PolySécure Podcast

Parce que… c'est l'épisode 0x662! Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Introduction et parcours professionnel Youna Chosse-Bentabed est ingénieure en sécurité réseau spécialisée en social engineering (ingénierie sociale). Son parcours illustre une transition intéressante du monde très technique des réseaux vers l'aspect humain de la cybersécurité. Cette évolution s'est amorcée par la création de contenu sur LinkedIn, où elle démystifiait les concepts de hacking pour un large public. Cette démarche l'a menée à une prise de conscience fondamentale : si le hacking technique et physique est important, c'est le hacking humain qui constitue la clé de voûte de la sécurité informatique. Pour approfondir ses compétences, elle s'est formée aux États-Unis auprès de Christopher Hadnagy, considéré comme une référence mondiale en social engineering. Son objectif est désormais de démocratiser cette expertise en France et en Europe, où le domaine accuse un retard par rapport aux États-Unis, similaire à celui qu'avait le pentesting il y a quinze ans. Qu'est-ce que le social engineering ? Le social engineering est défini comme l'art de manipuler les autres pour obtenir des informations ou atteindre un objectif précis. Cette pratique prend de multiples formes dans notre quotidien : phishing (courriels frauduleux), vishing (appels téléphoniques), smishing (SMS), et intrusion physique. La réalité est que nous sommes tous exposés à ces attaques de manière constante. Une statistique particulièrement révélatrice indique que 72 % des incidents de sécurité impliquent un facteur humain. Pourtant, lorsqu'on demande au public qui pense avoir déjà subi une attaque de social engineering, peu de mains se lèvent, témoignant d'un manque de conscience de la régularité de ces menaces. Les services offerts aux entreprises Youna propose deux approches principales pour accompagner les organisations. La première consiste en des masterclass d'une à deux journées, particulièrement adaptées aux TPE, PME et collectivités territoriales disposant de budgets limités. Ces formations combinent théorie et exercices pratiques pour que les participants deviennent acteurs de leur sécurité et apprennent à penser comme des hackers. La seconde approche implique des audits réels avec intrusion physique, cartographie des vulnérabilités et identification des failles humaines. La solution la plus efficace pour augmenter la vigilance consiste à attaquer régulièrement l'entreprise dans le cadre de contrats à long terme (de un à cinq ans), avec des campagnes de phishing, vishing et smishing adaptées aux besoins spécifiques. L'intrusion physique, bien que moins fréquente, représente l'aspect le plus excitant du métier, nécessitant reconnaissance, création d'une légende (pretexting) et planification minutieuse de la mission. La culture du “no blame” Un principe fondamental de l'approche de Youna est la culture du “no blame” (sans reproche). Cette philosophie est essentielle car tout le monde peut tomber dans les pièges du social engineering, et il est contre-productif de culpabiliser les employés. L'expérience montre qu'une personne piégée une fois a moins de chances de récidiver. L'approche consiste à gamifier le processus, à rendre la remontée d'informations gratifiante et à accompagner les personnes qui se font prendre de manière constructive. Cette culture doit être établie dès le départ avec le top management et clairement intégrée dans les contrats. Les biais cognitifs exploités Les attaquants exploitent de nombreux biais cognitifs, dont plusieurs sont particulièrement efficaces. Le biais d'urgence est probablement le plus puissant, souvent associé au phénomène d'amygdala hijacking. L'amygdale, cette petite zone du cerveau qui assure notre survie depuis des millions d'années, nous fait perdre 60 % de notre capacité de raisonnement face à une situation d'urgence. La bonne nouvelle est qu'il n'existe jamais de situation réelle nécessitant une réaction dans les 30 secondes. Prendre 20 à 30 secondes pour respirer et se questionner permet de réactiver le raisonnement. D'autres biais fréquemment exploités incluent le biais d'autorité (difficile de remettre en question un supérieur, un médecin ou un policier), le biais de réciprocité (notre désir naturel de rendre service) et le biais de conformité (si tout le monde le fait, je le fais aussi, et l'importance d'être cohérent avec l'image qu'on projette). Stratégies de défense et formation La défense la plus efficace commence par la prise de conscience de l'existence de ces biais. Toutefois, la formation purement théorique ne suffit pas, car les réactions exploitées sont émotionnelles et 90 % de nos actions quotidiennes relèvent de l'automatisme. D'où l'importance cruciale d'exercices pratiques et concrets qui permettent d'observer différemment les situations et soi-même. La formation doit être récurrente et non ponctuelle. L'idéal est d'établir un lien direct avec l'utilisateur lorsqu'il clique sur un lien malveillant, en lui expliquant immédiatement ce qui s'est passé et pourquoi, permettant une intégration directe dans la mémoire. L'aspect éthique et l'ocytocine Youna met l'accent sur l'éthique de son travail. Formée dans cette optique par Christopher Hadnagy, elle applique le principe de laisser les gens qu'elle croise dans un meilleur état qu'avant leur rencontre. Elle n'utilise jamais de chantage, de blackmail ou de techniques de coercition basées sur la peur. Un concept fascinant abordé est celui de l'ocytocine, l'hormone de la confiance. Cette hormone, connue comme “l'hormone de l'amour”, est ce qui permet aux humains de travailler ensemble à travers le monde avec des personnes qu'ils n'ont jamais rencontrées. Le pic d'ocytocine se produit particulièrement lorsque quelqu'un nous dit qu'il nous fait confiance, créant un rapport fort et une envie de rendre service. Paradoxalement, la coopération et la confiance s'avèrent être des leviers extrêmement efficaces en social engineering. L'écoute active fait des miracles, et les gens ont naturellement tendance à beaucoup parler lorsqu'ils se sentent écoutés et validés. Conclusion et perspective globale Le social engineering dépasse largement le cadre de la cybersécurité d'entreprise. Les techniques et biais exploités sont identiques à ceux utilisés dans la désinformation, la manipulation de l'information et l'influence des démocraties. Dans un contexte d'infobésité et de bulles de filtres, développer une culture de vigilance de l'information devient essentiel, tant pour protéger l'entreprise que pour mieux comprendre le monde dans lequel nous vivons. La clé réside dans deux éléments fondamentaux : le jeu et la connaissance de soi. Créer une responsabilité collective où chacun devient acteur de la sécurité, tout en développant sa capacité à se connaître et à identifier quand on est manipulé, constitue la meilleure défense. Cette approche transforme la vulnérabilité humaine en force, en mobilisant notre capacité d'apprentissage et d'adaptation. Youna poursuit cette réflexion dans son podcast “Human Ecos”, où elle explore les liens entre cybersécurité, sciences humaines, philosophie et psychologie, offrant une vision non cloisonnée de ces enjeux qui façonnent nos sociétés et démocraties contemporaines. Notes Human Echoes Collaborateurs Nicolas-Loïc Fortin Youna Chosse-Bentabed Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x661! Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Dans cet épisode spécial consacré aux petites et moyennes entreprises, Cyndie Feltz, Nicholas Milot et Dominique Derrier abordent l'un des sujets les plus redoutés par les entrepreneurs : les formulaires de sécurité informatique. Ces documents, souvent exigés par les grandes entreprises ou les assureurs pour établir des relations commerciales, représentent un véritable casse-tête pour les PME qui ne possèdent pas de certifications reconnues. Les invités partagent leur expérience et offrent des conseils pratiques pour naviguer dans cet univers complexe. Un cauchemar universel Dès le début de la conversation, le ton est donné avec humour mais réalisme : même pour des experts en sécurité informatique, la vue d'un de ces formulaires donne envie de changer de métier. Les participants tiennent à rassurer les entrepreneurs en leur confirmant qu'il est tout à fait normal de trouver ces documents épuisants et frustrants. La complexité de ces formulaires ne reflète pas l'incompétence de ceux qui doivent les remplir, mais plutôt un problème systémique dans la manière dont ils sont conçus. Le principal défi réside dans le fait que ces formulaires ne se ressemblent jamais et ne sont basés sur aucune référence standardisée. Chaque client ou assureur développe son propre questionnaire, ce qui oblige les PME à tout recommencer à zéro à chaque fois, sans pouvoir réutiliser le travail effectué précédemment. Deux grandes catégories de formulaires Les experts identifient deux grandes familles de questionnaires. Premièrement, il y a les formulaires orientés vers la vente, que les entreprises doivent remplir pour répondre aux exigences de sécurité de leurs clients potentiels. Dans ce contexte, la pression commerciale est forte et il devient tentant de répondre favorablement à toutes les questions pour ne pas perdre un contrat. Deuxièmement, il existe les formulaires d'assurance cyber, qui présentent des enjeux différents et encore plus critiques, car les réponses peuvent avoir des conséquences directes sur la couverture en cas d'incident. Des critères parfois absurdes L'un des aspects les plus frustrants de ces formulaires est que certains critères sont tout simplement irréalistes ou dénués de sens. Les invités partagent l'exemple mémorable d'un appel d'offres gouvernemental qui exigeait un outil de scan capable de détecter les vulnérabilités futures. Ce critère éliminatoire était techniquement impossible à satisfaire, démontrant que les personnes qui rédigent ces formulaires ne sont pas toujours des experts techniques. Un autre problème majeur est le manque d'adaptation aux différentes tailles d'entreprise. Les mêmes formulaires sont souvent envoyés à des multinationales et à des compagnies de cinq personnes, avec des questions comme “Avez-vous un centre d'opérations de sécurité ?” Une PME de cinq employés ne devrait logiquement pas avoir besoin d'un tel centre, mais si la réponse négative est éliminatoire, cela crée une situation impossible. La tentation et ses dangers Face à ces formulaires complexes et parfois irréalistes, la tentation de mentir ou d'embellir la réalité est forte, particulièrement dans un contexte de vente où refuser de répondre positivement peut signifier perdre un contrat. Les invités admettent honnêtement que personne dans l'industrie ne peut prétendre n'avoir jamais répondu “oui, mais…” à une exigence qu'ils ne remplissaient pas exactement. Cependant, les experts insistent sur une distinction cruciale entre les formulaires de vente et ceux d'assurance. Pour les formulaires de vente, il peut être acceptable de répondre positivement en s'engageant à mettre en place les mesures requises après avoir signé le contrat. En revanche, pour les formulaires d'assurance, mentir est extrêmement dangereux. L'exemple frappant d'une ville en Ontario dont l'assureur a refusé de payer suite à un incident parce que l'authentification multifacteur n'était pas déployée comme déclaré illustre les conséquences désastreuses de fausses déclarations. L'enjeu financier des incidents Les participants rappellent qu'un incident de sécurité peut coûter cent mille dollars par jour, ce qui représente une somme catastrophique pour une moyenne entreprise et peut même mener à la fermeture pour une petite structure. Dans ce contexte, avoir une assurance cyber est crucial, mais elle ne sera d'aucune utilité si l'assureur peut prouver que les déclarations étaient mensongères. Les experts comparent la situation à l'assurance habitation : personne ne fait de feu de camp dans son salon en se disant que l'assurance couvrira les dégâts. De la même manière, l'assurance cyber ne devrait pas servir d'excuse pour négliger les mesures de sécurité de base. Des réponses de bonne foi mais erronées Un autre problème soulevé est celui des personnes qui répondent aux formulaires de bonne foi mais qui donnent des informations inexactes par manque de connaissance technique. Quelqu'un peut sincèrement croire que l'authentification multifacteur est correctement déployée dans son entreprise alors que la configuration n'est pas complète ou que certains produits n'ont jamais été testés. De plus, la situation peut évoluer entre le moment où le formulaire est rempli et la survenue d'un incident, par exemple si une licence n'a pas été renouvelée. Solutions et recommandations Face à ces défis, les experts proposent plusieurs pistes de solution. La première est de poser des questions lorsque c'est possible, particulièrement quand une relation existe avec le client potentiel. En cherchant à comprendre le besoin réel derrière la question, on découvre parfois que des solutions moins coûteuses ou différentes de ce qui était initialement imaginé peuvent satisfaire l'exigence. Se faire accompagner par un expert est également fortement recommandé. Un spécialiste peut aider à vulgariser le jargon technique, comprendre l'intention derrière chaque question et identifier si l'entreprise possède déjà des mesures équivalentes sous une forme différente. Par exemple, la question pourrait porter sur des protocoles spécifiques comme DKIM et SPF, mais l'intention réelle est de savoir si l'entreprise a mis en place une protection contre l'hameçonnage, ce qui peut être accompli par d'autres moyens comme la formation des employés ou des outils anti-spam. Pour les entreprises qui font face régulièrement à ces questionnaires, obtenir une certification de sécurité peut s'avérer rentable à long terme. Bien que coûteuse, une certification permet souvent de court-circuiter les longs formulaires ou d'obtenir une version simplifiée. En calculant le temps humain nécessaire pour répondre à de multiples questionnaires détaillés sur deux ou trois ans, l'investissement dans une certification peut se justifier financièrement. Les invités encouragent également les entrepreneurs à consulter leur réseau professionnel. D'autres PME ont certainement dû affronter les mêmes formulaires et peuvent partager leur expérience, leurs stratégies et leurs apprentissages. Un appel à l'amélioration En conclusion, les experts reconnaissent que malgré tous les problèmes identifiés, ces formulaires partent d'une bonne intention. Les grandes entreprises cherchent légitimement à se protéger en s'assurant que leurs fournisseurs ne représentent pas une porte d'entrée pour des cyberattaques. Le problème réside dans l'exécution et le manque de standardisation. Les participants encouragent les PME à également challenger leurs propres fournisseurs sur la sécurité, tout en évitant de créer des formulaires interminables qui ne seront même pas analysés en profondeur. L'appel final est à la compréhension mutuelle de l'intention derrière les questions, autant pour celui qui pose les questions que pour celui qui y répond, afin d'avancer ensemble vers un écosystème numérique plus sécuritaire. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x660! Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Parcours professionnel de Michel Gaudette Michel Gaudette possède plus de 25 ans d'expérience dans le secteur technologique montréalais. Son parcours a débuté dans les années 90 chez Discrete Logic, une entreprise spécialisée dans les effets visuels 2D, l'incrustation et la correction couleur, avant que celle-ci ne soit rachetée par Autodesk. Attiré par l'énergie des startups, il a quitté cette position stable pour rejoindre une jeune pousse en tant que VP technologie, une aventure qui s'est soldée par un échec lors de l'éclatement de la bulle technologique. Cette expérience l'a néanmoins “intoxiqué” à l'univers des startups et à l'innovation de pointe. Son parcours l'a ensuite mené chez Quebecor, où il a passé 10 ans à développer une plateforme numérique désormais utilisée par des millions d'élèves québécois. Après avoir quitté Quebecor en 2020 pour rejoindre une startup en agrotechnologie, la pandémie de COVID-19 a fait échouer ce projet avant même son premier jour de travail, les investisseurs ayant retiré leur financement. Il a par la suite dirigé une filiale nord-américaine d'une entreprise allemande de modélisation 3D avant de rejoindre FLIR il y a deux ans et demi, recommandé par un ancien collègue qui décrivait FLIR comme la meilleure entreprise montréalaise pour laquelle il avait travaillé. Le rôle fondamental du product manager Michel définit le rôle de directeur de produit comme celui d'un orchestrateur ou d'un coach. Le product manager ne réalise pas directement le travail technique, mais s'assure que chaque membre de l'équipe performe à son meilleur niveau. Son rôle consiste à équilibrer trois dimensions essentielles : les besoins des clients, les objectifs d'affaires de l'entreprise et les capacités de l'équipe d'ingénierie. Cette position requiert des compétences particulières et multidimensionnelles. Le product manager doit pouvoir communiquer efficacement avec les développeurs passionnés et parfois têtus, tout en comprenant les enjeux commerciaux et les attentes des clients. Michel souligne qu'il a rapidement pivoté de l'ingénierie vers ce rôle après avoir découvert son intérêt pour le contact client, réalisant qu'on ne peut pas simultanément être “dans la zone” de développement et gérer les interactions constantes qu'exige la gestion de produit. Un aspect crucial du rôle est la capacité à dire non. Le product manager doit constamment prendre des décisions qui optimisent la capacité de l'équipe d'ingénierie tout en restant aligné avec la stratégie globale. Quelqu'un qui cherche à rendre tout le monde heureux en permanence ne fait pas correctement son travail. Gestion des parties prenantes et priorisation L'un des défis majeurs pour un product manager réside dans la gestion des demandes anecdotiques provenant des vendeurs et de l'équipe de support client. Les vendeurs peuvent vouloir une fonctionnalité immédiate pour conclure une vente, tandis que le support peut signaler des problèmes urgents. Le product manager doit replacer ces demandes dans un contexte holistique : est-ce vraiment prioritaire pour l'ensemble des clients et pour l'entreprise? Michel insiste sur l'importance d'écouter les clients, une approche qui résout la moitié des problèmes. Chez FLIR, les clients ont l'opportunité de parler presque directement aux équipes, créant une relation de confiance. Plutôt que de promettre des changements massifs dans 12 mois, l'équipe privilégie des améliorations incrémentales constantes. Cette approche transforme certains clients en co-créateurs et ambassadeurs du produit. Méthodologie et évolution organisationnelle FLIR a adopté une méthodologie inspirée de Shape Up, développée par Basecamp, avec des cycles de travail de 8 semaines. Les product managers présentent des propositions de projets, et les dirigeants (CTO, CEO, CPO) votent sur les priorités. L'équipe de développement travaille ensuite sans interruption pendant ces 8 semaines. L'entreprise a récemment atteint un niveau de maturité où elle développe une vision stratégique et un plan à plus long terme. Avec un doublement de la clientèle chaque année, FLIR doit mettre en place des processus plus robustes de gestion et de communication. Michel précise qu'un processus n'est essentiellement qu'une “manière de communiquer ensemble” dans une organisation en croissance où les collègues peuvent se trouver à Toronto, aux États-Unis ou ailleurs. Culture d'équipe et valeurs humaines Michel critique fermement le mythe du “10x engineer” toxique popularisé par la Silicon Valley. Il compare la gestion d'une équipe technologique à celle d'un groupe musical : chaque membre doit jouer la bonne note au bon moment, en harmonie avec les autres. Quelqu'un qui arrive avec un ego surdimensionné ne fait pas corps avec l'ensemble et nuit à l'harmonie globale. Chez FLIR, l'équipe privilégie des personnes passionnées mais capables de collaborer. La diversité des talents et des contributions est essentielle. Michel souligne que même les développeurs les plus talentueux ne pourraient pas, à eux seuls, soutenir le rythme et la complexité du travail accompli collectivement. La prise de décision chez FLIR est remarquablement rapide. L'entreprise évite les débats interminables : si une décision est réversible, l'équipe avance rapidement. Cette culture du momentum attire des personnes à l'aise avec l'action et l'imperfection, sachant qu'ils pourront se réajuster au besoin. Bien que ce ne soit pas une démocratie, chaque voix compte et est entendue. Processus d'embauche et travail hybride Le processus d'embauche chez FLIR est personnalisé et orienté vers la collaboration. Les candidats rencontrent directement les personnes avec qui ils travailleront et participent à des sessions de résolution de problèmes au tableau pendant 2 à 3 heures. L'objectif n'est pas de piéger les candidats mais d'évaluer la chimie, la communication et la compatibilité culturelle. FLIR fonctionne comme une entreprise remote par défaut, mais favorise l'embauche locale à Montréal pour faciliter les interactions. Les employés viennent naturellement au bureau pour des raisons précises : brainstorming, kickoffs de projets ou événements sociaux. Michel est convaincu que l'idéation et le brainstorming fonctionnent mieux en personne, mais que la production individuelle se fait souvent mieux à domicile. Cette approche rejoint le meilleur des deux mondes. Conclusion Michel Gaudette incarne un product manager qui place l'humain au centre de son approche. Son expérience démontre l'importance de ce rôle souvent dans l'ombre, mais essentiel à la coordination entre les besoins techniques, commerciaux et clients. Chez FLIR, cette philosophie centrée sur la collaboration, l'agilité et le respect mutuel a permis à l'entreprise de doubler sa clientèle chaque année tout en maintenant une culture saine et dynamique dans le secteur exigeant de la cybersécurité. Collaborateurs Nicolas-Loïc Fortin Michel Gaudette Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x659! Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Notes IA AI Agents Are Going Rogue: Here's How to Rein Them In AI Security Agents Get Persona Makeovers List of AI Tools Promoted by Threat Actors in Underground Forums and Their Capabilities Ransomware Attack on European Organizations Surge as Hackers Leveraging AI-Tools for Attacks UofT: Canada isn't doing its part to stop AI surveillance MIT Retracts Controversial AI Ransomware Study Amid Expert Scrutiny Kevin Beaumont: “The whole report is like that …” - Cyberplace Microsoft: SesameOp malware abuses OpenAI Assistants API in attacks Blue MITRE ATT&CKcon - ATT&CKcon 6.0 Chrome Emergency Update to Patch Multiple Vulnerabilities that Enable Remote Code Execution Apple addresses more than 100 vulnerabilities in security updates for iPhones, Macs and iPads Microsoft removing Defender Application Guard from Office Microsoft Entra Credentials in the Authenticator App on Jail-Broken Devices to be Wiped Out Red Teams New BOF Tool Exploits Microsoft Teams' Cookie Encryption allowing Attackers to Access User Chats Microsoft Teams' New “Chat with Anyone” Feature Exposes Users to Phishing and Malware Attacks Hackers Can Exploit Microsoft Teams Vulnerabilities to Manipulate Messages and Alter Notifications Hackers Weaponize Windows Hyper-V to Hide Linux VM and Evade EDR Detection Danish authorities in rush to close security loophole in Chinese electric buses 2025 Insider Risk Report Finds Most Organizations Struggle to Detect and Predict Insider Risks Violent cybercrime surges in Europe amid big payouts Cybercriminals, OCGs team up on lucrative cargo thefts DOJ accuses US ransomware negotiators of launching their own ransomware attacks Legalize Legal Corner - Apple's notarisation – blocking software freedom of developers and users Microsoft's data sovereignty: Now with extra sovereignty! DHS wants more biometric data - even from citizens Divers Microsoft's lack of quality control is out of control Cybersecurity Forecast 2026 - Google Warns Threat Actors Use AI to Enhance Speed and Effectiveness ISPs more likely to throttle CGNAT traffic: Cloudflare Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x658! Shameless plug 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Dans cet épisode spécial du Policure, l'animateur et Alexandre Fournier explorent un scénario à la fois inquiétant et réaliste : que se passerait-il si nous perdions l'électricité de façon prolongée ? À travers une discussion riche en exemples concrets et en recommandations pratiques, les deux interlocuteurs examinent notre vulnérabilité face à une panne électrique généralisée. L'exercice de mise en situation Le podcast débute par un exercice d'imagination : vous vous réveillez, votre alarme n'a pas sonné, tout est sombre. Vous vous cognez l'orteil, cherchez l'interrupteur qui ne fonctionne pas, constatez que votre téléphone n'a plus que 2 % de batterie. Pas de café, pas de télévision, pas d'ordinateur. Cette mise en situation, familière pour les Québécois habitués aux pannes hivernales, prend une dimension plus inquiétante lorsqu'on en explore toutes les ramifications. Une société hyperdépendante Alexandre Fournier souligne notre dépendance extrême à l'électricité et au numérique. Sans électricité, impossible d'utiliser sa carte de crédit pour faire le plein d'essence ou acheter de la nourriture. Les adolescents, constamment sur TikTok et Instagram, vivraient une véritable angoisse. L'exemple de la panne de Rogers en 2022 est particulièrement révélateur : même le 911 était inaccessible, passant par les systèmes de l'opérateur. Le télétravail, désormais omniprésent, deviendrait impossible. Les centres informatiques, malgré leurs génératrices, ne peuvent fonctionner indéfiniment sans entretien. C'est tout le tissu économique qui risquerait de s'effondrer, avec des conséquences en cascade sur les clients, partenaires et l'ensemble de l'activité. Les impacts sur la santé et la sécurité Les répercussions sur la santé seraient dramatiques. Les personnes dépendant d'appareils respiratoires risqueraient leur vie. En Espagne, lors d'une récente panne, plusieurs décès ont été attribués à cette cause. Les pharmacies ne pourraient renouveler les prescriptions, privant de nombreuses personnes de médicaments essentiels. L'espérance de vie, que la médecine moderne a réussi à doubler, dépend d'une infrastructure énergétique fiable. Les hôpitaux, fonctionnant sur groupes électrogènes, seraient rapidement saturés. Sans feux de circulation opérationnels, les déplacements deviendraient chaotiques, compliquant l'acheminement de carburant pour alimenter les génératrices. La vie quotidienne bouleversée En hiver québécois, l'absence de chauffage devient rapidement une question de survie. Le froid extrême peut causer engelures et gelures en quelques heures. L'eau courante disparaîtrait également, car elle dépend de pompes électriques. Alexandre conseille de savoir où trouver de l'eau d'urgence : réservoir des toilettes (8 litres), chauffe-eau (150-200 litres), et même les radiateurs. L'alimentation pose un autre défi majeur. Sans électricité, impossible d'acheter avec une carte de crédit. Les épiciers refuseraient de donner leur marchandise gratuitement. Une étude citée indique qu'à Londres, 48 heures sans électricité suffiraient à déclencher des émeutes généralisées. La formule est claire : “Chacun pour soi et Dieu pour tous.” Les leçons de l'histoire Le verglas de 1998 au Québec constitue un cas d'école. Certaines régions sont restées privées d'électricité pendant 32 jours. La solidarité s'est organisée, avec des familles hébergeant leurs voisins, des gymnases transformés en refuges. HydroQuébec fut débordée, l'armée déployée, mais impossible de tout couvrir. Des solutions créatives ont émergé, comme l'utilisation d'une locomotive sur remorque pour alimenter un hôtel en électricité. Au Texas, une vague de froid récente a révélé le manque de préparation : des gens ont brûlé des parties de leur maison pour se chauffer, causant de nombreux décès par intoxication. À Mayotte, après le cyclone Chido en décembre 2024, les infrastructures détruites ont laissé la population sans eau potable ni services de base, causant 1800 morts. L'ouragan Katrina a également démontré les limites de l'État dans ces situations critiques. La préparation individuelle : la clé de la résilience Face à ces constats, Alexandre insiste sur l'importance de la préparation personnelle. Le “sac 72 heures” recommandé par la sécurité civile devrait contenir eau, nourriture, lampes et alimentation électrique d'urgence. Mais 72 heures représentent le minimum légal d'intervention de l'État. Il conseille plutôt de viser 96 heures, voire une semaine complète d'autonomie. Il est crucial de comprendre que les secours ne viendront pas immédiatement. Ils prioriseront les services essentiels (hôpitaux, pharmacies) et les personnes vulnérables. De plus, les