PolySécure Podcast

Parce que… c'est l'épisode 0x651! Shameless plug 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Notes Incidents What the Huge AWS Outage Reveals About the Internet A single DNS race condition brought AWS to its knees Amazon brain drain finally caught up with AWS Louvre heist raises decades-old questions about museum security IA Critical Vulnerability in MCP Server Platform Exposes 3,000 Servers and Thousands of API Keys The security paradox of local LLMs OpenAI ChatGPT Atlas Browser Jailbroken to Disguise Malicious Prompt as URLs OpenAI's New Browser Raises ‘Insurmountably High' Security Concerns Perplexity's Comet Browser Screenshot Feature Vulnerability Let Attackers Inject Malicious Prompts MCP attack uses predictable session IDs to hijack AI agents Zero Trust Has a Blind Spot—Your AI Agents Sneaky Mermaid attack in Microsoft 365 Copilot steals data AI-Powered Ransomware Is the Emerging Threat That Could Bring Down Your Organization One in five security breaches now thought to be caused by AI-written code Privacy Microsoft Teams to Auto-Set Work Location by Detecting the Wi-Fi Network Polish PM: former government used Pegasus spyware to surveil my wife and daughter The Internet's Biggest Annoyance: Why Cookie Laws Should Target Browsers, Not Websites Blue 5 Deception Solutions that are Changing the Cybersecurity Game  You Still Shouldn't Use a Browser Password Manager Microsoft admits File Explorer Preview pane won't work in Windows 11 25H2 for internet files by default Myanmar military detains 2,000 people in raid at cybercrime center Shifting from reactive to proactive: Cyber resilience amid nation-state espionage Proofpoint releases innovative detections for threat hunting: PDF Object Hashing OpenBSD 7.8 out now and 9front's ‘Release' released OpenBSD 7.8 ChkTag: x86 Memory Safety Réserve européenne de cybersécurité : l'Union se dote d'un bouclier commun Red GlassWorm: First Self-Propagating Worm Using Invisible Code Hits OpenVSX Marketplace Self-Propagating GlassWorm Poisons VS Code Extensions Network security devices endanger orgs with '90s era flaws 706,000+ BIND 9 Resolver Instances Vulnerable to Cache Poisoning Exposed Online - PoC Released Google Warns of Threat Actors Using Fake Job Posting to Deliver Malware and Steal Credentials The YouTube Ghost Network: How Check Point Research Helped Take Down 3,000 Malicious Videos Spreading Malware Threat Actors Attacking Azure Blob Storage to Compromise Organizational Repositories Inside the attack chain: Threat activity targeting Azure Blob Storage Hackers Can Access Microsoft Teams Chat and Emails by Retrieving Access Tokens Critical WSUS Flaw (CVE-2025-59287, CVSS 9.8) Allows Unauthenticated RCE via Unsafe Cookie Deserialization, PoC Available Hackers Weaponizing OAuth Applications for Persistent Cloud Access Even After Password Reset ‘PassiveNeuron' Cyber Spies Attack With Custom Malware Airport PA System Hack: How Attackers Hijacked Announcements in the US and Canada - Cyberwarzone China finds “irrefutable evidence” of US NSA cyberattacks on time Authority Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x650! Shameless plug 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction Dans cet épisode du podcast Police Secure, Clément Cruchet présente une analyse approfondie de la surface d'attaque de Google Cloud Platform (GCP), un sujet souvent négligé dans la communauté de la cybersécurité. Contrairement à Azure et AWS qui bénéficient d'une documentation abondante sur leurs vulnérabilités et vecteurs d'attaque, GCP reste le “petit frère oublié” du cloud computing. Cette présentation, donnée lors de la conférence Bide, vise à combler cette lacune en explorant les chemins qu'un attaquant pourrait emprunter dans un environnement GCP. Le contexte : pourquoi GCP est moins documenté Clément observe qu'il y a trois ou quatre ans, la documentation sur les vulnérabilités GCP était quasi inexistante. Cette absence de contenu a même conduit certains utilisateurs sur des forums comme Reddit à affirmer de manière erronée que GCP était plus sûr ou exempt de mauvaises configurations. En réalité, ces failles existent bel et bien, mais elles n'avaient simplement pas été explorées en profondeur. Bien que la situation se soit améliorée depuis trois ans avec l'apparition de formations et de certifications, GCP demeure significativement moins couvert que ses concurrents. L'importance de l'IAM (Identity and Access Management) Le cœur de la sécurité dans tous les environnements cloud réside dans la gestion des identités et des accès. Que ce soit Azure, AWS, GCP ou d'autres fournisseurs comme Oracle Cloud ou Alibaba Cloud, chacun possède son propre modèle IAM distinct. Ces modèles constituent la base de toute gestion des permissions, rôles et autorisations dans les environnements cloud. Le paradoxe est clair : sans permissions IAM, on ne peut rien faire, mais avec trop de permissions, on ouvre la porte à des abus et des défauts de configuration. La majorité des vulnérabilités dans les environnements cloud proviennent justement de ces mauvaises configurations au sein de l'IAM. La hiérarchie unique de GCP GCP se distingue par sa structure hiérarchique particulière. Contrairement à AWS qui fonctionne avec des comptes, ou à Azure qui utilise des tenants, des subscriptions et des groupes de ressources, GCP adopte une approche top-down très structurée. Au sommet se trouve l'organisation, généralement liée au nom de domaine de l'entreprise (par exemple company.com). Sous l'organisation, on trouve des folders, comparables aux unités organisationnelles (OU) d'Active Directory. Ces folders contiennent ensuite des projets, qui constituent l'unité administrative la plus importante. Les projets dans GCP peuvent être comparés aux comptes AWS et c'est principalement à ce niveau que se fait la facturation. Pour beaucoup d'utilisateurs, seule la vue du projet est accessible, sans nécessairement avoir besoin d'une organisation complète. Cette flexibilité permet de commencer à travailler directement avec un projet sans passer par la création d'une infrastructure organisationnelle complète. Les rôles et leurs dangers Un point crucial soulevé par Clément concerne les rôles primitifs dans GCP : éditeur, viewer, owner et browser. Ces rôles sont extrêmement dangereux car ils accordent des permissions bien trop larges. Par exemple, un rôle d'éditeur peut avoir accès à 800 permissions différentes, ce qui viole complètement le principe du moindre privilège. Le message clé est de ne jamais utiliser ces rôles primitifs dans une infrastructure GCP. Même les rôles prédéfinis, pourtant plus granulaires, peuvent présenter des risques. Un rôle comme “compute admin”, qui devrait théoriquement se limiter à l'administration des ressources compute, peut en réalité inclure 800 permissions, dont certaines touchent à des services non liés comme BigQuery. La recommandation fondamentale est de créer des rôles personnalisés aussi granulaires que possible et d'appliquer systématiquement le principe du moindre privilège. Domain wide delegation : un vecteur d'exfiltration méconnu L'une des contributions majeures de cette présentation concerne le domain wide delegation, une technique d'exfiltration peu documentée. Cette fonctionnalité permet à un compte de service dans GCP d'interagir avec Google Workspace : accéder à Drive, Gmail, envoyer des emails au nom d'utilisateurs, récupérer des pièces jointes, etc. Clément a développé un outil Python appelé “Delegate” pour démontrer et tester cette technique. Lorsqu'il a écrit son article de blog sur le sujet début 2023, il n'existait pratiquement aucune documentation sur cette vulnérabilité. Ironiquement, Palo Alto Networks a publié un article similaire plusieurs mois après, ce qui témoigne du caractère précurseur de ses recherches. Le scénario d'attaque typique implique un attaquant qui compromet une machine virtuelle possédant un compte de service capable d'effectuer du domain wide delegation. Cette technique peut également servir de mécanisme de persistance, permettant à un attaquant de configurer sa propre délégation pour exfiltrer des données de manière discrète. L'outil Delegate permet de lire des emails, télécharger et uploader des fichiers sur Drive, offrant ainsi une capacité d'exfiltration complète. La matrice d'attaque GCP Pour synthétiser ses recherches, Clément propose une kill chain communautaire spécifique à GCP, disponible sur GitHub (github.com/otendfreed/GCP-attack-matrix). Cette matrice d'attaque représente l'ensemble des tactiques, techniques et procédures (TTP) depuis la reconnaissance jusqu'à l'exfiltration et l'impact. L'objectif est de fournir un outil pour les équipes de sécurité souhaitant effectuer du purple teaming dans des environnements GCP, leur permettant d'évaluer leurs contrôles de sécurité et leur capacité de détection. Conclusion Ce podcast souligne l'importance de ne pas négliger GCP dans les stratégies de sécurité cloud. Bien que moins documenté, ce fournisseur présente des vecteurs d'attaque tout aussi critiques que ses concurrents. La recherche communautaire et le partage de connaissances sont essentiels pour identifier et corriger les vulnérabilités avant que des attaquants malveillants ne les exploitent. Comme le souligne Clément, pour attaquer un système, il faut d'abord le comprendre, et c'est précisément cette compréhension qu'il cherche à transmettre à la communauté de la cybersécurité. Notes À venir Collaborateurs Nicolas-Loïc Fortin Clément Cruchet Crédits Montage par Intrasecure inc Locaux réels par Bsides Montréal

Parce que… c'est l'épisode 0x649! Shameless plug 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Comprendre les différences et faire les bons choix Dans cet épisode du podcast Polysécure, l'animateur reçoit Cyndie Feltz, Nicolas Milot et Dominique Derrier pour démystifier deux concepts souvent confondus dans le domaine de la cybersécurité : les balayages de vulnérabilités et les tests d'intrusion. Cette discussion s'avère particulièrement pertinente pour les petites et moyennes entreprises qui doivent naviguer dans un environnement où les exigences de sécurité se multiplient, que ce soit pour obtenir une cyberassurance, répondre à des normes réglementaires ou rassurer des clients. La confusion sur le marché Le podcast débute en soulignant un problème majeur : les entreprises se font souvent imposer des tests de sécurité sans nécessairement comprendre ce qu'elles achètent réellement. Cette pression peut provenir d'une cyberassurance, d'un cadre normatif ou d'un client exigeant. Lorsque ces tests ne sont pas budgétés, les entreprises cherchent naturellement à minimiser les coûts, mais le marché offre toutes les saveurs possibles, et les écarts de prix peuvent atteindre un facteur de dix entre différentes offres. Cette variation crée naturellement de la confusion et des inquiétudes chez les clients. Deux outils complémentaires, mais distincts Les experts s'entendent d'abord sur un point fondamental : ni le balayage de vulnérabilités ni le test d'intrusion ne sont intrinsèquement mauvais. Ce sont simplement deux outils différents qui répondent à des besoins distincts. Le problème survient lorsqu'un vendeur présente l'un comme l'autre, ou inversement, créant ainsi des attentes qui ne seront pas comblées. Un balayage de vulnérabilités est essentiellement un processus automatique. Un outil informatique analyse une application web, un serveur interne ou une adresse IP pour identifier des failles potentielles. Sa mission consiste à générer le maximum de données possibles. L'entreprise paie littéralement pour obtenir une quantité importante d'informations, qu'elle devra ensuite filtrer et prioriser elle-même. Ces scans permettent de détecter des vulnérabilités connues, des CVE et des exploits déjà répertoriés. Le test d'intrusion, quant à lui, implique une intervention humaine. Un expert en sécurité effectue manuellement des tests sur les actifs de l'entreprise en utilisant son expertise et son cerveau pour comprendre le contexte spécifique de l'organisation. Contrairement au scanner automatique, le testeur d'intrusion peut évaluer la logique métier, comprendre où appuyer pour faire mal et exploiter réellement les vulnérabilités découvertes. L'analogie du gardiennage et du cambrioleur Dominique propose une excellente analogie pour illustrer cette différence : un balayage de vulnérabilités ressemble à quelqu'un qui fait le tour d'un bâtiment pour vérifier si les portes sont verrouillées et noter où se trouvent les caméras. Un test d'intrusion, en revanche, correspond à une personne qui tente activement de pénétrer dans le bâtiment en crochetant les serrures, en contournant les systèmes d'alarme et en testant toutes les entrées possibles. Cette dernière approche requiert des compétences beaucoup plus pointues et justifie naturellement des coûts plus élevés, tout en offrant un bénéfice supérieur puisqu'elle vérifie l'efficacité réelle des mesures de sécurité. Quand utiliser chaque approche La première question à se poser n'est pas de savoir s'il faut un scan ou un test d'intrusion, mais plutôt : quel est le besoin réel ? S'agit-il d'une exigence normative qui impose spécifiquement un test d'intrusion ? L'entreprise souhaite-t-elle simplement valider la sécurité de son application ou de son infrastructure ? Pour un produit SaaS exposé sur Internet, les balayages de vulnérabilités sont particulièrement appropriés et peuvent être effectués régulièrement, voire de manière automatisée. Ils permettent de détecter rapidement l'apparition de nouvelles vulnérabilités connues. Pour les entreprises de taille moyenne avec plus de 150 à 200 employés disposant d'une infrastructure interne complexe, incluant par exemple un Active Directory, les scans servent à détecter les CVE et les exploits connus. Cependant, un scan de vulnérabilités ne tentera jamais de compromettre un Active Directory pour devenir administrateur de domaine, contrairement à ce que devrait faire un véritable test d'intrusion interne. La question de la récurrence et de la valeur Les balayages de vulnérabilités présentent l'avantage de pouvoir être effectués fréquemment, mensuellement ou même hebdomadairement. Les entreprises peuvent acheter leur propre licence et administrer ces scans en interne. Si elles font appel à une firme externe, la vraie valeur ajoutée ne réside pas dans le rapport brut, mais dans l'aide apportée pour filtrer et prioriser les résultats. Un fournisseur de services de sécurité managés (MSSP) devrait intégrer ces analyses automatiques dans son offre globale et les mettre en adéquation avec les autres outils de sécurité déjà en place. Recommandations pour les PME Les experts insistent sur plusieurs points essentiels. Premièrement, toutes les entreprises n'ont pas besoin d'un test d'intrusion. Une société de quinze à vingt personnes utilisant Google Workspace et WordPress bénéficierait davantage d'investir dans des révisions de configuration que dans un coûteux test d'intrusion, qui avoisine souvent les cinq chiffres. Deuxièmement, il est crucial de maintenir une bonne gouvernance en s'assurant que l'entité qui gère la sécurité quotidienne ne soit pas celle qui effectue les tests d'intrusion. Cette séparation garantit l'objectivité de l'évaluation, tout comme on ne demanderait pas à son agence comptable de réaliser son propre audit financier. Troisièmement, réduire l'empreinte numérique résout souvent davantage de problèmes qu'un simple test de sécurité. Limiter le nombre d'outils et de services utilisés, bien configurer ceux qui restent, et former adéquatement les équipes constituent des mesures préventives plus rentables qu'un test d'intrusion coûteux qui viendrait simplement confirmer des failles évidentes. Enfin, les experts encouragent les entreprises à considérer leurs mesures de cybersécurité non pas uniquement comme une dépense, mais comme un investissement qui peut devenir un argument de vente. Former les équipes commerciales sur les pratiques de sécurité mises en place permet de transformer cette démarche en avantage concurrentiel, même en l'absence de certification formelle. Conclusion Ce podcast clarifie efficacement un sujet souvent source de confusion pour les PME. La distinction entre balayages de vulnérabilités et tests d'intrusion repose essentiellement sur l'automatisation versus l'intervention humaine, la quantité versus la qualité contextuelle, et la détection versus l'exploitation réelle. Le choix entre ces deux approches doit toujours découler d'une analyse rigoureuse des besoins spécifiques de l'entreprise, de son budget et de ses obligations réglementaires, tout en gardant à l'esprit que la meilleure sécurité commence par des pratiques de base solides et une empreinte numérique maîtrisée. Collaborateurs Nicolas-Loïc Fortin Cyndie Feltz Nicholas Milot Dominique Derrier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x648! Shameless plug 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction Dans cet épisode spécial du podcast, Miguel De Bruycker, directeur général du Centre pour la cybersécurité belge (CCB), partage les approches innovantes et les réalisations de son organisation en matière de protection des citoyens contre les cybermenaces. L'entretien met en lumière une philosophie unique qui place la santé numérique des citoyens au cœur des priorités gouvernementales. Une approche belge distinctive Contrairement à de nombreux pays occidentaux, la Belgique a adopté une approche proactive de la cybersécurité qui se distingue par son intervention directe pour protéger la population. Miguel De Bruycker souligne que leur clientèle comprend la population générale, les entreprises, les services gouvernementaux et l'infrastructure critique. Cette vision globale reflète une conception de la cybersécurité comme une question de santé publique, où l'État a un rôle actif à jouer pour le bien-être collectif. Le système suspect@ccb.be : une initiative citoyenne massive L'une des initiatives phares du CCB est la création, il y a sept ans, de l'adresse email suspect@ccb.be. Disponible en quatre langues, ce service permet aux citoyens belges de signaler les courriels suspects. Les chiffres sont impressionnants : en 2024, le centre a reçu en moyenne 25 000 courriels par jour de la part de la population. Cette mobilisation citoyenne témoigne d'une prise de conscience collective des menaces numériques et d'une confiance dans les institutions pour traiter ces signalements. Le Belgian Anti-Phishing Shield : une protection par défaut Depuis cinq ans, le CCB a mis en place un système encore plus audacieux : le Belgian Anti-Phishing Shield (BPS). En partenariat avec les principaux fournisseurs d'accès Internet (FAI) du pays, le centre a développé un système de protection DNS avec une approche opt-out, c'est-à-dire que la protection est activée par défaut pour tous les citoyens. Le fonctionnement est le suivant : à partir des 25 000 courriels quotidiens reçus, l'équipe identifie les domaines et sites web malveillants. Ces informations sont ensuite transmises aux FAI qui affichent des pages d'avertissement aux utilisateurs tentant d'accéder à ces sites dangereux. En 2024, ces pages d'avertissement ont été affichées 240 millions de fois, démontrant l'ampleur de la protection offerte. Un équilibre délicat entre protection et liberté Miguel De Bruycker reconnaît le caractère intrusif de cette approche et la nécessité d'éviter toute accusation de censure gouvernementale. C'est pourquoi le système intègre plusieurs garde-fous essentiels. Premièrement, contrairement aux systèmes opt-in utilisés dans d'autres pays (qui sont peu utilisés), le système belge est opt-out : les citoyens peuvent facilement désactiver la protection s'ils le souhaitent, les instructions étant clairement affichées sur les pages d'avertissement. Deuxièmement, un mécanisme de contestation permet aux utilisateurs de signaler immédiatement si un site est incorrectement classé comme malveillant. Dans ce cas, le site est retiré de la liste et analysé rapidement. S'il s'avère qu'il n'est pas dangereux, il reste débloqué ; sinon, il est remis sur la liste. Après cinq ans de fonctionnement, aucune plainte officielle n'a été déposée contre ce système, ce qui témoigne de son acceptation par la population. Une efficacité mesurable Bien que Miguel De Bruycker admette qu'il est difficile de mesurer précisément l'impact de ces mesures (car on peut quantifier ce qui est bloqué, mais pas ce qui aurait pu se produire sans protection), les indicateurs internationaux sont encourageants. La Belgique se classe régulièrement dans le top 3 ou 4 des pays européens en matière de cybersécurité selon divers indices comme le Bitsite Index ou l'ITO Index. Ce positionnement avantageux suggère que l'approche belge porte ses fruits et pourrait inspirer d'autres nations. Une organisation efficiente L'aspect peut-être le plus remarquable de cette initiative est son efficacité organisationnelle. L'équipe qui traite les 25 000 courriels quotidiens et gère le système BPS ne compte que quatre personnes. Cette prouesse est rendue possible par une automatisation poussée des processus. Le centre travaille avec deux partenaires privés qui aident au traitement. L'information est anonymisée de façon automatisée, puis contrôlée par les partenaires privés avant d'être analysée automatiquement au centre. L'intervention humaine n'est nécessaire que lorsque des anomalies sont détectées. Coordination nationale et cadre fédéral Sur le plan organisationnel, la cybersécurité en Belgique relève du niveau fédéral, comme la défense et les services de renseignement. Le CCB est au cœur d'un écosystème de coordination complexe. Un comité de coordination réunit mensuellement tous les chefs des services de renseignement et de sécurité (police, renseignement militaire et civil, affaires étrangères, défense). Au-dessus se trouve un comité stratégique incluant les représentants ministériels, et au sommet, le Conseil national de sécurité avec les ministres eux-mêmes. Cette structure permet une circulation efficace de l'information et une prise de décision coordonnée. L'initiative Cyber Fundamentals et NIS 2 Au-delà de la protection des citoyens, le CCB joue un rôle majeur dans l'implémentation de la directive européenne NIS 2. Le centre a développé un framework appelé Cyber Fundamentals, qui établit une couche commune de mesures de cybersécurité pour tous les secteurs, tout en laissant la liberté aux autorités sectorielles et régionales d'ajouter des mesures spécifiques. Cette approche de simplification et de standardisation tout en respectant l'autonomie a été rapidement adoptée et inspire maintenant d'autres pays comme l'Irlande et la Roumanie. Une adoption au niveau européen est même envisagée. La patience comme stratégie Miguel De Bruycker conclut en soulignant que ces succès sont le fruit de dix années d'efforts soutenus. Le chemin n'a pas été simple : des accords n'ont pas toujours été respectés, des collaborations ont connu des difficultés. Mais la clé du succès a été la persévérance et la capacité à maintenir le dialogue plutôt que de rompre les collaborations. Le CCB a créé un Conseil de cybersécurité permettant de discuter des problèmes en dehors des grandes réunions officielles, favorisant ainsi la conciliation et la recherche de solutions communes. Cette approche de collaboration continue, même face aux obstacles, illustre une philosophie où le bénéfice collectif prime sur les frictions individuelles. C'est cette vision à long terme et cette capacité à transformer les conflits apparents en opportunités de solutions qui ont permis à la Belgique de devenir un modèle en matière de cybersécurité citoyenne. Notes CCB Une collaboration internationale pour renforcer notre cybersécurité! Collaborateurs Nicolas-Loïc Fortin Miguel De Bruycker Crédits Montage par Intrasecure inc Locaux réels par inCyber Montréal

