PolySécure Podcast

Nicolas-Loïc Fortin et tous les collaborateurs

Podcast francophone sur la cybersécurité. Pour professionels et curieux.

  1. Jun 25

    Teknik - Sold to the highest bidder - the escalation of ADINT from geolocation tracking to intrusion vector (nsec)

    Parce que… c’est l’épisode 0x311! Shameless plug 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Introduction Cet épisode spécial, enregistré à Montréal lors de la conférence NorthSec, réunit Coline Chavane et Maxime Arquillière, venus de France présenter leur recherche sur l’ADINT (advertisement-based intelligence). Leur équipe CTI, spécialisée dans le suivi des fournisseurs privés de logiciels espions (spyware) et membre de l’initiative Pall contre les abus de ces technologies, a identifié cette tendance émergente en cherchant à documenter les nouveaux vecteurs d’intrusion utilisés par ces entreprises, au-delà des exploits « zero-click » déjà connus (comme ceux exposés par Citizen Lab ou Amnesty International sur WhatsApp). Comment fonctionne la publicité en ligne Coline explique le mécanisme du real-time bidding : en moins de 100 millisecondes, chaque fois qu’un espace publicitaire s’affiche dans une application, un système d’enchères se déclenche. Les données de l’utilisateur (type d’appareil, identifiant publicitaire mobile, centres d’intérêt) sont transmises à de multiples annonceurs qui enchérissent pour diffuser leur publicité. Fait crucial : même les annonceurs qui perdent l’enchère reçoivent ces données, sans qu’aucun contrôle ne soit possible sur leur usage ultérieur. Cet identifiant publicitaire mobile (MAID), censé être pseudo-anonymisé, permet en réalité un suivi cross-plateforme très précis, exploitable à grande échelle pour désanonymiser les individus. Maxime souligne que ce système est mondialement fragmenté par des cadres légaux disparates (RGPD en Europe basé sur l’opt-in, régimes opt-out ailleurs), créant des zones grises que certaines entreprises exploitent. Les trois catégories d’ADINT Les intervenants ont catégorisé les usages détournés de ces données en trois types : ADINT passif : collecte massive de données publicitaires (directement ou via des data brokers) pour établir des profils. Exemple donné : identifier les employés d’un site sensible (agence de renseignement, site de défense) en observant les téléphones qui s’y rendent quotidiennement, puis recouper avec leur domicile et leurs fréquentations pour du profilage. ADINT actif : au lieu d’observer passivement, l’acteur configure une alerte déclenchée dès qu’un identifiant mobile spécifique participe à une enchère publicitaire dans un périmètre donné, permettant un suivi quasi temps réel d’une cible précise. Ces données sont ensuite revendues à des gouvernements, forces de police ou entreprises privées. ADINT offensif : le plus préoccupant, il utilise le processus d’enchère lui-même comme vecteur d’intrusion, en délivrant une publicité vérolée à une cible spécifique pour compromettre son appareil. Documenté notamment par Amnesty International dans les dossiers Intellexa, ce vecteur « stratégique » complète les vecteurs « tactiques » nécessitant une proximité physique. Un écosystème sophistiqué et concentré Maxime explique que cette diversification des vecteurs d’intrusion est stratégiquement vitale pour les fournisseurs de spyware, surtout après la condamnation de NSO Group aux États-Unis lui interdisant de cibler WhatsApp — une décision qui menace la viabilité économique d’entreprises dépendantes d’un vecteur unique. Fait notable révélé par Recorded Future : au sein du consortium lié à Intellexa figure une entreprise publicitaire propriétaire d’un SSP (plateforme utilisée par les éditeurs d’applications), directement intégrée au processus d’enchères. Cela confirme que l’ADINT offensif reste réservé à des acteurs sophistiqués et bien financés, souvent israéliens ou américains, employant d’anciens membres de services de renseignement en cyberintrusion. Ces sociétés se déploient notamment en Asie, marché en expansion, comme l’ont découvert Coline et Maxime via des brochures commerciales trouvées en source ouverte — notamment celles de la société « Patterns », qui vante la désanonymisation à partir d’un simple numéro de téléphone. Usages à grande échelle et actualité Interrogés sur des attaques plus larges que le ciblage individuel, les invités distinguent l’ADINT du malvertising (opportuniste et large). Ils citent toutefois un cas documenté en Syrie (2015-2016) où le ciblage publicitaire a servi à comptabiliser et suivre les déplacements de réfugiés fuyant une zone de guerre. Plus actuel : aux États-Unis, l’agence ICE figure parmi les clients confirmés de solutions incluant des capacités ADINT — une utilisation désormais assumée publiquement, contrairement à des pratiques plus discrètes par le passé. Protections limitées pour les utilisateurs Coline note que certaines initiatives existent côté fabricants (comme le Lockdown Mode d’Apple, limitant les permissions de suivi GPS), mais que les utilisateurs disposent de peu de moyens concrets au-delà de l’hygiène numérique de base (refus des cookies, etc.) pour se protéger de ce profilage à grande échelle. Conclusion Cette recherche met en lumière un angle mort de la surveillance numérique : un écosystème publicitaire légitime, mondial et extrêmement efficace pour capter des données comportementales, détourné par une industrie grise et bien financée à des fins de renseignement, de profilage et, dans les cas les plus sophistiqués, d’intrusion informatique ciblée. Notes Sold to the highest bidder - the escalation of ADINT from geolocation tracking to intrusion vector Collaborateurs Nicolas-Loïc Fortin Maxime Arquillière Coline Chavane Crédits Montage par Intrasecure inc Locaux réels par Northsec

    33 min
  2. Jun 24

    Teknik - Cryptographie distribuée - la clé de la souveraineté quantique (Cybereco)