secouristes sont eux-mêmes des humains avec des familles à protéger, ce qui peut retarder leur intervention. La solidarité locale, premier filet de sécurité Au-delà de la préparation individuelle, la solidarité de quartier s'avère indispensable. Alexandre encourage à discuter avec ses voisins, même au risque de passer pour un “illuminé”, afin de coordonner les préparatifs. Un quartier préparé collectivement évite les tensions et les conflits pour les ressources, créant plutôt un réseau d'entraide. Exercices pratiques et défis Le podcast propose trois défis concrets : vérifier ses réserves alimentaires et d'eau, noter cinq numéros de téléphone importants sur papier, et identifier un lieu de repli hors de la ville. L'invitation à simuler une demi-journée sans électricité permet de prendre conscience de nos vulnérabilités réelles. Conclusion Cette discussion soulève une question fondamentale : sommes-nous prêts à tenir 72 heures seuls ? Dans un monde où les pannes peuvent survenir suite à des tempêtes, des cyberattaques ou même des éruptions solaires, la résilience commence chez soi. Notre société moderne, forte et développée, ne tient que si chaque citoyen peut assurer son autonomie de base. La préparation n'est pas du survivalisme extrême, mais du simple bon sens face à des risques bien réels et documentés. Collaborateurs Nicolas-Loïc Fortin Le Magnifique Alexandre Fournier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x657! Shameless plug 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Introduction Ce podcast explore la relation complexe entre les équipes Red Team et les solutions EDR (Endpoint Detection and Response), en mettant l'accent sur les dimensions business plutôt que purement techniques. Charles F. Hamilton partage son expertise terrain sur l'évasion des EDR et démystifie la confiance aveugle que beaucoup placent dans ces solutions présentées comme magiques. La réalité des EDR : au-delà du marketing Les EDR sont souvent vendus comme des solutions universelles de protection, mais cette perception cache une réalité plus nuancée. Il existe plusieurs types de solutions (EDR, XDR, NDR) avec des capacités différentes, notamment au niveau de la télémétrie réseau et de l'enrichissement des données. L'industrie de la cybersécurité reste avant tout un business, où les décisions sont guidées par des considérations financières, de croissance et de parts de marché plutôt que uniquement par la protection des utilisateurs. Un aspect troublant est la romanticisation des groupes d'attaquants par certaines compagnies de détection, qui créent des figurines géantes et des noms accrocheurs pour ces groupes criminels lors de conférences. Cette approche marketing peut paradoxalement valoriser le crime et encourager de nouveaux acteurs malveillants. Fonctionnement technique des EDR Les EDR fonctionnent sur plusieurs niveaux de détection. D'abord, l'aspect antivirus traditionnel effectue une analyse statique avant l'exécution d'un binaire. Ensuite, la détection en temps réel utilise diverses techniques : le user mode hooking (de moins en moins populaire), les callbacks dans le kernel, et ETW (Event Tracing for Windows) qui capture de la télémétrie partout dans Windows. Les EDR modernes privilégient les callbacks kernel plutôt que le user mode, car le kernel offre une meilleure protection. Cependant, le risque est qu'une erreur dans le code kernel peut causer un écran bleu, comme l'a démontré l'incident CrowdStrike. Microsoft a également implémenté les PPL (Protected Process Light) pour empêcher même les utilisateurs avec privilèges système de tuer certains processus critiques. Un point crucial : les Red Teams sont souvent plus sophistiquées que les attaquants réels, précisément parce qu'elles doivent contourner les EDR dans leurs mandats. Techniques d'évasion : simplicité et adaptation Contrairement à ce qu'on pourrait croire, l'évasion d'EDR ne nécessite pas toujours des techniques extrêmement sophistiquées. Plusieurs approches simples fonctionnent encore remarquablement bien. Par exemple, modifier légèrement un outil comme PinkCastle en changeant les requêtes LDAP et en désactivant certaines fonctionnalités détectables (comme les tentatives de zone transfer DNS ou les requêtes SPN) peut le rendre indétectable. Un cas particulier intéressant concerne un EDR qui, suite à son acquisition par Broadcom, a cessé d'être signé par Microsoft. Cette décision business a rendu leur DLL incapable de s'injecter dans les processus utilisant le flag de chargement de DLL signées uniquement par Microsoft, rendant effectivement l'EDR sans valeur de détection. Une stratégie efficace consiste à désactiver la connectivité réseau des processus EDR avant toute manipulation, en utilisant le firewall local. Même si des alertes sont générées, elles ne peuvent pas être transmises au serveur. L'agent apparaît simplement offline temporairement. Les vieilles techniques qui fonctionnent encore De nombreuses techniques d'attaque anciennes restent efficaces car elles ne sont pas assez utilisées par les attaquants standard pour justifier leur détection. Les EDR se concentrent sur le “commodity malware” - les attaques volumétriques - plutôt que sur les techniques de niche utilisées principalement par les Red Teams. Charles cite l'exemple d'une “nouvelle backdoor” découverte en 2024 qui était en fait son propre code archivé sur GitHub depuis 8 ans. Pour les compagnies de sécurité, c'était nouveau car jamais vu dans leur environnement, illustrant le décalage entre ce qui existe et ce qui est détecté. L'importance de la simplicité Un conseil crucial : ne pas suivre les tendances en matière de malware. Les techniques à la mode comme le stack spoofing deviennent rapidement détectées. Charles utilise depuis 6-7 ans un agent simple en C# sans share code ni techniques exotiques, qui passe encore inaperçu. La simplicité et une approche différente sont souvent plus efficaces que la complexité. L'utilisation de Beacon Object Files (BOF) avec Cobalt Strike évite l'injection de processus, réduisant considérablement les artefacts détectables. Recommandations pratiques Pour les organisations, avoir un EDR est essentiel en 2025 pour bloquer les attaques triviales. Mais ce n'est qu'un début. Il faut absolument avoir au moins une personne qui examine les logs quotidiennement, idéalement trois fois par jour. De nombreux incidents de réponse montrent que toute l'information était disponible dans la console EDR, mais personne ne l'a regardée. La segmentation réseau reste sous-développée depuis 15 ans, principalement pour des raisons de complexité opérationnelle. Sysmon devrait être déployé partout avec une configuration appropriée pour augmenter exponentiellement la visibilité, malgré la courbe d'apprentissage XML. La visibilité réseau est ce qui manque le plus aux clients en 2025. Sans elle, il est impossible de valider ce que les EDR prétendent avoir bloqué. Charles donne l'exemple de Microsoft Defender Identity qui dit avoir bloqué des attaques alors que l'attaquant a bel et bien obtenu les hash recherchés. Conclusion L'évasion d'EDR est une spécialisation à part entière, au même titre que le pentesting web ou Active Directory. Le secret est de comprendre profondément Windows, les outils et les EDR eux-mêmes avant de tenter de les contourner. Les entreprises doivent garder l'intelligence à l'interne plutôt que de dépendre entièrement des produits commerciaux. Finalement, la collaboration entre Blue Teams et Red Teams reste insuffisante. Plus de synergie permettrait aux deux côtés de mieux comprendre les perspectives de l'autre et d'améliorer globalement la sécurité. La curiosité et l'apprentissage continu sont les clés du succès dans ce domaine en constante évolution. Notes Training Training Collaborateurs Nicolas-Loïc Fortin Charles F. Hamilton Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x656! Shameless plug 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Ce podcast technique réunit Nicolas, l'animateur, avec Maxime Arquillière et Amaury-Jacques Garçon, deux analystes en cybermenace de sekoia., une société française spécialisée dans le renseignement sur les menaces informatiques (CTI - Cyber Threat Intelligence). Leur discussion porte sur une investigation approfondie d'une campagne de cyberespionnage sophistiquée baptisée “Double Tap”, probablement liée au groupe APT28 du renseignement militaire russe. Le contexte et la méthodologie Maxime et Amaury expliquent d'abord leur approche du travail de CTI, qui repose largement sur une veille continue des publications d'organismes spécialisés (CERT français, américains, canadiens) et de chercheurs en cybersécurité. Cette collecte systématique d'informations en source ouverte leur permet de modéliser les menaces et de créer des règles de détection, notamment des règles Yara pour identifier les fichiers malveillants. Leur équipe dispose de quatre spécialités : le tracking d'infrastructure, les règles de détection, le reverse engineering de malware, et l'analyse stratégique qui vise à comprendre les objectifs géopolitiques derrière les attaques étatiques. Cette approche multidimensionnelle permet une compréhension globale des cybermenaces. La découverte initiale L'investigation démarre à partir d'un article publié fin juillet 2024 par le CERT-UA (l'autorité ukrainienne de réponse aux incidents), qui documente des attaques ciblant régulièrement l'Ukraine. À partir de ces informations, l'équipe a créé des règles de détection, dont certaines volontairement plus souples pour capturer d'éventuelles variantes. Mi-octobre, une de ces règles Yara a détecté un document Word malveillant sur VirusTotal, une plateforme où sont analysés des millions de fichiers suspects. Ce document contenait une macro et semblait être issu du ministère des Affaires étrangères du Kazakhstan. Cette alerte a déclenché une investigation approfondie qui a permis de découvrir au total 18 documents similaires, dont une dizaine n'avaient jamais été publiés auparavant. L'analyse technique : la chaîne d'infection “Double Tap” Amaury détaille la sophistication technique de cette attaque. Les documents malveillants utilisent une technique de social engineering : ils apparaissent floutés ou déformés à l'ouverture, incitant la victime à cliquer sur “Activer les macros” pour les rendre lisibles. Cette action déclenche une chaîne d'infection particulièrement élaborée. La particularité qui a donné son nom à la campagne est l'utilisation d'un double mécanisme : le premier document Word crée un second document contenant des macros malveillantes dans un répertoire temporaire du système. Cette approche en plusieurs étapes vise à contourner les systèmes de détection. Une fois activé, le malware modifie les paramètres de sécurité du système pour permettre l'exécution automatique de macros futures, établit une persistance qui se réactive toutes les quatre minutes, et contacte un serveur de commande et contrôle (C2). Le code, largement obfusqué, construit progressivement une troisième macro qui communique avec un serveur externe pour transmettre des informations sur la machine compromise (nom d'utilisateur, nom du PC) et potentiellement déployer un backdoor Python appelé “Cherry Spy” pour l'exfiltration de données. La dimension géopolitique L'analyse de Maxime révèle que les dix documents découverts étaient tous rédigés en kazakh et concernaient des sujets diplomatiques : câbles d'ambassades kazakhes en Belgique et Afghanistan, comptes-rendus de visites présidentielles, et notamment une déclaration diplomatique conjointe entre l'Allemagne et le Kazakhstan datant de septembre 2024, lors d'une visite du chancelier Olaf Scholz visant à diversifier les approvisionnements énergétiques allemands. Ces documents, datés entre 2021 et 2024, semblent être des documents légitimes récupérés lors d'opérations antérieures et réutilisés comme appâts pour cibler des diplomates et officiels kazakhs. Le Kazakhstan, bien qu'allié traditionnel de la Russie, adopte une politique de plus en plus indépendante, ce qui expliquerait l'intérêt du renseignement russe. Le lien avec APT28 et Zebrocy L'équipe établit des connexions avec APT28 (également connu sous le nom de Fancy Bear), un groupe de cyberespionnage du renseignement militaire russe (GRU). Ils identifient également des similitudes avec Zebrocy, un mode opératoire actif entre 2015 et 2020 qui ciblait spécifiquement l'Asie centrale et utilisait des techniques similaires de “double tap”. L'importance du partage Les chercheurs soulignent l'importance de publier leurs découvertes en source ouverte. Bien que cela puisse alerter les attaquants et les pousser à modifier leur infrastructure, cette transparence contribue à l'amélioration de la cybersécurité globale, permettant à d'autres chercheurs de construire sur leurs travaux. De manière remarquable, quelques jours après la publication de leur rapport, un média kazakh a annoncé qu'une inspection imprévue du ministère des Affaires étrangères serait menée suite aux révélations sur cette cyberattaque. L'équipe avait d'ailleurs tenté de contacter le gouvernement kazakh avant publication, sans recevoir de réponse. Cette investigation illustre parfaitement la complexité du travail en CTI : combiner expertise technique, compréhension géopolitique et éthique du partage pour protéger efficacement contre les menaces étatiques sophistiquées qui peuvent s'étendre sur plusieurs années. Notes Double-Tap Campaign - Russia-nexus APT possibly related to APT28 conducts cyber espionage on Central Asia and Kazakhstan diplomatic relations Collaborateurs Nicolas-Loïc Fortin Maxime Arquillière Amaury-Jacques Garçon Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x655! Shameless plug 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Notes Résilience du cloud Microsoft: DNS outage impacts Azure and Microsoft 365 services Kevin Beaumont: “Yep, just did some testing - A…” - Cyberplace Kevin Beaumont: “If you're wondering what prote…” - Cyberplace Microsoft Services Experience Global Outage Due to Faulty Cloud Configuration Microsoft Azure challenges AWS for downtime crown Kevin Beaumont: “If you're wondering the AWS an…” - Cyberplace IA The glaring security risks with AI browser agents OpenAI's Atlas browser — and others — can be tricked by manipulated web content New Agent-Aware Cloaking Leverages OpenAI ChatGPT Atlas Browser to Deliver Fake Content Ex-CISA chief says AI could mean the end of cybersecurity AI-Generated Code Poses Security, Bloat Challenges AI Trust Paradox: Overcome Fear Auto Cyber Remediation Anthropic's Claude convinced to exfiltrate private data OpenAI unleashes Aardvark security agent in private beta Red New EDR-Redir Tool Breaks EDR Exploiting Bind Filter and Cloud Filter Driver New EDR-Redir V2 Blinds Windows Defender on Windows 11 With Fake Program Files Hackers Exploiting Microsoft WSUS Vulnerability In The Wild - 2800 Instances Exposed Online oss-sec: Questionable CVE's reported against dnsmasq 81% Router Usres Have Not Changed Default Admin Passwords, Exposing Devices to Hackers Sweden's power grid operator confirms data breach claimed by ransomware gang What Is Bring Your Own Vulnerable Driver (BYOVD)? High-Severity OpenVPN Flaw (CVE-2025-10680) Allows Script Injection on Linux/macOS via Malicious DNS Server Beware of Free Video Game Cheats That Delivers Infostealer Malwares New Atroposia malware comes with a local vulnerability scanner New Android Trojan ‘Herodotus' Outsmarts Anti-Fraud Systems by Typing Like a Human Next-gen firewalls, VPNs can increase security risks: At-Bay Tata Motors Data Leak - 70+ TB of Sensitive Info and Test Drive Data Exposed via AWS Keys 9 in 10 Exchange servers in Germany are out of support Cyberpunks mess with Canada's water, energy, farm systems Multiple Jenkins Vulnerability SAML Authentication Bypass And MCP Server Plugin Permissions Blue Mozilla to Require Data-Collection Disclosure in All New Firefox Extensions CISOs Finally Get a Seat at the Board's Table Ransomware Profits Drop As Victims Stop Paying Hackers Making A Virtual Machine Look Like Real Hardware To Malware Open-Source Firewall IPFire 2.29 With New Reporting For Intrusion Prevention System Agent Fatigue Is Real and Your Security Stack Is to Blame ATT&CK v18: The Detection Overhaul You've Been Waiting For How Threat Intelligence Feeds Help Organizations Quickly Mitigate Malware Attacks Passkeys: they're not perfect but they're getting better Google Unveils Guide for Defenders to Monitor Privileged User Accounts Google Chrome Will Finally Default To Secure HTTPS Connections Starting in April CISA Releases Best Security Practices Guide for Hardening Microsoft Exchange Server Russia arrests three suspected Meduza infostealer devs Privacy What brain privacy will look like in the age of neurotech Proton 2025 autumn/winter roadmaps [New Release: Tor Browser 15.0 The Tor Project](https://blog.torproject.org/new-release-tor-browser-150/) Divers EU sovereignty plan accused of helping US cloud giants Red lights flashing at CISPE over Broadcom licensing antics France signs up to the Matrix.org Foundation US declines to join more than 70 countries in signing UN cybercrime treaty International Criminal Court To Ditch Microsoft Office For European Open Source Alternative Everyone Wants to Hack — No One Wants to Think Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x654! Shameless plug 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Collaborateurs Nicolas-Loïc Fortin Alex Tardif Crédits Montage par Intrasecure inc Locaux réels par Bâton Rouge - Galeries de la Capitale

Parce que… c'est l'épisode 0x653! Shameless plug 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Collaborateurs Nicolas-Loïc Fortin Cyndie Feltz Nicholas Milot Dominique Derrier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x652! Shameless plug 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Ce neuvième épisode du balado collaboratif entre Cyber Citoyen et Polysécure, animé par Catherine Dupont-Gagnon et ses invités Sam Harper et Nicolas Louck, aborde plusieurs enjeux critiques de cybersécurité, de vie privée et de technologie qui marquent l'actualité récente. L'application Tea et les dangers du dating en ligne L'épisode débute avec une mise à jour sur l'application Tea, un sujet récurrent du podcast. Apple et Google ont finalement retiré cette application et son alternative Tea on Earth de leurs magasins, invoquant des problèmes de modération et de vie privée. Malgré ses 6,1 millions de téléchargements et 5 millions de dollars de revenus générés, l'application présentait de graves lacunes de sécurité. Ce qui inquiète particulièrement les experts, c'est l'apparition de copies tentant de combler le vide laissé par ce retrait, des applications tout aussi mal sécurisées. Les animateurs constatent un retour aux groupes Facebook « Are we dating the same guy », malgré les limites de la fonction d'anonymat de Facebook. Cette situation soulève des questions cruciales sur la protection des données sensibles, notamment celles de femmes en situation de vulnérabilité. La panne AWS : symptôme d'un monopole dangereux La panne d'Amazon Web Services du 22 octobre constitue le deuxième sujet majeur. Au-delà de l'incident technique lui-même, les animateurs s'interrogent sur la concentration monopolistique des infrastructures internet. Le fait qu'une partie importante du web dépende d'un seul point de défaillance représente un risque systémique considérable. Sam rappelle que cette situation n'est pas nouvelle, citant la panne Rogers qui avait paralysé le système d'urgence 911 et Interac. Nicolas mentionne un cas similaire en Australie où une mise à jour de pare-feu a rendu le service d'urgence inaccessible pendant des heures, causant des décès. Les intervenants soulignent que des entreprises comme Netflix ont conçu leurs systèmes pour tolérer les pannes grâce au « chaos engineering », testant régulièrement leur résilience. Cependant, la majorité des entreprises ne prennent pas ces précautions, préférant la solution la moins coûteuse. Cette négligence révèle un problème plus large : le marché ne punit pas suffisamment les mauvaises pratiques, et les entreprises continuent de dépendre d'une seule zone AWS parce que c'est moins cher, acceptant implicitement le risque de perte de revenus et de réputation. Les objets connectés : quand la technologie devient un fléau L'histoire du lit intelligent à 5 000 dollars illustre parfaitement les dangers de l'Internet des objets. Ce lit, qui nécessite un abonnement mensuel de 17 à 33 dollars pour fonctionner, est devenu complètement inutilisable lors de la panne AWS. Sans accès aux serveurs, les utilisateurs ne pouvaient même plus ajuster la position de leur lit, certains se retrouvant coincés en position assise. Cette situation absurde démontre comment la dépendance excessive aux serveurs cloud crée des vulnérabilités dans des objets du quotidien. Les animateurs élargissent la discussion aux voitures connectées, comme les Tesla qui peuvent être contrôlées à distance, voire désactivées. John Deere a ainsi désactivé des équipements agricoles volés par les Russes en Ukraine. Cette capacité de contrôle à distance soulève des questions fondamentales sur la propriété réelle des objets que nous achetons et sur les modèles d'abonnement pour des fonctionnalités déjà installées physiquement dans les produits. L'intelligence artificielle : une fiabilité très relative Une étude majeure coordonnée par l'European Broadcasting Union et la BBC révèle que 45 % des résumés d'actualité générés par l'IA contiennent au moins un problème significatif. Gemini se distingue particulièrement négativement avec 76 % de réponses problématiques. L'étude identifie des erreurs d'attribution, des informations trompeuses ou manquantes, et des hallucinations. Cette situation est d'autant plus préoccupante que 15 % des moins de 25 ans utilisent principalement l'IA pour s'informer sur l'actualité. Les animateurs soulignent que l'IA n'est pas un moteur de recherche et ne peut se fier à sa base de connaissances pour des informations récentes. Nicolas compare l'IA à quelqu'un qui lit en diagonale, mais sans la capacité humaine de repérer les mots clés pertinents, s'appuyant plutôt sur des modèles statistiques. Les citations fournies par les IA sont souvent incorrectes ou non pertinentes, obligeant à vérifier systématiquement les sources. OpenAI et la course aux données Le lancement du navigateur Atlas par OpenAI inquiète les experts en vie privée. Conçu pour rivaliser avec Google, ce navigateur semble destiné principalement à collecter des données pour entraîner les modèles d'IA. Perplexity a déjà lancé un navigateur similaire, criblé de vulnérabilités, et n'a jamais caché que toutes les données de navigation étaient renvoyées vers ses serveurs. Cette course aux données révèle un problème fondamental : l'IA générative ne peut survivre sans nouveau contenu, mais ne peut se nourrir de son propre contenu sous peine de dégradation progressive, comparable à la consanguinité génétique. La bulle de l'IA et ses conséquences Les animateurs anticipent l'explosion imminente de la bulle de l'IA, artificiellement gonflée par le battage médiatique autour de l'intelligence artificielle générale. Microsoft pousse agressivement Copilot en liant les indicateurs de performance des vendeurs au taux d'utilisation chez les clients, malgré des résultats mitigés. Seulement 5 % des projets d'IA donnent des résultats réels. Pendant ce temps, les coûts énergétiques explosent aux États-Unis, financés indirectement par les citoyens, tandis que des villages entiers perdent l'accès à l'eau potable pour refroidir les centres de données. L'épisode se conclut sur une note plus légère avec l'histoire d'un prisonnier en Roumanie qui a exploité les vulnérabilités d'un système de tablettes pénitentiaires, distribuant du matériel pour adultes et créditant 1,15 million de dollars sur le compte cantine d'un complice. Cette anecdote illustre l'importance de considérer la sécurité numérique avec la même rigueur que la sécurité physique, un continuum souvent négligé. Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x651! Shameless plug 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Notes Incidents What the Huge AWS Outage Reveals About the Internet A single DNS race condition brought AWS to its knees Amazon brain drain finally caught up with AWS Louvre heist raises decades-old questions about museum security IA Critical Vulnerability in MCP Server Platform Exposes 3,000 Servers and Thousands of API Keys The security paradox of local LLMs OpenAI ChatGPT Atlas Browser Jailbroken to Disguise Malicious Prompt as URLs OpenAI's New Browser Raises ‘Insurmountably High' Security Concerns Perplexity's Comet Browser Screenshot Feature Vulnerability Let Attackers Inject Malicious Prompts MCP attack uses predictable session IDs to hijack AI agents Zero Trust Has a Blind Spot—Your AI Agents Sneaky Mermaid attack in Microsoft 365 Copilot steals data AI-Powered Ransomware Is the Emerging Threat That Could Bring Down Your Organization One in five security breaches now thought to be caused by AI-written code Privacy Microsoft Teams to Auto-Set Work Location by Detecting the Wi-Fi Network Polish PM: former government used Pegasus spyware to surveil my wife and daughter The Internet's Biggest Annoyance: Why Cookie Laws Should Target Browsers, Not Websites Blue 5 Deception Solutions that are Changing the Cybersecurity Game  You Still Shouldn't Use a Browser Password Manager Microsoft admits File Explorer Preview pane won't work in Windows 11 25H2 for internet files by default Myanmar military detains 2,000 people in raid at cybercrime center Shifting from reactive to proactive: Cyber resilience amid nation-state espionage Proofpoint releases innovative detections for threat hunting: PDF Object Hashing OpenBSD 7.8 out now and 9front's ‘Release' released OpenBSD 7.8 ChkTag: x86 Memory Safety Réserve européenne de cybersécurité : l'Union se dote d'un bouclier commun Red GlassWorm: First Self-Propagating Worm Using Invisible Code Hits OpenVSX Marketplace Self-Propagating GlassWorm Poisons VS Code Extensions Network security devices endanger orgs with '90s era flaws 706,000+ BIND 9 Resolver Instances Vulnerable to Cache Poisoning Exposed Online - PoC Released Google Warns of Threat Actors Using Fake Job Posting to Deliver Malware and Steal Credentials The YouTube Ghost Network: How Check Point Research Helped Take Down 3,000 Malicious Videos Spreading Malware Threat Actors Attacking Azure Blob Storage to Compromise Organizational Repositories Inside the attack chain: Threat activity targeting Azure Blob Storage Hackers Can Access Microsoft Teams Chat and Emails by Retrieving Access Tokens Critical WSUS Flaw (CVE-2025-59287, CVSS 9.8) Allows Unauthenticated RCE via Unsafe Cookie Deserialization, PoC Available Hackers Weaponizing OAuth Applications for Persistent Cloud Access Even After Password Reset ‘PassiveNeuron' Cyber Spies Attack With Custom Malware Airport PA System Hack: How Attackers Hijacked Announcements in the US and Canada - Cyberwarzone China finds “irrefutable evidence” of US NSA cyberattacks on time Authority Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x650! Shameless plug 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction Dans cet épisode du podcast Police Secure, Clément Cruchet présente une analyse approfondie de la surface d'attaque de Google Cloud Platform (GCP), un sujet souvent négligé dans la communauté de la cybersécurité. Contrairement à Azure et AWS qui bénéficient d'une documentation abondante sur leurs vulnérabilités et vecteurs d'attaque, GCP reste le “petit frère oublié” du cloud computing. Cette présentation, donnée lors de la conférence Bide, vise à combler cette lacune en explorant les chemins qu'un attaquant pourrait emprunter dans un environnement GCP. Le contexte : pourquoi GCP est moins documenté Clément observe qu'il y a trois ou quatre ans, la documentation sur les vulnérabilités GCP était quasi inexistante. Cette absence de contenu a même conduit certains utilisateurs sur des forums comme Reddit à affirmer de manière erronée que GCP était plus sûr ou exempt de mauvaises configurations. En réalité, ces failles existent bel et bien, mais elles n'avaient simplement pas été explorées en profondeur. Bien que la situation se soit améliorée depuis trois ans avec l'apparition de formations et de certifications, GCP demeure significativement moins couvert que ses concurrents. L'importance de l'IAM (Identity and Access Management) Le cœur de la sécurité dans tous les environnements cloud réside dans la gestion des identités et des accès. Que ce soit Azure, AWS, GCP ou d'autres fournisseurs comme Oracle Cloud ou Alibaba Cloud, chacun possède son propre modèle IAM distinct. Ces modèles constituent la base de toute gestion des permissions, rôles et autorisations dans les environnements cloud. Le paradoxe est clair : sans permissions IAM, on ne peut rien faire, mais avec trop de permissions, on ouvre la porte à des abus et des défauts de configuration. La majorité des vulnérabilités dans les environnements cloud proviennent justement de ces mauvaises configurations au sein de l'IAM. La hiérarchie unique