Parce que… c'est l'épisode 0x647! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Notes IA AI Agent Security: Whose Responsibility Is It? Hackers Can Bypass OpenAI Guardrails Framework Using a Simple Prompt Injection Technique AI makes phishing 4.5x more effective, Microsoft says How AI-powered ransomware could destroy your business Agentic AI's OODA Loop Problem ‘Sovereign AI' Has Become a New Front in the US-China Tech War Microsoft Microsoft warns of a 32% surge in identity hacks, mainly driven by stolen passwords Extortion and ransomware drive over half of cyberattacks Windows 11 And Server 2025 Will Start Caching Plaintext Credentials By Enabling WDigest Authentication Microsoft: Exchange 2016 and 2019 have reached end of support Microsoft frightful Patch Tuesday: 175+ CVEs, 3 under attack Two New Windows Zero-Days Exploited in the Wild — One Affects Every Version Ever Shipped Windows BitLocker Vulnerabilities Let Attackers Bypass Security Feature Edge - IE Microsoft restricts IE mode access in Edge after zero-day attacks Hackers Leveraging Microsoft Edge Internet Explorer Mode to Gain Access to Users' Devices Défensif Identity Security: Your First and Last Line of Defense Banks need stricter controls to prevent romance fraud, says City regulator CVE, CVSS scores need overhauling, argues Codific CEO How to spot dark web threats on your network using NDR Ukraine takes steps to launch dedicated cyber force for offensive strikes How Microsoft is creating a security-first culture that lasts Root Cause Analysis? You're Doing It Wrong Modern iOS Security Features – A Deep Dive into SPTM, TXM, and Exclaves EDR-Freeze Tool Technical Workings Along With Forensic Artifacts Revealed Wireshark 4.6.0 Supports macOS pktap Metadata (PID, Process Name, etc.) Offensif F5 Why the F5 Hack Created an ‘Imminent Threat' for Thousands of Networks F5 says hackers stole undisclosed BIG-IP flaws, source code ‘Highly sophisticated' government goons hacked F5 Oracle Google, Mandiant expose malware and zero-day behind Oracle EBS extortion Oracle issued an emergency security update to fix new E-Business Suite flaw CVE-2025-61884 Fortigate FortiOS CLI Command Bypass Vulnerability Let Attacker Execute System Commands FortiPAM and FortiSwitch Manager Vulnerability Let Attackers Bypass Authentication Process Satellite Unencrypted satellites expose global communications Researchers find a startlingly cheap way to steal your secrets from space Study reveals satellites comms spilling unencrypted data Axis Communications Vulnerability Exposes Azure Storage Account Credentials Android Pixnapping attack can capture app data like 2FA info Ivanti Patches 13 Vulnerabilities in Endpoint Manager Allowing Remote Code Execution Hackers Leverage Judicial Notifications to Deploy Info-Stealer Malware Cyberattackers Target LastPass, Top Password Managers Devs of VS Code extensions are leaking secrets en masse How Attackers Bypass Synced Passkeys RealBlindingEDR Tool That Permanently Turns Off AV/EDR Using Kernel Callbacks New PoC Exploit Released for Sudo Chroot Privilege Escalation Vulnerability Les Uropes Europe's Digital Sovereignty Paradox - “Chat Control” update Britain issues first online safety fine to US website 4chan Cyber-attacks rise by 50% in past year, UK security agency says Netherlands invokes special powers against Chinese-owned semiconductor company Nexperia Divers GrapheneOS is finally ready to break free from Pixels, and it may never look back [ProtonVPN Lied About Logging Blog](https://vp.net/l/en-US/blog/ProtonVPN-Lied-About-Logging) Adam Shostack : “Yay, more age verification law…” California enacts age verification, chatbot laws The Guardian view on the online scam industry: authorities must not forget that perpetrators are often victims too Insolite TikTok Videos Promoting Malware Installation Kevin Beaumont: “This whole thing with TLP RED …” - Cyberplace Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x646! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Ce podcast explore les défis et les opportunités de l'expatriation dans le domaine de la cybersécurité à travers l'expérience unique de Dimitri Souleliac, qui a vécu deux migrations successives : de la France au Québec, puis du Canada à la Nouvelle-Zélande. Un parcours atypique en cybersécurité Dimitri a commencé sa carrière en cybersécurité en France avant de s'établir au Québec pendant dix ans, puis de poursuivre son parcours en Nouvelle-Zélande juste avant la pandémie. Ce qui devait être initialement un séjour de six mois au Québec s'est transformé en une décennie d'expérience nord-américaine. Son parcours illustre parfaitement la métaphore du canard : si tout semble fluide en surface, la réalité exige un travail considérable en coulisses. La complexité des démarches administratives L'un des messages centraux du podcast concerne l'importance de la préparation administrative. Dimitri insiste sur le fait que les démarches d'immigration sont devenues significativement plus complexes qu'il y a quinze ans. Aujourd'hui, les pays d'immigration comme le Canada, l'Australie et la Nouvelle-Zélande cherchent principalement de la main-d'œuvre temporaire plutôt que des résidents permanents. Cette approche opportuniste s'explique par les coûts associés à l'intégration des immigrants dans les systèmes de santé et administratifs. Dimitri met en garde contre les permis vacances-travail qui, bien qu'attrayants pour une expérience d'un ou deux ans, compliquent l'établissement à long terme. La transition vers un visa de travail permanent nécessite de remplir des critères stricts de salaire, de santé et autres exigences administratives. Il souligne que ces programmes changent constamment, rendant difficile la planification à long terme. La préparation stratégique Malgré l'apparente spontanéité de son arrivée au Québec, Dimitri révèle une préparation minutieuse. Avant son départ de France, il a obtenu sa certification CISSP à Paris, à une époque où cette certification était rare en Europe et ne pouvait se passer qu'en personne. Cette anticipation lui a permis de valoriser son expertise sur le marché nord-américain, où ces certifications sont reconnues. Son diplôme français était également reconnu par l'Ordre des ingénieurs du Québec, facilitant ainsi son intégration professionnelle. Son arrivée au Québec illustre l'importance du réseautage : en assistant à une conférence de cybersécurité sur les Plaines d'Abraham, il a multiplié les contacts, décroché des entrevues et obtenu un emploi en trois semaines. Cependant, il reconnaît que le contexte actuel rend ce type de parcours beaucoup plus difficile qu'il y a quinze ans. Les différences culturelles fondamentales Au-delà de la langue, Dimitri identifie des différences culturelles majeures qui surprennent souvent les expatriés. La principale concerne l'autonomie professionnelle. Contrairement à la culture française, très hiérarchique et directive, les cultures québécoise et néo-zélandaise valorisent l'initiative personnelle. Les employés doivent prendre leurs responsabilités en main plutôt que d'attendre qu'on leur dise quoi faire. Cette différence a causé des difficultés à certains collègues français de Dimitri, qui s'attendaient à être pris en charge par leur employeur pour les démarches administratives. Cette mécompréhension culturelle a même conduit certains à devoir retourner en France, leurs visas n'ayant pas été renouvelés faute de démarches personnelles effectuées. En Nouvelle-Zélande, Dimitri a découvert une perception unique du risque géopolitique. Le pays se considère comme un refuge, illustré par l'anecdote d'une application qui surveille l'arrivée de jets privés comme indicateur d'événements mondiaux majeurs. Cette position géographique influence la façon dont la cybersécurité est abordée. L'enrichissement professionnel en cybersécurité L'expatriation a permis à Dimitri de développer une vision à 360 degrés des cadres de référence en cybersécurité. De l'Europe avec l'ANSSI et le RGPD, il est passé aux cadres américains comme le NIST, puis a découvert les approches britanniques et australo-néo-zélandaises comme Cyber Essentials et le Critical 10. Il observe que les compétences techniques fondamentales (red team, blue team, pentest) restent largement identiques d'un pays à l'autre. C'est davantage au niveau de la gouvernance que les différences apparaissent, avec des approches variant selon la réglementation locale et la taille des entreprises. Cette transférabilité des compétences représente un avantage majeur pour les professionnels de la cybersécurité comparativement à d'autres professions comme le droit ou la médecine. Les conseils pour réussir son expatriation Dimitri propose trois conseils essentiels. Premièrement, bien préparer son projet administrativement en se questionnant sur ses intentions : expérience temporaire ou installation permanente ? Cette clarification influence toute la stratégie de préparation. Deuxièmement, ne jamais partir avec un état d'esprit négatif, en fuyant une situation. Changer de pays ne résout pas les problèmes personnels ou professionnels non résolus. L'expatriation doit être motivée par la curiosité et l'envie d'enrichissement plutôt que par le désir d'échapper à quelque chose. Troisièmement, cultiver l'ouverture d'esprit et la curiosité. Dimitri recommande d'éviter les communautés d'expatriés négatifs qui alimentent les déceptions. Il valorise plutôt le « syndrome du nouvel arrivant » : se présenter avec curiosité et intérêt ouvre les portes, les locaux étant généralement ravis de partager leur culture et leurs connaissances. Conclusion L'expérience de Dimitri démontre que l'expatriation, bien que source d'enrichissement personnel et professionnel considérable, exige une préparation rigoureuse et une attitude positive. Les choses ne sont pas nécessairement meilleures ailleurs, mais elles sont différentes, et c'est précisément cette différence qui constitue la richesse de l'expérience. Pour les professionnels de la cybersécurité, les opportunités sont réelles, mais le succès dépend davantage de la préparation, de l'adaptabilité culturelle et de l'état d'esprit que de la simple expertise technique. Collaborateurs Nicolas-Loïc Fortin Dimitri Souleliac Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x645! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction Dans cet épisode technique, Nicolas et Jordan Théodore abordent un changement de paradigme fondamental en cybersécurité d'entreprise. Le navigateur web est devenu l'élément principal du fonctionnement organisationnel, détrônant le desktop traditionnel. Cette évolution nécessite désormais de détecter et d'intervenir sur les navigateurs comme s'il s'agissait d'endpoints à part entière. Le navigateur, nouvelle cible privilégiée Depuis quelques années, les navigateurs web sont devenus une cible de choix pour les cyberattaquants. Cette concentration des attaques s'explique par plusieurs facteurs. La majorité des activités professionnelles transitent maintenant par le navigateur, que ce soit pour les emails, la suite bureautique ou les services en ligne. Cette migration s'est accélérée au cours des dix dernières années avec l'abandon progressif des clients lourds au profit d'applications web, popularisées notamment par Google avec sa suite bureautique entièrement en ligne. Microsoft suit également cette tendance avec la migration de sa propre suite vers le web. Les attaquants exploitent ce vecteur d'attaque pour diffuser des malwares via des sites piégés, mener des campagnes de phishing particulièrement efficaces, et exploiter les vulnérabilités des navigateurs ou des extensions malveillantes. Les navigateurs modernes sont devenus des environnements riches qui stockent des informations sensibles, des mots de passe, des données en cache et même des bases de données locales, constituant ainsi un tremplin très important pour les acteurs malveillants. Les vulnérabilités critiques Jordan illustre la gravité de ces menaces avec des exemples concrets de vulnérabilités récentes. En 2023, des failles critiques dans la librairie libwebp ont été notées 8.8 sur l'échelle CVSS V3, affectant tous les navigateurs basés sur Chromium, notamment Chrome, Edge et Brave, ainsi que parfois Firefox. Ces vulnérabilités exploitent souvent des techniques classiques comme le buffer overflow ou la corruption de stack. L'exemple le plus frappant concerne une faille permettant l'exécution de code arbitraire simplement par le chargement d'une image webp mal formée dans une page HTML. L'utilisateur n'a qu'à visiter une page contenant l'image malveillante pour que son navigateur vulnérable soit compromis, avec un minimum d'interaction. Cette simplicité d'exploitation est particulièrement préoccupante car ces images peuvent être hébergées sur des plateformes légitimes comme OneDrive, Dropbox ou Google Drive, contournant ainsi les filtres de proxy traditionnels qui autorisent généralement ces services d'entreprise. Les défis du déploiement en entreprise Dans les grandes organisations, comme l'exemple donné d'une entreprise du CAC 40 comptant 17 000 employés en France et 130 000 dans le monde, la mise à jour des navigateurs n'est pas aussi simple qu'il y paraît. Le taux de convergence du déploiement peut être considérablement long, particulièrement avec la généralisation du télétravail. Cette fenêtre d'exposition prolongée nécessite des solutions alternatives pour pallier le délai d'application des correctifs. Les solutions de sécurité Face à ces menaces, trois couches de défense principales ont émergé. Les EDR (Endpoint Detection and Response) jouent toujours un rôle crucial en suivant les activités côté poste client et en détectant les comportements suspects. Par exemple, CrowdStrike a récemment ajouté des capacités dédiées pour inventorier les extensions Chrome et Edge, vérifier leurs niveaux de permission et identifier les sources douteuses. Un EDR bien configuré peut détecter des comportements anormaux comme Chrome déclenchant une commande exécutable. Cependant, les EDR sont de plus en plus facilement contournés par des techniques avancées qui patchent les mécanismes de détection. Une nouvelle couche de défense s'est donc développée directement au sein des navigateurs avec les extensions de sécurité. Ces modules additionnels peuvent bloquer activement les contenus malveillants et surveiller les actions utilisateur. On trouve des solutions open source comme Privacy Badger ou NoScript, ainsi que des produits commerciaux comme Capsule Security et Square X offrant de l'isolement à distance. Ces extensions assurent plusieurs fonctions essentielles. Elles filtrent les URL en bloquant l'accès aux pages exploitant des CVE ou hébergeant des malwares. Elles analysent le contenu avant téléchargement en scannant les fichiers HTML, JavaScript et images avant leur exécution complète. Elles bloquent les scripts inconnus, réduisant la surface d'exploitation, et protègent contre les publicités malveillantes, l'injection de code via iframes et le fingerprinting. Elles intègrent également des fonctionnalités DLP pour éviter l'upload de fichiers corporates sur internet, notamment vers des services comme ChatGPT où les employés peuvent involontairement partager des informations sensibles. L'extension développée par Glims, par exemple, vérifie tout contenu téléchargé pour détecter les malwares et contrôle les données uploadées pour prévenir les fuites d'information, incluant le copier-coller vers des sites externes. Ces extensions envoient des signaux au SOC (Security Operations Center) pour une meilleure visibilité et permettent d'intervenir rapidement si nécessaire. Les navigateurs sécurisés Au-delà des extensions, des navigateurs pensés pour la sécurité ont émergé. Brave, lancé il y a six ans, force l'accès HTTPS, filtre le phishing et bloque contenus indésirables, publicités et trackers. Des solutions comme Island et Talon proposent des navigateurs basés sur Chromium avec des contrôles de sécurité et DLP intégrés, bloquant par exemple les impressions d'écran et le copier-coller sur certains sites. Limites et complémentarité Les extensions ne peuvent pas tout faire. Elles ne voient pas ce qui se passe en mémoire et ne détectent pas les exploits de type use-after-free ou corruption mémoire. Elles peuvent être désactivées via JavaScript par click-jacking et ne protègent pas l'OS. D'où l'importance d'une approche complémentaire combinant EDR et extensions de navigateur. Bonnes pratiques en entreprise Pour renforcer la sécurité, les organisations doivent forcer une liste blanche d'extensions via GPO, installer des extensions de sécurité managées pour remonter les informations au SOC, utiliser un bon EDR pour surveiller toutes les extensions, et corréler les logs du navigateur avec ceux des endpoints lors des investigations. Le navigateur doit être considéré comme un petit poste à l'intérieur du grand poste pour tracer efficacement les actions malveillantes. Cette approche représente une nouvelle réalité de la cybersécurité où les attaquants s'adaptent constamment, nécessitant une évolution parallèle des défenses. Collaborateurs Nicolas-Loïc Fortin Jordan Theodore Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x644! Préambule Ce n'est pas CMMI… mais CMMC!?! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction Ce podcast de la série PME réunit Nicholas, Cyndie et Dominique pour aborder un enjeu crucial auquel font face les petites et moyennes entreprises : les certifications de sécurité. La discussion explore comment les PME doivent réagir lorsqu'un client majeur leur demande si elles possèdent une certification spécifique, une situation qui peut rapidement devenir problématique si l'entreprise n'y est pas préparée. L'évolution des certifications : d'un avantage à une obligation Les certifications de sécurité les plus courantes incluent l'ISO 27001, le SOC de type 2, et pour le secteur de la santé au Québec, la certification TGV. Historiquement, ces certifications étaient réservées aux grandes entreprises et représentaient un avantage concurrentiel permettant de se distinguer et de garantir un certain niveau de sécurité aux clients. Cependant, la réalité a considérablement changé. Aujourd'hui, ces certifications ne sont plus un simple atout commercial, mais bien une obligation pour maintenir des relations d'affaires avec les grandes compagnies. Les entreprises qui ne possèdent pas la certification requise risquent de perdre des clients existants, une situation nettement plus dommageable que de ne pas en acquérir de nouveaux. Le rôle des certifications et l'alternative des questionnaires Les certifications font appel à un tiers de confiance qui garantit que l'entreprise respecte certaines normes de sécurité. Comme l'explique Dominique, il s'agit de déléguer à un organisme externe la vérification de la sécurité, généralement des comptables, bien qu'il existe également un processus d'audit interne à l'entreprise. Le choix du cadre normatif doit être stratégique : l'ISO convient mieux au marché européen, tandis que le SOC 2 est privilégié pour les affaires aux États-Unis. L'une des principales raisons pour lesquelles les entreprises recherchent ces certifications est d'éviter de répondre à d'innombrables questionnaires de sécurité. Bien que le Cloud Security Alliance ait développé le Consensus Assessment Initiative Questionary pour standardiser ces évaluations, cette initiative demeure peu connue. En l'absence de certification, les entreprises doivent répondre à des questionnaires exhaustifs de 100 à 150 questions, une expérience que les participants qualifient de « violente ». Face à ces questionnaires, les répondants se divisent en deux catégories : ceux qui embellissent la vérité et ceux qui mentent. Cette situation découle du fait qu'avouer ne pas avoir certaines mesures en place pourrait entraîner la rupture d'un contrat, transformant ainsi un enjeu de sécurité en enjeu purement commercial. Le problème s'aggrave lorsque le même questionnaire est envoyé à toutes les entreprises, qu'elles comptent trois ou deux mille employés. De plus, les personnes qui envoient et évaluent ces questionnaires ne sont pas toujours des experts en sécurité, ce qui signifie qu'une réponse négative sera simplement enregistrée comme telle, même si l'entreprise a mis en place des mesures alternatives tout aussi efficaces. L'importance cruciale du périmètre Un aspect fondamental abordé dans le podcast concerne la définition du périmètre de certification. Contrairement à ce que l'on pourrait croire, même les grandes organisations ne certifient pas l'ensemble de leur structure. Elles fragmentent leurs environnements et ne certifient que les lignes d'affaires qui en ont réellement besoin. Pour les PME, la stratégie recommandée consiste à choisir le plus petit périmètre conforme qui répond aux exigences du client final. Il faut absolument éviter la mentalité du « tant qu'à y être » qui augmente inutilement le périmètre et les coûts associés. Les certifications touchent l'ensemble de l'organisation : les personnes, les lieux physiques, la technologie, la sécurité physique, la sécurité humaine et la conformité légale. Il ne s'agit pas simplement d'une question informatique. L'ISO 27001, par exemple, repose sur le pilotage de la sécurité par la gestion des risques business, tandis que le SOC 2 garantit que l'entreprise respectera ce qui est marqué dans les contrats clients grâce aux contrôles mis en place. Conformité versus sécurité : une distinction essentielle Un point crucial soulevé par les experts est que conformité et sécurité ne sont pas synonymes. Une entreprise peut être conforme sans être véritablement sécurisée. Par exemple, avoir réalisé un test d'intrusion sans corriger aucune vulnérabilité identifiée ne rend pas l'entreprise conforme, mais ne l'a pas rendue plus sécuritaire non plus. Cette distinction frustre souvent les professionnels de la cybersécurité, car des mesures de sécurité efficaces peuvent ne pas être reconnues du point de vue de la conformité, tandis que certaines exigences de conformité peuvent être inefficaces d'un point de vue sécuritaire. L'exemple de PCI illustre bien cette problématique, avec des exigences qui sont restées longtemps inefficaces avant d'évoluer. L'amélioration continue comme philosophie Les cadres de certification reposent sur le principe d'amélioration continue plutôt que sur la perfection immédiate. Ils n'exigent pas que l'entreprise soit parfaite le jour de la certification, mais qu'elle ait mis en place un système de contrôle permettant l'amélioration continue. Ces certifications engagent le management et la direction à maintenir cette démarche d'amélioration, ce qui constitue un principe philosophique bénéfique à long terme. Cependant, l'entreprise doit être réellement prête à s'engager dans cette démarche, car il ne s'agit pas simplement d'un argument commercial ou d'un logo attrayant à afficher. Conseils pratiques pour les PME Pour les PME qui démarrent ce processus, il est recommandé d'adopter ou de s'inspirer d'un cadre normatif pour faire les premiers essais à leur propre rythme, avant qu'un client ne les pousse à le faire dans l'urgence. Cela permet de mettre en place les revues et contrôles nécessaires sans dépenser des sommes faramineuses. Les participants encouragent les entrepreneurs à poser des questions à leur réseau professionnel, car ceux qui ont vécu l'expérience de la certification, bien que souvent « traumatisante », seront heureux de partager leurs apprentissages. L'important n'est pas d'être parfait, mais de démontrer un engagement sincère envers la sécurité, d'être proactif, de poser les bonnes questions et d'établir des échéanciers réalistes. Être en mouvement et éviter la fossilisation constituent la clé du succès dans cette démarche. Collaborateurs Nicolas-Loïc Fortin Cyndie Feltz Nicholas Milot Dominique Derrier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x643! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CFP Notes Vidéos DEF CON 33 Videos NothSec 2025 SéQCure 2025 IA Google DeepMind minds the patch with AI flaw-fixing scheme SAIF Map v2 Agentic Google won't fix new ASCII smuggling attack in Gemini Google declares AI bug hunting season open, sets a $30K max reward Severe Framelink Figma MCP Vulnerability Lets Hackers Execute Code Remotely Deepfake Awareness High at Orgs, But Cyber Defenses Badly Lag Rethinking AI Data Security: A Buyer's Guide for CISOs Employees regularly paste company secrets into ChatGPT 1Password Addresses Critical AI Browser Agent Security Gap Offensif Supply Chain Attacks Are Spreading: NPM, PyPI, and Docker Hub All Hit in 2025 Nearly a third of bosses report increase in cyber-attacks on their supply chains Security leaders at Okta and Zscaler share lessons from Salesloft Drift attacks Hackers Exploit Zimbra Vulnerability as 0-Day with Weaponized iCalendar Files How Windows Command-line Utility PsExec Can Be Abused To Execute Malicious Code Thieves steal IDs and payment info after data leaks from Discord support vendor Scattered Lapsus$ Hunters offering $10 in Bitcoin to ‘endlessly harass' execs Redis warns of critical flaw impacting thousands of instances Oracle zero-day defect amplifies panic over Clop's data theft attack spree Hackers Attacking Remote Desktop Protocol Services from 100,000+ IP Addresses North Korean hackers stole over $2 billion in crypto this year Russia is at ‘hybrid war' with Europe, warns EU chief, calling for members ‘to take it very seriously' Poland says cyberattacks on critical infrastructure rising, blames Russia 3 more infamous cybercrime crews team up to ‘maximize income' in ‘challenging' ransomware biz Threat actors steal firewall configs, impacting all Sonicwall cloud backup users Hackers now use Velociraptor DFIR tool in ransomware attacks Polymorphic Python Malware Legalize L'Allemagne dit non à Chat Control - Une victoire pour la vie privée en Europe ! Internet Archive Ordered to Block Books in Belgium After Talks With Publishers Fail Défensif 5 Immediate Steps to be Followed After Clicking on a Malicious Link Wazuh and MISP integration Researchers Reversed Asgard Malware Protector to Uncover it's Antivirus Bypass Techniques ClamAV 1.5.0 Released with New MS Office and PDF Verification Features Apple now offers $2 million for zero-click RCE vulnerabilities Insolite Un incendie et pas de backup - La Corée du Sud perd 858 To de données gouvernementales Apple turned the CrowdStrike BSOD issue into an anti-PC ad Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x642! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Dans cet épisode du podcast Sécurité technique, l'animateur reçoit Charles F. Hamilton pour discuter des tendances en cybersécurité à surveiller pour la fin de l'année 2025. La discussion s'amorce sur une réalité préoccupante : l'automne marque une période de forte activité tant pour les équipes légitimes que pour les cybercriminels, avec une hausse notable des incidents de sécurité nécessitant des réponses d'urgence. La complexité d'Azure : un terrain propice aux vulnérabilités Un des points majeurs abordés concerne la plateforme Azure de Microsoft. Une vulnérabilité récemment publiée permet de prendre le rôle Global Admin sur tous les tenants Azure, illustrant parfaitement les dangers liés à la complexité excessive de cet écosystème. Cette faille, découverte par manipulation de jetons de service, rappelle les problèmes similaires rencontrés avec Active Directory Certificate Services il y a quelques années. La complexité d'Azure réside dans ses multiples méthodes d'authentification, ses contextes variés et ses centaines d'applications déployées par défaut dans chaque tenant. Les organisations ajoutent souvent leurs propres applications avec des permissions mal configurées, créant involontairement des chemins d'accès privilégiés. Le problème s'aggrave car il n'existe pas d'outils officiels de Microsoft pour auditer ces configurations, forçant les équipes de sécurité à se fier à des scripts PowerShell disparates ou à des outils développés par la communauté. Le faux sentiment de sécurité Un exemple frappant illustre le décalage entre la perception et la réalité de la sécurité : lors d'un test red team, un client disposait d'une infrastructure de sécurité impressionnante incluant filtrage réseau, EDR, NDR et autres solutions avancées. Paradoxalement, l'outil d'accès à distance légitime a été bloqué, nécessitant trois jours pour configurer des exceptions. En revanche, le payload malveillant a passé sans problème, sans générer aucune alerte. Cette situation démontre que ces outils créent souvent plus de complexité pour les équipes IT légitimes qu'ils ne protègent réellement contre les menaces sophistiquées. Le fossé entre red team et blue team La discussion révèle un écart de compétences préoccupant entre les équipes offensives et défensives. Les red teamers investissent constamment dans l'apprentissage de nouvelles techniques, tandis que les équipes défensives ont tendance à s'appuyer aveuglément sur l'intelligence artificielle de leurs outils de sécurité. Le threat hunting, pourtant essentiel, demeure rare au Québec et au Canada, malgré la disponibilité des données nécessaires dans les solutions EDR et NDR. Un test révélateur : demander à des professionnels d'expliquer le fonctionnement de SecretDump, un outil largement utilisé. Très peu peuvent fournir une réponse complète sur ses mécanismes internes et les artefacts qu'il laisse. Cette lacune empêche les red teamers d'expliquer efficacement aux équipes bleues comment détecter leurs actions. La sophistication des attaquants : un mythe à déconstruire Contrairement à la perception populaire, la majorité des attaquants ne sont pas particulièrement sophistiqués. Ils suivent des playbooks répétitifs et comptent sur le volume pour réussir. Les intervenants ont observé des cas où des attaquants ont obtenu des accès privilégiés, puis ont immédiatement alerté leurs victimes par des actions bruyantes comme tenter de rendre publics tous les dépôts GitHub d'une entreprise. Paradoxalement, les red teamers modernes développent des techniques si avancées qu'ils représentent désormais un niveau de sophistication comparable aux groupes parrainés par des États-nations, un scénario irréaliste pour la plupart des petites et moyennes entreprises québécoises. Cette situation crée un décalage : on teste la capacité à détecter des attaques extrêmement sophistiquées alors que les vraies menaces utilisent des méthodes beaucoup plus basiques. Les tendances à surveiller pour l'automne 2025 Plusieurs éléments méritent une attention particulière pour la fin de l'année : Les vulnérabilités sur les équipements périmétriques : Les solutions VPN de Cisco, SonicWall et Fortinet ont toutes été touchées récemment. Les délais d'exploitation se comptent maintenant en heures après la publication d'une vulnérabilité, amplifiés par la publication immédiate de preuves de concept sur les réseaux sociaux. L'audit des tenants Azure et Google Enterprise : Les vecteurs d'attaque identifiés sur Azure s'appliquent également aux environnements Google Enterprise. Les organisations doivent absolument auditer leurs applications, leurs permissions et leurs configurations. Les employés infiltrés : Une tendance émergente concerne l'embauche de développeurs travaillant pour des pays politiquement non neutres, qui obtiennent un accès au code source dans le but apparent de voler la propriété intellectuelle. Les vulnérabilités GitHub Actions : Les fuites de clés API continuent de poser problème, avec des délais d'exploitation extrêmement rapides. Le problème de la publication des preuves de concept La course à la visibilité pousse certains chercheurs en sécurité à publier immédiatement des preuves de concept complètes, parfois dans l'heure suivant la découverte d'une vulnérabilité. Cette pratique, combinée à l'intelligence artificielle capable de générer du code fonctionnel à partir de bulletins de sécurité, met les organisations en danger avant qu'elles n'aient le temps d'appliquer les correctifs. Un retour aux pratiques de divulgation responsable avec un délai minimum de 80 jours serait bénéfique. Conclusion : l'importance de l'éducation Le podcast se termine sur l'importance cruciale de l'éducation en cybersécurité. Plutôt que de se focaliser uniquement sur l'utilisation d'outils, les professionnels doivent comprendre les fondements : comment fonctionne Windows, comment un programme s'exécute, comment créer ses propres exploits. La simplicité est souvent plus efficace que la complexité. Les solutions les plus durables reposent sur une compréhension approfondie des systèmes plutôt que sur l'accumulation d'outils sophistiqués dont personne ne maîtrise vraiment le fonctionnement. Collaborateurs Nicolas-Loïc Fortin Charles F. Hamilton Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x641! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Dans cet épisode, trois experts en cybersécurité partagent leur expérience pour démystifier l'idée reçue selon laquelle la sécurité informatique serait financièrement hors de portée pour les petites et moyennes entreprises. Nicholas Milot, cofondateur de Yack et spécialiste des tests d'intrusion, Cyndie Feltz, également cofondatrice de Yack avec une expertise en gestion exécutive, et Dominique Derrier, RSSI chez Neotrust, apportent un éclairage pragmatique sur cette question cruciale. Le mythe du coût prohibitif L'un des principaux obstacles psychologiques pour les PME est la perception que la cybersécurité nécessite des budgets comparables à ceux des grandes entreprises comme Desjardins. Cette croyance est renforcée par l'abondance de solutions coûteuses sur le marché, souvent assorties de minimums d'utilisateurs qui peuvent rapidement faire grimper la facture à des centaines de milliers de dollars. Face à ces chiffres, de nombreuses PME concluent que la sécurité n'est tout simplement pas à leur portée et abandonnent l'idée d'investir dans ce domaine. Pourtant, cette vision est fondamentalement erronée. Comme le souligne Cyndie Feltz à travers une analogie pertinente avec la santé, la cybersécurité s'apparente davantage à une bonne hygiène de vie qu'à un traitement de luxe. Certes, on peut dépenser des sommes importantes pour des coachs sportifs personnalisés et des programmes d'entraînement sophistiqués, mais les bases d'une bonne santé reposent simplement sur une alimentation équilibrée, une paire de chaussures de course et de la régularité. La cybersécurité fonctionne selon le même principe : il s'agit d'adopter de bonnes pratiques quotidiennes plutôt que d'accumuler des solutions technologiques onéreuses. Le piège du “buffet de cybersécurité” Le marché propose environ 300 types de produits différents en matière de sécurité informatique. Face à ce buffet gargantuesque où tout semble briller et attirer l'attention, il est facile pour une PME de se sentir dépassée et de faire des choix inadaptés à ses besoins réels. Le problème ne réside pas uniquement dans le coût d'acquisition de ces solutions, mais aussi dans les ressources nécessaires pour les administrer correctement. Les experts constatent régulièrement que les PME acquièrent des outils sophistiqués qu'elles n'ont ni le temps ni les compétences d'utiliser efficacement. Une solution non configurée ou mal administrée n'apporte aucune valeur, quelle que soit sa qualité intrinsèque. De plus, les vendeurs, naturellement motivés par leurs objectifs commerciaux, peuvent convaincre les entreprises d'acheter des produits performants mais inadaptés à leur contexte spécifique. Nicolas Milot observe dans ses tests d'intrusion que les entreprises compromises disposent souvent de solutions de sécurité en place, mais que celles-ci ne sont pas correctement exploitées. Le manque de temps pour se “mettre les mains dedans” et maintenir ces outils à jour rend les investissements initiaux largement inefficaces. Les fondamentaux accessibles Avant même de considérer l'achat de nouvelles solutions, les PME peuvent mettre en place des mesures de base à faible coût. Dominique Derrier suggère de commencer simplement par des politiques internes et des mémos, même si leur efficacité reste limitée. L'important est de ne pas se cacher derrière l'excuse du coût pour ne rien faire du tout. Une approche progressive, étape par étape, permet d'avancer sans dépenses excessives. Les experts s'accordent sur quatre piliers fondamentaux que toute PME devrait prioriser : L'authentification multifacteur (MFA) : Protéger l'identification des utilisateurs avec des mots de passe robustes et le MFA représente un investissement minimal avec un impact sécuritaire maximal. Ces outils sont souvent déjà disponibles dans les licences Microsoft ou Google que les entreprises possèdent. Les mises à jour régulières : Nicolas souligne avec humour qu'il profite justement des entreprises négligentes en matière de mises à jour pour démontrer la facilité avec laquelle on peut compromettre leurs systèmes. Maintenir ses logiciels à jour ne coûte rien, mais sauve beaucoup de problèmes. Les antivirus et solutions de détection (EDR/XDR) : Même Windows Defender, bien que pas optimal, vaut mieux que rien et est souvent déjà inclus dans les licences existantes. L'essentiel est de le configurer correctement et de surveiller les alertes. Les sauvegardes (backups) : Point crucial soulevé par tous les intervenants, les backups devraient relever de l'opérationnel TI plutôt que de la sécurité. Ils doivent être correctement configurés, testés régulièrement, et surtout ne jamais être joints au domaine Active Directory, une erreur courante aux conséquences désastreuses. Les pièges à éviter Les experts mettent en garde contre plusieurs écueils. L'utilisation de l'intelligence artificielle comme argument de vente pour les PME constitue un signal d'alarme : ces entreprises n'ont pas besoin de ce type de fonctionnalités sophistiquées, même si certaines formes d'analyse comportementale existent depuis longtemps dans les outils de sécurité sous d'autres appellations. Un bon conseiller ne cherchera pas à vendre de nouvelles solutions, mais plutôt à optimiser l'existant. La configuration correcte de Microsoft ou Google, dont les paramètres par défaut laissent souvent à désirer, peut transformer radicalement la posture de sécurité sans investissement supplémentaire. Conclusion Le message est clair : mieux vaut faire peu de choses mais les faire bien, plutôt que de multiplier les outils partiellement déployés. La question fondamentale pour chaque PME devrait être : “Que se passerait-il si nous perdions toutes nos données ?” Cette réflexion sur ce qui est véritablement précieux permet d'orienter les investissements de manière pragmatique. La cybersécurité n'est pas une question de budget illimité, mais de choix judicieux et d'utilisation optimale des ressources disponibles. Collaborateurs Nicolas-Loïc Fortin Cyndie Feltz Nicholas Milot Dominique Derrier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x640! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction et parcours professionnel Mathieu Saulnier, connu sous le pseudonyme “Scooby” dans la communauté de cybersécurité, possède une vingtaine d'années d'expérience dans le domaine. Son parcours l'a mené d'un grand fournisseur internet et de télécommunications vers la gestion d'un SOC (Security Operations Center), puis vers des rôles de recherche sur les menaces pour des vendeurs de SIEM et d'EDR. Aujourd'hui, il occupe le poste de product manager pour BloodHound Community Edition chez SpecterOps, une position qu'il a obtenue grâce à ses nombreuses présentations sur BloodHound au fil des années. BloodHound version 8 et la révolution OpenGraph La version 8 de BloodHound représente une évolution majeure de l'outil. La fonctionnalité phare est OpenGraph, qui permet d'ingérer n'importe quel type de données dans le graphe et de créer ses propres chemins d'attaque pour différentes technologies. Historiquement, BloodHound se concentrait exclusivement sur Active Directory et Azure/Entra ID, mais cette limitation appartient désormais au passé. Avec le lancement d'OpenGraph, SpecterOps a publié plusieurs nouveaux collecteurs pour diverses technologies : One Password, Snowflake, et Jamf (pour la gestion des postes de travail Mac). La communauté a réagi avec enthousiasme, puisqu'en seulement 48 heures après l'annonce, un contributeur externe a créé un collecteur pour Ansible. Plus récemment, un collecteur pour VMware vCenter et ESXi a également vu le jour, démontrant l'adoption rapide de cette nouvelle capacité. La distinction fondamentale : access path versus attack path Mathieu utilise une analogie éclairante avec Google Maps pour expliquer la différence entre un chemin d'accès et un chemin d'attaque. Google Maps montre les chemins autorisés selon différents modes de transport (voiture, vélo, transport en commun), chacun ayant ses propres règles et restrictions. C'est l'équivalent d'un graphe d'accès qui indique où on a le droit d'aller. Un chemin d'attaque, en revanche, représente la perspective d'un adversaire qui ne se préoccupe pas des règlements. L'exemple donné est celui d'une voiture roulant sur une piste cyclable à Montréal : c'est interdit, on sait qu'on risque une contravention, mais c'est techniquement possible. Dans le monde numérique, les conséquences sont souvent moins immédiates et moins visibles, ce qui explique pourquoi les attaquants exploitent régulièrement ces chemins non conventionnels. L'évolution du modèle de données BloodHound a commencé modestement avec seulement trois types d'objets (utilisateurs, groupes et ordinateurs) et trois types de relations (member of, admin et session). Depuis, le modèle s'est considérablement enrichi grâce aux recherches menées par SpecterOps et d'autres organisations. Des propriétés comme le Kerberoasting ont été ajoutées, permettant d'identifier les objets vulnérables à ce type d'attaque et d'élever ses privilèges. La vraie puissance d'OpenGraph réside dans la capacité de relier différents systèmes entre eux. Par exemple, si un attaquant compromet le poste d'un utilisateur ayant accès à un dépôt GitHub, il peut voler les tokens et sessions pour effectuer des commits au nom de cet utilisateur, potentiellement dans une bibliothèque largement utilisée, ouvrant ainsi la voie à une attaque de la chaîne d'approvisionnement (supply chain attack). Cette interconnexion multi-dimensionnelle des systèmes était difficile à visualiser mentalement, mais le graphe la rend évidente. Créer des collecteurs OpenGraph : exigences et bonnes pratiques Pour qu'un collecteur soit accepté dans la liste officielle des projets communautaires, certains standards doivent être respectés. Il faut créer le connecteur avec une documentation détaillant les permissions minimales nécessaires (principe du moindre privilège), expliquer son fonctionnement, les systèmes d'exploitation supportés, et les dépendances requises. La documentation devrait également inclure des références sur comment exploiter ou défendre contre les vulnérabilités identifiées. Bien que non obligatoires, des éléments visuels personnalisés (icônes et couleurs) sont fortement recommandés pour assurer une cohérence visuelle dans la communauté. Le projet étant open source, les utilisateurs peuvent toujours modifier ces éléments selon leurs préférences. Un aspect crucial est la fourniture de requêtes Cypher pré-construites. Sans ces requêtes, un utilisateur qui ne connaît pas Cypher pourrait importer toutes les données mais se retrouver bloqué pour les exploiter efficacement. Le langage Cypher et l'accès aux données BloodHound fonctionne sur une base de données graphique, historiquement Neo4j, mais maintenant également PostgreSQL grâce à un module de conversion. Le langage de requête utilisé est Cypher, qui possède une syntaxe particulière. Pour rendre l'outil plus accessible, SpecterOps maintient une bibliothèque Cypher contenant de nombreuses requêtes créées par l'équipe et la communauté. Ces requêtes peuvent être exécutées directement depuis le portail BloodHound. L'entreprise explore également l'utilisation de LLM (Large Language Models) pour générer des requêtes Cypher automatiquement, bien que le corpus public de données spécifiques à BloodHound soit encore limité. Les pistes futures incluent l'utilisation de MCP (Model Context Protocol) et d'approches agentiques pour améliorer la génération de requêtes. Usage défensif et offensif : deux faces d'une même médaille Mathieu souligne que les mêmes requêtes Cypher peuvent servir tant aux équipes bleues (défensives) qu'aux équipes rouges (offensives). La différence réside dans l'intention et l'utilisation des résultats, pas dans les outils eux-mêmes. C'est l'équivalent du marteau qui peut construire ou détruire selon l'utilisateur. Pour l'usage défensif, BloodHound Enterprise offre des fonctionnalités avancées comme le scan quasi-continu, l'identification automatique des points de contrôle critiques (choke points), et des outils de remédiation. Même la version communautaire gratuite permet de découvrir des vulnérabilités majeures lors de la première exécution. Exemples concrets et cas d'usage Mathieu partage des exemples frappants de découvertes faites avec BloodHound. Dans une entreprise de plus de 60 000 employés, il a identifié un serveur où tous les utilisateurs du domaine (domain users) avaient été accidentellement configurés comme administrateurs locaux. Comme un compte administrateur de domaine se connectait régulièrement à ce serveur, n'importe quel utilisateur pouvait devenir administrateur du domaine en seulement trois étapes : RDP vers le serveur, dump de la mémoire pour récupérer le token, puis attaque pass-the-hash. Un autre cas récent impliquait le script de login d'un administrateur de domaine stocké dans un répertoire accessible en écriture à tous. En y plaçant un simple script affichant un popup, l'équipe de sécurité a rapidement reçu une notification prouvant la vulnérabilité. Nouvelles fonctionnalités : la vue tableau Bien que moins spectaculaire qu'OpenGraph, la fonctionnalité “table view” répond à un besoin important. La célèbre citation de John Lambert de Microsoft (2015) dit : “Les attaquants pensent en graphe, les défenseurs pensent en liste. Tant que ce sera vrai, les attaquants gagneront.” Bien que la visualisation graphique soit le paradigme central de BloodHound, certaines analyses nécessitent une vue tabulaire. Par exemple, une requête identifiant tous les comptes Kerberoastables retourne de nombreux points à l'écran, mais sans informations détaillées sur les privilèges ou l'appartenance aux groupes. La vue tableau permet de choisir les colonnes à afficher et d'exporter les données en JSON (et bientôt en CSV), facilitant l'analyse et le partage d'informations. Deathcon Montréal : la conférence pour les défenseurs En complément à son travail sur BloodHound, Mathieu est le site leader de Montréal pour Deathcon (Detection Engineering and Threat Hunting Conference). Cette conférence unique, entièrement axée sur les ateliers pratiques (hands-on), se déroule sur deux jours en novembre. Contrairement aux conférences traditionnelles, tous les ateliers sont pré-enregistrés, permettant aux participants de travailler à leur rythme. L'événement se limite volontairement à 50 personnes maximum pour maintenir une atmosphère humaine et favoriser les interactions. Les participants ont accès à un laboratoire massif incluant Splunk, Elastic, Sentinel et Security Onion, et conservent cet accès pendant au moins un mois après l'événement. Sans sponsors, la conférence est entièrement financée par les billets, et l'édition 2024 a déjà vendu plus de 30 places, avec de nombreux participants de l'année précédente qui reviennent. Conclusion BloodHound avec OpenGraph représente une évolution majeure dans la visualisation et l'analyse des chemins d'attaque en cybersécurité. En permettant l'intégration de multiples technologies au-delà d'Active Directory, l'outil offre désormais une vision holistique des vulnérabilités organisationnelles. Que ce soit pour la défense ou les tests d'intrusion, BloodHound continue de démontrer que penser en graphe plutôt qu'en liste constitue un avantage stratégique décisif en matière de sécurité. Collaborateurs Nicolas-Loïc Fortin Mathieu Saulnier Crédits Montage par Intrasecure inc Locaux réels par Bsides Montréal

