PolySécure Podcast

Nicolas-Loïc Fortin et tous les collaborateurs

Podcast francophone sur la cybersécurité. Pour professionels et curieux.

  1. 5D AGO

    Spécial - Retour sur Google Next 2026

    Parce que… c’est l’épisode 0x2FD! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Collaborateurs Nicolas-Loïc Fortin Nicolas Bédard Crédits Montage par Intrasecure inc Locaux réels par Nicolas Bédard

    25 min

  2. 6D AGO

    Teknik - État de la menace en 2026

    Parce que… c’est l’épisode 0x2FC! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Collaborateurs Nicolas-Loïc Fortin Charles F. Hamilton Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

    47 min

  3. MAY 19

    Ah ben Flock! Selon Cyber Citoyen et Polysecure.

    Parce que… c’est l’épisode 0x2FB! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Le Honduras Gate : ingérence américaine et israélienne en Amérique latine Sam Harper ouvre l’épisode avec le Honduras Gate, une série de fuites de conversations Telegram et téléphoniques publiées par un collectif anonyme de journalistes honduriens. Ces révélations exposent un plan visant à remettre au pouvoir l’ancien président Juan Orlando Hernández, condamné à des décennies de prison pour trafic de drogue sous l’administration Biden, puis gracié par Donald Trump. La campagne de lobbying derrière ce pardon implique Roger Stone, vétéran des coups bas politiques américains depuis l’ère Nixon, ainsi que Benjamin Netanyahu, qui aurait contribué au financement logistique. Les fuites révèlent également des négociations pour le retour au pays d’Hernández et l’installation, en échange, d’une base militaire américaine au Honduras, la création de zones économiques spéciales — sortes de « charter cities » libertariennes où les lois nationales ne s’appliqueraient pas — et des conditions favorables aux investissements technologiques, notamment en intelligence artificielle. Plus troublant encore, les documents montrent qu’environ 350 000 dollars auraient été versés par le président argentin Javier Milei pour constituer une équipe médiatique financée en partie par des fonds publics, destinée à mener des campagnes de désinformation contre les gouvernements de gauche en Colombie et au Mexique. Sam souligne que les journalistes à l’origine des publications ont signalé des attaques informatiques massives contre leur site, avec des requêtes provenant principalement des États-Unis et de Tel-Aviv. Ce qui rend ce dossier particulièrement intéressant, note-t-il, c’est qu’on y voit les États-Unis directement impliqués dans des opérations d’influence, un renversement de la dynamique habituelle où l’on pointe du doigt la Russie, la Chine ou l’Iran. Flock : la surveillance municipale hors de contrôle Catherine enchaîne avec un sujet qui lui tient particulièrement à cœur : les caméras de surveillance Flock. Ce système, capable de se connecter à pratiquement n’importe quelle caméra reliée à internet et doté d’outils d’intelligence artificielle, est utilisé par de nombreuses municipalités, principalement aux États-Unis. Les scandales s’accumulent autour de cette technologie. Des policiers s’en sont servis pour traquer des ex-conjointes via les plaques d’immatriculation. L’organisme ICE l’a utilisé pour des contrôles d’immigration ciblés. Plus inquiétant encore, un vice-président de Flock a été identifié en train d’accéder aux caméras d’un gymnase d’école secondaire, officiellement dans