de GCP GCP se distingue par sa structure hiérarchique particulière. Contrairement à AWS qui fonctionne avec des comptes, ou à Azure qui utilise des tenants, des subscriptions et des groupes de ressources, GCP adopte une approche top-down très structurée. Au sommet se trouve l'organisation, généralement liée au nom de domaine de l'entreprise (par exemple company.com). Sous l'organisation, on trouve des folders, comparables aux unités organisationnelles (OU) d'Active Directory. Ces folders contiennent ensuite des projets, qui constituent l'unité administrative la plus importante. Les projets dans GCP peuvent être comparés aux comptes AWS et c'est principalement à ce niveau que se fait la facturation. Pour beaucoup d'utilisateurs, seule la vue du projet est accessible, sans nécessairement avoir besoin d'une organisation complète. Cette flexibilité permet de commencer à travailler directement avec un projet sans passer par la création d'une infrastructure organisationnelle complète. Les rôles et leurs dangers Un point crucial soulevé par Clément concerne les rôles primitifs dans GCP : éditeur, viewer, owner et browser. Ces rôles sont extrêmement dangereux car ils accordent des permissions bien trop larges. Par exemple, un rôle d'éditeur peut avoir accès à 800 permissions différentes, ce qui viole complètement le principe du moindre privilège. Le message clé est de ne jamais utiliser ces rôles primitifs dans une infrastructure GCP. Même les rôles prédéfinis, pourtant plus granulaires, peuvent présenter des risques. Un rôle comme “compute admin”, qui devrait théoriquement se limiter à l'administration des ressources compute, peut en réalité inclure 800 permissions, dont certaines touchent à des services non liés comme BigQuery. La recommandation fondamentale est de créer des rôles personnalisés aussi granulaires que possible et d'appliquer systématiquement le principe du moindre privilège. Domain wide delegation : un vecteur d'exfiltration méconnu L'une des contributions majeures de cette présentation concerne le domain wide delegation, une technique d'exfiltration peu documentée. Cette fonctionnalité permet à un compte de service dans GCP d'interagir avec Google Workspace : accéder à Drive, Gmail, envoyer des emails au nom d'utilisateurs, récupérer des pièces jointes, etc. Clément a développé un outil Python appelé “Delegate” pour démontrer et tester cette technique. Lorsqu'il a écrit son article de blog sur le sujet début 2023, il n'existait pratiquement aucune documentation sur cette vulnérabilité. Ironiquement, Palo Alto Networks a publié un article similaire plusieurs mois après, ce qui témoigne du caractère précurseur de ses recherches. Le scénario d'attaque typique implique un attaquant qui compromet une machine virtuelle possédant un compte de service capable d'effectuer du domain wide delegation. Cette technique peut également servir de mécanisme de persistance, permettant à un attaquant de configurer sa propre délégation pour exfiltrer des données de manière discrète. L'outil Delegate permet de lire des emails, télécharger et uploader des fichiers sur Drive, offrant ainsi une capacité d'exfiltration complète. La matrice d'attaque GCP Pour synthétiser ses recherches, Clément propose une kill chain communautaire spécifique à GCP, disponible sur GitHub (github.com/otendfreed/GCP-attack-matrix). Cette matrice d'attaque représente l'ensemble des tactiques, techniques et procédures (TTP) depuis la reconnaissance jusqu'à l'exfiltration et l'impact. L'objectif est de fournir un outil pour les équipes de sécurité souhaitant effectuer du purple teaming dans des environnements GCP, leur permettant d'évaluer leurs contrôles de sécurité et leur capacité de détection. Conclusion Ce podcast souligne l'importance de ne pas négliger GCP dans les stratégies de sécurité cloud. Bien que moins documenté, ce fournisseur présente des vecteurs d'attaque tout aussi critiques que ses concurrents. La recherche communautaire et le partage de connaissances sont essentiels pour identifier et corriger les vulnérabilités avant que des attaquants malveillants ne les exploitent. Comme le souligne Clément, pour attaquer un système, il faut d'abord le comprendre, et c'est précisément cette compréhension qu'il cherche à transmettre à la communauté de la cybersécurité. Notes À venir Collaborateurs Nicolas-Loïc Fortin Clément Cruchet Crédits Montage par Intrasecure inc Locaux réels par Bsides Montréal

Parce que… c'est l'épisode 0x649! Shameless plug 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Comprendre les différences et faire les bons choix Dans cet épisode du podcast Polysécure, l'animateur reçoit Cyndie Feltz, Nicolas Milot et Dominique Derrier pour démystifier deux concepts souvent confondus dans le domaine de la cybersécurité : les balayages de vulnérabilités et les tests d'intrusion. Cette discussion s'avère particulièrement pertinente pour les petites et moyennes entreprises qui doivent naviguer dans un environnement où les exigences de sécurité se multiplient, que ce soit pour obtenir une cyberassurance, répondre à des normes réglementaires ou rassurer des clients. La confusion sur le marché Le podcast débute en soulignant un problème majeur : les entreprises se font souvent imposer des tests de sécurité sans nécessairement comprendre ce qu'elles achètent réellement. Cette pression peut provenir d'une cyberassurance, d'un cadre normatif ou d'un client exigeant. Lorsque ces tests ne sont pas budgétés, les entreprises cherchent naturellement à minimiser les coûts, mais le marché offre toutes les saveurs possibles, et les écarts de prix peuvent atteindre un facteur de dix entre différentes offres. Cette variation crée naturellement de la confusion et des inquiétudes chez les clients. Deux outils complémentaires, mais distincts Les experts s'entendent d'abord sur un point fondamental : ni le balayage de vulnérabilités ni le test d'intrusion ne sont intrinsèquement mauvais. Ce sont simplement deux outils différents qui répondent à des besoins distincts. Le problème survient lorsqu'un vendeur présente l'un comme l'autre, ou inversement, créant ainsi des attentes qui ne seront pas comblées. Un balayage de vulnérabilités est essentiellement un processus automatique. Un outil informatique analyse une application web, un serveur interne ou une adresse IP pour identifier des failles potentielles. Sa mission consiste à générer le maximum de données possibles. L'entreprise paie littéralement pour obtenir une quantité importante d'informations, qu'elle devra ensuite filtrer et prioriser elle-même. Ces scans permettent de détecter des vulnérabilités connues, des CVE et des exploits déjà répertoriés. Le test d'intrusion, quant à lui, implique une intervention humaine. Un expert en sécurité effectue manuellement des tests sur les actifs de l'entreprise en utilisant son expertise et son cerveau pour comprendre le contexte spécifique de l'organisation. Contrairement au scanner automatique, le testeur d'intrusion peut évaluer la logique métier, comprendre où appuyer pour faire mal et exploiter réellement les vulnérabilités découvertes. L'analogie du gardiennage et du cambrioleur Dominique propose une excellente analogie pour illustrer cette différence : un balayage de vulnérabilités ressemble à quelqu'un qui fait le tour d'un bâtiment pour vérifier si les portes sont verrouillées et noter où se trouvent les caméras. Un test d'intrusion, en revanche, correspond à une personne qui tente activement de pénétrer dans le bâtiment en crochetant les serrures, en contournant les systèmes d'alarme et en testant toutes les entrées possibles. Cette dernière approche requiert des compétences beaucoup plus pointues et justifie naturellement des coûts plus élevés, tout en offrant un bénéfice supérieur puisqu'elle vérifie l'efficacité réelle des mesures de sécurité. Quand utiliser chaque approche La première question à se poser n'est pas de savoir s'il faut un scan ou un test d'intrusion, mais plutôt : quel est le besoin réel ? S'agit-il d'une exigence normative qui impose spécifiquement un test d'intrusion ? L'entreprise souhaite-t-elle simplement valider la sécurité de son application ou de son infrastructure ? Pour un produit SaaS exposé sur Internet, les balayages de vulnérabilités sont particulièrement appropriés et peuvent être effectués régulièrement, voire de manière automatisée. Ils permettent de détecter rapidement l'apparition de nouvelles vulnérabilités connues. Pour les entreprises de taille moyenne avec plus de 150 à 200 employés disposant d'une infrastructure interne complexe, incluant par exemple un Active Directory, les scans servent à détecter les CVE et les exploits connus. Cependant, un scan de vulnérabilités ne tentera jamais de compromettre un Active Directory pour devenir administrateur de domaine, contrairement à ce que devrait faire un véritable test d'intrusion interne. La question de la récurrence et de la valeur Les balayages de vulnérabilités présentent l'avantage de pouvoir être effectués fréquemment, mensuellement ou même hebdomadairement. Les entreprises peuvent acheter leur propre licence et administrer ces scans en interne. Si elles font appel à une firme externe, la vraie valeur ajoutée ne réside pas dans le rapport brut, mais dans l'aide apportée pour filtrer et prioriser les résultats. Un fournisseur de services de sécurité managés (MSSP) devrait intégrer ces analyses automatiques dans son offre globale et les mettre en adéquation avec les autres outils de sécurité déjà en place. Recommandations pour les PME Les experts insistent sur plusieurs points essentiels. Premièrement, toutes les entreprises n'ont pas besoin d'un test d'intrusion. Une société de quinze à vingt personnes utilisant Google Workspace et WordPress bénéficierait davantage d'investir dans des révisions de configuration que dans un coûteux test d'intrusion, qui avoisine souvent les cinq chiffres. Deuxièmement, il est crucial de maintenir une bonne gouvernance en s'assurant que l'entité qui gère la sécurité quotidienne ne soit pas celle qui effectue les tests d'intrusion. Cette séparation garantit l'objectivité de l'évaluation, tout comme on ne demanderait pas à son agence comptable de réaliser son propre audit financier. Troisièmement, réduire l'empreinte numérique résout souvent davantage de problèmes qu'un simple test de sécurité. Limiter le nombre d'outils et de services utilisés, bien configurer ceux qui restent, et former adéquatement les équipes constituent des mesures préventives plus rentables qu'un test d'intrusion coûteux qui viendrait simplement confirmer des failles évidentes. Enfin, les experts encouragent les entreprises à considérer leurs mesures de cybersécurité non pas uniquement comme une dépense, mais comme un investissement qui peut devenir un argument de vente. Former les équipes commerciales sur les pratiques de sécurité mises en place permet de transformer cette démarche en avantage concurrentiel, même en l'absence de certification formelle. Conclusion Ce podcast clarifie efficacement un sujet souvent source de confusion pour les PME. La distinction entre balayages de vulnérabilités et tests d'intrusion repose essentiellement sur l'automatisation versus l'intervention humaine, la quantité versus la qualité contextuelle, et la détection versus l'exploitation réelle. Le choix entre ces deux approches doit toujours découler d'une analyse rigoureuse des besoins spécifiques de l'entreprise, de son budget et de ses obligations réglementaires, tout en gardant à l'esprit que la meilleure sécurité commence par des pratiques de base solides et une empreinte numérique maîtrisée. Collaborateurs Nicolas-Loïc Fortin Cyndie Feltz Nicholas Milot Dominique Derrier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x648! Shameless plug 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction Dans cet épisode spécial du podcast, Miguel De Bruycker, directeur général du Centre pour la cybersécurité belge (CCB), partage les approches innovantes et les réalisations de son organisation en matière de protection des citoyens contre les cybermenaces. L'entretien met en lumière une philosophie unique qui place la santé numérique des citoyens au cœur des priorités gouvernementales. Une approche belge distinctive Contrairement à de nombreux pays occidentaux, la Belgique a adopté une approche proactive de la cybersécurité qui se distingue par son intervention directe pour protéger la population. Miguel De Bruycker souligne que leur clientèle comprend la population générale, les entreprises, les services gouvernementaux et l'infrastructure critique. Cette vision globale reflète une conception de la cybersécurité comme une question de santé publique, où l'État a un rôle actif à jouer pour le bien-être collectif. Le système suspect@ccb.be : une initiative citoyenne massive L'une des initiatives phares du CCB est la création, il y a sept ans, de l'adresse email suspect@ccb.be. Disponible en quatre langues, ce service permet aux citoyens belges de signaler les courriels suspects. Les chiffres sont impressionnants : en 2024, le centre a reçu en moyenne 25 000 courriels par jour de la part de la population. Cette mobilisation citoyenne témoigne d'une prise de conscience collective des menaces numériques et d'une confiance dans les institutions pour traiter ces signalements. Le Belgian Anti-Phishing Shield : une protection par défaut Depuis cinq ans, le CCB a mis en place un système encore plus audacieux : le Belgian Anti-Phishing Shield (BPS). En partenariat avec les principaux fournisseurs d'accès Internet (FAI) du pays, le centre a développé un système de protection DNS avec une approche opt-out, c'est-à-dire que la protection est activée par défaut pour tous les citoyens. Le fonctionnement est le suivant : à partir des 25 000 courriels quotidiens reçus, l'équipe identifie les domaines et sites web malveillants. Ces informations sont ensuite transmises aux FAI qui affichent des pages d'avertissement aux utilisateurs tentant d'accéder à ces sites dangereux. En 2024, ces pages d'avertissement ont été affichées 240 millions de fois, démontrant l'ampleur de la protection offerte. Un équilibre délicat entre protection et liberté Miguel De Bruycker reconnaît le caractère intrusif de cette approche et la nécessité d'éviter toute accusation de censure gouvernementale. C'est pourquoi le système intègre plusieurs garde-fous essentiels. Premièrement, contrairement aux systèmes opt-in utilisés dans d'autres pays (qui sont peu utilisés), le système belge est opt-out : les citoyens peuvent facilement désactiver la protection s'ils le souhaitent, les instructions étant clairement affichées sur les pages d'avertissement. Deuxièmement, un mécanisme de contestation permet aux utilisateurs de signaler immédiatement si un site est incorrectement classé comme malveillant. Dans ce cas, le site est retiré de la liste et analysé rapidement. S'il s'avère qu'il n'est pas dangereux, il reste débloqué ; sinon, il est remis sur la liste. Après cinq ans de fonctionnement, aucune plainte officielle n'a été déposée contre ce système, ce qui témoigne de son acceptation par la population. Une efficacité mesurable Bien que Miguel De Bruycker admette qu'il est difficile de mesurer précisément l'impact de ces mesures (car on peut quantifier ce qui est bloqué, mais pas ce qui aurait pu se produire sans protection), les indicateurs internationaux sont encourageants. La Belgique se classe régulièrement dans le top 3 ou 4 des pays européens en matière de cybersécurité selon divers indices comme le Bitsite Index ou l'ITO Index. Ce positionnement avantageux suggère que l'approche belge porte ses fruits et pourrait inspirer d'autres nations. Une organisation efficiente L'aspect peut-être le plus remarquable de cette initiative est son efficacité organisationnelle. L'équipe qui traite les 25 000 courriels quotidiens et gère le système BPS ne compte que quatre personnes. Cette prouesse est rendue possible par une automatisation poussée des processus. Le centre travaille avec deux partenaires privés qui aident au traitement. L'information est anonymisée de façon automatisée, puis contrôlée par les partenaires privés avant d'être analysée automatiquement au centre. L'intervention humaine n'est nécessaire que lorsque des anomalies sont détectées. Coordination nationale et cadre fédéral Sur le plan organisationnel, la cybersécurité en Belgique relève du niveau fédéral, comme la défense et les services de renseignement. Le CCB est au cœur d'un écosystème de coordination complexe. Un comité de coordination réunit mensuellement tous les chefs des services de renseignement et de sécurité (police, renseignement militaire et civil, affaires étrangères, défense). Au-dessus se trouve un comité stratégique incluant les représentants ministériels, et au sommet, le Conseil national de sécurité avec les ministres eux-mêmes. Cette structure permet une circulation efficace de l'information et une prise de décision coordonnée. L'initiative Cyber Fundamentals et NIS 2 Au-delà de la protection des citoyens, le CCB joue un rôle majeur dans l'implémentation de la directive européenne NIS 2. Le centre a développé un framework appelé Cyber Fundamentals, qui établit une couche commune de mesures de cybersécurité pour tous les secteurs, tout en laissant la liberté aux autorités sectorielles et régionales d'ajouter des mesures spécifiques. Cette approche de simplification et de standardisation tout en respectant l'autonomie a été rapidement adoptée et inspire maintenant d'autres pays comme l'Irlande et la Roumanie. Une adoption au niveau européen est même envisagée. La patience comme stratégie Miguel De Bruycker conclut en soulignant que ces succès sont le fruit de dix années d'efforts soutenus. Le chemin n'a pas été simple : des accords n'ont pas toujours été respectés, des collaborations ont connu des difficultés. Mais la clé du succès a été la persévérance et la capacité à maintenir le dialogue plutôt que de rompre les collaborations. Le CCB a créé un Conseil de cybersécurité permettant de discuter des problèmes en dehors des grandes réunions officielles, favorisant ainsi la conciliation et la recherche de solutions communes. Cette approche de collaboration continue, même face aux obstacles, illustre une philosophie où le bénéfice collectif prime sur les frictions individuelles. C'est cette vision à long terme et cette capacité à transformer les conflits apparents en opportunités de solutions qui ont permis à la Belgique de devenir un modèle en matière de cybersécurité citoyenne. Notes CCB Une collaboration internationale pour renforcer notre cybersécurité! Collaborateurs Nicolas-Loïc Fortin Miguel De Bruycker Crédits Montage par Intrasecure inc Locaux réels par inCyber Montréal

Parce que… c'est l'épisode 0x647! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Notes IA AI Agent Security: Whose Responsibility Is It? Hackers Can Bypass OpenAI Guardrails Framework Using a Simple Prompt Injection Technique AI makes phishing 4.5x more effective, Microsoft says How AI-powered ransomware could destroy your business Agentic AI's OODA Loop Problem ‘Sovereign AI' Has Become a New Front in the US-China Tech War Microsoft Microsoft warns of a 32% surge in identity hacks, mainly driven by stolen passwords Extortion and ransomware drive over half of cyberattacks Windows 11 And Server 2025 Will Start Caching Plaintext Credentials By Enabling WDigest Authentication Microsoft: Exchange 2016 and 2019 have reached end of support Microsoft frightful Patch Tuesday: 175+ CVEs, 3 under attack Two New Windows Zero-Days Exploited in the Wild — One Affects Every Version Ever Shipped Windows BitLocker Vulnerabilities Let Attackers Bypass Security Feature Edge - IE Microsoft restricts IE mode access in Edge after zero-day attacks Hackers Leveraging Microsoft Edge Internet Explorer Mode to Gain Access to Users' Devices Défensif Identity Security: Your First and Last Line of Defense Banks need stricter controls to prevent romance fraud, says City regulator CVE, CVSS scores need overhauling, argues Codific CEO How to spot dark web threats on your network using NDR Ukraine takes steps to launch dedicated cyber force for offensive strikes How Microsoft is creating a security-first culture that lasts Root Cause Analysis? You're Doing It Wrong Modern iOS Security Features – A Deep Dive into SPTM, TXM, and Exclaves EDR-Freeze Tool Technical Workings Along With Forensic Artifacts Revealed Wireshark 4.6.0 Supports macOS pktap Metadata (PID, Process Name, etc.) Offensif F5 Why the F5 Hack Created an ‘Imminent Threat' for Thousands of Networks F5 says hackers stole undisclosed BIG-IP flaws, source code ‘Highly sophisticated' government goons hacked F5 Oracle Google, Mandiant expose malware and zero-day behind Oracle EBS extortion Oracle issued an emergency security update to fix new E-Business Suite flaw CVE-2025-61884 Fortigate FortiOS CLI Command Bypass Vulnerability Let Attacker Execute System Commands FortiPAM and FortiSwitch Manager Vulnerability Let Attackers Bypass Authentication Process Satellite Unencrypted satellites expose global communications Researchers find a startlingly cheap way to steal your secrets from space Study reveals satellites comms spilling unencrypted data Axis Communications Vulnerability Exposes Azure Storage Account Credentials Android Pixnapping attack can capture app data like 2FA info Ivanti Patches 13 Vulnerabilities in Endpoint Manager Allowing Remote Code Execution Hackers Leverage Judicial Notifications to Deploy Info-Stealer Malware Cyberattackers Target LastPass, Top Password Managers Devs of VS Code extensions are leaking secrets en masse How Attackers Bypass Synced Passkeys RealBlindingEDR Tool That Permanently Turns Off AV/EDR Using Kernel Callbacks New PoC Exploit Released for Sudo Chroot Privilege Escalation Vulnerability Les Uropes Europe's Digital Sovereignty Paradox - “Chat Control” update Britain issues first online safety fine to US website 4chan Cyber-attacks rise by 50% in past year, UK security agency says Netherlands invokes special powers against Chinese-owned semiconductor company Nexperia Divers GrapheneOS is finally ready to break free from Pixels, and it may never look back [ProtonVPN Lied About Logging Blog](https://vp.net/l/en-US/blog/ProtonVPN-Lied-About-Logging) Adam Shostack : “Yay, more age verification law…” California enacts age verification, chatbot laws The Guardian view on the online scam industry: authorities must not forget that perpetrators are often victims too Insolite TikTok Videos Promoting Malware Installation Kevin Beaumont: “This whole thing with TLP RED …” - Cyberplace Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x646! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Ce podcast explore les défis et les opportunités de l'expatriation dans le domaine de la cybersécurité à travers l'expérience unique de Dimitri Souleliac, qui a vécu deux migrations successives : de la France au Québec, puis du Canada à la Nouvelle-Zélande. Un parcours atypique en cybersécurité Dimitri a commencé sa carrière en cybersécurité en France avant de s'établir au Québec pendant dix ans, puis de poursuivre son parcours en Nouvelle-Zélande juste avant la pandémie. Ce qui devait être initialement un séjour de six mois au Québec s'est transformé en une décennie d'expérience nord-américaine. Son parcours illustre parfaitement la métaphore du canard : si tout semble fluide en surface, la réalité exige un travail considérable en coulisses. La complexité des démarches administratives L'un des messages centraux du podcast concerne l'importance de la préparation administrative. Dimitri insiste sur le fait que les démarches d'immigration sont devenues significativement plus complexes qu'il y a quinze ans. Aujourd'hui, les pays d'immigration comme le Canada, l'Australie et la Nouvelle-Zélande cherchent principalement de la main-d'œuvre temporaire plutôt que des résidents permanents. Cette approche opportuniste s'explique par les coûts associés à l'intégration des immigrants dans les systèmes de santé et administratifs. Dimitri met en garde contre les permis vacances-travail qui, bien qu'attrayants pour une expérience d'un ou deux ans, compliquent l'établissement à long terme. La transition vers un visa de travail permanent nécessite de remplir des critères stricts de salaire, de santé et autres exigences administratives. Il souligne que ces programmes changent constamment, rendant difficile la planification à long terme. La préparation stratégique Malgré l'apparente spontanéité de son arrivée au Québec, Dimitri révèle une préparation minutieuse. Avant son départ de France, il a obtenu sa certification CISSP à Paris, à une époque où cette certification était rare en Europe et ne pouvait se passer qu'en personne. Cette anticipation lui a permis de valoriser son expertise sur le marché nord-américain, où ces certifications sont reconnues. Son diplôme français était également reconnu par l'Ordre des ingénieurs du Québec, facilitant ainsi son intégration professionnelle. Son arrivée au Québec illustre l'importance du réseautage : en assistant à une conférence de cybersécurité sur les Plaines d'Abraham, il a multiplié les contacts, décroché des entrevues et obtenu un emploi en trois semaines. Cependant, il reconnaît que le contexte actuel rend ce type de parcours beaucoup plus difficile qu'il y a quinze ans. Les différences culturelles fondamentales Au-delà de la langue, Dimitri identifie des différences culturelles majeures qui surprennent souvent les expatriés. La principale concerne l'autonomie professionnelle. Contrairement à la culture française, très hiérarchique et directive, les cultures québécoise et néo-zélandaise valorisent l'initiative personnelle. Les employés doivent prendre leurs responsabilités en main plutôt que d'attendre qu'on leur dise quoi faire. Cette différence a causé des difficultés à certains collègues français de Dimitri, qui s'attendaient à être pris en charge par leur employeur pour les démarches administratives. Cette mécompréhension culturelle a même conduit certains à devoir retourner en France, leurs visas n'ayant pas été renouvelés faute de démarches personnelles effectuées. En Nouvelle-Zélande, Dimitri a découvert une perception unique du risque géopolitique. Le pays se considère comme un refuge, illustré par l'anecdote d'une application qui surveille l'arrivée de jets privés comme indicateur d'événements mondiaux majeurs. Cette position géographique influence la façon dont la cybersécurité est abordée. L'enrichissement professionnel en cybersécurité L'expatriation a permis à Dimitri de développer une vision à 360 degrés des cadres de référence en cybersécurité. De l'Europe avec l'ANSSI et le RGPD, il est passé aux cadres américains comme le NIST, puis a découvert les approches britanniques et australo-néo-zélandaises comme Cyber Essentials et le Critical 10. Il observe que les compétences techniques fondamentales (red team, blue team, pentest) restent largement identiques d'un pays à l'autre. C'est davantage au niveau de la gouvernance que les différences apparaissent, avec des approches variant selon la réglementation locale et la taille des entreprises. Cette transférabilité des compétences représente un avantage majeur pour les professionnels de la cybersécurité comparativement à d'autres professions comme le droit ou la médecine. Les conseils pour réussir son expatriation Dimitri propose trois conseils essentiels. Premièrement, bien préparer son projet administrativement en se questionnant sur ses intentions : expérience temporaire ou installation permanente ? Cette clarification influence toute la stratégie de préparation. Deuxièmement, ne jamais partir avec un état d'esprit négatif, en fuyant une situation. Changer de pays ne résout pas les problèmes personnels ou professionnels non résolus. L'expatriation doit être motivée par la curiosité et l'envie d'enrichissement plutôt que par le désir d'échapper à quelque chose. Troisièmement, cultiver l'ouverture d'esprit et la curiosité. Dimitri recommande d'éviter les communautés d'expatriés négatifs qui alimentent les déceptions. Il valorise plutôt le « syndrome du nouvel arrivant » : se présenter avec curiosité et intérêt ouvre les portes, les locaux étant généralement ravis de partager leur culture et leurs connaissances. Conclusion L'expérience de Dimitri démontre que l'expatriation, bien que source d'enrichissement personnel et professionnel considérable, exige une préparation rigoureuse et une attitude positive. Les choses ne sont pas nécessairement meilleures ailleurs, mais elles sont différentes, et c'est précisément cette différence qui constitue la richesse de l'expérience. Pour les professionnels de la cybersécurité, les opportunités sont réelles, mais le succès dépend davantage de la préparation, de l'adaptabilité culturelle et de l'état d'esprit que de la simple expertise technique. Collaborateurs Nicolas-Loïc Fortin Dimitri Souleliac Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x645! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction Dans cet épisode technique, Nicolas et Jordan Théodore abordent un changement de paradigme fondamental en cybersécurité d'entreprise. Le navigateur web est devenu l'élément principal du fonctionnement organisationnel, détrônant le desktop traditionnel. Cette évolution nécessite désormais de détecter et d'intervenir sur les navigateurs comme s'il s'agissait d'endpoints à part entière. Le navigateur, nouvelle cible privilégiée Depuis quelques années, les navigateurs web sont devenus une cible de choix pour les cyberattaquants. Cette concentration des attaques s'explique par plusieurs facteurs. La majorité des activités professionnelles transitent maintenant par le navigateur, que ce soit pour les emails, la suite bureautique ou les services en ligne. Cette migration s'est accélérée au cours des dix dernières années avec l'abandon progressif des clients lourds au profit d'applications web, popularisées notamment par Google avec sa suite bureautique entièrement en ligne. Microsoft suit également cette tendance avec la migration de sa propre suite vers le web. Les attaquants exploitent ce vecteur d'attaque pour diffuser des malwares via des sites piégés, mener des campagnes de phishing particulièrement efficaces, et exploiter les vulnérabilités des navigateurs ou des extensions malveillantes. Les navigateurs modernes sont devenus des environnements riches qui stockent des informations sensibles, des mots de passe, des données en cache et même des bases de données locales, constituant ainsi un tremplin très important pour les acteurs malveillants. Les vulnérabilités critiques Jordan illustre la gravité de ces menaces avec des exemples concrets de vulnérabilités récentes. En 2023, des failles critiques dans la librairie libwebp ont été notées 8.8 sur l'échelle CVSS V3, affectant tous les navigateurs basés sur Chromium, notamment Chrome, Edge et Brave, ainsi que parfois Firefox. Ces vulnérabilités exploitent souvent des techniques classiques comme le buffer overflow ou la corruption de stack. L'exemple le plus frappant concerne une faille permettant l'exécution de code arbitraire simplement par le chargement d'une image webp mal formée dans une page HTML. L'utilisateur n'a qu'à visiter une page contenant l'image malveillante pour que son navigateur vulnérable soit compromis, avec un minimum d'interaction. Cette simplicité d'exploitation est particulièrement préoccupante car ces images peuvent être hébergées sur des plateformes légitimes comme OneDrive, Dropbox ou Google Drive, contournant ainsi les filtres de proxy traditionnels qui autorisent généralement ces services d'entreprise. Les défis du déploiement en entreprise Dans les grandes organisations, comme l'exemple donné d'une entreprise du CAC 40 comptant 17 000 employés en France et 130 000 dans le monde, la mise à jour des navigateurs n'est pas aussi simple qu'il y paraît. Le taux de convergence du déploiement peut être considérablement long, particulièrement avec la généralisation du télétravail. Cette fenêtre d'exposition prolongée nécessite des solutions alternatives pour pallier le délai d'application des correctifs. Les solutions de sécurité Face à ces menaces, trois couches de défense principales ont émergé. Les EDR (Endpoint Detection and Response) jouent toujours un rôle crucial en suivant les activités côté poste client et en détectant les comportements suspects. Par exemple, CrowdStrike a récemment ajouté des capacités dédiées pour inventorier les extensions Chrome et Edge, vérifier leurs niveaux de permission et identifier les sources douteuses. Un EDR bien configuré peut détecter des comportements anormaux comme Chrome déclenchant une commande exécutable. Cependant, les EDR sont de plus en plus facilement contournés par des techniques avancées qui patchent les mécanismes de détection. Une nouvelle couche de défense s'est donc développée directement au sein des navigateurs avec les extensions de sécurité. Ces modules additionnels peuvent bloquer activement les contenus malveillants et surveiller les actions utilisateur. On trouve des solutions open source comme Privacy Badger ou NoScript, ainsi que des produits commerciaux comme Capsule Security et Square X offrant de l'isolement à distance. Ces extensions assurent plusieurs fonctions essentielles. Elles filtrent les URL en bloquant l'accès aux pages exploitant des CVE ou hébergeant des malwares. Elles analysent le contenu avant téléchargement en scannant les fichiers HTML, JavaScript et images avant leur exécution complète. Elles bloquent les scripts inconnus, réduisant la surface d'exploitation, et protègent contre les publicités malveillantes, l'injection de code via iframes et le fingerprinting. Elles intègrent également des fonctionnalités DLP pour éviter l'upload de fichiers corporates sur internet, notamment vers des services comme ChatGPT où les employés peuvent involontairement partager des informations sensibles. L'extension développée par Glims, par exemple, vérifie tout contenu téléchargé pour détecter les malwares et contrôle les données uploadées pour prévenir les fuites d'information, incluant le copier-coller vers des sites externes. Ces extensions envoient des signaux au SOC (Security Operations Center) pour une meilleure visibilité et permettent d'intervenir rapidement si nécessaire. Les navigateurs sécurisés Au-delà des extensions, des navigateurs pensés pour la sécurité ont émergé. Brave, lancé il y a six ans, force l'accès HTTPS, filtre le phishing et bloque contenus indésirables, publicités et trackers. Des solutions comme Island et Talon proposent des navigateurs basés sur Chromium avec des contrôles de sécurité et DLP intégrés, bloquant par exemple les impressions d'écran et le copier-coller sur certains sites. Limites et complémentarité Les extensions ne peuvent pas tout faire. Elles ne voient pas ce qui se passe en mémoire et ne détectent pas les exploits de type use-after-free ou corruption mémoire. Elles peuvent être désactivées via JavaScript par click-jacking et ne protègent pas l'OS. D'où l'importance d'une approche complémentaire combinant EDR et extensions de navigateur. Bonnes pratiques en entreprise Pour renforcer la sécurité, les organisations doivent forcer une liste blanche d'extensions via GPO, installer des extensions de sécurité managées pour remonter les informations au SOC, utiliser un bon EDR pour surveiller toutes les extensions, et corréler les logs du navigateur avec ceux des endpoints lors des investigations. Le navigateur doit être considéré comme un petit poste à l'intérieur du grand poste pour tracer efficacement les actions malveillantes. Cette approche représente une nouvelle réalité de la cybersécurité où les attaquants s'adaptent constamment, nécessitant une évolution parallèle des défenses. Collaborateurs Nicolas-Loïc Fortin Jordan Theodore Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x644! Préambule Ce n'est pas CMMI… mais CMMC!?! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction Ce podcast de la série PME réunit Nicholas, Cyndie et Dominique pour aborder un enjeu crucial auquel font face les petites et moyennes entreprises : les certifications de sécurité. La discussion explore comment les PME doivent réagir lorsqu'un client majeur leur demande si elles possèdent une certification spécifique, une situation qui peut rapidement devenir problématique si l'entreprise n'y est pas préparée. L'évolution des certifications : d'un avantage à une obligation Les certifications de sécurité les plus courantes incluent l'ISO 27001, le SOC de type 2, et pour le secteur de la santé au Québec, la certification TGV. Historiquement, ces certifications étaient réservées aux grandes entreprises et représentaient un avantage concurrentiel permettant de se distinguer et de garantir un certain niveau de sécurité aux clients. Cependant, la réalité a considérablement changé. Aujourd'hui, ces certifications ne sont plus un simple atout commercial, mais bien une obligation pour maintenir des relations d'affaires avec les grandes compagnies. Les entreprises qui ne possèdent pas la certification requise risquent de perdre des clients existants, une situation nettement plus dommageable que de ne pas en acquérir de nouveaux. Le rôle des certifications et l'alternative des questionnaires Les certifications font appel à un tiers de confiance qui garantit que l'entreprise respecte certaines normes de sécurité. Comme l'explique Dominique, il s'agit de déléguer à un organisme externe la vérification de la sécurité, généralement des comptables, bien qu'il existe également un processus d'audit interne à l'entreprise. Le choix du cadre normatif doit être stratégique : l'ISO convient mieux au marché européen, tandis que le SOC 2 est privilégié pour les affaires aux États-Unis. L'une des principales raisons pour lesquelles les entreprises recherchent ces certifications est d'éviter de répondre à d'innombrables questionnaires de sécurité. Bien que le Cloud Security Alliance ait développé le Consensus Assessment Initiative Questionary pour standardiser ces évaluations, cette initiative demeure peu connue. En l'absence de certification, les entreprises doivent répondre à des questionnaires exhaustifs de 100 à 150 questions, une expérience que les participants qualifient de « violente ». Face à ces questionnaires, les répondants se divisent en deux catégories : ceux qui embellissent la vérité et ceux qui mentent. Cette situation découle du fait qu'avouer ne pas avoir certaines mesures en place pourrait entraîner la rupture d'un contrat, transformant ainsi un enjeu de sécurité en enjeu purement commercial. Le problème s'aggrave lorsque le même questionnaire est envoyé à toutes les entreprises, qu'elles comptent trois ou deux mille employés. De plus, les personnes qui envoient et évaluent ces questionnaires ne sont pas toujours des experts en sécurité, ce qui signifie qu'une réponse négative sera simplement enregistrée comme telle, même si l'entreprise a mis en place des mesures alternatives tout aussi efficaces. L'importance cruciale du périmètre Un aspect fondamental abordé dans le podcast concerne la définition du périmètre de certification. Contrairement à ce que l'on pourrait croire, même les grandes organisations ne certifient pas l'ensemble de leur structure. Elles fragmentent leurs environnements et ne certifient que les lignes d'affaires qui en ont réellement besoin. Pour les PME, la stratégie recommandée consiste à choisir le plus petit périmètre conforme qui répond aux exigences du client final. Il faut absolument éviter la mentalité du « tant qu'à y être » qui augmente inutilement le périmètre et les coûts associés. Les certifications touchent l'ensemble de l'organisation : les personnes, les lieux physiques, la technologie, la sécurité physique, la sécurité humaine et la conformité légale. Il ne s'agit pas simplement d'une question informatique. L'ISO 27001, par exemple, repose sur le pilotage de la sécurité par la gestion des risques business, tandis que le SOC 2 garantit que l'entreprise respectera ce qui est marqué dans les contrats clients grâce aux contrôles mis en place. Conformité versus sécurité : une distinction essentielle Un point crucial soulevé par les experts est que conformité et sécurité ne sont pas synonymes. Une entreprise peut être conforme sans être véritablement sécurisée. Par exemple, avoir réalisé un test d'intrusion sans corriger aucune vulnérabilité identifiée ne rend pas l'entreprise conforme, mais ne l'a pas rendue plus sécuritaire non plus. Cette distinction frustre souvent les professionnels de la cybersécurité, car des mesures de sécurité efficaces peuvent ne pas être reconnues du point de vue de la conformité, tandis que certaines exigences de conformité peuvent être inefficaces d'un point de vue sécuritaire. L'exemple de PCI illustre bien cette problématique, avec des exigences qui sont restées longtemps inefficaces avant d'évoluer. L'amélioration continue comme philosophie Les cadres de certification reposent sur le principe d'amélioration continue plutôt que sur la perfection immédiate. Ils n'exigent pas que l'entreprise soit parfaite le jour de la certification, mais qu'elle ait mis en place un système de contrôle permettant l'amélioration continue. Ces certifications engagent le management et la direction à maintenir cette démarche d'amélioration, ce qui constitue un principe philosophique bénéfique à long terme. Cependant, l'entreprise doit être réellement prête à s'engager dans cette démarche, car il ne s'agit pas simplement d'un argument commercial ou d'un logo attrayant à afficher. Conseils pratiques pour les PME Pour les PME qui démarrent ce processus, il est recommandé d'adopter ou de s'inspirer d'un cadre normatif pour faire les premiers essais à leur propre rythme, avant qu'un client ne les pousse à le faire dans l'urgence. Cela permet de mettre en place les revues et contrôles nécessaires sans dépenser des sommes faramineuses. Les participants encouragent les entrepreneurs à poser des questions à leur réseau professionnel, car ceux qui ont vécu l'expérience de la certification, bien que souvent « traumatisante », seront heureux de partager leurs apprentissages. L'important n'est pas d'être parfait, mais de démontrer un engagement sincère envers la sécurité, d'être proactif, de poser les bonnes questions et d'établir des échéanciers réalistes. Être en mouvement et éviter la fossilisation constituent la clé du succès dans cette démarche. Collaborateurs Nicolas-Loïc Fortin Cyndie Feltz Nicholas Milot Dominique Derrier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x643! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CFP Notes Vidéos DEF CON 33 Videos NothSec 2025 SéQCure 2025 IA Google DeepMind minds the patch with AI flaw-fixing scheme SAIF Map v2 Agentic Google won't fix new ASCII smuggling attack in Gemini Google declares AI bug hunting season open, sets a $30K max reward Severe Framelink Figma MCP Vulnerability Lets Hackers Execute Code Remotely Deepfake Awareness High at Orgs, But Cyber Defenses Badly Lag Rethinking AI Data Security: A Buyer's Guide for CISOs Employees regularly paste company secrets into ChatGPT 1Password Addresses Critical AI Browser Agent Security Gap Offensif Supply Chain Attacks Are Spreading: NPM, PyPI, and Docker Hub All Hit in 2025 Nearly a third of bosses report increase in cyber-attacks on their supply chains Security leaders at Okta and Zscaler share lessons from Salesloft Drift attacks Hackers Exploit Zimbra Vulnerability as 0-Day with Weaponized iCalendar Files How Windows Command-line Utility PsExec Can Be Abused To Execute Malicious Code Thieves steal IDs and payment info after data leaks from Discord support vendor Scattered Lapsus$ Hunters offering $10 in Bitcoin to ‘endlessly harass' execs Redis warns of critical flaw impacting thousands of instances Oracle zero-day defect amplifies panic over Clop's data theft attack spree Hackers Attacking Remote Desktop Protocol Services from 100,000+ IP Addresses North Korean hackers stole over $2 billion in crypto this year Russia is at ‘hybrid war' with Europe, warns EU chief, calling for members ‘to take it very seriously' Poland says cyberattacks on critical infrastructure rising, blames Russia 3 more infamous cybercrime crews team up to ‘maximize income' in ‘challenging' ransomware biz Threat actors steal firewall configs, impacting all Sonicwall cloud backup users Hackers now use Velociraptor DFIR tool in ransomware attacks Polymorphic Python Malware Legalize L'Allemagne dit non à Chat Control - Une victoire pour la vie privée en Europe ! Internet Archive Ordered to Block Books in Belgium After Talks With Publishers Fail Défensif 5 Immediate Steps to be Followed After Clicking on a Malicious Link Wazuh and MISP integration Researchers Reversed Asgard Malware Protector to Uncover it's Antivirus Bypass Techniques ClamAV 1.5.0 Released with New MS Office and PDF Verification Features Apple now offers $2 million for zero-click RCE vulnerabilities Insolite Un incendie et pas de backup - La Corée du Sud perd 858 To de données gouvernementales Apple turned the CrowdStrike BSOD issue into an anti-PC ad Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x642! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Dans cet épisode du podcast Sécurité technique, l'animateur reçoit Charles F. Hamilton pour discuter des tendances en cybersécurité à surveiller pour la fin de l'année 2025. La discussion s'amorce sur une réalité préoccupante : l'automne marque une période de forte activité tant pour les équipes légitimes que pour les cybercriminels, avec une hausse notable des incidents de sécurité nécessitant des réponses d'urgence. La complexité d'Azure : un terrain propice aux vulnérabilités Un des points majeurs abordés concerne la plateforme Azure de Microsoft. Une vulnérabilité récemment publiée permet de prendre le rôle Global Admin sur tous les tenants Azure, illustrant parfaitement les dangers liés à la complexité excessive de cet écosystème. Cette faille, découverte par manipulation de jetons de service, rappelle les problèmes similaires rencontrés avec Active Directory Certificate Services il y a quelques années. La complexité d'Azure réside dans ses multiples méthodes d'authentification, ses contextes variés et ses centaines d'applications déployées par défaut dans chaque tenant. Les organisations ajoutent souvent leurs propres applications avec des permissions mal configurées, créant involontairement des chemins d'accès privilégiés. Le problème s'aggrave car il n'existe pas d'outils officiels de Microsoft pour auditer ces configurations, forçant les équipes de sécurité à se fier à des scripts PowerShell disparates ou à des outils développés par la communauté. Le faux sentiment de sécurité Un exemple frappant illustre le décalage entre la perception et la réalité de la sécurité : lors d'un test red team, un client disposait d'une infrastructure de sécurité impressionnante incluant filtrage réseau, EDR, NDR et autres solutions avancées. Paradoxalement, l'outil d'accès à distance légitime a été bloqué, nécessitant trois jours pour configurer des exceptions. En revanche, le payload malveillant a passé sans problème, sans générer aucune alerte. Cette situation démontre que ces outils créent souvent plus de complexité pour les équipes IT légitimes qu'ils ne protègent réellement contre les menaces sophistiquées. Le fossé entre red team et blue team La discussion révèle un écart de compétences préoccupant entre les équipes offensives et défensives. Les red teamers investissent constamment dans l'apprentissage de nouvelles techniques, tandis que les équipes défensives ont tendance à s'appuyer aveuglément sur l'intelligence artificielle de leurs outils de sécurité. Le threat hunting, pourtant essentiel, demeure rare au Québec et au Canada, malgré la disponibilité des données nécessaires dans les solutions EDR et NDR. Un test révélateur : demander à des professionnels d'expliquer le fonctionnement de SecretDump, un outil largement utilisé. Très peu peuvent fournir une réponse complète sur ses mécanismes internes et les artefacts qu'il laisse. Cette lacune empêche les red teamers d'expliquer efficacement aux équipes bleues comment détecter leurs actions. La sophistication des attaquants : un mythe à déconstruire Contrairement à la perception populaire, la majorité des attaquants ne sont pas particulièrement sophistiqués. Ils suivent des playbooks répétitifs et comptent sur le volume pour réussir. Les intervenants ont observé des cas où des attaquants ont obtenu des accès privilégiés, puis ont immédiatement alerté leurs victimes par des actions bruyantes comme tenter de rendre publics tous les dépôts GitHub d'une entreprise. Paradoxalement, les red teamers modernes développent des techniques si avancées qu'ils représentent désormais un niveau de sophistication comparable aux groupes parrainés par des États-nations, un scénario irréaliste pour la plupart des petites et moyennes entreprises québécoises. Cette situation crée un décalage : on teste la capacité à détecter des attaques extrêmement sophistiquées alors que les vraies menaces utilisent des méthodes beaucoup plus basiques. Les tendances à surveiller pour l'automne 2025 Plusieurs éléments méritent une attention particulière pour la fin de l'année : Les vulnérabilités sur les équipements périmétriques : Les solutions VPN de Cisco, SonicWall et Fortinet ont toutes été touchées récemment. Les délais d'exploitation se comptent maintenant en heures après la publication d'une vulnérabilité, amplifiés par la publication immédiate de preuves de concept sur les réseaux sociaux. L'audit des tenants Azure et Google Enterprise : Les vecteurs d'attaque identifiés sur Azure s'appliquent également aux environnements Google Enterprise. Les organisations doivent absolument auditer leurs applications, leurs permissions et leurs configurations. Les employés infiltrés : Une tendance émergente concerne l'embauche de développeurs travaillant pour des pays politiquement non neutres, qui obtiennent un accès au code source dans le but apparent de voler la propriété intellectuelle. Les vulnérabilités GitHub Actions : Les fuites de clés API continuent de poser problème, avec des délais d'exploitation extrêmement rapides. Le problème de la publication des preuves de concept La course à la visibilité pousse certains chercheurs en sécurité à publier immédiatement des preuves de concept complètes, parfois dans l'heure suivant la découverte d'une vulnérabilité. Cette pratique, combinée à l'intelligence artificielle capable de générer du code fonctionnel à partir de bulletins de sécurité, met les organisations en danger avant qu'elles n'aient le temps d'appliquer les correctifs. Un retour aux pratiques de divulgation responsable avec un délai minimum de 80 jours serait bénéfique. Conclusion : l'importance de l'éducation Le podcast se termine sur l'importance cruciale de l'éducation en cybersécurité. Plutôt que de se focaliser uniquement sur l'utilisation d'outils, les professionnels doivent comprendre les fondements : comment fonctionne Windows, comment un programme s'exécute, comment créer ses propres exploits. La simplicité est souvent plus efficace que la complexité. Les solutions les plus durables reposent sur une compréhension approfondie des systèmes plutôt que sur l'accumulation d'outils sophistiqués dont personne ne maîtrise vraiment le fonctionnement. Collaborateurs Nicolas-Loïc Fortin Charles F. Hamilton Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x641! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Dans cet épisode, trois experts en cybersécurité partagent leur expérience pour démystifier l'idée reçue selon laquelle la sécurité informatique serait financièrement hors de portée pour les petites et moyennes entreprises. Nicholas Milot, cofondateur de Yack et spécialiste des tests d'intrusion, Cyndie Feltz, également cofondatrice de Yack avec une expertise en gestion exécutive, et Dominique Derrier, RSSI chez Neotrust, apportent un éclairage pragmatique sur cette question cruciale. Le mythe du coût prohibitif L'un des principaux obstacles psychologiques pour les PME est la perception que la cybersécurité nécessite des budgets comparables à ceux des grandes entreprises comme Desjardins. Cette croyance est renforcée par l'abondance de solutions coûteuses sur le marché, souvent assorties de minimums d'utilisateurs qui peuvent rapidement faire grimper la facture à des centaines de milliers de dollars. Face à ces chiffres, de nombreuses PME concluent que la sécurité n'est tout simplement pas à leur portée et abandonnent l'idée d'investir dans ce domaine. Pourtant, cette vision est fondamentalement erronée. Comme le souligne Cyndie Feltz à travers une analogie pertinente avec la santé, la cybersécurité s'apparente davantage à une bonne hygiène de vie qu'à un traitement de luxe. Certes, on peut dépenser des sommes importantes pour des coachs sportifs personnalisés et des programmes d'entraînement sophistiqués, mais les bases d'une bonne santé reposent simplement sur une alimentation équilibrée, une paire de chaussures de course et de la régularité. La cybersécurité fonctionne selon le même principe : il s'agit d'adopter de bonnes pratiques quotidiennes plutôt que d'accumuler des solutions technologiques onéreuses. Le piège du “buffet de cybersécurité” Le marché propose environ 300 types de produits différents en matière de sécurité informatique. Face à ce buffet gargantuesque où tout semble briller et attirer l'attention, il est facile pour une PME de se sentir dépassée et de faire des choix inadaptés à ses besoins réels. Le problème ne réside pas uniquement dans le coût d'acquisition de ces solutions, mais aussi dans les ressources nécessaires pour les administrer correctement. Les experts constatent régulièrement que les PME acquièrent des outils sophistiqués qu'elles n'ont ni le temps ni les compétences d'utiliser efficacement. Une solution non configurée ou mal administrée n'apporte aucune valeur, quelle que soit sa qualité intrinsèque. De plus, les vendeurs, naturellement motivés par leurs objectifs commerciaux, peuvent convaincre les entreprises d'acheter des produits performants mais inadaptés à leur contexte spécifique. Nicolas Milot observe dans ses tests d'intrusion que les entreprises compromises disposent souvent de solutions de sécurité en place, mais que celles-ci ne sont pas correctement exploitées. Le manque de temps pour se “mettre les mains dedans” et maintenir ces outils à jour rend les investissements initiaux largement inefficaces. Les fondamentaux accessibles Avant même de considérer l'achat de nouvelles solutions, les PME peuvent mettre en place des mesures de base à faible coût. Dominique Derrier suggère de commencer simplement par des politiques internes et des mémos, même si leur efficacité reste limitée. L'important est de ne pas se cacher derrière l'excuse du coût pour ne rien faire du tout. Une approche progressive, étape par étape, permet d'avancer sans dépenses excessives. Les experts s'accordent sur quatre piliers fondamentaux que toute PME devrait prioriser : L'authentification multifacteur (MFA) : Protéger l'identification des utilisateurs avec des mots de passe robustes et le MFA représente un investissement minimal avec un impact sécuritaire maximal. Ces outils sont souvent déjà disponibles dans les licences Microsoft ou Google que les entreprises possèdent. Les mises à jour régulières : Nicolas souligne avec humour qu'il profite justement des entreprises négligentes en matière de mises à jour pour démontrer la facilité avec laquelle on peut compromettre leurs systèmes. Maintenir ses logiciels à jour ne coûte rien, mais sauve beaucoup de problèmes. Les antivirus et solutions de détection (EDR/XDR) : Même Windows Defender, bien que pas optimal, vaut mieux que rien et est souvent déjà inclus dans les licences existantes. L'essentiel est de le configurer correctement et de surveiller les alertes. Les sauvegardes (backups) : Point crucial soulevé par tous les intervenants, les backups devraient relever de l'opérationnel TI plutôt que de la sécurité. Ils doivent être correctement configurés, testés régulièrement, et surtout ne jamais être joints au domaine Active Directory, une erreur courante aux conséquences désastreuses. Les pièges à éviter Les experts mettent en garde contre plusieurs écueils. L'utilisation de l'intelligence artificielle comme argument de vente pour les PME constitue un signal d'alarme : ces entreprises n'ont pas besoin de ce type de fonctionnalités sophistiquées, même si certaines formes d'analyse comportementale existent depuis longtemps dans les outils de sécurité sous d'autres appellations. Un bon conseiller ne cherchera pas à vendre de nouvelles solutions, mais plutôt à optimiser l'existant. La configuration correcte de Microsoft ou Google, dont les paramètres par défaut laissent souvent à désirer, peut transformer radicalement la posture de sécurité sans investissement supplémentaire. Conclusion Le message est clair : mieux vaut faire peu de choses mais les faire bien, plutôt que de multiplier les outils partiellement déployés. La question fondamentale pour chaque PME devrait être : “Que se passerait-il si nous perdions toutes nos données ?” Cette réflexion sur ce qui est véritablement précieux permet d'orienter les investissements de manière pragmatique. La cybersécurité n'est pas une question de budget illimité, mais de choix judicieux et d'utilisation optimale des ressources disponibles. Collaborateurs Nicolas-Loïc Fortin Cyndie Feltz Nicholas Milot Dominique Derrier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x640! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction et parcours professionnel Mathieu Saulnier, connu sous le pseudonyme “Scooby” dans la communauté de cybersécurité, possède une vingtaine d'années d'expérience dans le domaine. Son parcours l'a mené d'un grand fournisseur internet et de télécommunications vers la gestion d'un SOC (Security Operations Center), puis vers des rôles de recherche sur les menaces pour des vendeurs de SIEM et d'EDR. Aujourd'hui, il occupe le poste de product manager pour BloodHound Community Edition chez SpecterOps, une position qu'il a obtenue grâce à ses nombreuses présentations sur BloodHound au fil des années. BloodHound version 8 et la révolution OpenGraph La version 8 de BloodHound représente une évolution majeure de l'outil. La fonctionnalité phare est OpenGraph, qui permet d'ingérer n'importe quel type de données dans le graphe et de créer ses propres chemins d'attaque pour différentes technologies. Historiquement, BloodHound se concentrait exclusivement sur Active Directory et Azure/Entra ID, mais cette limitation appartient désormais au passé. Avec le lancement d'OpenGraph, SpecterOps a publié plusieurs nouveaux collecteurs pour diverses technologies : One Password, Snowflake, et Jamf (pour la gestion des postes de travail Mac). La communauté a réagi avec enthousiasme, puisqu'en seulement 48 heures après l'annonce, un contributeur externe a créé un collecteur pour Ansible. Plus récemment, un collecteur pour VMware vCenter et ESXi a également vu le jour, démontrant l'adoption rapide de cette nouvelle capacité. La distinction fondamentale : access path versus attack path Mathieu utilise une analogie éclairante avec Google Maps pour expliquer la différence entre un chemin d'accès et un chemin d'attaque. Google Maps montre les chemins autorisés selon différents modes de transport (voiture, vélo, transport en commun), chacun ayant ses propres règles et restrictions. C'est l'équivalent d'un graphe d'accès qui indique où on a le droit d'aller. Un chemin d'attaque, en revanche, représente la perspective d'un adversaire qui ne se préoccupe pas des règlements. L'exemple donné est celui d'une voiture roulant sur une piste cyclable à Montréal : c'est interdit, on sait qu'on risque une contravention, mais c'est techniquement possible. Dans le monde numérique, les conséquences sont souvent moins immédiates et moins visibles, ce qui explique pourquoi les attaquants exploitent régulièrement ces chemins non conventionnels. L'évolution du modèle de données BloodHound a commencé modestement avec seulement trois types d'objets (utilisateurs, groupes et ordinateurs) et trois types de relations (member of, admin et session). Depuis, le modèle s'est considérablement enrichi grâce aux recherches menées par SpecterOps et d'autres organisations. Des propriétés comme le Kerberoasting ont été ajoutées, permettant d'identifier les objets vulnérables à ce type d'attaque et d'élever ses privilèges. La vraie puissance d'OpenGraph réside dans la capacité de relier différents systèmes entre eux. Par exemple, si un attaquant compromet le poste d'un utilisateur ayant accès à un dépôt GitHub, il peut voler les tokens et sessions pour effectuer des commits au nom de cet utilisateur, potentiellement dans une bibliothèque largement utilisée, ouvrant ainsi la voie à une attaque de la chaîne d'approvisionnement (supply chain attack). Cette interconnexion multi-dimensionnelle des systèmes était difficile à visualiser mentalement, mais le graphe la rend évidente. Créer des collecteurs OpenGraph : exigences et bonnes pratiques Pour qu'un collecteur soit accepté dans la liste officielle des projets communautaires, certains standards doivent être respectés. Il faut créer le connecteur avec une documentation détaillant les permissions minimales nécessaires (principe du moindre privilège), expliquer son fonctionnement, les systèmes d'exploitation supportés, et les dépendances requises. La documentation devrait également inclure des références sur comment exploiter ou défendre contre les vulnérabilités identifiées. Bien que non obligatoires, des éléments visuels personnalisés (icônes et couleurs) sont fortement recommandés pour assurer une cohérence visuelle dans la communauté. Le projet étant open source, les utilisateurs peuvent toujours modifier ces éléments selon leurs préférences. Un aspect crucial est la fourniture de requêtes Cypher pré-construites. Sans ces requêtes, un utilisateur qui ne connaît pas Cypher pourrait importer toutes les données mais se retrouver bloqué pour les exploiter efficacement. Le langage Cypher et l'accès aux données BloodHound fonctionne sur une base de données graphique, historiquement Neo4j, mais maintenant également PostgreSQL grâce à un module de conversion. Le langage de requête utilisé est Cypher, qui possède une syntaxe particulière. Pour rendre l'outil plus accessible, SpecterOps maintient une bibliothèque Cypher contenant de nombreuses requêtes créées par l'équipe et la communauté. Ces requêtes peuvent être exécutées directement depuis le portail BloodHound. L'entreprise explore également l'utilisation de LLM (Large Language Models) pour générer des requêtes Cypher automatiquement, bien que le corpus public de données spécifiques à BloodHound soit encore limité. Les pistes futures incluent l'utilisation de MCP (Model Context Protocol) et d'approches agentiques pour améliorer la génération de requêtes. Usage défensif et offensif : deux faces d'une même médaille Mathieu souligne que les mêmes requêtes Cypher peuvent servir tant aux équipes bleues (défensives) qu'aux équipes rouges (offensives). La différence réside dans l'intention et l'utilisation des résultats, pas dans les outils eux-mêmes. C'est l'équivalent du marteau qui peut construire ou détruire selon l'utilisateur. Pour l'usage défensif, BloodHound Enterprise offre des fonctionnalités avancées comme le scan quasi-continu, l'identification automatique des points de contrôle critiques (choke points), et des outils de remédiation. Même la version communautaire gratuite permet de découvrir des vulnérabilités majeures lors de la première exécution. Exemples concrets et cas d'usage Mathieu partage des exemples frappants de découvertes faites avec BloodHound. Dans une entreprise de plus de 60 000 employés, il a identifié un serveur où tous les utilisateurs du domaine (domain users) avaient été accidentellement configurés comme administrateurs locaux. Comme un compte administrateur de domaine se connectait régulièrement à ce serveur, n'importe quel utilisateur pouvait devenir administrateur du domaine en seulement trois étapes : RDP vers le serveur, dump de la mémoire pour récupérer le token, puis attaque pass-the-hash. Un autre cas récent impliquait le script de login d'un administrateur de domaine stocké dans un répertoire accessible en écriture à tous. En y plaçant un simple script affichant un popup, l'équipe de sécurité a rapidement reçu une notification prouvant la vulnérabilité. Nouvelles fonctionnalités : la vue tableau Bien que moins spectaculaire qu'OpenGraph, la fonctionnalité “table view” répond à un besoin important. La célèbre citation de John Lambert de Microsoft (2015) dit : “Les attaquants pensent en graphe, les défenseurs pensent en liste. Tant que ce sera vrai, les attaquants gagneront.” Bien que la visualisation graphique soit le paradigme central de BloodHound, certaines analyses nécessitent une vue tabulaire. Par exemple, une requête identifiant tous les comptes Kerberoastables retourne de nombreux points à l'écran, mais sans informations détaillées sur les privilèges ou l'appartenance aux groupes. La vue tableau permet de choisir les colonnes à afficher et d'exporter les données en JSON (et bientôt en CSV), facilitant l'analyse et le partage d'informations. Deathcon Montréal : la conférence pour les défenseurs En complément à son travail sur BloodHound, Mathieu est le site leader de Montréal pour Deathcon (Detection Engineering and Threat Hunting Conference). Cette conférence unique, entièrement axée sur les ateliers pratiques (hands-on), se déroule sur deux jours en novembre. Contrairement aux conférences traditionnelles, tous les ateliers sont pré-enregistrés, permettant aux participants de travailler à leur rythme. L'événement se limite volontairement à 50 personnes maximum pour maintenir une atmosphère humaine et favoriser les interactions. Les participants ont accès à un laboratoire massif incluant Splunk, Elastic, Sentinel et Security Onion, et conservent cet accès pendant au moins un mois après l'événement. Sans sponsors, la conférence est entièrement financée par les billets, et l'édition 2024 a déjà vendu plus de 30 places, avec de nombreux participants de l'année précédente qui reviennent. Conclusion BloodHound avec OpenGraph représente une évolution majeure dans la visualisation et l'analyse des chemins d'attaque en cybersécurité. En permettant l'intégration de multiples technologies au-delà d'Active Directory, l'outil offre désormais une vision holistique des vulnérabilités organisationnelles. Que ce soit pour la défense ou les tests d'intrusion, BloodHound continue de démontrer que penser en graphe plutôt qu'en liste constitue un avantage stratégique décisif en matière de sécurité. Collaborateurs Nicolas-Loïc Fortin Mathieu Saulnier Crédits Montage par Intrasecure inc Locaux réels par Bsides Montréal

Parce que… c'est l'épisode 0x639! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CFP Notes Vulnérabilités Apple Font Parser Vulnerability Enables Malicious Fonts to Corrupt Process Memory Critical Western Digital My Cloud NAS Vulnerability Allows Remote Code Execution VMware Tools and Aria Operations Vulnerabilities Let Attackers Escalate Privileges to Root China Exploited New VMware Bug for Nearly a Year PoC exploit Released for VMware Workstation guest-to-host escape Vulnerability Tesla's Telematics Control Unit Vulnerability Let Attackers Gain Code Execution as Root Threat Actors Allegedly Listed Veeam RCE Exploit for Sale on Dark Web CISA Warns of Linux Sudo Vulnerability Actively Exploited in Attacks Warnings about Cisco vulns under active exploit are falling on deaf ears OpenSSL Patches Three Flaws: Timing Side-Channel RCE Risk and Memory Corruption Affect All Versions OneLogin Bug Let Attackers Use API Keys to Steal OIDC Secrets and Impersonate Apps Multiple Splunk Enterprise Vulnerabilities Let Attackers Execute Unauthorized JavaScript code Windows 10 refuses to go gentle into that good night Undead Operating Systems Haunt Enterprise Security Networks Privacy WestJet data breach exposes travel details of 1.2 million customers ICE to Buy Tool that Tracks Locations of Hundreds of Millions of Phones Every Day Amazon's Ring plans to scan everyone's face at the door Privacy Harm Is Harm Données volées à Desjardins: les dossiers de 50 000 Québécois refont surface sur le «dark web» UK once again demands backdoor to Apple's encrypted cloud storage For a future with privacy, not mass surveillance, Germany must stand firmly against client-side canning in the Chat Control proposal Millions impacted by data breaches at insurance giant, auto dealership software firm Signal Protocol and Post-Quantum Ratchets Microsoft's Voice Clone Becomes Scary & Unsalvageable Discord Data Breach – Customers Personal Data and Scanned Photo IDs leaked Win Guide cybersécurité des systèmes industriels Anthropic touts safety, security improvements in Claude Sonnet 4.5 New Google Drive Desktop Feature adds AI-powered Ransomware Detection to Prevent Cyberattacks MISP 2.5.22 Released with improvements and bugs fixes Microsoft to Launch New Secure Default Settings for Exchange and Teams APIs Microsoft Outlook stops displaying inline SVG images used in attacks Gmail business users can now send encrypted emails to anyone Divers ‘Trifecta' of Google Gemini Flaws Turn AI Into Attack Vehicle Un groupe de cybercriminels tente de corrompre un journaliste de la BBC New China APT Strikes With Precision and Persistence North Korea IT worker scheme expanding to more industries, countries outside of US tech sector Beware! Threat Actors Distributing Malicious AI Tools as Chrome Extensions Hackers Hijack Industrial Cellular Routers to Launch Widespread Smishing Campaigns Across Europe US gov shutdown leaves IT projects hanging, security defenders a skeleton crew Two-thirds of CISA personnel could be sent home under shutdown EU consistently targeted by diverse yet convergent threat groups Austria's Armed Forces Gets Rid of Microsoft Office (Mostly) for LibreOffice Token Trouble: How Leaked JWTs Let Me Become Everyone on the Internet Insolites One the craziest elements about cybersecurity is you have half the industry sat worrying about cyberwar!1! and going on about quantum and AI, then you have you have the operational reality of what is actually happening on the ground - it bares no resemblance, at all, to what people are focused on. Pentagon decrees warfighters don't need ‘frequent' cybersecurity training Beer Brewing Giant Asahi Halts Production Following Cyberattack FreeIPA - CVE-2025-7493 - Privilege Escalation from host to domain admin Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x638! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction Dans cet épisode spécial du podcast, l'hôte et Davy Adam explorent le vaste sujet de la responsabilité de l'intelligence artificielle, un domaine largement débattu dans l'espace public mais souvent mal compris. Face à la demande croissante des clients et à l'omniprésence de ces technologies, ils constatent la nécessité d'examiner comment utiliser l'IA correctement, ses limites, et surtout comment éviter les pièges courants. Comprendre l'IA et l'IA générative Beaucoup de clients confondent l'IA générale et l'IA générative. L'IA englobe toute application reproduisant une activité humaine codée pour accomplir des tâches spécifiques, comme les jeux d'échecs électroniques des années 90. L'IA générative, quant à elle, constitue un sous-segment du machine learning et du deep learning. Elle s'appuie sur des services pré-entraînés massivement sur des tâches comme la génération de texte, d'images, de sons, de vidéos ou de code, ainsi que sur des systèmes de questions-réponses et de chatbots. Ces outils génératifs attirent les entreprises par leur capacité à systématiser des tâches répétitives sur de grands volumes avec un certain niveau de personnalisation. Cependant, contrairement à ce que beaucoup pensent, ces technologies ne sont pas neutres et leur intégration ne se résume pas à installer un simple plugin. Les risques et limites fondamentaux Les hallucinations et la nature statistique L'un des défis majeurs de l'IA générative réside dans sa nature fondamentalement statistique. Contrairement à Google qui indexe du contenu factuel, l'IA générative ne comprend pas réellement les questions posées. Elle analyse l'ordonnancement des mots et génère la suite statistique la plus probable basée sur son entraînement. Cette approche provoque ce qu'on appelle des “hallucinations” : l'IA, incapable de reconnaître qu'une question n'a pas de sens, s'obstine à fournir une réponse en assemblant des mots statistiquement probables, même si le résultat est erroné ou inventé. Yan Lecun, chercheur chez Google, souligne que les IA génératives actuelles ne survivront pas sur ce modèle car elles manquent du recul nécessaire pour comprendre quand une question est inappropriée. L'IA n'est intelligente que dans la mesure de la qualité des données qu'on lui fournit et des questions qu'on lui pose. Les biais multiples Les biais constituent un autre enjeu majeur, et ils se manifestent à plusieurs niveaux. D'abord, il y a le biais humain : les développeurs projettent leur propre perception du monde dans les données d'entraînement. Un homme blanc de 47 ans, par exemple, n'a pas une expérience représentative de l'ensemble de l'humanité, et cette limitation peut se refléter dans les choix de données, leur filtrage et leur labellisation. Ensuite, il existe des biais sociologiques préexistants dans les données elles-mêmes. En médecine, les femmes sont historiquement sous-représentées dans les études cliniques, reproduisant ainsi des discriminations séculaires. La reconnaissance faciale illustre parfaitement ce problème : entraînée principalement sur des visages caucasiens, elle performe mal sur les autres populations. L'ordre même dans lequel les informations sont ingérées par le modèle peut influencer les réponses. Les tentatives de débiaisage se révèlent complexes, comme l'a montré Google avec des résultats historiquement inexacts en essayant de corriger les représentations. Responsabilité et transparence L'utilisateur d'une IA générative demeure responsable de tout ce qu'elle génère en son nom. Cette responsabilité juridique a été établie par une jurisprudence canadienne impliquant Air Canada, dont le chatbot avait fourni des informations erronées sur un rabais de 200 dollars. L'entreprise a été jugée responsable des promesses faites par son IA. Cette responsabilité implique la capacité d'expliquer la logique menant à chaque résultat (explainability). Les organisations doivent pouvoir rendre des comptes aux auditeurs, clients, partenaires ou tribunaux sur le fonctionnement de leurs systèmes d'IA. Cela nécessite une compréhension approfondie de l'origine des données, des algorithmes d'apprentissage, des modèles utilisés et de leur paramétrage. Les bonnes pratiques d'implémentation Définir des périmètres clairs Les intervenants insistent sur l'importance de définir précisément le rôle de l'IA générative. Elle ne doit pas être considérée comme un nouvel employé polyvalent, mais comme un outil spécialisé avec des fonctions précises : générer des résumés, traduire des documents, systématiser des tâches répétitives. L'anthropomorphisme constitue un piège dangereux : l'IA n'a aucune émotion, empathie ou véritable intelligence, c'est une application statistique qui transforme des inputs en outputs. Les domaines à éviter Certains domaines sont inappropriés pour l'IA générative, notamment le médical et le légal pour des décisions critiques. Si ces professionnels peuvent utiliser l'IA pour synthétiser ou traduire des documents, ils ne doivent jamais s'y fier pour des diagnostics ou des défenses juridiques. La complexité contextuelle de ces domaines, où même les experts humains peinent à obtenir des verdicts unanimes, dépasse largement les capacités actuelles des IA génératives. Enrichir et contrôler les données Les organisations peuvent améliorer leurs IA génératives par plusieurs méthodes. Le RAG (Retrieval Augmented Generation) permet d'ajouter des bases de connaissances spécifiques au métier. Le prompt engineering, le one-shot ou few-shot learning permettent de fournir des exemples de réponses préformatées. Des paramètres comme la “température” permettent de contrôler le niveau de créativité, utile pour la littérature mais risqué pour la documentation technique. Les “guardrails” (garde-fous) permettent d'interdire certains vocabulaires ou domaines, limitant ainsi les risques de réponses inappropriées ou dangereuses. Gouvernance et sécurité Comités d'éthique et d'IA La mise en place d'un comité d'IA devient indispensable pour toute organisation adoptant ces technologies. Ce comité, à la fois technique, professionnel et éthique, doit réfléchir aux questions de responsabilité, éviter les erreurs et établir des frameworks reproductibles pour chaque nouveau projet d'IA. Cette gouvernance s'intègre naturellement dans les structures existantes comme les Cloud Centers of Excellence, car les données d'IA proviennent souvent du cloud et doivent être cartographiées, labellisées et nettoyées. Menaces de sécurité L'empoisonnement des données constitue une menace émergente. Des acteurs malveillants, notamment étatiques, peuvent injecter des données fausses dans les sources d'entraînement pour influencer les résultats. L'exemple de Microsoft avec son chatbot sur Twitter, devenu rapidement nazi et misogyne en 24 heures suite à des interactions malveillantes, illustre cette vulnérabilité. Dans un contexte géopolitique tendu, ces risques nécessitent des stratégies robustes de filtrage et de validation des données. Conclusion L'adoption de l'IA générative exige une approche mature et réfléchie. Comme pour l'apprentissage de la conduite automobile, il ne suffit pas de savoir manipuler l'outil : il faut comprendre et respecter un “code de l'IA”. Les organisations doivent accepter de tâtonner, d'apprendre et d'itérer pour développer progressivement une culture d'entreprise capable d'intégrer ces technologies de manière responsable, éthique et efficace. La consommation énergétique considérable de ces systèmes et leur impact sociétal renforcent encore l'urgence d'une utilisation consciente et maîtrisée. Collaborateurs Nicolas-Loïc Fortin Davy Adam Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x637! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Ce troisième épisode d'une série consacrée aux PME prend la forme d'un quiz interactif entre Nicolas-Loïc Fortin et son invité Claude. L'objectif est d'aborder des questions fréquemment posées sur la cybersécurité et la protection des données, couvrant ainsi les angles qui n'ont peut-être pas été suffisamment explorés dans les épisodes précédents. Le retour sur investissement en cybersécurité La question du retour sur investissement en cybersécurité pour les PME n'appelle pas de réponse simple par oui ou non. La difficulté réside dans la mesure de ce retour, qui doit être proportionnel aux actifs à protéger. Les PME font face à des contraintes budgétaires importantes et doivent évaluer la menace réelle qui pèse sur elles. L'intervenant illustre cette problématique par une anecdote d'une compagnie de transport qui devait protéger ses remorques contre les vols utilisant de l'azote liquide pour briser les cadenas. De la même façon, en informatique, les attaquants cherchent à « faire éclater le cadenas » pour voler le contenu. Actuellement, la plus grande menace pour les PME provient des rançongiciels, qui visent toutes les organisations, du cabinet dentaire aux entreprises de toutes tailles. La stratégie de protection doit s'adapter au niveau d'information sensible détenue. Pour les entreprises sans données sensibles, de bonnes sauvegardes suffisent pour redémarrer après une attaque. Pour celles qui manipulent des informations personnelles, des mesures plus sophistiquées s'imposent. Heureusement, des solutions peu coûteuses existent, fournies par des spécialistes en PME. L'important est d'éviter les consultants de grande entreprise qui proposent des solutions disproportionnées et effrayantes, décourageant ainsi l'investissement en cybersécurité. Solutions à petit budget Contrairement aux idées reçues, la cybersécurité à petit budget est non seulement possible, mais peut être très efficace si elle est bien choisie. L'open source offre des solutions simples et accessibles. Avec l'accompagnement d'un expert, les PME peuvent trouver des solutions gratuites ou peu coûteuses adaptées à leurs besoins réels. La clé consiste à définir ce qui est précieux pour l'entreprise, que cette valeur soit intrinsèque ou imposée par la loi. Les informations personnelles doivent être protégées par obligation légale, tout comme les numéros de cartes de crédit pour les commerçants, en vertu d'obligations contractuelles. De nombreuses solutions de qualité professionnelle peuvent être déployées par des passionnés de cybersécurité qui connaissent bien les besoins des PME. Loi 25 versus cybersécurité La question de la priorité entre la conformité à la Loi 25 et la cybersécurité suscite des débats. L'intervenant privilégie la conformité légale, car les obligations contractuelles et réglementaires ont préséance dans tous les cas. Cependant, se conformer à la Loi 25 apporte des bénéfices directs pour la cybersécurité, notamment l'obligation de créer un inventaire des données, qui constitue un avantage considérable pour la protection des informations. L'ingénierie sociale : le maillon faible Concernant les attaques par ingénierie sociale, le contexte représente un facteur plus déterminant que l'humain lui-même. Tous les humains peuvent être victimes d'hameçonnage, indépendamment de leur niveau de compétence. Lorsque le contexte nous prédispose à répondre automatiquement, nos défenses naturelles s'abaissent et nous agissons comme des « zombies », suivant le processus attendu sans questionnement. L'intervenant partage son expérience personnelle d'avoir cliqué sur un lien d'hameçonnage de son propre employeur, soulignant l'importance du timing et du contexte. Des recherches montrent que les gens sont plus susceptibles de cliquer sur des liens malveillants en fin de journée. La vigilance doit être maintenue même dans des situations apparemment normales, bien que la fragilité humaine face au contexte rende cette tâche difficile. L'authentification multifacteur : un minimum évolutif L'authentification multifacteur (MFA) constitue désormais un standard minimum, popularisé par le télétravail pendant le confinement. Cependant, cette barrière de sécurité est déjà en train d'être dépassée par des attaquants créatifs. Le MFA par SMS, qui représentait un minimum viable pendant le confinement, n'est plus suffisant aujourd'hui. Le MFA par application ou par clé physique représente maintenant le minimum requis pour tous les services, particulièrement ceux liés à l'argent. L'intervenant raconte comment, pendant son jogging matinal, il a reçu une alerte de sa banque concernant une tentative d'accès. Bien que le SMS ne soit pas la meilleure forme de MFA, cette deuxième barrière l'a alerté que son mot de passe avait été compromis. Il a immédiatement changé ses identifiants et activé une clé physique pour renforcer la sécurité. Cette expérience souligne l'importance d'activer le MFA sur tous les services critiques : courriel, systèmes comptables comme Quickbooks, et tous les systèmes au cœur du fonctionnement de l'entreprise. Gestionnaires de mots de passe La question des voûtes de mots de passe suscite beaucoup d'émotions dans la communauté cybersécurité. Les puristes recommandent les gestionnaires de mots de passe, mais une analyse pragmatique s'impose. Un carnet de mots de passe dans le tiroir du bureau vaut mieux qu'une absence de protection ou qu'une voûte mal configurée que personne n'utilisera. L'important reste d'avoir des mots de passe différents partout et d'activer le MFA, car le mot de passe seul ne constitue plus une barrière suffisante. Les voûtes modernes facilitent grandement la gestion des mots de passe et intègrent les nouvelles tendances comme l'authentification sans mot de passe. Le modèle de menace doit être considéré : si les attaquants sont en Chine ou en Russie, le carnet dans le tiroir est relativement sûr. Si la menace provient d'employés internes, d'autres solutions s'imposent. Un mot de passe simple comme « soleil123 », même avec MFA, reste problématique car la première barrière est trop facilement franchissable. Antivirus et protection moderne Les antivirus classiques ne suffisent plus à protéger adéquatement contre les cyberattaques. Les solutions modernes, appelées antivirus de nouvelle génération ou EDR (détection et réponse sur les points terminaux), offrent des protections supplémentaires en détectant les comportements suspects plutôt que simplement les signatures de fichiers. Pour les PME, des solutions intégrées comme Microsoft Defender for Endpoint constituent un bon compromis. Il faut éviter les antivirus gratuits, mais utiliser plutôt les outils de sécurité inclus dans les licences existantes de Microsoft 365 ou Google Workspace. WiFi public : l'évolution de la sécurité La sécurité des réseaux WiFi publics a considérablement évolué. Contrairement aux anciennes pratiques, utiliser un WiFi public n'est plus dangereux pour la majorité des utilisateurs. Depuis environ cinq ans, Google n'indexe plus les sites sans chiffrement de base, forçant les entreprises à améliorer leur sécurité. Les services modernes comme Microsoft 365, Outlook et les banques chiffrent toutes les communications. Tant que l'appareil est à jour et qu'aucun message d'avertissement de certificat invalide n'apparaît, il n'y a aucun danger à utiliser un WiFi public pour des usages standard avec des services légitimes de grandes compagnies. Infections par simple visite de site Il est possible de s'infecter en visitant un site web sans cliquer sur quoi que ce soit. Les attaquants, qui travaillent sur ces méthodes à temps plein, sont très imaginatifs. La meilleure protection consiste à maintenir son navigateur constamment à jour. Les navigateurs comme Chrome, Edge et Brave se mettent à jour automatiquement à chaque redémarrage. Les attaquants ont évolué au-delà des sites louches en infectant des publicités sur des sites légitimes. Les antivirus de nouvelle génération peuvent bloquer certaines de ces menaces, mais la mise à jour régulière du navigateur reste la meilleure défense. Le rôle des dirigeants Les dirigeants de PME portent la responsabilité ultime de la protection des renseignements personnels selon la loi. Dans toute organisation, les décisions de cybersécurité doivent venir du sommet. Sans l'engagement du plus haut dirigeant, aucune énergie réelle ne sera investie dans la cybersécurité. Les dirigeants doivent porter le message de cybersécurité, allouer les ressources financières et humaines nécessaires, et favoriser une culture de protection des informations. Ils sont les seuls capables d'identifier ce qui est précieux dans l'entreprise : liste de clients, procédés de fabrication, propriété intellectuelle, ou tout autre avantage concurrentiel. Cette responsabilité s'étend au-delà des obligations légales pour protéger ce qui fait vraiment la différence de l'entreprise. Conclusion Ce podcast souligne l'importance de sensibiliser les PME à la cybersécurité, car elles constituent le tissu économique du Québec, du Canada et du monde entier. Chaque PME qui tombe sous une cyberattaque affecte l'ensemble de l'écosystème économique et social. La cybersécurité pour les PME doit être accessible, pragmatique et adaptée aux réalités budgétaires de ces organisations. Collaborateurs Nicolas-Loïc Fortin Claude Mercier Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x636! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Crédits Montage par Intrasecure inc Locaux réels par GoSec