Parce que… c'est l'épisode 0x639! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CFP Notes Vulnérabilités Apple Font Parser Vulnerability Enables Malicious Fonts to Corrupt Process Memory Critical Western Digital My Cloud NAS Vulnerability Allows Remote Code Execution VMware Tools and Aria Operations Vulnerabilities Let Attackers Escalate Privileges to Root China Exploited New VMware Bug for Nearly a Year PoC exploit Released for VMware Workstation guest-to-host escape Vulnerability Tesla's Telematics Control Unit Vulnerability Let Attackers Gain Code Execution as Root Threat Actors Allegedly Listed Veeam RCE Exploit for Sale on Dark Web CISA Warns of Linux Sudo Vulnerability Actively Exploited in Attacks Warnings about Cisco vulns under active exploit are falling on deaf ears OpenSSL Patches Three Flaws: Timing Side-Channel RCE Risk and Memory Corruption Affect All Versions OneLogin Bug Let Attackers Use API Keys to Steal OIDC Secrets and Impersonate Apps Multiple Splunk Enterprise Vulnerabilities Let Attackers Execute Unauthorized JavaScript code Windows 10 refuses to go gentle into that good night Undead Operating Systems Haunt Enterprise Security Networks Privacy WestJet data breach exposes travel details of 1.2 million customers ICE to Buy Tool that Tracks Locations of Hundreds of Millions of Phones Every Day Amazon's Ring plans to scan everyone's face at the door Privacy Harm Is Harm Données volées à Desjardins: les dossiers de 50 000 Québécois refont surface sur le «dark web» UK once again demands backdoor to Apple's encrypted cloud storage For a future with privacy, not mass surveillance, Germany must stand firmly against client-side canning in the Chat Control proposal Millions impacted by data breaches at insurance giant, auto dealership software firm Signal Protocol and Post-Quantum Ratchets Microsoft's Voice Clone Becomes Scary & Unsalvageable Discord Data Breach – Customers Personal Data and Scanned Photo IDs leaked Win Guide cybersécurité des systèmes industriels Anthropic touts safety, security improvements in Claude Sonnet 4.5 New Google Drive Desktop Feature adds AI-powered Ransomware Detection to Prevent Cyberattacks MISP 2.5.22 Released with improvements and bugs fixes Microsoft to Launch New Secure Default Settings for Exchange and Teams APIs Microsoft Outlook stops displaying inline SVG images used in attacks Gmail business users can now send encrypted emails to anyone Divers ‘Trifecta' of Google Gemini Flaws Turn AI Into Attack Vehicle Un groupe de cybercriminels tente de corrompre un journaliste de la BBC New China APT Strikes With Precision and Persistence North Korea IT worker scheme expanding to more industries, countries outside of US tech sector Beware! Threat Actors Distributing Malicious AI Tools as Chrome Extensions Hackers Hijack Industrial Cellular Routers to Launch Widespread Smishing Campaigns Across Europe US gov shutdown leaves IT projects hanging, security defenders a skeleton crew Two-thirds of CISA personnel could be sent home under shutdown EU consistently targeted by diverse yet convergent threat groups Austria's Armed Forces Gets Rid of Microsoft Office (Mostly) for LibreOffice Token Trouble: How Leaked JWTs Let Me Become Everyone on the Internet Insolites One the craziest elements about cybersecurity is you have half the industry sat worrying about cyberwar!1! and going on about quantum and AI, then you have you have the operational reality of what is actually happening on the ground - it bares no resemblance, at all, to what people are focused on. Pentagon decrees warfighters don't need ‘frequent' cybersecurity training Beer Brewing Giant Asahi Halts Production Following Cyberattack FreeIPA - CVE-2025-7493 - Privilege Escalation from host to domain admin Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x638! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction Dans cet épisode spécial du podcast, l'hôte et Davy Adam explorent le vaste sujet de la responsabilité de l'intelligence artificielle, un domaine largement débattu dans l'espace public mais souvent mal compris. Face à la demande croissante des clients et à l'omniprésence de ces technologies, ils constatent la nécessité d'examiner comment utiliser l'IA correctement, ses limites, et surtout comment éviter les pièges courants. Comprendre l'IA et l'IA générative Beaucoup de clients confondent l'IA générale et l'IA générative. L'IA englobe toute application reproduisant une activité humaine codée pour accomplir des tâches spécifiques, comme les jeux d'échecs électroniques des années 90. L'IA générative, quant à elle, constitue un sous-segment du machine learning et du deep learning. Elle s'appuie sur des services pré-entraînés massivement sur des tâches comme la génération de texte, d'images, de sons, de vidéos ou de code, ainsi que sur des systèmes de questions-réponses et de chatbots. Ces outils génératifs attirent les entreprises par leur capacité à systématiser des tâches répétitives sur de grands volumes avec un certain niveau de personnalisation. Cependant, contrairement à ce que beaucoup pensent, ces technologies ne sont pas neutres et leur intégration ne se résume pas à installer un simple plugin. Les risques et limites fondamentaux Les hallucinations et la nature statistique L'un des défis majeurs de l'IA générative réside dans sa nature fondamentalement statistique. Contrairement à Google qui indexe du contenu factuel, l'IA générative ne comprend pas réellement les questions posées. Elle analyse l'ordonnancement des mots et génère la suite statistique la plus probable basée sur son entraînement. Cette approche provoque ce qu'on appelle des “hallucinations” : l'IA, incapable de reconnaître qu'une question n'a pas de sens, s'obstine à fournir une réponse en assemblant des mots statistiquement probables, même si le résultat est erroné ou inventé. Yan Lecun, chercheur chez Google, souligne que les IA génératives actuelles ne survivront pas sur ce modèle car elles manquent du recul nécessaire pour comprendre quand une question est inappropriée. L'IA n'est intelligente que dans la mesure de la qualité des données qu'on lui fournit et des questions qu'on lui pose. Les biais multiples Les biais constituent un autre enjeu majeur, et ils se manifestent à plusieurs niveaux. D'abord, il y a le biais humain : les développeurs projettent leur propre perception du monde dans les données d'entraînement. Un homme blanc de 47 ans, par exemple, n'a pas une expérience représentative de l'ensemble de l'humanité, et cette limitation peut se refléter dans les choix de données, leur filtrage et leur labellisation. Ensuite, il existe des biais sociologiques préexistants dans les données elles-mêmes. En médecine, les femmes sont historiquement sous-représentées dans les études cliniques, reproduisant ainsi des discriminations séculaires. La reconnaissance faciale illustre parfaitement ce problème : entraînée principalement sur des visages caucasiens, elle performe mal sur les autres populations. L'ordre même dans lequel les informations sont ingérées par le modèle peut influencer les réponses. Les tentatives de débiaisage se révèlent complexes, comme l'a montré Google avec des résultats historiquement inexacts en essayant de corriger les représentations. Responsabilité et transparence L'utilisateur d'une IA générative demeure responsable de tout ce qu'elle génère en son nom. Cette responsabilité juridique a été établie par une jurisprudence canadienne impliquant Air Canada, dont le chatbot avait fourni des informations erronées sur un rabais de 200 dollars. L'entreprise a été jugée responsable des promesses faites par son IA. Cette responsabilité implique la capacité d'expliquer la logique menant à chaque résultat (explainability). Les organisations doivent pouvoir rendre des comptes aux auditeurs, clients, partenaires ou tribunaux sur le fonctionnement de leurs systèmes d'IA. Cela nécessite une compréhension approfondie de l'origine des données, des algorithmes d'apprentissage, des modèles utilisés et de leur paramétrage. Les bonnes pratiques d'implémentation Définir des périmètres clairs Les intervenants insistent sur l'importance de définir précisément le rôle de l'IA générative. Elle ne doit pas être considérée comme un nouvel employé polyvalent, mais comme un outil spécialisé avec des fonctions précises : générer des résumés, traduire des documents, systématiser des tâches répétitives. L'anthropomorphisme constitue un piège dangereux : l'IA n'a aucune émotion, empathie ou véritable intelligence, c'est une application statistique qui transforme des inputs en outputs. Les domaines à éviter Certains domaines sont inappropriés pour l'IA générative, notamment le médical et le légal pour des décisions critiques. Si ces professionnels peuvent utiliser l'IA pour synthétiser ou traduire des documents, ils ne doivent jamais s'y fier pour des diagnostics ou des défenses juridiques. La complexité contextuelle de ces domaines, où même les experts humains peinent à obtenir des verdicts unanimes, dépasse largement les capacités actuelles des IA génératives. Enrichir et contrôler les données Les organisations peuvent améliorer leurs IA génératives par plusieurs méthodes. Le RAG (Retrieval Augmented Generation) permet d'ajouter des bases de connaissances spécifiques au métier. Le prompt engineering, le one-shot ou few-shot learning permettent de fournir des exemples de réponses préformatées. Des paramètres comme la “température” permettent de contrôler le niveau de créativité, utile pour la littérature mais risqué pour la documentation technique. Les “guardrails” (garde-fous) permettent d'interdire certains vocabulaires ou domaines, limitant ainsi les risques de réponses inappropriées ou dangereuses. Gouvernance et sécurité Comités d'éthique et d'IA La mise en place d'un comité d'IA devient indispensable pour toute organisation adoptant ces technologies. Ce comité, à la fois technique, professionnel et éthique, doit réfléchir aux questions de responsabilité, éviter les erreurs et établir des frameworks reproductibles pour chaque nouveau projet d'IA. Cette gouvernance s'intègre naturellement dans les structures existantes comme les Cloud Centers of Excellence, car les données d'IA proviennent souvent du cloud et doivent être cartographiées, labellisées et nettoyées. Menaces de sécurité L'empoisonnement des données constitue une menace émergente. Des acteurs malveillants, notamment étatiques, peuvent injecter des données fausses dans les sources d'entraînement pour influencer les résultats. L'exemple de Microsoft avec son chatbot sur Twitter, devenu rapidement nazi et misogyne en 24 heures suite à des interactions malveillantes, illustre cette vulnérabilité. Dans un contexte géopolitique tendu, ces risques nécessitent des stratégies robustes de filtrage et de validation des données. Conclusion L'adoption de l'IA générative exige une approche mature et réfléchie. Comme pour l'apprentissage de la conduite automobile, il ne suffit pas de savoir manipuler l'outil : il faut comprendre et respecter un “code de l'IA”. Les organisations doivent accepter de tâtonner, d'apprendre et d'itérer pour développer progressivement une culture d'entreprise capable d'intégrer ces technologies de manière responsable, éthique et efficace. La consommation énergétique considérable de ces systèmes et leur impact sociétal renforcent encore l'urgence d'une utilisation consciente et maîtrisée. Collaborateurs Nicolas-Loïc Fortin Davy Adam Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x637! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Ce troisième épisode d'une série consacrée aux PME prend la forme d'un quiz interactif entre Nicolas-Loïc Fortin et son invité Claude. L'objectif est d'aborder des questions fréquemment posées sur la cybersécurité et la protection des données, couvrant ainsi les angles qui n'ont peut-être pas été suffisamment explorés dans les épisodes précédents. Le retour sur investissement en cybersécurité La question du retour sur investissement en cybersécurité pour les PME n'appelle pas de réponse simple par oui ou non. La difficulté réside dans la mesure de ce retour, qui doit être proportionnel aux actifs à protéger. Les PME font face à des contraintes budgétaires importantes et doivent évaluer la menace réelle qui pèse sur elles. L'intervenant illustre cette problématique par une anecdote d'une compagnie de transport qui devait protéger ses remorques contre les vols utilisant de l'azote liquide pour briser les cadenas. De la même façon, en informatique, les attaquants cherchent à « faire éclater le cadenas » pour voler le contenu. Actuellement, la plus grande menace pour les PME provient des rançongiciels, qui visent toutes les organisations, du cabinet dentaire aux entreprises de toutes tailles. La stratégie de protection doit s'adapter au niveau d'information sensible détenue. Pour les entreprises sans données sensibles, de bonnes sauvegardes suffisent pour redémarrer après une attaque. Pour celles qui manipulent des informations personnelles, des mesures plus sophistiquées s'imposent. Heureusement, des solutions peu coûteuses existent, fournies par des spécialistes en PME. L'important est d'éviter les consultants de grande entreprise qui proposent des solutions disproportionnées et effrayantes, décourageant ainsi l'investissement en cybersécurité. Solutions à petit budget Contrairement aux idées reçues, la cybersécurité à petit budget est non seulement possible, mais peut être très efficace si elle est bien choisie. L'open source offre des solutions simples et accessibles. Avec l'accompagnement d'un expert, les PME peuvent trouver des solutions gratuites ou peu coûteuses adaptées à leurs besoins réels. La clé consiste à définir ce qui est précieux pour l'entreprise, que cette valeur soit intrinsèque ou imposée par la loi. Les informations personnelles doivent être protégées par obligation légale, tout comme les numéros de cartes de crédit pour les commerçants, en vertu d'obligations contractuelles. De nombreuses solutions de qualité professionnelle peuvent être déployées par des passionnés de cybersécurité qui connaissent bien les besoins des PME. Loi 25 versus cybersécurité La question de la priorité entre la conformité à la Loi 25 et la cybersécurité suscite des débats. L'intervenant privilégie la conformité légale, car les obligations contractuelles et réglementaires ont préséance dans tous les cas. Cependant, se conformer à la Loi 25 apporte des bénéfices directs pour la cybersécurité, notamment l'obligation de créer un inventaire des données, qui constitue un avantage considérable pour la protection des informations. L'ingénierie sociale : le maillon faible Concernant les attaques par ingénierie sociale, le contexte représente un facteur plus déterminant que l'humain lui-même. Tous les humains peuvent être victimes d'hameçonnage, indépendamment de leur niveau de compétence. Lorsque le contexte nous prédispose à répondre automatiquement, nos défenses naturelles s'abaissent et nous agissons comme des « zombies », suivant le processus attendu sans questionnement. L'intervenant partage son expérience personnelle d'avoir cliqué sur un lien d'hameçonnage de son propre employeur, soulignant l'importance du timing et du contexte. Des recherches montrent que les gens sont plus susceptibles de cliquer sur des liens malveillants en fin de journée. La vigilance doit être maintenue même dans des situations apparemment normales, bien que la fragilité humaine face au contexte rende cette tâche difficile. L'authentification multifacteur : un minimum évolutif L'authentification multifacteur (MFA) constitue désormais un standard minimum, popularisé par le télétravail pendant le confinement. Cependant, cette barrière de sécurité est déjà en train d'être dépassée par des attaquants créatifs. Le MFA par SMS, qui représentait un minimum viable pendant le confinement, n'est plus suffisant aujourd'hui. Le MFA par application ou par clé physique représente maintenant le minimum requis pour tous les services, particulièrement ceux liés à l'argent. L'intervenant raconte comment, pendant son jogging matinal, il a reçu une alerte de sa banque concernant une tentative d'accès. Bien que le SMS ne soit pas la meilleure forme de MFA, cette deuxième barrière l'a alerté que son mot de passe avait été compromis. Il a immédiatement changé ses identifiants et activé une clé physique pour renforcer la sécurité. Cette expérience souligne l'importance d'activer le MFA sur tous les services critiques : courriel, systèmes comptables comme Quickbooks, et tous les systèmes au cœur du fonctionnement de l'entreprise. Gestionnaires de mots de passe La question des voûtes de mots de passe suscite beaucoup d'émotions dans la communauté cybersécurité. Les puristes recommandent les gestionnaires de mots de passe, mais une analyse pragmatique s'impose. Un carnet de mots de passe dans le tiroir du bureau vaut mieux qu'une absence de protection ou qu'une voûte mal configurée que personne n'utilisera. L'important reste d'avoir des mots de passe différents partout et d'activer le MFA, car le mot de passe seul ne constitue plus une barrière suffisante. Les voûtes modernes facilitent grandement la gestion des mots de passe et intègrent les nouvelles tendances comme l'authentification sans mot de passe. Le modèle de menace doit être considéré : si les attaquants sont en Chine ou en Russie, le carnet dans le tiroir est relativement sûr. Si la menace provient d'employés internes, d'autres solutions s'imposent. Un mot de passe simple comme « soleil123 », même avec MFA, reste problématique car la première barrière est trop facilement franchissable. Antivirus et protection moderne Les antivirus classiques ne suffisent plus à protéger adéquatement contre les cyberattaques. Les solutions modernes, appelées antivirus de nouvelle génération ou EDR (détection et réponse sur les points terminaux), offrent des protections supplémentaires en détectant les comportements suspects plutôt que simplement les signatures de fichiers. Pour les PME, des solutions intégrées comme Microsoft Defender for Endpoint constituent un bon compromis. Il faut éviter les antivirus gratuits, mais utiliser plutôt les outils de sécurité inclus dans les licences existantes de Microsoft 365 ou Google Workspace. WiFi public : l'évolution de la sécurité La sécurité des réseaux WiFi publics a considérablement évolué. Contrairement aux anciennes pratiques, utiliser un WiFi public n'est plus dangereux pour la majorité des utilisateurs. Depuis environ cinq ans, Google n'indexe plus les sites sans chiffrement de base, forçant les entreprises à améliorer leur sécurité. Les services modernes comme Microsoft 365, Outlook et les banques chiffrent toutes les communications. Tant que l'appareil est à jour et qu'aucun message d'avertissement de certificat invalide n'apparaît, il n'y a aucun danger à utiliser un WiFi public pour des usages standard avec des services légitimes de grandes compagnies. Infections par simple visite de site Il est possible de s'infecter en visitant un site web sans cliquer sur quoi que ce soit. Les attaquants, qui travaillent sur ces méthodes à temps plein, sont très imaginatifs. La meilleure protection consiste à maintenir son navigateur constamment à jour. Les navigateurs comme Chrome, Edge et Brave se mettent à jour automatiquement à chaque redémarrage. Les attaquants ont évolué au-delà des sites louches en infectant des publicités sur des sites légitimes. Les antivirus de nouvelle génération peuvent bloquer certaines de ces menaces, mais la mise à jour régulière du navigateur reste la meilleure défense. Le rôle des dirigeants Les dirigeants de PME portent la responsabilité ultime de la protection des renseignements personnels selon la loi. Dans toute organisation, les décisions de cybersécurité doivent venir du sommet. Sans l'engagement du plus haut dirigeant, aucune énergie réelle ne sera investie dans la cybersécurité. Les dirigeants doivent porter le message de cybersécurité, allouer les ressources financières et humaines nécessaires, et favoriser une culture de protection des informations. Ils sont les seuls capables d'identifier ce qui est précieux dans l'entreprise : liste de clients, procédés de fabrication, propriété intellectuelle, ou tout autre avantage concurrentiel. Cette responsabilité s'étend au-delà des obligations légales pour protéger ce qui fait vraiment la différence de l'entreprise. Conclusion Ce podcast souligne l'importance de sensibiliser les PME à la cybersécurité, car elles constituent le tissu économique du Québec, du Canada et du monde entier. Chaque PME qui tombe sous une cyberattaque affecte l'ensemble de l'écosystème économique et social. La cybersécurité pour les PME doit être accessible, pragmatique et adaptée aux réalités budgétaires de ces organisations. Collaborateurs Nicolas-Loïc Fortin Claude Mercier Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x636! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Crédits Montage par Intrasecure inc Locaux réels par GoSec

Parce que… c'est l'épisode 0x635! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Notes Jaguar UK government will underwrite £1.5bn loan guarantee to Jaguar Land Rover after cyber-attack Politicos: ‘There is a good strong case for government intervention' on JLR cyberattack Jaguar Lan Rover failed to secure cyber insurance deal ahead of incidents, sources say Tata-Owned Jaguar Land Rover Delays Factory Reopening Following Major Cyber Attack Supply chain Volvo North America disclosed a data breach following a ransomware attack on it provider Miljödata Tech troubles create aviation chaos on both sides of the Atlantic European Airport Disruptions Caused by Sophisticated Ransomware Attack UK agency makes arrest in airport cyberattack investigation SIM ou trop vite sur la nouvelle The SIM Farm Hardware Seized by the Secret Service Is Also Popular With Ticket Scalpers That Secret Service SIM farm story is bogus U.S. Secret Service Dismantles 300 SIM Servers and 100,000 SIM Cards Disabling Cell Phone Towers Trump signs executive order supporting proposed deal to put TikTok under US ownership Privacy Europe's cookie law messed up the internet. Brussels wants to fix it. Bientôt la fin des bandeaux RGPD ? Comment les scammeurs exploitent vos données… via une simple recherche ChatGPT Microsoft hides key data flow information in plain sight Salesforce facing multiple lawsuits after Salesloft breach Numerous Applications Using Google's Firebase Platform Leaking Highly Sensitive Data Bouygues Telecom Edge Cisco IOS and IOS XE Software SNMP Denial of Service and Remote Code Execution Vulnerability CISA says it observed nearly year-old activity tied to Cisco zero-day attacks SonicWall releases rootkit-busting firmware update following wave of attacks Offensif New Inboxfuscation Tool That Bypasses Microsoft Exchange Inbox Rules and Evade Detection LastPass: Fake password managers infect Mac users with malware Why attackers are moving beyond email-based phishing attacks Hackers Can Bypass EDR by Downloading a Malicious File as an In-Memory PE Loader Hackers Exploit WerFaultSecure.exe Tool to Steal Cached Passwords From LSASS on Windows 11 24H2 Kali Linux 2025.3 Released With New Features and 10 New Hacking Tools New LNK Malware Uses Windows Binaries to Bypass Security Tools and Execute Malware Russia steps up disinformation efforts to sway Moldova's parliamentary vote Malicious SVGs in Phishing Campaigns: How to Detect Hidden Redirects and Payloads First-Ever Malicious MCP Server Found in the Wild Steals Emails via AI Agents Hackers Leverage AI-Generated Code to Obfuscate Its Payload and Evade Traditional Defenses Défensif Zero Trust: Strengths and Limitations in the AI Attack Era Microsoft, SentinelOne, and Palo Alto Networks Withdraw from 2026 MITRE ATT&CK Evaluations GitHub moves to tighten npm security amid phishing, malware plague Canada dismantles TradeOgre exchange, seizes $40 million in crypto Microsoft Edge to block malicious sideloaded extensions Microsoft offers no-cost Windows 10 lifeline How secure are passkeys, really? Here's what you need to know Divers et inclassable Cyber threat-sharing law set to shut down, along with US government Firewall upgrade linked to three deaths after Australian telco cut off emergency calls Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x634! Préambule Le son n'est pas nickel. Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Charlotte Trudelle Antoine Vacher Julien Atsarias Florian Guyot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x633! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Claude Mercier Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x632! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Notes IA ChatGPT peut faire fuiter vos emails avec une simple invitation Google Calendar ‘Powerful but dangerous' full MCP support beta for ChatGPT arrives ChatGPT Tricked Into Bypassing CAPTCHA Security and Enterprise Defenses ‘A CRM for cybercriminals' - SpamGPT makes cybercriminals' wildest dreams come true with business-grade marketing tools and features How AI and surveillance capitalism are undermining democracy Vibe Coding Cleanup as a Service Offensif Jaguar Land Rover supply chain workers must get Covid-style support, says union Careless engineer stored recovery codes in plaintext, got whole org pwned Google confirms fraudulent account created in law enforcement portal Self-Replicating Worm Hits 180+ Software Packages Shai-Hulud: Ongoing Package Supply Chain Worm Delivering Data-Stealing Malware A DHS Data Hub Exposed Sensitive Intel to Thousands of Unauthorized Users Apple 0-day likely used in spy attacks affected devices as old as iPhone 8 Mail Delivery Subsystem spam? SonicWall Security Incident: Exposed Backups Could Put Your Firewall at Risk Cybercriminals Have a Weird New Way to Target You With Scam Texts Critical Microsoft's Entra ID Vulnerability Allows Attackers to Gain Complete Administrative Control Une faille Spotlight vieille de 10 ans permet toujours de voler vos données sur Mac New EDR-Freeze Tool That Puts EDRs and Antivirus Into A Coma State Cyberattack disrupts check-in systems at major European airports Critical WatchGuard Vulnerability Allows Unauthenticated Attacker to Execute Arbitrary Code Défensif Pensez à activer les versions immuables sur GitHub pour éviter les problèmes de sécurité Why Real-Time Threat Intelligence Is Critical for Modern SOCs How to Set Up and Use a Burner Phone Apple addresses dozens of vulnerabilities in latest software for iPhones, iPads and Macs Microsoft, Cloudflare disrupt RaccoonO365 credential stealing tool run by Nigerian national PRP Airlines Sell 5 Billion Plane Ticket Records to the Government For Warrantless Searching Google Announces Full Availability of Client-Side Encryption for Google Sheets Divers The Elephant in The Biz: outsourcing of critical IT and cybersecurity functions risks UK economic security Europe's tech sovereignty watch Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x631! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Olivier Bilodeau Marc Cormier Jean-Philippe Décarie-Mathieu [Pascal Gad] [Tyler Chevrier] Crédits Montage par Intrasecure inc Locaux réels par BAnQ

