approfondies sur les choix d'implémentation : isolation des plans de contrôle et de données, monitoring des interfaces sécurisées, traitement des logs et métadonnées, etc. L'ANSSI impose une liste de risques obligatoires à traiter, tout en laissant la possibilité d'ajouter des risques spécifiques au service proposé. L'architecture autonome Séparation complète des environnements La particularité de SecNumCloud réside dans l'exigence d'autonomie complète. L'environnement d'exploitation des produits SecNumCloud constitue un système d'information entièrement séparé du reste d'OVHcloud. Jusqu'aux postes de travail des administrateurs, tout est dupliqué dans un contexte complètement autonome. Cette séparation implique la reconstruction complète de toute l'infrastructure : monitoring, observabilité, gestion des droits, bastions, VPN, etc. Aucune dépendance avec le système d'information principal n'est autorisée, ce qui représente un investissement colossal en temps, matériel et ressources humaines. Défis opérationnels Cette approche crée des défis uniques. Par exemple, supporter un client nécessite des informations désensibilisées extraites du monde SecNumCloud via des “secure gateways” spécialement conçues. Ces mécanismes de filtrage et d'anonymisation doivent être justifiés par une analyse de risques approfondie. Perspectives européennes et mondiales Initiatives européennes Au niveau européen, plusieurs référentiels coexistent : C5 en Allemagne, ENS en Espagne, ACN en Italie. L'ENISA travaille sur EUCS, un référentiel européen unifié, mais les négociations butent sur les aspects de souveraineté, les États membres n'ayant pas tous la même approche politique sur ces questions. Exportabilité du modèle OVHcloud a conçu ses plateformes SecNumCloud pour être réplicables dans d'autres juridictions. Le cœur du produit et ses caractéristiques principales sont pensés pour la maîtrise locale et l'indépendance, avec des adaptations possibles selon les exigences locales. Des discussions sont en cours pour déployer ce modèle au Canada et en Asie-Pacifique, répondant à une demande croissante de souveraineté numérique dans ces régions. Innovation : On-Premises Platform OVHcloud propose également une version on-premises de sa plateforme, pouvant fonctionner dans les datacenters clients. Cette solution peut être opérée à distance par OVHcloud ou en totale autonomie par les équipes clients, offrant un niveau d'indépendance maximal. Évolution du marché cloud Le marché évolue d'un modèle “one size fits all” vers une personnalisation des offres cloud. Les clients recherchent désormais des standards techniques et de consommation, tout en intégrant leurs contraintes spécifiques : écologie, autonomie stratégique, coûts, souveraineté. Cette tendance positionne les acteurs comme OVHcloud sur un terrain alternatif, proposant des fonctionnalités cloud standard avec des caractéristiques additionnelles (maîtrise, souveraineté, respect environnemental) adaptées aux besoins, culture et contexte spécifiques de chaque client. Conclusion SecNumCloud représente un modèle pionnier de souveraineté numérique, plus exigeant que les frameworks traditionnels mais offrant un niveau de contrôle et d'indépendance unique. Bien que complexe et coûteux à mettre en œuvre, ce référentiel anticipe l'évolution géopolitique et les attentes croissantes en matière de souveraineté technologique. L'expérience d'OVHcloud démontre qu'il est possible de concilier standards techniques internationaux et exigences de souveraineté, ouvrant la voie à un nouvel équilibre dans l'écosystème cloud mondial. Cette approche pourrait bien définir l'avenir du cloud computing, où la normalisation technique cohabite avec la diversification géopolitique et culturelle des services. Collaborateurs Nicolas-Loïc Fortin Julien Levrard Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x595! Shameless plug 27 et 29 juin 2025 - LeHACK 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Notes À venir Collaborateurs Nicolas-Loïc Fortin Thierry St-Jacques-Gagnon Nora Boulahia Cuppens Berenice Alanis Frédéric Cuppens Crédits Montage par Intrasecure inc Locaux réels par Propolys - Polytechnique Montréal

Parce que… c'est l'épisode 0x594! Shameless plug 03 au 05 juin 2025 - Infosecurity Europe 27 et 29 juin 2025 - LeHACK 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Collaborateurs Nicolas-Loïc Fortin Thierry Marier-Bienvenue Crédits Montage par Intrasecure inc Locaux réels par Cybereco

