PolySécure Podcast volet Actualités

Nicolas-Loïc Fortin et tous les collaborateurs

Podcast francophone sur la cybersécurité. Pour professionels et curieux.

  1. -5 j

    Le marché dérégulé selon Cyber Citoyen et Polysécure

    Parce que… c’est l’épisode 0x30B! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Dans cette 17e collaboration entre les balados Cyber Citoyen et Polysécure, Catherine anime la discussion avec Sam et Nicolas autour de quatre grands thèmes : la surveillance étatique en Russie, les abus du système de surveillance routière Flock, une étude sur les noms de domaine malveillants et le couplage de cette tendance avec le phishing, et enfin une anecdote sur les véhicules de livraison Amazon. Le système Sorm en Russie Sam ouvre l’épisode en présentant le Sorm, un système russe de surveillance des communications téléphoniques et internet datant de 1995. Conçu au départ pour donner au FSB un accès direct aux infrastructures téléphoniques, il a été étendu en 1998 aux fournisseurs d’accès internet, puis intensifié autour des Jeux olympiques de Sochi sous prétexte sécuritaire. Les fournisseurs doivent installer cet équipement à leurs propres frais, ce qui pousse les petits opérateurs à résister, sous peine d’amendes ou de retrait de licence pendant dix ans. Le système permet désormais des recherches par mots-clés et centralise des données extrêmement sensibles : adresses, passeports, coordonnées bancaires, géolocalisation, adresses IP et courriels. Les intervenants soulignent le parallèle avec les pratiques américaines révélées par Snowden, et notent que cette intensification coïncide avec le mécontentement intérieur lié à la guerre en Ukraine. La discussion s’élargit aux blocages d’internet ailleurs (Iran, listes blanches), à la conférence SplinterNet sur la fragmentation du réseau mondial, puis à des tendances similaires dans les démocraties occidentales (Chat Control en Europe, le projet de loi C-2 au Canada, les lois britanniques), illustrant que l’identification obligatoire (numéros de téléphone, cartes SIM, interdiction des téléphones jetables aux États-Unis) n’est pas l’apanage des régimes autoritaires. Nicolas évoque aussi son expérience personnelle en Corée du Sud, où l’identité est systématiquement liée aux services numériques. Le segment se conclut sur l’inquiétude que cette centralisation des données personnelles russes constitue elle-même une cible de choix pour des puissances rivales, et sur le constat plus large d’une incompréhension généralisée des conséquences à long terme de ces choix technologiques. Les dérives du système Flock Nicolas revient ensuite sur Flock, le système de reconnaissance de plaques d’immatriculation, déjà abordé dans un épisode précédent. Grâce au site DeFlock, des citoyens ont découvert que leur plaque avait été recherchée des centaines de fois sans justification : un cas où un policier avait consulté la plaque d’une victime plus de cent fois, et un chef de police pris à espionner sa propre conjointe. La réponse de l’entreprise Flock, qui se targue de transparence plutôt que de reconnaître le problème, est jugée particulièrement maladroite, surtout après la révélation qu’une quarantaine de nouveaux cas d’abus ont été recensés en un seul mois. Les animateurs saluent le rôle du journalisme d’enquête (notamment celui de 404 Media) dans la mise en lumière de ces dérives, et comparent l’absence de garde-fous chez Flock aux systèmes d’alerte automatique utilisés dans les réseaux hospitaliers ou les agences gouvernementales, où une consultation anormale d’un dossier déclenche immédiatement une enquête. Le débat se conclut sur la question de savoir si cette absence de contrôle relève de l’incompétence ou d’un choix délibéré de ne pas investir dans la prévention des abus. Noms de domaine, phishing et marché de la fraude Sam présente ensuite une étude d’Interisle sur les noms de domaine enregistrés en 2025 : sur 85 millions de domaines créés, 8,5 millions ont fini bloqués pour usage frauduleux, soit un plancher d’environ 10 %, probablement plus proche de 15 à 20 % en réalité. Cinq bureaux d’enregistrement concentrent la moitié des domaines bloqués, l’un d’eux affichant un taux de 88 %, souvent via l’enregistrement automatisé en masse de domaines à très bas coût. Le groupe critique l’approche du rapport, trop centrée sur l’autorégulation du marché, alors qu’aucun mécanisme structurel n’empêche ces registraires de continuer leurs pratiques. L’exemple belge du CCB, qui bloque au niveau national les domaines jugés dangereux, est cité comme une approche plus efficace, comparable à une mesure de santé publique. La conversation aborde aussi la difficulté d’agir à l’échelle internationale, faute de coordination entre les autorités américaines et européennes. En lien avec ce sujet, Sam note une diminution du volume des attaques de phishing de 20 % en 2024 et 2025, non pas parce que la menace recule, mais parce que les attaquants privilégient désormais des campagnes plus sophistiquées et ciblées plutôt que des envois massifs peu rentables, une tendance facilitée par les outils d’intelligence artificielle générative. L’anecdote des camionnettes Amazon et la question de l’authenticité Le dernier sujet porte sur une mise à jour logicielle des camions de livraison Amazon qui coupe la climatisation après seulement trente secondes d’inactivité, exposant les chauffeurs à des chaleurs dangereuses, notamment au Texas. La réponse officielle d’Amazon, qui présente cette mesure comme un gain de confort et d’autonomie de batterie, est tournée en dérision par les animateurs, qui y voient un exemple typique d’absence d’accountability corporative. Cette anecdote sert de tremplin à une réflexion plus large sur le manque d’authenticité des communications d’entreprise contemporaines, illustrée par le retrait du slogan « Don’t Be Evil » chez Google, et une brève mention du manifeste controversé du dirigeant de Palantir, sujet que le groupe prévoit de traiter dans un épisode futur dédié. Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    1 h 2 min

  2. -6 j

    Actu - 14 juin 2026

    Parce que… c’est l’épisode 0x30A! Préambule Expérimentation avec une nouvelle approche d’enregistrer en itinérance. Le son n’est pas idéal, mais pas trop loin de l’objectif. Un nouvel essai aura lieu le 21 juin, où j’améliorerai l’approche pour atteindre une qualité suffisante en limitant la quantité de choses que j’apporte lorsque je suis en voyage. Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Fable ou fiction Claude Fable 5 Doesn’t Change the Mythos Security Story Anthropic says these topics are too dangerous to let its Fable 5 model talk about Cybersecurity researchers aren’t happy about the guardrails on Anthropic’s Fable Il était une fois… l’export control ou la fable de l’accès universel Statement on the US government directive to suspend access to Fable 5 and Mythos 5 \ Anthropic Anthropic’s Claude Fable 5 Alleged Jailbreak to Generate Stack Exploits Anthropic shuts down Fable, Mythos models following Trump admin directive Our response to the US ban on Fable 5 and Mythos 5 How Amazon and the White House ended Anthropic’s Fable US ban on Anthropic’s Fable 5 and Mythos 5 has ‘Amazon link’: Researchers from Amazon used a series of prompts to … Tech Things: There is a massive shadow hanging over this Fable thing Lawsuit: ChatGPT validated suicidal woman’s distrust of crisis lines Zcash - Une IA déniche en 24h une faille vieille de 4 ans Extracting Recurring Vulnerabilities from Black-Box LLM-Generated Software Friend or Foe? Language as an ideological switch in open-weight LLMs under Russian disinformation stress AI Code Sandboxes: A Comparative Security Study Part 1 of 2 — Engine-Level Properties (Attack Surface, Leakage, Stackability, CVE History, Patch Cadence, Fuzzing) Sample-Efficient LLM-Based Detection of Malicious Web Server Logs with Forensically Explainable Reasoning SecureClaw: Clawing Back Control of LLM Agents Security Risks of Apple’s AI Changing Your Passwords Blame AI: Patch Tuesday Hits Record 206 CVEs Un ver informatique qui raisonne tout seul China-linked operators revive botnet, stir AI datacenter debate Are Frontier LLMs Ready for Cybersecurity? Evidence for Vertical Foundation Models from Dual-Mode Vulnerability Benchmarks Bypassing Prompt Guards in Production with Controlled-Release Prompting Mind your key: An Empirical Study of LLM API Credential Leakage in iOS Apps GenAI Is Both Hunter and Hunted at Pwn2Own Berlin 2026 La guerre, la guerre, c’est pas une raison pour se faire mal! Iran Signed a Ceasefire — Its Hackers Didn’t The Strange Defeat of Nuclear Deterrence Souveraineté ou vive le numérique libre! Digital Sovereignty Becomes An Imperative As the US Reads Dutch Emails All the Ways Europe Is Ditching American Technology Euro-Office 1.0 Arrives To Open-Source Infighting: ‘Compatibility Is Not Sovereignty’ Infineon to Open German Chip Fab as Part of EU Sovereignty Push AI Sovereignty: A Qualitative Model of Strategic Competition as AI Becomes an Instrument of National Power Canada: Artificial Intelligence as a Pillar of Digital Sovereignty - INCYBER NEWS Kevin Beaumont: “I’m on year 3 of trying to con…” - Cyberplace Germany 🇩🇪 https://social.bund.de https://social.schleswig-holstein.de Frankrijk 🇫🇷 https://social.numerique.gouv.fr Netherlands 🇳🇱 https://social.overheid.nl https://social.amsterdam.nl EU 🇪🇺 https://ec.social-network.europa.eu https://curia.social-network.europa.eu https://social.edps.europa.eu Block-A-Mole: The Sustainability Frontier of Moving-Target Censorship Resistance Privacy ou cachez ces informations que je ne saurais voir Souveraineté for the fail Over 73,000 French govt employees affected in Tchap messenger breach France Tchap Hack Undermines Its Encryption Crackdown Signal: UK’s child-nude-block threat won’t protect children Meta Deletes Face-Recognition System From Its Smart Glasses App After WIRED Report FCC Wants to Kill Burner Phones By Forcing Telecoms to Get All Customers’ IDs Flock Leaked Cops’ License Plate Searches via DuckDuckGo, Bing Expanding Private Cloud Compute - Apple Security Research I am the law FISA for the Fail House rejects last-ditch FISA extension ahead of Friday deadline Trump Risks Key Surveillance Authority Over ‘Unqualified’ Spy-Chief Pick Controversial FISA spying law expires tonight. The spying will continue. WhatsApp Catches Spyware Firm NSO Defying No-Hacking Court Order No tech rule exemption for Apple, EU regulators say amid spat over Siri AI delay Ottawa moves to restrict social media for kids under 16 Grok Is Still Hosting Sexualized Deepfakes of Famous Women US, France, and Italian authorities shut down massive deepfake porn site Red ou tout ce qui est brisé Cauchemar de l’éclipse Locked in heated rivalry with researcher, Microsoft fixes 0-day they disclosed Nightmare Eclipse publishes new Windows Defender zero-day Nightmare Eclipse drops claimed BitLocker bypass for Microsoft Windows Microsoft fixes BitLocker recovery bug on Windows Server 2025 GreatXML - BitLocker contourné en quelques clics via WinRE The architecture of the internet creates risks for democracy GitHub nukes 70+ Microsoft repos amid suspected worm attack Security Analysis of LTE Connectivity in Connected Cars: A Case Study of Tesla Faille kernel Linux - Un seul caractère et vous voilà root Arch Linux Now Believes Malware Incident Under Control: More Than 1,500 Affected Packages Blue ou tout ce qui améliore notre posture Experts say we should use passkeys, but can a smartphone PIN really be safer than a password? Signal Alums Reveal ‘Encrypted Spaces,’ a System for Making Private Collaboration Apps CISA Requires Federal Agencies to Patch Critical Vulnerabilities Within 3 Days Divers ou parce que j’ai aucune idée où les placer Yoti does not report GrapheneOS users to the authorities Des listes de cybercriminels à télécharger Can’t Stop the Signal. Poison It. Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Club Med La Caravelle

    48 min

  3. 8 juin

    Actu - 7 juin 2026

    Parce que… c’est l’épisode 0x306! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Mythos Anthropic invites EU to access Mythos hacking tech Anthropic scales Claude Mythos to critical infrastructure in 15+ countries Anthropic Expands Project Glasswing Claude Mythos Preview to 150 New Organizations Kevin Beaumont: “Mythos is not great btw. Runni…” - Cyberplace Free AI model powers self-spreading worm in enterprise test network Instapassword Hackers Used Meta’s AI Support Bot to Seize Instagram Accounts Instagram Meta AI Vulnerability Allegedly Enables Password Reset for Accounts Hackers duped Meta AI support chatbot to steal celebrity Instagram accounts Instagram Fixes Password Reset Flaw That Exposes User Emails and Phone Numbers Hackers Simply Asked Meta AI to Give Them Access to High-Profile Instagram Accounts. It Worked Kevin Beaumont: “How people hacked Meta account…” - Cyberplace Injecte moi ça ChatGPT for Google Sheets Exfiltrates Workbooks New Google Gemini Vulnerability Exploited via Prompt Injections from WhatsApp, Slack, and SMS New ChatGPT Lockdown Mode Limits Tools That Could Enable Data Exfiltration Irresponsable Florida sues OpenAI, Sam Altman after multiple ChatGPT-linked murders School shooting survivor sues AI gun detection firm after system failed to spot weapon AI Agents Get Their Own Directory Built Atop DNS Remove all LLM generated commits before people get hurt by this nonsense. · Issue #934 · RsyncProject/rsync Amazon Shuts Down Internal AI Leaderboard After Employees Cheated Open source project contains hidden instruction for “AI” agents: delete my code DOD wants to integrate cyber in all operations, and integrate security into AI Trump plan to test AI models has a problem—US security teams were gutted by DOGE Kevin Beaumont: “xAI have asked a court to stri…” - Cyberplace Commvault says it’s time to rethink resiliency as AI crooks leave victims in a ‘dark, dead’ state Attackers Use AI to Automate EDR Evasion Testing Pluralistic: Delusion as a service (04 Jun 2026) – Pluralistic: Daily links from Cory Doctorow These LLMs are the best at resisting Russian propaganda RAG Security and Privacy: Formalizing the Threat Model and Attack Surface From Attack Simulation to SIEM Rule: Deterministic Detection-as-Code Synthesis with Probe-Level Traceability Will the Agent Recuse Itself? Measuring LLM-Agent Compliance with In-Band Access-Deny Signals Critical Hugging Face Transformers Vulnerability Enables Remote Code Execution Attacks La guerre, la guerre, c’est pas une raison pour se faire mal! Iran-Linked Hackers Destroy IT, Backups, and Recovery Systems in Cyberattack targeting Middle East Pentagon raised threat of Israeli spying on U.S. to highest level, sources say Souveraineté ou vive le numérique libre! EU plots long game against US digital supremacy OSI welcomes the European Union’s “Tech Sovereignty” package Cable lobby warns of chaos if FCC doesn’t relax ban on foreign routers Privacy ou cachez ces informations que je ne saurais voir The Pentagon Finally Admits That Location Data Is a Battlefield Problem Age verification for social media – the beginning of the end for a free internet? Privacy isn’t dead: it’s just that tech companies have made it inconvenient Amazon-owned Ring should pay Americans for scanning their faces, lawsuit says Elon Musk tries again to escape FTC audits of X data handling I am the law Policy-Compliant Cloud Storage Systems GrapheneOS user reported to authorities for using GrapheneOS Red ou tout ce qui est brisé Cachez ce fiasco que j’ai fait Microsoft’s Zero-Day Legal Threats Spark Backlash Microsoft Clarifies It Won’t Sue Security Researchers Amid Nightmare-Eclipse Controversy Microsoft reaches for olive branch after public dustup with 0-day researcher Nightmare Eclipse incident shows the researcher-vendor fights may never fully go away Another bug hunter leaks Microsoft exploits in defiance of company’s handling of vulnerability disclosures Microsoft MSRC Allegedly Dismissed Dependency Confusion Vulnerability, Claims Researcher Just LOL BIN BAS Kevin Beaumont: “Wake up babe, new lolbins and …” - Cyberplace Microsoft’s Coreutils project brings Linux commands to Windows Microsoft Investigates MFA Setup Failure and MySigns-In Portal Outage Dozens of Red Hat packages backdoored through its official NPM channel Inspector general finds NIST mistakes have made vulnerability database ineffective Sur le serveur X.Org, neuf nouvelles failles de sécurité dont huit débusquées par une IA HTTP/2 Bomb : une mini-requête suffit pour faire tomber nginx, Apache ou IIS Blue ou tout ce qui améliore notre posture - An Analysis of GrapheneOS’s Server Infrastructure - Android phones will soon be able to detect spoofed calls and impersonation scams - Kernel-Level Ground Truth: Why eBPF is Replacing User-Space Agents for Security Observability - Dashlane explains how attackers managed to download encrypted password vaults - Let’s Encrypt Unveils Merkle Tree Certificates to Secure the Web Against Quantum Threats Divers ou parce que j’ai aucune idée où les placer - The Infosec Phrasebook - United Airlines Flight To Spain Pulls U-Turn Over Bluetooth Device Name - Cyber Insurance Rates Are Dropping, but Exclusions Widen - DNS is for people - not for IT infrastructure - The US Military Quietly Turned GPS Into a Global ‘Numbers Station,’ Evidence Suggests - I led the 2014 U.S. CDC Ebola response. An action plan is needed now - Teen social media ban risks strengthening Big Tech dominance: Bluesky Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

    49 min

  4. 1 juin

    Actu - 31 mai 2026

    Parce que… c’est l’épisode 0x302! Préambule Finalement, ce n’est pas tant concluant la nouvelle façon d’enregistrer. J’aurai d’autres tests à faire si je désire continuer avec cet équipement. Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Retour de l’enfant Mythos Anthropic to release Mythos-class models to the public Anthropic’s Restricted Claude Mythos Moves Toward Public Release via Claude Code and Security Mythos Detected 23,000 Vulnerabilities Across 1,000 OSS Projects Anthropic confirms Claude Mythos-class models will roll out to the public Raz le bol AI is becoming increasingly unpopular Fed up with vibe coders, dev sneaks data-nuking prompt injection into their code Menteur menteur LLMs believe false statements even after explicit warnings that they’re false AI bots ignore evidence. Can we trust them with science? Kevin Beaumont: “If anybody is wondering how th…” - Cyberplace SecuClaude Anthropic Releases Free Security Plugin for Claude Code Terminal to Detect Vulnerabilities Anthropic Updates Claude Code With Security Plugin and Faster Performance Aider ce qui ne veut pas se faire aider Open-Weight LLM Fine-Tuning Defenses are Susceptible to Simple Attacks Jailbreaking and Mitigation of Vulnerabilities in Large Language Models Provably Secure Agent Guardrail Millions of AI agents imperiled by critical vulnerability in open source package The pressure Agentic AI Isn’t Risky; the Way Orgs Deploy It Is Leak@𝑘: Unlearning Does Not Make LLMs Forget Under Probabilistic Decoding Hackers are now using ChatGPT share links to deliver malware OpenAI Privacy Filter - Masquez vos données perso en local Microsoft Copilot Cowork Exfiltrates Files La guerre, la guerre, c’est pas une raison pour se faire mal! Internet Starts to Return in Iran After 3-Month Blackout Iran president ends Internet blackout, orders access to be restored Musk says US military suicide drones used Starlink in violation of SpaceX rules Russia conducting daily attacks on UK ‘from seabed to cyberspace,’ spy chief warns The Pentagon Knew Enemies Could Track Troops’ Phones for Years. Now They Are Souveraineté ou vive le numérique libre! Microsoft Allegedly Leaked Dutch Civil Servants’ Data To the US Privacy ou cachez ces informations que je ne saurais voir ‘BusPatrol’ Put AI Cameras in Tens of Thousands of School Buses. Now They Want to Give Cops Access Anonymous YARA Rules Are Not Anonymous iOS 26 gèle vos appels FaceTime quand il détecte de la nudité, même entre adultes Cities Are Covering Flock Cameras With Trash Bags Trillions of miles of data: Your car is spying on you, and it’s only just the beginning I am the law Ninth Circuit Panel Goes Out of Its Way to Question Section 230-Doe v. Meta FBI agent explains how easy it is to ID people posting AI porn without consent Germany Considers Law to Force Social Media Algorithm Boost for State-Approved News Dutch Raid Fails to Dent Russian Bulletproof Host Bill C-22 Is a Mess of the Government’s Own Making Red ou tout ce qui est brisé Rire jaune GitLab Suspends Windows Exploit Researcher Nightmare-Eclipse After GitHub Ban Microsoft’s stance on zero day exploits is a dumpster fire of their own making Microsoft Criticized for Threatening Legal Action Against Security Researcher Cris Thomas (L0pht Veteran, Architect Of Responsible Disclosure) Is Calling Microsoft’s MSRC Posture An Abuse Of The Framework His Community Built. Free Cookies For Collaborators. Quand les Motorola prennent une commission sur vos achats Amazon Shai-Hulud Hackers TeamPCP: Lucky or Skilled? Hackers Exploit Microsoft Teams’ Collaboration Features to Impersonate IT Helpdesk Staff Rob Bonta sues 23andMe’s new owners over 2023 breach FROST - Quand un site web peut vous tracker grâce à votre SSD Blue ou tout ce qui améliore notre posture 2026 HIPAA Security Rule Update: New Requirements to Prepare For Apple open-sources quantum-resistant encryption code Apple’s New Anti-Snatching Feature Will Auto-Lock iPhones When Stolen From Your Hand Rust Will Save Linux From AI, Says Greg Kroah-Hartman IBM, Red Hat Commit $5 Billion To Secure Open Source Supply Chains A Secure, Manifest-Based Framework for Delegated Privilege Promotion Divers ou parce que j’ai aucune idée où les placer Experts question Nigel Farage’s Russian phone-hacking claims You should not update your dependencies in 2026 Un développeur de malware oublie son propre token GitHub dans le code Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par CitizenM CDG

    47 min

  5. 25 mai

    Actu - 24 mai 2026

    Parce que… c’est l’épisode 0x2FE! Préambule Moins bonne qualité sonore parce que je n’ai pas mon équipement standard. Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Tout est dans le code Linus Torvalds says AI-powered bug hunters have made Linux security mailing list ‘almost entirely unmanageable’ Bug bounty businesses bombarded with AI slop AI eyes scanning for bugs create a worrisome Linux security trend Linux kernel flaw opens root-only files to unprivileged users BrianKrebs: “If AI is truly making it easie…” - Infosec Exchange score by collisions, patch by panic Boum ou BOM What Will Make AI BOMs Real? Operationalising Artificial Intelligence Bills of Materials (AIBOMs) for Verifiable AI Provenance and Lifecycle Assurance How to Make AI BOMs Usable in a Modern Security Program CtF Autonomous LLM Agents & CTFs: A Second Look Retour sur nsec 2026: le pouls de la communauté sur l’agentic CTF Where OpenClaw Security Is Heading Hidden Signals Can Hijack AI Voice Systems When Skills Don’t Help: A Negative Result on Procedural Knowledge for Tool-Grounded Agents in Offensive Cybersecurity Gemini 3.5 deleted 28,745 lines, broke production for 33 minutes, and wrote itself a fake post-mortem claiming credit for the fix : r/Bard Even Claude agrees: hole in its sandbox was real and dangerous Agent Security is a Systems Problem Jailbroken Gemini helped Russian-speaking fraudster target MAGA crypto users Anthropic’s Claude Mythos Preview Uncovers 10,000+ 0-Days in Project Glasswing Trump abruptly cancels EO signing event after top AI firm CEOs declined to go La guerre, la guerre, c’est pas une raison pour se faire mal! Cable dans l’eau chaude Iran eyes a new source of power deep beneath the Strait of Hormuz Iran Now Threatens Fees for Subsea Internet Cables in the Strait of Hormuz Fuel Tank Breaches Expand Scope of Iran’s Cyber Offensive Souveraineté ou vive le numérique libre! Poland builds its own Signal amid security concerns The EU Is Going Through a Trump-Fueled Breakup With Big Tech Sovereign cloud: Thales and Google create a S3NS clone in Germany Privacy ou cachez ces informations que je ne saurais voir BrianKrebs: “The Trump Mobile grift keeps g…” - Infosec Exchange Discord adds end-to-end encryption to voice and video calls by default A Bipartisan Amendment Would End Police License Plate Tracking Nationwide Why the Supreme Court’s Chatrie case could change the meaning of privacy in America Texas AG sues Meta over claims that WhatsApp doesn’t provide end-to-end encryption I am the law Pluralistic: There’s no such thing as “age verification” You Can Get Some of Your Nudes Removed From the Internet Under a New Law Red ou tout ce qui est brisé Mother of all leak CISA Admin Leaked AWS GovCloud Keys on Github Senator presses CISA for answers about alleged GitHub repository leak Lawmakers Demand Answers as CISA Tries to Contain Data Leak Bitwhat? Get your passwords out of BitWarden while you still can The Quiet Renovation at Bitwarden Microsoft Releases Mitigation for Windows BitLocker Security Bypass 0-Day Vulnerability GitHub confirms being hacked by TeamPCP, says customer data unaffected Google Publishes Exploit Code Threatening Millions of Chromium User Les clés API Google encore en vie même après leur suppression A hacker group is poisoning open source code at an unprecedented scale Scammers Are Abusing an Internal Microsoft Account to Send Spam Links Blue ou tout ce qui améliore notre posture Microsoft disrupts alleged malware-signing operation used by ransomware gangs Europe dismantles VPN service used by cybercriminals to hide ransomware attacks Divers ou parce que j’ai aucune idée où les placer NTSB Wants PDF Removed After It Exposed Final Cockpit Audio From UPS Crash Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Courtyard by Marriott Montreal Midtown

    52 min

  6. 19 mai

    Ah ben Flock! Selon Cyber Citoyen et Polysecure.

    Parce que… c’est l’épisode 0x2FB! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Le Honduras Gate : ingérence américaine et israélienne en Amérique latine Sam Harper ouvre l’épisode avec le Honduras Gate, une série de fuites de conversations Telegram et téléphoniques publiées par un collectif anonyme de journalistes honduriens. Ces révélations exposent un plan visant à remettre au pouvoir l’ancien président Juan Orlando Hernández, condamné à des décennies de prison pour trafic de drogue sous l’administration Biden, puis gracié par Donald Trump. La campagne de lobbying derrière ce pardon implique Roger Stone, vétéran des coups bas politiques américains depuis l’ère Nixon, ainsi que Benjamin Netanyahu, qui aurait contribué au financement logistique. Les fuites révèlent également des négociations pour le retour au pays d’Hernández et l’installation, en échange, d’une base militaire américaine au Honduras, la création de zones économiques spéciales — sortes de « charter cities » libertariennes où les lois nationales ne s’appliqueraient pas — et des conditions favorables aux investissements technologiques, notamment en intelligence artificielle. Plus troublant encore, les documents montrent qu’environ 350 000 dollars auraient été versés par le président argentin Javier Milei pour constituer une équipe médiatique financée en partie par des fonds publics, destinée à mener des campagnes de désinformation contre les gouvernements de gauche en Colombie et au Mexique. Sam souligne que les journalistes à l’origine des publications ont signalé des attaques informatiques massives contre leur site, avec des requêtes provenant principalement des États-Unis et de Tel-Aviv. Ce qui rend ce dossier particulièrement intéressant, note-t-il, c’est qu’on y voit les États-Unis directement impliqués dans des opérations d’influence, un renversement de la dynamique habituelle où l’on pointe du doigt la Russie, la Chine ou l’Iran. Flock : la surveillance municipale hors de contrôle Catherine enchaîne avec un sujet qui lui tient particulièrement à cœur : les caméras de surveillance Flock. Ce système, capable de se connecter à pratiquement n’importe quelle caméra reliée à internet et doté d’outils d’intelligence artificielle, est utilisé par de nombreuses municipalités, principalement aux États-Unis. Les scandales s’accumulent autour de cette technologie. Des policiers s’en sont servis pour traquer des ex-conjointes via les plaques d’immatriculation. L’organisme ICE l’a utilisé pour des contrôles d’immigration ciblés. Plus inquiétant encore, un vice-président de Flock a été identifié en train d’accéder aux caméras d’un gymnase d’école secondaire, officiellement dans le cadre d’une démonstration de vente, ce que les trois animateurs trouvent profondément troublant. Le système souffre d’un manque criant d’imputabilité : personne n’audite réellement qui accède à quoi. Catherine rappelle le fiasco publicitaire de Flock lors du Super Bowl, quand l’entreprise avait annoncé un partenariat avec Amazon Ring pour retrouver les chiens perdus grâce à la reconnaissance par IA dans les caméras de sonnettes des quartiers résidentiels. Le tollé public a été tel que le partenariat a été entièrement annulé. Ce rejet populaire est encourageant, selon Catherine, qui insiste sur le pouvoir citoyen au niveau municipal. Elle exhorte les auditeurs à s’impliquer dans les conseils d’arrondissement, à refuser ces technologies de surveillance et à interpeller leurs élus locaux, car c’est à cette échelle que ces décisions se prennent souvent, devant une poignée de citoyens seulement. Le séparatisme albertain : quand Russes, Américains et Hollandais se donnent la main Sam présente ensuite un rapport de DisinfoWatch sur les campagnes de désinformation ciblant le mouvement séparatiste albertain. Le phénomène réunit des acteurs improbables. D’abord, une entité liée à l’ancien Institut d’étude de l’internet de Prigogine, qui opérait un site web et des comptes sur les réseaux sociaux promouvant la séparation de l’Alberta. Ensuite, le réseau médiatique russe autour de Pravda, qui publiait des articles gonflant la popularité du mouvement. Puis des influenceurs MAGA comme Tucker Carlson, Tim Pool et Benny Johnson — ces deux derniers ayant d’ailleurs été impliqués dans le scandale Tenet Media, un conduit pour de l’argent russe vers des influenceurs américains. Enfin, des individus aux Pays-Bas qui produisaient du contenu sensationnaliste sur le séparatisme albertain uniquement pour générer des revenus publicitaires, selon le même modèle que les « fake news » macédoniennes. Un fil conducteur : manipulation, radicalisation et économie de l’attention Tout au long de l’épisode, les trois animateurs tissent des liens entre ces sujets. Catherine introduit le concept de la fenêtre d’Overton pour expliquer comment des discours autrefois inacceptables se normalisent progressivement, et celui de la longue traîne, emprunté au marketing, pour décrire les mécanismes de radicalisation algorithmique : on commence par un intérêt anodin et, d’incrémentation en incrémentation, les algorithmes nous poussent vers des contenus de plus en plus extrêmes parce que les niches sont rentables. Nicolas-Loïc fait le parallèle avec l’intelligence artificielle, qui tend au contraire à ramener les utilisateurs vers un « centre » défini par les données d’entraînement, tout en étant vulnérable à la manipulation — Sam cite d’ailleurs une étude montrant que les points de discussion pro-russes sur la guerre en Ukraine ont doublé dans les réponses de certains modèles d’IA. L’épisode se conclut sur un appel à l’action citoyenne. Catherine rappelle que le pouvoir d’influence ne s’exerce pas uniquement lors des élections fédérales ou provinciales : les décisions municipales, souvent prises devant des salles quasi vides, ont un impact direct sur la vie privée et la surveillance au quotidien. Comme le résume Nicolas-Loïc, les citoyens disposent encore d’un pouvoir considérable pour façonner la société dans laquelle ils veulent vivre — à condition de l’exercer. Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    1 h 21 min

  7. 18 mai

    Actu - 17 mai 2026

    Parce que… c’est l’épisode 0x2FA! Shameless plug 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Mythos ou le mythe qui ne veut pas mourrir Rival Research — Mythos ‘Discovered’ a CVE Already in Its Training Data - and That’s Still Worrying Anthropic’s bug-hunting Mythos was greatest marketing stunt ever, says cURL creator Japan’s PM orders cybersecurity review to defend against Anthropic Mythos “Too Dangerous to Release” — Or Just Too Expensive? The Real Reason Anthropic Is Hiding Its Most Powerful AI - Kingy AI Mythos, l’IA d’Anthropic, aide à percer le kernel d’un Mac M5 en cinq jours Is there a doctor in this AI plane Your doctor’s AI notetaker may be making things up, Ontario audit finds “Will I be OK?” Teen died after ChatGPT pushed deadly mix of drugs, lawsuit says Viber for style Security Incentivization: An Empirical Study of how Micropayments Impact Code Security The Boring Stuff is Dangerous Now Reading code instead of writing code: The underestimated senior discipline Linux Kernel Adds Documentation For What Qualifies As A Security Bug, Responsible AI Use Hallucination pour les nuls Fake OpenAI Privacy Filter Repo Hits #1 on Hugging Face, Draws 244K Downloads How AI Hallucinations Are Creating Real Security Risks Microsoft Research Shows AI Can Generate Realistic Command Lines and Process Telemetry Massive blackhole AI-powered hacking has exploded into industrial-scale threat, Google says Google neutralise la première cyber-attaque massive générée par une IA Hackers Use AI for Exploit Development, Attack Automation Why Agentic AI Is Security’s Next Blind Spot Hugging Face Packages Weaponized With a Single File Tweak Can LLM Agents Simulate Dynamic Networks? A Case Study on Email Networks with Phishing Synthesis AI models are getting better at replacing cybersecurity pros on certain tasks Claude Opus 4.7 and Threat Modeling La guerre, la guerre, c’est pas une raison pour se faire mal! Iran Is Using Tiny ‘Mosquito’ Boats to Shut Down the Strait of Hormuz Souveraineté ou vive le numérique libre! FCC pushes ban on security updates for foreign-made routers, drones to 2029 [EU Cloud Comparison European Cloud Feature Matrix](https://eualternative.eu/eu-cloud-comparison/) Privacy ou cachez ces informations que je ne saurais voir C-22 Canada’s Bill C-22 Is a Repackaged Version of Last Year’s Surveillance Nightmare Canada Says Critics Don’t Understand Its Surveillance Bill Google account registration now requires sending an SMS via phone instead of receiving an SMS myAudi permettaient de localiser un véhicule à partir de son code VIN Texas sues Netflix over alleged data practices that create ‘surveillance machinery’ without user consent I am the law Sony’s failed war against Internet piracy may doom other copyright lawsuits EU to crack down on TikTok, Instagram ‘addictive design’ hooking kids Red ou tout ce qui est brisé La faille du jour BrianKrebs: “We’ve come to an icky time in …” - Infosec Exchange Mullvad - Votre clé WireGuard vous trahit malgré le VPN Fragnesia - Une nouvelle faille Linux dans la lignée de Dirty Frag Une faille permet d’ouvrir un disque BitLocker avec quelques fichiers sur une clé USB Une faille présente depuis 18 ans découverte dans nginx, le serveur qui fait tourner un tiers du web After Stumbling From CVE To CVE Will Linux Get A Kill Switch? Old is new again Device Code Phishing is an Evolution in Identity Takeover Microsoft backpedals: Edge to stop loading passwords into memory Usurpatate GitHub commit spoofing - Quand n’importe qui peut être Linus How I Defeat Passkeys Nearly Every Time To gain root access, intruder just had to ask Taiwan’s train cyber-trauma reveals a global system that’s coming off the tracks Robots chiens Unitree - La backdoor que personne ne corrige Thousands of DICOM servers exposed due to shameful lack of basic security measures Vos câbles fibre optique peuvent servir à vous espionner, et ça marche très bien Hacking Hard Drive Firmware Experts Confirm the Fast16 Malware Was Sabotaging Nuclear Weapons Tests, Likely in Iran Blue ou tout ce qui améliore notre posture Signal: “To help protect Signal users f…” - Mastodon Complexity Creates Risk: Why Simpler Infrastructure Is Safer Infrastructure · FS HOT Secure Messaging Apps have already solved Encryption. The Rest is the Problem. Divers ou parce que j’ai aucune idée où les placer Adam Shostack :donor: :rebelverified:: ““Best practice” is just how co…” - Infosec Exchange Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

    51 min

  8. 11 mai

    Actu - 10 mai 2026

    Parce que… c’est l’épisode 0x2F6! Shameless plug 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Mythos ou le grand réveil Mozilla says AI helped squash 423 Firefox security bugs Opinion: Actually, Mythos is the best cybersecurity news we’ve ever had Spooked by Mythos, Trump suddenly realized AI safety testing might be good AI-BOMs replace SBOMs as way to track AI agents and bots AI didn’t delete your database, you did Chrome installe en douce un modèle IA de 4 Go sur votre disque sans rien demander Malicious OpenClaw DeepSeek Skill Exploits Agentic AI Workflows to Deliver RAT and Stealer Hackers Hate AI Slop Even More Than You Do Thousands of Vibe-Coded Apps Expose Corporate and Personal Data on the Open Web Kevin Beaumont: “got owned by teenagers copying and pasting commands from PDFs written in 2019 by Jurass1cKn0b316” - Cyberplace La guerre, la guerre, c’est pas une raison pour se faire mal! Inside Israel’s AI targeting system: How data from a phone become a death sentence Polish intelligence warns hackers attacked water treatment control systems Souveraineté ou vive le numérique libre! DHS Demanded Google Surrender Data on Canadian’s Activity, Location Over Anti-ICE Posts Privacy ou cachez ces informations que je ne saurais voir Apple Security Updates: What They Mean for Mac and iPhone Privacy (1) Alberta voter list leak is a potential public safety disaster: Enforcement experts Canadian election databases use “canary traps”—and they work A college student is suing a dating app that allegedly used her TikTok videos to target men in her dormitory PSA: Instagram Encrypted Messaging Ends on Friday, May 8 I am the law Protégeons nos enfants 16% of Parents Help Their Children Bypass Online Age Checks, Study Finds. One 15-Year-Old Just Uses a Fake Moustache Some children are drawing on fake moustaches to bypass online age checks, report finds Meta, Zuckerberg Sued Over Alleged Copyright Infringement by Book Publishers and Scott Turow One House Democrat is pressing Commerce on the government’s spyware use Elon Musk faces criminal probe in France after ignoring summons in X case France Moves to Break Encrypted Messaging Red ou tout ce qui est brisé Copy for the fail CISA says ‘Copy Fail’ flaw now exploited to root Linux systems ‘Copy Fail’ is a real Linux security crisis wrapped in AI slop Ransomware is getting uglier as cybercriminals fake leaks and skip encryption entirely Microsoft Edge Stores Passwords in Process Memory, Posing Risk VoidStealer Malware Darts Past Google Chrome’s Encryption Azure AD Conditional Access Bypassed Through Phantom Device Registration and PRT Abuse White House App Is a Terrifying Security Mess Guessable admin password exposes sloppy network security 60% of MD5 password hashes are crackable in under an hour Blue ou tout ce qui améliore notre posture Security Through Obscurity Is NOT Bad Achieving CVE Remediation in an Era of Escalating Vulnerabilities Divers ou parce que j’ai aucune idée où les placer 1 in 8 workers say selling company logins is justifiable Kevin Beaumont: “Always good when your EDR provider gets hit by a ransomware group.” - Cyberplace Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Moxy Montreal Downtown

    54 min
Tout afficher (80)

À propos

Podcast francophone sur la cybersécurité. Pour professionels et curieux.

Informations

  • Création
    Nicolas-Loïc Fortin et tous les collaborateurs
  • Années d’activité
    2025 - 2026
  • Épisodes
    80
  • Classification
    Contenu explicite
  • Copyright
    © CC BY-NC-ND 4.0
  • Site web de l’émission
    PolySécure Podcast volet Actualités