Parce que… c'est l'épisode 0x630! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Notes Centre de prévention du suicide de Québec - 1 866 APPELLE (1-866-277-3553) suicide.ca Texter - 535353 Clavarder 3114.fr Téléphone - 3114 Collaborateurs Nicolas-Loïc Fortin Sylvie Guérin Éric Parent Crédits Montage par Intrasecure inc Locaux réels par BAnQ

Parce que… c'est l'épisode 0x629! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Notes Apple Memory Integrity Enforcement: A complete vision for memory safety in Apple devices iCloud Calendar abused to send phishing emails from Apple's servers Dormant macOS Backdoor ChillyHell Resurfaces Microsoft Microsoft Patch Tuesday September 2025 Fixes Risky Kernel Flaws Senator blasts Microsoft for making default Windows vulnerable to “Kerberoasting” Senator blasts Microsoft for ‘dangerous, insecure software' that helped pwn US hospitals Microsoft adds malicious link warnings to Teams private chats Microsoft cloud services disrupted by Red Sea cable cuts Microsoft is officially sending employees back to the office. Read the memo Supply chain Hackers Booked Very Little Profit with Widespread npm Supply Chain Attack Hackers Hijacked 18 Very Popular npm Packages With 2 Billion Weekly Downloads Défensif The Quiet Revolution in Kubernetes Security TailGuard - La solution Docker qui marie WireGuard et Tailscale pour du VPN surpuissant Geedge & MESA Leak: Analyzing the Great Firewall's Largest Document Leak Forget disappearing messages – now Signal will store 100MB of them for you for free Introducing Signal Secure Backups We have early access to Android Security Bulletin patches MISP 2.5.21 Released with a new recorrelate feature, various fixes and updates Threat Actor Installed EDR on Their Systems, Revealing Workflows and Tools Used Offensif Jaguar Land Rover discloses a data breach after recent cyberattack Jaguar Land Rover extends shutdown after cyber attack Salty2FA Takes Phishing Kits to Enterprise Level Police Body Camera Apps Sending Data to Cloud Servers Hosted in China Via TLS Port 9091 Weaponizing Ads: How Governments Use Google Ads and Facebook Ads to Wage Propaganda Wars Spectre haunts CPUs again: VMSCAPE vulnerability leaks cloud secrets VirusTotal finds hidden malware phishing campaign in SVG files IA CVE-2025-58444 - MCP Inspector is Vulnerable to Potential Command Execution via XSS When Connecting to an Untrusted MCP Server Cursor AI Code Editor RCE Vulnerability Enables “autorun” of Malicious on your Machine The Software Engineers Paid to Fix Vibe Coded Messes TheAuditor - L'outil de sécurité qui rend vos assistants IA moins laxistes sur la sécurité de votre code Insolite / Divers Brussels faces privacy crossroads over encryption backdoors My Latest Book: Rewiring Democracy A love letter to Internet Relay Chat Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x628! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Claude Mercier Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x627! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Christophe D'ARLHAC Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x626! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Notes Divers How Has IoT Security Changed Over the Past 5 Years? Hackers Leverage Raw Disk Reads to Bypass EDR Solutions and Access Highly Sensitive Files Qantas penalizes executives for July cyberattack CVE-2025-6785 - Tesla Model 3 Physical CAN Bus Injection Android drops mega patch bomb - 120 fixes, two already exploited Automated Sextortion Spyware Takes Webcam Pics of Victims Watching Porn SIM Swapping Attacks on the Rise – How eSIM can Make SIM Swapping Harder Europe Putin the blame on Russia after GPS jamming disrupts president's plane Almost Every State Has Its Own Deepfakes Law Now No, Google did not warn 2.5 billion Gmail users to reset passwords IA Hackers Use AI Platforms to Steal Microsoft 365 Credentials in Phishing Campaign AI code assistants make developers more efficient at creating security problems Comment manipuler psychologiquement une IA ? Les techniques qui marchent vraiment LegalPWN - Pour piéger les IA avec les petites lignes Indirect Prompt Injection Attacks Against LLM Assistants BruteForceAI - L'IA qui cracke vos mots de passe Hackers Leverage Hexstrike-AI Tool to Exploit Zero Day Vulnerabilities Within 10 Minutes Ollama - 14 000 serveurs IA laissés en libre-service sur Internet Europe et souveraineté EUVD: first step toward Europe's cybersecurity sovereignty? Switzerland Launches Apertus: A Public, Open-Source AI Model Built for Privacy EU court's dismissal of US data transfer challenge raises privacy advocates' ire SAP to invest over 20 billion euros in ‘sovereign cloud' in boost to Europe's AI ambitions Chaine d'approchées Blast Radius of Salesloft Drift Attacks Remains Uncertain Addressing the unauthorized issuance of multiple TLS certificates for 1.1.1.1 How big will this Drift get? Cloudflare cops to Salesloft Drift breach The impact of the Salesloft Drift breach on Cloudflare and our customers Zscaler Confirms Data Breach – Hackers Compromised Salesforce Instance and Stole Customer Data Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x625! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Notes Tarif préférentiel Tarif subventionné grâce à un partenariat avec UV Assurance de 2345$ + tx ( Tarif régulier de 2995$ + tx ). Pour plus de détails sur les tarifs, veuillez consulter la section Détails des tarifs. Tarif régulier Canada Le tarif régulier pour toute personne résidente au Canada : 2 995$ plus taxes applicables Important de noter que le tarif subventionné est non applicable pour le secteur public et parapublic. Ces secteurs sont sujets au tarif régulier pour résidents et résidentes au Canada. Tarif régulier hors Canada Le tarif régulier pour toute personne résidente hors Canada : 3 995$ plus taxes applicables Tarif subventionné PME et OBLN au Québec Le tarif subventionné en partenariat avec UV Assurance est offert à toute personne travaillant dans une PME québécoises (PME : entreprise de moins de 500 employés) ou les OBNL québécois : 2 345$ plus taxes applicables. Une preuve de NEQ (numéro d'entreprise du Québec) pourrait être demandée. **Important de noter que le tarif subventionné est non applicable pour le secteur public et parapublic. Ces secteurs sont sujets au tarif régulier pour résidents et résidentes au Canada. Programme de subvention Visées : Propulsez les compétences de vos équipes avec cette formation, et recevez jusqu'à 8 000$ de subvention! Formez vos employés et employées aux bénéfices de cette formation et bénéficiez d'un soutien financier pouvant aller jusqu'à 8000$ grâce au programme Visées. Une initiative de la Chambre de commerce du Montréal métropolitain et de la Fédération des chambres de commerce du Québec, financé par Upskill Canada (propulsé par Palette Skills) et le gouvernement du Canada. Conditions d'éligibilité: Votre entreprise doit posséder un NEQ, doit employer au minimum une personne salariée équivalent temps plein et ne pas être un organisme gouvernemental, public, municipal, ou scolaire ni être assujetties à la Loi M-30 ; La personne formée doit être légalement autorisée à travailler au Canada, détenir un permis de travail valide, et avoir 3 ans d'expérience professionnelle. FORCE-UQTR Aide financière Collaborateurs Nicolas-Loïc Fortin Gino Plourde Dominic Villeneuve Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x624! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Camille Felx Leduc Alexandre Fournier Marc Potvin Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x623! Préambule Bon… je saute à l'eau et je repars un podcast sur l'actualité en mode seul. Ce que je n'avais pas fait depuis vraiment longtemps. J'ai été excessif sur le volume de nouvelles, ne m'étant pas bien organisé. Je m'améliorerai avec la pratique… car, paraît-il, ça ne se perd pas, comme le “bécicle”. Aussi, et probablement le plus audible, j'ai eu un glitch à l'enregistrement. Comme quoi j'ai vraiment perdu la main. Pour l'aspect technique, j'ai oublié de retirer un filtre lors de l'enregistrement, ce qui fait que la bande originale est “instable”. Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Notes Breach Salesforce Releases Forensic Investigation Guide Following Chain of Attacks Salesloft breached to steal OAuth tokens for Salesforce data-theft attacks Hackers Lay in Wait, Then Knocked Out Iran Ship Comms Légalise Mastodon says it doesn't ‘have the means' to comply with age verification laws France and Germany reject Trump's threats on EU tech legislation AI CVE-2025-58062 - OpenMCP Client OS Command Injection Vulnerability AI Agents in Browsers Light on Cybersecurity, Bypass Controls Anthropic AI Used to Automate Data Extortion Campaign Crims laud Claude to plant ransomware and fake IT expertise Anthropic Disrupts AI-Powered Cyberattacks Automating Theft and Extortion Across Critical Sectors Anthropic teases Claude for Chrome: Don't try this at home Researchers flag code that uses AI systems to carry out ransomware attacks Securing the AI Revolution: Introducing Cloudflare MCP Server Portals Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet Helping people when they need it most Exclusive: Meta created flirty chatbots of Taylor Swift, other celebrities without permission PromptLock - Le premier ransomware à utiliser une IA 100% locale Anthropic will start training its AI models on chat transcripts The Default Trap: Why Anthropic's Data Policy Change Matters Threat Actors Weaponizes AI Generated Summaries With Malicious Payload to Execute Ransomware New AI attack hides data-theft prompts in downscaled images Will Smith's concert crowds are real, but AI is blurring the lines Best Practices for Securing Generative AI with SASE ChatGPT, Claude, & Gemini security scanning with Cloudflare CASB Hackers Can Exploit Image Scaling in Gemini CLI, Google Assistant to Exfiltrate Sensitive Data New Prompt Insertion Attack – OpenAI Account Name Used to Trigger ChatGPT Jailbreaks Vulnérabilités U.S. CISA adds Citrix Netscaler flaw to its known exploited vulnerabilities catalog Docker Desktop bug let containers hop the fence with barely a nudge CISA Adds Three Exploited Vulnerabilities to KEV Catalog Affecting Citrix and Git The Hidden Risk of Consumer Devices in the Hybrid Workforce Shadow IT Is Expanding Your Attack Surface. Here's Proof Putin on the code: DoD reportedly relies on utility written by Russia-based Yandex dev Microsoft details Storm-0501's focus on ransomware in the cloud Surge in coordinated scans targets Microsoft RDP auth servers CVE-2025-7776 - Citrix NetScaler Memory Overflow Denial of Service CVE-2025-55526 - n8n-workflows Directory Traversal Vulnerability WhatsApp patches vulnerability exploited in zero-day attacks Cloud Azure apparatchik shows custom silicon keeping everything locked down Microsoft Azure Hardware Security to Help Thwart the World's 3rd Largest GDP Microsoft to enforce MFA for Azure resource management in October Pentagon ends Microsoft's use of China-based support staff for DoD cloud Risque Mansplaining your threat model, as a service Threat Modeling Tools Privacy Smart glasses record people in public. The most online generation is pushing back Your Word documents will be saved to the cloud automatically on Windows going forward Prepare for the unexpected with emergency access for your Proton Account FTC Chair Tells Tech Giants to Hold the Line on Encryption The UK May Be Dropping Its Backdoor Mandate Defensif Google to Verify All Android Developers in 4 Countries to Block Malicious Apps BGP's security problems are notorious. Attempts to fix that are a work in progress Who are you again? Infosec experiencing ‘Identity crisis' amid rising login attacks CISA Publish Hunting and Mitigation Guide to Defend Networks from Chinese State-Sponsored Actors Offensif Threat Actors Abuse Velociraptor Incident Response Tool to Gain Remote Access Hackers Weaponize PDF Along With a Malicious LNK File to Compromise Windows Systems Arch Linux Confirms Week-Long DDoS Attack Disrupted its Website, Repository, and Forums Hackers Abuse Microsoft Teams to Gain Remote Access on Windows With PowerShell-based Malware WinRAR 0-Day Vulnerabilities Exploited in Wild by Hackers – Detailed Case Study Breaking the Passkey Promise: SquareX Discloses Major Passkey Vulnerability at DEF CON 33 Beware of Website Mimicking Google Play Store Pages to Deliver Android Malware Malicious Android apps with 19M installs removed from Google Play Weaponized PuTTY Via Bing Ads Exploit Kerberos and Attack Active Directory Services ShadowCaptcha Exploits WordPress Sites to Spread Ransomware, Info Stealers, and Crypto Miners PoC Exploit Released for Chrome 0-Day Vulnerability Exploited in the Wild TAG-144 Actors Attacking Government Entities With New Tactics, Techniques, and Procedures Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x622! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Jordan Theodore Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x621! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Dimitri Souleliac Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x620! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description L'inflation des titres sur LinkedIn et dans l'informatique Dans cet épisode, NLF et Davy Adam abordent un phénomène problématique qui touche le secteur informatique : l'inflation et la dénaturation des titres professionnels, particulièrement visible sur LinkedIn. Ils observent que des métiers traditionnels et essentiels comme technicien, administrateur système ou administrateur de base de données ont quasiment disparu au profit de titres plus ronflants comme “architecte”, “consultant”, “expert” ou “spécialiste”. La disparition des métiers de base Davy Adam note qu'il ne croise pratiquement plus d'administrateurs système ou réseau dans ses formations, alors que ces rôles restent fondamentaux pour le bon fonctionnement des infrastructures informatiques. Les professionnels préfèrent se présenter comme “spécialistes sécurité” quand ils font du réseau basique, ou “architectes cloud” quand ils administrent du Windows sur Azure. Cette dévalorisation des métiers techniques de base pose problème car ces rôles sont essentiels. Comme le souligne NLF, sans bons administrateurs et techniciens pour opérer les infrastructures, les dommages peuvent être énormes. L'excellence dans ces qualifications est très importante et ne devrait pas être dévalorisée. Le malentendu autour du rôle d'architecte Les intervenants expliquent que le titre d'architecte a un sens précis, similaire à celui d'un architecte de bâtiment. Un vrai architecte informatique doit : Écouter le client en premier lieu pour comprendre ses besoins réels Reformuler la demande avec le client, ce qui aide souvent ce dernier à clarifier ses véritables besoins Concevoir des plans en appliquant les bonnes pratiques et normes Documenter ses recommandations de manière claire Avoir une vision transversale sans être expert dans tous les domaines Au Québec notamment, il existe une présomption qu'un architecte sait rédiger, analyser et documenter, compétences souvent absentes chez ceux qui s'autoproclament architectes tout en excellant dans l'opérationnel. Les problèmes de recrutement et d'attentes Cette confusion des titres crée des dysfonctionnements : Pour les recruteurs : ils cherchent des “architectes” pour faire de l'implémentation technique Pour les consultants : on leur propose des missions opérationnelles alors qu'ils veulent faire du conseil stratégique Pour les clients : leurs attentes ne correspondent pas aux profils recrutés Davy Adam utilise l'analogie médicale : on ne demande pas à un chirurgien orthopédique de couper les ongles, même s'il en a techniquement la capacité. La hiérarchisation des rôles n'est pas un jugement de valeur mais une question de répartition efficace des compétences. La vraie nature du consulting Les deux experts insistent sur ce qu'est réellement le consulting : Intervention ponctuelle : quelques jours par mois chez plusieurs clients plutôt qu'une présence permanente Conseil à la demande : comme un avocat ou un médecin qu'on consulte pour son expertise Synthèse d'expérience : apporter la richesse de multiples expériences vécues chez différents clients Autonomisation des équipes : donner les clés pour que les équipes internes puissent implémenter Davy Adam compare son profil à un “couteau suisse” : de multiples capacités sans être le meilleur dans aucune, mais avec la capacité de faire le lien entre tous les domaines. Les défis du freelancing et les malentendus Les consultants freelance font face à des demandes inadéquates : Missions de résidence alors qu'ils cherchent du conseil ponctuel Tâches opérationnelles alors qu'ils veulent faire de la stratégie Attentes de présence permanente incompatibles avec leur modèle économique NLF et Davy Adam expliquent que leur valeur réside dans la diversité de leurs expériences, pas dans une expertise approfondie unique. Ils préfèrent refuser des missions inadéquates plutôt que de créer de la frustration mutuelle. L'aspect économique du consulting Le consulting coûte plus cher à l'heure mais reste moins onéreux sur l'année car : Usage ponctuel : on ne paie que quand on a besoin du consultant Expertise concentrée : résolution rapide des problématiques Pas de coûts de structure : pas de charges sociales permanentes Comme le dit Davy Adam : “Je synthétise 10 ans d'expérience en une journée et réponds à toutes tes questions.” L'intelligence artificielle ne remplace pas l'expertise contextuelle Face aux questionnements sur l'IA, les experts restent confiants. L'IA générative ne peut pas : Comprendre le contexte spécifique de chaque entreprise Gérer les particularités des systèmes patrimoniaux Naviguer les dynamiques humaines et politiques internes Adapter les bonnes pratiques aux contraintes réelles NLF utilise l'analogie de la rénovation : demander à ChatGPT de rénover une maison patrimoniale de 200 ans serait inadéquat car ses références ne correspondent pas au contexte spécifique. Solutions recherchées vs problèmes réels Un problème récurrent observé est la tendance des organisations à adopter des solutions trendy (IA, Kubernetes, cloud) sans avoir identifié le vrai problème à résoudre. C'est une approche inverse où “la solution cherche un problème”. Le rôle du consultant est justement de remonter aux vrais besoins et de guider vers les solutions appropriées, en tenant compte des contraintes organisationnelles, culturelles et techniques réelles. Conclusion Cet épisode appelle à une clarification des terminologies professionnelles et une meilleure compréhension des rôles de chacun. L'objectif n'est pas de critiquer mais de rétablir la cohérence entre les titres, les compétences réelles et les besoins des organisations pour améliorer l'efficacité du marché du travail informatique. Collaborateurs Nicolas-Loïc Fortin Davy Adam Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x619! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction : La pyramide des conspirations Catherine Dupont-Gagnon ouvre l'épisode en présentant la pyramide des conspirations d'Abby Richards (connue sous le nom de Tofologie), un outil pédagogique pour comprendre les différents niveaux de théories conspiratrices. Cette pyramide part de la base avec des éléments ancrés dans la réalité (comme MK-Ultra, aujourd'hui documenté), puis progresse vers la ligne de spéculation (Area 51), les théories sans danger mais fausses (le Titanic n'a jamais coulé, Avril Lavigne remplacée par un clone), jusqu'aux niveaux dangereux qui nient la réalité (5G, Pizzagate) et finalement les théories antisémites et déshumanisantes (lézards extraterrestres, négationnisme de l'Holocauste). L'objectif est de montrer qu'il est normal et sain de poser des questions, tant qu'on reste ancré dans les faits et les preuves. Le problème survient quand on commence à “remplir les vides” avec des spéculations non fondées. L'histoire factuelle d'Jeffrey Epstein Samuel Harper présente ensuite les faits documentés de l'affaire Epstein. En 1998, Ghislaine Maxwell commence à recruter des “assistantes” et “masseuses” dans des écoles et centres pour Jeffrey Epstein. En 2005, une enquête policière révèle un système pyramidal de recrutement où des mineures, souvent de 13-14 ans, étaient exploitées sexuellement et encouragées à recruter d'autres victimes. L'enquête de West Palm Beach identifie 18 victimes nommées, tandis que le FBI en trouve 34. Malgré l'ampleur des preuves, Epstein plaide coupable à seulement deux accusations mineures en 2008 et purge 13 mois d'une sentence de 18 mois, avec des conditions de détention exceptionnellement favorables. Le parcours d'Epstein révèle des éléments troublants : sans diplôme universitaire, il est embauché comme professeur à l'école élitiste Dalton par Donald Barr (père de William Barr), puis recruté chez Bear Stearns avant de fonder sa propre entreprise d'investissement prétendument réservée aux milliardaires. Les zones grises et spéculations Le podcast explore ensuite les aspects plus nébuleux de l'affaire. Epstein a généré plus de 800 millions de dollars entre 1999 et 2018, principalement grâce à des “frais de consultation” de clients comme Les Wexner (200 millions) et Leon Black (170 millions) - des sommes inhabituellement élevées pour des conseils fiscaux. Les liens d'Epstein avec des personnalités influentes soulèvent des questions : Bill Clinton, le prince Andrew, Donald Trump, Kevin Spacey, et de nombreuses autres figures publiques fréquentaient ses cercles. Virginia Giuffre a notamment accusé plusieurs personnalités d'agressions dans le cadre du réseau d'Epstein. Les circonstances de la mort d'Epstein La mort d'Epstein en prison en août 2019 alimente de nombreuses spéculations. L'autopsie révèle une fracture de l'os hyoïde, plus fréquente dans les homicides que les suicides. Les enregistrements vidéo du premier incident en juillet ont mystérieusement disparu, et son compagnon de cellule était Nick Tartaglione, un ancien policier condamné pour quadruple meurtre. Alexander Acosta, le procureur qui avait accordé l'accord clément à Epstein en 2008, aurait déclaré qu'Epstein “appartenait au renseignement” et était “au-dessus de son niveau de compétence”, avant de se rétracter. Les théories sur les services de renseignement Le podcast aborde les rumeurs de liens avec les services secrets. Des sources non confirmées suggèrent des connections avec le Mossad israélien, notamment à travers le père de Ghislaine Maxwell, Robert Maxwell, magnat de la presse décédé dans des circonstances mystérieuses. Ces théories restent largement spéculatives, manquant de corroboration solide. Trump et les développements récents Les relations entre Trump et Epstein sont documentées : ils se connaissaient depuis les années 1990, Trump a voyagé sur le jet d'Epstein, et des citations de 2002 montrent Trump louant Epstein comme “un type formidable” qui “aime les belles femmes, et beaucoup d'entre elles sont plutôt jeunes”. Le podcast révèle un retournement politique récent : après avoir promis de divulguer les “fichiers Epstein” pendant sa campagne, l'administration Trump a publié en juillet 2025 un mémo déclarant qu'aucune nouvelle divulgation n'était nécessaire, qu'il n'existait pas de “liste de clients” et qu'Epstein s'était bien suicidé. Cette volte-face a provoqué la colère de la base MAGA et des partisans de QAnon, qui avaient fait de cette promesse un pilier de leur soutien. Des figures comme Cash Patel et Dan Bongino, nouvellement nommés au FBI, semblaient visiblement inconfortables en défendant cette position. Conclusion et réflexions Les animateurs concluent que l'affaire Epstein illustre parfaitement les dangers de combler les vides informationnels avec des spéculations. Ils soulignent qu'il n'est pas nécessaire d'invoquer des rituels sataniques ou des conspirations mondiales pour expliquer ce qui semble être, fondamentalement, un réseau d'hommes puissants abusant de leur position. Cette affaire révèle aussi la fragilité des mouvements conspirationnistes face aux prophéties non réalisées. Le moment actuel pourrait représenter un point de fracture pour QAnon et MAGA, leurs leaders étant confrontés à l'impossibilité de tenir leurs promesses sans s'incriminer eux-mêmes. L'épisode se termine sur une réflexion plus large concernant l'ère de l'information et la difficulté croissante de distinguer les faits de la fiction dans un paysage médiatique fragmenté. Notes Abbie Richards fights TikTok disinformation with a cup of tea, a conspiracy chart and a punchline The conspiracy chart 2021 Abbie Richards Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x618! Préambule Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction et contexte Charlotte Trudelle, consultante en gouvernance, risque et conformité chez Cyblex Consulting, présente la directive européenne NIS 2, qui constitue la suite de NIS 1. Cette réglementation vise à protéger les entités critiques européennes dans un contexte d'augmentation des cyberattaques et d'omniprésence des systèmes d'information. Contrairement au RGPD qui a des applications extraterritoriales, NIS 2 se concentre principalement sur le territoire européen, mais suivra un modèle de transposition similaire dans chaque pays membre. Objectifs et philosophie de NIS 2 L'objectif principal n'est pas d'atteindre une sécurité absolue, mais d'améliorer la résilience et la capacité de réaction aux incidents. La directive vise à “effacer le bruit ambiant” et empêcher les attaques opportunistes, particulièrement les ransomwares facilement déployables. Il s'agit d'établir une hygiène de base en cybersécurité plutôt que de se prémunir contre des attaques étatiques sophistiquées. La directive prône une approche par les risques, reconnaissant que les 18 secteurs d'activité couverts ont des profils de risque variables. L'Europe souhaite également créer un écosystème résilient global, incluant le partage des menaces et vulnérabilités, ainsi que la mise en place du UVD (pendant européen des bases CVE) par l'agence ENISA. Périmètre d'application considérablement élargi NIS 2 couvre 18 secteurs d'activité, répartis entre entités essentielles et entités importantes. Les entités essentielles incluent l'énergie, le transport, l'eau potable (déjà dans NIS 1), auxquels s'ajoutent les eaux usées, la santé, l'espace et les administrations publiques. Le secteur bancaire bénéficie d'un traitement spécial avec le référentiel DORA. Les entités importantes comprennent les services postaux, la gestion des déchets, et la fabrication alimentaire. L'impact est considérable : en France, on passe de 300 entités concernées par NIS 1 à potentiellement 15 000 avec NIS 2, avec des seuils démarrant à 50 employés. Effet de cascade et impact sur les tiers Une différence majeure avec le RGPD réside dans l'effet de cascade sur les fournisseurs et prestataires. Toutes les entreprises travaillant avec les entités régulées devront également se conformer à NIS 2, même si elles n'atteignent pas les seuils de taille requis. Cette approche vise à sécuriser l'ensemble de la chaîne d'approvisionnement, reconnue comme un vecteur d'attaque privilégié. Mesures et exigences techniques Les mesures s'appuient largement sur la norme ISO 27001, évitant de “réinventer la roue”. Les exigences incluent : Inventaire des actifs (retour aux fondamentaux) Gestion des ressources humaines (approche transverse) Gestion des tiers et prestataires Gestion des incidents avec critères précis de déclaration Supervision et revues régulières La directive fixe des critères quantitatifs précis pour les incidents, éliminant l'interprétation subjective. Contrairement à NIS 1 qui ne réglementait que les systèmes critiques, NIS 2 s'applique à l'ensemble du système d'information, sauf isolation prouvée des systèmes critiques. Sanctions et modèle de contrôle Les sanctions suivent le modèle RGPD : 10 millions d'euros ou 2% du chiffre d'affaires mondial pour les entités essentielles, 7 millions ou 1,4% pour les entités importantes. Le modèle de contrôle ressemble également au RGPD, avec des autorités nationales (ANSSI en France) effectuant des audits et contrôles, sans certification obligatoire prévue. Défis de transposition et accompagnement La transposition française accuse du retard, adoptée par le Sénat en mars et en cours d'examen à l'Assemblée nationale. Le projet “Résilience” transpose simultanément NIS 2, DORA et CER (Critical Entities Resilience), créant une complexité réglementaire supplémentaire. L'ANSSI privilégie l'accompagnement à la sanction, reconnaissant que de nombreuses entités découvrent la réglementation cyber. Des outils d'auto-évaluation et de suivi sont déjà disponibles pour faciliter la transition. Impact sur les différents types d'organisations Pour les grandes entreprises internationales, déjà familières avec l'ISO 27001, l'adaptation devrait être relativement aisée. La principale préoccupation concerne le “millefeuille réglementaire” et la conformité administrative. Les PME et administrations publiques, notamment les collectivités et hôpitaux, font face à des défis plus importants : manque de personnel spécialisé, budgets contraints, et cybersécurité éloignée du cœur de métier. Des initiatives de mutualisation émergent dans certains secteurs. Perspective et enjeux futurs NIS 2 représente un changement culturel majeur, intégrant la cyberattaque dans la gestion de crise standard. La philosophie du directeur de l'ANSSI résume bien l'approche : “ce n'est pas si vous allez être attaqué, mais quand”. L'objectif est la résilience - continuer à fonctionner malgré l'incident. Cette réglementation s'inscrit dans la volonté européenne d'uniformiser le marché, créant une prévisibilité similaire à celle du marché américain. Bien que la période d'adaptation puisse être inconfortable, elle devrait considérablement renforcer la résilience collective face aux cybermenaces. La réussite de NIS 2 dépendra de sa capacité à éviter la “conformité pour la conformité” et à véritablement améliorer la maturité cybersécuritaire de l'écosystème européen. Collaborateurs Nicolas-Loïc Fortin Charlotte Trudelle Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x617! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Dans ce podcast spécial Northsec, David Décary-Hétu présente une recherche fascinante sur les négociations entre groupes de ransomware et leurs victimes, basée sur l'analyse d'archives de conversations réelles accessibles publiquement sur ransomware.li. Le contexte des ransomwares modernes Les ransomwares représentent aujourd'hui la plus grande menace pour les infrastructures critiques selon le gouvernement canadien. Ces attaques ont évolué vers des stratégies multiples : chiffrement des données, exfiltration d'informations sensibles, et même la “triple extorsion” où les attaquants menacent de nouvelles attaques ou de déni de service si la rançon n'est pas payée. Cette évolution a naturellement mené à des négociations complexes entre criminels et victimes. Des attaquants bien préparés L'analyse révèle que les groupes de ransomware effectuent des recherches approfondies sur leurs cibles avant de formuler leurs demandes. Ils examinent les documents financiers volés pour connaître les soldes bancaires, les polices d'assurance cyber, et adaptent leurs exigences en conséquence. Cette approche leur permet de contrer efficacement les arguments de pauvreté des victimes en citant des chiffres précis : “À la fin du dernier trimestre, vous aviez 460 millions dans votre compte bancaire.” Cette connaissance détaillée des capacités financières des victimes leur donne un avantage considérable dans les négociations, particulièrement lorsqu'ils peuvent invoquer l'existence d'une assurance cyber en déclarant que “cela ne vous coûtera absolument rien”. Une mentalité commerciale surprenante Malgré leur préparation minutieuse, les cybercriminels adoptent une approche similaire à celle de “vendeurs de voitures usagées”, privilégiant le volume de transactions. La recherche montre qu'ils sont remarquablement flexibles sur les prix, acceptant généralement environ 50% de leur demande initiale, parfois même seulement 20%. Cette flexibilité suggère que leur modèle économique repose davantage sur la multiplication des paiements que sur l'obtention du montant maximal de chaque victime. La première leçon qui en découle est claire : ne jamais accepter la première offre et toujours négocier. L'arsenal des menaces Lorsque les victimes résistent ou prétendent disposer de sauvegardes, les attaquants déploient un éventail de menaces sophistiquées. Ils promettent de nouvelles attaques dès la restauration des systèmes, des campagnes de déni de service continues, ou encore la divulgation d'informations compromettantes aux clients et partenaires. Dans un cas particulièrement révélateur, des attaquants ont menacé de dénoncer des pratiques de délit d'initié aux autorités compétentes si leur victime vendait ses actions tout en cachant l'attaque subie. Cette approche montre une compréhension fine des enjeux réglementaires et réputationnels auxquels font face les entreprises. Des services après-vente discutables De manière quasi-commerciale, les groupes criminels promettent des “services après-vente” incluant la suppression garantie de toutes les données de leurs serveurs et, plus surprenant encore, des rapports de vulnérabilités pour aider leurs victimes à éviter de futures attaques. L'analyse révèle cependant que ces rapports sont standardisés et contiennent des recommandations basiques : ne pas cliquer sur des liens suspects, activer l'authentification à deux facteurs, maintenir les systèmes à jour. Ces conseils, bien qu'utiles, relèvent de l'hygiène cybernétique élémentaire et suggèrent que ces “services” constituent davantage un argument de vente qu'une véritable valeur ajoutée. Des exceptions géopolitiques inattendues Un aspect particulièrement intrigant concerne les considérations géopolitiques de certains groupes. Un cas documenté montre des attaquants s'excusant auprès d'une victime ayant une filiale en Arménie, considérant cette région comme faisant partie de la zone d'influence russe où ils ne souhaitent pas opérer. Ils ont même fourni gratuitement l'outil de déchiffrement avec des excuses. Cette observation soulève la question fascinante de savoir si la création stratégique de filiales dans certains pays pourrait constituer une forme de protection contre ces attaques, à l'instar des mécanismes automatiques qui détectent les claviers cyrilliques pour éviter les systèmes russes. Les stratégies défensives des victimes Du côté des victimes, plusieurs stratégies récurrentes émergent de l'analyse. La minimisation constitue l'approche la plus commune : les organisations se présentent systématiquement comme de petites entités sans moyens, même lorsqu'il s'agit d'entreprises importantes. Un centre d'hébergement pour sans-abri prétendant ne pas avoir d'argent a finalement versé 125 000 dollars de rançon. Les tentatives de création de liens personnels avec les attaquants constituent une autre stratégie fascinante, évoquant potentiellement le syndrome de Stockholm. Les victimes partagent leurs difficultés internes, décrivent des environnements de travail chaotiques, ou mentionnent les dangers personnels qu'elles acceptent de courir pour obtenir des cryptomonnaies. La temporisation représente également une tactique courante, les entreprises cherchant à gagner du temps pour évaluer leurs alternatives, comprendre l'étendue des dégâts et potentiellement restaurer leurs systèmes sans payer. Le contenu des données volées : moins spectaculaire qu'attendu L'examen du contenu réellement volé révèle une réalité souvent décevante. Contrairement aux attentes, la plupart des données divulguées consistent en documents administratifs banals, anciennes sauvegardes, et fichiers personnels d'employés sans intérêt stratégique. L'exemple du Blue Leak, impliquant 250 gigaoctets de documents de services de police, illustre cette réalité : malgré des heures d'analyse, peu d'informations véritablement compromettantes ont été identifiées, principalement des manuels de formation et des présentations statistiques. L'impact économique réel Cette recherche remet en question les statistiques alarmantes souvent citées, notamment celle affirmant que 60% des PME attaquées ferment dans l'année suivante. L'observation empirique suggère que les entreprises continuent généralement leurs opérations après une attaque, et que les consommateurs maintiennent leurs habitudes d'achat même après des violations de données majeures, comme l'illustre le cas de Home Depot. L'émergence d'une industrie de la négociation Un aspect méconnu mais crucial concerne le rôle des négociateurs professionnels, souvent mandatés par les compagnies d'assurance. Ces intermédiaires spécialisés développent des relations avec les différents groupes criminels, créant une forme d'écosystème professionnel autour de ces négociations. Cette professionnalisation soulève des questions importantes sur l'efficacité de ces services et leur impact sur les montants finalement versés, un domaine qui mériterait des recherches approfondies. Implications et enseignements Cette recherche, rendue possible par la mise à disposition publique de ces archives sur ransomware.li, offre des insights précieux pour les professionnels de la cybersécurité. Elle permet aux organisations de mieux se préparer à d'éventuelles négociations en comprenant les tactiques employées de part et d'autre. L'importance de cette recherche académique ne peut être sous-estimée car elle fournit aux défenseurs des outils concrets pour gérer ces situations critiques, alimentant ainsi la réflexion stratégique du secteur. La poursuite de ces travaux, enrichie par de nouveaux cas comme celui de LockBit récemment compromis, promet d'apporter des éclairages supplémentaires sur l'évolution de cet écosystème criminel en constante mutation, confirmant que les ransomwares demeurent une menace majeure nécessitant une vigilance et une préparation continues. Notes Nice to meet you! That will be 20 million please Davy Décary-Hétu Ransomware.live Collaborateurs Nicolas-Loïc Fortin David Décary-Hétu Crédits Montage par Intrasecure inc Locaux réels par Northsec