le cadre d’une démonstration de vente, ce que les trois animateurs trouvent profondément troublant. Le système souffre d’un manque criant d’imputabilité : personne n’audite réellement qui accède à quoi. Catherine rappelle le fiasco publicitaire de Flock lors du Super Bowl, quand l’entreprise avait annoncé un partenariat avec Amazon Ring pour retrouver les chiens perdus grâce à la reconnaissance par IA dans les caméras de sonnettes des quartiers résidentiels. Le tollé public a été tel que le partenariat a été entièrement annulé. Ce rejet populaire est encourageant, selon Catherine, qui insiste sur le pouvoir citoyen au niveau municipal. Elle exhorte les auditeurs à s’impliquer dans les conseils d’arrondissement, à refuser ces technologies de surveillance et à interpeller leurs élus locaux, car c’est à cette échelle que ces décisions se prennent souvent, devant une poignée de citoyens seulement. Le séparatisme albertain : quand Russes, Américains et Hollandais se donnent la main Sam présente ensuite un rapport de DisinfoWatch sur les campagnes de désinformation ciblant le mouvement séparatiste albertain. Le phénomène réunit des acteurs improbables. D’abord, une entité liée à l’ancien Institut d’étude de l’internet de Prigogine, qui opérait un site web et des comptes sur les réseaux sociaux promouvant la séparation de l’Alberta. Ensuite, le réseau médiatique russe autour de Pravda, qui publiait des articles gonflant la popularité du mouvement. Puis des influenceurs MAGA comme Tucker Carlson, Tim Pool et Benny Johnson — ces deux derniers ayant d’ailleurs été impliqués dans le scandale Tenet Media, un conduit pour de l’argent russe vers des influenceurs américains. Enfin, des individus aux Pays-Bas qui produisaient du contenu sensationnaliste sur le séparatisme albertain uniquement pour générer des revenus publicitaires, selon le même modèle que les « fake news » macédoniennes. Un fil conducteur : manipulation, radicalisation et économie de l’attention Tout au long de l’épisode, les trois animateurs tissent des liens entre ces sujets. Catherine introduit le concept de la fenêtre d’Overton pour expliquer comment des discours autrefois inacceptables se normalisent progressivement, et celui de la longue traîne, emprunté au marketing, pour décrire les mécanismes de radicalisation algorithmique : on commence par un intérêt anodin et, d’incrémentation en incrémentation, les algorithmes nous poussent vers des contenus de plus en plus extrêmes parce que les niches sont rentables. Nicolas-Loïc fait le parallèle avec l’intelligence artificielle, qui tend au contraire à ramener les utilisateurs vers un « centre » défini par les données d’entraînement, tout en étant vulnérable à la manipulation — Sam cite d’ailleurs une étude montrant que les points de discussion pro-russes sur la guerre en Ukraine ont doublé dans les réponses de certains modèles d’IA. L’épisode se conclut sur un appel à l’action citoyenne. Catherine rappelle que le pouvoir d’influence ne s’exerce pas uniquement lors des élections fédérales ou provinciales : les décisions municipales, souvent prises devant des salles quasi vides, ont un impact direct sur la vie privée et la surveillance au quotidien. Comme le résume Nicolas-Loïc, les citoyens disposent encore d’un pouvoir considérable pour façonner la société dans laquelle ils veulent vivre — à condition de l’exercer. Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    1h 21m