    Parce que… c’est l’épisode 0x310! Shameless plug 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Dans cet épisode spécial de la série Cybereco, l’animateur Nicolas reçoit Florian Le Mouël, doctorant à Polytechnique travaillant depuis cinq ans avec Kelvin Zero sur la cryptographie distribuée, et Thierry St-Jacques-Gagnon. La discussion porte sur un concept encore peu répandu mais prometteur : la cryptographie à seuil (threshold cryptography), une alternative à la cryptographie conventionnelle où une seule clé protège l’ensemble des données. Le principe de base Plutôt que de reposer sur une clé unique, la cryptographie distribuée découpe la clé en plusieurs fragments répartis entre différents acteurs. Un seuil (par exemple deux fragments sur trois) suffit pour reconstituer la capacité de déchiffrer ou signer des données, sans qu’il soit nécessaire de disposer de tous les morceaux. Cette redondance offre une résilience accrue en cas de perte d’un fragment et facilite les mécanismes de récupération. Mathématiquement, le système s’appuie sur des polynômes. Avec un seuil de deux clés, on utilise un polynôme de degré 1, c’est-à-dire une ligne : un seul point ne permet pas de retrouver la ligne (une infinité de droites peut passer par ce point), mais deux points suffisent à la déterminer de façon unique. Cette propriété se généralise à des degrés supérieurs, permettant de distribuer autant de points que souhaité tout en fixant le nombre minimal nécessaire à la reconstruction. Cas d’usage principaux Le cas le plus fréquent évoqué est le stockage de données chez des fournisseurs infonuagiques étrangers. Dans un contexte géopolitique où plusieurs organisations cherchent à réduire leur dépendance envers des acteurs comme Microsoft, Amazon ou Google, la cryptographie à seuil permet de conserver les avantages de ces plateformes (puissance de calcul, redondance géographique) tout en limitant les risques liés à la souveraineté des données, sans devoir développer des compétiteurs locaux à court terme. Un second cas concerne les équipements IoT ou industriels, souvent limités en stockage et en puissance de calcul, où la gestion classique de clés prépartagées pose un problème logistique et de sécurité au moment des rotations. La cryptographie à seuil permet d’abaisser le niveau de risque toléré sur l’équipement lui-même, puisqu’une opération sensible nécessitera toujours la combinaison avec des fragments gérés dans des environnements plus sécurisés, comme des HSM en centre de données. Fonctionnement opérationnel Chaque acteur impliqué (par exemple le fournisseur cloud, l’utilisateur, un administrateur) détient un fragment de clé, appelé « point » sur la ligne ou le polynôme. Point essentiel : la génération de la clé doit elle-même être un processus distribué, afin qu’aucun acteur ne puisse créer la clé complète puis prétendre n’en avoir conservé qu’un fragment. Chaque participant génère sa propre part de façon isolée, en utilisant des preuves à divulgation nulle de connaissance (zero-knowledge), ce qui ancre le modèle dans une logique de confiance zéro : même un acteur malveillant ne peut ni obtenir le résultat final seul, ni empêcher les autres d’y parvenir, sauf en cas de collusion majoritaire (atteinte du quorum contre l’utilisateur). Lors d’une requête, le fournisseur applique d’abord son propre « masque » sur les données chiffrées, une opération réversible qui ne révèle jamais le contenu en clair de son côté. Les données, toujours chiffrées, sont ensuite transmises au demandeur, qui applique à son tour son propre fragment. Une fois le quorum atteint, les données apparaissent en clair uniquement du côté du dernier participant, sans qu’aucun acteur n’ait eu accès au contenu déchiffré à un moment intermédiaire. Ce mécanisme assure une protection à la fois au repos et en transit, indépendamment de protocoles comme TLS. La propriété homomorphique L’un des éléments les plus originaux du système est le caractère homomorphique appliqué aux clés (et non aux données, comme c’est plus souvent le cas). Cela permet d’effectuer des opérations mathématiques sur les fragments sans jamais reconstituer la clé complète, notamment pour mettre à jour un quorum (changer le nombre de participants requis ou remplacer un participant) sans avoir à déchiffrer et rechiffrer l’ensemble des données. Cette flexibilité facilite grandement la gestion du cycle de vie des clés, un enjeu particulièrement coûteux en cryptographie classique. Configurations observées chez les clients Les configurations les plus courantes en pratique sont de type « 2 de 3 » ou « 3 de 5 ». Des cas plus complexes existent, comme des systèmes de gouvernance d’entreprise avec des seuils variables selon le type de ressource (par exemple 8 de 15), mais cela implique une gestion plus lourde des autorisations. Pour des cas d’usage asymétriques, comme les signatures sur blockchain, les paramètres peuvent grimper à plusieurs centaines de participants. Le système permet également une récursivité : un fragment peut lui-même être repartagé en sous-quorum, une technique utile notamment pour la gestion des sauvegardes. Vers la post-quantique Les invités soulignent que ce modèle décentralisé est particulièrement pertinent dans la perspective d’une migration vers la cryptographie post-quantique, puisque les protocoles d’échange de clés symétriques actuels seront vulnérables aux attaques quantiques. Le NIST (l’organisme américain de certification) vient justement de lancer son tout premier appel à candidatures pour des schémas de cryptographie à seuil. Kelvin Zero prépare une soumission qui se distinguerait en proposant un schéma hybride combinant cryptographie classique et post-quantique — une première québécoise et canadienne dans ce domaine encore very jeune. Collaborateurs Nicolas-Loïc Fortin Florian Le Mouël Thierry St-Jacques-Gagnon Crédits Montage par Intrasecure inc Locaux réels par Cybereco