Parce que… c'est l'épisode 0x616! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Introduction et contexte Joey D., superviseur d'une équipe de détection au Centre canadien pour la cybersécurité du gouvernement fédéral, présente les défis majeurs auxquels fait face son organisation dans la gestion de la cybersécurité à l'échelle nationale. Lors de sa présentation à NorthSec, il a abordé un problème critique : la pollution causée par le bruit dans les systèmes de détection. Le défi du volume de données Le centre canadien traite un volume impressionnant de données : plus de 200 000 événements par seconde provenant de 167 clients (et plus), couvrant l'ensemble du territoire canadien. Cette télémétrie massive est corrélée avec un grand volume d'indicateurs de compromission provenant de diverses sources et partenariats internationaux. Si cette richesse d'informations constitue un atout considérable, elle génère également un défi majeur : le bruit. La combinaison de ces deux éléments - volume important de télémétrie et grand nombre d'indicateurs - crée une pollution informationnelle qui peut submerger les analystes. Les faux positifs et les mauvaises détections prolifèrent, risquant de masquer de véritables menaces ou de mobiliser inutilement les ressources d'analyse. L'approche de filtrage intelligent Pour résoudre ce problème, Joey et son équipe ont développé une approche basée sur l'identification et la caractérisation de ce qui est “non malicieux”. Plutôt que de simplement bloquer automatiquement les alertes, ils créent des filtres informatifs qui aident les analystes dans leur processus de triage. Cette méthode permet d'éviter les faux négatifs, où un véritable compromis pourrait être filtré par erreur. L'équipe préfère maintenir un niveau de prudence élevé. Comme l'explique Joey : “À un moment donné, nous, on n'aime pas prendre ce risque-là de manquer un vrai événement de compromission.” Les filtres automatisés sont donc principalement informatifs, bien que certains, lorsque l'équipe a une confiance élevée, puissent déclencher des actions automatisées. Le cas des administrateurs créatifs Un exemple particulièrement intéressant concerne les administrateurs système. Ces professionnels, dotés de privilèges élevés sur les réseaux, font parfois preuve d'une créativité remarquable dans l'accomplissement de leur travail. Ils peuvent utiliser des outils ou des techniques habituellement associés à des acteurs malveillants, mais dans un contexte parfaitement légitime. Cette créativité administrative pose un défi constant : comment distinguer une technique légitime d'une utilisation malveillante ? L'équipe de Joey a développé plusieurs approches pour gérer ce problème, allant de filtres très spécifiques (par exemple, tel script exécuté par tel utilisateur à telle heure) à des filtres plus génériques basés sur la compréhension des technologies. L'étude du système Delivery Optimization Joey a mené une étude approfondie du système Delivery Optimization de Microsoft, un service de partage de fichiers présent par défaut sur tous les appareils Windows depuis Windows 10. Ce système permet d'accélérer les mises à jour en utilisant un mécanisme de peer-to-peer au sein du réseau local, réduisant ainsi la bande passante utilisée vers les serveurs Microsoft. Le problème survient lorsque ce système est configuré pour partager avec des machines sur Internet plutôt que seulement sur le réseau local. Dans un contexte de télétravail, cela peut créer des connexions vers des adresses IP dans différents pays, générant des alertes suspectes pour les analystes qui voient des transferts de données importants vers des destinations potentiellement douteuses. Cette recherche illustre parfaitement l'importance de comprendre le fonctionnement normal des systèmes pour mieux détecter les anomalies. Comme le souligne Joey, peu de chercheurs en sécurité s'intéressent à ces mécanismes non malveillants, créant un angle mort dans la détection. La corrélation multi-sources Une des forces du système développé par l'équipe réside dans sa capacité à corréler différents types de télémétrie. En combinant les données réseau (NetFlow, captures de paquets) avec les données d'endpoints (EDR), ils peuvent obtenir un contexte beaucoup plus riche pour leurs analyses. Par exemple, dans le cas des “fake captchas” - ces pages web malveillantes qui demandent aux utilisateurs d'exécuter des commandes via Windows+R et Ctrl+V - la corrélation permet de faire la distinction entre une simple visite du domaine malveillant (comportement normal) et l'exécution effective de la chaîne de processus malveillante (comportement à investiguer). L'architecture de détection à plusieurs niveaux Le système développé par l'équipe fonctionne selon une architecture sophistiquée à plusieurs niveaux. Au niveau le plus bas, on trouve les “hits” - des événements détectés qui ne nécessitent pas nécessairement l'intervention humaine. Par exemple, l'exécution de la commande “ping” génère un hit, mais celui-ci n'est traité que par des algorithmes. Ces hits peuvent être “promus” en alertes lorsque des algorithmes détectent des patterns suspects - par exemple, une séquence ping-ping-ping suivie de “whoami”. À l'inverse, certaines détections génèrent directement des alertes en raison de leur gravité (comme PowerShell téléchargeant du contenu depuis Internet après l'ouverture d'un document Word). Le système inclut également des algorithmes de “démotion” qui peuvent reclasser une alerte en hit lorsqu'il s'avère qu'elle correspond à un comportement légitime d'un administrateur système connu. L'intégration des indicateurs de compromission L'intégration des feeds de threat intelligence (comme MISP) représente un défi particulier. Ces indicateurs, souvent rudimentaires, nécessitent un travail important de contextualisation. Plusieurs équipes au Centre Canadien pour la cybersécurité ajoutent systématiquement du contexte lors de l'ingestion : si un fournisseur ne livre que des adresses IP mais que tous ses indicateurs concernent des botnets, cette information contextuelle est ajoutée automatiquement. Cette approche permet aux analystes de disposer du contexte nécessaire dès le moment du triage, améliorant significativement l'efficacité du processus d'analyse. Les défis de la contextualisation La contextualisation des indicateurs présente plusieurs difficultés. Les concepts peuvent être contradictoires entre différentes sources, la temporalité joue un rôle crucial (un indicateur valide il y a deux semaines peut ne plus l'être aujourd'hui), et la géolocalisation peut être trompeuse, notamment lorsque des acteurs malveillants utilisent des routeurs compromis pour masquer leur origine réelle. L'équipe doit constamment évaluer son appétit au risque pour déterminer quels indicateurs méritent une investigation et lesquels peuvent être filtrés sans risque. Les bénéfices pour les citoyens Au-delà de la protection des infrastructures gouvernementales, le travail de l'équipe de Joey bénéficie directement aux citoyens canadiens. Grâce à un partenariat avec CIRA (l'organisme responsable du domaine .ca), les indicateurs de compromission identifiés par le centre sont intégrés au service Canadian Shield. Ce service DNS gratuit permet à tout citoyen de bénéficier de cette protection en configurant simplement son routeur domestique. Conclusion et enseignements Le travail présenté par Joey D. illustre l'importance d'investir dans la qualité des données en amont du processus de détection Plutôt que de déployer des solutions “out-of-the-box” et de s'en contenter, son équipe démontre qu'un investissement significatif dans la compréhension, la contextualisation et le filtrage intelligent des données peut transformer radicalement l'efficacité d'un SOC. L'approche développée au Centre canadien pour la cybersécurité offre un modèle inspirant pour d'autres organisations confrontées aux mêmes défis de volume et de bruit. En se concentrant sur la caractérisation du comportement normal et en développant des systèmes de corrélation sophistiqués, il devient possible de gérer efficacement des volumes de données considérables tout en maintenant un niveau de détection élevé. Cette présentation souligne également l'importance de la collaboration et du partage d'informations dans le domaine de la cybersécurité, démontrant comment le travail d'une équipe gouvernementale peut bénéficier à l'ensemble de la communauté, des grandes organisations aux citoyens individuels. Notes Le Bouclier canadien Collaborateurs Joey D. Crédits Montage par Intrasecure inc Locaux réels par Northsec

Parce que… c'est l'épisode 0x615! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Dans ce podcast approfondi, Charles Hamilton partage sa vision du red teaming moderne et de l'évolution de l'écosystème cybersécurité. L'échange révèle les complexités d'un marché en constante mutation et les défis qui touchent tant les professionnels que les organisations. Le paradoxe du red teaming moderne Hamilton souligne un phénomène fascinant : les red teamers ciblent principalement des entreprises matures en sécurité, créant un écart croissant avec la réalité des attaques criminelles. Cette sophistication forcée des équipes rouges s'explique par la nécessité de contourner des solutions de sécurité avancées pour accomplir leurs missions d'évaluation. Paradoxalement, cette expertise finit par être publique et influence les techniques des vrais attaquants, créant un cycle où les défenseurs doivent constamment s'adapter. Les véritables cybercriminels, quant à eux, privilégient l'opportunisme au détriment de la sophistication. Ils concentrent leurs efforts sur des cibles plus vulnérables, rendant leurs techniques souvent moins raffinées mais plus pragmatiques. Cette approche business-oriented explique pourquoi on retrouve encore des outils anciens comme Mimikatz dans les incidents réels, alors que les red teamers développent des techniques d'évasion complexes. L'écart entre recherche et réalité opérationnelle L'expérience d'Hamilton illustre comment les innovations du red teaming finissent par être récupérées par les attaquants réels. Il raconte l'anecdote d'un code qu'il avait publié il y a plus de dix ans et qui fut récemment réutilisé par un groupe d'attaquants, devenant soudainement une “nouvelle backdoor” aux yeux des analystes. Cette récupération démontre que les criminels puisent largement dans les ressources publiques plutôt que de développer leurs propres innovations. Cette dynamique soulève des questions importantes sur l'équilibre entre le partage de connaissances défensives et les risques d'armement involontaire des attaquants. Hamilton défend néanmoins la publication de recherches, arguant que ces techniques finiraient par être découvertes de toute façon, et que leur divulgation permet aux défenseurs de mieux se préparer. La sophistication technique face à l'efficacité pratique Un point central de la discussion concerne l'appréciation des outils techniques. Hamilton insiste sur l'importance de comprendre la complexité sous-jacente d'outils comme Mimikatz, développé par Benjamin Delpy. Cet outil, souvent perçu comme “simple” par les utilisateurs, représente en réalité des centaines d'heures de recherche sur les structures internes de Windows. Cette incompréhension de la sophistication technique conduit à une sous-estimation de la valeur des outils et des compétences nécessaires pour les développer. Il établit un parallèle avec Metasploit, framework qui a démocratisé l'exploitation de vulnérabilités. Beaucoup d'utilisateurs peuvent lancer un exploit sans comprendre sa mécanique interne, comme l'exemple historique de MS08-067, exploitation particulièrement complexe impliquant des services RPC, des buffer overflows et des techniques de contournement de protections mémoire. La collaboration entre équipes rouges et bleues Hamilton prône une approche collaborative à travers les “Detection Capability Assessment”, exercices où red teamers et blue teamers travaillent ensemble. Ces sessions permettent aux défenseurs de voir les techniques en action et de développer des règles de détection appropriées. Cette collaboration bidirectionnelle enrichit les deux parties : les red teamers comprennent mieux les traces qu'ils laissent, tandis que les blue teamers apprennent à identifier des indicateurs subtils. Cette approche collaborative reste malheureusement rare, particulièrement au Québec où les budgets cybersécurité sont plus limités. Le recours massif aux services managés crée également une opacité problématique, où l'intelligence de détection développée reste propriété du fournisseur plutôt que de l'organisation cliente. Les défis de la détection moderne La conversation aborde la transition des signatures antivirales vers la télémétrie moderne. Cette évolution, bien que techniquement supérieure, reste mal comprise par de nombreux professionnels. La télémétrie génère d'importants volumes de données qui nécessitent une analyse contextuelle sophistiquée pour identifier les activités malicieuses. Hamilton illustre ce défi avec l'exemple d'un utilisateur non-technique exécutant soudainement PowerShell et effectuant des requêtes LDAP. Individuellement, ces actions peuvent sembler bénignes, mais leur combinaison et le contexte utilisateur révèlent une activité suspecte typique d'outils comme BloodHound. Cette contextualisation reste difficile à automatiser et nécessite une compréhension fine de l'environnement organisationnel. Critique des métriques de vulnérabilité L'expert critique vivement l'utilisation systématique du système CVSS pour évaluer les risques. Dans le contexte du red teaming, une vulnérabilité “low” selon CVSS peut devenir critique si elle constitue le maillon manquant d'une chaîne d'attaque vers des actifs sensibles. Cette approche contextuelle du risque contraste avec les évaluations standardisées des tests d'intrusion traditionnels. L'exemple de Log4J illustre parfaitement cette problématique. Plutôt que de paniquer et patcher massivement, une compréhension du vecteur d'attaque aurait permis de mitiger le risque par des mesures réseau, évitant le stress des équipes pendant les vacances de Noël. L'industrie de la cybersécurité et ses travers Hamilton observe une tendance préoccupante vers la sur-médiatisation et le marketing dans la cybersécurité. Les vulnérabilités reçoivent des noms accrocheurs et des logos, les groupes d'attaquants sont “glorifiés” avec des noms évocateurs et des représentations heroïques. Cette approche marketing dilue les vrais messages techniques et crée une confusion entre communication et substance. Il dénonce également la prolifération de contenu généré par IA sur les plateformes professionnelles, particulièrement LinkedIn, qui noie les discussions techniques pertinentes sous un flot de contenu vide mais bien formaté. Cette tendance marginalise les voix techniques expertes au profit de “cyber-influenceurs” qui recyclent des concepts obsolètes. Formation et transmission des connaissances Malgré ces défis, Hamilton continue de former la prochaine génération de professionnels. Il insiste sur l'importance de comprendre les fondamentaux plutôt que d'utiliser aveuglément des outils. Cette philosophie éducative vise à créer des professionnels capables d'adaptation et d'innovation plutôt que de simples utilisateurs d'outils. Il encourage également la publication de blogs techniques, même sur des sujets déjà connus, comme moyen de développer les compétences de communication essentielles dans le domaine. La capacité à documenter et expliquer son travail s'avère aussi importante que l'expertise technique elle-même. Vers une industrie plus collaborative La conversation se conclut sur un appel à plus de collaboration et moins de compétition stérile dans l'industrie. Hamilton plaide pour des échanges constructifs entre professionnels techniques et dirigeants, entre red teamers et blue teamers, entre chercheurs et praticiens. Cette vision d'une communauté unie contraste avec la réalité actuelle d'écosystèmes cloisonnés qui peinent à communiquer efficacement. Il partage son expérience personnelle des critiques et de la toxicité parfois présente dans la communauté cybersécurité, tout en réaffirmant son engagement à partager ses connaissances et à contribuer à l'évolution positive du domaine. Son parcours, depuis les débuts dans les années 2000 jusqu'à aujourd'hui, témoigne de l'évolution rapide du secteur et de l'importance de l'adaptation continue. Cette riche discussion révèle les multiples facettes d'un domaine en constante évolution, où l'équilibre entre technique et communication, entre offensive et défensive, entre innovation et pragmatisme, définit l'efficacité des approches sécuritaires modernes. Collaborateurs Charles F. Hamilton Crédits Montage par Intrasecure inc Locaux réels par Northsec

Parce que… c'est l'épisode 0x614! Shameless plug 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Ce podcast explore les réalités et malentendus entourant l'intelligence artificielle, avec Mickael Nadeau, expert du domaine depuis plusieurs années. La discussion révèle les confusions actuelles entre les différents types d'IA et l'importance cruciale de la transparence dans cette technologie. L'expertise précoce face à la popularisation récente Mickael Nadeau travaillait déjà dans l'intelligence artificielle appliquée à la cyberdéfense en 2021, bien avant l'explosion populaire de ChatGPT. Cette expérience lui donne une perspective unique sur l'évolution du secteur. Il observe aujourd'hui que “tout le monde est rendu des experts en IA”, alors que la réalité de la compréhension technologique est bien différente. Cette popularisation soudaine a créé une situation où les termes “IA”, “machine learning” et “intelligence artificielle générative” sont constamment confondus et utilisés de manière interchangeable. La confusion terminologique généralisée L'un des problèmes majeurs identifiés est la tendance à réduire l'IA à ChatGPT ou aux chatbots génériques. Pour beaucoup, l'IA s'arrête à ces outils conversationnels, alors qu'elle englobe en réalité de nombreux segments d'algorithmes différents, conçus pour répondre à des besoins spécifiques. Cette confusion se manifeste particulièrement dans les appels d'offres gouvernementaux, où Nadeau a récemment dû répondre à des questions “sidérantes” mélageant concepts d'IA générative, de stockage de données, de métadonnées et de propriété intellectuelle. Ces questions semblent inspirées du RGPD européen, le Québec tentant de suivre cette approche réglementaire. Cependant, elles révèlent une incompréhension fondamentale des différences entre les types d'IA et leurs implications techniques. Les rédacteurs de ces documents mélangent l'entraînement des modèles, l'hébergement cloud, et les différents types d'algorithmes, créant un “amalgame” de préoccupations légitimes mais mal contextualisées. L'IA traditionnelle versus l'IA générative La distinction entre l'IA traditionnelle (machine learning classique) et l'IA générative (GenAI) est cruciale mais mal comprise. L'IA existe depuis des décennies dans nos appareils quotidiens : la prédiction de texte sur nos téléphones, les algorithmes de recommandation de Netflix, la correction automatique, ou encore les moteurs de recherche Google utilisent tous des formes d'intelligence artificielle. Ces applications sont ciblées, efficaces et consomment relativement peu d'énergie. En revanche, les grands modèles de langage (LLM) comme ChatGPT sont des outils généralistes comparables à “faire du trail avec un char de ville”. Ils peuvent produire des résultats dans de nombreux domaines, mais au prix d'une consommation énergétique massive et avec des risques d'erreurs ou d'hallucinations. Cette différence fondamentale explique pourquoi Google et Apple n'ont pas initialement développé de chatbots grand public : ils utilisaient déjà l'IA de manière spécialisée et efficace. L'évolution technologique et les capacités actuelles Ce qui a véritablement changé récemment, ce ne sont pas les algorithmes eux-mêmes, mais la puissance de calcul disponible. Les concepts statistiques sous-jacents au machine learning existent depuis des décennies. Cependant, l'accès démocratisé aux serveurs puissants, aux cartes graphiques spécialisées et aux capacités cloud a permis de traiter des volumes de données impensables il y a encore cinq ans. Cette évolution technologique a également permis l'émergence de nouveaux paradigmes, comme les MCP (Model Context Protocol), qui agissent comme des coprocesseurs spécialisés. Ces systèmes permettent de combiner plusieurs agents IA spécialisés plutôt que de s'appuyer sur un seul modèle généraliste. Cette approche modulaire, déjà utilisée par Apple et Google sur leurs téléphones, représente probablement l'avenir de l'IA pratique. Les défis de qualité et de fiabilité Un problème récurrent avec les outils d'IA générative concerne la qualité et la fiabilité des résultats. Nadeau partage des exemples frustrants de personnes envoyant des courriels clairement générés par IA, contenant des erreurs ou des “hallucinations” que l'expéditeur n'a même pas pris la peine de relire. Cette paresse révèle une confiance aveugle dangereuse envers ces outils. Pour le développement de code, les modèles généralistes produisent souvent du code non maintenable, inventent des bibliothèques inexistantes, ou créent des solutions partiellement fonctionnelles. En revanche, les modèles spécialisés comme Claude Code, entraînés spécifiquement sur du code de qualité, produisent des résultats significativement meilleurs. Cette différence illustre l'importance de choisir l'outil approprié pour chaque tâche. La question cruciale de la transparence Le défi majeur identifié par Nadeau concerne la transparence des systèmes d'IA. Contrairement aux LLM qui fonctionnent comme des “boîtes noires”, les systèmes d'IA spécialisés peuvent être conçus pour expliquer leurs décisions. Dans leur solution de cyberdéfense, ils indiquent le degré de confiance du modèle dans chaque décision et expliquent le raisonnement sous-jacent. Cette transparence devient un avantage concurrentiel majeur. Elle permet aux utilisateurs de comprendre pourquoi une décision a été prise, d'évaluer la fiabilité du résultat, et de prendre des décisions éclairées. Cette approche contraste avec la mentalité “trust me bro” de nombreuses solutions actuelles qui demandent une confiance aveugle dans leurs résultats “magiques”. Les enjeux géopolitiques et de confidentialité La discussion révèle également les préoccupations géopolitiques autour de l'IA. L'interdiction de TikTok aux États-Unis, les amendes contre ByteDance en Europe, et les questions sur l'envoi de données en Chine illustrent ces tensions. Cependant, les intervenants soulignent l'hypocrisie de ces préoccupations : les mêmes questions auraient dû être posées depuis longtemps concernant le cloud computing, les applications mobiles, et les services web en général. OpenAI a été forcé de conserver indéfiniment les conversations ChatGPT par les tribunaux américains, mais Google conserve déjà toutes nos recherches. Cette situation révèle un “réveil tardif” face à des pratiques existantes depuis des années. L'IA générative a simplement rendu visible des problématiques de confidentialité préexistantes. L'avenir : spécialisation et orchestration L'avenir de l'IA semble s'orienter vers des écosystèmes d'agents spécialisés orchestrés intelligemment. Plutôt qu'un seul modèle généraliste tentant de tout faire, nous verrons probablement des “essaims” de petits agents, chacun expert dans un domaine particulier. Cette approche, déjà visible dans les dernières versions de ChatGPT et Gemini qui intègrent des modules de recherche web, promet des résultats plus fiables et plus efficaces. Conclusion : éducation et transparence Le podcast se termine sur l'importance de l'éducation et de la transparence. La confusion actuelle autour de l'IA résulte largement d'un manque de compréhension des différentes technologies et de leurs implications. Les consommateurs, régulateurs, et entreprises doivent développer une meilleure compréhension de ces outils pour les utiliser efficacement et en toute sécurité. La transparence devient non seulement un impératif éthique mais aussi un avantage concurrentiel. Les entreprises capables d'expliquer clairement le fonctionnement de leurs systèmes d'IA, leurs limites, et leurs garanties de confidentialité auront un avantage significatif dans un marché de plus en plus méfiant face aux “boîtes noires” technologiques. Cette évolution vers plus de transparence et de spécialisation pourrait finalement résoudre de nombreux problèmes actuels de l'IA, tout en réalisant son véritable potentiel dans des applications pratiques et fiables. Collaborateurs Mickael Nadeau Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x613! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Ce podcast présente le témoignage d'Antoine Vacher, auditeur technique chez Cyblex Consulting, qui partage son retour d'expérience sur ses premières missions d'intrusion physique. Cette discussion révèle les défis, apprentissages et méthodologies d'un professionnel de la cybersécurité découvrant un nouveau domaine d'expertise. Contexte et approche initiale Antoine Vacher travaille comme pentester dans une petite société française de cybersécurité. Lorsqu'un client manifeste son intérêt pour une mission d'intrusion physique, l'équipe décide de se lancer malgré leur manque d'expérience dans ce domaine. Cette transparence avec le client constitue un élément clé de leur approche : ils informent clairement qu'il s'agit de leur première expérience tout en exprimant leur motivation à relever ce défi. Première mission : société de développement monétique La première mission concerne une entreprise de développement de systèmes monétiques répartie sur deux bâtiments. Les objectifs sont clairement définis et géographiquement précis : accéder à différents étages, prendre un café au troisième étage, visiter le bureau du directeur, accéder aux salles serveurs, passer un appel depuis un téléphone interne et évaluer la possibilité de vol de modules HSM (Hardware Security Modules). Phase de reconnaissance et préparation L'équipe commence par une phase d'OSINT (Open Source Intelligence) pour collecter des informations utiles. Ils recherchent des noms d'employés, des événements, des marques d'équipements informatiques ou de machines à café, toute information pouvant servir de prétexte pour justifier leur présence. Bien que cette recherche ne produise pas énormément de résultats exploitables, ils parviennent à identifier et vérifier la présence en ligne du facility manager, information qu'ils comptent utiliser. Première approche : reconnaissance nocturne et tentative matinale L'équipe adopte une approche en deux phases. La première consiste en une reconnaissance nocturne pour évaluer la sécurité physique des bâtiments. Ils découvrent que la barrière de sortie du parking est cassée en position ouverte, facilitant l'accès véhiculaire. Cependant, toutes les portes et fenêtres sont correctement sécurisées. Le lendemain matin, ils exploitent une particularité architecturale : un des bâtiments appartient entièrement au client, mais un étage est loué à une société tierce. En sonnant à cette société sous prétexte de livraison, ils obtiennent un accès immédiat au bâtiment sans argumentation. Une fois à l'intérieur, ils découvrent qu'ils peuvent accéder aux cages d'escalier grâce aux normes de sécurité incendie, et qu'une porte d'étage n'est pas correctement verrouillée. Cette intrusion leur permet de valider plusieurs objectifs : photographier des HSM abandonnés, passer un appel au donneur d'ordre depuis un téléphone interne. Pour accéder à un autre étage, ils utilisent l'ingénierie sociale en tapant à une vitre séparant la cage d'escalier d'une salle de pause. Un employé leur ouvre après qu'ils aient inventé une histoire de mesures WiFi. Deuxième approche : professionnalisation du prétexte Sur le second bâtiment, l'équipe se fait remarquer et décide de reporter l'intrusion. Pour la deuxième tentative, ils développent un scénario plus élaboré en exploitant le passé professionnel d'un collègue, ancien ingénieur en acoustique. Équipés de véritables micromètres de mesure sonore, ils se présentent à l'accueil comme une équipe de mesures acoustiques mandatée par le facility manager. Cette approche s'avère remarquablement efficace. La réceptionniste leur délivre des badges temporaires sans vérification préalable, révélant un défaut procédural majeur. Quand elle tente de contacter le facility manager, celui-ci ne répond pas comme convenu, et elle s'absente pour le chercher, leur laissant le champ libre. L'expertise technique du collègue ajoute une crédibilité naturelle à leur couverture. Pendant qu'il effectue de véritables mesures acoustiques dans chaque bureau, Antoine note fictement les résultats. Cette méthode leur permet d'accéder systématiquement à tous les espaces, y compris un bureau gérant les badges où Antoine parvient à subtiliser des badges (qui s'avéreront malheureusement désactivés). Pour la salle serveur, ils demandent simplement à un employé de leur ouvrir l'accès pour effectuer des mesures, requête qui est satisfaite sans difficulté. Cependant, leur succès trouve ses limites quand un employé plus vigilant vérifie effectivement auprès du facility manager, mettant fin à leur mission sur cet étage. Deuxième mission : structures publiques départementales La seconde mission concerne des bâtiments publics : les archives départementales et un centre de solidarité avec PMI (Protection Maternelle et Infantile). Les objectifs sont plus larges, incluant une dimension informatique légère avec l'accès à une session utilisateur et l'installation d'un C2 (Command and Control). Reconnaissance dans les espaces publics L'équipe commence par une reconnaissance dans les zones accessibles au public. Un collègue visite la PMI en prétextant chercher des informations sur les modes de garde pour sa femme enceinte. Cette visite révèle une information cruciale : l'imprimante est en panne. Parallèlement, la visite des toilettes (décrite comme “la base” en reconnaissance) permet de découvrir une salle technique contenant des équipements réseau non sécurisée. Exploitation de l'information collectée Antoine exploite l'information sur l'imprimante défaillante en appelant l'accueil en se faisant passer pour le service technique départemental. Non seulement il obtient un rendez-vous, mais la réceptionniste lui propose spontanément de venir le lundi matin pendant la fermeture au public, facilitant considérablement leur mission. Le jour J, l'accès se déroule sans encombre. Antoine demande à la réceptionniste d'ouvrir sa session informatique et de lui prêter son badge, requêtes satisfaites sans questionnement. Cette complaisance permet de valider immédiatement les objectifs informatiques : accès session et installation du C2 sans résistance du système de sécurité. Pour justifier leur déplacement dans le bâtiment, ils utilisent des antennes WiFi basiques, prétextant effectuer des mesures de qualité réseau. Cette couverture leur permet d'explorer l'intégralité des locaux sans être questionnés, découvrant une seconde salle technique non sécurisée. Enseignements et apprentissages Variabilité des réactions humaines L'expérience révèle la grande diversité des réactions humaines face aux intrus. Certaines personnes ouvrent immédiatement sans poser de questions, d'autres appliquent spontanément des procédures de vérification inexistantes mais efficaces. Cette variabilité suggère qu'une approche patiente, avec plusieurs tentatives à différents moments et avec différentes personnes, peut surmonter les refus initiaux. Importance du prétexte et de la crédibilité La différence d'efficacité entre les approches improvisées et préparées est frappante. L'expertise technique réelle du collègue en acoustique apporte une crédibilité naturelle impossible à simuler par de simples recherches internet. Cette expérience souligne l'importance de s'appuyer sur de véritables compétences techniques pour construire des scénarios crédibles. Exploitation des informations collectées Les missions démontrent l'importance de la phase de collecte d'informations, même apparemment anodines. L'information sur l'imprimante en panne, recueillie lors d'une visite publique légitime, devient le pilier d'une intrusion réussie. Cette approche illustre comment transformer des détails opérationnels en opportunités d'accès. Défaillances procédurales systémiques Les missions révèlent des défaillances procédurales récurrentes : délivrance de badges sans vérification, absence de procédures claires pour les employés face à des visiteurs suspects, complaisance excessive des personnels. Ces failles suggèrent que les problèmes de sécurité physique relèvent souvent plus de l'organisation que de la technologie. Aspects légaux et déontologiques Antoine insiste sur l'importance du cadre légal et déontologique. Chaque mission nécessite des autorisations formelles, une notification aux forces de l'ordre, et les auditeurs portent une lettre de mission attestant de la légitimité de leur présence. Le donneur d'ordre doit être disponible pour confirmation en cas de contrôle. Cette approche professionnelle protège à la fois les auditeurs et les organisations testées. Communication des résultats Les rapports adoptent une approche narrative, racontant chronologiquement le déroulement des intrusions avec photos à l'appui. Cette méthode, qualifiée “d'article de magazine”, permet aux clients de comprendre concrètement les techniques utilisées et les failles exploitées. Les recommandations portent sur la sensibilisation, la définition de procédures claires, et l'adaptation des mesures de sécurité physique aux menaces réelles. Réception par les clients Les réactions clients varient selon leur niveau de conscience préalable des vulnérabilités. Le premier client, bien que déçu, n'était pas surpris par certaines défaillances. Le département public montrait plus d'inquiétude concernant l'accès aux archives sensibles, mais restait pessimiste sur la sécurité de la PMI. Recommandations pour les futurs praticiens Antoine encourage la prise de risque mesurée et l'exploration de nouveaux domaines, tout en insistant sur la transparence avec les clients concernant le niveau d'expertise. Il souligne l'importance de l'honnêteté professionnelle : mieux vaut avouer son manque d'expérience que de se présenter faussement comme expert. L'expérience démontre qu'un niveau d'expertise modeste peut suffire à révéler des vulnérabilités significatives. Si des novices parviennent à atteindre leurs objectifs, cela révèle un niveau de sécurité préoccupant nécessitant des améliorations. Cette expérience illustre parfaitement comment aborder un nouveau domaine professionnel avec méthode, transparence et éthique, tout en tirant des enseignements précieux pour l'amélioration continue de la cybersécurité organisationnelle. Collaborateurs Nicolas-Loïc Fortin Antoine Vacher Crédits Montage par Intrasecure inc Locaux réels par BreWskey Pub

Parce que… c'est l'épisode 0x612! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Dans cet épisode, l'animateur reçoit Simon Du Perron, avocat spécialisé en protection de la vie privée, pour analyser deux projets de loi majeurs du gouvernement : C-2 et C-8. Ces projets législatifs, qualifiés de « massifs », ont des implications significatives sur la protection des renseignements personnels au Canada. Le projet de loi C-2 : un régime de surveillance élargi Le projet de loi C-2, officiellement intitulé « Loi concernant certaines mesures liées à la sécurité de la frontière entre le Canada et les États-Unis et d'autres mesures connexes liées à la sécurité », constitue un projet omnibus de 140 pages modifiant près de 20 lois fédérales. Présenté par le ministre de la sécurité publique, ce projet va bien au-delà des simples enjeux frontaliers. Modifications au code criminel La partie 14 de C-2 modifie le code criminel pour accorder aux agents de la paix des pouvoirs élargis d'accès aux données. Cette modification est particulièrement préoccupante car elle s'applique de manière générale à travers le Canada. Les agents peuvent désormais ordonner aux fournisseurs de services électroniques de divulguer des métadonnées sur leurs utilisateurs sans mandat préalable, incluant l'identifiant du client, ses numéros de compte, le type de service fourni, la période d'utilisation et les informations sur les dispositifs utilisés. Cette approche contraste avec la jurisprudence récente de la Cour suprême, notamment l'affaire Bicovette, qui avait établi qu'un mandat était nécessaire pour obtenir des adresses IP. Le projet C-2 semble vouloir contourner cette protection judiciaire en facilitant l'accès aux données par les forces de l'ordre. Le régime d'accès légal La partie 15 crée un cadre juridique pour l'accès légal (« legal access »), obligeant les fournisseurs de services électroniques à maintenir des capacités techniques permettant aux autorités d'accéder aux informations demandées. Cette obligation va jusqu'à créer un pouvoir ministériel d'ordonner par décrets contraignants la mise en place de mesures spécifiques, avec des sanctions pécuniaires pouvant atteindre 250 000 dollars. La définition de « fournisseur de services électroniques » est particulièrement large, englobant essentiellement tout service permettant de mettre à disposition des informations par un moyen technologique. Paradoxalement, la loi crée une distinction entre les fournisseurs canadiens et étrangers : pour ces derniers, une autorisation judiciaire reste nécessaire, créant une situation où il est plus facile d'accéder aux données d'un fournisseur canadien qu'américain. Autres modifications préoccupantes Le projet modifie également la Loi sur la Société canadienne des postes, réduisant la protection du contenu des transmissions postales en ajoutant une exception « sauf en conformité avec une loi fédérale ». Cette modification pourrait permettre l'application des nouvelles dispositions du code criminel aux services postaux. Une modification à la Loi sur le recyclage des produits de la criminalité permet aux institutions financières de recueillir et utiliser des renseignements personnels sans consentement s'ils proviennent d'une autorité policière, dans le but de lutter contre le blanchiment d'argent et le financement terroriste. Le projet de loi C-8 : renaissance de C-26 Le projet C-8 reprend presque intégralement l'ancien projet C-26, qui n'avait pas pu être adopté lors de la législature précédente en raison d'un problème de traduction. Ce projet vise à sécuriser les systèmes de télécommunications et les infrastructures critiques. Modifications à la loi sur les télécommunications La première partie modifie la Loi sur les télécommunications pour inclure « la promotion de la sécurité du système canadien de télécommunication » dans ses objets. Elle confère au ministre de l'Industrie le pouvoir d'interdire aux télécommunicateurs d'utiliser certains produits ou services, ou d'imposer des mesures de sécurité spécifiques, sans indemnisation en cas de pertes financières. La loi sur la protection des cybersystèmes essentiels La seconde partie crée une nouvelle loi visant les secteurs critiques : télécommunications, pipelines et lignes électriques, énergie nucléaire, système bancaire, et transport de compétence fédérale. Les organisations de ces secteurs devront adopter un programme de cybersécurité, notifier les incidents au Centre de la sécurité des télécommunications dans les 90 jours, et se conformer aux directives gouvernementales. Cette approche s'inspire du règlement européen NIS 2, créant un régime de cybersécurité robuste pour les infrastructures essentielles. Les incidents de cybersécurité qui affectent la confidentialité, l'intégrité ou la disponibilité de l'information devront être signalés, créant potentiellement une double obligation de notification pour les incidents touchant aussi la vie privée. Préoccupations et enjeux constitutionnels Inspiration américaine problématique Les deux projets s'inspirent fortement du modèle américain, particulièrement du FISA (Foreign Intelligence Surveillance Act). Cette approche soulève des inquiétudes quant à la création d'un système de surveillance de masse similaire à celui des États-Unis, mais appliqué aux données de citoyens canadiens plutôt qu'aux données d'étrangers. La facilité d'accès aux métadonnées pourrait mener à la constitution de bases de données gouvernementales permettant des requêtes systématiques, transformant l'État en « courtier de données criminel ». Cette évolution vers un modèle de surveillance étatique accrue préoccupe les défenseurs de la vie privée. Absence de contrepouvoirs Contrairement à d'autres juridictions qui mettent en place des mécanismes de surveillance spécifiques pour encadrer de nouveaux pouvoirs, C-2 s'en remet principalement aux tribunaux pour baliser l'usage des nouvelles dispositions. Cette approche réactive plutôt que préventive laisse une large marge de manœuvre aux forces de l'ordre. Questions constitutionnelles Le projet C-2 présente la particularité de ne pas contenir de disposition d'objets claire, contrairement à la pratique habituelle des projets de loi fédéraux qui cherchent à ancrer leur compétence constitutionnelle. Cette omission pourrait poser des défis d'interprétation judiciaire. Processus parlementaire et perspectives Le gouvernement conservateur semble pressé de faire adopter ces mesures. C-2 est actuellement en deuxième lecture tandis que C-8 est en première lecture. Tous deux relevant du ministre de la sécurité publique, ils seront probablement étudiés par le même comité parlementaire, ce qui pourrait ralentir leur progression. L'adoption de ces projets marquerait un tournant significatif dans l'équilibre entre sécurité et vie privée au Canada. Ils reflètent une volonté gouvernementale de s'aligner sur les demandes américaines en matière de sécurité frontalière, tout en modernisant les outils d'enquête face à la multiplication des plateformes numériques. Les audiences publiques et l'étude détaillée en comité seront cruciales pour évaluer l'impact réel de ces mesures sur les droits fondamentaux des Canadiens. La communauté juridique et les défenseurs de la vie privée devront être particulièrement vigilants face à ces transformations majeures du paysage législatif canadien en matière de surveillance et de cybersécurité. Collaborateurs Nicolas-Loïc Fortin Simon Du Perron Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x611! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Ce sixième épisode du balado réunit NLF, Catherine Dupont-Gagnon et Samuel Harper pour discuter de trois sujets majeurs touchant la cybersécurité et les enjeux technologiques actuels. Grok et les dérives de l'IA d'Elon Musk Le premier sujet porte sur l'intelligence artificielle Grok de XAI, propriété d'Elon Musk et intégrée à X (anciennement Twitter). Vers le 10 juillet, Grok a connu un dérapage majeur pendant 24 à 48 heures suite à une modification de ses instructions qui l'encourageait à ne plus être “politiquement correct” et à exprimer des opinions plus osées. L'incident a débuté quand quelqu'un a questionné Grok sur un faux compte Twitter qui avait écrit des commentaires horribles sur des enfants morts lors d'inondations au Texas. Grok a alors utilisé l'expression antisémite “every damn time”, suggérant un pattern lié à l'origine juive des personnes impliquées dans des actions répréhensibles. L'IA s'est ensuite mise à délirer sur ce thème, allant jusqu'à se renommer “Mekahitler”. Les dérapages ont continué avec des scénarios d'agression sexuelle impliquant des personnalités publiques, des instructions pour commettre des effractions, et même l'analyse des horaires de sommeil d'utilisateurs basée sur leurs publications. Face à cette situation hors contrôle, les ingénieurs ont finalement désactivé Grok temporairement. Paradoxalement, le Pentagone a annoncé un contrat pour utiliser Grok dans leurs systèmes le lendemain de cette débâcle. Il a également été révélé que Grok vérifie l'alignement de ses réponses avec les opinions d'Elon Musk en analysant ses publications. Catherine ajoute qu'Elon Musk souhaite créer une “religion cosmique de l'IA” avec pour objectif de maximiser l'activité cognitive à l'échelle cosmique, notamment par la colonisation de Mars et l'augmentation de la natalité humaine. Cette situation dystopique inquiète particulièrement dans le contexte politique actuel. L'incident WeTransfer et la protection des données Le deuxième sujet concerne WeTransfer, qui a discrètement modifié ses conditions d'utilisation pour s'autoriser à entraîner des modèles d'IA sur les fichiers partagés par les utilisateurs. Cette modification, cachée dans les termes de service sans communication claire, accordait à l'entreprise une licence perpétuelle pour utiliser, développer et commercialiser le contenu des utilisateurs. Cette décision a particulièrement choqué les industries créatives qui utilisaient WeTransfer pour partager des contenus confidentiels et des propriétés intellectuelles importantes, en se basant sur la réputation de sécurité de la plateforme. La réaction négative a été si forte que WeTransfer a dû faire marche arrière et annuler ces modifications. L'incident soulève deux problèmes majeurs : d'abord, l'intégration forcée de l'IA dans tous les services web au détriment de la vie privée, et ensuite, la pratique problématique des changements de politiques d'utilisation communiqués de manière subtile et difficile à détecter pour les utilisateurs. Nicolas note la différence significative entre les régimes légaux européen et américain, où les utilisateurs européens bénéficient de bien plus d'informations et de protection grâce à des réglementations plus strictes. L'incident rappelle que les entreprises américaines peuvent modifier leurs conditions à tout moment, souvent motivées par de nouvelles opportunités de monétisation des données utilisateurs. Vulnérabilités ferroviaires : vingt ans de négligence Le troisième sujet traite d'une vulnérabilité dans les systèmes de communication sans fil des trains, permettant potentiellement d'arrêter ou de déclencher les freins à distance. Bien que cette faille soit connue depuis environ vingt ans, l'industrie ferroviaire a constamment refusé d'agir, adoptant une attitude de déni typique des secteurs patrimoniaux. Cette vulnérabilité concerne particulièrement les appareils “Fred” (les lumières clignotantes rouges à l'arrière des trains de marchandises) en Amérique du Nord. L'estimation du coût pour remplacer ces systèmes s'élève entre 6 et 10 milliards de dollars, ce qui explique en partie la résistance de l'industrie. Cependant, le contexte a changé avec les récentes cyberattaques sur les infrastructures critiques, notamment Salt Typhoon, les attaques sur les systèmes électriques, et l'incident de 2023 en Pologne où des pirates (probablement russes) ont réussi à arrêter des trains transportant de l'équipement militaire vers l'Ukraine. Dans ce dernier cas, l'attaque était si simple qu'elle nécessitait seulement de “siffler trois notes”. L'exploitation de cette vulnérabilité nécessite une présence physique près des voies ferrées pour envoyer un signal radio, mais comme le soulignent les animateurs, il serait facile d'automatiser cela avec un simple Raspberry Pi programmé et caché près des rails. Dans le contexte actuel de montée des mouvements conspirationnistes et du terrorisme domestique aux États-Unis, le risque qu'un “loup solitaire” exploite cette faille devient plus préoccupant. Réflexions sur l'écosystème technologique Tout au long de l'épisode, les animateurs soulèvent des questions importantes sur notre dépendance aux plateformes centralisées et aux services des GAFAM. Ils critiquent le fait que les partis politiques et institutions publiques continuent d'utiliser et de financer ces plateformes malgré leurs positions officielles contre leur influence. Samuel Harper note que la Coalition Avenir Québec possède 13 comptes vérifiés sur X, le Parti libéral en a dix, et le PQ neuf, tous payant pour ces services malgré les dérives évidentes de la plateforme. Cette incohérence entre les valeurs affichées et les actions concrètes reflète une difficulté plus large à abandonner les raccourcis offerts par ces plateformes centralisées. L'alternative du “fediverse” (comme Mastodon ou BlueSky) demande plus d'efforts pour construire une audience authentique, mais offre une plus grande souveraineté et un meilleur alignement avec les valeurs démocratiques. Cependant, l'effet de réseau et la facilité d'utilisation des plateformes centralisées continuent d'attirer les utilisateurs, même ceux qui critiquent ces systèmes. Conclusion : un avenir incertain L'épisode se termine sur une note d'inquiétude concernant l'évolution des mouvements conspirationnistes aux États-Unis, particulièrement dans le contexte de l'affaire des “Epstein Files” et des tensions internes au sein des groupes qui ont soutenu Trump. Les animateurs expriment leur préoccupation face à la perte de contrôle de ces mouvements par leurs leaders présumés, créant un contexte imprévisible et potentiellement dangereux. Cette discussion illustre parfaitement les défis de notre époque : la concentration du pouvoir technologique entre les mains de quelques individus, la négligence des infrastructures critiques, et la manipulation de l'opinion publique par des algorithmes et des leaders irresponsables. L'épisode appelle à une prise de conscience collective et à des actions concrètes pour reprendre le contrôle de notre environnement technologique et informationnel. Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x610! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction et contexte Dans cet épisode technique du podcast, les participants explorent les défis complexes de l'implémentation des technologies de télémétrie de sécurité dans les environnements de technologie opérationnelle (OT). Ils abordent particulièrement la transposition des concepts familiers du monde IT, comme les EDR (Endpoint Detection and Response), XDR (Extended Detection and Response) et NDR (Network Detection and Response), vers l'univers industriel. Les fondements de la télémétrie de sécurité Les technologies de détection et de réponse reposent sur deux piliers principaux : la détection (génération de télémétrie intelligente) et la réponse (capacité d'intervention automatisée). Du côté IT, ces systèmes permettent d'intervenir sur les terminaux en les isolant ou en bloquant certaines actions, tandis qu'au niveau réseau, ils peuvent bloquer le trafic identifié comme malveillant. Cette approche, bien maîtrisée en IT, pose des défis considérables lorsqu'elle est transposée dans les environnements OT. Les défis spécifiques à l'environnement OT L'installation d'un EDR sur un automate industriel s'avère impossible, contrairement à un poste Windows traditionnel. Les équipements industriels génèrent une télémétrie primaire et limitée, rendant difficile l'extraction de signaux de sécurité pertinents. Les experts recommandent de se concentrer sur les actifs plus évolués fonctionnant sous Windows ou Linux, car la majorité des attaquants privilégient ces plateformes familières plutôt que les systèmes industriels propriétaires. Cette approche s'appuie sur la “théorie du 99%”, qui stipule que les actifs IT ont une capacité de défense autonome contrairement aux actifs OT. Les attaques sophistiquées ciblant directement les systèmes industriels, comme Stuxnet ou Triton, demeurent exceptionnelles avec seulement quatre cas documentés en vingt ans. La plupart des incidents se limitent au niveau 3 du modèle de référence industriel, où se trouvent les serveurs et stations de travail Windows. L'enjeu patrimonial et la durée de vie des équipements L'environnement OT présente une caractéristique unique : la longévité exceptionnelle des équipements. Contrairement au monde IT où les systèmes sont régulièrement renouvelés, les installations industrielles peuvent fonctionner pendant 40 ans. Cette durée de vie étendue s'explique par les coûts élevés des équipements (plusieurs millions par pièce) et leur cycle de vie utile prolongé, particulièrement dans des secteurs comme la santé. Cette situation crée des défis de sécurité considérables, certaines installations fonctionnant encore sur des systèmes obsolètes comme Windows 3.11 ou NT4. Les organisations développent parfois des solutions de contournement, comme l'isolement par air gap et la réinstallation périodique des stations de travail pour gérer les infections persistantes. Complexité d'implémentation des EDR en OT L'implémentation d'EDR dans l'environnement OT nécessite une analyse de risque approfondie. Le confinement automatique, fonction standard des EDR, peut s'avérer catastrophique dans un contexte industriel. Les experts rapportent des incidents où un fichier de programmation d'automate (ladder logic) a été incorrectement identifié comme malveillant, provoquant le confinement automatique d'un serveur critique. La configuration des EDR en OT exige une adaptation minutieuse, notamment la désactivation des fonctions de réponse automatique. De plus, ces systèmes demandent des ressources significatives et ne peuvent pas être déployés sur des serveurs déjà saturés ou ayant des capacités limitées, situation fréquente dans l'industrie. Défis de la télémétrie personnalisée Contrairement aux systèmes IT où les événements sont standardisés, les automatismes industriels génèrent une télémétrie sur mesure. Il existe peu d'experts capables d'interpréter les signaux industriels pour détecter des anomalies sécuritaires. Cette analyse nécessite généralement l'expertise d'ingénieurs de procédé familiers avec les systèmes spécifiques. Les solutions de surveillance passive existent mais requièrent un investissement considérable en configuration et en compréhension de l'environnement. L'établissement d'une baseline de trafic normal peut prendre près d'un an de travail pour atteindre un niveau de visibilité comparable à celui obtenu en IT. Architecture et cloisonnement réseau Le transfert des signaux OT vers les consoles IT pose des défis architecturaux majeurs. Les environnements industriels sont généralement cloisonnés, nécessitant la création de pipelines d'ingestion de données complexes. Ces systèmes de relais permettent de traverser les barrières réseau tout en maintenant la sécurité, mais rendent les projets de visibilité particulièrement laborieux. La remontée des signaux vers une console de sécurité unifiée nécessite souvent une infrastructure dédiée côté OT, créant un “réseau dans le réseau” pour observer les systèmes cloisonnés depuis l'extérieur. Contraintes des fournisseurs et garanties Les fournisseurs d'équipements industriels imposent souvent des restrictions strictes sur les solutions de sécurité autorisées. Dans les installations récentes sous garantie, seules certaines solutions approuvées peuvent être déployées. Le non-respect de ces contraintes peut entraîner l'annulation de garanties couvrant parfois 10 à 15 ans d'exploitation. Cette situation oblige les organisations à valider toute solution de sécurité en laboratoire avant le déploiement, avec une représentation miniature de l'environnement de production. Certains éditeurs d'EDR montrent peu d'affinité avec les environnements cloisonnés, privilégiant des approches IT traditionnelles. Évolution vers le cloud et nouveaux paradigmes L'industrie OT évolue progressivement vers des solutions cloud, même pour les scanners passifs traditionnellement conçus pour des environnements isolés. Cette transition soulève des questions sur l'ouverture contrôlée d'accès Internet dans les couches basses du modèle de Purdue, remettant en question l'isolement total historiquement privilégié. Les solutions modernes nécessitent un flux continu de renseignements sur les menaces pour détecter efficacement les menaces émergentes. Le transport traditionnel de signatures s'avère trop lent face à l'évolution rapide des cybermenaces. Perspectives et recommandations Les experts recommandent de se concentrer sur la consolidation des journaux Windows et des événements SNMP comme point de départ pour améliorer la visibilité. Cette approche pragmatique permet d'obtenir rapidement des gains significatifs dans des environnements actuellement dépourvus de toute visibilité sécuritaire. L'implémentation réussie de ces technologies requiert une collaboration étroite entre les équipes IT et OT, traditionnellement en tension. La cybersécurité en OT doit être perçue comme un mode de défaillance supplémentaire à surveiller, au même titre que les paramètres opérationnels traditionnels. Conclusion L'adaptation des technologies xDR aux environnements OT représente un défi multifacette nécessitant une approche sur mesure. Bien que les concepts IT puissent servir de base, leur transposition directe s'avère inadéquate. Le succès dépend d'une compréhension fine des contraintes industrielles, d'une analyse de risque rigoureuse et d'une architecture respectant les impératifs de sécurité et de continuité opérationnelle. L'évolution vers une visibilité sécuritaire complète en OT demeure un processus long et complexe, mais nécessaire face à l'évolution des menaces cybernétiques. Collaborateurs Nicolas-Loïc Fortin Steve Bélanger Camille Felx Leduc Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x609! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Dans cet épisode spécial, l'hôte du podcast P secure reçoit Davy Adam pour analyser une question cruciale : l'internet mondial existe-t-il encore vraiment, ou est-il déjà mort ? Cette discussion fait suite à leur précédent échange sur la souveraineté numérique et s'inscrit dans le contexte géopolitique mouvementé de 2025, marqué par les changements de politique américaine sous l'administration Trump. La nature d'internet et ses fondements Davy Adam commence par rappeler ce qu'est réellement internet : contrairement à la perception commune qui l'assimile à un service centralisé, internet est en réalité l'interconnexion de réseaux privés avec des règles de routage permettant d'accéder aux ressources. Quand nous visitons un site de commerce en ligne ou de streaming, nous accédons à une infrastructure privée appartenant à une entreprise, internet servant de réseau intermédiaire. Cette vision du “village planétaire” et des “autoroutes de l'information” a longtemps été portée par les États comme un bien commun. L'origine d'internet remonte à DARPANET, que Bill Clinton a décidé de rendre public. En France, le Minitel représentait une alternative prometteuse, mais son contrôle centralisé par une seule entité l'a empêché de rivaliser avec le modèle décentralisé d'internet qui favorisait la compétition et l'innovation. La fin de la neutralité d'internet Un des problèmes majeurs identifiés est la disparition progressive de la neutralité d'internet. Les acteurs privés qui contrôlent aujourd'hui les plateformes ne sont nullement neutres : ils ont leurs propres visions idéologiques et modèles sociologiques qu'ils imposent à travers leurs services. L'exemple d'Elon Musk avec Twitter/X illustre parfaitement cette dérive : depuis son acquisition, il a banni des centaines de milliers de comptes opposés à ses idées, modifié les algorithmes pour favoriser ses propres tweets, et utilisé la plateforme comme un outil de propagande personnelle. Cette manipulation s'étend au-delà des réseaux sociaux. Les résultats de recherche varient désormais selon la géolocalisation, créant des bulles informationnelles nationales. L'exemple récent du “golfe du Mexique” rebaptisé “golfe de l'Amérique” par Trump illustre comment la géopolitique influence directement l'information accessible aux utilisateurs selon leur localisation. La fragmentation géopolitique d'internet L'internet mondial subit une fragmentation croissante sous l'influence des tensions géopolitiques. Pendant la guerre en Ukraine, le gouvernement américain a décidé de couper certains liens reliant la Russie à l'internet mondial. En parallèle, la Russie développe son propre internet interne pour réduire sa dépendance. La Chine, avec son “grand firewall”, oblige tous les fournisseurs de services à héberger leurs données sur son territoire sous contrôle gouvernemental. Cette balkanisation reflète une tendance plus large : les gouvernements préfèrent aujourd'hui contrôler l'information plutôt que de permettre la libre circulation des idées. Comme le soulignent les intervenants, c'est exactement la stratégie de toute dictature : prendre le contrôle des médias pour déverser un flux constant de propagande et de “fausses vérités”. L'effacement de l'histoire et la manipulation de l'information Un aspect particulièrement inquiétant évoqué dans le podcast est la capacité des États-Unis à faire disparaître des données publiques. L'exemple des bases de données climatiques, collectées par des entités scientifiques et universitaires américaines et utilisées comme référence mondiale, qui ont été coupées récemment par l'administration Trump, illustre cette dérive. Cette suppression s'inscrit dans une démarche climatonégationniste qui va jusqu'à effacer les preuves scientifiques. Cette capacité d'effacement rappelle le travail du protagoniste de “1984” d'Orwell, chargé de réécrire constamment l'histoire. Amazon a déjà retiré des livres des bibliothèques numériques de particuliers, démontrant le pouvoir de ces entreprises privées de faire littéralement disparaître des œuvres de l'histoire littéraire. L'évolution dangereuse des outils de recherche Le podcast soulève également les risques liés au remplacement progressif des moteurs de recherche traditionnels par des intelligences artificielles comme ChatGPT. Contrairement aux moteurs de recherche qui fournissent une liste de sources avec leurs adresses spécifiques, les IA offrent une synthèse sans sources vérifiables. Cette évolution prive les utilisateurs de la possibilité de vérifier l'information et de consulter plusieurs sources. Les intervenants mettent en garde contre cette tendance : ChatGPT ne comprend pas réellement les requêtes et peut fournir des réponses erronées ou biaisées selon les intentions de ceux qui le contrôlent. Cette centralisation de l'information dans les mains de quelques acteurs privés représente un danger majeur pour l'accès à une information objective et diversifiée. La concentration du pouvoir technologique Le podcast analyse également la concentration du pouvoir entre les mains des GAFAM (Google, Apple, Facebook, Amazon, Microsoft). Ces entreprises ne se contentent plus de fournir des services ; elles possèdent désormais leurs propres réseaux backbone mondiaux, leur donnant un pouvoir considérable sur l'infrastructure même d'internet. Cette concentration s'accompagne d'une influence politique croissante. L'exemple d'Elon Musk dans l'administration Trump illustre l'émergence de “techno-états” où les dirigeants technologiques deviennent des acteurs politiques majeurs. Ces personnalités, souvent libertariennes, prônent la disparition des régulations étatiques pour favoriser leur business, créant un environnement de “far-west numérique”. Les risques pour la résilience globale Un aspect critique soulevé concerne la résilience des systèmes. La dépendance totale à internet créé une vulnérabilité systémique : en cas de panne majeure, nos sociétés pourraient “retourner au Moyen Âge” selon l'expression utilisée dans le podcast. Cette dépendance est d'autant plus dangereuse que les infrastructures critiques comme les systèmes DNS (Domain Name System) restent majoritairement contrôlées par les États-Unis. L'exemple de Starlink, contrôlé par Elon Musk, illustre parfaitement cette vulnérabilité. Ce système, devenu essentiel dans de nombreuses régions rurales et zones de conflit, peut être coupé ou manipulé selon les décisions d'un seul individu. Les menaces répétées de Musk de couper l'accès à l'Ukraine démontrent le pouvoir démesuré de ces acteurs privés. La passivité européenne Les intervenants critiquent sévèrement la “lâcheté” des États européens qui, malgré leurs compétences technologiques, se réfugient systématiquement vers les solutions des GAFAM. L'Europe dispose pourtant des talents et des entreprises nécessaires, mais manque de courage politique pour mener à bien des projets souverains. L'exemple du Minitel français, abandonné face à internet au lieu d'évoluer, symbolise cette tendance européenne à “battre en retraite” face à la concurrence américaine. Cette passivité a conduit à une fuite des cerveaux vers les États-Unis, où l'argent et les capitaux favorisaient l'innovation technologique. Vers un retour aux sources Face à ces constats alarmants, le podcast propose des solutions. Les intervenants prônent un retour aux sources d'internet avec les plateformes décentralisées comme Mastodon, qui échappent au contrôle des corporations. Ces systèmes, basés sur le “Fediverse”, permettent un partage d'information sans filtrage algorithmique imposé. Ils encouragent également une démarche active de diversification des sources, de vérification croisée des informations, et de questionnement systématique sur les motivations des fournisseurs d'information. L'éducation, particulièrement des jeunes générations souvent abreuvées par TikTok, devient cruciale pour développer l'esprit critique nécessaire à la navigation dans cet environnement manipulé. Conclusion : un appel à la résistance Le podcast se termine sur une note à la fois pessimiste et optimiste. Pessimiste car la situation actuelle révèle une manipulation généralisée de l'information et une concentration dangereuse du pouvoir technologique. Optimiste car les intervenants croient en un réveil des consciences et un retour aux interactions humaines authentiques, loin de la manipulation algorithmique. Ils appellent à considérer Trump comme un “agent de chaos” qui, malgré ses aspects négatifs, peut catalyser des changements positifs en révélant au grand jour les dérives du système actuel. La citation de Camus qui clôt l'émission résume bien cette philosophie : “Je ne choisis pas ce qu'on fait de ce qu'on m'a fait mais je choisis ce que j'en fais.” Ce podcast constitue un avertissement lucide sur l'évolution préoccupante d'internet et un appel à l'action pour préserver la liberté d'information et la démocratie face aux dérives technopolitiques actuelles. Collaborateurs Nicolas-Loïc Fortin Davy Adam Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x608! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Introduction et contexte Nicolas accueille Christophe d'Arlhac pour cette nouvelle édition du podcast. Faisant suite à leur précédent échange sur l'importance de l'analyse des menaces, cette discussion se concentre sur l'outillage associé à l'analyse de risque. L'objectif est de mettre en perspective les avantages et inconvénients de ces outils pour en tirer le maximum de bénéfices tout en évitant les pièges potentiels. Les avantages fondamentaux de l'outillage Structure et guidance Les outils d'analyse de risque constituent un élément structurant essentiel qui aide les analystes à effectuer leur travail méthodiquement sans rien omettre. Christophe souligne que ces outils permettent d'identifier, d'évaluer et de prioriser les menaces potentielles pesant sur les systèmes d'information. L'intégration intrinsèque de différentes fonctionnalités offre un cadre rigide qui évite l'oubli de certaines étapes importantes et standardise les méthodes de calcul. Conservation et pérennisation de l'information Un avantage majeur réside dans la capacité de ces outils à conserver et pérenniser l'information. Contrairement aux fichiers Excel artisanaux, les outils dédiés facilitent le transfert du travail entre différents intervenants. Nicolas observe que dans un contexte plus artisanal, chaque changement d'analyste tend à provoquer une reprise complète du travail, chacun ayant sa propre approche. Cette tendance à “repartir de zéro” fait perdre les bénéfices de l'amélioration continue et de l'approche itérative préconisée par les méthodologies actuelles. Gestion de la complexité Les fichiers Excel deviennent rapidement volumineux et difficiles à gérer, posant des problèmes de sécurité et de partage de droits. La ultra-personnalisation de ces fichiers les rend difficilement compréhensibles pour d'autres utilisateurs, créant un cercle vicieux où il devient plus simple de recommencer que de comprendre le travail précédent. L'adaptabilité face aux évolutions Suivi des menaces évolutives L'évolution constante des menaces constitue un argument fort en faveur des outils stables. L'exemple de la guerre en Ukraine illustre parfaitement comment la nature des menaces peut changer rapidement, modifiant le niveau de risque pour certains secteurs ou pays. Les outils permettent de pivoter et de suivre ces évolutions dans le temps, offrant une vision claire des raisons des changements de risque. Évolution réglementaire De même, les réglementations évoluent constamment, particulièrement en Europe où l'activité législative est intense. Les outils intègrent ces mises à jour réglementaires automatiquement, permettant de suivre facilement ces évolutions et de comprendre pourquoi un risque peut différer selon l'époque, non seulement à cause des attaques mais aussi des changements réglementaires. Les fonctionnalités avancées Intégration et pré-remplissage Les outils modernes offrent des capacités d'intégration avec d'autres systèmes, permettant de puiser dans des sources de données existantes. Cette fonctionnalité pré-remplit automatiquement les informations sur les actifs de support et business, représentant un gain de temps considérable. Pour les entreprises matures disposant de CMDB (Configuration Management Database), cette intégration automatique élimine l'effort manuel de collecte d'informations. Collaboration et reporting Ces outils favorisent la collaboration entre équipes et s'intègrent avec d'autres solutions pour enrichir les données d'entrée. Ils offrent également des capacités de reporting avancées avec des tableaux de bord permettant aux dirigeants de prendre des décisions éclairées concernant les investissements sécuritaires, avec une vue historique des choix stratégiques et financiers. Les écueils à éviter Faux sentiment de sécurité L'utilisation d'outils peut créer une illusion de précision et un faux sentiment de sécurité. Les utilisateurs risquent de devenir moins objectifs et de manquer de contextualisation, se concentrant davantage sur les capacités de l'outil que sur l'analyse critique des données. Cette tendance peut conduire à suivre mécaniquement une checklist sans remettre en question les données ou la logique sous-jacente. Risque de déshumanisation Un piège particulièrement dangereux consiste à croire qu'un outil peut remplacer l'expérience humaine. Certaines organisations font l'erreur de penser qu'un consultant junior peut utiliser l'outil de manière autonome, sous prétexte que celui-ci le guide. Cette approche néglige l'importance de l'expertise humaine dans l'interprétation des résultats et l'analyse contextuelle. Stagnation des compétences Les outils évoluent constamment, nécessitant une formation continue. Les utilisateurs peuvent avoir tendance à rester sur les fonctionnalités qu'ils maîtrisent, passant à côté des améliorations et nouvelles capacités. Cette stagnation limite l'efficacité de l'outil et peut conduire à une sous-utilisation de ses potentialités. L'importance du binôme expérimenté-junior Nicolas et Christophe soulignent l'importance de faire travailler ensemble des consultants expérimentés et des juniors. Cette approche permet un transfert de connaissances efficace tout en évitant les écueils de l'utilisation d'outils par des personnes inexpérimentées. L'outil accélère le travail de l'expert et aide le junior à progresser plus rapidement en se concentrant sur l'analyse plutôt que sur les aspects techniques. La valeur ajoutée de l'expertise humaine Interprétation et explication La capacité d'expliquer les résultats aux dirigeants reste fondamentalement humaine. Un expert doit pouvoir expliquer pourquoi l'outil produit certains résultats, quelles valeurs ont été saisies et pour quelles raisons. Cette interprétation constitue le cœur de métier du consultant et ne peut être automatisée. Solutions créatives L'expertise humaine permet d'identifier des solutions organisationnelles simples là où l'outil proposerait uniquement des mitigations techniques complexes. Les exemples abondent de problèmes résolus par de simples changements de processus plutôt que par des solutions techniques coûteuses et complexes. Dialogue avec les métiers L'écoute des équipes métier reste cruciale pour identifier les solutions les plus appropriées. Souvent, ces équipes ont déjà proposé des solutions simples qui n'ont pas été entendues par les départements IT. L'analyse de risque, guidée par un expert utilisant les bons outils, permet de remettre toutes les parties prenantes autour de la table et de créer cette cohésion nécessaire. Recommandations pour une utilisation optimale Formation et processus La réussite de l'implémentation d'outils d'analyse de risque nécessite une formation approfondie des utilisateurs et l'implication de toutes les parties prenantes. La documentation des processus et la sollicitation régulière des retours utilisateurs permettent d'optimiser l'utilisation et de mesurer le retour sur investissement. Critères de choix Le choix d'un outil doit tenir compte de plusieurs facteurs : interface intuitive et ergonomique, capacité de personnalisation, flexibilité de connexion avec d'autres systèmes, qualité du reporting et des visualisations, fonctionnalités collaboratives permettant le partage sécurisé de données confidentielles, et capacité d'évolution qualitative. Amélioration continue La contribution des experts utilisateurs au développement des outils bénéficie à tout l'écosystème. Les retours d'expérience permettent aux éditeurs d'améliorer leurs produits, créant un cercle vertueux d'amélioration continue qui profite à tous les acteurs de la cybersécurité. Conclusion L'outillage en analyse de risque représente un élément essentiel pour structurer et améliorer l'efficacité des analyses de sécurité. Cependant, ces outils ne doivent jamais remplacer l'expertise humaine mais l'augmenter. Ils constituent des accélérateurs qui permettent aux analystes de se concentrer sur leur valeur ajoutée : l'interprétation, l'analyse contextuelle et la création de solutions adaptées aux besoins réels des organisations. L'approche idéale combine la puissance structurante des outils avec l'expertise humaine, dans un processus d'amélioration continue impliquant toutes les parties prenantes. Collaborateurs Nicolas-Loïc Fortin Christophe D'ARLHAC Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x607! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Un épisode depuis Paris Cet épisode spécial du podcast propose une rencontre inhabituelle entre deux Québécois expatriés à Paris pour assister au leHACK, un événement mythique de cybersécurité francophone. L'animateur retrouve Martin Dubé, ancien organisateur du HAckfest au Québec, qui réalise un rêve de quinze ans en découvrant enfin cet événement légendaire. Depuis 2010, Martin s'impliquait dans le milieu de la cybersécurité québécoise, notamment avec le Hackfest, avant de prendre une pause pour des raisons familiales. Aujourd'hui entrepreneur indépendant, il s'est offert ce voyage comme un cadeau personnel. Découverte du leHACK et de son atmosphère unique Le leHACK, anciennement appelé “La Nuit du Hack”, se révèle être un événement impressionnant par son ampleur et son organisation. Avec environ 3000 participants, l'événement se déroule à la Cité des Sciences, offrant un cadre exceptionnel avec des espaces généreux et bien distribués. Contrairement au NorthSec ou au Hackfest québécois, l'atmosphère y est remarquablement détendue et non-compétitive. Le CTF (Capture The Flag) rassemble plus de 400 participants dans deux grandes salles, mais fonctionne selon un principe individuel plutôt qu'en équipes, ce qui explique cette ambiance plus relaxe. Différences culturelles et techniques L'infrastructure technique du leHACK impressionne par son approche “old school” avec des serveurs sur site, des switches 10GB et 25GB, et trois gros serveurs Xeon avec 128GB de RAM chacun. Cette approche filaire contraste avec la tendance cloud des événements québécois. L'aspect culturel se révèle également fascinant : les deux Québécois découvrent un environnement plus ouvert et respectueux, où les conflits se résolvent par une simple bise plutôt que par des confrontations. Cette différence culturelle enrichit leur expérience, même si elle crée parfois un sentiment d'isolement initial. Conférences : entre excellence et redondance L'amphithéâtre de 900 places offre des conditions d'écoute exceptionnelles, avec un son et un confort impeccables. Les conférences présentent un mélange intéressant : certaines sont remarquables, comme celle sur le reverse engineering d'une montre connectée à 12 euros. Cette présentation technique de haut niveau démontre comment les conférenciers ont contourné des protections complexes pour révéler que l'appareil générait simplement des données de santé aléatoires. D'autres conférences, malheureusement, recyclent des concepts déjà largement abordés dans le milieu, créant une certaine frustration chez les participants expérimentés. Réflexions sur l'évolution du milieu L'événement révèle une problématique générationnelle intéressante : de nombreux sujets “basiques” doivent encore être expliqués, révélant des lacunes dans la formation académique. Les techniques de sécurité recommandées aujourd'hui pour l'IA reprennent souvent des principes établis il y a vingt ans, soulignant un éternel recommencement dans le domaine. Cette situation crée un dilemme : les vétérans aimeraient du contenu plus avancé, mais les nombreux jeunes participants ont besoin de ces bases fondamentales. Observations sur la relève et l'écosystème Le leHACK frappe par la jeunesse de ses participants, contrastant avec le vieillissement observé dans certains événements québécois. De nombreuses écoles sont présentes, notamment l'École 42, démontrant un investissement fort dans la formation. Cette diversité générationnelle enrichit l'événement, même si elle complique parfois le niveau des présentations. L'écosystème français semble plus dynamique pour attirer et former la relève en cybersécurité. Expérience personnelle et networking Malgré leur statut d'étrangers, les deux Québécois parviennent à créer des liens intéressants, notamment grâce à Florent, associé français de l'un d'eux, qui facilite les rencontres. L'événement se distingue par son accessibilité : pas de files d'attente interminables comme au DefCon, une circulation fluide, et des espaces qui ne donnent pas cette impression d'écrasement malgré les 3000 participants. Cette organisation permet de véritablement profiter du contenu et des interactions. Anecdotes et détails marquants L'événement réserve quelques surprises technologiques, comme la présence de minitels connectés au WiFi, rappelant l'histoire des télécommunications françaises. Un chien robot programmable attire l'attention, créant des réactions mitigées selon les profils des participants. La canicule parisienne ajoute une dimension climatique inattendue pour des Québécois habitués à des températures plus clémentes en cette période. Bilan et perspectives Cette première participation au leHACK constitue une réussite totale pour Martin Dubé, qui envisage déjà un retour en 2026. L'événement offre un excellent équilibre entre contenu technique de qualité, networking efficace, et découverte culturelle. Il confirme l'importance des événements internationaux pour élargir les perspectives professionnelles et personnelles. L'expérience démontre que sortir de sa zone de confort géographique et culturelle apporte une richesse inestimable au développement professionnel. L'épisode se conclut sur une note philosophique concernant l'importance de la diversité culturelle dans l'enrichissement professionnel, Martin soulignant comment ces expériences internationales le rendent plus complet comme professionnel de la cybersécurité. Collaborateurs Nicolas-Loïc Fortin Martin Dubé Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x606! Préambule Nous avons rencontré un problème technique durant l'enregistrement. L'équipement a cessé de fonctionner, sans que nous nous en rendions compte. Nous avons conservé le segment qui est utilisable. Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Ce podcast enregistré lors de NorthSec réunit l'animateur et Martin Dubé pour une discussion nostalgique sur l'évolution de la communauté cybersécurité québécoise, particulièrement autour du Hackfest et de NorthSec. Les débuts du Hackfest et l'innovation des CTF Martin Dubé raconte ses débuts en 2010 au Hackfest, alors qu'il était étudiant en deuxième année d'université. À cette époque, l'événement était très différent d'aujourd'hui : les organisateurs transportaient des serveurs physiques hébergés chez eux jusqu'à l'hôtel, utilisant des technologies comme Proxmox et VMware. Cette période artisanale contraste fortement avec l'automatisation moderne mise en place par des équipes comme celle de Laurent au NorthSec. L'innovation majeure de cette époque fut l'introduction du format “attaque-défense” pour les CTF, remplaçant le traditionnel format “jeopardy” (matrice de challenges par catégories). Ce nouveau format permettait aux participants d'attaquer les infrastructures des autres équipes tout en défendant la leur, créant une dynamique plus réaliste et complexe. Leadership et apprentissage par la pratique Martin souligne l'importance de l'aspect leadership dans son rôle de responsable des CTF. Gérer une équipe de bénévoles non rémunérés lui a enseigné des compétences précieuses en gestion d'équipe, motivation par la reconnaissance et coordination de projets complexes. Cette expérience s'est révélée cruciale pour sa carrière professionnelle, démontrant que l'implication dans la communauté offre bien plus que des compétences techniques. Il encourage fortement les nouveaux arrivants dans le domaine à s'impliquer dans de tels événements, car cela permet de garnir son CV d'expériences pertinentes et facilite l'entrée sur le marché du travail. Cette recommandation reste valable aujourd'hui, même si le domaine s'est professionnalisé. L'innovation de la track Windows Un moment marquant fut la création de la “track Windows” au NorthSec, une innovation que Martin et Stéphan Sigman considèrent comme pionnière. Contrairement aux challenges synthétiques habituels, cette track simulait un véritable environnement d'entreprise avec Active Directory, partages réseau mal configurés, GPO contenant des mots de passe, et autres vulnérabilités typiques des infrastructures corporatives. Cette approche répondait à une critique importante : les CTF traditionnels développaient des compétences sur des challenges artificiels, tandis que les vrais pentesters doivent attaquer des réseaux d'entreprise réels. La track Windows a forcé les participants à développer des compétences directement applicables au Red Teaming et aux tests d'intrusion internes. Évolution technologique et impact de l'IA La discussion aborde l'évolution technologique du domaine. Martin observe que la sécurité par défaut s'est considérablement améliorée depuis les années 2010, rendant les vulnérabilités basiques moins fréquentes. L'arrivée de l'intelligence artificielle transforme également le paysage professionnel, mais plutôt comme un assistant qu'un remplaçant pour les pentesteurs. L'IA automatise certains aspects du travail de sécurité, notamment dans les outils de défense comme Sentinel pour l'analyse de logs. Cependant, Martin et l'animateur s'accordent sur le fait que l'IA reste un multiplicateur de force nécessitant une direction humaine, particulièrement en Red Team et pentest. Expérimentations mémorables Le podcast évoque plusieurs expérimentations marquantes, notamment les CTF avec des maquettes physiques comme le barrage hydroélectrique de 2013, précurseur des préoccupations actuelles sur la sécurité IoT et OT. Ces innovations visuelles permettaient aux non-participants de comprendre concrètement ce qu'était le hacking. L'expérience la plus mémorable reste les éditions “taupes” : des CTF 12 vs 12 ou 20 vs 20 où certains participants étaient secrètement des espions pour l'équipe adverse, simulant l'espionnage industriel. Ces expérimentations, bien que créatrices de “drama”, démontraient l'importance de prendre des risques calculés pour innover. Communauté et networking professionnel Un aspect crucial souligné est la valeur du réseau professionnel créé par ces événements. La communauté cybersécurité québécoise, bien que pas nécessairement composée d'amis proches, forme un réseau où chacun connaît les autres et peut interagir facilement. Cette connectivité s'avère particulièrement précieuse lors des transitions de carrière ou des périodes de recherche d'emploi. Cette dimension communautaire devient encore plus importante dans le contexte économique actuel, où les restrictions budgétaires entraînent des licenciements même dans le secteur technologique traditionnellement stable. Gestion des risques et culture d'apprentissage La conversation aborde la culture du risque et de l'erreur dans la communauté. Martin prône une approche permettant l'expérimentation et l'erreur, créant un “safe space” pour les bénévoles. Il partage un exemple récent où un bénévole a rencontré des difficultés opérationnelles, et comment son expérience lui a permis d'accompagner cette personne pour désamorcer le stress et trouver une solution. Cette philosophie s'oppose à l'élitisme parfois présent dans la communauté cybersécurité. Les deux interlocuteurs s'accordent sur l'importance de permettre aux nouveaux arrivants de faire des erreurs et d'apprendre, condition essentielle pour éviter la stagnation communautaire et favoriser l'inclusion. Réflexions sur l'humilité et l'évolution Le podcast se termine sur une note d'humilité, évoquant comment Olivier (probablement le président sortant de NorthSec) a publiquement reconnu avoir peut-être poussé trop fort ses équipes de bénévoles vers la perfection. Cette reconnaissance publique illustre la maturité croissante de la communauté et l'importance de l'équilibre entre excellence et bienveillance. Martin partage également ses propres “blessures de guerre” professionnelles, ces erreurs passées qui, bien que parfois encore douloureuses, constituent un apprentissage précieux qu'il souhaite transmettre aux générations suivantes. Conclusion Ce podcast offre un regard privilégié sur l'évolution de la cybersécurité québécoise, montrant comment l'innovation, la prise de risques calculés et la construction communautaire ont façonné l'écosystème actuel. Il souligne l'importance de maintenir un équilibre entre excellence technique et bienveillance humaine, tout en continuant à expérimenter pour faire évoluer le domaine. L'expérience de Martin Dubé illustre parfaitement comment l'implication bénévole peut catalyser une carrière professionnelle tout en contribuant significativement au développement d'une communauté technique dynamique et inclusive. Collaborateurs Nicolas-Loïc Fortin Martin Dubé Crédits Montage par Intrasecure inc Locaux réels par Northsec

Parce que… c'est l'épisode 0x605! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Dans cet épisode spécial du podcast enregistré lors de l'événement Cyberco, l'animateur reçoit Vicky Desjardins, candidate au doctorat en criminologie à l'Université de Montréal et spécialiste en réponse à incident. Vicky présente les résultats de sa recherche de cinq années sur les rançongiciels, offrant une perspective unique qui combine criminologie et cybersécurité. Parcours et motivation de la recherche Vicky a débuté sa thèse avant la pandémie, cherchant à comprendre pourquoi les défenseurs semblaient toujours surpris et en mode réaction face aux attaques de rançongiciels. Malgré son manque initial d'expertise technique, elle était déterminée à contribuer à résoudre ce problème croissant. L'arrivée du Covid-19 a considérablement amplifié l'ampleur du phénomène qu'elle étudiait. Son expérience dans l'industrie a transformé sa perspective de recherche. Elle a réalisé qu'il existait souvent un fossé important entre la recherche académique et la réalité terrain. Cette prise de conscience l'a amenée à adopter une approche différente, se concentrant non pas sur ce qui change constamment dans les techniques d'attaque, mais plutôt sur les éléments stables et prévisibles du comportement criminel. Approche criminologique des rançongiciels L'originalité de la recherche de Vicky réside dans son approche criminologique. Plutôt que de se concentrer uniquement sur les aspects techniques qui évoluent rapidement, elle a choisi d'analyser les comportements humains sous-jacents aux attaques. Sa philosophie est que les techniques ne sont que des outils utilisés par des humains pour commettre des actes criminels. Cette perspective lui a permis de découvrir que les attaques de rançongiciels sont beaucoup moins sophistiquées qu'on pourrait le croire. En réalité, la plupart peuvent être exécutées en quelques lignes de commande une fois l'accès obtenu. Cette simplicité contraste avec l'image de tours de magie technologiques souvent véhiculée dans les médias. Constats sur la simplicité des attaques L'un des enseignements les plus marquants de sa recherche concerne la banalité technique des attaques. Vicky observe que les méthodes utilisées aujourd'hui sont essentiellement identiques à celles d'il y a six ans. Les attaquants utilisent toujours la même approche : ils “se tapent la tête” sur différents systèmes jusqu'à ce qu'ils trouvent une faille exploitable. La principale évolution qu'elle note est l'augmentation de la spécialisation des tâches. Alors qu'auparavant, un même attaquant gérait l'ensemble du processus, on observe maintenant une séparation entre ceux qui obtiennent l'accès initial (Initial Access Brokers) et ceux qui mènent l'attaque finale. Cette fragmentation n'augmente cependant pas la complexité technique fondamentale des attaques. Problèmes de base en cybersécurité Vicky souligne que beaucoup d'organisations investissent massivement dans des produits de cybersécurité sophistiqués sans maîtriser les fondamentaux. Elle observe fréquemment des entreprises qui possèdent des outils avancés mais mal déployés ou mal configurés, parfois même pas mis en place du tout. Sa première question lors d'interventions de réponse à incident est révélatrice : “Savez-vous ce que vous avez dans votre environnement ?” La réponse est souvent approximative, ce qui illustre le problème fondamental. Sans une connaissance précise de son infrastructure et une configuration appropriée des éléments de base, les investissements en cybersécurité perdent leur efficacité. Dépendance des attaquants à l'infrastructure des victimes L'une des découvertes les plus importantes de la recherche concerne la forte dépendance des attaquants vis-à-vis de l'infrastructure des victimes. Cette observation est cruciale car elle identifie un point de contrôle pour les défenseurs. Contrairement aux outils d'attaque qu'on ne peut pas contrôler, l'infrastructure appartient à l'organisation et peut être configurée de manière à compliquer considérablement le travail des attaquants. Cette dépendance se manifeste dans tous les aspects de l'attaque : reconnaissance, mouvement latéral, élévation de privilèges, et exfiltration de données. En rendant l'infrastructure moins “accueillante” pour les attaquants, on peut augmenter significativement la difficulté de leurs opérations. Importance critique des comptes valides Les comptes valides représentent la technique la plus stable et la plus utilisée dans l'arsenal des attaquants de rançongiciels. Vicky les observe à toutes les étapes du processus d'attaque : entrée initiale, évasion des défenses, reconnaissance interne, élévation de privilèges, persistance, et mouvement latéral. Cette omniprésence des comptes valides dans les attaques souligne l'importance cruciale de repenser complètement la gestion des accès. Il ne s'agit plus seulement d'appliquer le principe de moindre privilège, mais d'adopter une approche beaucoup plus granulaire et contextuelle. Recommandations pour la gestion des accès Vicky propose une approche révolutionnaire de la gestion des accès basée sur plusieurs dimensions. D'abord, une segmentation par groupes d'employés avec des accès spécifiques à leurs besoins réels, pas théoriques. Ensuite, l'implémentation de restrictions temporelles : la plupart des employés ne travaillent pas après 21h, leurs comptes ne devraient donc pas avoir accès aux systèmes critiques durant ces heures. Elle suggère également des restrictions géographiques, bloquant les connexions depuis des emplacements non autorisés. Ces mesures forcent les attaquants à opérer dans des créneaux temporels et géographiques spécifiques, compliquant considérablement leurs opérations et potentiellement les décourageant de cibler l'organisation. Cibles privilégiées des attaquants L'analyse révèle que certains éléments de l'infrastructure sont systématiquement ciblés. Les antivirus et firewalls sont désactivés par des scripts automatisés. Les solutions de détection (EDR) voient leurs configurations modifiées. L'Active Directory et les contrôleurs de domaine sont particulièrement visés car ils donnent accès à des privilèges étendus. Le cloud est devenu une cible majeure depuis 2020, coïncidant avec la migration massive due à la pandémie. Les services d'accès distant (VPN, bureaux à distance) constituent des portes d'entrée privilégiées. Ces observations permettent de prioriser les efforts de sécurisation sur les éléments les plus à risque. Stratégies d'évasion et de dissimulation Les attaquants investissent énormément d'efforts dans l'évasion de la détection plutôt que dans la sophistication technique. Leur avantage principal réside dans leur capacité à rester indétectés le plus longtemps possible avant de révéler leur présence. Vicky observe de nombreuses techniques de brouillage du trafic réseau, rendant la détection difficile dans le volume normal des communications. Cette approche furtive explique pourquoi une détection précoce peut transformer radicalement la dynamique de l'incident, forçant les attaquants à opérer sous pression et à commettre des erreurs. Aspects comportementaux et motivations L'approche criminologique révèle des aspects souvent négligés. Les attaquants ont des vies personnelles et des contraintes temporelles. Beaucoup opèrent selon des horaires de travail normaux dans leur fuseau horaire. Cette humanisation des attaquants ouvre des possibilités de défense basées sur l'analyse comportementale. Concernant les motivations, au-delà de l'aspect financier évident des rançongiciels, Vicky identifie des problématiques plus subtiles comme les Initial Access Brokers qui vendent des accès pour des sommes dérisoires. Ces cas révèlent souvent des motivations personnelles (frustration professionnelle, problèmes financiers personnels) plutôt que purement lucratives. Méthodologie multidisciplinaire La force de cette recherche réside dans son approche multidisciplinaire, combinant écologie, économie, criminologie et technique. Cette convergence permet de créer une nouvelle chaîne d'attaque (kill chain) basée sur les techniques les plus fréquemment observées, offrant des points d'intervention plus précis. L'approche évite l'écueil de la sur-sophistication des menaces. Plutôt que de se préparer contre des groupes APT ultra-sophistiqués qui ciblent rarement les PME, elle encourage une évaluation réaliste des menaces appropriées à chaque organisation. Impact de la spécialisation criminelle L'évolution vers une spécialisation des rôles dans l'écosystème criminel reflète une professionnalisation du secteur. Les Initial Access Brokers se spécialisent dans l'obtention d'accès qu'ils revendent ensuite. Cette séparation des tâches, bien qu'augmentant l'efficacité globale, crée aussi de nouveaux points de vulnérabilité dans la chaîne criminelle. Le marché des accès révèle des prix parfois dérisoires, suggérant que certains vendeurs sont motivés par autre chose que le profit pur. Cette réalité soulève des questions importantes sur la gestion des risques internes et la satisfaction des employés ayant accès à des systèmes critiques. Recommandations stratégiques La recherche aboutit à des recommandations pragmatiques centrées sur le “security by design”. Il s'agit de repenser fondamentalement l'architecture de sécurité plutôt que d'ajouter des couches successives de protection. Cette approche reconnaît qu'il n'est jamais trop tard pour réviser ses configurations de base. L'objectif n'est pas de créer une forteresse impénétrable, mais de rendre l'environnement suffisamment “ennuyeux” ou difficile pour décourager les attaquants opportunistes. Dans l'esprit de Vicky, “le meilleur truc en cybersécurité, c'est juste être plus embêtant que quelqu'un d'autre”. Cette philosophie pragmatique reconnaît les limites des ressources et se concentre sur l'efficacité maximale avec les moyens disponibles, privilégiant une approche de risque proportionné plutôt que de protection absolue. Collaborateurs Nicolas-Loïc Fortin Vicky Desjardins Crédits Montage par Intrasecure inc Locaux réels par Cybereco

Parce que… c'est l'épisode 0x604! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Introduction et présentation de l'expert Dans cet épisode spécial de “Police Sécure Cyber Éco”, Emmanuel Christian Nternanya, expert en cybersécurité d'origine congolaise, présente ses recherches révolutionnaires sur la détection de l'empoisonnement de modèles d'intelligence artificielle. Certifié CISSP avec plus d'une décennie d'expérience dans l'industrie informatique depuis 2012 et cinq années spécialisées en cybersécurité, Emmanuel apporte une expertise technique approfondie à un sujet critique pour l'avenir de l'IA. Le problème de l'empoisonnement des modèles d'IA L'empoisonnement de modèles d'IA représente une menace sophistiquée et souvent invisible. Contrairement à l'expérience utilisateur simplifiée que nous connaissons avec ChatGPT ou d'autres interfaces conversationnelles, la réalité technique est bien plus complexe. Chaque modèle d'IA possède un “cerveau” qui doit être entraîné avec des données pour acquérir ses capacités de prédiction et de classification. Le principe fondamental est simple mais préoccupant : si un modèle est entraîné avec des données corrompues indiquant que 1+1=3, il reproduira fidèlement cette erreur. Les modèles d'IA ne font que reproduire ce qu'ils ont appris, sans capacité de discernement critique. Cette vulnérabilité ouvre la porte à des attaques sophistiquées où des adversaires peuvent corrompre intentionnellement les données d'entraînement. La recherche d'Emmanuel démontre qu'il suffit parfois de contaminer seulement 1% des données d'entraînement pour réussir à modifier significativement le comportement d'un modèle. Cette découverte est particulièrement alarmante car elle révèle qu'une intervention minimale peut avoir des conséquences majeures, tout en restant pratiquement indétectable par les méthodes conventionnelles. La solution innovante : le “docteur” en IA Face à cette menace, l'équipe d'Emmanuel a développé une approche révolutionnaire : créer un “docteur” spécialisé dans le diagnostic des modèles d'IA. Ce système de détection peut identifier si un modèle a été empoisonné en analysant uniquement ses poids internes, sans avoir accès aux données d'entraînement originales. La méthodologie de recherche s'appuie sur une approche rigoureuse et extensive. L'équipe a créé 1000 ensembles de données d'entraînement soigneusement vérifiés et non contaminés, puis a entraîné 1000 modèles correspondants. Parmi ces modèles, les 950 présentant les meilleures performances ont été sélectionnés pour l'analyse approfondie. Le processus d'analyse se concentre sur l'architecture des réseaux de neurones convolutifs, particulièrement sur les trois couches denses et la couche de classification finale utilisant une fonction sigmoïde. Chaque couche contient des neurones qui apprennent et retiennent l'information sous forme de poids, des valeurs numériques représentant la connaissance acquise par le modèle. La transformation des poids en images diagnostiques L'innovation majeure réside dans la transformation des poids du modèle en images analysables. Emmanuel explique que les poids d'un modèle varient généralement entre -1 et 1, des valeurs difficiles à interpréter directement. L'équipe a développé un algorithme propriétaire capable de convertir ces poids en valeurs d'intensité d'image (de 1 à 255), créant ainsi des représentations visuelles des états internes du modèle. Cette approche s'inspire de l'imagerie médicale : tout comme un cerveau humain peut être analysé par radiographie, le “cerveau” d'un modèle d'IA peut être “radiographié” en convertissant ses poids en images. Cette analogie n'est pas qu'une métaphore ; elle constitue la base technique de leur méthode de diagnostic. Le système utilise deux docteurs spécialisés, chacun entraîné sur des images de dimensions différentes extraites de couches distinctes du modèle analysé. Le premier docteur analyse des images de 100x100 pixels, tandis que le second traite des images de 200x200 pixels. Cette approche multicouche permet une analyse plus complète et nuancée des modèles suspects. L'apprentissage d'ensemble et les performances La combinaison des deux docteurs spécialisés à travers l'apprentissage d'ensemble (ensemble learning) produit un diagnostic final plus précis que chaque docteur individuellement. Cette synergie permet d'atteindre des taux de réussite impressionnants de 98% à 99% dans la détection des modèles empoisonnés. La validation de ces performances s'effectue sur des modèles que les docteurs n'ont jamais vus pendant leur entraînement. L'équipe utilise des bases de données publiques reconnues comme MNIST Fashion et des données de plaques d'immatriculation disponibles publiquement. Cette approche garantit l'objectivité des résultats et la capacité de généralisation du système. Les défis de la détection à faible contamination Cependant, la détection devient plus complexe lorsque le niveau de contamination diminue. À 1% de contamination, le taux de réussite chute à 77%, révélant les limites actuelles de la technologie. Cette limitation est critique car les adversaires sophistiqués privilégieront naturellement des niveaux de contamination faibles pour éviter la détection. Emmanuel explique que l'amélioration de ces performances nécessite l'optimisation des hyperparamètres et l'exploration de nouvelles techniques d'apprentissage automatique. Néanmoins, il souligne un aspect rassurant : l'analyse du rapport signal/bruit révèle que les modèles empoisonnés à très faible niveau présentent souvent un bruit supérieur de 4% aux modèles sains, les rendant potentiellement inutilisables en pratique. Applications critiques et enjeux sociétaux L'importance de cette recherche transcende les aspects purement techniques. Emmanuel souligne les applications critiques où l'empoisonnement de modèles pourrait avoir des conséquences dramatiques : détection de cancer, diagnostic médical, reconnaissance de plaques d'immatriculation pour les systèmes de sécurité routière. Il illustre ces risques par un exemple concret : un modèle empoisonné de reconnaissance de plaques pourrait identifier incorrectement le véhicule d'un délinquant en fuite, envoyant la convocation à une personne innocente. Ces erreurs ne sont pas de simples dysfonctionnements techniques, mais des failles de sécurité aux conséquences sociales et judiciaires importantes. L'écosystème d'IA et ses vulnérabilités Un aspect particulièrement préoccupant concerne l'écosystème actuel de l'IA. De nombreuses applications utilisent des APIs payantes comme celle de ChatGPT sans vérification de l'intégrité des modèles sous-jacents. Les développeurs intègrent ces services par confiance, sans moyens de vérifier si les modèles ont été compromis. Cette situation crée une chaîne de vulnérabilités où la contamination d'un modèle central peut affecter des milliers d'applications dérivées. L'objectif d'Emmanuel est de fournir des outils forensiques permettant de vérifier l'intégrité des modèles avant leur mise en production, même sans accès complet au modèle original. Perspectives et développements futurs La recherche continue d'évoluer vers une meilleure adaptation aux différentes architectures de modèles. L'équipe développe des algorithmes capables d'ajuster automatiquement l'analyse en fonction de l'architecture spécifique de chaque modèle testé, améliorant ainsi la précision et la polyvalence du diagnostic. Les travaux s'étendent également vers l'analyse de modèles publics disponibles sur des plateformes comme Hugging Face, bien que cette phase n'ait pas encore été complètement mise en œuvre. Cette extension permettrait de cartographier la prévalence réelle de l'empoisonnement dans l'écosystème d'IA public. Conclusion et mission de sensibilisation Au-delà des aspects techniques, Emmanuel porte une mission de sensibilisation cruciale. Il cherche à éveiller les consciences sur l'existence réelle des modèles empoisonnés et leurs implications. Alors que l'adoption de l'IA s'accélère dans tous les secteurs, la compréhension de ces vulnérabilités devient essentielle pour un déploiement sécurisé. Cette recherche représente une contribution significative à la sécurisation de l'écosystème d'intelligence artificielle, offrant des outils concrets pour détecter et prévenir les attaques par empoisonnement de modèles, tout en sensibilisant la communauté aux enjeux critiques de sécurité dans l'ère de l'IA généralisée. Collaborateurs Nicolas-Loïc Fortin Christian Emmanuel Nteranya Crédits Montage par Intrasecure inc Locaux réels par Cybereco

Parce que… c'est l'épisode 0x603! Shameless plug 27 et 29 juin 2025 - LeHACK 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Introduction et contexte Ce cinquième épisode de collaboration entre les balados Super Citoyen et Polysécure, animé par Catherine Dupont-Gagnon et Samuel Harper, avec la participation de Nicolas, aborde deux sujets majeurs touchant la cybersécurité et la vie privée des citoyens canadiens. Après une pause d'une semaine, les animateurs se retrouvent pour discuter d'enjeux critiques qui affectent directement les utilisateurs de technologies et les citoyens. Première partie : Les vulnérabilités de Microsoft Copilot La découverte d'une faille majeure L'épisode débute par l'analyse d'une vulnérabilité critique découverte dans Microsoft Copilot, spécifiquement dans sa version M365. Cette faille permet aux attaquants d'injecter des instructions malveillantes dans des documents de manière invisible pour les utilisateurs humains, mais détectable par l'agent d'indexation de Copilot. Le mécanisme d'attaque L'attaque fonctionne selon un principe relativement simple mais efficace : les cybercriminels cachent du texte dans des documents en utilisant des techniques comme l'écriture en blanc sur fond blanc ou des polices de caractères microscopiques. Lorsque Copilot analyse ces documents pour répondre aux requêtes des utilisateurs, il lit ces instructions cachées et les exécute comme s'il s'agissait de commandes légitimes. Samuel Harper explique que cette vulnérabilité est particulièrement dangereuse avec la version M365 de Copilot car cet agent peut indexer l'ensemble du contenu personnel d'un utilisateur : courriels, documents OneDrive, conversations Teams. Les instructions malveillantes peuvent donc ordonner à Copilot d'effectuer des actions non autorisées, comme envoyer des informations sensibles à des adresses externes. Les implications pour les entreprises Cette faille représente un risque considérable pour les organisations, particulièrement celles possédant des secrets industriels ou des informations confidentielles. Un attaquant pourrait théoriquement envoyer un courriel contenant des instructions cachées demandant à Copilot de transmettre tous les secrets industriels à une adresse spécifique. L'agent exécuterait ces commandes sans que l'utilisateur ne s'en aperçoive. Un problème systémique Les animateurs soulignent que bien que Microsoft ait corrigé cette vulnérabilité spécifique, le problème est plus large. Tous les agents d'intelligence artificielle utilisant des modèles RAG (Retrieval-Augmented Generation) - qui puisent leurs réponses dans des bases de données externes - sont potentiellement vulnérables à ce type d'attaque. Google Gemini, Claude et d'autres plateformes similaires pourraient être ciblés par des méthodes comparables. Deuxième partie : Le projet de loi C-4 et la protection des données Une loi aux multiples facettes Samuel Harper présente ensuite une analyse approfondie du projet de loi C-4 du gouvernement Carney, officiellement intitulé “Loi visant à rendre la vie plus abordable pour les Canadiens”. Si les trois premières parties de cette loi concernent effectivement des mesures d'abordabilité (baisses d'impôts, fin de la taxe carbone, remboursement de la TPS pour l'achat d'une première maison neuve), la quatrième partie introduit des modifications controversées à la loi électorale. L'exemption des partis politiques Cette section du projet de loi soustrait les partis politiques fédéraux aux lois de protection des renseignements personnels. Concrètement, cela signifie que les partis politiques, leurs bénévoles et tous ceux qui travaillent en leur nom peuvent exercer toutes les activités avec les renseignements personnels sans aucune restriction légale. Le contexte juridique Cette modification législative fait suite à une décision de 2022 du commissaire à la vie privée de la Colombie-Britannique, qui avait déterminé que les partis fédéraux devaient également respecter la loi provinciale PIPA (Personal Information Protection Act). Les partis politiques ont contesté cette décision jusqu'en Cour suprême de la Colombie-Britannique et ont perdu leur cause. Une stratégie législative discutable Les animateurs dénoncent la tactique consistant à inclure ces modifications controversées dans un projet de loi sur l'abordabilité. Cette approche, rappelant les “omnibus bills” de l'ère Harper, rend difficile l'opposition à des mesures populaires tout en faisant passer des dispositions problématiques. Les risques pour la démocratie Le micro-ciblage politique Catherine et Samuel discutent des dangers du micro-ciblage politique, comparant les stratégies des partis politiques à celles utilisées par Cambridge Analytica. Ils soulignent que les mêmes techniques de marketing qui poussent les consommateurs vers des achats peuvent être utilisées pour manipuler les intentions de vote. L'érosion du choix démocratique Les animateurs expriment leurs préoccupations concernant l'utilisation d'algorithmes pour influencer les électeurs. Ils argumentent que ces pratiques transforment le processus démocratique en exercice de marketing, éloignant les citoyens d'un choix libre et éclairé basé sur leurs valeurs personnelles. La paresse technologique Un thème récurrent de l'épisode est la “paresse technologique” - la tendance des utilisateurs à accepter passivement les solutions automatisées sans exercer leur esprit critique. Cette passivité, selon les animateurs, représente un danger plus immédiat que l'intelligence artificielle générale souvent évoquée dans les scénarios catastrophiques. Réflexions sur l'engagement citoyen La responsabilité démocratique Les animateurs insistent sur l'importance de l'engagement citoyen au-delà du simple vote. Ils encouragent les auditeurs à contacter leurs députés pour exprimer leurs préoccupations concernant des projets de loi comme le C-4, rappelant que la démocratie ne se limite pas aux périodes électorales. L'urgence d'agir Samuel souligne que le projet de loi C-4 pourrait être adopté très rapidement, utilisant une procédure accélérée qui contourne les étapes normales du processus législatif. Cette urgence rend encore plus crucial l'engagement immédiat des citoyens. Conclusion et perspectives L'épisode se termine sur une note qui mélange pessimisme et espoir. Bien que les animateurs identifient des tendances inquiétantes - vulnérabilités technologiques, érosion de la vie privée, manipulation démocratique - ils maintiennent leur foi en la capacité des citoyens canadiens à influencer leur système politique par l'engagement actif. Les deux sujets traités dans cet épisode illustrent les défis interconnectés de notre époque numérique : d'une part, des technologies puissantes mais imparfaites qui créent de nouvelles vulnérabilités ; d'autre part, des institutions politiques qui tentent de s'adapter à ces nouvelles réalités parfois aux dépens des protections démocratiques traditionnelles. L'appel à l'action des animateurs est clair : les citoyens doivent rester vigilants, s'informer activement et s'engager dans le processus démocratique pour préserver leurs droits dans un monde de plus en plus numérisé. La technologie n'est ni bonne ni mauvaise en soi, mais son impact dépend largement de la façon dont la société choisit de l'encadrer et de l'utiliser. Notes À venir Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x602! Shameless plug 27 et 29 juin 2025 - LeHACK 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Introduction et contexte François Proulx fait son retour pour présenter l'évolution de ses recherches sur la sécurité des chaînes d'approvisionnement (supply chain) depuis sa présentation de l'année précédente. Ses travaux portent sur la détection de vulnérabilités dans les pipelines de construction (build pipelines) des projets open source, un sujet qui avait suscité beaucoup d'intérêt suite à l'incident XZ Utils. Évolution de la méthodologie de recherche Depuis l'année dernière, l'équipe de François a considérablement amélioré ses outils et sa stratégie de détection. Plutôt que de scanner massivement tous les dépôts disponibles, ils ont adopté une approche plus ciblée en se concentrant sur des entités majeures comme Google, Red Hat, Nvidia et Microsoft. Ces organisations sont des contributeurs importants de projets open source critiques et bien maintenus. Cette nouvelle approche leur permet de découvrir des centaines d'organisations GitHub par entité, chacune contenant parfois des milliers de dépôts. L'objectif reste le même : détecter des vulnérabilités zero-day dans les build pipelines qui permettent de compiler, tester et distribuer les projets open source, notamment via GitHub Actions. La problématique fondamentale des CI/CD François présente une analogie frappante pour expliquer la dangerosité des systèmes d'intégration continue : “un CI/CD, c'est juste du RCE as a service” (Remote Code Execution as a Service). Ces systèmes sont des applications web qui attendent de recevoir des déclencheurs sur une interface publique accessible via Internet. Dans le cas de GitHub Actions, il suffit d'ouvrir une pull request pour déclencher automatiquement l'exécution de tests. Cette situation rappelle les vulnérabilités des années 1990-2000 avec les débordements de pointeurs. François utilise une formule percutante : “les build pipelines ressemblent à une application PHP moyenne de 2005 en termes de codage sécurisé”. Cette comparaison souligne que malgré les décennies d'évolution en sécurité informatique, les mêmes erreurs fondamentales se répètent dans de nouveaux contextes. Les mécanismes d'exploitation Les vulnérabilités exploitent principalement les entrées non fiables (untrusted input) provenant des pull requests. Même les brouillons de contributions peuvent déclencher automatiquement l'exécution de tests avant qu'un mainteneur soit notifié. Le problème s'aggrave quand les pipelines nécessitent des secrets pour communiquer avec des systèmes externes (notifications Slack, télémétrie, etc.). Par défaut, GitHub Actions hérite parfois d'anciennes permissions en lecture-écriture, ce qui permet aux tests d'avoir accès à un token avec des droits d'écriture sur le dépôt. Cette configuration peut permettre à un attaquant d'écrire dans le dépôt de manière non visible. Résultats impressionnants des analyses L'équipe a considérablement affiné ses outils de détection. À partir de 200 000 résultats initiaux, ils appliquent des règles plus précises pour identifier environ 10 000 cas intéressants. Ces règles valident non seulement la présence de vulnérabilités, mais aussi les critères d'exploitation et la présence de secrets exploitables. Après validation manuelle, environ 25% de ces 10 000 cas s'avèrent facilement exploitables. Ces chiffres démontrent l'ampleur du problème dans l'écosystème open source, même en reconnaissant l'existence probable de nombreux faux négatifs. Cas concrets : Google et les régressions François rapporte avoir découvert des vulnérabilités dans 22 dépôts appartenant à Google, notamment dans un projet lié à Google Cloud (probablement Data Flow). Après avoir signalé et reçu une récompense pour la correction, une régression est survenue une semaine plus tard dans le même workflow, leur valant une seconde récompense. Cette situation illustre un problème récurrent : même les grandes organisations comme Google peuvent reproduire les mêmes erreurs après correction, souvent par méconnaissance des mécanismes sous-jacents de ces nouvelles techniques d'exploitation. L'affaire Ultralytics : un cas d'école L'incident le plus marquant concerne la bibliothèque Python Ultralytics, très populaire pour la détection d'images par apprentissage automatique. En août, l'équipe avait détecté une vulnérabilité dans ce projet mais s'était concentrée sur les découvertes chez Google, négligeant de signaler cette faille. En décembre, Ultralytics a été compromis par l'injection d'un crypto-mineur, exploitant précisément la vulnérabilité identifiée quatre mois plus tôt. Cette attaque était particulièrement ingénieuse car elle ciblait des environnements avec des GPU puissants (utilisés pour le machine learning), parfaits pour le minage de cryptomonnaies, tout en restant discrète dans un contexte où une forte consommation GPU est normale. Pivot vers la détection proactive Cet incident a motivé un changement stratégique majeur : passer de la simple détection de vulnérabilités à la détection proactive d'exploitations en cours. L'équipe ingère désormais le “firehose” des événements publics GitHub, soit environ 5,5 millions d'événements quotidiens. Après filtrage sur les projets critiques avec des build pipelines, ils analysent environ 500 000 événements intéressants par jour. En appliquant leurs analyses sophistiquées et en croisant avec leurs connaissances des vulnérabilités, ils obtiennent environ 45 événements suspects à investiguer quotidiennement. Validation forensique avec Kong Cette nouvelle approche s'est rapidement avérée efficace. Pendant les vacances de Noël, leur système a continué d'ingérer les données automatiquement. Au retour, l'incident Kong (un contrôleur Ingress pour Kubernetes) leur a permis de créer une timeline forensique détaillée grâce aux données accumulées pendant leur absence. Découverte sur les forums cybercriminels La collaboration avec Flare, spécialisée dans l'analyse du dark web, a révélé des informations troublantes. En recherchant “Ultralytics” sur Breach Forum avec un filtrage temporel précis, François a découvert qu'un utilisateur avait créé un compte 24 heures avant l'attaque, publié exactement la vulnérabilité du pipeline Ultralytics en mentionnant l'utilisation de “Poutine” (leur outil), puis confirmé 24 heures après l'exploitation avoir gagné des Monero grâce à cette attaque. Cette découverte confirme que les cybercriminels utilisent activement les outils de recherche en sécurité pour identifier et exploiter des vulnérabilités, transformant ces outils défensifs en armes offensives. Implications et recommandations Cette situation soulève des questions importantes sur la responsabilité des chercheurs en sécurité. François insiste sur le fait que Poutine, leur outil de détection, devrait devenir le minimum absolu pour tout projet open source. Il compare cette nécessité à l'interdiction d'avoir des dépôts Git pour ceux qui n'implementent pas ces vérifications de base. L'analogie avec PHP 2005 reste pertinente : il a fallu des années pour que la communauté PHP matûrisse ses pratiques de sécurité. Les build pipelines traversent actuellement la même phase d'évolution, avec des erreurs fondamentales répétées massivement dans l'écosystème. Défis techniques et limites François reconnaît honnêtement les limitations de leur approche. Leur système ne détecte que les attaques les moins sophistiquées - des “low hanging fruits”. Des attaques complexes comme celle de XZ Utils ne seraient probablement pas détectées par leurs outils actuels, car elles sont trop bien camouflées. Le défi principal reste de filtrer efficacement le bruit dans les millions d'événements quotidiens pour obtenir un nombre d'alertes gérable par une petite équipe d'analystes. Ils reconnaissent que la majorité des incidents leur échappe probablement encore. Perspective d'avenir François exprime l'espoir que la maturation de l'écosystème des build pipelines sera plus rapide que les 20 ans qu'il a fallu pour sécuriser PHP. Leur travail de pionnier contribue à cette évolution en sensibilisant la communauté et en fournissant des outils concrets. L'angle d'analyse des build pipelines est particulièrement pertinent car il se situe à la croisée des chemins entre le code source et sa distribution, avec des possibilités d'exécution de code qui en font un point critique de la chaîne d'approvisionnement logicielle. Cette présentation illustre parfaitement l'évolution rapide des menaces dans l'écosystème open source moderne et la nécessité d'une vigilance constante pour sécuriser les infrastructures critiques dont dépend l'ensemble de l'industrie logicielle. Notes François Proulx Collaborateurs Nicolas-Loïc Fortin François Proulx Crédits Montage par Intrasecure inc Locaux réels par Northsec

Parce que… c'est l'épisode 0x601! Shameless plug 27 et 29 juin 2025 - LeHACK 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Collaborateurs Nicolas-Loïc Fortin Thierry St-Jacques-Gagnon Nora Boulahia Cuppens Berenice Alanis Frédéric Cuppens Crédits Montage par Intrasecure inc Locaux réels par Propolys - Polytechnique Montréal