Parce que… c'est l'épisode 0x593! Shameless plug 03 au 05 juin 2025 - Infosecurity Europe 27 et 29 juin 2025 - LeHACK 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Introduction et présentations Ce podcast réunit un panel d'experts en cybersécurité lors de l'événement NortSsec, avec comme animateur et participants : Olivier Arteau (recherche académique, créateur du prototype pollution), Joey Dubé (superviseur d'équipe d'analyse au Centre canadien de cybersécurité), Jean-Philippe Décarie-Mathieu (analyste principal chez Cyber Québec), Estelle Ruellan (chercheuse en cybersécurité chez Flair spécialisée en data science), et François Proulx (vice-président recherche chez Boost Security, expert en supply chain security). Souveraineté numérique et fragmentation des standards CVE La discussion s'ouvre sur la question troublante de la souveraineté numérique, particulièrement concernant les récents bouleversements autour du système CVE (Common Vulnerabilities and Exposures). L'administration américaine a menacé de couper le financement de MITRE, l'organisme gérant les CVE, créant une crise qui a révélé la dépendance occidentale aux infrastructures numériques américaines. En réaction, l'Europe a rapidement développé son propre système équivalent. Les panélistes voient cette fragmentation comme potentiellement positive. Estelle note que dans la recherche sur le dark web, ce qui compte est l'adoption par les utilisateurs plutôt que l'uniformité des standards. Jean-Philippe souligne que beaucoup de vulnérabilités n'avaient déjà pas de CVE, et qu'avoir des doublons pourrait accélérer l'attribution de numéros. Il perçoit cette situation comme une opportunité de revoir un système CVE critiqué pour son manque de précision et sa gestion centralisée problématique. Joey appuie cette vision, qualifiant ce bouleversement de “shakeup nécessaire” qui force à repenser une dépendance de quinze ans aux États-Unis. François y voit une contre-vérification bénéfique, rappelant que l'industrie s'adapte déjà aux nomenclatures multiples pour l'attribution d'acteurs malveillants. Expérience de création de CVE Olivier partage son expérience de création de CVE, expliquant que MITRE préfère que les demandes passent par des intermédiaires (entreprises ou organisations) plutôt que directement par les chercheurs. Cette structure limite les soumissions de faible qualité mais oblige les chercheurs à “s'agenouiller” devant les entreprises pour obtenir des crédits. François confirme cette approche via GitHub Security Advisory, tandis que Joey mentionne son expérience chez Intel/McAfee comme autorité de numérotation CVE. Impact de la fragmentation sur l'industrie Les experts s'accordent sur le fait que la fragmentation ne pose pas de problème majeur tant que les informations essentielles (produits affectés, versions, standards) restent cohérentes. Joey souligne que le vrai problème était la dépendance à un point de défaillance unique. Cette diversification pourrait même être salutaire en évitant qu'une seule interruption paralyse l'industrie entière. La discussion évoque la possibilité d'un système décentralisé de type fédératif, mais les panélistes restent prudents quant aux résistances des entreprises ayant des blocs CVE pré-alloués. Géopolitique et dépendance technologique La conversation prend une tournure géopolitique avec l'analyse de la dépendance canadienne aux infrastructures américaines. François note que la Chine a développé son propre système de gestion des vulnérabilités avec contrôle étatique, gardant un accès prioritaire avant publication publique. Pour les autres pays (Iran, Russie, Corée du Nord), la distinction est faite entre espionnage d'État et cybercriminalité, cette dernière tendant à utiliser les outils existants par facilité. Les panélistes soulignent l'ironie de l'administration Trump abandonnant volontairement une position de dominance stratégique dans le renseignement cyber, révélant la vulnérabilité occidentale. Jean-Philippe évoque la dépendance canadienne au renseignement des Five Eyes, particulièrement face à des États-Unis potentiellement hostiles. Solutions canadiennes et valorisation du talent La discussion se tourne vers les solutions concrètes pour réduire la dépendance technologique. Jean-Philippe identifie un problème historique de valorisation du talent technique au Canada, où la mentalité était d'aller travailler aux États-Unis pour du travail de pointe. Cette fuite des cerveaux a affaibli les capacités canadiennes. François exprime sa fierté envers son équipe “world-class” chez Boost Security, soulignant que le talent canadien existe et peut rivaliser internationalement. Le défi est l'adoption de produits canadiens face au monopole des logiciels américains. Estelle note que même avec d'excellents produits locaux, l'adoption prend du temps face à la domination mainstream américaine. Exemples d'initiatives canadiennes L'exemple de CanCyber est évoqué comme modèle d'initiative gouvernementale réussie. Ce projet fédéral donnait accès gratuit à du renseignement de menaces et des services de cybersécurité aux PME, particulièrement précieux pour les entreprises ne pouvant s'offrir des solutions coûteuses. Malheureusement supprimé après un changement de ministre, il illustre le potentiel canadien mais aussi la fragilité politique de ces initiatives. Joey confirme que des services similaires existent encore via le CCCS pour les secteurs critiques, mais sous une forme différente. Nécessité du lobbying et engagement politique Jean-Philippe souligne l'importance du lobbying pour la pérennité des initiatives technologiques. Le milieu IT s'investit peu en politique, contrairement aux industries ayant des lobbyistes payés. La communauté cybersécurité doit s'organiser via des OBNL pour porter ses enjeux politiquement. NordSec est identifié comme un véhicule potentiel, démocratisant la cybersécurité pour les PME et permettant l'échange entre secteurs public et privé. CyberEcho, partenaire principal financé par les banques canadiennes, représente aussi un bon véhicule d'influence avec une vision à long terme. Sortir de l'entre-soi Un point crucial émerge sur la tendance de la communauté cybersécurité à “prêcher entre convertis”. Olivier insiste sur la nécessité de transcender leur écosystème pour influencer les décideurs et le grand public. Il encourage les experts à donner des entrevues médiatiques malgré les risques, ayant lui-même influencé des ministres via Radio-Canada. Les obstacles identifiés incluent : la peur d'être mal cité (Jean-Philippe), les stéréotypes sur les “nerds” de la cyber (Estelle), et la difficulté de vulgariser des sujets techniques complexes. Historiquement, la communauté hacker était hostile aux médias et très élitiste, culture qui évolue heureusement vers plus de permissivité. Innovation dans la communication François mentionne l'initiative CyberScience qui coach les étudiants canadiens en CTF, avec l'équipe gagnante représentant le Canada internationalement. L'exemple danois est cité, où les médias mainstream ont couvert leur équipe CTF comme un sport, popularisant ainsi la cybersécurité. Conclusion et perspectives Le panel conclut sur l'importance de déconstruire l'élitisme historique de la communauté pour permettre l'émergence de nouveaux talents et améliorer la communication externe. La période d'incertitude géopolitique, bien que déstabilisante, offre une opportunité de repenser la souveraineté numérique canadienne et de valoriser l'expertise locale. Les experts s'accordent sur la nécessité d'actions concrètes : développer des alternatives canadiennes aux solutions américaines, renforcer le lobbying communautaire via des OBNL, améliorer la communication publique des enjeux cybersécuritaires, et surtout, surmonter la réticence à s'exposer médiatiquement pour influencer les politiques publiques. Cette discussion révèle une communauté cybersécuritaire canadienne consciente de ses défis mais confiante en ses capacités, prête à saisir l'opportunité créée par l'instabilité géopolitique actuelle pour affirmer sa souveraineté numérique. Notes NorthSec Collaborateurs Nicolas-Loïc Fortin Olivier Arteau Joey Dubé Estelle Ruellan Jean-Philippe Décarie-Mathieu François Proulx Crédits Montage par Intrasecure inc Locaux réels par Marché Bonsecours

Parce que… c'est l'épisode 0x592! Shameless plug 03 au 05 juin 2025 - Infosecurity Europe 27 et 29 juin 2025 - LeHACK 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Introduction et présentation Ce podcast présente une collaboration spéciale entre Nicolas et Philippe Chevalier, cofondateur avec sa femme Bonnie de l'agence de cyberenquête Sarx, une agence canadienne de détective privé spécialisée dans les investigations en ligne. Philippe prend soin de distinguer son travail des clichés véhiculés par les films noirs et séries télévisées, où les détectives privés sont souvent dépeints comme des alcooliques dépressifs roulant dans de vieilles voitures. Au contraire, il se présente comme un “détective corporatif” ou “détective d'affaires” qui utilise principalement des méthodes de cyberenquête pour servir les entreprises, banques, avocats, notaires, assureurs et investisseurs ayant des motifs légitimes d'enquête. L'évolution de la cybercriminalité moderne L'agence travaille notamment sur les fraudes impliquant des cryptoactifs, mais leur spécialité reste la cyberenquête. Philippe explique que pour combattre efficacement les cyberattaquants, il faut les comprendre, s'intéresser à leur mentalité et leur culture. C'est pourquoi son équipe maintient une présence sous pseudonymes sur des forums spécialisés depuis plusieurs années, développant une crédibilité qui leur permet d'observer et comprendre ces milieux. Cas d'étude : Le jeune cybercriminel du Monténégro Philippe relate l'histoire fascinante de Darian, un jeune cybercriminel du Monténégro qui illustre parfaitement l'organisation moderne de la cybercriminalité. Ce jeune homme travaille dans ce qui était autrefois des cybercafés, transformés aujourd'hui en véritables bureaux de “hackers à loué” - des agences de cybercriminels mercenaires. Ces établissements affichent ouvertement leurs services avec des panneaux en bois, situés ironiquement à seulement 400 mètres du quartier général de la police locale, démontrant une tolérance inquiétante de ces activités dans certains pays. Darian reçoit quotidiennement des listes de cibles à attaquer, incluant des PME québécoises qu'il ne saurait même pas localiser sur une carte. Sa méthode de travail est structurée : il dispose de 20 à 30 minutes maximum pour tenter une attaque par force brute contre chaque cible. S'il évalue que l'attaque peut réussir dans ce délai, il poursuit ; sinon, il passe à la cible suivante pour maintenir sa productivité. Si l'attaque technique montre des signes de succès, il peut alors déployer des techniques d'ingénierie sociale après un délai de 15 à 20 minutes. L'outil Vénus et les techniques d'intimidation L'outil principal utilisé par Darian est un logiciel de cyberespionnage appelé Vénus, relativement ancien et peu performant, mais désormais quasi-gratuit. Sa force réside dans sa capacité à faire croire à la victime que ses systèmes ont été complètement compromis et que toutes ses données sont en cours de décryptage. Vénus peut capturer des données cryptées et produire des captures d'écran que le pirate présente comme “preuve” de son intrusion réussie, créant un effet d'intimidation psychologique puissant. La stratégie de fraude à l'assurance L'aspect le plus pervers de cette histoire révèle une connaissance approfondie du marché local. Darian possédait des informations sur les contrats de cyberassurance des PME québécoises, notamment les deux principaux fournisseurs. Lorsqu'il a réussi à compromettre une ONG québécoise, il a proposé un marché particulièrement vicieux : sachant que l'organisation avait une assurance couvrant 50 000 dollars en cas de cyberattaque, il a offert de “collaborer” pour démontrer l'attaque en échange de seulement 8 000 dollars, permettant à la victime de récupérer la prime d'assurance. Cette stratégie diabolique transforme la victime en complice d'une fraude aux assurances. Si l'organisation acceptait cette proposition, elle devenait automatiquement coupable de fraude et ne pouvait plus faire machine arrière, car le cybercriminel détenait des preuves matérielles de sa volonté de frauder sa compagnie d'assurance. Cette compromission garantissait le paiement des 8 000 dollars réclamés. Le facteur humain : 99% de la réussite des attaques Philippe insiste sur un point crucial : contrairement à la perception populaire, 99% des cyberattaques réussissent grâce au facteur humain plutôt qu'à la technologie. Leurs tests de pénétration confirment cette réalité : tandis que les attaques par force brute échouent de plus en plus souvent grâce à l'amélioration des défenses techniques, le taux de réussite des attaques par ingénierie sociale continue d'augmenter. Cette situation s'explique par les investissements considérables réalisés dans la sécurité technique au cours des dernières années, rendant les systèmes relativement robustes. Cependant, l'élément humain a été négligé dans cette course à la sécurisation. Philippe utilise une métaphore éclairante : même avec une porte blindée très résistante, si la clé reste cachée sous le paillasson, l'attaquant n'essaiera pas de forcer la serrure mais cherchera simplement la clé. L'évolution des techniques d'approche Les cybercriminels modernes ont abandonné l'approche “brute force” consistant à envoyer massivement des courriels malveillants en espérant qu'une victime mordra à l'hameçon. Ils privilégient désormais une approche plus sophistiquée basée sur l'établissement de confiance progressive. Philippe explique qu'ils envoient d'abord deux ou trois courriels légitimes sans contenu malveillant, engageant une conversation normale avec leur cible. Cette stratégie permet de contourner les systèmes de défense automatisés qui, reconnaissant l'expéditeur comme “familier” lors du quatrième courriel, baissent leur garde et laissent passer la pièce jointe piégée. Cas pratique : L'attaque contre le cabinet d'avocats Philippe illustre cette évolution avec un test de pénétration réalisé pour un cabinet d'avocats. Après avoir analysé minutieusement le profil d'un avocat prestigieux - ses formations, ses professeurs à l'université, ses prises de position idéologiques publiques, ses domaines d'expertise - il a conçu un courriel de trois paragraphes seulement. Ce message ne contenait pas de flatterie grossière, mais utilisait le vocabulaire spécifique et les références intellectuelles de la cible, présentant un cas urgent mais plausible de harcèlement au travail dans une grande entreprise. L'avocat, pourtant informé qu'un test de pénétration aurait lieu cette semaine-là, a ouvert la pièce jointe piégée sans même remarquer l'alerte de sécurité demandant d'autoriser les macros. Interrogé après coup, il n'avait aucun souvenir de ce message d'alerte, tellement le contenu du courriel l'intriguait et correspondait à ses préoccupations professionnelles. L'exploitation des réseaux sociaux professionnels LinkedIn représente un terrain de jeu particulièrement fertile pour les cybercriminels. Cette plateforme combine les aspects d'un réseau social traditionnel avec des informations professionnelles détaillées, permettant aux attaquants de collecter facilement les opinions idéologiques, les positions économiques et politiques des cibles. Ces informations permettent de créer une fausse complicité, une connivence artificielle qui facilite l'approche. Les petits groupes de cybercriminels gèrent désormais entre 800 et 1000 faux profils simultanément. Pour rendre ces profils crédibles, ils utilisent une technique particulièrement efficace : si un faux profil prétend être ingénieur chez Hydro-Québec, ils sollicitent des connexions avec de vrais employés de l'entreprise travaillant dans d'autres départements. Par esprit d'entreprise ou simple politesse professionnelle, ces employés acceptent souvent ces demandes de connexion, donnant une crédibilité immédiate au faux profil. L'intelligence artificielle au service du crime L'utilisation de l'intelligence artificielle permet désormais de créer des commentaires sophistiqués et personnalisés sur les publications des cibles. Philippe observe avec inquiétude que LinkedIn devient parfois un théâtre où des IA dialoguent entre elles : publications générées par IA, commentaires automatisés, réponses robotisées, créant un écosystème artificiel difficile à distinguer de interactions humaines authentiques. Une fois le contact établi, les criminels envoient des messages privés soigneusement conçus qui félicitent leurs cibles pour la pertinence de leurs publications. Ces messages flattent l'ego des victimes, particulièrement lorsqu'ils semblent provenir de profils séduisants et impressionnants - des diplômés brillants ayant travaillé en Allemagne dans la recherche, par exemple. Le piège de la messagerie privée La messagerie LinkedIn présente une vulnérabilité particulière car les utilisateurs ont l'illusion d'être dans un environnement sécurisé. En réalité, cette messagerie ne dispose d'aucune protection contre les pièces jointes malveillantes ou les liens piégés vers de fausses vidéoconférences Zoom ou Teams. Les utilisateurs, croyant être “entre eux”, baissent leur garde de façon dramatique. L'acronyme MICE : les leviers de manipulation Philippe introduit l'acronyme MICE (Monnaie, Idéologie, Compromission, Ego) pour expliquer les différents leviers utilisés par les cybercriminels. La compromission représente un aspect particulièrement préoccupant, notamment le chantage de nature sexuelle visant les professeurs d'université et chercheurs. Lorsque ces derniers cliquent sur un lien vers une supposée vidéoconférence professionnelle, ils se retrouvent dans des situations compromettantes qui deviennent des outils de chantage particulièrement destructeurs dans le milieu académique. La valeur marchande des données personnelles Les données personnelles volées constituent une véritable monnaie parallèle dans l'économie criminelle. Un paquet de 300 données de citoyens canadiens ne vaut pratiquement rien individuellement, mais 3000 données peuvent atteindre 50 dollars. Plus important encore, ces données servent de “jetons de prestige” permettant d'accéder à des groupes de cybercriminels de niveau supérieur. Détenir 300 000 données personnelles européennes devient une preuve de compétence et de valeur dans cette hiérarchie criminelle. La manipulation psychologique des jeunes criminels Philippe révèle un aspect troublant de ces organisations : elles manipulent leurs propres employés en leur injectant l'idée que leurs cibles ne sont pas des victimes mais des “clients”. Cette propagande interne vise à réduire les barrières morales en convainquant ces jeunes qu'ils sont des champions intelligents qui s'occupent de clients plutôt que de commettre des délits. Cette déshumanisation des victimes facilite la perpétration des crimes. L'espoir de rédemption Malgré ce tableau sombre, Philippe termine sur une note d'espoir en expliquant que cette mentalité criminelle reste réversible. Il raconte l'histoire de son meilleur cyberenquêteur, un ancien “white hat” qui a basculé du bon côté de la force au lycée lorsqu'une amie s'est fait harceler en ligne. En utilisant ses compétences techniques pour aider cette victime, tracer son harceleur et monter un dossier pour la police, ce jeune a découvert l'utilisation positive de ses talents. Conclusion : l'importance du contexte social Cette histoire illustre parfaitement comment l'orientation éthique de ces jeunes talents dépend largement du contexte social et des incitations qu'ils rencontrent. La société peut choisir de diaboliser le terme “hacker” et pousser ces esprits curieux vers la criminalité, ou au contraire reconnaître leur curiosité comme une qualité précieuse et les orienter vers des applications positives comme la cybersécurité éthique. Philippe conclut en soulignant que la lutte contre la cybercriminalité ne se gagne pas seulement par la technologie, mais par la compréhension des facteurs humains et sociaux qui poussent certains individus vers le crime numérique. L'éducation, la sensibilisation et l'offre d'alternatives positives restent nos meilleures armes contre ces menaces en constante évolution. Notes ASIMM Collaborateurs Nicolas-Loïc Fortin Philippe Chevalier Crédits Montage par Intrasecure inc Locaux réels par Cybereco