    36 min
  3. Jun 23

    Spécial - Cybersécurité, sureté, risque dans un grand groupe

    Parce que… c’est l’épisode 0x30F! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Collaborateurs Nicolas-Loïc Fortin [Pascal Manni] Crédits Montage par Intrasecure inc Locaux réels par [BANQ] upe industriel aéronautique. Pascal possède plus de 15 ans d’expérience au sein d’Airbus, dont une dizaine d’années en France et huit ans en Chine en sécurité numérique, avant de rejoindre le Canada en 2018 et d’occuper le poste de RSSI depuis environ trois ans. Contexte : l’acquisition et le choc culturel Airbus, qui compte environ 150 000 employés dans le monde, a racheté le programme C Series (devenu l’A220) en 2016. Cette acquisition a créé un choc de paradigme entre la culture de gouvernance européenne, très structurée en matière de sécurité, et l’environnement canadien qui devait s’y adapter. Pascal a été la première personne à instaurer cette culture du rôle de RSSI au Canada, un poste alors mal compris dans l’organisation. Les quatre piliers du programme A220 Pascal identifie quatre grands domaines sur lesquels repose la sûreté du programme A220 : la partie industrielle et la chaîne d’approvisionnement, le produit lui-même (soumis aux exigences réglementaires de l’aviation, comme celles de Transport Canada ou de l’OACI), la partie numérique (données et systèmes informatiques), et enfin les personnes et les espaces de travail (menaces liées aux acteurs malveillants). Le rôle du RSSI consiste à s’assurer que ces quatre piliers sont adéquatement maîtrisés, en s’appuyant notamment sur une cartographie des risques. Un enjeu central évoqué est celui du vocabulaire : Airbus a développé un langage commun et une taxonomie propre, permettant d’uniformiser la communication à travers toutes ses divisions (avions, hélicoptères, espace, services), et de dialoguer efficacement avec les multiples régulateurs (français, canadiens, américains, européens) dans un environnement extrêmement encadré, renforcé par les nouvelles normes cyber européennes. La méthodologie EBIOS RM Le cœur de l’échange porte sur la méthode d’analyse de risque utilisée par Airbus : EBIOS RM, développée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) en France. Cette approche, organisée en cinq ateliers, permet d’adapter le niveau de détail selon la maturité et les besoins du secteur d’affaires concerné. Atelier 1 définit le périmètre (scope), la mission concernée, ainsi que les « biens métier » et « biens support ». Une analyse de conformité (basée sur le NIST, adapté au vocabulaire d’Airbus) permet d’attribuer des notes de A à D, donnant au secteur d’affaires une première vision de sa posture de sécurité. Atelier 2 identifie les « sources de risque », c’est-à-dire les acteurs malveillants potentiels (groupes criminels, États, employés mécontents) et leurs motivations, ce qui permet de prioriser les contrôles à mettre en place. Atelier 3 croise stratégiquement les sources de risque avec les biens à protéger, en modélisant simplement comment une attaque pourrait perturber une mission. Ce niveau s’adresse à un public exécutif. Atelier 4 descend au niveau opérationnel, en précisant les mesures concrètes (par exemple isoler physiquement un serveur plutôt que de se fier uniquement à des solutions numériques comme un antivirus). Atelier 5 conclut par un plan de traitement des risques, positionné sur une matrice impact/probabilité, avec un suivi continu et une réévaluation périodique. Pascal souligne que cette démarche implique fortement le secteur d’affaires (le « business ») dès le départ, le RSSI agissant comme traducteur entre les exigences d’ingénierie, réglementaires et de sécurité. La spécificité aéronautique La discussion aborde aussi la dimension unique de l’aéronautique : contrairement à d’autres industries, la sûreté d’un produit comme l’A220 continue d’exister bien après sa livraison, à travers la maintenance, les mises à jour et une relation contractuelle et réglementaire continue entre Airbus et les opérateurs aériens. Une analogie est faite avec le transport par autocar, où la sécurité ne se limite pas au véhicule mais concerne l’ensemble de l’écosystème (aéroports, restauration, maintenance, peinture, etc.), chaque maillon pouvant avoir des conséquences dramatiques. La chaîne d’approvisionnement, angle mort fréquent Un thème récurrent est la gestion des risques liés aux fournisseurs, de plus en plus ciblés par les attaquants puisque les grandes entreprises comme Airbus sont mieux protégées. Chaque contrat de service inclut désormais des annexes de sécurité, avec des questionnaires de conformité et des audits réguliers. Pascal raconte que de nombreux fournisseurs, surtout les petites entités locales sans expérience préalable de ce type d’exigences, réagissent d’abord en pensant ne pas être concernés puisqu’ils ne sont pas directement connectés aux systèmes d’Airbus. Il doit alors jouer un rôle pédagogique pour expliquer que leur capacité de production, même non numérique, peut mettre en péril toute la chaîne. Il observe aussi que les fournisseurs européens, plus habitués à ce type de rigueur réglementaire, aident souvent leurs homologues nord-américains à s’y retrouver. Gestion des vulnérabilités, incidents et tableaux de bord Les deux derniers piliers du rôle de RSSI — la gestion des vulnérabilités et la gestion des incidents — sont étroitement liés aux évaluations de risque. La détection d’une vulnérabilité déclenche un travail de priorisation et de remédiation, tandis qu’un incident est transmis aux équipes spécialisées (CERT, SOC) puis vient réalimenter le cycle d’analyse de risque. Enfin, Pascal évoque l’importance des tableaux de bord partagés avec les niveaux exécutifs, à condition que les indicateurs soient suffisamment matures et fiables — un chantier encore en construction pour un programme relativement jeune comme celui d’Airbus Canada. Collaborateurs Nicolas-Loïc Fortin Pascal Manni Crédits Montage par Intrasecure inc Locaux réels par [BANQ]

    46 min
  4. Jun 22

    Actu - 21 juin 2026

    Parce que… c’est l’épisode 0x30E! Préambule C’est difficile la vie d’aéroport. Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Export control WTF ‘Dangerous’ AI Models Are Coming No Matter What Cybersecurity experts don’t think Anthropic’s Fable 5 presents a unique threat A quote from Matteo Wong, The Atlantic The Fable 5 Export Controls Harm US Cyber Defense Cybersecurity Vets Protest ‘Dangerous’ US Government Ban On Anthropic’s Most Powerful Models Feds freaked over Fable 5 after simple ‘fix this code’ prompt, not jailbreak, says researcher From PGP to Mythos: a brief history of export controls that didn’t stop anyone The US government’s Anthropic models ban was never about an AI jailbreak Critical Copilot vulnerability allowed hackers to steal 2FA code from users “Important You should give me full credits!”: Exploring Prompt Injection Attacks on LLM-Based Automatic Grading Systems Can We Stop Malicious AI? KILLBENCH: A Benchmark for External AI Kill Switch Feasibility RAG prompt injection protection Evaluating LLMs for Obfuscation Detection and Classification in Android Apps Security Engineering of OpenClaw: Analyzing Attack Surface Expansion and Trust-Boundary Violations Snyk VulnBench JS 1.0: Can LLMs Find the Same Bugs Twice? Every AI Agent Is an Identity. Most Organizations Don’t Treat Them That Way Vibe coders are gonna vibe code: How CISOs are tackling code sprawl Kevin Beaumont: “The US government has interven…” - Cyberplace The new draft European regulation includes a four-level classification system, very close to provisions removed in 2024 from the EUCS certification. La guerre, la guerre, c’est pas une raison pour se faire mal! Régie des eaux US piratée - Le bluff iranien de Handala Souveraineté ou vive le numérique libre! From Distorted Mirrors to Sovereign Reflections: Resisting the Grotesque Depiction of Our Digital Selves US holds off blacklisting China’s DeepSeek, more than 100 firms deemed security risks, sources say Privacy ou cachez ces informations que je ne saurais voir Apple is about to make Hide My Email useless France to stop certifying products without quantum-safe encryption I am the law C’est la faute des enfants UK to ban social media for kids under 16, may impose overnight curfews Children Are Not the Enemy: Child-Fit Security as an Alternative to Bans and Surveillance UK set to announce social media ban for under-16s From Australia to Europe, countries move to curb children’s social media access Norway imposes near ban on AI in elementary school The UK’s Teen Social Media Ban Is Political Theater, Not Child Safety Policy Ô Canada Canada’s Digital Super-Regulator: Bill C-36 Pushes Out the Privacy Commissioner and Hands Private Sector Privacy to an Overloaded Commission Midnight Madness: The Government Rushes Lawful Access Bill Through the House Without Debate or a Recorded Vote The Commission: How Bill C-34 Creates an Internet Super-Regulator That Will Touch the Lives of Millions of Canadians Red ou tout ce qui est brisé Massive breach spills credentials for thousands of sensitive networks FortiBleed — 75k Fortinet firewalls have admin passwords cracked The Internet Runs on Names India temporarily blocks Telegram over medical exam cheating fears Telegram admits it couldn’t police exam-leak channels, India tells court 27-Year-Old OpenBSD Vulnerability Allows Attackers to Bypass PAP Authentication Entirely Microsoft Confirms Defender RoguePlanet 0-Day Exploit and Working to Release Patch New iPhone BootROM Vulnerability Exposes Apple SoCs to Full Chain-of-Trust Compromise When Does a Threat Intelligence IOC Expire? Most CISOs Report Pressure to Bury Bad Security News Stressors, AI Forcing Changes to Cybersecurity Teams I discovered a large-scale malware distribution on GitHub Microsoft Discovers Cryptocurrency Stealer That Spreads Through USB Drives and Uses Tor Crooks found a new way to collaborate using Teams – by hiding command-and-control traffic Cyber offenses now account for around a third of all crime across Asia and South Pacific Microsoft site throwing warnings after someone forgot to renew cert Blue ou tout ce qui améliore notre posture [curl summer of bliss daniel.haxx.se](https://daniel.haxx.se/blog/2026/06/15/curl-summer-of-bliss/) Divers ou parce que j’ai aucune idée où les placer AMD FTW Users cry foul after AMD stripped memory crypto from its consumer CPUs AMD will reinstate memory encryption on Ryzen 9000 CPUs through a BIOS update in July — TSME is coming back after ‘valuable community feedback’ Cabal How the Peter Thiel-Linked Dialog Club Secretly Ranks Its Members Leak Exposes Members of Peter Thiel’s Secretive ‘Dialog’ Society Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par YUL

    26 min
  5. Jun 18

    Teknik - Panel nsec 2026

    Parce que… c’est l’épisode 0x30D! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Résumé du panel Polysécure — nsec 2026 Présentation des panélistes Cet épisode spécial du podcast Polysécure réunit cinq invités aux profils variés : François Labrèche, principal data scientist chez Sophos travaillant avec le machine learning et les LLM dans un contexte XDR; François Proulx, VP recherche en sécurité chez Boost Security, spécialisé dans l’exploitation des build pipelines et la chaîne d’approvisionnement logiciel; Charles F. Hamilton, qui fait du red team chez Cyber; Christian Paquin, développeur cryptographique chez Microsoft Research; et Philippe Pépos Petitclerc, étudiant au doctorat et fondateur d’une petite compagnie de pentest, amateur de CTF. Le « Magic AI » et le phénomène Mythos La discussion s’ouvre sur l’éléphant dans la pièce : l’intelligence artificielle. Le sujet central est Mythos, présenté comme une démonstration marketing spectaculaire qui a semé la panique dans le milieu de la cybersécurité. Les panélistes s’entendent toutefois pour relativiser : ce modèle n’est pas fondamentalement plus dangereux que les autres. Labrèche rappelle qu’en tant que data scientist côtoyant les LLM chaque semaine, il observe une amélioration continue. Les travaux de Nicolas Carlini (Anthropic) montraient déjà des vulnérabilités trouvées dans le kernel Linux avant Mythos. Le succès de Mythos tiendrait surtout à son bon nom, plus effrayant que « vulnerability scanning ». Plusieurs nuances sont apportées sur le cas BSD choisi pour la démonstration : ce système représente moins de 1 % du marché, donc son code est peu analysé et offre peu de surface d’attaque intéressante. De plus, la vulnérabilité « découverte » serait en réalité déjà connue (un correctif raté de 2007) et présente dans les données d’entraînement. L’attaquant dans l’équation Un point récurrent : on oublie souvent l’attaquant dans l’équation. Pépos Petitclerc, ayant analysé les attaques sur son blog, constate des comportements « brain dead » — des attaquants peu qualifiés qui dépensent des tokens pour n’aller nulle part. Proulx, early adopter du vulnerability research par LLM depuis 2022, insiste sur le principe garbage in, garbage out : la qualité du prompt et l’expertise humaine font toute la différence. Les vulnérabilités récentes dans Linux ont d’ailleurs été trouvées par des humains extrêmement compétents (l’exemple de Copy-on-write/Splice est cité), pas par des agents autonomes. Le coût constitue un frein majeur : peu d’attaquants peuvent se permettre de dépenser 20 000 $ pour une vulnérabilité sans valeur réelle. Trouver une vulnérabilité ne signifie pas qu’elle soit exploitable en pratique, ni qu’on puisse la patcher plus vite — le problème du patching demeure (référence au drama MITRE/NVD de l’année précédente). La question du volume et de la visibilité Labrèche observe que les alertes clients n’ont pas explosé depuis trois mois, ce qui contredit la rhétorique d’une démocratisation massive des attaques. Les panélistes déboulonnent aussi le mythe des agents « autonomes » dotés d’une volonté propre : ces systèmes sont inertes sans humain pour les diriger. Une métaphore des fourmis illustre toutefois le danger : même inefficaces, des milliers de tentatives en parallèle finiront par faire tomber des cibles. Le vrai problème reste la visibilité réseau, inchangé depuis dix ans. Dette technique et nouvelles surfaces d’attaque Les LLM introduisent aussi des vulnérabilités. Proulx évoque des attaques de supply chain où du code généré est exploité quelques heures après son merge, et critique la prolifération de micro-librairies npm non maintenues (proposition humoristique de « tuer JavaScript »). Pépos Petitclerc signale une tendance : des secrets d’application Azure leakés sur GitHub, reconnaissables à leur signature (emojis, Unicode), avec 124 000 commits du type « remove client secret ». Le bandwidth humain pour réviser tout ce code généré devient le plus grand risque. L’écosystème criminel et la curiosité Une longue digression porte sur le disconnect entre l’industrie et les attaquants. Les criminels sont opportunistes : pourquoi dépenser des tokens quand le spray gratuit fonctionne ? Fait savoureux, les forums criminels eux-mêmes se plaignent du slop généré par les LLM. Deux « criminels » de la salle (clins d’œil humoristiques) racontent leurs débuts : cabines téléphoniques trafiquées, cartes d’arcade éditées en hexadécimal, disquettes de Doom copiées. Le message : tout part de la curiosité, et la ligne grise de la légalité est ce qui a mené plusieurs vers la défense des systèmes. On rappelle aussi que dans certains pays défavorisés, le cybercrime est une option de survie, parfois sous forme de travail forcé industrialisé — ce qui explique en partie l’absence d’explosion des attaques sophistiquées. Conclusion Le panel se termine sur des questions ouvertes : génère-t-on de la dette technologique trop vite pour pouvoir la corriger (réponse : oui, aucune chance de patcher à cette vitesse)? La rareté des vulnérabilités forcerait les attaquants vers des chemins connus, plus détectables, tout en augmentant la valeur des zero-days et de la main-d’œuvre hautement spécialisée. L’exemple de Metasploit illustre comment un outil peut rendre triviale une exploitation complexe, érodant l’expertise. Sur une analogie finale — une vulnérabilité non découverte fait-elle du bruit? — l’animateur clôt la discussion. Collaborateurs Nicolas-Loïc Fortin François Labrèche François Proulx Charles F. Hamilton Christian Paquin Philippe Pépos Petitclerc Crédits Montage par Intrasecure inc Locaux réels par Northsec

    51 min
  6. Jun 17

    Spécial - L'IA au service de la cybersécurité - de l'optimisation à la transformation (Cybereco)

    Parce que… c’est l’épisode 0x30C! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Dans cet épisode, je reçois Samuel Bonneau, venu présenter Cybereco la transformation profonde que son entreprise — une société de développement logiciel établie depuis quinze ans, qui intègre l’intelligence artificielle depuis huit ans — a opérée au cours de la dernière année. Contrairement à plusieurs entreprises qui se contentent d’un discours marketing autour de l’IA, l’organisation a réellement transformé ses façons de faire en profondeur. D’un objectif de 50 % à un changement de mentalité radical L’histoire débute par un objectif ambitieux fixé aux employés : devenir 50 % plus performants grâce à l’IA, sur une période d’un an. Plusieurs équipes ont dépassé largement cette cible en cours de route, ce qui a mené l’entreprise à revoir entièrement son approche. Samuel illustre ce changement par une analogie automobile : viser 50 % plus de vitesse revient à accélérer davantage avec le même véhicule, alors que viser une multiplication par dix ou vingt force à repenser entièrement le moyen de transport. C’est ce changement de paradigme — un mindset de croissance exponentielle plutôt qu’incrémentale — que l’entreprise a adopté, en parallèle de l’arrivée de modèles et d’outils de codage de plus en plus performants, dont Claude Code, qui a rapidement surpassé les outils utilisés jusque-là. Cette transformation ne s’est pas limitée aux équipes techniques : les ressources humaines, la finance et le reste du back-office ont aussi été intégrés, développant leurs propres flux de travail avec des agents, des compétences (skills) partagées entre équipes, et même de nouveaux outils et plateformes internes. Samuel souligne que la petite taille de l’équipe administrative et une culture d’innovation déjà bien ancrée ont facilité cette adoption, réalisée sur une période de trois à six mois pour la cinquantaine de personnes moins familières avec ces outils. Une urgence stratégique et des risques émergents Samuel explique que ce virage n’était pas optionnel : dans un domaine où l’IA évolue très rapidement, ne pas adopter ces outils aurait signifié perdre en pertinence face à des concurrents capables de développer plus vite et à moindre coût. Ce sentiment d’urgence (« do or die ») a guidé les décisions de l’entreprise. Or, cette accélération massive amène son lot de défis en cybersécurité. Les employés développant leurs propres agents et automatisations utilisent souvent leurs propres identifiants, ce qui peut devenir dangereux si ces agents ne sont pas correctement encadrés. Samuel cite l’exemple de la sandboxing des agents codeurs, un besoin pour lequel peu de solutions matures existaient sur le marché — l’outil le plus prometteur, Nvidia Open Shell, étant encore en préalpha, ce qui illustre bien le décalage entre la rapidité de l’innovation en IA et la maturité des outils de protection. Une plateforme cybersécurité développée à l’interne Face à ce constat, l’équipe a bâti sa propre plateforme de cybersécurité, intégrée à un robot Slack déjà utilisé pour les demandes liées à la sécurité. Cette plateforme analyse automatiquement les demandes d’utilisation d’outils ou de compétences (skills) externes, attribue des scores de risque et permet d’approuver ou de rejeter les requêtes. Plutôt que de gérer cela à travers du code traditionnel, l’équipe travaille désormais par spécifications : il suffit de modifier les spécifications fonctionnelles pour que le système se régénère avec les nouvelles règles, par exemple en ajoutant un critère lié à la localisation des données. L’élément le plus distinctif de cette plateforme est sa capacité à puiser dans toute la documentation interne d’un projet client — transcriptions de réunions, documents de conception, échanges — afin de déterminer automatiquement le niveau de criticité, les enjeux de disponibilité et les risques associés à un système avant même son développement. Cette information alimente ensuite la génération de spécifications de sécurité sur mesure, adaptées au contexte d’affaires réel du client plutôt qu’à des standards génériques. Encadrer les agents : god rails et supervision Une partie importante de l’entretien porte sur la façon de limiter les comportements destructeurs que pourraient avoir des agents autonomes. Samuel explique que chaque agent développé par l’entreprise comporte une douzaine de composantes, dont des mécanismes de garde-fous (« god rails ») qui valident que son comportement reste dans les limites prévues. Il illustre cela avec l’exemple d’un agent d’intégration des nouveaux employés (onboarding), qui ne doit jamais pouvoir exécuter des actions de désactivation de comptes (offboarding), même s’il possède techniquement les droits nécessaires pour créer des comptes. Un agent superviseur additionnel surveille les actions des agents opérationnels pour détecter et bloquer tout comportement anormal. Cette approche de décomposition en agents très spécialisés, plutôt qu’en un seul agent polyvalent, réduit non seulement les risques d’erreurs ou d’hallucinations liées à une fenêtre de contexte trop chargée, mais permet aussi de réduire les coûts en tokens en choisissant des modèles adaptés à la complexité réelle de chaque tâche. Choix des modèles et expertise interne L’entreprise s’appuie sur une équipe d’une quarantaine de spécialistes en IA, plusieurs détenant un doctorat, qui combinent rigueur scientifique et application concrète (programmation, entraînement et ajustement de modèles). Leur rôle a évolué : alors qu’ils entraînaient autrefois des modèles sur des infrastructures dédiées, ils se concentrent aujourd’hui davantage sur le choix du modèle optimal selon le contexte, qu’il soit local ou hébergé via une API externe, agissant essentiellement comme un routeur intelligent entre différents modèles de langage. Vers la commercialisation et les prochains défis Développée depuis janvier, la plateforme interne sert déjà à la fois à protéger l’entreprise et à soutenir des contrats clients de longue durée. Samuel évoque un potentiel de commercialisation, possiblement sous forme de produit en mode SaaS, déjà testé auprès de grands clients déployant des systèmes agentiques complexes. En clôture, Samuel partage sa vision des prochains défis : l’arrivée de robots humanoïdes en milieu industriel, déjà amorcée chez certains clients, qui posera de nouveaux enjeux de sécurité et de sûreté (safety) lorsque ces robots, connectés à des systèmes intelligents, devront être encadrés pour éviter des actions dangereuses. L’entreprise prévoit relancer une division spécialisée pour anticiper cette vague, prévue dans un horizon de deux à cinq ans. Collaborateurs Nicolas-Loïc Fortin Samuel Bonneau Crédits Montage par Intrasecure inc Locaux réels par Cybereco

    33 min
  7. Jun 16

    Le marché dérégulé selon Cyber Citoyen et Polysécure

    Parce que… c’est l’épisode 0x30B! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Dans cette 17e collaboration entre les balados Cyber Citoyen et Polysécure, Catherine anime la discussion avec Sam et Nicolas autour de quatre grands thèmes : la surveillance étatique en Russie, les abus du système de surveillance routière Flock, une étude sur les noms de domaine malveillants et le couplage de cette tendance avec le phishing, et enfin une anecdote sur les véhicules de livraison Amazon. Le système Sorm en Russie Sam ouvre l’épisode en présentant le Sorm, un système russe de surveillance des communications téléphoniques et internet datant de 1995. Conçu au départ pour donner au FSB un accès direct aux infrastructures téléphoniques, il a été étendu en 1998 aux fournisseurs d’accès internet, puis intensifié autour des Jeux olympiques de Sochi sous prétexte sécuritaire. Les fournisseurs doivent installer cet équipement à leurs propres frais, ce qui pousse les petits opérateurs à résister, sous peine d’amendes ou de retrait de licence pendant dix ans. Le système permet désormais des recherches par mots-clés et centralise des données extrêmement sensibles : adresses, passeports, coordonnées bancaires, géolocalisation, adresses IP et courriels. Les intervenants soulignent le parallèle avec les pratiques américaines révélées par Snowden, et notent que cette intensification coïncide avec le mécontentement intérieur lié à la guerre en Ukraine. La discussion s’élargit aux blocages d’internet ailleurs (Iran, listes blanches), à la conférence SplinterNet sur la fragmentation du réseau mondial, puis à des tendances similaires dans les démocraties occidentales (Chat Control en Europe, le projet de loi C-2 au Canada, les lois britanniques), illustrant que l’identification obligatoire (numéros de téléphone, cartes SIM, interdiction des téléphones jetables aux États-Unis) n’est pas l’apanage des régimes autoritaires. Nicolas évoque aussi son expérience personnelle en Corée du Sud, où l’identité est systématiquement liée aux services numériques. Le segment se conclut sur l’inquiétude que cette centralisation des données personnelles russes constitue elle-même une cible de choix pour des puissances rivales, et sur le constat plus large d’une incompréhension généralisée des conséquences à long terme de ces choix technologiques. Les dérives du système Flock Nicolas revient ensuite sur Flock, le système de reconnaissance de plaques d’immatriculation, déjà abordé dans un épisode précédent. Grâce au site DeFlock, des citoyens ont découvert que leur plaque avait été recherchée des centaines de fois sans justification : un cas où un policier avait consulté la plaque d’une victime plus de cent fois, et un chef de police pris à espionner sa propre conjointe. La réponse de l’entreprise Flock, qui se targue de transparence plutôt que de reconnaître le problème, est jugée particulièrement maladroite, surtout après la révélation qu’une quarantaine de nouveaux cas d’abus ont été recensés en un seul mois. Les animateurs saluent le rôle du journalisme d’enquête (notamment celui de 404 Media) dans la mise en lumière de ces dérives, et comparent l’absence de garde-fous chez Flock aux systèmes d’alerte automatique utilisés dans les réseaux hospitaliers ou les agences gouvernementales, où une consultation anormale d’un dossier déclenche immédiatement une enquête. Le débat se conclut sur la question de savoir si cette absence de contrôle relève de l’incompétence ou d’un choix délibéré de ne pas investir dans la prévention des abus. Noms de domaine, phishing et marché de la fraude Sam présente ensuite une étude d’Interisle sur les noms de domaine enregistrés en 2025 : sur 85 millions de domaines créés, 8,5 millions ont fini bloqués pour usage frauduleux, soit un plancher d’environ 10 %, probablement plus proche de 15 à 20 % en réalité. Cinq bureaux d’enregistrement concentrent la moitié des domaines bloqués, l’un d’eux affichant un taux de 88 %, souvent via l’enregistrement automatisé en masse de domaines à très bas coût. Le groupe critique l’approche du rapport, trop centrée sur l’autorégulation du marché, alors qu’aucun mécanisme structurel n’empêche ces registraires de continuer leurs pratiques. L’exemple belge du CCB, qui bloque au niveau national les domaines jugés dangereux, est cité comme une approche plus efficace, comparable à une mesure de santé publique. La conversation aborde aussi la difficulté d’agir à l’échelle internationale, faute de coordination entre les autorités américaines et européennes. En lien avec ce sujet, Sam note une diminution du volume des attaques de phishing de 20 % en 2024 et 2025, non pas parce que la menace recule, mais parce que les attaquants privilégient désormais des campagnes plus sophistiquées et ciblées plutôt que des envois massifs peu rentables, une tendance facilitée par les outils d’intelligence artificielle générative. L’anecdote des camionnettes Amazon et la question de l’authenticité Le dernier sujet porte sur une mise à jour logicielle des camions de livraison Amazon qui coupe la climatisation après seulement trente secondes d’inactivité, exposant les chauffeurs à des chaleurs dangereuses, notamment au Texas. La réponse officielle d’Amazon, qui présente cette mesure comme un gain de confort et d’autonomie de batterie, est tournée en dérision par les animateurs, qui y voient un exemple typique d’absence d’accountability corporative. Cette anecdote sert de tremplin à une réflexion plus large sur le manque d’authenticité des communications d’entreprise contemporaines, illustrée par le retrait du slogan « Don’t Be Evil » chez Google, et une brève mention du manifeste controversé du dirigeant de Palantir, sujet que le groupe prévoit de traiter dans un épisode futur dédié. Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    1h 2m
  8. Jun 15

    Actu - 14 juin 2026

    Parce que… c’est l’épisode 0x30A! Préambule Expérimentation avec une nouvelle approche d’enregistrer en itinérance. Le son n’est pas idéal, mais pas trop loin de l’objectif. Un nouvel essai aura lieu le 21 juin, où j’améliorerai l’approche pour atteindre une qualité suffisante en limitant la quantité de choses que j’apporte lorsque je suis en voyage. Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Fable ou fiction Claude Fable 5 Doesn’t Change the Mythos Security Story Anthropic says these topics are too dangerous to let its Fable 5 model talk about Cybersecurity researchers aren’t happy about the guardrails on Anthropic’s Fable Il était une fois… l’export control ou la fable de l’accès universel Statement on the US government directive to suspend access to Fable 5 and Mythos 5 \ Anthropic Anthropic’s Claude Fable 5 Alleged Jailbreak to Generate Stack Exploits Anthropic shuts down Fable, Mythos models following Trump admin directive Our response to the US ban on Fable 5 and Mythos 5 How Amazon and the White House ended Anthropic’s Fable US ban on Anthropic’s Fable 5 and Mythos 5 has ‘Amazon link’: Researchers from Amazon used a series of prompts to … Tech Things: There is a massive shadow hanging over this Fable thing Lawsuit: ChatGPT validated suicidal woman’s distrust of crisis lines Zcash - Une IA déniche en 24h une faille vieille de 4 ans Extracting Recurring Vulnerabilities from Black-Box LLM-Generated Software Friend or Foe? Language as an ideological switch in open-weight LLMs under Russian disinformation stress AI Code Sandboxes: A Comparative Security Study Part 1 of 2 — Engine-Level Properties (Attack Surface, Leakage, Stackability, CVE History, Patch Cadence, Fuzzing) Sample-Efficient LLM-Based Detection of Malicious Web Server Logs with Forensically Explainable Reasoning SecureClaw: Clawing Back Control of LLM Agents Security Risks of Apple’s AI Changing Your Passwords Blame AI: Patch Tuesday Hits Record 206 CVEs Un ver informatique qui raisonne tout seul China-linked operators revive botnet, stir AI datacenter debate Are Frontier LLMs Ready for Cybersecurity? Evidence for Vertical Foundation Models from Dual-Mode Vulnerability Benchmarks Bypassing Prompt Guards in Production with Controlled-Release Prompting Mind your key: An Empirical Study of LLM API Credential Leakage in iOS Apps GenAI Is Both Hunter and Hunted at Pwn2Own Berlin 2026 La guerre, la guerre, c’est pas une raison pour se faire mal! Iran Signed a Ceasefire — Its Hackers Didn’t The Strange Defeat of Nuclear Deterrence Souveraineté ou vive le numérique libre! Digital Sovereignty Becomes An Imperative As the US Reads Dutch Emails All the Ways Europe Is Ditching American Technology Euro-Office 1.0 Arrives To Open-Source Infighting: ‘Compatibility Is Not Sovereignty’ Infineon to Open German Chip Fab as Part of EU Sovereignty Push AI Sovereignty: A Qualitative Model of Strategic Competition as AI Becomes an Instrument of National Power Canada: Artificial Intelligence as a Pillar of Digital Sovereignty - INCYBER NEWS Kevin Beaumont: “I’m on year 3 of trying to con…” - Cyberplace Germany 🇩🇪 https://social.bund.de https://social.schleswig-holstein.de Frankrijk 🇫🇷 https://social.numerique.gouv.fr Netherlands 🇳🇱 https://social.overheid.nl https://social.amsterdam.nl EU 🇪🇺 https://ec.social-network.europa.eu https://curia.social-network.europa.eu https://social.edps.europa.eu Block-A-Mole: The Sustainability Frontier of Moving-Target Censorship Resistance Privacy ou cachez ces informations que je ne saurais voir Souveraineté for the fail Over 73,000 French govt employees affected in Tchap messenger breach France Tchap Hack Undermines Its Encryption Crackdown Signal: UK’s child-nude-block threat won’t protect children Meta Deletes Face-Recognition System From Its Smart Glasses App After WIRED Report FCC Wants to Kill Burner Phones By Forcing Telecoms to Get All Customers’ IDs Flock Leaked Cops’ License Plate Searches via DuckDuckGo, Bing Expanding Private Cloud Compute - Apple Security Research I am the law FISA for the Fail House rejects last-ditch FISA extension ahead of Friday deadline Trump Risks Key Surveillance Authority Over ‘Unqualified’ Spy-Chief Pick Controversial FISA spying law expires tonight. The spying will continue. WhatsApp Catches Spyware Firm NSO Defying No-Hacking Court Order No tech rule exemption for Apple, EU regulators say amid spat over Siri AI delay Ottawa moves to restrict social media for kids under 16 Grok Is Still Hosting Sexualized Deepfakes of Famous Women US, France, and Italian authorities shut down massive deepfake porn site Red ou tout ce qui est brisé Cauchemar de l’éclipse Locked in heated rivalry with researcher, Microsoft fixes 0-day they disclosed Nightmare Eclipse publishes new Windows Defender zero-day Nightmare Eclipse drops claimed BitLocker bypass for Microsoft Windows Microsoft fixes BitLocker recovery bug on Windows Server 2025 GreatXML - BitLocker contourné en quelques clics via WinRE The architecture of the internet creates risks for democracy GitHub nukes 70+ Microsoft repos amid suspected worm attack Security Analysis of LTE Connectivity in Connected Cars: A Case Study of Tesla Faille kernel Linux - Un seul caractère et vous voilà root Arch Linux Now Believes Malware Incident Under Control: More Than 1,500 Affected Packages Blue ou tout ce qui améliore notre posture Experts say we should use passkeys, but can a smartphone PIN really be safer than a password? Signal Alums Reveal ‘Encrypted Spaces,’ a System for Making Private Collaboration Apps CISA Requires Federal Agencies to Patch Critical Vulnerabilities Within 3 Days Divers ou parce que j’ai aucune idée où les placer Yoti does not report GrapheneOS users to the authorities Des listes de cybercriminels à télécharger Can’t Stop the Signal. Poison It. Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Club Med La Caravelle

    48 min

Ratings & Reviews

4.6
out of 5
8 Ratings

About

Podcast francophone sur la cybersécurité. Pour professionels et curieux.

You Might Also Like