Parce que… c'est l'épisode 0x635! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Notes Jaguar UK government will underwrite £1.5bn loan guarantee to Jaguar Land Rover after cyber-attack Politicos: ‘There is a good strong case for government intervention' on JLR cyberattack Jaguar Lan Rover failed to secure cyber insurance deal ahead of incidents, sources say Tata-Owned Jaguar Land Rover Delays Factory Reopening Following Major Cyber Attack Supply chain Volvo North America disclosed a data breach following a ransomware attack on it provider Miljödata Tech troubles create aviation chaos on both sides of the Atlantic European Airport Disruptions Caused by Sophisticated Ransomware Attack UK agency makes arrest in airport cyberattack investigation SIM ou trop vite sur la nouvelle The SIM Farm Hardware Seized by the Secret Service Is Also Popular With Ticket Scalpers That Secret Service SIM farm story is bogus U.S. Secret Service Dismantles 300 SIM Servers and 100,000 SIM Cards Disabling Cell Phone Towers Trump signs executive order supporting proposed deal to put TikTok under US ownership Privacy Europe's cookie law messed up the internet. Brussels wants to fix it. Bientôt la fin des bandeaux RGPD ? Comment les scammeurs exploitent vos données… via une simple recherche ChatGPT Microsoft hides key data flow information in plain sight Salesforce facing multiple lawsuits after Salesloft breach Numerous Applications Using Google's Firebase Platform Leaking Highly Sensitive Data Bouygues Telecom Edge Cisco IOS and IOS XE Software SNMP Denial of Service and Remote Code Execution Vulnerability CISA says it observed nearly year-old activity tied to Cisco zero-day attacks SonicWall releases rootkit-busting firmware update following wave of attacks Offensif New Inboxfuscation Tool That Bypasses Microsoft Exchange Inbox Rules and Evade Detection LastPass: Fake password managers infect Mac users with malware Why attackers are moving beyond email-based phishing attacks Hackers Can Bypass EDR by Downloading a Malicious File as an In-Memory PE Loader Hackers Exploit WerFaultSecure.exe Tool to Steal Cached Passwords From LSASS on Windows 11 24H2 Kali Linux 2025.3 Released With New Features and 10 New Hacking Tools New LNK Malware Uses Windows Binaries to Bypass Security Tools and Execute Malware Russia steps up disinformation efforts to sway Moldova's parliamentary vote Malicious SVGs in Phishing Campaigns: How to Detect Hidden Redirects and Payloads First-Ever Malicious MCP Server Found in the Wild Steals Emails via AI Agents Hackers Leverage AI-Generated Code to Obfuscate Its Payload and Evade Traditional Defenses Défensif Zero Trust: Strengths and Limitations in the AI Attack Era Microsoft, SentinelOne, and Palo Alto Networks Withdraw from 2026 MITRE ATT&CK Evaluations GitHub moves to tighten npm security amid phishing, malware plague Canada dismantles TradeOgre exchange, seizes $40 million in crypto Microsoft Edge to block malicious sideloaded extensions Microsoft offers no-cost Windows 10 lifeline How secure are passkeys, really? Here's what you need to know Divers et inclassable Cyber threat-sharing law set to shut down, along with US government Firewall upgrade linked to three deaths after Australian telco cut off emergency calls Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x634! Préambule Le son n'est pas nickel. Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Charlotte Trudelle Antoine Vacher Julien Atsarias Florian Guyot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x633! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Claude Mercier Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x632! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Notes IA ChatGPT peut faire fuiter vos emails avec une simple invitation Google Calendar ‘Powerful but dangerous' full MCP support beta for ChatGPT arrives ChatGPT Tricked Into Bypassing CAPTCHA Security and Enterprise Defenses ‘A CRM for cybercriminals' - SpamGPT makes cybercriminals' wildest dreams come true with business-grade marketing tools and features How AI and surveillance capitalism are undermining democracy Vibe Coding Cleanup as a Service Offensif Jaguar Land Rover supply chain workers must get Covid-style support, says union Careless engineer stored recovery codes in plaintext, got whole org pwned Google confirms fraudulent account created in law enforcement portal Self-Replicating Worm Hits 180+ Software Packages Shai-Hulud: Ongoing Package Supply Chain Worm Delivering Data-Stealing Malware A DHS Data Hub Exposed Sensitive Intel to Thousands of Unauthorized Users Apple 0-day likely used in spy attacks affected devices as old as iPhone 8 Mail Delivery Subsystem spam? SonicWall Security Incident: Exposed Backups Could Put Your Firewall at Risk Cybercriminals Have a Weird New Way to Target You With Scam Texts Critical Microsoft's Entra ID Vulnerability Allows Attackers to Gain Complete Administrative Control Une faille Spotlight vieille de 10 ans permet toujours de voler vos données sur Mac New EDR-Freeze Tool That Puts EDRs and Antivirus Into A Coma State Cyberattack disrupts check-in systems at major European airports Critical WatchGuard Vulnerability Allows Unauthenticated Attacker to Execute Arbitrary Code Défensif Pensez à activer les versions immuables sur GitHub pour éviter les problèmes de sécurité Why Real-Time Threat Intelligence Is Critical for Modern SOCs How to Set Up and Use a Burner Phone Apple addresses dozens of vulnerabilities in latest software for iPhones, iPads and Macs Microsoft, Cloudflare disrupt RaccoonO365 credential stealing tool run by Nigerian national PRP Airlines Sell 5 Billion Plane Ticket Records to the Government For Warrantless Searching Google Announces Full Availability of Client-Side Encryption for Google Sheets Divers The Elephant in The Biz: outsourcing of critical IT and cybersecurity functions risks UK economic security Europe's tech sovereignty watch Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x631! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Olivier Bilodeau Marc Cormier Jean-Philippe Décarie-Mathieu [Pascal Gad] [Tyler Chevrier] Crédits Montage par Intrasecure inc Locaux réels par BAnQ

Parce que… c'est l'épisode 0x630! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Notes Centre de prévention du suicide de Québec - 1 866 APPELLE (1-866-277-3553) suicide.ca Texter - 535353 Clavarder 3114.fr Téléphone - 3114 Collaborateurs Nicolas-Loïc Fortin Sylvie Guérin Éric Parent Crédits Montage par Intrasecure inc Locaux réels par BAnQ

Parce que… c'est l'épisode 0x629! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 4 et 5 novembre 2025 - FAIRCON 2025 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Notes Apple Memory Integrity Enforcement: A complete vision for memory safety in Apple devices iCloud Calendar abused to send phishing emails from Apple's servers Dormant macOS Backdoor ChillyHell Resurfaces Microsoft Microsoft Patch Tuesday September 2025 Fixes Risky Kernel Flaws Senator blasts Microsoft for making default Windows vulnerable to “Kerberoasting” Senator blasts Microsoft for ‘dangerous, insecure software' that helped pwn US hospitals Microsoft adds malicious link warnings to Teams private chats Microsoft cloud services disrupted by Red Sea cable cuts Microsoft is officially sending employees back to the office. Read the memo Supply chain Hackers Booked Very Little Profit with Widespread npm Supply Chain Attack Hackers Hijacked 18 Very Popular npm Packages With 2 Billion Weekly Downloads Défensif The Quiet Revolution in Kubernetes Security TailGuard - La solution Docker qui marie WireGuard et Tailscale pour du VPN surpuissant Geedge & MESA Leak: Analyzing the Great Firewall's Largest Document Leak Forget disappearing messages – now Signal will store 100MB of them for you for free Introducing Signal Secure Backups We have early access to Android Security Bulletin patches MISP 2.5.21 Released with a new recorrelate feature, various fixes and updates Threat Actor Installed EDR on Their Systems, Revealing Workflows and Tools Used Offensif Jaguar Land Rover discloses a data breach after recent cyberattack Jaguar Land Rover extends shutdown after cyber attack Salty2FA Takes Phishing Kits to Enterprise Level Police Body Camera Apps Sending Data to Cloud Servers Hosted in China Via TLS Port 9091 Weaponizing Ads: How Governments Use Google Ads and Facebook Ads to Wage Propaganda Wars Spectre haunts CPUs again: VMSCAPE vulnerability leaks cloud secrets VirusTotal finds hidden malware phishing campaign in SVG files IA CVE-2025-58444 - MCP Inspector is Vulnerable to Potential Command Execution via XSS When Connecting to an Untrusted MCP Server Cursor AI Code Editor RCE Vulnerability Enables “autorun” of Malicious on your Machine The Software Engineers Paid to Fix Vibe Coded Messes TheAuditor - L'outil de sécurité qui rend vos assistants IA moins laxistes sur la sécurité de votre code Insolite / Divers Brussels faces privacy crossroads over encryption backdoors My Latest Book: Rewiring Democracy A love letter to Internet Relay Chat Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x628! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Claude Mercier Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x627! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Christophe D'ARLHAC Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x626! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Notes Divers How Has IoT Security Changed Over the Past 5 Years? Hackers Leverage Raw Disk Reads to Bypass EDR Solutions and Access Highly Sensitive Files Qantas penalizes executives for July cyberattack CVE-2025-6785 - Tesla Model 3 Physical CAN Bus Injection Android drops mega patch bomb - 120 fixes, two already exploited Automated Sextortion Spyware Takes Webcam Pics of Victims Watching Porn SIM Swapping Attacks on the Rise – How eSIM can Make SIM Swapping Harder Europe Putin the blame on Russia after GPS jamming disrupts president's plane Almost Every State Has Its Own Deepfakes Law Now No, Google did not warn 2.5 billion Gmail users to reset passwords IA Hackers Use AI Platforms to Steal Microsoft 365 Credentials in Phishing Campaign AI code assistants make developers more efficient at creating security problems Comment manipuler psychologiquement une IA ? Les techniques qui marchent vraiment LegalPWN - Pour piéger les IA avec les petites lignes Indirect Prompt Injection Attacks Against LLM Assistants BruteForceAI - L'IA qui cracke vos mots de passe Hackers Leverage Hexstrike-AI Tool to Exploit Zero Day Vulnerabilities Within 10 Minutes Ollama - 14 000 serveurs IA laissés en libre-service sur Internet Europe et souveraineté EUVD: first step toward Europe's cybersecurity sovereignty? Switzerland Launches Apertus: A Public, Open-Source AI Model Built for Privacy EU court's dismissal of US data transfer challenge raises privacy advocates' ire SAP to invest over 20 billion euros in ‘sovereign cloud' in boost to Europe's AI ambitions Chaine d'approchées Blast Radius of Salesloft Drift Attacks Remains Uncertain Addressing the unauthorized issuance of multiple TLS certificates for 1.1.1.1 How big will this Drift get? Cloudflare cops to Salesloft Drift breach The impact of the Salesloft Drift breach on Cloudflare and our customers Zscaler Confirms Data Breach – Hackers Compromised Salesforce Instance and Stole Customer Data Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x625! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Notes Tarif préférentiel Tarif subventionné grâce à un partenariat avec UV Assurance de 2345$ + tx ( Tarif régulier de 2995$ + tx ). Pour plus de détails sur les tarifs, veuillez consulter la section Détails des tarifs. Tarif régulier Canada Le tarif régulier pour toute personne résidente au Canada : 2 995$ plus taxes applicables Important de noter que le tarif subventionné est non applicable pour le secteur public et parapublic. Ces secteurs sont sujets au tarif régulier pour résidents et résidentes au Canada. Tarif régulier hors Canada Le tarif régulier pour toute personne résidente hors Canada : 3 995$ plus taxes applicables Tarif subventionné PME et OBLN au Québec Le tarif subventionné en partenariat avec UV Assurance est offert à toute personne travaillant dans une PME québécoises (PME : entreprise de moins de 500 employés) ou les OBNL québécois : 2 345$ plus taxes applicables. Une preuve de NEQ (numéro d'entreprise du Québec) pourrait être demandée. **Important de noter que le tarif subventionné est non applicable pour le secteur public et parapublic. Ces secteurs sont sujets au tarif régulier pour résidents et résidentes au Canada. Programme de subvention Visées : Propulsez les compétences de vos équipes avec cette formation, et recevez jusqu'à 8 000$ de subvention! Formez vos employés et employées aux bénéfices de cette formation et bénéficiez d'un soutien financier pouvant aller jusqu'à 8000$ grâce au programme Visées. Une initiative de la Chambre de commerce du Montréal métropolitain et de la Fédération des chambres de commerce du Québec, financé par Upskill Canada (propulsé par Palette Skills) et le gouvernement du Canada. Conditions d'éligibilité: Votre entreprise doit posséder un NEQ, doit employer au minimum une personne salariée équivalent temps plein et ne pas être un organisme gouvernemental, public, municipal, ou scolaire ni être assujetties à la Loi M-30 ; La personne formée doit être légalement autorisée à travailler au Canada, détenir un permis de travail valide, et avoir 3 ans d'expérience professionnelle. FORCE-UQTR Aide financière Collaborateurs Nicolas-Loïc Fortin Gino Plourde Dominic Villeneuve Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x624! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Camille Felx Leduc Alexandre Fournier Marc Potvin Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x623! Préambule Bon… je saute à l'eau et je repars un podcast sur l'actualité en mode seul. Ce que je n'avais pas fait depuis vraiment longtemps. J'ai été excessif sur le volume de nouvelles, ne m'étant pas bien organisé. Je m'améliorerai avec la pratique… car, paraît-il, ça ne se perd pas, comme le “bécicle”. Aussi, et probablement le plus audible, j'ai eu un glitch à l'enregistrement. Comme quoi j'ai vraiment perdu la main. Pour l'aspect technique, j'ai oublié de retirer un filtre lors de l'enregistrement, ce qui fait que la bande originale est “instable”. Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Notes Breach Salesforce Releases Forensic Investigation Guide Following Chain of Attacks Salesloft breached to steal OAuth tokens for Salesforce data-theft attacks Hackers Lay in Wait, Then Knocked Out Iran Ship Comms Légalise Mastodon says it doesn't ‘have the means' to comply with age verification laws France and Germany reject Trump's threats on EU tech legislation AI CVE-2025-58062 - OpenMCP Client OS Command Injection Vulnerability AI Agents in Browsers Light on Cybersecurity, Bypass Controls Anthropic AI Used to Automate Data Extortion Campaign Crims laud Claude to plant ransomware and fake IT expertise Anthropic Disrupts AI-Powered Cyberattacks Automating Theft and Extortion Across Critical Sectors Anthropic teases Claude for Chrome: Don't try this at home Researchers flag code that uses AI systems to carry out ransomware attacks Securing the AI Revolution: Introducing Cloudflare MCP Server Portals Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet Helping people when they need it most Exclusive: Meta created flirty chatbots of Taylor Swift, other celebrities without permission PromptLock - Le premier ransomware à utiliser une IA 100% locale Anthropic will start training its AI models on chat transcripts The Default Trap: Why Anthropic's Data Policy Change Matters Threat Actors Weaponizes AI Generated Summaries With Malicious Payload to Execute Ransomware New AI attack hides data-theft prompts in downscaled images Will Smith's concert crowds are real, but AI is blurring the lines Best Practices for Securing Generative AI with SASE ChatGPT, Claude, & Gemini security scanning with Cloudflare CASB Hackers Can Exploit Image Scaling in Gemini CLI, Google Assistant to Exfiltrate Sensitive Data New Prompt Insertion Attack – OpenAI Account Name Used to Trigger ChatGPT Jailbreaks Vulnérabilités U.S. CISA adds Citrix Netscaler flaw to its known exploited vulnerabilities catalog Docker Desktop bug let containers hop the fence with barely a nudge CISA Adds Three Exploited Vulnerabilities to KEV Catalog Affecting Citrix and Git The Hidden Risk of Consumer Devices in the Hybrid Workforce Shadow IT Is Expanding Your Attack Surface. Here's Proof Putin on the code: DoD reportedly relies on utility written by Russia-based Yandex dev Microsoft details Storm-0501's focus on ransomware in the cloud Surge in coordinated scans targets Microsoft RDP auth servers CVE-2025-7776 - Citrix NetScaler Memory Overflow Denial of Service CVE-2025-55526 - n8n-workflows Directory Traversal Vulnerability WhatsApp patches vulnerability exploited in zero-day attacks Cloud Azure apparatchik shows custom silicon keeping everything locked down Microsoft Azure Hardware Security to Help Thwart the World's 3rd Largest GDP Microsoft to enforce MFA for Azure resource management in October Pentagon ends Microsoft's use of China-based support staff for DoD cloud Risque Mansplaining your threat model, as a service Threat Modeling Tools Privacy Smart glasses record people in public. The most online generation is pushing back Your Word documents will be saved to the cloud automatically on Windows going forward Prepare for the unexpected with emergency access for your Proton Account FTC Chair Tells Tech Giants to Hold the Line on Encryption The UK May Be Dropping Its Backdoor Mandate Defensif Google to Verify All Android Developers in 4 Countries to Block Malicious Apps BGP's security problems are notorious. Attempts to fix that are a work in progress Who are you again? Infosec experiencing ‘Identity crisis' amid rising login attacks CISA Publish Hunting and Mitigation Guide to Defend Networks from Chinese State-Sponsored Actors Offensif Threat Actors Abuse Velociraptor Incident Response Tool to Gain Remote Access Hackers Weaponize PDF Along With a Malicious LNK File to Compromise Windows Systems Arch Linux Confirms Week-Long DDoS Attack Disrupted its Website, Repository, and Forums Hackers Abuse Microsoft Teams to Gain Remote Access on Windows With PowerShell-based Malware WinRAR 0-Day Vulnerabilities Exploited in Wild by Hackers – Detailed Case Study Breaking the Passkey Promise: SquareX Discloses Major Passkey Vulnerability at DEF CON 33 Beware of Website Mimicking Google Play Store Pages to Deliver Android Malware Malicious Android apps with 19M installs removed from Google Play Weaponized PuTTY Via Bing Ads Exploit Kerberos and Attack Active Directory Services ShadowCaptcha Exploits WordPress Sites to Spread Ransomware, Info Stealers, and Crypto Miners PoC Exploit Released for Chrome 0-Day Vulnerability Exploited in the Wild TAG-144 Actors Attacking Government Entities With New Tactics, Techniques, and Procedures Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c'est l'épisode 0x622! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Jordan Theodore Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x621! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Dimitri Souleliac Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x620! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description L'inflation des titres sur LinkedIn et dans l'informatique Dans cet épisode, NLF et Davy Adam abordent un phénomène problématique qui touche le secteur informatique : l'inflation et la dénaturation des titres professionnels, particulièrement visible sur LinkedIn. Ils observent que des métiers traditionnels et essentiels comme technicien, administrateur système ou administrateur de base de données ont quasiment disparu au profit de titres plus ronflants comme “architecte”, “consultant”, “expert” ou “spécialiste”. La disparition des métiers de base Davy Adam note qu'il ne croise pratiquement plus d'administrateurs système ou réseau dans ses formations, alors que ces rôles restent fondamentaux pour le bon fonctionnement des infrastructures informatiques. Les professionnels préfèrent se présenter comme “spécialistes sécurité” quand ils font du réseau basique, ou “architectes cloud” quand ils administrent du Windows sur Azure. Cette dévalorisation des métiers techniques de base pose problème car ces rôles sont essentiels. Comme le souligne NLF, sans bons administrateurs et techniciens pour opérer les infrastructures, les dommages peuvent être énormes. L'excellence dans ces qualifications est très importante et ne devrait pas être dévalorisée. Le malentendu autour du rôle d'architecte Les intervenants expliquent que le titre d'architecte a un sens précis, similaire à celui d'un architecte de bâtiment. Un vrai architecte informatique doit : Écouter le client en premier lieu pour comprendre ses besoins réels Reformuler la demande avec le client, ce qui aide souvent ce dernier à clarifier ses véritables besoins Concevoir des plans en appliquant les bonnes pratiques et normes Documenter ses recommandations de manière claire Avoir une vision transversale sans être expert dans tous les domaines Au Québec notamment, il existe une présomption qu'un architecte sait rédiger, analyser et documenter, compétences souvent absentes chez ceux qui s'autoproclament architectes tout en excellant dans l'opérationnel. Les problèmes de recrutement et d'attentes Cette confusion des titres crée des dysfonctionnements : Pour les recruteurs : ils cherchent des “architectes” pour faire de l'implémentation technique Pour les consultants : on leur propose des missions opérationnelles alors qu'ils veulent faire du conseil stratégique Pour les clients : leurs attentes ne correspondent pas aux profils recrutés Davy Adam utilise l'analogie médicale : on ne demande pas à un chirurgien orthopédique de couper les ongles, même s'il en a techniquement la capacité. La hiérarchisation des rôles n'est pas un jugement de valeur mais une question de répartition efficace des compétences. La vraie nature du consulting Les deux experts insistent sur ce qu'est réellement le consulting : Intervention ponctuelle : quelques jours par mois chez plusieurs clients plutôt qu'une présence permanente Conseil à la demande : comme un avocat ou un médecin qu'on consulte pour son expertise Synthèse d'expérience : apporter la richesse de multiples expériences vécues chez différents clients Autonomisation des équipes : donner les clés pour que les équipes internes puissent implémenter Davy Adam compare son profil à un “couteau suisse” : de multiples capacités sans être le meilleur dans aucune, mais avec la capacité de faire le lien entre tous les domaines. Les défis du freelancing et les malentendus Les consultants freelance font face à des demandes inadéquates : Missions de résidence alors qu'ils cherchent du conseil ponctuel Tâches opérationnelles alors qu'ils veulent faire de la stratégie Attentes de présence permanente incompatibles avec leur modèle économique NLF et Davy Adam expliquent que leur valeur réside dans la diversité de leurs expériences, pas dans une expertise approfondie unique. Ils préfèrent refuser des missions inadéquates plutôt que de créer de la frustration mutuelle. L'aspect économique du consulting Le consulting coûte plus cher à l'heure mais reste moins onéreux sur l'année car : Usage ponctuel : on ne paie que quand on a besoin du consultant Expertise concentrée : résolution rapide des problématiques Pas de coûts de structure : pas de charges sociales permanentes Comme le dit Davy Adam : “Je synthétise 10 ans d'expérience en une journée et réponds à toutes tes questions.” L'intelligence artificielle ne remplace pas l'expertise contextuelle Face aux questionnements sur l'IA, les experts restent confiants. L'IA générative ne peut pas : Comprendre le contexte spécifique de chaque entreprise Gérer les particularités des systèmes patrimoniaux Naviguer les dynamiques humaines et politiques internes Adapter les bonnes pratiques aux contraintes réelles NLF utilise l'analogie de la rénovation : demander à ChatGPT de rénover une maison patrimoniale de 200 ans serait inadéquat car ses références ne correspondent pas au contexte spécifique. Solutions recherchées vs problèmes réels Un problème récurrent observé est la tendance des organisations à adopter des solutions trendy (IA, Kubernetes, cloud) sans avoir identifié le vrai problème à résoudre. C'est une approche inverse où “la solution cherche un problème”. Le rôle du consultant est justement de remonter aux vrais besoins et de guider vers les solutions appropriées, en tenant compte des contraintes organisationnelles, culturelles et techniques réelles. Conclusion Cet épisode appelle à une clarification des terminologies professionnelles et une meilleure compréhension des rôles de chacun. L'objectif n'est pas de critiquer mais de rétablir la cohérence entre les titres, les compétences réelles et les besoins des organisations pour améliorer l'efficacité du marché du travail informatique. Collaborateurs Nicolas-Loïc Fortin Davy Adam Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x619! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction : La pyramide des conspirations Catherine Dupont-Gagnon ouvre l'épisode en présentant la pyramide des conspirations d'Abby Richards (connue sous le nom de Tofologie), un outil pédagogique pour comprendre les différents niveaux de théories conspiratrices. Cette pyramide part de la base avec des éléments ancrés dans la réalité (comme MK-Ultra, aujourd'hui documenté), puis progresse vers la ligne de spéculation (Area 51), les théories sans danger mais fausses (le Titanic n'a jamais coulé, Avril Lavigne remplacée par un clone), jusqu'aux niveaux dangereux qui nient la réalité (5G, Pizzagate) et finalement les théories antisémites et déshumanisantes (lézards extraterrestres, négationnisme de l'Holocauste). L'objectif est de montrer qu'il est normal et sain de poser des questions, tant qu'on reste ancré dans les faits et les preuves. Le problème survient quand on commence à “remplir les vides” avec des spéculations non fondées. L'histoire factuelle d'Jeffrey Epstein Samuel Harper présente ensuite les faits documentés de l'affaire Epstein. En 1998, Ghislaine Maxwell commence à recruter des “assistantes” et “masseuses” dans des écoles et centres pour Jeffrey Epstein. En 2005, une enquête policière révèle un système pyramidal de recrutement où des mineures, souvent de 13-14 ans, étaient exploitées sexuellement et encouragées à recruter d'autres victimes. L'enquête de West Palm Beach identifie 18 victimes nommées, tandis que le FBI en trouve 34. Malgré l'ampleur des preuves, Epstein plaide coupable à seulement deux accusations mineures en 2008 et purge 13 mois d'une sentence de 18 mois, avec des conditions de détention exceptionnellement favorables. Le parcours d'Epstein révèle des éléments troublants : sans diplôme universitaire, il est embauché comme professeur à l'école élitiste Dalton par Donald Barr (père de William Barr), puis recruté chez Bear Stearns avant de fonder sa propre entreprise d'investissement prétendument réservée aux milliardaires. Les zones grises et spéculations Le podcast explore ensuite les aspects plus nébuleux de l'affaire. Epstein a généré plus de 800 millions de dollars entre 1999 et 2018, principalement grâce à des “frais de consultation” de clients comme Les Wexner (200 millions) et Leon Black (170 millions) - des sommes inhabituellement élevées pour des conseils fiscaux. Les liens d'Epstein avec des personnalités influentes soulèvent des questions : Bill Clinton, le prince Andrew, Donald Trump, Kevin Spacey, et de nombreuses autres figures publiques fréquentaient ses cercles. Virginia Giuffre a notamment accusé plusieurs personnalités d'agressions dans le cadre du réseau d'Epstein. Les circonstances de la mort d'Epstein La mort d'Epstein en prison en août 2019 alimente de nombreuses spéculations. L'autopsie révèle une fracture de l'os hyoïde, plus fréquente dans les homicides que les suicides. Les enregistrements vidéo du premier incident en juillet ont mystérieusement disparu, et son compagnon de cellule était Nick Tartaglione, un ancien policier condamné pour quadruple meurtre. Alexander Acosta, le procureur qui avait accordé l'accord clément à Epstein en 2008, aurait déclaré qu'Epstein “appartenait au renseignement” et était “au-dessus de son niveau de compétence”, avant de se rétracter. Les théories sur les services de renseignement Le podcast aborde les rumeurs de liens avec les services secrets. Des sources non confirmées suggèrent des connections avec le Mossad israélien, notamment à travers le père de Ghislaine Maxwell, Robert Maxwell, magnat de la presse décédé dans des circonstances mystérieuses. Ces théories restent largement spéculatives, manquant de corroboration solide. Trump et les développements récents Les relations entre Trump et Epstein sont documentées : ils se connaissaient depuis les années 1990, Trump a voyagé sur le jet d'Epstein, et des citations de 2002 montrent Trump louant Epstein comme “un type formidable” qui “aime les belles femmes, et beaucoup d'entre elles sont plutôt jeunes”. Le podcast révèle un retournement politique récent : après avoir promis de divulguer les “fichiers Epstein” pendant sa campagne, l'administration Trump a publié en juillet 2025 un mémo déclarant qu'aucune nouvelle divulgation n'était nécessaire, qu'il n'existait pas de “liste de clients” et qu'Epstein s'était bien suicidé. Cette volte-face a provoqué la colère de la base MAGA et des partisans de QAnon, qui avaient fait de cette promesse un pilier de leur soutien. Des figures comme Cash Patel et Dan Bongino, nouvellement nommés au FBI, semblaient visiblement inconfortables en défendant cette position. Conclusion et réflexions Les animateurs concluent que l'affaire Epstein illustre parfaitement les dangers de combler les vides informationnels avec des spéculations. Ils soulignent qu'il n'est pas nécessaire d'invoquer des rituels sataniques ou des conspirations mondiales pour expliquer ce qui semble être, fondamentalement, un réseau d'hommes puissants abusant de leur position. Cette affaire révèle aussi la fragilité des mouvements conspirationnistes face aux prophéties non réalisées. Le moment actuel pourrait représenter un point de fracture pour QAnon et MAGA, leurs leaders étant confrontés à l'impossibilité de tenir leurs promesses sans s'incriminer eux-mêmes. L'épisode se termine sur une réflexion plus large concernant l'ère de l'information et la difficulté croissante de distinguer les faits de la fiction dans un paysage médiatique fragmenté. Notes Abbie Richards fights TikTok disinformation with a cup of tea, a conspiracy chart and a punchline The conspiracy chart 2021 Abbie Richards Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x618! Préambule Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction et contexte Charlotte Trudelle, consultante en gouvernance, risque et conformité chez Cyblex Consulting, présente la directive européenne NIS 2, qui constitue la suite de NIS 1. Cette réglementation vise à protéger les entités critiques européennes dans un contexte d'augmentation des cyberattaques et d'omniprésence des systèmes d'information. Contrairement au RGPD qui a des applications extraterritoriales, NIS 2 se concentre principalement sur le territoire européen, mais suivra un modèle de transposition similaire dans chaque pays membre. Objectifs et philosophie de NIS 2 L'objectif principal n'est pas d'atteindre une sécurité absolue, mais d'améliorer la résilience et la capacité de réaction aux incidents. La directive vise à “effacer le bruit ambiant” et empêcher les attaques opportunistes, particulièrement les ransomwares facilement déployables. Il s'agit d'établir une hygiène de base en cybersécurité plutôt que de se prémunir contre des attaques étatiques sophistiquées. La directive prône une approche par les risques, reconnaissant que les 18 secteurs d'activité couverts ont des profils de risque variables. L'Europe souhaite également créer un écosystème résilient global, incluant le partage des menaces et vulnérabilités, ainsi que la mise en place du UVD (pendant européen des bases CVE) par l'agence ENISA. Périmètre d'application considérablement élargi NIS 2 couvre 18 secteurs d'activité, répartis entre entités essentielles et entités importantes. Les entités essentielles incluent l'énergie, le transport, l'eau potable (déjà dans NIS 1), auxquels s'ajoutent les eaux usées, la santé, l'espace et les administrations publiques. Le secteur bancaire bénéficie d'un traitement spécial avec le référentiel DORA. Les entités importantes comprennent les services postaux, la gestion des déchets, et la fabrication alimentaire. L'impact est considérable : en France, on passe de 300 entités concernées par NIS 1 à potentiellement 15 000 avec NIS 2, avec des seuils démarrant à 50 employés. Effet de cascade et impact sur les tiers Une différence majeure avec le RGPD réside dans l'effet de cascade sur les fournisseurs et prestataires. Toutes les entreprises travaillant avec les entités régulées devront également se conformer à NIS 2, même si elles n'atteignent pas les seuils de taille requis. Cette approche vise à sécuriser l'ensemble de la chaîne d'approvisionnement, reconnue comme un vecteur d'attaque privilégié. Mesures et exigences techniques Les mesures s'appuient largement sur la norme ISO 27001, évitant de “réinventer la roue”. Les exigences incluent : Inventaire des actifs (retour aux fondamentaux) Gestion des ressources humaines (approche transverse) Gestion des tiers et prestataires Gestion des incidents avec critères précis de déclaration Supervision et revues régulières La directive fixe des critères quantitatifs précis pour les incidents, éliminant l'interprétation subjective. Contrairement à NIS 1 qui ne réglementait que les systèmes critiques, NIS 2 s'applique à l'ensemble du système d'information, sauf isolation prouvée des systèmes critiques. Sanctions et modèle de contrôle Les sanctions suivent le modèle RGPD : 10 millions d'euros ou 2% du chiffre d'affaires mondial pour les entités essentielles, 7 millions ou 1,4% pour les entités importantes. Le modèle de contrôle ressemble également au RGPD, avec des autorités nationales (ANSSI en France) effectuant des audits et contrôles, sans certification obligatoire prévue. Défis de transposition et accompagnement La transposition française accuse du retard, adoptée par le Sénat en mars et en cours d'examen à l'Assemblée nationale. Le projet “Résilience” transpose simultanément NIS 2, DORA et CER (Critical Entities Resilience), créant une complexité réglementaire supplémentaire. L'ANSSI privilégie l'accompagnement à la sanction, reconnaissant que de nombreuses entités découvrent la réglementation cyber. Des outils d'auto-évaluation et de suivi sont déjà disponibles pour faciliter la transition. Impact sur les différents types d'organisations Pour les grandes entreprises internationales, déjà familières avec l'ISO 27001, l'adaptation devrait être relativement aisée. La principale préoccupation concerne le “millefeuille réglementaire” et la conformité administrative. Les PME et administrations publiques, notamment les collectivités et hôpitaux, font face à des défis plus importants : manque de personnel spécialisé, budgets contraints, et cybersécurité éloignée du cœur de métier. Des initiatives de mutualisation émergent dans certains secteurs. Perspective et enjeux futurs NIS 2 représente un changement culturel majeur, intégrant la cyberattaque dans la gestion de crise standard. La philosophie du directeur de l'ANSSI résume bien l'approche : “ce n'est pas si vous allez être attaqué, mais quand”. L'objectif est la résilience - continuer à fonctionner malgré l'incident. Cette réglementation s'inscrit dans la volonté européenne d'uniformiser le marché, créant une prévisibilité similaire à celle du marché américain. Bien que la période d'adaptation puisse être inconfortable, elle devrait considérablement renforcer la résilience collective face aux cybermenaces. La réussite de NIS 2 dépendra de sa capacité à éviter la “conformité pour la conformité” et à véritablement améliorer la maturité cybersécuritaire de l'écosystème européen. Collaborateurs Nicolas-Loïc Fortin Charlotte Trudelle Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x617! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Dans ce podcast spécial Northsec, David Décary-Hétu présente une recherche fascinante sur les négociations entre groupes de ransomware et leurs victimes, basée sur l'analyse d'archives de conversations réelles accessibles publiquement sur ransomware.li. Le contexte des ransomwares modernes Les ransomwares représentent aujourd'hui la plus grande menace pour les infrastructures critiques selon le gouvernement canadien. Ces attaques ont évolué vers des stratégies multiples : chiffrement des données, exfiltration d'informations sensibles, et même la “triple extorsion” où les attaquants menacent de nouvelles attaques ou de déni de service si la rançon n'est pas payée. Cette évolution a naturellement mené à des négociations complexes entre criminels et victimes. Des attaquants bien préparés L'analyse révèle que les groupes de ransomware effectuent des recherches approfondies sur leurs cibles avant de formuler leurs demandes. Ils examinent les documents financiers volés pour connaître les soldes bancaires, les polices d'assurance cyber, et adaptent leurs exigences en conséquence. Cette approche leur permet de contrer efficacement les arguments de pauvreté des victimes en citant des chiffres précis : “À la fin du dernier trimestre, vous aviez 460 millions dans votre compte bancaire.” Cette connaissance détaillée des capacités financières des victimes leur donne un avantage considérable dans les négociations, particulièrement lorsqu'ils peuvent invoquer l'existence d'une assurance cyber en déclarant que “cela ne vous coûtera absolument rien”. Une mentalité commerciale surprenante Malgré leur préparation minutieuse, les cybercriminels adoptent une approche similaire à celle de “vendeurs de voitures usagées”, privilégiant le volume de transactions. La recherche montre qu'ils sont remarquablement flexibles sur les prix, acceptant généralement environ 50% de leur demande initiale, parfois même seulement 20%. Cette flexibilité suggère que leur modèle économique repose davantage sur la multiplication des paiements que sur l'obtention du montant maximal de chaque victime. La première leçon qui en découle est claire : ne jamais accepter la première offre et toujours négocier. L'arsenal des menaces Lorsque les victimes résistent ou prétendent disposer de sauvegardes, les attaquants déploient un éventail de menaces sophistiquées. Ils promettent de nouvelles attaques dès la restauration des systèmes, des campagnes de déni de service continues, ou encore la divulgation d'informations compromettantes aux clients et partenaires. Dans un cas particulièrement révélateur, des attaquants ont menacé de dénoncer des pratiques de délit d'initié aux autorités compétentes si leur victime vendait ses actions tout en cachant l'attaque subie. Cette approche montre une compréhension fine des enjeux réglementaires et réputationnels auxquels font face les entreprises. Des services après-vente discutables De manière quasi-commerciale, les groupes criminels promettent des “services après-vente” incluant la suppression garantie de toutes les données de leurs serveurs et, plus surprenant encore, des rapports de vulnérabilités pour aider leurs victimes à éviter de futures attaques. L'analyse révèle cependant que ces rapports sont standardisés et contiennent des recommandations basiques : ne pas cliquer sur des liens suspects, activer l'authentification à deux facteurs, maintenir les systèmes à jour. Ces conseils, bien qu'utiles, relèvent de l'hygiène cybernétique élémentaire et suggèrent que ces “services” constituent davantage un argument de vente qu'une véritable valeur ajoutée. Des exceptions géopolitiques inattendues Un aspect particulièrement intrigant concerne les considérations géopolitiques de certains groupes. Un cas documenté montre des attaquants s'excusant auprès d'une victime ayant une filiale en Arménie, considérant cette région comme faisant partie de la zone d'influence russe où ils ne souhaitent pas opérer. Ils ont même fourni gratuitement l'outil de déchiffrement avec des excuses. Cette observation soulève la question fascinante de savoir si la création stratégique de filiales dans certains pays pourrait constituer une forme de protection contre ces attaques, à l'instar des mécanismes automatiques qui détectent les claviers cyrilliques pour éviter les systèmes russes. Les stratégies défensives des victimes Du côté des victimes, plusieurs stratégies récurrentes émergent de l'analyse. La minimisation constitue l'approche la plus commune : les organisations se présentent systématiquement comme de petites entités sans moyens, même lorsqu'il s'agit d'entreprises importantes. Un centre d'hébergement pour sans-abri prétendant ne pas avoir d'argent a finalement versé 125 000 dollars de rançon. Les tentatives de création de liens personnels avec les attaquants constituent une autre stratégie fascinante, évoquant potentiellement le syndrome de Stockholm. Les victimes partagent leurs difficultés internes, décrivent des environnements de travail chaotiques, ou mentionnent les dangers personnels qu'elles acceptent de courir pour obtenir des cryptomonnaies. La temporisation représente également une tactique courante, les entreprises cherchant à gagner du temps pour évaluer leurs alternatives, comprendre l'étendue des dégâts et potentiellement restaurer leurs systèmes sans payer. Le contenu des données volées : moins spectaculaire qu'attendu L'examen du contenu réellement volé révèle une réalité souvent décevante. Contrairement aux attentes, la plupart des données divulguées consistent en documents administratifs banals, anciennes sauvegardes, et fichiers personnels d'employés sans intérêt stratégique. L'exemple du Blue Leak, impliquant 250 gigaoctets de documents de services de police, illustre cette réalité : malgré des heures d'analyse, peu d'informations véritablement compromettantes ont été identifiées, principalement des manuels de formation et des présentations statistiques. L'impact économique réel Cette recherche remet en question les statistiques alarmantes souvent citées, notamment celle affirmant que 60% des PME attaquées ferment dans l'année suivante. L'observation empirique suggère que les entreprises continuent généralement leurs opérations après une attaque, et que les consommateurs maintiennent leurs habitudes d'achat même après des violations de données majeures, comme l'illustre le cas de Home Depot. L'émergence d'une industrie de la négociation Un aspect méconnu mais crucial concerne le rôle des négociateurs professionnels, souvent mandatés par les compagnies d'assurance. Ces intermédiaires spécialisés développent des relations avec les différents groupes criminels, créant une forme d'écosystème professionnel autour de ces négociations. Cette professionnalisation soulève des questions importantes sur l'efficacité de ces services et leur impact sur les montants finalement versés, un domaine qui mériterait des recherches approfondies. Implications et enseignements Cette recherche, rendue possible par la mise à disposition publique de ces archives sur ransomware.li, offre des insights précieux pour les professionnels de la cybersécurité. Elle permet aux organisations de mieux se préparer à d'éventuelles négociations en comprenant les tactiques employées de part et d'autre. L'importance de cette recherche académique ne peut être sous-estimée car elle fournit aux défenseurs des outils concrets pour gérer ces situations critiques, alimentant ainsi la réflexion stratégique du secteur. La poursuite de ces travaux, enrichie par de nouveaux cas comme celui de LockBit récemment compromis, promet d'apporter des éclairages supplémentaires sur l'évolution de cet écosystème criminel en constante mutation, confirmant que les ransomwares demeurent une menace majeure nécessitant une vigilance et une préparation continues. Notes Nice to meet you! That will be 20 million please Davy Décary-Hétu Ransomware.live Collaborateurs Nicolas-Loïc Fortin David Décary-Hétu Crédits Montage par Intrasecure inc Locaux réels par Northsec

Parce que… c'est l'épisode 0x616! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Introduction et contexte Joey D., superviseur d'une équipe de détection au Centre canadien pour la cybersécurité du gouvernement fédéral, présente les défis majeurs auxquels fait face son organisation dans la gestion de la cybersécurité à l'échelle nationale. Lors de sa présentation à NorthSec, il a abordé un problème critique : la pollution causée par le bruit dans les systèmes de détection. Le défi du volume de données Le centre canadien traite un volume impressionnant de données : plus de 200 000 événements par seconde provenant de 167 clients (et plus), couvrant l'ensemble du territoire canadien. Cette télémétrie massive est corrélée avec un grand volume d'indicateurs de compromission provenant de diverses sources et partenariats internationaux. Si cette richesse d'informations constitue un atout considérable, elle génère également un défi majeur : le bruit. La combinaison de ces deux éléments - volume important de télémétrie et grand nombre d'indicateurs - crée une pollution informationnelle qui peut submerger les analystes. Les faux positifs et les mauvaises détections prolifèrent, risquant de masquer de véritables menaces ou de mobiliser inutilement les ressources d'analyse. L'approche de filtrage intelligent Pour résoudre ce problème, Joey et son équipe ont développé une approche basée sur l'identification et la caractérisation de ce qui est “non malicieux”. Plutôt que de simplement bloquer automatiquement les alertes, ils créent des filtres informatifs qui aident les analystes dans leur processus de triage. Cette méthode permet d'éviter les faux négatifs, où un véritable compromis pourrait être filtré par erreur. L'équipe préfère maintenir un niveau de prudence élevé. Comme l'explique Joey : “À un moment donné, nous, on n'aime pas prendre ce risque-là de manquer un vrai événement de compromission.” Les filtres automatisés sont donc principalement informatifs, bien que certains, lorsque l'équipe a une confiance élevée, puissent déclencher des actions automatisées. Le cas des administrateurs créatifs Un exemple particulièrement intéressant concerne les administrateurs système. Ces professionnels, dotés de privilèges élevés sur les réseaux, font parfois preuve d'une créativité remarquable dans l'accomplissement de leur travail. Ils peuvent utiliser des outils ou des techniques habituellement associés à des acteurs malveillants, mais dans un contexte parfaitement légitime. Cette créativité administrative pose un défi constant : comment distinguer une technique légitime d'une utilisation malveillante ? L'équipe de Joey a développé plusieurs approches pour gérer ce problème, allant de filtres très spécifiques (par exemple, tel script exécuté par tel utilisateur à telle heure) à des filtres plus génériques basés sur la compréhension des technologies. L'étude du système Delivery Optimization Joey a mené une étude approfondie du système Delivery Optimization de Microsoft, un service de partage de fichiers présent par défaut sur tous les appareils Windows depuis Windows 10. Ce système permet d'accélérer les mises à jour en utilisant un mécanisme de peer-to-peer au sein du réseau local, réduisant ainsi la bande passante utilisée vers les serveurs Microsoft. Le problème survient lorsque ce système est configuré pour partager avec des machines sur Internet plutôt que seulement sur le réseau local. Dans un contexte de télétravail, cela peut créer des connexions vers des adresses IP dans différents pays, générant des alertes suspectes pour les analystes qui voient des transferts de données importants vers des destinations potentiellement douteuses. Cette recherche illustre parfaitement l'importance de comprendre le fonctionnement normal des systèmes pour mieux détecter les anomalies. Comme le souligne Joey, peu de chercheurs en sécurité s'intéressent à ces mécanismes non malveillants, créant un angle mort dans la détection. La corrélation multi-sources Une des forces du système développé par l'équipe réside dans sa capacité à corréler différents types de télémétrie. En combinant les données réseau (NetFlow, captures de paquets) avec les données d'endpoints (EDR), ils peuvent obtenir un contexte beaucoup plus riche pour leurs analyses. Par exemple, dans le cas des “fake captchas” - ces pages web malveillantes qui demandent aux utilisateurs d'exécuter des commandes via Windows+R et Ctrl+V - la corrélation permet de faire la distinction entre une simple visite du domaine malveillant (comportement normal) et l'exécution effective de la chaîne de processus malveillante (comportement à investiguer). L'architecture de détection à plusieurs niveaux Le système développé par l'équipe fonctionne selon une architecture sophistiquée à plusieurs niveaux. Au niveau le plus bas, on trouve les “hits” - des événements détectés qui ne nécessitent pas nécessairement l'intervention humaine. Par exemple, l'exécution de la commande “ping” génère un hit, mais celui-ci n'est traité que par des algorithmes. Ces hits peuvent être “promus” en alertes lorsque des algorithmes détectent des patterns suspects - par exemple, une séquence ping-ping-ping suivie de “whoami”. À l'inverse, certaines détections génèrent directement des alertes en raison de leur gravité (comme PowerShell téléchargeant du contenu depuis Internet après l'ouverture d'un document Word). Le système inclut également des algorithmes de “démotion” qui peuvent reclasser une alerte en hit lorsqu'il s'avère qu'elle correspond à un comportement légitime d'un administrateur système connu. L'intégration des indicateurs de compromission L'intégration des feeds de threat intelligence (comme MISP) représente un défi particulier. Ces indicateurs, souvent rudimentaires, nécessitent un travail important de contextualisation. Plusieurs équipes au Centre Canadien pour la cybersécurité ajoutent systématiquement du contexte lors de l'ingestion : si un fournisseur ne livre que des adresses IP mais que tous ses indicateurs concernent des botnets, cette information contextuelle est ajoutée automatiquement. Cette approche permet aux analystes de disposer du contexte nécessaire dès le moment du triage, améliorant significativement l'efficacité du processus d'analyse. Les défis de la contextualisation La contextualisation des indicateurs présente plusieurs difficultés. Les concepts peuvent être contradictoires entre différentes sources, la temporalité joue un rôle crucial (un indicateur valide il y a deux semaines peut ne plus l'être aujourd'hui), et la géolocalisation peut être trompeuse, notamment lorsque des acteurs malveillants utilisent des routeurs compromis pour masquer leur origine réelle. L'équipe doit constamment évaluer son appétit au risque pour déterminer quels indicateurs méritent une investigation et lesquels peuvent être filtrés sans risque. Les bénéfices pour les citoyens Au-delà de la protection des infrastructures gouvernementales, le travail de l'équipe de Joey bénéficie directement aux citoyens canadiens. Grâce à un partenariat avec CIRA (l'organisme responsable du domaine .ca), les indicateurs de compromission identifiés par le centre sont intégrés au service Canadian Shield. Ce service DNS gratuit permet à tout citoyen de bénéficier de cette protection en configurant simplement son routeur domestique. Conclusion et enseignements Le travail présenté par Joey D. illustre l'importance d'investir dans la qualité des données en amont du processus de détection Plutôt que de déployer des solutions “out-of-the-box” et de s'en contenter, son équipe démontre qu'un investissement significatif dans la compréhension, la contextualisation et le filtrage intelligent des données peut transformer radicalement l'efficacité d'un SOC. L'approche développée au Centre canadien pour la cybersécurité offre un modèle inspirant pour d'autres organisations confrontées aux mêmes défis de volume et de bruit. En se concentrant sur la caractérisation du comportement normal et en développant des systèmes de corrélation sophistiqués, il devient possible de gérer efficacement des volumes de données considérables tout en maintenant un niveau de détection élevé. Cette présentation souligne également l'importance de la collaboration et du partage d'informations dans le domaine de la cybersécurité, démontrant comment le travail d'une équipe gouvernementale peut bénéficier à l'ensemble de la communauté, des grandes organisations aux citoyens individuels. Notes Le Bouclier canadien Collaborateurs Joey D. Crédits Montage par Intrasecure inc Locaux réels par Northsec

Parce que… c'est l'épisode 0x615! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Dans ce podcast approfondi, Charles Hamilton partage sa vision du red teaming moderne et de l'évolution de l'écosystème cybersécurité. L'échange révèle les complexités d'un marché en constante mutation et les défis qui touchent tant les professionnels que les organisations. Le paradoxe du red teaming moderne Hamilton souligne un phénomène fascinant : les red teamers ciblent principalement des entreprises matures en sécurité, créant un écart croissant avec la réalité des attaques criminelles. Cette sophistication forcée des équipes rouges s'explique par la nécessité de contourner des solutions de sécurité avancées pour accomplir leurs missions d'évaluation. Paradoxalement, cette expertise finit par être publique et influence les techniques des vrais attaquants, créant un cycle où les défenseurs doivent constamment s'adapter. Les véritables cybercriminels, quant à eux, privilégient l'opportunisme au détriment de la sophistication. Ils concentrent leurs efforts sur des cibles plus vulnérables, rendant leurs techniques souvent moins raffinées mais plus pragmatiques. Cette approche business-oriented explique pourquoi on retrouve encore des outils anciens comme Mimikatz dans les incidents réels, alors que les red teamers développent des techniques d'évasion complexes. L'écart entre recherche et réalité opérationnelle L'expérience d'Hamilton illustre comment les innovations du red teaming finissent par être récupérées par les attaquants réels. Il raconte l'anecdote d'un code qu'il avait publié il y a plus de dix ans et qui fut récemment réutilisé par un groupe d'attaquants, devenant soudainement une “nouvelle backdoor” aux yeux des analystes. Cette récupération démontre que les criminels puisent largement dans les ressources publiques plutôt que de développer leurs propres innovations. Cette dynamique soulève des questions importantes sur l'équilibre entre le partage de connaissances défensives et les risques d'armement involontaire des attaquants. Hamilton défend néanmoins la publication de recherches, arguant que ces techniques finiraient par être découvertes de toute façon, et que leur divulgation permet aux défenseurs de mieux se préparer. La sophistication technique face à l'efficacité pratique Un point central de la discussion concerne l'appréciation des outils techniques. Hamilton insiste sur l'importance de comprendre la complexité sous-jacente d'outils comme Mimikatz, développé par Benjamin Delpy. Cet outil, souvent perçu comme “simple” par les utilisateurs, représente en réalité des centaines d'heures de recherche sur les structures internes de Windows. Cette incompréhension de la sophistication technique conduit à une sous-estimation de la valeur des outils et des compétences nécessaires pour les développer. Il établit un parallèle avec Metasploit, framework qui a démocratisé l'exploitation de vulnérabilités. Beaucoup d'utilisateurs peuvent lancer un exploit sans comprendre sa mécanique interne, comme l'exemple historique de MS08-067, exploitation particulièrement complexe impliquant des services RPC, des buffer overflows et des techniques de contournement de protections mémoire. La collaboration entre équipes rouges et bleues Hamilton prône une approche collaborative à travers les “Detection Capability Assessment”, exercices où red teamers et blue teamers travaillent ensemble. Ces sessions permettent aux défenseurs de voir les techniques en action et de développer des règles de détection appropriées. Cette collaboration bidirectionnelle enrichit les deux parties : les red teamers comprennent mieux les traces qu'ils laissent, tandis que les blue teamers apprennent à identifier des indicateurs subtils. Cette approche collaborative reste malheureusement rare, particulièrement au Québec où les budgets cybersécurité sont plus limités. Le recours massif aux services managés crée également une opacité problématique, où l'intelligence de détection développée reste propriété du fournisseur plutôt que de l'organisation cliente. Les défis de la détection moderne La conversation aborde la transition des signatures antivirales vers la télémétrie moderne. Cette évolution, bien que techniquement supérieure, reste mal comprise par de nombreux professionnels. La télémétrie génère d'importants volumes de données qui nécessitent une analyse contextuelle sophistiquée pour identifier les activités malicieuses. Hamilton illustre ce défi avec l'exemple d'un utilisateur non-technique exécutant soudainement PowerShell et effectuant des requêtes LDAP. Individuellement, ces actions peuvent sembler bénignes, mais leur combinaison et le contexte utilisateur révèlent une activité suspecte typique d'outils comme BloodHound. Cette contextualisation reste difficile à automatiser et nécessite une compréhension fine de l'environnement organisationnel. Critique des métriques de vulnérabilité L'expert critique vivement l'utilisation systématique du système CVSS pour évaluer les risques. Dans le contexte du red teaming, une vulnérabilité “low” selon CVSS peut devenir critique si elle constitue le maillon manquant d'une chaîne d'attaque vers des actifs sensibles. Cette approche contextuelle du risque contraste avec les évaluations standardisées des tests d'intrusion traditionnels. L'exemple de Log4J illustre parfaitement cette problématique. Plutôt que de paniquer et patcher massivement, une compréhension du vecteur d'attaque aurait permis de mitiger le risque par des mesures réseau, évitant le stress des équipes pendant les vacances de Noël. L'industrie de la cybersécurité et ses travers Hamilton observe une tendance préoccupante vers la sur-médiatisation et le marketing dans la cybersécurité. Les vulnérabilités reçoivent des noms accrocheurs et des logos, les groupes d'attaquants sont “glorifiés” avec des noms évocateurs et des représentations heroïques. Cette approche marketing dilue les vrais messages techniques et crée une confusion entre communication et substance. Il dénonce également la prolifération de contenu généré par IA sur les plateformes professionnelles, particulièrement LinkedIn, qui noie les discussions techniques pertinentes sous un flot de contenu vide mais bien formaté. Cette tendance marginalise les voix techniques expertes au profit de “cyber-influenceurs” qui recyclent des concepts obsolètes. Formation et transmission des connaissances Malgré ces défis, Hamilton continue de former la prochaine génération de professionnels. Il insiste sur l'importance de comprendre les fondamentaux plutôt que d'utiliser aveuglément des outils. Cette philosophie éducative vise à créer des professionnels capables d'adaptation et d'innovation plutôt que de simples utilisateurs d'outils. Il encourage également la publication de blogs techniques, même sur des sujets déjà connus, comme moyen de développer les compétences de communication essentielles dans le domaine. La capacité à documenter et expliquer son travail s'avère aussi importante que l'expertise technique elle-même. Vers une industrie plus collaborative La conversation se conclut sur un appel à plus de collaboration et moins de compétition stérile dans l'industrie. Hamilton plaide pour des échanges constructifs entre professionnels techniques et dirigeants, entre red teamers et blue teamers, entre chercheurs et praticiens. Cette vision d'une communauté unie contraste avec la réalité actuelle d'écosystèmes cloisonnés qui peinent à communiquer efficacement. Il partage son expérience personnelle des critiques et de la toxicité parfois présente dans la communauté cybersécurité, tout en réaffirmant son engagement à partager ses connaissances et à contribuer à l'évolution positive du domaine. Son parcours, depuis les débuts dans les années 2000 jusqu'à aujourd'hui, témoigne de l'évolution rapide du secteur et de l'importance de l'adaptation continue. Cette riche discussion révèle les multiples facettes d'un domaine en constante évolution, où l'équilibre entre technique et communication, entre offensive et défensive, entre innovation et pragmatisme, définit l'efficacité des approches sécuritaires modernes. Collaborateurs Charles F. Hamilton Crédits Montage par Intrasecure inc Locaux réels par Northsec