Parce que… c'est l'épisode 0x591! Shameless plug 03 au 05 juin 2025 - Infosecurity Europe 27 et 29 juin 2025 - LeHACK 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Contexte et Participants Ce quatrième épisode de collaboration entre “Cyber Citoyen” et “PolySécure” réunit Catherine Dupot-Gagnon et Sam Harper, animé par Nicolas-Loïc Fortin. L'enregistrement fait suite à leur participation au NorthSec (NSec), une conférence de cybersécurité qui vient de se terminer. Retour sur NorthSec 2024 Impressions Générales Catherine exprime son enthousiasme pour NorthSec, qu'elle considère comme sa conférence préférée dans l'écosystème cybersécurité. Elle souligne l'aspect inclusif et accueillant de la communauté, même pour ceux qui ne correspondent pas au profil typique des participants. La diversité et la richesse des conférences, ainsi que l'authenticité des présentations (versus les conférences trop sponsorisées), contribuent à cette appréciation positive. Sam partage cette vision positive, notant que malgré une fatigue initiale, il a apprécié la variété des présentations allant du très technique à la gouvernance. Il souligne particulièrement la présence d'académiques présentant leurs recherches pour la première fois, ce qui enrichit considérablement le contenu. L'événement se distingue par son degré d'inclusion remarquable, comparable selon Nicolas au Blue Team Con de Chicago. Cette atmosphère inclusive est attribuée aux valeurs du comité organisateur qui se propagent naturellement à travers l'événement. Conférence Coup de Cœur : Le Phishing Basé sur des Données Sam présente en détail une conférence particulièrement marquante sur le phishing, adoptant une approche scientifique et non-jugeante. Cette présentation analysait les comportements face aux tentatives de phishing sans blâmer les individus, mais en se concentrant sur les données statistiques. Les résultats révèlent des patterns fascinants : même 5 minutes après une formation sur le phishing, 0,3% des personnes cliquent encore sur les liens malveillants. L'étude montre qu'il est impossible d'atteindre un taux de réussite de 100%, certaines personnes continuant à cliquer indépendamment des formations reçues. Un élément particulièrement intéressant concerne le timing : la plupart des clics se produisent le lundi matin, quand les employés arrivent au travail avec des boîtes de réception pleines. Cette découverte suggère des solutions organisationnelles plutôt que techniques, comme reporter les réunions du lundi matin ou gérer différemment les emails de fin de semaine. Activités Annexes Les participants évoquent également les activités de soudure (badge hacking) et les CTF (Capture The Flag). Cette année, le thème était celui d'un bateau de croisière avec un casino intégré, permettant aux participants d'interagir avec des machines de casino pour découvrir des “flags” cachés. Ces activités offrent des défis variés, incluant des éléments plus “puzzle” accessibles aux non-programmeurs. Actualités Cybersécurité Storm-1516 : Opérations d'Influence Russe Sam présente un rapport détaillé de Viginum, l'agence française de vigilance numérique, sur Storm-1516, une opération d'influence russe active depuis août 2023. Cette analyse de 77 opérations révèle une machine de désinformation sophistiquée. Objectifs et Méthodes Les campagnes visent principalement à discréditer le gouvernement ukrainien, particulièrement Zelensky, tout en s'attaquant à l'opposition russe et aux gouvernements occidentaux. Une vingtaine d'opérations ciblaient spécifiquement des élections (européennes, françaises, américaines, allemandes). Schéma de Diffusion Le rapport détaille un processus en plusieurs étapes : Planification : Rédaction de scripts, recrutement d'acteurs, création de deepfakes et montages vidéo Primo-diffusion : Utilisation de comptes jetables se faisant passer pour des lanceurs d'alerte ou journalistes pigistes Blanchiment : Reprise par des médias étrangers rémunérés, particulièrement en Afrique et Asie, et par des influenceurs payés Amplification : Utilisation de réseaux comme CopyСop pour créer de faux sites d'information Récupération : Reprise finale par les médias pro-russes et l'écosystème occidental sympathisant Implications et Sophistication Catherine fait le parallèle avec le jeu éducatif “Get Bad News” qu'elle utilise dans ses cours sur la désinformation, qui reproduit exactement ces stratégies. La sophistication de ces opérations rend leur détection par les utilisateurs ordinaires quasi impossible, même pour des experts du domaine. Telegram : Coopération Forcée L'arrestation de Pavel Durov, fondateur de Telegram, a marqué un tournant dans la coopération de la plateforme avec les autorités. Environ 5000 requêtes gouvernementales ont abouti à la transmission de données sur 20000 utilisateurs, principalement suite à des demandes françaises et américaines. Contexte et Controverses Catherine souligne l'ironie de la situation : Telegram, qui se vantait d'être une plateforme de libre expression sans contrôle, a rapidement changé de position face aux pressions judiciaires. Elle évoque le scandale des “Nth rooms” en Corée du Sud, où 73 victimes (dont 26 mineures) avaient été exploitées via des salles de conversation Telegram, illustrant les dérives possibles de la liberté d'expression absolue. Débat sur la Liberté d'Expression La discussion révèle la tension fondamentale entre liberté d'expression et protection des droits humains. Sam note que l'anonymat combiné au “free speech” total crée un environnement sans conséquences, favorisant les comportements extrêmes. L'expérience historique montre qu'aucune plateforme de libre expression absolue n'a eu d'issue positive. Catherine et Sam reconnaissent néanmoins l'importance de préserver des espaces de communication sécurisés pour les communautés persécutées (LGBTQ+, dissidents politiques). L'équilibre reste difficile à trouver entre protection des vulnérables et prévention des abus. SignalGate : Nouvelles Préoccupations Nicolas introduit un nouveau volet du “SignalGate” concernant TeleMessage, un client Signal utilisé par des fonctionnaires américains pour la rétention légale des messages. Cette plateforme a été compromise facilement, soulevant des questions sur l'écosystème distribué de Signal. Problème Fondamental Le modèle de sécurité de Signal repose sur la confiance accordée aux clients. Or, rien ne garantit que l'interlocuteur utilise un client légitime. TeleMessage enregistrait tous les messages, contredisant les promesses de confidentialité de Signal. Absence de Réponse Catherine exprime sa déception face au silence de Signal sur cette problématique. Contrairement à leur habitude de communication proactive, l'organisation n'a émis aucun communiqué ni annoncé de solution pour détecter les clients non-officiels. Solutions Techniques Possibles Les participants discutent de solutions potentielles : Signal pourrait alerter les utilisateurs quand leur correspondant utilise un client desktop ou non-officiel. Cette information existe déjà dans le protocole, rendant l'implémentation techniquement faisable. Sam note que l'impact va au-delà : le groupe Distributed Denial of Secrets a publié 410 Go de données extraites de TeleMessage, incluant messages et métadonnées, compromettant potentiellement des lanceurs d'alerte. Réflexions sur l'Écosystème Numérique Gestion du Risque et Éducation La discussion révèle un déficit généralisé dans la compréhension et la gestion du risque numérique. Les participants soulignent que même des personnes éduquées (secrétaires d'État, universitaires) peinent à évaluer correctement les risques liés aux outils qu'ils utilisent. Guillaume insiste sur la nécessité d'intégrer une forme de gestion de risque rapide dans l'usage quotidien des technologies, reconnaissant que l'humain résiste naturellement au changement d'habitudes, même face à des statistiques alarmantes. Évolution des Menaces L'ensemble des sujets abordés illustre une sophistication croissante des menaces, que ce soit dans la désinformation d'État ou l'exploitation des plateformes de communication. Les “gentils” se retrouvent systématiquement en position défensive, avec des moyens limités face à des adversaires qui exploitent efficacement les technologies conçues pour faciliter la communication. Incident du Chicago Sun-Times En conclusion plus légère, Catherine présente le cas du Chicago Sun-Times qui a publié une liste de livres d'été générée par IA, incluant des titres complètement inventés (hallucinations). Cet incident illustre une paresse journalistique préoccupante où l'économie de temps permise par l'IA (réduire 5 jours de travail à 3) ne s'accompagne même pas d'une vérification minimale. Problème de Compréhension des Outils IA Catherine souligne que beaucoup de personnes, même éduquées, ne comprennent pas la différence fondamentale entre une recherche Google (qui indexe du contenu existant) et une requête ChatGPT (qui génère statistiquement des réponses plausibles). Cette confusion contribue à l'acceptation aveugle de contenus générés artificiellement. L'exemple de l'étudiant ayant demandé à ChatGPT une citation de Catherine Dupot-Gagnon, aboutissant à une référence vers un livre inexistant, illustre parfaitement ces dérives. Les modèles IA peuvent également être manipulés, comme l'exemple de Bing temporairement convaincu que l'Australie n'existait pas après avoir été entraîné sur des blagues Reddit. Conclusions et Perspectives Ce podcast révèle un écosystème numérique en mutation profonde, où les technologies conçues pour faciliter la communication et l'accès à l'information sont systématiquement détournées par des acteurs malveillants. Que ce soit les opérations de désinformation d'État, l'exploitation des plateformes de communication, ou la génération de fausses informations par IA, les défis s'accumulent. Les participants identifient plusieurs problèmes structurels : le déficit d'éducation à la gestion du risque numérique, la difficulté à maintenir un équilibre entre liberté d'expression et protection des droits humains, et l'asymétrie fondamentale entre la facilité de créer de fausses informations et la difficulté de les combattre. Malgré ce tableau sombre, l'échange maintient une note d'espoir, rappelant que la sensibilisation et l'éducation restent nos meilleurs outils. L'exemple de NorthSec montre qu'il est possible de créer des espaces inclusifs et constructifs pour aborder ces défis collectivement. La discussion se termine sur une note humoristique évoquant une retraite vers “une cabane dans le bois” avec élevage de brebis et poules pour échapper à la singularité technologique, illustrant avec ironie les sentiments d'impuissance face à l'ampleur des défis identifiés. Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x590! Shameless plug 03 au 05 juin 2025 - Infosecurity Europe 27 et 29 juin 2025 - LeHACK 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Ce podcast explore l'évolution de l'utilisation de l'intelligence artificielle dans les compétitions de type Capture The Flag (CTF) en cybersécurité, comparant la situation actuelle à celle d'il y a environ deux ans lorsque les outils d'IA étaient encore peu développés. L'évolution des outils d'IA en cybersécurité Mickael Nadeau constate que les outils d'IA se sont considérablement développés, particulièrement aux États-Unis, avec des intégrations de plus en plus sophistiquées. Ces nouveaux outils offrent: Une automatisation avancée Des systèmes de permissions permettant de contrôler les actions de l'IA La capacité de désassembler des applications et d'étiqueter les fonctions Alors qu'auparavant, les modèles comme GPT-3.5/3.7 commençaient tout juste à comprendre le code de façon cohérente, l'évolution actuelle permet d'avoir des agents autonomes capables d'interagir avec un ensemble d'outils pour accomplir des tâches complexes. Cette évolution marque une différence majeure avec l'expérience précédente où l'impact de l'IA dans les CTF était marginal. L'IA comme outil pour le reverse engineering L'un des aspects les plus prometteurs est l'utilisation de l'IA pour faciliter le travail de décompilation et de reverse engineering, un domaine traditionnellement aride qui demande beaucoup de temps: L'IA peut annoter les fonctions dans le code désassemblé Elle permet de gagner un temps considérable sur les tâches répétitives Des outils comme Kaido intègrent déjà des plugins IA pour faciliter l'analyse Impact sur les compétitions CTF Les participants discutent comment cette évolution technologique pourrait transformer les CTF: Avantage compétitif: Les équipes qui savent intégrer l'IA à leur processus pourraient gagner un avantage substantiel sur leurs concurrents. Équilibre entre automatisation et plaisir du jeu: Si l'IA automatise trop le processus, cela risque d'enlever le plaisir principal des CTF qui est de résoudre des puzzles. Une question éthique se pose: jusqu'où automatiser sans perdre l'essence de ces compétitions? Retour potentiel à une dimension plus sociale: Paradoxalement, Mickael suggère que l'IA pourrait rendre les CTF plus sociaux en: Automatisant les tâches mécaniques que les experts maîtrisent déjà Libérant du temps pour que ces experts se concentrent sur des défis inconnus Favorisant le brainstorming collectif pour résoudre les problèmes complexes Expérience personnelle avec des CTF “intelligents” Mickael partage son expérience de conception de challenges CTF intégrant de l'IA: Ils ont créé des défis où un pare-feu intelligent s'adaptait aux attaques des participants La première année, une seule équipe a réussi à atteindre 90% du parcours Ces défis ont forcé les participants à vraiment comprendre les mécanismes de sécurité plutôt que d'appliquer des scripts préfabriqués Différents types de challenges ont été conçus, y compris des clones d'applications réelles avec des vulnérabilités et des jeux interactifs (comme le jeu de tarot mentionné) Plans pour le prochain CTF Pour le prochain NSec CTF, Mickael prévoit: D'installer LM Studio sur une de ses machines D'explorer l'intégration d'outils sans filtres AI pour éviter les limitations des modèles commerciaux De potentiellement développer des scripts personnalisés qui pourraient donner un avantage De tester si l'évolution des outils permet désormais d'obtenir un impact significatif, contrairement à son expérience précédente Réflexion sur l'avenir des CTF Les intervenants concluent que les CTF devront évoluer face à ces nouvelles technologies: Les organisateurs devront créer des défis qui restent pertinents malgré l'automatisation Les participants devront trouver un équilibre entre l'utilisation d'outils IA et la résolution manuelle des problèmes L'aspect social et collaboratif pourrait prendre plus d'importance, ramenant l'esprit initial des CTF Le podcast se termine sur la promesse d'un futur épisode pour discuter des résultats de cette expérimentation lors du prochain NSec CTF. Collaborateurs Nicolas-Loïc Fortin Mickael Nadeau Crédits Montage par Intrasecure inc Locaux réels par Northsec

Parce que… c'est l'épisode 0x589! Shameless plug 03 au 05 juin 2025 - Infosecurity Europe 27 et 29 juin 2025 - LeHACK 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Le Dr. Benoit Desjardins est radiologiste à l'Université de Montréal depuis mai 2023, après avoir passé 35 ans aux États-Unis. Expert mondial dans trois domaines distincts - l'imagerie médicale, la cybersécurité et l'intelligence artificielle - il a notamment travaillé comme consultant pour le FBI et siège dans d'importants comités de cybersécurité aux États-Unis. Son parcours multidisciplinaire lui permet d'apporter une perspective unique sur les enjeux de sécurité informatique dans le milieu médical. L'ampleur des cyberattaques dans le secteur médical Aux États-Unis, les cyberattaques contre les établissements de santé augmentent de façon exponentielle depuis 2009. Plus de 6600 brèches de sécurité touchant au moins 500 dossiers médicaux ont été documentées. La plus importante, survenue l'an dernier contre Change Healthcare, a affecté 190 millions de dossiers médicaux et touché plus de 2000 hôpitaux et 400 000 professionnels de la santé. Selon le Dr. Desjardins, environ 94% des hôpitaux américains ont été victimes de cyberattaques, et les 6% restants ignorent probablement qu'ils ont été compromis. En réalité, tous les établissements de santé sont constamment ciblés. Différences entre les systèmes canadien et américain Le système de santé canadien, particulièrement au Québec, est moins ciblé pour plusieurs raisons: Le contrôle gouvernemental offre une meilleure protection Les établissements disposent de moins de ressources financières pour payer des rançons Ils sont donc des cibles moins attrayantes pour les cybercriminels À l'inverse, aux États-Unis: Les hôpitaux fonctionnent comme des entreprises indépendantes Ils réalisent des profits importants mais opèrent avec des marges bénéficiaires minces Ils sont moins bien défendus et plus susceptibles de payer des rançons Les conséquences d'une cyberattaque pour un hôpital américain Une attaque par rançongiciel peut entraîner trois niveaux de conséquences: Perte de fonctionnalité pouvant durer plusieurs semaines, occasionnant des pertes financières de 150 à 200 millions de dollars Pénalités gouvernementales pour non-protection des données (5 à 100 millions de dollars) Recours collectifs pouvant coûter des centaines de millions supplémentaires Face à ces risques, payer une rançon de quelques millions devient souvent l'option la plus économique. Évolution des stratégies d'attaque Les cybercriminels sont passés du “single dipping” (simple demande de rançon) au “double dipping” et même au “triple dipping”: Double dipping: vol de données + chiffrement du système, avec menace de publier les données volées Triple dipping: vol, chiffrement ET modification des données médicales, avec menace de ne pas révéler quelles données ont été altérées La modification de données médicales est particulièrement dangereuse car elle peut affecter directement les soins aux patients et potentiellement mettre des vies en danger. La triade CIA en cybersécurité médicale La protection des données médicales repose sur trois piliers: Confidentialité: protection contre les fuites de données Intégrité: garantie que les données n'ont pas été modifiées Disponibilité: assurance de l'accès aux données quand nécessaire Le Dr. Desjardins cite plusieurs recherches inquiétantes, notamment: Des chercheurs israéliens ayant modifié des images radiologiques pour ajouter ou retirer des nodules pulmonaires, trompant 95% des radiologistes Des recherches montrant la possibilité d'inclure des malwares dans les en-têtes d'images médicales Des démonstrations d'interception et modification de données de laboratoire Ces atteintes à l'intégrité sont particulièrement sournoises car difficiles à détecter et potentiellement mortelles si elles mènent à des traitements inappropriés. Vulnérabilités des appareils médicaux connectés Les appareils médicaux connectés présentent des vulnérabilités spécifiques: Les pacemakers et pompes à insuline ont été prouvés comme étant piratables à distance Les appareils plus anciens n'ont pas été conçus avec la cybersécurité en considération Les contraintes de taille limitent l'ajout de mesures de sécurité robustes Mesures de protection et évolution des pratiques Face à ces menaces, plusieurs initiatives sont mises en place: Exigence d'un “Software Bill of Materials” (SBOM) par la FDA pour documenter tous les composants logiciels Implémentation de défenses multicouches suivant les standards NIST Compartimentalisation et segmentation des réseaux hospitaliers Protection renforcée des appareils médicaux par authentification et protocoles sécurisés Formation des employés contre le phishing, principale cause de brèches Le Dr. Desjardins souligne que le Québec est relativement bien protégé grâce à l'implication gouvernementale. Contrairement aux États-Unis, lorsqu'un hôpital québécois est attaqué, des équipes gouvernementales interviennent pour soutenir la défense. Collaborateurs Nicolas-Loïc Fortin Benoit Desjardins Crédits Montage par Intrasecure inc Locaux réels par Cybereco

Parce que… c'est l'épisode 0x588! Shameless plug 03 au 05 juin 2025 - Infosecurity Europe 27 et 29 juin 2025 - LeHACK 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Ce podcast porte sur une conférence intitulée “Histoire d'erreurs” présentée par Dominique Derrier et Pierre Le Calvez lors de l'événement SéQCure dans laquelle ils ont partagé des expériences d'erreurs en cybersécurité. Objectifs de la conférence Les intervenants avaient plusieurs objectifs en préparant cette présentation : Apporter de l'humour et du plaisir dans une conférence de cybersécurité Prendre du recul sur des situations parfois perçues comme dramatiques Partager des expériences d'erreurs pour montrer que personne n'est seul face à ses erreurs Légitimer le fait que faire des erreurs est humain et fait partie du processus d'apprentissage Remettre en question la culture de faible tolérance à l'erreur dans le domaine de la cybersécurité La culture de l'erreur en cybersécurité Les intervenants soulignent plusieurs problèmes liés à la culture actuelle en cybersécurité : Une tendance à pointer du doigt ceux qui font des erreurs, même entre professionnels L'existence d'un “wall of shame” qui stigmatise les erreurs La difficulté pour les jeunes professionnels d'entrer dans un domaine où l'erreur n'est pas tolérée Le manque de contextualisation des erreurs, comme dans l'exemple cité d'une employée qui cliquait sur des liens dans des courriels parce que c'était son travail Les causes des erreurs Plusieurs facteurs contribuent aux erreurs en cybersécurité : La pression de prendre des décisions rapides avec des informations incomplètes La fatigue des équipes, qui sont souvent épuisées et doivent gérer de multiples responsabilités L'obligation pour les professionnels de la cybersécurité de devenir des “hommes orchestres” touchant à de nombreux domaines sans formation adéquate Les attentes irréalistes des directions qui demandent des conclusions avant même l'analyse des situations Le principe de primauté, où la première information donnée devient souvent une vérité absolue Les conséquences des erreurs Les intervenants évoquent plusieurs conséquences des erreurs en cybersécurité : Les coûts financiers directs liés aux incidents Les coûts moraux et l'impact sur la santé mentale des équipes Le stress chronique qui conduit certains professionnels à quitter le domaine La perte de confiance et les impacts sur l'image de l'entreprise Vers une meilleure gestion des erreurs Les intervenants proposent plusieurs pistes pour mieux gérer les erreurs : Accepter que l'erreur fait partie de l'apprentissage Partager les expériences d'erreurs pour que d'autres puissent en tirer des leçons Contextualiser les erreurs pour mieux les comprendre Permettre aux jeunes professionnels de faire des “erreurs maîtrisées” dans un cadre contrôlé Mettre en place des simulations et des exercices pour développer les bons réflexes Reconnaître l'importance de l'intuition et de l'expérience dans la prise de décision Savoir dire non à la prise de décision précipitée quand la situation le permet Réception de la conférence La conférence a reçu un accueil très positif : Les participants ont ri et se sont reconnus dans les histoires partagées Plusieurs personnes sont venues voir les intervenants pour partager leurs propres erreurs Certains ont utilisé cette approche pour créer des programmes de formation Un effet libérateur a été constaté, permettant aux participants de parler d'erreurs qu'ils n'avaient jamais partagées auparavant Les intervenants concluent en évoquant leur intention de préparer une deuxième partie à cette conférence, avec d'autres histoires d'erreurs, et invitent les auditeurs à partager anonymement leurs propres expériences afin que tous puissent en tirer des enseignements. Notes Dominique Derrier Pierre Le Calvez Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Pierre Le Calvez Crédits Montage par Intrasecure inc Locaux réels par Cybereco

Parce que… c'est l'épisode 0x587! Shameless plug 10 au 18 mai 2025 - NorthSec 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Notes À venir Collaborateurs Nicolas-Loïc Fortin Julien Levrard Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x586! Shameless plug 10 au 18 mai 2025 - NorthSec 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Notes À venir Collaborateurs Nicolas-Loïc Fortin Gabriel T. St-Hilaire Crédits Montage par Intrasecure inc Locaux réels par Cybereco

Parce que… c'est l'épisode 0x585! Shameless plug 10 au 18 mai 2025 - NorthSec 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Ce podcast présente un format ludique où différents invités viennent répondre à des questions tirées au hasard grâce à une “roue” qui détermine la nature des questions (sérieuses ou drôles). L'animation est décontractée et les participants, qualifiés de “cobails” (cobayes), sont sélectionnés successivement par le précédent participant. Structure et concept de l'émission L'émission adopte un format de jeu où les participants doivent tourner une roue qui détermine le type de question qu'ils recevront (sérieuse, drôle, à développement). Ils répondent puis choisissent la personne suivante qui viendra participer. L'animateur précise qu'il n'est “pas responsable des questions” qui semblent avoir été préparées par les organisateurs. Thèmes abordés et discussions notables Questions sur la cybersécurité Politiques de l'ONU : Un participant a tenté de deviner l'année où l'ONU s'est engagée dans une réflexion sur les enjeux du numérique et de la cybersécurité (réponse : 2003) Intelligence artificielle en entreprise : Discussion sur la façon dont les entreprises devraient aborder l'IA dans leurs outils de bureau. Un participant suggère de faire fonctionner l'IA en local plutôt que dans le cloud pour des raisons de sécurité des données. Formation en cybersécurité : Débat sur la qualité de la formation des étudiants en cybersécurité dans les institutions d'enseignement. Les participants s'accordent à dire que l'apprentissage autodidacte, les CTF (Capture The Flag) et l'implication dans la communauté sont souvent plus formateurs que les cursus académiques. Souveraineté numérique : Question sur la pertinence d'utiliser des services canadiens plutôt que ceux de géants américains comme Microsoft, Amazon et Google. Discussion sur les défis de la “monoculture” technologique et l'importance de la diversification des solutions. Budget cybersécurité pour PME : Question sur les priorités d'investissement en cybersécurité pour les PME québécoises. Un participant conseille de ne pas surinvestir dans des outils DevOps au détriment de la sécurité du code lui-même. Attrait de la cybersécurité : Réflexion sur les raisons pour lesquelles un jeune choisirait de travailler en cybersécurité en 2025, notamment la nécessité d'avoir une vision holistique et la résistance à l'automatisation par l'IA. Questions historiques sur les technologies Plusieurs questions portaient sur l'année de lancement de diverses technologies et plateformes : Napster : 1999 (un participant avait répondu 2001) YouTube : 2005 (réponse proposée : 2003) Winamp : 2000 (réponse proche : début des années 2000) Gmail : 1er avril 2004 (réponse proposée : 1999-2000) Dailymotion : 2005 (réponse proposée : 2010) Facebook : 2004 (réponse proposée : 2007) Adibou : 1992 Anecdotes mémorables Un participant a partagé comme cas insolite de cybersécurité une situation où une personne chargée de la formation contre le phishing envoyait des liens de test qui étaient eux-mêmes des pièges de phishing, créant ainsi une méta-formation où même les messages de sensibilisation devaient être analysés avec prudence. Ambiance et dynamique L'ambiance est décontractée et conviviale, avec des participants qui se montrent parfois surpris ou amusés par les questions. L'animateur maintient un ton léger tout en permettant des discussions plus approfondies sur certains sujets sérieux. La roue utilisée pour sélectionner les questions semble avoir été endommagée au cours de l'enregistrement, ce qui est devenu un running gag. Le podcast mêle ainsi expertise technique, culture numérique et humour dans un format accessible et interactif qui permet d'aborder des sujets de cybersécurité variés sous un angle détendu. Notes À venir Collaborateurs Nicolas-Loïc Fortin Multiple Crédits Montage par Intrasecure inc Locaux réels par Le Joker Pub Ludique

Parce que… c'est l'épisode 0x584! Shameless plug 10 au 18 mai 2025 - NorthSec 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Notes À venir Collaborateurs Nicolas-Loïc Fortin Omar Abdel Wahab Crédits Montage par Intrasecure inc Locaux réels par Cybereco

Parce que… c'est l'épisode 0x583! Shameless plug 10 au 18 mai 2025 - NorthSec 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Notes Vanessa Deschênes Collaborateurs Nicolas-Loïc Fortin Vanessa Deschênes Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x582! Shameless plug 10 au 18 mai 2025 - NorthSec 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Notes Cédric Thibault Collaborateurs Nicolas-Loïc Fortin Cédric Thibault Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x581! Shameless plug 10 au 18 mai 2025 - NorthSec 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Collaborateurs Nicolas-Loïc Fortin Dimitri Souleliac Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x580! Shameless plug 24 avril 2025 - Cyberchill #4 10 au 18 mai 2025 - NorthSec 27 au 30 mai 2025 - Cycon 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Notes Humaco Collaborateurs Nicolas-Loïc Fortin Audrey Vermeulen Gregory Alexander Marie Arminio Tamari Gamkrelidz Hélène Crédits Montage par Intrasecure inc Locaux réels par Aix-Marseille Université

Parce que… c'est l'épisode 0x579! Préambule Shameless plug 24 avril 2025 - Cyberchill #4 10 au 18 mai 2025 - NorthSec 27 au 30 mai 2025 - Cycon 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Collaborateurs Nicolas-Loïc Fortin Julien Levrard Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x578! Préambule Shameless plug 24 avril 2025 - CyberChill #4 10 au 18 mai 2025 - NorthSec 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Notes À venir Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x577! Préambule Nous avons rencontré quelques problèmes de stabilité avec l'enregistrement de Camille. Shameless plug 10 au 18 mai 2025 - NorthSec 27 au 30 mai 2025 - Cycon 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Collaborateurs Nicolas-Loïc Fortin Steve Bélanger Camille Felx Leduc Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x576! Shameless plug 10 au 18 mai 2025 - NorthSec 27 au 30 mai 2025 - Cycon 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Notes Humaco Collaborateurs Nicolas-Loïc Fortin Ingrid Dumont Jérôme de Cooman Gregory Alexander Audrey Vermeulen Crédits Montage par Intrasecure inc Locaux réels par Aix-Marseille Université