  4. MAY 18

    Actu - 17 mai 2026

    Parce que… c’est l’épisode 0x2FA! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Mythos ou le mythe qui ne veut pas mourrir Rival Research — Mythos ‘Discovered’ a CVE Already in Its Training Data - and That’s Still Worrying Anthropic’s bug-hunting Mythos was greatest marketing stunt ever, says cURL creator Japan’s PM orders cybersecurity review to defend against Anthropic Mythos “Too Dangerous to Release” — Or Just Too Expensive? The Real Reason Anthropic Is Hiding Its Most Powerful AI - Kingy AI Mythos, l’IA d’Anthropic, aide à percer le kernel d’un Mac M5 en cinq jours Is there a doctor in this AI plane Your doctor’s AI notetaker may be making things up, Ontario audit finds “Will I be OK?” Teen died after ChatGPT pushed deadly mix of drugs, lawsuit says Viber for style Security Incentivization: An Empirical Study of how Micropayments Impact Code Security The Boring Stuff is Dangerous Now Reading code instead of writing code: The underestimated senior discipline Linux Kernel Adds Documentation For What Qualifies As A Security Bug, Responsible AI Use Hallucination pour les nuls Fake OpenAI Privacy Filter Repo Hits #1 on Hugging Face, Draws 244K Downloads How AI Hallucinations Are Creating Real Security Risks Microsoft Research Shows AI Can Generate Realistic Command Lines and Process Telemetry Massive blackhole AI-powered hacking has exploded into industrial-scale threat, Google says Google neutralise la première cyber-attaque massive générée par une IA Hackers Use AI for Exploit Development, Attack Automation Why Agentic AI Is Security’s Next Blind Spot Hugging Face Packages Weaponized With a Single File Tweak Can LLM Agents Simulate Dynamic Networks? A Case Study on Email Networks with Phishing Synthesis AI models are getting better at replacing cybersecurity pros on certain tasks Claude Opus 4.7 and Threat Modeling La guerre, la guerre, c’est pas une raison pour se faire mal! Iran Is Using Tiny ‘Mosquito’ Boats to Shut Down the Strait of Hormuz Souveraineté ou vive le numérique libre! FCC pushes ban on security updates for foreign-made routers, drones to 2029 [EU Cloud Comparison European Cloud Feature Matrix](https://eualternative.eu/eu-cloud-comparison/) Privacy ou cachez ces informations que je ne saurais voir C-22 Canada’s Bill C-22 Is a Repackaged Version of Last Year’s Surveillance Nightmare Canada Says Critics Don’t Understand Its Surveillance Bill Google account registration now requires sending an SMS via phone instead of receiving an SMS myAudi permettaient de localiser un véhicule à partir de son code VIN Texas sues Netflix over alleged data practices that create ‘surveillance machinery’ without user consent I am the law Sony’s failed war against Internet piracy may doom other copyright lawsuits EU to crack down on TikTok, Instagram ‘addictive design’ hooking kids Red ou tout ce qui est brisé La faille du jour BrianKrebs: “We’ve come to an icky time in …” - Infosec Exchange Mullvad - Votre clé WireGuard vous trahit malgré le VPN Fragnesia - Une nouvelle faille Linux dans la lignée de Dirty Frag Une faille permet d’ouvrir un disque BitLocker avec quelques fichiers sur une clé USB Une faille présente depuis 18 ans découverte dans nginx, le serveur qui fait tourner un tiers du web After Stumbling From CVE To CVE Will Linux Get A Kill Switch? Old is new again Device Code Phishing is an Evolution in Identity Takeover Microsoft backpedals: Edge to stop loading passwords into memory Usurpatate GitHub commit spoofing - Quand n’importe qui peut être Linus How I Defeat Passkeys Nearly Every Time To gain root access, intruder just had to ask Taiwan’s train cyber-trauma reveals a global system that’s coming off the tracks Robots chiens Unitree - La backdoor que personne ne corrige Thousands of DICOM servers exposed due to shameful lack of basic security measures Vos câbles fibre optique peuvent servir à vous espionner, et ça marche très bien Hacking Hard Drive Firmware Experts Confirm the Fast16 Malware Was Sabotaging Nuclear Weapons Tests, Likely in Iran Blue ou tout ce qui améliore notre posture Signal: “To help protect Signal users f…” - Mastodon Complexity Creates Risk: Why Simpler Infrastructure Is Safer Infrastructure · FS HOT Secure Messaging Apps have already solved Encryption. The Rest is the Problem. Divers ou parce que j’ai aucune idée où les placer Adam Shostack :donor: :rebelverified:: ““Best practice” is just how co…” - Infosec Exchange Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

    51 min

  5. MAY 14

    Teknik - Mythos no hype

    Parce que… c’est l’épisode 0x2F9! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Le contexte : un signal d’alarme venu de Google Next Nicolas Bédard, professionnel en cybersécurité chez Palo Alto Networks, revient de Google Next où il a tenu 16 rencontres clients. Un constat frappant : la quasi-totalité de ces clients avaient Mythos en tête de liste de leurs préoccupations. Ce modèle d’intelligence artificielle d’Anthropic, encore en phase de prévisualisation, a déclenché une vague d’inquiétude dans l’industrie. Nicolas admet lui-même qu’il avait sous-estimé l’ampleur du phénomène avant de constater, face à face, l’anxiété généralisée de ses interlocuteurs. Qu’est-ce que Mythos et pourquoi ça change la donne ? Mythos est un modèle d’IA de nouvelle génération, considérablement plus performant que les modèles précédents (comme Opus 4.7 de Claude) pour une tâche précise : trouver des vulnérabilités dans du code logiciel. Sa force ne réside pas uniquement dans sa capacité à détecter des failles individuelles, mais surtout dans son aptitude à établir des liens entre plusieurs vulnérabilités mineures. Là où deux ou trois failles de niveau faible ou moyen seraient jugées sans conséquence prises isolément, Mythos est capable de les relier pour révéler une vulnérabilité critique. C’est un changement de paradigme majeur. Le programme d’accès anticipé d’Anthropic Palo Alto Networks fait partie du programme « Class Wing » d’Anthropic, aux côtés d’autres grands acteurs du cloud et de la cybersécurité. Ces partenaires ont reçu un accès privilégié à Mythos avant son lancement public, leur permettant de scanner leur propre code à la recherche de failles inconnues. Selon Nicolas, cette démarche relève d’un geste de responsabilité corporative : Anthropic a anticipé les risques liés à la puissance de son modèle et a donné une longueur d’avance aux joueurs majeurs pour se préparer. Palo Alto a d’ailleurs lancé, en collaboration avec son équipe Unit 42, une offre d’accompagnement pour aider les clients à réaliser des analyses similaires avec des modèles déjà accessibles publiquement. La menace pour les systèmes anciens et le code ouvert L’un des aspects les plus préoccupants concerne les systèmes hérités. Historiquement, un vieux programme en COBOL sur AS/400 ou un mainframe oublié bénéficiait d’une forme de sécurité par l’obscurité : personne ne s’intéressait à y chercher des failles parce que c’était trop coûteux et peu rentable. Seuls les acteurs étatiques avaient les moyens de développer des exploits sophistiqués. Avec Mythos et ses futurs équivalents, cette barrière financière disparaît. N’importe qui pourra potentiellement analyser du code ancien et y trouver des failles exploitables. Le risque s’étend aussi à la chaîne d’approvisionnement logicielle. Le code ouvert, massivement réutilisé par l’industrie, devient un vecteur d’attaque amplifié. Un acteur malveillant pourrait scanner des bibliothèques populaires, y découvrir des vulnérabilités non divulguées, et les exploiter à grande échelle — ou pire, contribuer du code malicieux que des milliers de développeurs téléchargeraient en toute confiance. Le déluge de correctifs qui s’annonce Les premières conséquences sont déjà visibles : Microsoft et d’autres grandes entreprises ayant accès à Mythos publient des volumes de correctifs bien supérieurs à la normale. Nicolas anticipe que la situation va s’intensifier considérablement dans les mois à venir, particulièrement autour de la sortie publique du modèle, estimée vers juin ou juillet. Le modèle traditionnel du « Patch Tuesday » — ce cycle mensuel prévisible d’application de correctifs — risque de voler en éclats, car certaines failles seront trop critiques pour attendre le prochain cycle. Pour les entreprises qui peinent déjà à appliquer 10 à 12 correctifs mensuels sur des systèmes comme SAP, l’idée d’en gérer 200 ou 500 est vertigineuse. Les arrêts de production, les tests de régression, la coordination avec les équipes d’affaires : tout cela se complexifie de manière exponentielle. Et les pratiques modernes de développement (microservices, SRE, CI/CD) qui pourraient absorber ce choc ne sont maîtrisées que par une poignée de grandes entreprises technologiques. Les recommandations concrètes Face à ce tsunami, Nicolas et son interlocuteur reviennent aux fondamentaux avec trois axes prioritaires. Premièrement, scanner son propre code dès maintenant avec les modèles disponibles, sans attendre Mythos. Des chercheurs ont publié des méthodes de prompting permettant de simuler les capacités de Mythos avec Opus 4.7. Deuxièmement, assurer une couverture à 100 % des contrôles de sécurité existants. Chaque exception, chaque angle mort, chaque compte de service mal configuré devient une porte d’entrée potentielle. L’analogie de l’eau est parlante : comme l’eau qui s’infiltre par la moindre fissure, ces modèles d’IA trouveront inlassablement le moindre trou dans les configurations. Troisièmement, réduire l’exposition externe au maximum et développer une capacité de réaction en temps réel. Le passage de « plusieurs jours » à « quelques minutes » pour répondre aux menaces impose une transformation profonde des centres d’opérations de sécurité. Les approches traditionnelles de réponse aux incidents, avec leurs processus de révision humaine, ne suffiront plus. Un appel à l’action pour les dirigeants Nicolas conclut avec un message direct : chaque responsable de la sécurité (CISO) devrait engager dès maintenant une conversation transparente avec son conseil d’administration sur les implications de Mythos. Il s’agit d’aller chercher les budgets et les ressources nécessaires avant la crise, plutôt qu’après une attaque. L’industrie s’apprête à vivre un moment pivot où l’on passera d’une logique de liste noire à une logique de liste blanche, où seul ce qui est explicitement autorisé sera permis. Les paradigmes vont changer, et ceux qui ne s’y préparent pas risquent d’en subir les conséquences de plein fouet. Collaborateurs Nicolas-Loïc Fortin Nicolas Bédard Crédits Montage par Intrasecure inc Locaux réels par Nicolas Bédard

    31 min

  6. MAY 13

    Spécial - Naviguer à travers les sept îles (7 islands)

    Parce que… c’est l’épisode 0x2F8! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Présentation de l’invité et de Seven Islands Nicolas Duguay est le président fondateur de Seven Islands Defense and Intel, une jeune firme spécialisée dans le conseil stratégique en cybersécurité, cyberdéfense et renseignement. Avant de lancer cette entreprise, il a occupé le poste de directeur général d’InCyber (anciennement In.Sec.M), le cluster canadien de la cybersécurité. Son parcours est atypique : il a d’abord été journaliste à Radio-Canada pendant une dizaine d’années, puis a évolué dans le secteur du renseignement privé, avant de bifurquer progressivement vers la cybersécurité. C’est cette trajectoire diversifiée qui lui a permis de développer une compréhension fine des écosystèmes internationaux et des dynamiques de marché. La mission de Seven Islands Seven Islands est née d’un constat simple : l’écosystème canadien de la cybersécurité est principalement composé de PME ambitieuses mais disposant de peu de moyens, qui passent souvent sous le radar des grands donneurs d’ordre. Fort de son expérience chez In.Sec.M, où il a mené des travaux de prospection et de cartographie d’écosystèmes à l’international en collaboration avec Affaires mondiales Canada, Nicolas a accumulé une connaissance approfondie des distinctions entre les marchés et des facteurs qui font qu’une entreprise réussit ou échoue à l’étranger. Seven Islands met cette expertise au service d’organisations qui souhaitent pénétrer de nouveaux marchés, non seulement en cybersécurité, mais aussi dans les secteurs de la défense et des outils de renseignement. Des marchés en pleine transformation L’Ukraine constitue un exemple frappant de marché en rupture de paradigme. La pression à ses frontières a engendré une explosion de la demande et le développement d’un écosystème local très innovant. Les pays limitrophes de l’espace russe — pays baltes, Europe centrale et de l’Est — connaissent une dynamique similaire. Or, plusieurs entreprises canadiennes arrivent dans ces marchés avec des produits pensés selon une logique traditionnelle de défense, sans tenir compte de la réalité du terrain : il faut des solutions abordables, accessibles, produites rapidement et utilisables sans formation poussée. C’est pratiquement l’inverse de la tradition habituelle en matière de produits de défense. Le rôle concret de Seven Islands auprès de ses clients La clientèle type de Seven Islands se compose de startups et de scaleups ayant atteint un niveau de maturité technologique suffisant pour aborder les marchés internationaux. La firme intervient pour raccourcir le temps d’acquisition de marché, c’est-à-dire pour permettre à ces entreprises de comprendre rapidement les particularités du procurement local, d’identifier les bons partenaires ou acheteurs, d’éviter les pièges propres à chaque marché et de structurer leur montage financier. Nicolas estime pouvoir réduire de moitié, voire du tiers, le temps et les coûts habituellement nécessaires à une pénétration de marché, qui se chiffrent normalement en centaines de milliers de dollars sur six mois à un an. Le Canada, un marché en silos Une partie importante de la conversation porte sur les particularités du marché canadien, souvent mal compris par les entreprises étrangères. L’erreur la plus répandue est de considérer le Canada comme un marché américain en plus petit ou, pour les Français, de voir le Québec comme une extension naturelle de la France. La réalité est tout autre : le Canada est un ensemble de silos distincts, chacun avec sa culture, ses réseaux et ses dynamiques propres. Toronto représente le pôle principal pour la cybersécurité privée, porté par le secteur bancaire et sa position de deuxième ou troisième place financière nord-américaine. La compétition y est féroce. Vancouver constitue le deuxième pôle en importance, avec un écosystème vibrant tourné vers la côte ouest américaine, la Silicon Valley et le marché Asie-Pacifique — une porte d’entrée stratégique souvent sous-estimée. Montréal est un marché significatif mais très insulaire, fortement centré sur lui-même et sur le Québec, avec des réseaux établis difficiles à pénétrer. Ottawa est le cœur du marché gouvernemental et devrait devenir l’un des pôles les plus intéressants du pays grâce aux récents investissements en défense. Calgary se distingue pour tout ce qui touche à la sécurité des systèmes énergétiques, tandis que des villes atlantiques comme Halifax et Fredericton investissent beaucoup d’efforts dans le développement de leur écosystème. Nicolas souligne que les entreprises étrangères qui échouent au Canada reviennent chez elles avec une image déformée du marché : elles racontent leur échec sans en analyser les causes profondes, alimentant ainsi des perceptions erronées chez d’autres entreprises qui pourraient autrement y trouver leur place. De nouvelles alliances géopolitiques et commerciales La conversation s’ouvre ensuite sur les marchés émergents les plus prometteurs. Nicolas observe un recadrage géopolitique important qui redéfinit les alliances commerciales du Canada. Le marché scandinave, longtemps ignoré, suscite aujourd’hui un intérêt considérable : la Suède notamment exprime un véritable appétit pour des échanges avec le Canada dans une dynamique nordique partagée. Les pays baltes — Estonie, Lettonie, Lituanie — ainsi que la Pologne offrent également des occasions majeures, avec moins de protectionnisme que les grands marchés traditionnels comme l’Allemagne, la France ou le Royaume-Uni. Nicolas constate que les entreprises canadiennes, habituées à la proximité confortable du marché américain, ont développé une certaine paresse stratégique. Elles commencent à peine à regarder au-delà de l’Amérique du Nord, et la courbe d’apprentissage risque d’être exigeante pour celles qui ne se sont pas outillées pour comprendre ces nouveaux marchés. C’est précisément là que Seven Islands entend jouer son rôle d’accompagnement. Notes 7 Islands Defense & Intel Collaborateurs Nicolas-Loïc Fortin Nicolas Duguay Crédits Montage par Intrasecure inc Locaux réels par Cyberconférence 2026

    27 min

  7. MAY 12

    Spécial - Rebondissement dans l'univers WordPress

    Parce que… c’est l’épisode 0x2F7! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Le déclencheur : une attaque publique au WordCamp US En septembre 2024, Matt Mullenweg, fondateur de WordPress et dirigeant d’Automattic, profite de sa présentation de clôture au WordCamp US pour s’en prendre violemment à WP Engine, un hébergeur spécialisé WordPress. Il les qualifie de « cancer pour l’écosystème ». Le ton est d’autant plus choquant que les WordCamp sont des événements communautaires accessibles et abordables, portés par l’esprit de l’open source — le WordCamp Montréal, par exemple, ne coûtait que 50 dollars pour un weekend complet. WP Engine est un acteur majeur qui a bâti tout son modèle d’affaires autour de WordPress, offrant de l’hébergement dédié et ayant acquis plusieurs produits populaires, dont Advanced Custom Fields (ACF), un plugin utilisé par des millions de sites. Mullenweg reproche à WP Engine de générer d’importants revenus grâce à WordPress sans contribuer suffisamment au projet. Il avait d’ailleurs lancé l’initiative « Five for the Future », invitant les entreprises bénéficiant de l’écosystème à y consacrer 5 % de leurs ressources. Or, aucune obligation légale ne contraint quiconque à contribuer, et Mullenweg lui-même tire profit de l’écosystème via Automattic et WordPress.com. L’escalade : actions légales et blocages Trois jours après l’attaque publique, WP Engine réplique par une mise en demeure pour diffamation et extorsion. Le 25 septembre, Mullenweg bloque l’accès des serveurs de WP Engine au dépôt officiel de plugins et thèmes WordPress, empêchant des centaines de milliers de sites clients de recevoir leurs mises à jour, y compris les correctifs de sécurité. WP Engine doit alors développer en urgence des solutions de contournement. Le 30 septembre, la communauté découvre que WordPress.org — la plateforme qui héberge tout l’écosystème open source — appartient personnellement à Matt Mullenweg et non à la fondation WordPress, créée pourtant pour assurer transparence et gouvernance indépendante. Cette révélation amplifie l’inquiétude : une seule personne contrôle l’infrastructure sur laquelle repose près de 40 à 50 % des CMS du web, alors que le deuxième concurrent plafonne sous les 5 %. Le 2 octobre, WP Engine dépose une plainte officielle pour pratiques anticoncurrentielles et abus de pouvoir, rendant publics des échanges compromettants entre Mullenweg et la direction de WP Engine. Le chaos interne et la prise de contrôle d’ACF En parallèle, les employés d’Automattic s’interrogent sur les agissements de leur patron, qui communique de façon impulsive sur les réseaux sociaux et son blogue. Mullenweg pose un ultimatum à ses employés : être avec lui ou partir, avec un délai de 24 à 48 heures. Environ 159 personnes, soit près de 10 % de l’effectif, choisissent de quitter l’entreprise. Mullenweg reprend ensuite le contrôle du plugin ACF au nom de la sécurité de l’écosystème, s’appuyant sur la licence GPL qui régit les extensions déposées sur le dépôt WordPress. Il crée un clone baptisé SCF (Secure Custom Fields) et redirige silencieusement les mises à jour d’ACF vers SCF, de sorte que la plupart des utilisateurs changent de plugin sans même s’en rendre compte. Cette manœuvre soulève de sérieuses questions sur la pérennité de SCF, un produit gratuit sans modèle économique ni équipe dédiée à long terme. Pour les agences comme celle de Maxime, la situation est un casse-tête : faut-il informer les clients, revenir à ACF, attendre ? L’équipe de Maxime décide de redéployer ACF sur les sites concernés, estimant que les clients sont pris en otage dans ce conflit. Les conséquences sur l’écosystème Mullenweg réduit drastiquement les contributions d’Automattic au projet open source, passant de 4 000 heures par semaine à environ 45, provoquant une stagnation du développement. La version 6.8 de WordPress accumule les retards. BlackRock, investisseur dans Automattic, dévalue ses parts. Des développeurs commencent à remettre en question la pertinence de publier sur le dépôt WordPress. Face à cette centralisation problématique, des initiatives émergent pour décentraliser la distribution des extensions. WP Engine rachète WP Packagist et Roots lance WP Packages, offrant des alternatives au dépôt officiel. L’adoption reste cependant un défi majeur pour les utilisateurs non techniques. L’arrivée de EmDash par Cloudflare Le 1er avril 2025, Cloudflare lance EmDash, une solution de gestion de contenu basée sur le framework Astro. Son approche distingue le contenu statique du contenu dynamique grâce au concept d’« îles », offrant de meilleures performances. EmDash isole également les plugins dans des sandbox pour renforcer la sécurité, contrairement à WordPress où un plugin défaillant peut compromettre tout le site. Maxime reconnaît l’intérêt technique de cette solution, mais tempère l’enthousiasme : aucun écosystème de plugins, aucune communauté établie, aucun expert disponible. Cloudflare a les moyens financiers de soutenir le projet, mais il est trop tôt pour y migrer des projets clients. WordPress n’est ni mort ni véritablement menacé à court terme. Perspectives La bataille juridique entre Automattic et WP Engine devrait connaître des avancées en juin 2025. Maxime anticipe une tentative de règlement hors cour de la part de Mullenweg, face à un WP Engine soutenu par un fonds d’investissement de plusieurs milliards déterminé à aller jusqu’au bout. Plus le conflit dure, plus il nuit à l’ensemble de l’écosystème. L’espoir reste qu’un retour à la maturité permette à chacun de poursuivre son activité dans un marché suffisamment vaste pour tous. Collaborateurs Nicolas-Loïc Fortin Maxime Jobin Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    59 min

  8. MAY 11

    Actu - 10 mai 2026

    Parce que… c’est l’épisode 0x2F6! Shameless plug 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Mythos ou le grand réveil Mozilla says AI helped squash 423 Firefox security bugs Opinion: Actually, Mythos is the best cybersecurity news we’ve ever had Spooked by Mythos, Trump suddenly realized AI safety testing might be good AI-BOMs replace SBOMs as way to track AI agents and bots AI didn’t delete your database, you did Chrome installe en douce un modèle IA de 4 Go sur votre disque sans rien demander Malicious OpenClaw DeepSeek Skill Exploits Agentic AI Workflows to Deliver RAT and Stealer Hackers Hate AI Slop Even More Than You Do Thousands of Vibe-Coded Apps Expose Corporate and Personal Data on the Open Web Kevin Beaumont: “got owned by teenagers copying and pasting commands from PDFs written in 2019 by Jurass1cKn0b316” - Cyberplace La guerre, la guerre, c’est pas une raison pour se faire mal! Inside Israel’s AI targeting system: How data from a phone become a death sentence Polish intelligence warns hackers attacked water treatment control systems Souveraineté ou vive le numérique libre! DHS Demanded Google Surrender Data on Canadian’s Activity, Location Over Anti-ICE Posts Privacy ou cachez ces informations que je ne saurais voir Apple Security Updates: What They Mean for Mac and iPhone Privacy (1) Alberta voter list leak is a potential public safety disaster: Enforcement experts Canadian election databases use “canary traps”—and they work A college student is suing a dating app that allegedly used her TikTok videos to target men in her dormitory PSA: Instagram Encrypted Messaging Ends on Friday, May 8 I am the law Protégeons nos enfants 16% of Parents Help Their Children Bypass Online Age Checks, Study Finds. One 15-Year-Old Just Uses a Fake Moustache Some children are drawing on fake moustaches to bypass online age checks, report finds Meta, Zuckerberg Sued Over Alleged Copyright Infringement by Book Publishers and Scott Turow One House Democrat is pressing Commerce on the government’s spyware use Elon Musk faces criminal probe in France after ignoring summons in X case France Moves to Break Encrypted Messaging Red ou tout ce qui est brisé Copy for the fail CISA says ‘Copy Fail’ flaw now exploited to root Linux systems ‘Copy Fail’ is a real Linux security crisis wrapped in AI slop Ransomware is getting uglier as cybercriminals fake leaks and skip encryption entirely Microsoft Edge Stores Passwords in Process Memory, Posing Risk VoidStealer Malware Darts Past Google Chrome’s Encryption Azure AD Conditional Access Bypassed Through Phantom Device Registration and PRT Abuse White House App Is a Terrifying Security Mess Guessable admin password exposes sloppy network security 60% of MD5 password hashes are crackable in under an hour Blue ou tout ce qui améliore notre posture Security Through Obscurity Is NOT Bad Achieving CVE Remediation in an Era of Escalating Vulnerabilities Divers ou parce que j’ai aucune idée où les placer 1 in 8 workers say selling company logins is justifiable Kevin Beaumont: “Always good when your EDR provider gets hit by a ransomware group.” - Cyberplace Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Moxy Montreal Downtown

    54 min
See All (764)

Ratings & Reviews

4.6
out of 5
7 Ratings

About

Podcast francophone sur la cybersécurité. Pour professionels et curieux.

Information

  • Creator
    Nicolas-Loïc Fortin et tous les collaborateurs
  • Years Active
    2021 - 2026
  • Episodes
    764
  • Rating
    Explicit
  • Copyright
    © CC BY-NC-ND 4.0
  • Show Website
    PolySécure Podcast

You Might Also Like