Parce que… c'est l'épisode 0x614! Shameless plug 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Ce podcast explore les réalités et malentendus entourant l'intelligence artificielle, avec Mickael Nadeau, expert du domaine depuis plusieurs années. La discussion révèle les confusions actuelles entre les différents types d'IA et l'importance cruciale de la transparence dans cette technologie. L'expertise précoce face à la popularisation récente Mickael Nadeau travaillait déjà dans l'intelligence artificielle appliquée à la cyberdéfense en 2021, bien avant l'explosion populaire de ChatGPT. Cette expérience lui donne une perspective unique sur l'évolution du secteur. Il observe aujourd'hui que “tout le monde est rendu des experts en IA”, alors que la réalité de la compréhension technologique est bien différente. Cette popularisation soudaine a créé une situation où les termes “IA”, “machine learning” et “intelligence artificielle générative” sont constamment confondus et utilisés de manière interchangeable. La confusion terminologique généralisée L'un des problèmes majeurs identifiés est la tendance à réduire l'IA à ChatGPT ou aux chatbots génériques. Pour beaucoup, l'IA s'arrête à ces outils conversationnels, alors qu'elle englobe en réalité de nombreux segments d'algorithmes différents, conçus pour répondre à des besoins spécifiques. Cette confusion se manifeste particulièrement dans les appels d'offres gouvernementaux, où Nadeau a récemment dû répondre à des questions “sidérantes” mélageant concepts d'IA générative, de stockage de données, de métadonnées et de propriété intellectuelle. Ces questions semblent inspirées du RGPD européen, le Québec tentant de suivre cette approche réglementaire. Cependant, elles révèlent une incompréhension fondamentale des différences entre les types d'IA et leurs implications techniques. Les rédacteurs de ces documents mélangent l'entraînement des modèles, l'hébergement cloud, et les différents types d'algorithmes, créant un “amalgame” de préoccupations légitimes mais mal contextualisées. L'IA traditionnelle versus l'IA générative La distinction entre l'IA traditionnelle (machine learning classique) et l'IA générative (GenAI) est cruciale mais mal comprise. L'IA existe depuis des décennies dans nos appareils quotidiens : la prédiction de texte sur nos téléphones, les algorithmes de recommandation de Netflix, la correction automatique, ou encore les moteurs de recherche Google utilisent tous des formes d'intelligence artificielle. Ces applications sont ciblées, efficaces et consomment relativement peu d'énergie. En revanche, les grands modèles de langage (LLM) comme ChatGPT sont des outils généralistes comparables à “faire du trail avec un char de ville”. Ils peuvent produire des résultats dans de nombreux domaines, mais au prix d'une consommation énergétique massive et avec des risques d'erreurs ou d'hallucinations. Cette différence fondamentale explique pourquoi Google et Apple n'ont pas initialement développé de chatbots grand public : ils utilisaient déjà l'IA de manière spécialisée et efficace. L'évolution technologique et les capacités actuelles Ce qui a véritablement changé récemment, ce ne sont pas les algorithmes eux-mêmes, mais la puissance de calcul disponible. Les concepts statistiques sous-jacents au machine learning existent depuis des décennies. Cependant, l'accès démocratisé aux serveurs puissants, aux cartes graphiques spécialisées et aux capacités cloud a permis de traiter des volumes de données impensables il y a encore cinq ans. Cette évolution technologique a également permis l'émergence de nouveaux paradigmes, comme les MCP (Model Context Protocol), qui agissent comme des coprocesseurs spécialisés. Ces systèmes permettent de combiner plusieurs agents IA spécialisés plutôt que de s'appuyer sur un seul modèle généraliste. Cette approche modulaire, déjà utilisée par Apple et Google sur leurs téléphones, représente probablement l'avenir de l'IA pratique. Les défis de qualité et de fiabilité Un problème récurrent avec les outils d'IA générative concerne la qualité et la fiabilité des résultats. Nadeau partage des exemples frustrants de personnes envoyant des courriels clairement générés par IA, contenant des erreurs ou des “hallucinations” que l'expéditeur n'a même pas pris la peine de relire. Cette paresse révèle une confiance aveugle dangereuse envers ces outils. Pour le développement de code, les modèles généralistes produisent souvent du code non maintenable, inventent des bibliothèques inexistantes, ou créent des solutions partiellement fonctionnelles. En revanche, les modèles spécialisés comme Claude Code, entraînés spécifiquement sur du code de qualité, produisent des résultats significativement meilleurs. Cette différence illustre l'importance de choisir l'outil approprié pour chaque tâche. La question cruciale de la transparence Le défi majeur identifié par Nadeau concerne la transparence des systèmes d'IA. Contrairement aux LLM qui fonctionnent comme des “boîtes noires”, les systèmes d'IA spécialisés peuvent être conçus pour expliquer leurs décisions. Dans leur solution de cyberdéfense, ils indiquent le degré de confiance du modèle dans chaque décision et expliquent le raisonnement sous-jacent. Cette transparence devient un avantage concurrentiel majeur. Elle permet aux utilisateurs de comprendre pourquoi une décision a été prise, d'évaluer la fiabilité du résultat, et de prendre des décisions éclairées. Cette approche contraste avec la mentalité “trust me bro” de nombreuses solutions actuelles qui demandent une confiance aveugle dans leurs résultats “magiques”. Les enjeux géopolitiques et de confidentialité La discussion révèle également les préoccupations géopolitiques autour de l'IA. L'interdiction de TikTok aux États-Unis, les amendes contre ByteDance en Europe, et les questions sur l'envoi de données en Chine illustrent ces tensions. Cependant, les intervenants soulignent l'hypocrisie de ces préoccupations : les mêmes questions auraient dû être posées depuis longtemps concernant le cloud computing, les applications mobiles, et les services web en général. OpenAI a été forcé de conserver indéfiniment les conversations ChatGPT par les tribunaux américains, mais Google conserve déjà toutes nos recherches. Cette situation révèle un “réveil tardif” face à des pratiques existantes depuis des années. L'IA générative a simplement rendu visible des problématiques de confidentialité préexistantes. L'avenir : spécialisation et orchestration L'avenir de l'IA semble s'orienter vers des écosystèmes d'agents spécialisés orchestrés intelligemment. Plutôt qu'un seul modèle généraliste tentant de tout faire, nous verrons probablement des “essaims” de petits agents, chacun expert dans un domaine particulier. Cette approche, déjà visible dans les dernières versions de ChatGPT et Gemini qui intègrent des modules de recherche web, promet des résultats plus fiables et plus efficaces. Conclusion : éducation et transparence Le podcast se termine sur l'importance de l'éducation et de la transparence. La confusion actuelle autour de l'IA résulte largement d'un manque de compréhension des différentes technologies et de leurs implications. Les consommateurs, régulateurs, et entreprises doivent développer une meilleure compréhension de ces outils pour les utiliser efficacement et en toute sécurité. La transparence devient non seulement un impératif éthique mais aussi un avantage concurrentiel. Les entreprises capables d'expliquer clairement le fonctionnement de leurs systèmes d'IA, leurs limites, et leurs garanties de confidentialité auront un avantage significatif dans un marché de plus en plus méfiant face aux “boîtes noires” technologiques. Cette évolution vers plus de transparence et de spécialisation pourrait finalement résoudre de nombreux problèmes actuels de l'IA, tout en réalisant son véritable potentiel dans des applications pratiques et fiables. Collaborateurs Mickael Nadeau Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c'est l'épisode 0x613! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Ce podcast présente le témoignage d'Antoine Vacher, auditeur technique chez Cyblex Consulting, qui partage son retour d'expérience sur ses premières missions d'intrusion physique. Cette discussion révèle les défis, apprentissages et méthodologies d'un professionnel de la cybersécurité découvrant un nouveau domaine d'expertise. Contexte et approche initiale Antoine Vacher travaille comme pentester dans une petite société française de cybersécurité. Lorsqu'un client manifeste son intérêt pour une mission d'intrusion physique, l'équipe décide de se lancer malgré leur manque d'expérience dans ce domaine. Cette transparence avec le client constitue un élément clé de leur approche : ils informent clairement qu'il s'agit de leur première expérience tout en exprimant leur motivation à relever ce défi. Première mission : société de développement monétique La première mission concerne une entreprise de développement de systèmes monétiques répartie sur deux bâtiments. Les objectifs sont clairement définis et géographiquement précis : accéder à différents étages, prendre un café au troisième étage, visiter le bureau du directeur, accéder aux salles serveurs, passer un appel depuis un téléphone interne et évaluer la possibilité de vol de modules HSM (Hardware Security Modules). Phase de reconnaissance et préparation L'équipe commence par une phase d'OSINT (Open Source Intelligence) pour collecter des informations utiles. Ils recherchent des noms d'employés, des événements, des marques d'équipements informatiques ou de machines à café, toute information pouvant servir de prétexte pour justifier leur présence. Bien que cette recherche ne produise pas énormément de résultats exploitables, ils parviennent à identifier et vérifier la présence en ligne du facility manager, information qu'ils comptent utiliser. Première approche : reconnaissance nocturne et tentative matinale L'équipe adopte une approche en deux phases. La première consiste en une reconnaissance nocturne pour évaluer la sécurité physique des bâtiments. Ils découvrent que la barrière de sortie du parking est cassée en position ouverte, facilitant l'accès véhiculaire. Cependant, toutes les portes et fenêtres sont correctement sécurisées. Le lendemain matin, ils exploitent une particularité architecturale : un des bâtiments appartient entièrement au client, mais un étage est loué à une société tierce. En sonnant à cette société sous prétexte de livraison, ils obtiennent un accès immédiat au bâtiment sans argumentation. Une fois à l'intérieur, ils découvrent qu'ils peuvent accéder aux cages d'escalier grâce aux normes de sécurité incendie, et qu'une porte d'étage n'est pas correctement verrouillée. Cette intrusion leur permet de valider plusieurs objectifs : photographier des HSM abandonnés, passer un appel au donneur d'ordre depuis un téléphone interne. Pour accéder à un autre étage, ils utilisent l'ingénierie sociale en tapant à une vitre séparant la cage d'escalier d'une salle de pause. Un employé leur ouvre après qu'ils aient inventé une histoire de mesures WiFi. Deuxième approche : professionnalisation du prétexte Sur le second bâtiment, l'équipe se fait remarquer et décide de reporter l'intrusion. Pour la deuxième tentative, ils développent un scénario plus élaboré en exploitant le passé professionnel d'un collègue, ancien ingénieur en acoustique. Équipés de véritables micromètres de mesure sonore, ils se présentent à l'accueil comme une équipe de mesures acoustiques mandatée par le facility manager. Cette approche s'avère remarquablement efficace. La réceptionniste leur délivre des badges temporaires sans vérification préalable, révélant un défaut procédural majeur. Quand elle tente de contacter le facility manager, celui-ci ne répond pas comme convenu, et elle s'absente pour le chercher, leur laissant le champ libre. L'expertise technique du collègue ajoute une crédibilité naturelle à leur couverture. Pendant qu'il effectue de véritables mesures acoustiques dans chaque bureau, Antoine note fictement les résultats. Cette méthode leur permet d'accéder systématiquement à tous les espaces, y compris un bureau gérant les badges où Antoine parvient à subtiliser des badges (qui s'avéreront malheureusement désactivés). Pour la salle serveur, ils demandent simplement à un employé de leur ouvrir l'accès pour effectuer des mesures, requête qui est satisfaite sans difficulté. Cependant, leur succès trouve ses limites quand un employé plus vigilant vérifie effectivement auprès du facility manager, mettant fin à leur mission sur cet étage. Deuxième mission : structures publiques départementales La seconde mission concerne des bâtiments publics : les archives départementales et un centre de solidarité avec PMI (Protection Maternelle et Infantile). Les objectifs sont plus larges, incluant une dimension informatique légère avec l'accès à une session utilisateur et l'installation d'un C2 (Command and Control). Reconnaissance dans les espaces publics L'équipe commence par une reconnaissance dans les zones accessibles au public. Un collègue visite la PMI en prétextant chercher des informations sur les modes de garde pour sa femme enceinte. Cette visite révèle une information cruciale : l'imprimante est en panne. Parallèlement, la visite des toilettes (décrite comme “la base” en reconnaissance) permet de découvrir une salle technique contenant des équipements réseau non sécurisée. Exploitation de l'information collectée Antoine exploite l'information sur l'imprimante défaillante en appelant l'accueil en se faisant passer pour le service technique départemental. Non seulement il obtient un rendez-vous, mais la réceptionniste lui propose spontanément de venir le lundi matin pendant la fermeture au public, facilitant considérablement leur mission. Le jour J, l'accès se déroule sans encombre. Antoine demande à la réceptionniste d'ouvrir sa session informatique et de lui prêter son badge, requêtes satisfaites sans questionnement. Cette complaisance permet de valider immédiatement les objectifs informatiques : accès session et installation du C2 sans résistance du système de sécurité. Pour justifier leur déplacement dans le bâtiment, ils utilisent des antennes WiFi basiques, prétextant effectuer des mesures de qualité réseau. Cette couverture leur permet d'explorer l'intégralité des locaux sans être questionnés, découvrant une seconde salle technique non sécurisée. Enseignements et apprentissages Variabilité des réactions humaines L'expérience révèle la grande diversité des réactions humaines face aux intrus. Certaines personnes ouvrent immédiatement sans poser de questions, d'autres appliquent spontanément des procédures de vérification inexistantes mais efficaces. Cette variabilité suggère qu'une approche patiente, avec plusieurs tentatives à différents moments et avec différentes personnes, peut surmonter les refus initiaux. Importance du prétexte et de la crédibilité La différence d'efficacité entre les approches improvisées et préparées est frappante. L'expertise technique réelle du collègue en acoustique apporte une crédibilité naturelle impossible à simuler par de simples recherches internet. Cette expérience souligne l'importance de s'appuyer sur de véritables compétences techniques pour construire des scénarios crédibles. Exploitation des informations collectées Les missions démontrent l'importance de la phase de collecte d'informations, même apparemment anodines. L'information sur l'imprimante en panne, recueillie lors d'une visite publique légitime, devient le pilier d'une intrusion réussie. Cette approche illustre comment transformer des détails opérationnels en opportunités d'accès. Défaillances procédurales systémiques Les missions révèlent des défaillances procédurales récurrentes : délivrance de badges sans vérification, absence de procédures claires pour les employés face à des visiteurs suspects, complaisance excessive des personnels. Ces failles suggèrent que les problèmes de sécurité physique relèvent souvent plus de l'organisation que de la technologie. Aspects légaux et déontologiques Antoine insiste sur l'importance du cadre légal et déontologique. Chaque mission nécessite des autorisations formelles, une notification aux forces de l'ordre, et les auditeurs portent une lettre de mission attestant de la légitimité de leur présence. Le donneur d'ordre doit être disponible pour confirmation en cas de contrôle. Cette approche professionnelle protège à la fois les auditeurs et les organisations testées. Communication des résultats Les rapports adoptent une approche narrative, racontant chronologiquement le déroulement des intrusions avec photos à l'appui. Cette méthode, qualifiée “d'article de magazine”, permet aux clients de comprendre concrètement les techniques utilisées et les failles exploitées. Les recommandations portent sur la sensibilisation, la définition de procédures claires, et l'adaptation des mesures de sécurité physique aux menaces réelles. Réception par les clients Les réactions clients varient selon leur niveau de conscience préalable des vulnérabilités. Le premier client, bien que déçu, n'était pas surpris par certaines défaillances. Le département public montrait plus d'inquiétude concernant l'accès aux archives sensibles, mais restait pessimiste sur la sécurité de la PMI. Recommandations pour les futurs praticiens Antoine encourage la prise de risque mesurée et l'exploration de nouveaux domaines, tout en insistant sur la transparence avec les clients concernant le niveau d'expertise. Il souligne l'importance de l'honnêteté professionnelle : mieux vaut avouer son manque d'expérience que de se présenter faussement comme expert. L'expérience démontre qu'un niveau d'expertise modeste peut suffire à révéler des vulnérabilités significatives. Si des novices parviennent à atteindre leurs objectifs, cela révèle un niveau de sécurité préoccupant nécessitant des améliorations. Cette expérience illustre parfaitement comment aborder un nouveau domaine professionnel avec méthode, transparence et éthique, tout en tirant des enseignements précieux pour l'amélioration continue de la cybersécurité organisationnelle. Collaborateurs Nicolas-Loïc Fortin Antoine Vacher Crédits Montage par Intrasecure inc Locaux réels par BreWskey Pub

Parce que… c'est l'épisode 0x612! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Dans cet épisode, l'animateur reçoit Simon Du Perron, avocat spécialisé en protection de la vie privée, pour analyser deux projets de loi majeurs du gouvernement : C-2 et C-8. Ces projets législatifs, qualifiés de « massifs », ont des implications significatives sur la protection des renseignements personnels au Canada. Le projet de loi C-2 : un régime de surveillance élargi Le projet de loi C-2, officiellement intitulé « Loi concernant certaines mesures liées à la sécurité de la frontière entre le Canada et les États-Unis et d'autres mesures connexes liées à la sécurité », constitue un projet omnibus de 140 pages modifiant près de 20 lois fédérales. Présenté par le ministre de la sécurité publique, ce projet va bien au-delà des simples enjeux frontaliers. Modifications au code criminel La partie 14 de C-2 modifie le code criminel pour accorder aux agents de la paix des pouvoirs élargis d'accès aux données. Cette modification est particulièrement préoccupante car elle s'applique de manière générale à travers le Canada. Les agents peuvent désormais ordonner aux fournisseurs de services électroniques de divulguer des métadonnées sur leurs utilisateurs sans mandat préalable, incluant l'identifiant du client, ses numéros de compte, le type de service fourni, la période d'utilisation et les informations sur les dispositifs utilisés. Cette approche contraste avec la jurisprudence récente de la Cour suprême, notamment l'affaire Bicovette, qui avait établi qu'un mandat était nécessaire pour obtenir des adresses IP. Le projet C-2 semble vouloir contourner cette protection judiciaire en facilitant l'accès aux données par les forces de l'ordre. Le régime d'accès légal La partie 15 crée un cadre juridique pour l'accès légal (« legal access »), obligeant les fournisseurs de services électroniques à maintenir des capacités techniques permettant aux autorités d'accéder aux informations demandées. Cette obligation va jusqu'à créer un pouvoir ministériel d'ordonner par décrets contraignants la mise en place de mesures spécifiques, avec des sanctions pécuniaires pouvant atteindre 250 000 dollars. La définition de « fournisseur de services électroniques » est particulièrement large, englobant essentiellement tout service permettant de mettre à disposition des informations par un moyen technologique. Paradoxalement, la loi crée une distinction entre les fournisseurs canadiens et étrangers : pour ces derniers, une autorisation judiciaire reste nécessaire, créant une situation où il est plus facile d'accéder aux données d'un fournisseur canadien qu'américain. Autres modifications préoccupantes Le projet modifie également la Loi sur la Société canadienne des postes, réduisant la protection du contenu des transmissions postales en ajoutant une exception « sauf en conformité avec une loi fédérale ». Cette modification pourrait permettre l'application des nouvelles dispositions du code criminel aux services postaux. Une modification à la Loi sur le recyclage des produits de la criminalité permet aux institutions financières de recueillir et utiliser des renseignements personnels sans consentement s'ils proviennent d'une autorité policière, dans le but de lutter contre le blanchiment d'argent et le financement terroriste. Le projet de loi C-8 : renaissance de C-26 Le projet C-8 reprend presque intégralement l'ancien projet C-26, qui n'avait pas pu être adopté lors de la législature précédente en raison d'un problème de traduction. Ce projet vise à sécuriser les systèmes de télécommunications et les infrastructures critiques. Modifications à la loi sur les télécommunications La première partie modifie la Loi sur les télécommunications pour inclure « la promotion de la sécurité du système canadien de télécommunication » dans ses objets. Elle confère au ministre de l'Industrie le pouvoir d'interdire aux télécommunicateurs d'utiliser certains produits ou services, ou d'imposer des mesures de sécurité spécifiques, sans indemnisation en cas de pertes financières. La loi sur la protection des cybersystèmes essentiels La seconde partie crée une nouvelle loi visant les secteurs critiques : télécommunications, pipelines et lignes électriques, énergie nucléaire, système bancaire, et transport de compétence fédérale. Les organisations de ces secteurs devront adopter un programme de cybersécurité, notifier les incidents au Centre de la sécurité des télécommunications dans les 90 jours, et se conformer aux directives gouvernementales. Cette approche s'inspire du règlement européen NIS 2, créant un régime de cybersécurité robuste pour les infrastructures essentielles. Les incidents de cybersécurité qui affectent la confidentialité, l'intégrité ou la disponibilité de l'information devront être signalés, créant potentiellement une double obligation de notification pour les incidents touchant aussi la vie privée. Préoccupations et enjeux constitutionnels Inspiration américaine problématique Les deux projets s'inspirent fortement du modèle américain, particulièrement du FISA (Foreign Intelligence Surveillance Act). Cette approche soulève des inquiétudes quant à la création d'un système de surveillance de masse similaire à celui des États-Unis, mais appliqué aux données de citoyens canadiens plutôt qu'aux données d'étrangers. La facilité d'accès aux métadonnées pourrait mener à la constitution de bases de données gouvernementales permettant des requêtes systématiques, transformant l'État en « courtier de données criminel ». Cette évolution vers un modèle de surveillance étatique accrue préoccupe les défenseurs de la vie privée. Absence de contrepouvoirs Contrairement à d'autres juridictions qui mettent en place des mécanismes de surveillance spécifiques pour encadrer de nouveaux pouvoirs, C-2 s'en remet principalement aux tribunaux pour baliser l'usage des nouvelles dispositions. Cette approche réactive plutôt que préventive laisse une large marge de manœuvre aux forces de l'ordre. Questions constitutionnelles Le projet C-2 présente la particularité de ne pas contenir de disposition d'objets claire, contrairement à la pratique habituelle des projets de loi fédéraux qui cherchent à ancrer leur compétence constitutionnelle. Cette omission pourrait poser des défis d'interprétation judiciaire. Processus parlementaire et perspectives Le gouvernement conservateur semble pressé de faire adopter ces mesures. C-2 est actuellement en deuxième lecture tandis que C-8 est en première lecture. Tous deux relevant du ministre de la sécurité publique, ils seront probablement étudiés par le même comité parlementaire, ce qui pourrait ralentir leur progression. L'adoption de ces projets marquerait un tournant significatif dans l'équilibre entre sécurité et vie privée au Canada. Ils reflètent une volonté gouvernementale de s'aligner sur les demandes américaines en matière de sécurité frontalière, tout en modernisant les outils d'enquête face à la multiplication des plateformes numériques. Les audiences publiques et l'étude détaillée en comité seront cruciales pour évaluer l'impact réel de ces mesures sur les droits fondamentaux des Canadiens. La communauté juridique et les défenseurs de la vie privée devront être particulièrement vigilants face à ces transformations majeures du paysage législatif canadien en matière de surveillance et de cybersécurité. Collaborateurs Nicolas-Loïc Fortin Simon Du Perron Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm