PolySécure Podcast

Nicolas-Loïc Fortin et tous les collaborateurs

Podcast francophone sur la cybersécurité. Pour professionels et curieux.

  1. -3 j

    Teknik - Génération des mots de passe par LLM

    Parce que… c’est l’épisode 0x319! Shameless plug 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Contexte de la recherche Dans cet épisode de Polysécure, l’animateur reçoit Gaëtan Ferry, chercheur en sécurité chez GitGuardian, pour discuter d’une recherche originale sur la génération de mots de passe par les grands modèles de langage (LLM). Le point de départ est un article publié début 2026 par Irregular, une entreprise israélienne, qui avait démontré que les mots de passe générés par les LLM présentaient des biais statistiques importants, variables selon les modèles. Cette découverte a poussé l’équipe de GitGuardian à se demander si ces mots de passe biaisés se retrouvaient réellement « dans la nature », c’est-à-dire utilisés par de vraies personnes sur de vrais systèmes. GitGuardian dispose d’un avantage unique pour répondre à cette question : son activité principale consiste à détecter des secrets (mots de passe, clés API, etc.) exposés publiquement, notamment sur GitHub. L’entreprise possède donc une base de données massive de secrets, dont une catégorie dite « générique » — des chaînes de caractères qui ressemblent à des mots de passe mais ne suivent aucun format standardisé identifiable. Méthodologie : les chaînes de Markov Pour détecter automatiquement si un mot de passe avait été généré par un LLM, l’équipe a eu l’idée de reconstruire une structure statistique classique : les chaînes de Markov, l’ancêtre technique des LLM, utilisées par exemple dans la prédiction de texte sur les claviers de téléphone. Ces chaînes excellent à capturer des biais statistiques dans une séquence de caractères. La méthode a consisté à interroger 40 modèles de LLM différents, en leur demandant de générer des centaines de mots de passe chacun. À partir de ces échantillons, plusieurs types de chaînes de Markov ont été construits, prenant en compte (ou non) la position des caractères dans le mot de passe. Ces structures permettent ensuite, face à un mot de passe arbitraire, d’estimer la probabilité qu’il ait été généré par un LLM, un peu comme une mesure d’entropie relative à une base de référence précalculée. Des biais spectaculaires Les résultats ont confirmé, voire amplifié, les observations d’Irregular. L’exemple le plus frappant concerne un modèle (Opus, à l’époque de l’étude) qui ne générait des mots de passe uniques que dans 35 % des cas — autrement dit, il répétait le même mot de passe dans 65 % des requêtes. Un modèle de Mistral faisait encore pire : il ne générait qu’un seul et unique mot de passe, toujours identique, laissant penser qu’il se contentait de restituer une valeur mémorisée durant son entraînement plutôt que d’en générer une nouvelle. Gaëtan Ferry explique ce phénomène par la tokenisation : certains modèles (comme GPT, étudié par Irregular) découpent le mot de passe en plusieurs tokens indépendants, ce qui introduit une certaine variabilité, alors que d’autres semblent traiter le mot de passe comme un token unique, menant à une quasi-absence de diversité. Un biais récurrent, observé sur presque tous les modèles, est l’alternance rigide entre catégories de caractères (minuscule, majuscule, chiffre, symbole) selon un schéma répétitif — un pattern idéal à capturer dans une chaîne de Markov. Sur un modèle donné, par exemple, un symbole « # » est suivi d’un « 8 » dans 90 % des cas. Ce comportement s’explique par la nature même des LLM : entraînés à reproduire des régularités linguistiques, ils sont fondamentalement conçus pour être prévisibles — l’exact opposé de ce qu’exige une bonne génération de mot de passe, qui requiert une forte entropie. Résultats sur les données réelles En appliquant cette classification à un échantillon d’environ 3 millions de secrets génériques collectés entre janvier et mars 2026, l’équipe a identifié environ 28 000 mots de passe présentant une très forte probabilité d’avoir été générés par un LLM, avec un seuil de confiance élevé. Bien que ce nombre représente une fraction modeste de l’échantillon total, la tendance est constante : environ 1 500 à 2 500 nouveaux mots de passe générés par LLM apparaissent chaque semaine sur GitHub, un rythme jugé préoccupant compte tenu qu’il ne s’agit que du sous-ensemble visible publiquement — la réalité en environnements privés étant probablement plus large encore. L’analyse du contexte d’apparition de ces mots de passe révèle deux scénarios typiques : soit un humain a manifestement demandé au LLM de générer un mot de passe pour l’insérer dans un fichier de configuration (par exemple une base de données), soit — plus troublant — un agent de développement autonome a lui-même pris la décision de générer et d’intégrer le mot de passe dans du code, comme dans un fichier de configuration Terraform observé par l’équipe, le tout dans un commit signé par l’agent d’IA lui-même, sans intervention humaine apparente. Une anecdote marquante Lors d’une présentation de ces résultats en conférence, Gaëtan Ferry a vu une personne quitter précipitamment la salle en voyant une diapositive listant des exemples de mots de passe faibles générés par un LLM. Cette même personne est revenue lui expliquer qu’elle avait justement demandé, ce matin-là, à un LLM de générer un mot de passe pour un service en ligne — et qu’elle venait de réaliser qu’il s’agissait exactement du même mot de passe affiché à l’écran. Un exemple frappant, selon lui, du fait que même des publics avertis en sécurité adoptent ce genre de pratique risquée. Conclusion Gaëtan Ferry conclut que le problème dépasse la simple question de la qualité du mot de passe généré : demander à un LLM hébergé chez un tiers de générer un secret expose potentiellement ce secret avant même qu’il n’apparaisse à l’écran de l’utilisateur, via les journaux et infrastructures du fournisseur. Il y voit une incompréhension plus profonde de la nature du LLM et des bonnes pratiques de gestion des secrets, et espère que ce partage contribuera à faire évoluer les pratiques des développeurs. Collaborateurs Nicolas-Loïc Fortin Gaetan Ferry Crédits Montage par Intrasecure inc Locaux réels par SSTIC

    22 min
  2. -4 j

    Teknik - A Needle in a Haystack - Identifying an Infostealer Attack Through Trillions of Events in a Large-scale Modern SOC

    Parce que… c’est l’épisode 0x318! Shameless plug 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Contexte Dans cet épisode spécial, l’animateur reçoit François Labrèche, scientifique de données, pour discuter de la façon dont son entreprise traite l’immense volume de signaux de sécurité générés par son SOC à grande échelle (managed XDR). Contrairement à un SOC traditionnel, François travaille en back-end et a accès aux données de tous les clients, ce qui lui permet de construire des modèles et des filtres globaux applicables à l’ensemble des alertes. L’objectif de l’épisode est double : expliquer le pipeline de filtrage des données, puis illustrer son fonctionnement à l’aide d’un cas réel. Le pipeline de filtrage Étape 1 — Les détecteurs Le point de départ, ce sont des billions d’événements bruts. La première étape repose sur des règles de détection simples et peu coûteuses en calcul : correspondances avec des IOC (indicateurs de compromission), domaines ou IP malveillants, ainsi que des règles de corrélation basiques détectant des anomalies (par exemple, un utilisateur qui se connecte pour la première fois à une machine de développement). Ces règles ne prouvent rien de malveillant en soi, mais elles servent à isoler tout ce qui sort de l’ordinaire pour l’envoyer plus loin dans le pipeline. Après cette étape, il ne reste que 0,03 % des données initiales — un filtre énorme, mais qui représente encore 2,6 milliards d’événements sur deux semaines, un volume toujours impossible à traiter manuellement. Étape 2 — Déduplication et corrélation La deuxième étape combine deux mécanismes. La déduplication regroupe les alertes générées en grand nombre par une même attaque (comme un déni de service ou un scan) visant la même cible, réduisant ainsi des dizaines de milliers d’alertes en une seule. La corrélation, elle, relie des alertes distinctes provenant de détecteurs différents mais concernant la même activité (par exemple, plusieurs signaux liés à un même utilisateur et une même machine). Pour rendre ce travail possible, une équipe dédiée normalise en amont tous les signaux — qu’ils proviennent des senseurs propriétaires ou de fournisseurs tiers — dans un format standardisé, en capturant les éléments clés (nom de l’alerte, entités impliquées, IP, nom d’hôte, etc.). La corrélation s’appuie sur une fenêtre d’analyse fixe (environ un mois) et sur des bases de données de comptage historique, sans recours au machine learning à ce stade. Étape 3 — La suppression Cette étape cible des cas précis, propres à un client ou une situation donnée. Certaines alertes sont bénignes uniquement dans un contexte particulier : par exemple, un client qui effectue des scans de vulnérabilité hebdomadaires de façon planifiée, ou du trafic DNS provenant de Cloudflare, connu comme légitime. Ces règles de suppression sont paramétrées en collaboration avec le client ou l’ingénieur qui le supporte, et nécessitent une connaissance fine de son environnement. Des règles similaires sont aussi créées lorsque les équipes de recherche de menaces identifient des indicateurs malveillants publiés par erreur, afin de bloquer ces faux indicateurs pour l’ensemble des clients. Étape 4 — La priorisation C’est ici qu’intervient le machine learning. Les alertes sont divisées en deux groupes selon leur sévérité : haute et moyenne/basse. Un modèle supervisé, entraîné chaque semaine sur des données historiques (les décisions passées des analystes), est appliqué aux alertes de sévérité élevée pour prédire une probabilité de menace réelle. Ce modèle sert à deux fins : fermer automatiquement les alertes jugées très peu probables (réduisant le bruit pour les analystes), ou ajuster la sévérité des alertes jugées menaçantes. Les alertes de sévérité plus basse ne sont pas ignorées : elles sont réutilisées pour enrichir le contexte autour d’une menace identifiée par le modèle, en allant chercher toutes les alertes liées au même utilisateur et à la même machine durant la même période. Un point important soulevé dans la discussion concerne la dégradation des modèles : si un modèle supervisé était réentraîné sur ses propres prédictions (sans validation humaine), il se dégraderait progressivement, un peu comme les modèles de langage qui s’effondrent lorsqu’ils apprennent sur leurs propres données. Pour éviter ce piège, l’équipe conserve un échantillon de 5 à 10 % des données sur lequel le modèle n’agit jamais automatiquement — ces alertes sont envoyées aux analystes pour un triage normal, ce qui permet de mesurer en continu la performance réelle du modèle (faux négatifs, dérive) et de générer des données d’entraînement non biaisées pour les futurs modèles. Étude de cas : détection d’un info stealer Pour illustrer concrètement le pipeline, François présente un cas réel portant sur deux semaines de données : à partir de 9,7 billions d’événements, le filtrage complet aboutit à seulement 81 000 alertes, soit environ 50 par client. Pour le client étudié, seulement sept alertes émergent — deux de haute sévérité liées à un vol de mot de passe, et cinq autres jugées bénignes (vol d’identifiants légitime confirmé par le client). Grâce au modèle de priorisation, les deux alertes à forte probabilité de menace sont sélectionnées, puis l’analyste ramène toutes les alertes liées au même utilisateur et à la même machine, incluant trois alertes de sévérité plus basse. L’ensemble reconstitue une chronologie claire : un exécutable déguisé en éditeur PDF s’exécute, établit une connexion réseau anormale vers un serveur de commande, puis déclenche des détections successives de vol de mots de passe et de données de navigateur — signature typique d’un info stealer. Isolément, chaque alerte de type « info stealer » génère énormément de faux positifs ; c’est la combinaison de plusieurs signaux corrélés dans le temps, pour la même entité, qui permet à l’analyste de conclure avec confiance à une véritable compromission et de recommander la réimagerie de la machine du client. L’épisode se conclut sur l’idée que ce type de pipeline permet non seulement de filtrer efficacement le bruit à très grande échelle, mais aussi de reconstruire, a posteriori, une histoire cohérente de l’attaque à partir des données brutes. Notes A Needle in a Haystack - Identifying an Infostealer Attack Through Trillions of Events in a Large-scale Modern SOC Collaborateurs Nicolas-Loïc Fortin François Labrèche Crédits Montage par Intrasecure inc Locaux réels par nsec

    38 min
  3. -5 j

    PME - Retour d'expérience de deux étudiants de la première cohorte du programme UQTR FORCE

    Parce que… c’est l’épisode 0x317! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Dans cet épisode spécial de Polysécure, deux invités partagent leur expérience du programme Force, une formation destinée aux personnes provenant de domaines hors cybersécurité mais souhaitant développer des compétences dans ce champ, particulièrement dans le contexte des PME. Alain Dubois, administrateur système chez Métalus (une usine de transformation de métal) depuis deux ans, et Keven Landry, analyste fonctionnel chez UV Assurance depuis environ six mois, racontent chacun leur parcours et ce que le programme leur a apporté, tant sur le plan professionnel que personnel. Deux parcours, une même formation Keven a découvert le programme grâce à un collègue, Dominique Villeneuve, qui donnait un cours à l’UQTR et qui avait remarqué sa curiosité pour la cybersécurité. Bien qu’il ait déjà touché à plusieurs aspects techniques par le passé (développement, gestion d’infrastructure), il n’avait jamais approfondi ces connaissances de façon structurée. Le programme Force lui a permis d’acquérir une façon de penser applicable autant au travail qu’au quotidien, notamment pour reconnaître des situations à risque qui semblent anodines en apparence. Alain, de son côté, possédait déjà une base en administration système et en cybersécurité. Également mis en contact avec la formation par Dominique, un ancien patron, il est arrivé chez Métalus dans une entreprise dont le réseau avait environ 25 à 30 ans d’existence, hérité d’une mentalité informatique dépassée. Le programme Force lui a permis d’identifier des lacunes importantes dans l’infrastructure de son employeur. En pratiquant des tests d’intrusion (pentests) sur son propre réseau, il a découvert des failles majeures qui l’ont mené à reconfigurer entièrement les routeurs et pare-feu, ainsi qu’à resegmenter les réseaux virtuels (VLAN). Il raconte même avoir démontré à son patron qu’il pouvait intercepter des conversations téléphoniques sur le réseau de l’entreprise, preuve concrète que la sécurité en place était insuffisante. Le top 3 des apprentissages marquants Interrogés sur les éléments qui les ont le plus marqués, les deux invités convergent sur plusieurs points. Le crochetage de serrures (lock picking) a impressionné les deux participants, qui ont réalisé à quel point il est facile de contourner certaines sécurités physiques d’un bâtiment avec un simple jeu de crochets. Cet aspect leur a rappelé que la cybersécurité ne se limite pas au monde numérique : la sécurité physique des lieux est tout aussi cruciale. Alain souligne également la découverte de logiciels de sécurité accessibles financièrement pour les PME, souvent gratuits et développés par des communautés, mais tout aussi performants que des solutions payantes coûteuses. Il mentionne aussi la qualité générale du programme et des tests pratiques réalisés en conditions réelles simulées. Keven, pour sa part, insiste sur son expérience avec Kali Linux, une distribution qu’il a installée sur son propre ordinateur portable pour scanner son réseau Wi-Fi et tester la robustesse de ses mots de passe, allant jusqu’à réussir à craquer son propre mot de passe Windows. Il évoque également les tests liés aux objets connectés (IoT), ayant notamment scanné le réseau domestique de son père pour découvrir un nombre surprenant de caméras vulnérables accessibles publiquement. Il mentionne aussi l’utilisation du Flipper Zero, un petit appareil permettant de réaliser des attaques de type “homme du milieu” (man-in-the-middle), ainsi que des exercices avec l’équipe de cybersécurité pour mettre en place des attaques Evil Twin. Les deux insistent sur l’importance d’utiliser ces outils de façon responsable et éthique, et non pour s’en prendre au réseau du voisin. Une communauté qui perdure Même après la fin officielle du programme, les liens tissés durant la formation continuent de vivre. Alain mentionne un groupe Discord actif regroupant anciens et nouveaux apprenants, où l’entraide se poursuit : un participant y a notamment obtenu de l’aide après avoir été victime d’un rançongiciel, et Alain lui-même y a sollicité des conseils pour choisir un logiciel de surveillance réseau. Keven, quant à lui, décrit un rôle plus communautaire au sein même de son entreprise, où il agit désormais comme une sorte de porte-parole pour l’équipe de cybersécurité. Alors qu’auparavant la cybersécurité était perçue par certains collègues comme une contrainte imposée sans explication, il est maintenant en mesure d’expliquer le pourquoi des décisions et des orientations prises, un rôle reconnu et apprécié dans son milieu de travail. Une formation axée sur la pratique En conclusion, les deux invités reviennent sur ce qui distingue, selon eux, le programme Force d’autres formations plus théoriques ou superficielles en cybersécurité. Keven raconte l’exemple d’un stagiaire suivant une autre formation en cybersécurité qui ne connaissait pas des concepts de base comme l’OSINT ou les attaques par pass-the-hash, illustrant selon lui les limites de certains cursus trop généraux. Le programme Force, à l’inverse, offre un contenu détaillé, constamment mis à jour, sans nécessiter des années d’études. Alain, qui donne lui-même des formations en cybersécurité à ses employés, explique que le programme lui a permis de saisir la différence fondamentale entre sensibiliser les gens à faire attention et former de véritables protecteurs de systèmes. Il affirme avoir modifié sa façon de former ses employés depuis, en insistant davantage sur la réalité concrète des menaces (rançongiciels, acteurs malveillants) pour les rendre plus vigilants. Keven ajoute que la pédagogie du programme, alternant théorie et exercices pratiques concrets lors de séances synchrones aux trois semaines avec Dominique, lui a permis d’apprendre beaucoup plus efficacement que les approches purement théoriques auxquelles il avait été confronté par le passé, notamment durant son parcours scolaire. L’animateur conclut l’épisode en saluant la passion manifeste des deux invités et l’importance de voir des personnes issues de domaines connexes rayonner la cybersécurité autour d’elles, contribuant ainsi à améliorer la posture de sécurité des PME québécoises, un secteur souvent moins bien outillé que les grandes entreprises face aux cybermenaces. Collaborateurs Nicolas-Loïc Fortin Alain Dubois Keven Landry Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    18 min
  4. -6 j

    Actu - 05 juillet 2026

    Parce que… c’est l’épisode 0x316! Shameless plug 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell À la frontière de l’impossible Fable 5 Update: Still Willing To Cybercrime After spooking Trump into safety testing, Anthropic AI models get global release OpenAI Released GPT-5.6 Sol With Limited Access and Strong Cyberattack Protections Disclosed CVEs: 3.5× Spike After Claude Mythos China’s AI Matches Anthropic in Cybersecurity, Causing Worry Over US Restrictions We have Mythos at Home: GLM 5.2 beats Claude in our Cyber Benchmarks Anthropic Details Claude Fable 5 Cybersecurity Safeguards and Jailbreak Framework À la frontière de l’amertume AI may be good at finding security vulnerabilities, but it can’t beat human stupidity Infosec professionals sour on automated pentesting tools Godot says bye bye AI, bans vibe-coded contributions Are Frontier LLMs Ready for Cybersecurity? Evidence for Vertical Foundation Models from Dual-Mode Vulnerability Benchmarks New attack provides one more reason why AI browsers are a bad idea Seven Security Challenges in Cross-domain Multi-agent LLM Systems Cybersecurity is the True Frontier for Generative AI Success or Failure EnclaveX: End-to-End Confidential AI with CPU/GPU TEEs AI-Infra-Guard Technical Report Generative AI and Federated Learning for Intrusion Detection Systems: A Survey Agentic AI Has an Identity Problem and Attackers Know It AI-Generated Workflows Are a Silent Security Disaster An AI just carried out a cyber attack without any human oversight for the first time Un dépôt GitHub trop propre suffit à pirater Claude Code - Korben La guerre, la guerre, c’est pas une raison pour se faire mal! Are Wars Blurring Lines Between Corporate and National Security? Four years into Ukraine invasion, Russia turns influence-ops back to US and Europe Arrest of Iranian Hacker Spotlights Iran’s Movement into Economic Espionage and IP Theft Souveraineté ou vive le numérique libre! European digital ID wallets are a gift to Google and Apple Digital Sovereignty as a Quality Attribute for Software Architectures Espionage Against the European Parliament: Member of Committee Investigating Spyware Hacked with Pegasus Privacy ou cachez ces informations que je ne saurais voir Vérifier ou pas Age verification is just a precursor to attribution of speech The Data on Australia’s Social Media Ban: The Better the Privacy Protection, The Less Effective the Ban What’s wrong with EU age verification? Now open source: our Zero-Knowledge Proof (ZKP) libraries for age assurance Où es-tu? US supreme court rules geofence warrants require constitutional privacy protections US Agency Cancels Contract For Warrantless Tracking of Mobile Devices Shaky Ground Gets Shakier: What the U.S. Supreme Court’s Location Data Decision Means for Bill C-22 Apple ‘Hide My Email’ Vulnerability Reveals Peoples’ Real Email Addresses Musk’s X poses “serious risk to Americans’ privacy,” advocates warn FTC Google veut scanner votre main pour prouver que vous êtes humain https://mysysinfo.com I am the law Control ton chat Chat Control 1.0: EU Council forces messenger scans via fast-track “Double Threat” to Private Communications: Undemocratic Chat Control Backroom Deals and Imminent Concessions Spark Relaunch of fightchatcontrol.eu Google loses fight over record $4.7 billion EU antitrust fine Red ou tout ce qui est brisé Are Checks Sent Through the Mail Vulnerable to Theft? Blue ou tout ce qui améliore notre posture Your iphone Will Alert You in Real Time if You Are Falling Victim to a Scam How to scale your patches without scaling your team (the patch wave) Divers ou parce que j’ai aucune idée où les placer What Is a Quantum Computer Good For? Absolutely Nothing - Yet Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

    36 min
  5. 2 juil.

    Teknik - Living Off The Pipeline - Defensive Research, Weaponized

    Parce que… c’est l’épisode 0x315! Shameless plug 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Un rendez-vous annuel sur la sécurité de la chaîne d’approvisionnement logicielle Ce podcast fait le point sur la présentation de François Proulx à NorthSec, où il aborde depuis quatre ans la sécurité de la chaîne d’approvisionnement logicielle (supply chain security). Chaque année a marqué une étape : la première présentait une vue d’ensemble du problème; la deuxième introduisait Poutine, un outil d’analyse statique open source destiné aux équipes défensives pour détecter les vulnérabilités dans les pipelines CI/CD; la troisième présentait les règles internes développées par son employeur, Boost Security, pour réduire les faux positifs de Poutine à grande échelle. La découverte troublante : les attaquants ont pris de l’avance Le tournant de cette année vient d’un constat inquiétant. Fin 2024, François a découvert sur Breach Forums (un forum cybercriminel aujourd’hui disparu ou renommé) des mentions du mot « Poutine » associées au nom de son employeur. Un utilisateur anonyme, visiblement non anglophone, discutait ouvertement de l’exploitation de pipelines de build et partageait des vulnérabilités zero-day encore non exploitées au moment de la publication. Quelques heures plus tard, le projet Python très populaire Ultralytics (des millions de téléchargements hebdomadaires) était compromis. Le même compte est revenu peu après pour se plaindre du faible gain obtenu (quelques bitcoins via un mineur rapidement neutralisé), puis n’a plus jamais été réutilisé. Cet épisode a révélé que certains attaquants surveillaient activement les publications de l’équipe et exploitaient les vulnérabilités presque en temps réel — un comportement inhabituel, car les attaquants sont généralement en retard sur les chercheurs. L’entreprise de François a elle-même été victime d’une attaque similaire (un employé compromis), ce qui a servi de signal d’alarme interne, même si l’incident a été contenu sans dommage. Pourquoi la chaîne logicielle est si vulnérable François explique que l’effet multiplicateur des dépendances transitives (parfois des milliers, même pour une application simple utilisant React et quelques librairies npm) crée une surface d’attaque énorme. Beaucoup de ces micro-projets sont maintenus par des développeurs isolés, parfois inactifs, épuisés, ou disparus, ce qui laisse des vulnérabilités non corrigées, parfois même non divulguées publiquement. GitHub Actions, utilisé par environ 90 % des projets open source sur GitHub, est identifié comme un vecteur clé. Bien que sa conception initiale limitait l’impact d’un code malveillant exécuté via une pull request (aucun accès aux secrets de publication), l’ajout progressif de fonctionnalités plus puissantes a ouvert la porte à des scénarios où des tiers non-mainteneurs peuvent déclencher l’accès à des secrets sensibles. De Poutine à Smoke Meat : automatiser l’exploitation Face à ce constat, François a pris la décision — difficile pour lui, davantage orienté « blue team » — de créer un outil offensif : Smoke Meat. Il le compare à Metasploit, créé par HD Moore au début des années 2000, qui a démocratisé l’exploitation de vulnérabilités classiques. Smoke Meat vise à faire de même pour les vulnérabilités des pipelines CI/CD : rendre leur exploitation accessible à tous, pas seulement aux experts, afin de forcer une prise de conscience collective. L’outil combine l’analyse statique de Poutine avec un moteur qui filtre les vulnérabilités les plus fiables et à fort impact (« blast radius »), génère automatiquement les payloads d’attaque, puis permet une exploitation réelle et un pivot latéral — comme un « meterpreter » adapté au contexte CI/CD. La terminologie choisie file la métaphore du barbecue : le « counter » (interface de l’opérateur), le « kitchen »/C2 (serveur de commande), et le « brisket » (l’implant qui s’exécute chez la victime, le « smoker »). Une fois actif, le brisket collecte rapidement (en une fraction de seconde) les secrets disponibles en mémoire, les trie selon leur potentiel de pivot, puis peut soit se retirer immédiatement, soit maintenir un tunnel pour une exploration plus poussée. Des zero-days accessibles à grande échelle Contrairement à Metasploit qui exploite généralement des vulnérabilités connues, Smoke Meat cible des zero-days présents dans une infrastructure publique que n’importe qui peut découvrir en scannant des dépôts GitHub. François souligne que les dépôts privés, souvent perçus comme moins exposés que les dépôts publics (vitrines soignées des entreprises), contiennent en réalité davantage de négligences : clés temporaires oubliées, projets expérimentaux mal sécurisés, etc. L’exemple concret : Team PCP et Trivy L’attaque du groupe Team PCP, discutée dans de précédents épisodes du podcast, illustre parfaitement ce mécanisme. Le groupe a exploité une vulnérabilité connue depuis longtemps dans l’outil populaire Trivy (développé par Aqua), infectant les utilisateurs consommant automatiquement les dernières versions. Le malware exfiltrait ensuite les secrets des nouveaux environnements infectés, permettant de répéter l’opération ailleurs — une propagation quasi-autonome, proche d’un ver informatique, bien que semi-manuelle. Un appel à l’action pour les défenseurs François conclut sur un ton presque désabusé : après quatre ans à répéter le même message, seuls les attaquants semblent l’avoir vraiment entendu. Il insiste sur le caractère déterministe de Smoke Meat — aucun recours à des modèles de langage, uniquement des payloads fiables et reproductibles — et sur la simplicité des correctifs, souvent limités à quelques lignes dans un fichier YAML plutôt qu’à des refontes architecturales majeures. L’objectif de l’outil est de rendre le danger tangible et immédiat pour les équipes qui, autrement, resteraient indifférentes, en reproduisant l’esprit des débuts du hacking où la démonstration technique primait sur le simple discours théorique. Notes Living Off The Pipeline - Defensive Research, Weaponized Collaborateurs Nicolas-Loïc Fortin François Proulx Crédits Montage par Intrasecure inc Locaux réels par nsec

    39 min
  6. 1 juil.

    Teknik - Au-delà des identifiants - le profilage des victimes dans l'économie des cleptogiciels

    Parce que… c’est l’épisode 0x314! Shameless plug 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Dans cet épisode de Polysécure, l’animateur reçoit Andréanne Bergeron et Olivier Bilodeau, chercheurs chez Flare, pour discuter d’une recherche sur le profilage des victimes de kleptogiciels (infostealers). L’objectif de cette recherche n’était pas de blâmer les individus, mais bien d’identifier de grandes tendances comportementales afin de bâtir des campagnes de sensibilisation mieux ciblées, plutôt que des messages génériques auxquels personne ne s’identifie. Méthodologie L’équipe s’est appuyée sur un échantillon représentatif tiré d’une année complète de compromissions (2025), afin d’éviter tout biais lié à des campagnes ponctuelles. Les données proviennent de tout ce qu’un kleptogiciel peut dérober : cookies de session, mots de passe, identifiants, liste des logiciels installés, documents personnels et historique de navigation. À partir de ces informations, les chercheuses ont codifié une série de variables binaires (présence ou absence d’un élément donné : outils techniques, jeux, sites à risque, indices démographiques comme la localisation ou l’âge probable) pour ensuite dégager des profils types par recoupement statistique. Le travail s’est fait en va-et-vient : Olivier explorait manuellement les journaux pour repérer des motifs intéressants, qu’Andréanne validait ensuite statistiquement. Les grands profils de victimes Plusieurs profils récurrents ont émergé de l’analyse : Les utilisateurs de divertissement : joueurs qui téléchargent des jeux piratés, des mods ou des « cheats » (l’exemple de Roblox est cité), ainsi que les consommateurs de contenu pornographique, une catégorie quasi systématiquement présente dans ce type d’échantillon. Les ordinateurs partagés en famille : des cas où plusieurs identifiants portant le même nom de famille apparaissent dans un même journal, suggérant qu’un parent prête son ordinateur de travail à ses enfants pour jouer. Les profils techniques : de façon contre-intuitive, 82 % de l’échantillon présente des compétences techniques (présence d’IDE comme VS Code, historique GitHub/GitLab, etc.), après élimination des faux positifs comme les runtimes C++ préinstallés. Les chercheuses insistent sur la distinction entre « technique » et « conscient des enjeux de cybersécurité » : de nombreuses personnes maîtrisent l’informatique sans connaître l’écosystème des logiciels malveillants qui les cible spécifiquement. Un exemple concret est donné : un développeur de Flare a failli installer une fausse version de Slack trouvée via une publicité Google malveillante, ne s’en rendant compte qu’après avoir reçu un avertissement de signature invalide. Le risque de chaîne d’approvisionnement (supply chain) : certaines victimes ont accès, via leur poste, à de multiples systèmes cloud de tiers (l’exemple donné est un consultant en marketing numérique avec accès à plusieurs comptes cloud de clients). Les chercheurs évoquent la brèche historique de Target, qui aurait pu être causée par un incident de type infostealer chez un fournisseur de climatisation. Les acteurs de la menace eux-mêmes : certains cybercriminels se font voler leurs propres outils en utilisant des « crypters » gratuits piégés (backdoorés), exposant du même coup leur infrastructure (comptes Cloudflare, hébergement à l’épreuve des balles, etc.). Le « Capitaine Get Things Done » : profil moins technique cherchant désespérément à résoudre un problème ponctuel (ex. : réinitialiser une imprimante Epson) et téléchargeant un utilitaire douteux trouvé en ligne, parfois repérable via l’historique de traductions Google Translate. L’« Unlocky Executive » : cadre ayant accès à des systèmes RH ou comptables, généralement infecté via une version piratée de logiciels bureautiques comme PowerPoint. Interprétation criminologique Andréanne, dont la formation est en criminologie, explique la surreprésentation des profils techniques par la combinaison de deux mécanismes classiques en victimologie : se trouver dans un environnement à risque (fréquenter des sites de jeux, télécharger des bibliothèques de code, etc.) et adopter un comportement à risque (cliquer, télécharger, faire confiance à des sources non vérifiées). Les deux facteurs doivent être réunis pour qu’il y ait victimisation — un joueur de cartouches Genesis hors ligne ne court aucun risque, contrairement à quelqu’un qui télécharge régulièrement des modules Python ou des jeux piratés. Vers une sensibilisation adaptée Plutôt que de produire une campagne complète, l’équipe a créé des affiches-exemples destinées à inspirer les organisations à concevoir leurs propres campagnes, fondées sur des statistiques réelles issues de la recherche plutôt que sur du marketing générique. Parmi les exemples cités : 26 % des victimes de kleptogiciels ont accès à de l’infrastructure d’entreprise, illustrant qu’un usage personnel d’un ordinateur professionnel peut faire basculer toute une organisation. Le principe clé avancé est qu’être exposé à un patron de fraude constitue la meilleure protection contre celui-ci — d’où l’importance de raconter des anecdotes concrètes et « relatables » (par exemple, un cas vécu par un collègue) plutôt que des modules de formation génériques et vite oubliés, comme les anciens modules chez Bell surnommés « le petit chevalier ». Prochaines étapes Andréanne travaille désormais avec sa collègue Estelle Ruellan à essayer de prédire l’apparition de nouvelles campagnes de kleptogiciels afin d’alerter les gens en amont. Olivier, de son côté, développe un outil de réponse aux incidents assisté par IA qui analyse les journaux de vol de données pour identifier le vecteur d’infection probable et évaluer le « rayon d’explosion » (blast radius) d’une compromission, tout en gardant un analyste humain aux commandes. Vu la sensibilité de l’outil, son accès sera limité aux praticiens vérifiés de la communauté Discord éducative Flare Academy, avant une mise en ligne publique prévue dans les prochaines semaines. Notes What Infostealer Victims Have In Common: 2 Behavioral Patterns That Should Reshape Cybersecurity Training Collaborateurs Nicolas-Loïc Fortin Andréanne Bergeron Olivier Bilodeau Crédits Montage par Intrasecure inc Locaux réels par Cybereco

    49 min
  7. 30 juin

    Spécial - La géopolitique s'invite en cyber

    Parce que… c’est l’épisode 0x313! Shameless plug 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Cet épisode spécial de Polysécure réunit un panel international : Geneviève Lajeunesse (spécialiste en cybersécurité, actuellement en gouvernance à Radio-Canada, à titre personnel), Fanny Tan (journaliste tech et chercheuse à l’Observatoire des conflits multidimensionnels de la Chaire Raoul-Dandurand), Christophe Darlhac (consultant en sécurité, ex-secteur aérospatial et défense) et William Sampietro (RSSI dans le cloud privé, avec un long passé en sécurité opérationnelle nationale et en normalisation). L’animateur ouvre le débat en notant qu’un acteur majeur a, depuis un an et demi, remis la géopolitique au cœur de la cybersécurité : on ne parle plus seulement de menaces venues de l’étranger, mais aussi de tensions internes qui ont des répercussions cyber. Le cyber comme levier de puissance Les intervenants s’accordent : le cyber n’est plus un simple enjeu technique mais un véritable levier de puissance pour les États, les entreprises privées et les groupes criminels. On est passé d’attaques isolées à une confrontation continue et souvent invisible. Les groupes d’attaquants sont aujourd’hui catégorisés (APT, groupes sponsorisés par des États), et le phishing, loin d’être artisanal, mène régulièrement à des acteurs identifiables poursuivant des objectifs géopolitiques précis. Un phénomène frappant est évoqué : la Birmanie et le Cambodge, où des dizaines de milliers de jeunes gens se voient confisquer leur passeport pour être forcés de mener des cyberattaques — une réalité suffisamment préoccupante pour que la Chine elle-même exerce une pression sur le Cambodge à ce sujet. Dépendance matérielle et logicielle Un thème central est la dépendance de l’Occident envers du matériel et des logiciels étrangers. La flambée du prix de la RAM, détournée vers des acheteurs privés ayant précommandé, illustre la fragilité des chaînes d’approvisionnement. Le matériel chinois (Huawei, par exemple) est souvent moins cher et parfois plus transparent que son équivalent américain, mais son adoption soulève des questions de confiance à long terme — un composant piégé peut rester dormant pendant des années avant d’être activé. La Chine a par ailleurs habilement orienté les normes techniques (comme le standard 5G) pour imposer ses propres équipements, une stratégie qualifiée de « soft power » plus subtile que les attaques directes russes. Doctrines nationales différenciées Les panélistes soulignent une différence de doctrine notable : les États-Unis assument une capacité de riposte cyber offensive inscrite dans leur politique nationale, alors qu’en Europe (à l’exception partielle de la France) cette capacité reste cantonnée au domaine militaire et n’est pas assumée publiquement. Cela crée une asymétrie dans la réponse aux attaques étatiques. Portraits par pays La Russie est associée à des campagnes de déstabilisation et de désinformation, rappelant des précédents comme Cambridge Analytica. La Chine privilégie le renseignement économique et l’espionnage industriel plutôt que la destruction — l’exemple d’une antenne suspecte de 15 mètres installée près d’un site sensible à Toulouse est mentionné. Les États-Unis, quant à eux, ne sont plus perçus comme des alliés inconditionnels : le rachat de VMware par Broadcom, ou l’utilisation du droit américain (via Microsoft) dans l’affaire Alstom-Pierucci, illustrent des formes de pression économique et juridique qui affectent directement les entreprises européennes. Le paradoxe de la souveraineté numérique Une large partie de la discussion porte sur la souveraineté numérique, jugée abondamment discutée mais peu mise en pratique, autant en France qu’au Québec. L’exemple de WhatsApp, massivement utilisé par des Européens pourtant critiques envers les États-Unis, illustre cette contradiction, malgré l’existence d’alternatives comme Signal ou Olvid. Les intervenants pointent l’absence de définition claire de la souveraineté numérique, notamment au Québec où le concept vient d’entrer dans la loi sans balises précises. Ils proposent de la penser par couches : souveraineté de l’individu (sur ses données), de l’entreprise, de l’État, puis de blocs régionaux (Europe, Amérique, Asie). Aucune souveraineté à 100 % n’est jugée réaliste ; il s’agit plutôt d’une question de priorisation selon la criticité des usages. Deux leviers concrets sont proposés pour sortir de l’inaction : la décision politique (imposer des fournisseurs nationaux ou alliés dans la commande publique) et le financement structurel des acteurs souverains, afin qu’ils puissent rivaliser avec les géants américains. Le retard technologique européen, estimé à environ 40 ans depuis l’essor de Windows, est jugé quasiment impossible à rattraper sans rupture volontaire — la Russie et la Chine, elles, ont innové par nécessité en étant coupées de l’accès à certaines technologies occidentales. La fuite des talents vers les géants américains, qui offrent des salaires nettement supérieurs à ceux du secteur public, est également citée comme un frein majeur à l’autonomie technologique. Reconfiguration des alliances En conclusion, le panel aborde la refonte des alliances internationales (Five Eyes, Union européenne, rapprochement Canada-Europe), accélérée par le désengagement relatif des États-Unis sous l’administration Trump. Les intervenants insistent : une alliance solide repose sur des valeurs communes et la confiance plutôt que sur des structures figées, et les alliances évoluent comme des relations humaines, avec des hauts et des bas. La frontière n’est plus seulement physique mais cyber, une dimension qui touche désormais la souveraineté, les infrastructures, la politique et la défense. La question de l’intégration formelle du Canada à l’Europe est jugée secondaire face à la volonté réelle de coopérer. L’épisode se termine sur la promesse d’un prochain volet, faute de temps pour aborder d’autres sujets comme l’informatique quantique. Collaborateurs Nicolas-Loïc Fortin Christophe D’ARLHAC Geneviève Lajeunesse Fanny Tan William Sampietro Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    1 h 7 min
  8. 29 juin

    Actu - 28 juin 2026

    Parce que… c’est l’épisode 0x312! Préambule Test d’enregistrement en mouvement, mais dans un environnement plus contrôlé que l’épisode d’actualité précédent. Shameless plug 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Mythos… Anthropic’s Mythos AI Model Reportedly Breached NSA Classified Systems in Hours How Anthropic may have talked itself into an AI export ban Anthropic Confirms Claude Mythos 5 Redeployment for US Critical Infrastructure Organizations Mythos discovers ‘Squidbleed,’ a memory leak that’s gone undetected since Clinton era Chinese cybersecurity company claims it’s built a better-than-Mythos bug finder Asian AI startups launch Mythos-like models as Anthropic’s export ban drags on Surviving the Mythos Era: Richard Bejtlich on the Case for NDR Cybersecurity in the post-mythos era: Keep calm and carry on! Plus ça change Intel agencies: Frontier AI models will reshape cybersecurity faster than expected OpenAI Releases GPT‑5.5‑Cyber With Full Automation for Vulnerability Detection and Patching It’s looking like a hot, messy summer for security teams as AI finds countless previously hidden vulns Vulnerability Reports Are Not Special Anymore How Your Credentials Are Leaked by LLM Agent Skills: An Empirical Study Defense Effectiveness Across Architectural Layers: A Mechanistic Evaluation of Persistent Memory Attacks on Stateful LLM Agents Amplify, Don’t Create: Temporal Accumulation for Slow-Burn Prompt Injection Think Twice Before You Act: Protecting LLM Agents Against Tool Description Poisoning via Isolated Planning Honeyquest for LLMs: Rethinking Cyber Deception for AI Attackers Microsoft uses AI to link two malware operations in racketeering suit More Malicious OpenClaw Skills Threaten AI Supply Chain Fake AI Agent Skill Passed Security Scans and Reportedly Reached 26,000 Agents FALCON: Transforming Cyber Threat Intelligence into Deployable IDS Rules with Self-Reflection Open-source security is posing challenges governments can’t easily solve What happened after 2,000 people tried to hack my AI assistant La guerre, la guerre, c’est pas une raison pour se faire mal! Ukraine Says Russian Intelligence Used Fake Support Texts to Steal Messaging Credentials Souveraineté ou vive le numérique libre! US Bill Would Mandate AI Chip Location Tracking to Thwart China and Other Adversaries Privacy ou cachez ces informations que je ne saurais voir Flock-Powered Police Chiefs Stalking Women Shows Why Warrants Are Needed (Public Report) The ‘papers, please’ era of the internet will decimate your privacy White House drastically shortens deadline for dropping quantum-vulnerable crypto New Rights, New Powers, Long Delays: Bill C-36’s Seven-Step Process for Privacy Reform to Take Effect I am the law Chasser les enfants UK Official Promises Statements ‘Around VPNs’ and Further Teen Restrictions on Chatbots and Social Media Won’t Somebody Please Think Of Banning The British Children! Pluralistic: Spying on kids to save kids from spying is very, very stupid (23 Jun 2026) The KIDS Act Would Require Age Checks To Get Online Canada’s Spy Agency Used First-of-Its-Kind Warrant to Clean Botnet-Infected Devices BrianKrebs: “WaPo reports the Justice Depar…” - Infosec Exchange DNS4EU refuse de bloquer les sites pirates de la BREIN Red ou tout ce qui est brisé Brazil begins investigating emergency alert system breach FortiBleed: 86,644 Fortinet Firewalls Compromised AWS Warns Outbound Traffic Blind Spots Can Enable Cloud Data Exfiltration Dialog Claims It Was Hacked. A Misconfigured Website Left Its Members Exposed The Pentagon Is Looking Into the Dialog Data Exposure for Unmasking National Security Officials Blue ou tout ce qui améliore notre posture The Rust Ecosystem Gets an AI Security Engineer in Residence Microsoft Adds Another Year To Windows 10 Extended Update Program New Initiative Secures End-of-Life Open Source Software Divers ou parce que j’ai aucune idée où les placer Raphael Robert: “The Mullvad founder gave milli…” - Mastodon Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par CitizenM CDG

    53 min

Notes et avis

5
sur 5
2 notes

À propos

Podcast francophone sur la cybersécurité. Pour professionels et curieux.

Vous aimeriez peut‑être aussi