Parce que… c'est l'épisode 0x575! Préambule Le CHO de Davy est intervenu à la fin de l'épisode. Shameless plug 10 au 18 mai 2025 - NorthSec 27 au 30 mai 2025 - Cycon 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Collaborateurs Nicolas-Loïc Fortin Davy Adam Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x574! Préambule Nous avons rencontré un souci technique vers le milieu de l'épisode, où l'enregistreur numérique a cessé de fonctionner. Heureusement, les caméras ont capturé le son. Shameless plug 8 et 9 avril 2025 - Cybereco 10 au 18 mai 2025 - NorthSec 27 au 30 mai 2025 - Cycon 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Notes Humaco Collaborateurs Nicolas-Loïc Fortin Ingrid Dumont Isabelle Besançcon Christine Dugoin-Clément Cynthia Lopez-Gagousse Crédits Montage par Intrasecure inc Locaux réels par Aix-Marseille Université

Parce que… c'est l'épisode 573! Préambule Shameless plug 8 et 9 avril 2025 - Cybereco 10 au 18 mai 2025 - NorthSec 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Notes René-Sylvain Bédard Collaborateurs Nicolas-Loïc Fortin René-Sylvain Bédard Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x572! Shameless plug 2 au 4 avril 2025 - Humaco 8 et 9 avril 2025 - Cybereco 10 au 18 mai 2025 - NorthSec 27 au 30 mai 2025 - Cycon 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Notes À venir Collaborateurs Nicolas-Loïc Fortin Christophe D'ARLHAC Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x571! Shameless plug 2 au 4 avril 2025 - Humaco 8 et 9 avril 2025 - Cybereco 10 au 18 mai 2025 - NorthSec 27 au 30 mai 2025 - Cycon 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Notes How to Backdoor Large Language Models How North Korea pulled off a $1.5 billion crypto heist—the biggest in history HP Launches World's First Printers to Protect Against Quantum Computer Attacks ALT 18F Github: 18F Collaborateurs Nicolas-Loïc Fortin Guillaume Ross Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x570! Shameless plug 2 au 4 avril 2025 - Humaco 8 et 9 avril 2025 - Cybereco 10 au 18 mai 2025 - NorthSec 27 au 30 mai 2025 - Cycon 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Notes Une étude de Media Matters sur l'omniprésence de la droite dans les médias Un article de Wired sur l'utilisation de Starlink par le crime organisé responsable de trafic humain et de fraude en ligne Une vidéo, utilisant la technologie de Deep Fake, met en vedette le CEO de YouTube Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x569! Shameless plug 2 au 4 avril 2025 - Humaco 8 et 9 avril 2025 - Cybereco 10 au 18 mai 2025 - NorthSec 27 au 30 mai 2025 - Cycon 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Notes Olivier Bilodeau Collaborateurs Nicolas-Loïc Fortin Olivier Bilodeau Crédits Montage par Intrasecure inc Locaux réels par Cybereco

Parce que… c'est l'épisode 0x568! Shameless plug 2 au 4 avril 2025 - Humaco 8 et 9 avril 2025 - Cybereco 10 au 18 mai 2025 - NorthSec 27 au 30 mai 2025 - Cycon 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Notes Alexandre Roy Collaborateurs Nicolas-Loïc Fortin Alexandre Roy Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x567! Shameless plug 1er au 3 avril 2025 - InCyber 2 au 4 avril 2025 - Humaco 8 et 9 avril 2025 - Cybereco 9 au 11 avril - Google Next ‘25 10 au 18 mai 2025 - NorthSec 27 au 30 mai 2025 - Cycon 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 Novembre 2025 - European Cyber Week 25-26 février 2026 - SéQCure 2065 Description Collaborateurs Nicolas-Loïc Fortin Nicolas Bédard Crédits Montage par Intrasecure inc Locaux réels par Cage

Parce que… c'est l'épisode 0x566! Shameless plug 1er au 3 avril 2025 - InCyber 2 au 4 avril 2025 - Humaco 8 et 9 avril 2025 - Cybereco 9 au 11 avril - Google Next ‘25 10 au 18 mai 2025 - NorthSec 27 au 30 mai 2025 - Cycon 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 Novembre 2025 - European Cyber Week 25-26 février 2026 - SéQCure 2065 Description Notes Transformation numérique en PME : bâtir les fondations pour un succès durable Collaborateurs Nicolas-Loïc Fortin Christine Pelletier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x565! Shameless plug 1er au 3 avril 2025 - InCyber 2 au 4 avril 2025 - [Humaco] 8 et 9 avril 2025 - Cybereco 9 au 11 avril - Google Next ‘25 10 au 18 mai 2025 - NorthSec 27 au 30 mai 2025 - Cycon 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 Novembre 2025 - European Cyber Week 25-26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Steve Bélanger Camille Felx Leduc Marc Potvin Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x564! Shameless plug 1er au 3 avril 2025 - InCyber 2 au 4 avril 2025 - [Humaco] 8 et 9 avril 2025 - Cybereco 9 au 11 avril - Google Next ‘25 10 au 18 mai 2025 - NorthSec 27 au 30 mai 2025 - Cycon 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 Novembre 2025 - European Cyber Week 25-26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Dominique Derrier René-Sylvain Bédard Vanessa Deschênes Steve Lavoie Alexandre Roy Crédits Montage par Intrasecure inc Locaux réels par La Nef

Parce que… c'est l'épisode 0x563! Préambule Shameless plug 1er au 3 avril 2025 - InCyber 2 au 4 avril 2025 - [Humaco] 8 et 9 avril 2025 - Cybereco 9 au 11 avril - Google Next ‘25 10 au 18 mai 2025 - NorthSec 27 au 30 mai 2025 - Cycon 4 au 6 juin 2025 - SSTIC 12 au 17 octobre 2025 - Objective by the sea v8 Novembre 2025 - European Cyber Week 25-26 février 2026 - SéQCure 2026 Description Notes À venir Collaborateurs Nicolas-Loïc Fortin Mathieu Lavoie Alexandre Côté-Cyr Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x562! Préambule Première collaboration avec CyberCitoyen. Souhaitant que ce soit la première d'une longue série. Shameless plug 26-27 février 2025 - SéQCure 2025 Notes À venir Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x561! Shameless plug 26-27 février 2025 - SéQCure 2025 Description Notes Documentation officielle de YARA Le github YARA de VirusTotal YARA Forge l'outil fournissant des packages de règles YARA de qualité provenant de divers sources publiques Le github contenant une liste de sources pour récupérer des règles YARA Le site web de notre outil pour la partie “Génération de YARA par l'IA” Collaborateurs Nicolas-Loïc Fortin Jordan Theodore Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x560! Shameless plug 26-27 février 2025 - SéQCure 2025 Description Notes À venir Collaborateurs Nicolas-Loïc Fortin Cédric Thibault Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x559! Shameless plug 26-27 février 2025 - SéQCure 2025 Description Notes À venir Collaborateurs Nicolas-Loïc Fortin Olivier Bilodeau Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm