PolySécure Podcast

Nicolas-Loïc Fortin et tous les collaborateurs
  • 0.0 (0)
  • Technology
  • Updated Semiweekly

Podcast francophone sur la cybersécurité. Pour professionels et curieux.

  1. 1d ago

    Teknik - Sold to the highest bidder - the escalation of ADINT from geolocation tracking to intrusion vector (nsec)

    Parce que… c’est l’épisode 0x311! Shameless plug 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Notes Sold to the highest bidder - the escalation of ADINT from geolocation tracking to intrusion vector Collaborateurs Nicolas-Loïc Fortin Maxime Arquillière Coline Chavane Crédits Montage par Intrasecure inc Locaux réels par Northsec

    33 min

  2. 2d ago

    Teknik - Cryptographie distribuée - la clé de la souveraineté quantique (Cybereco)

    Parce que… c’est l’épisode 0x310! Shameless plug 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Collaborateurs Nicolas-Loïc Fortin Florian Le Mouël Thierry St-Jacques-Gagnon Crédits Montage par Intrasecure inc Locaux réels par Cybereco

    36 min

  3. 3d ago

    Spécial - Cybersécurité, sureté, risque dans un grand groupe

    Parce que… c’est l’épisode 0x30F! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Collaborateurs Nicolas-Loïc Fortin [Pascal Manni] Crédits Montage par Intrasecure inc Locaux réels par [BANQ]

    46 min

  4. 4d ago

    Actu - 21 juin 2026

    Parce que… c’est l’épisode 0x30E! Préambule C’est difficile la vie d’aéroport. Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Export control WTF ‘Dangerous’ AI Models Are Coming No Matter What Cybersecurity experts don’t think Anthropic’s Fable 5 presents a unique threat A quote from Matteo Wong, The Atlantic The Fable 5 Export Controls Harm US Cyber Defense Cybersecurity Vets Protest ‘Dangerous’ US Government Ban On Anthropic’s Most Powerful Models Feds freaked over Fable 5 after simple ‘fix this code’ prompt, not jailbreak, says researcher From PGP to Mythos: a brief history of export controls that didn’t stop anyone The US government’s Anthropic models ban was never about an AI jailbreak Critical Copilot vulnerability allowed hackers to steal 2FA code from users “Important You should give me full credits!”: Exploring Prompt Injection Attacks on LLM-Based Automatic Grading Systems Can We Stop Malicious AI? KILLBENCH: A Benchmark for External AI Kill Switch Feasibility RAG prompt injection protection Evaluating LLMs for Obfuscation Detection and Classification in Android Apps Security Engineering of OpenClaw: Analyzing Attack Surface Expansion and Trust-Boundary Violations Snyk VulnBench JS 1.0: Can LLMs Find the Same Bugs Twice? Every AI Agent Is an Identity. Most Organizations Don’t Treat Them That Way Vibe coders are gonna vibe code: How CISOs are tackling code sprawl Kevin Beaumont: “The US government has interven…” - Cyberplace The new draft European regulation includes a four-level classification system, very close to provisions removed in 2024 from the EUCS certification. La guerre, la guerre, c’est pas une raison pour se faire mal! Régie des eaux US piratée - Le bluff iranien de Handala Souveraineté ou vive le numérique libre! From Distorted Mirrors to Sovereign Reflections: Resisting the Grotesque Depiction of Our Digital Selves US holds off blacklisting China’s DeepSeek, more than 100 firms deemed security risks, sources say Privacy ou cachez ces informations que je ne saurais voir Apple is about to make Hide My Email useless France to stop certifying products without quantum-safe encryption I am the law C’est la faute des enfants UK to ban social media for kids under 16, may impose overnight curfews Children Are Not the Enemy: Child-Fit Security as an Alternative to Bans and Surveillance UK set to announce social media ban for under-16s From Australia to Europe, countries move to curb children’s social media access Norway imposes near ban on AI in elementary school The UK’s Teen Social Media Ban Is Political Theater, Not Child Safety Policy Ô Canada Canada’s Digital Super-Regulator: Bill C-36 Pushes Out the Privacy Commissioner and Hands Private Sector Privacy to an Overloaded Commission Midnight Madness: The Government Rushes Lawful Access Bill Through the House Without Debate or a Recorded Vote The Commission: How Bill C-34 Creates an Internet Super-Regulator That Will Touch the Lives of Millions of Canadians Red ou tout ce qui est brisé Massive breach spills credentials for thousands of sensitive networks FortiBleed — 75k Fortinet firewalls have admin passwords cracked The Internet Runs on Names India temporarily blocks Telegram over medical exam cheating fears Telegram admits it couldn’t police exam-leak channels, India tells court 27-Year-Old OpenBSD Vulnerability Allows Attackers to Bypass PAP Authentication Entirely Microsoft Confirms Defender RoguePlanet 0-Day Exploit and Working to Release Patch New iPhone BootROM Vulnerability Exposes Apple SoCs to Full Chain-of-Trust Compromise When Does a Threat Intelligence IOC Expire? Most CISOs Report Pressure to Bury Bad Security News Stressors, AI Forcing Changes to Cybersecurity Teams I discovered a large-scale malware distribution on GitHub Microsoft Discovers Cryptocurrency Stealer That Spreads Through USB Drives and Uses Tor Crooks found a new way to collaborate using Teams – by hiding command-and-control traffic Cyber offenses now account for around a third of all crime across Asia and South Pacific Microsoft site throwing warnings after someone forgot to renew cert Blue ou tout ce qui améliore notre posture [curl summer of bliss daniel.haxx.se](https://daniel.haxx.se/blog/2026/06/15/curl-summer-of-bliss/) Divers ou parce que j’ai aucune idée où les placer AMD FTW Users cry foul after AMD stripped memory crypto from its consumer CPUs AMD will reinstate memory encryption on Ryzen 9000 CPUs through a BIOS update in July — TSME is coming back after ‘valuable community feedback’ Cabal How the Peter Thiel-Linked Dialog Club Secretly Ranks Its Members Leak Exposes Members of Peter Thiel’s Secretive ‘Dialog’ Society Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par YUL

    26 min

  5. Jun 18

    Teknik - Panel nsec 2026

    Parce que… c’est l’épisode 0x30D! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Résumé du panel Polysécure — nsec 2026 Présentation des panélistes Cet épisode spécial du podcast Polysécure réunit cinq invités aux profils variés : François Labrèche, principal data scientist chez Sophos travaillant avec le machine learning et les LLM dans un contexte XDR; François Proulx, VP recherche en sécurité chez Boost Security, spécialisé dans l’exploitation des build pipelines et la chaîne d’approvisionnement logiciel; Charles F. Hamilton, qui fait du red team chez Cyber; Christian Paquin, développeur cryptographique chez Microsoft Research; et Philippe Pépos Petitclerc, étudiant au doctorat et fondateur d’une petite compagnie de pentest, amateur de CTF. Le « Magic AI » et le phénomène Mythos La discussion s’ouvre sur l’éléphant dans la pièce : l’intelligence artificielle. Le sujet central est Mythos, présenté comme une démonstration marketing spectaculaire qui a semé la panique dans le milieu de la cybersécurité. Les panélistes s’entendent toutefois pour relativiser : ce modèle n’est pas fondamentalement plus dangereux que les autres. Labrèche rappelle qu’en tant que data scientist côtoyant les LLM chaque semaine, il observe une amélioration continue. Les travaux de Nicolas Carlini (Anthropic) montraient déjà des vulnérabilités trouvées dans le kernel Linux avant Mythos. Le succès de Mythos tiendrait surtout à son bon nom, plus effrayant que « vulnerability scanning ». Plusieurs nuances sont apportées sur le cas BSD choisi pour la démonstration : ce système représente moins de 1 % du marché, donc son code est peu analysé et offre peu de surface d’attaque intéressante. De plus, la vulnérabilité « découverte » serait en réalité déjà connue (un correctif raté de 2007) et présente dans les données d’entraînement. L’attaquant dans l’équation Un point récurrent : on oublie souvent l’attaquant dans l’équation. Pépos Petitclerc, ayant analysé les attaques sur son blog, constate des comportements « brain dead » — des attaquants peu qualifiés qui dépensent des tokens pour n’aller nulle part. Proulx, early adopter du vulnerability research par LLM depuis 2022, insiste sur le principe garbage in, garbage out : la qualité du prompt et l’expertise humaine font toute la différence. Les vulnérabilités récentes dans Linux ont d’ailleurs été trouvées par des humains extrêmement compétents (l’exemple de Copy-on-write/Splice est cité), pas par des agents autonomes. Le coût constitue un frein majeur : peu d’attaquants peuvent se permettre de dépenser 20 000 $ pour une vulnérabilité sans valeur réelle. Trouver une vulnérabilité ne signifie pas qu’elle soit exploitable en pratique, ni qu’on puisse la patcher plus vite — le problème du patching demeure (référence au drama MITRE/NVD de l’année précédente). La question du volume et de la visibilité Labrèche observe que les alertes clients n’ont pas explosé depuis trois mois, ce qui contredit la rhétorique d’une démocratisation massive des attaques. Les panélistes déboulonnent aussi le mythe des agents « autonomes » dotés d’une volonté propre : ces systèmes sont inertes sans humain pour les diriger. Une métaphore des fourmis illustre toutefois le danger : même inefficaces, des milliers de tentatives en parallèle finiront par faire tomber des cibles. Le vrai problème reste la visibilité réseau, inchangé depuis dix ans. Dette technique et nouvelles surfaces d’attaque Les LLM introduisent aussi des vulnérabilités. Proulx évoque des attaques de supply chain où du code généré est exploité quelques heures après son merge, et critique la prolifération de micro-librairies npm non maintenues (proposition humoristique de « tuer JavaScript »). Pépos Petitclerc signale une tendance : des secrets d’application Azure leakés sur GitHub, reconnaissables à leur signature (emojis, Unicode), avec 124 000 commits du type « remove client secret ». Le bandwidth humain pour réviser tout ce code généré devient le plus grand risque. L’écosystème criminel et la curiosité Une longue digression porte sur le disconnect entre l’industrie et les attaquants. Les criminels sont opportunistes : pourquoi dépenser des tokens quand le spray gratuit fonctionne ? Fait savoureux, les forums criminels eux-mêmes se plaignent du slop généré par les LLM. Deux « criminels » de la salle (clins d’œil humoristiques) racontent leurs débuts : cabines téléphoniques trafiquées, cartes d’arcade éditées en hexadécimal, disquettes de Doom copiées. Le message : tout part de la curiosité, et la ligne grise de la légalité est ce qui a mené plusieurs vers la défense des systèmes. On rappelle aussi que dans certains pays défavorisés, le cybercrime est une option de survie, parfois sous forme de travail forcé industrialisé — ce qui explique en partie l’absence d’explosion des attaques sophistiquées. Conclusion Le panel se termine sur des questions ouvertes : génère-t-on de la dette technologique trop vite pour pouvoir la corriger (réponse : oui, aucune chance de patcher à cette vitesse)? La rareté des vulnérabilités forcerait les attaquants vers des chemins connus, plus détectables, tout en augmentant la valeur des zero-days et de la main-d’œuvre hautement spécialisée. L’exemple de Metasploit illustre comment un outil peut rendre triviale une exploitation complexe, érodant l’expertise. Sur une analogie finale — une vulnérabilité non découverte fait-elle du bruit? — l’animateur clôt la discussion. Collaborateurs Nicolas-Loïc Fortin François Labrèche François Proulx Charles F. Hamilton Christian Paquin Philippe Pépos Petitclerc Crédits Montage par Intrasecure inc Locaux réels par Northsec

    51 min

  6. Jun 17

    Spécial - L'IA au service de la cybersécurité - de l'optimisation à la transformation (Cybereco)

    Parce que… c’est l’épisode 0x30C! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Dans cet épisode, je reçois Samuel Bonneau, venu présenter Cybereco la transformation profonde que son entreprise — une société de développement logiciel établie depuis quinze ans, qui intègre l’intelligence artificielle depuis huit ans — a opérée au cours de la dernière année. Contrairement à plusieurs entreprises qui se contentent d’un discours marketing autour de l’IA, l’organisation a réellement transformé ses façons de faire en profondeur. D’un objectif de 50 % à un changement de mentalité radical L’histoire débute par un objectif ambitieux fixé aux employés : devenir 50 % plus performants grâce à l’IA, sur une période d’un an. Plusieurs équipes ont dépassé largement cette cible en cours de route, ce qui a mené l’entreprise à revoir entièrement son approche. Samuel illustre ce changement par une analogie automobile : viser 50 % plus de vitesse revient à accélérer davantage avec le même véhicule, alors que viser une multiplication par dix ou vingt force à repenser entièrement le moyen de transport. C’est ce changement de paradigme — un mindset de croissance exponentielle plutôt qu’incrémentale — que l’entreprise a adopté, en parallèle de l’arrivée de modèles et d’outils de codage de plus en plus performants, dont Claude Code, qui a rapidement surpassé les outils utilisés jusque-là. Cette transformation ne s’est pas limitée aux équipes techniques : les ressources humaines, la finance et le reste du back-office ont aussi été intégrés, développant leurs propres flux de travail avec des agents, des compétences (skills) partagées entre équipes, et même de nouveaux outils et plateformes internes. Samuel souligne que la petite taille de l’équipe administrative et une culture d’innovation déjà bien ancrée ont facilité cette adoption, réalisée sur une période de trois à six mois pour la cinquantaine de personnes moins familières avec ces outils. Une urgence stratégique et des risques émergents Samuel explique que ce virage n’était pas optionnel : dans un domaine où l’IA évolue très rapidement, ne pas adopter ces outils aurait signifié perdre en pertinence face à des concurrents capables de développer plus vite et à moindre coût. Ce sentiment d’urgence (« do or die ») a guidé les décisions de l’entreprise. Or, cette accélération massive amène son lot de défis en cybersécurité. Les employés développant leurs propres agents et automatisations utilisent souvent leurs propres identifiants, ce qui peut devenir dangereux si ces agents ne sont pas correctement encadrés. Samuel cite l’exemple de la sandboxing des agents codeurs, un besoin pour lequel peu de solutions matures existaient sur le marché — l’outil le plus prometteur, Nvidia Open Shell, étant encore en préalpha, ce qui illustre bien le décalage entre la rapidité de l’innovation en IA et la maturité des outils de protection. Une plateforme cybersécurité développée à l’interne Face à ce constat, l’équipe a bâti sa propre plateforme de cybersécurité, intégrée à un robot Slack déjà utilisé pour les demandes liées à la sécurité. Cette plateforme analyse automatiquement les demandes d’utilisation d’outils ou de compétences (skills) externes, attribue des scores de risque et permet d’approuver ou de rejeter les requêtes. Plutôt que de gérer cela à travers du code traditionnel, l’équipe travaille désormais par spécifications : il suffit de modifier les spécifications fonctionnelles pour que le système se régénère avec les nouvelles règles, par exemple en ajoutant un critère lié à la localisation des données. L’élément le plus distinctif de cette plateforme est sa capacité à puiser dans toute la documentation interne d’un projet client — transcriptions de réunions, documents de conception, échanges — afin de déterminer automatiquement le niveau de criticité, les enjeux de disponibilité et les risques associés à un système avant même son développement. Cette information alimente ensuite la génération de spécifications de sécurité sur mesure, adaptées au contexte d’affaires réel du client plutôt qu’à des standards génériques. Encadrer les agents : god rails et supervision Une partie importante de l’entretien porte sur la façon de limiter les comportements destructeurs que pourraient avoir des agents autonomes. Samuel explique que chaque agent développé par l’entreprise comporte une douzaine de composantes, dont des mécanismes de garde-fous (« god rails ») qui valident que son comportement reste dans les limites prévues. Il illustre cela avec l’exemple d’un agent d’intégration des nouveaux employés (onboarding), qui ne doit jamais pouvoir exécuter des actions de désactivation de comptes (offboarding), même s’il possède techniquement les droits nécessaires pour créer des comptes. Un agent superviseur additionnel surveille les actions des agents opérationnels pour détecter et bloquer tout comportement anormal. Cette approche de décomposition en agents très spécialisés, plutôt qu’en un seul agent polyvalent, réduit non seulement les risques d’erreurs ou d’hallucinations liées à une fenêtre de contexte trop chargée, mais permet aussi de réduire les coûts en tokens en choisissant des modèles adaptés à la complexité réelle de chaque tâche. Choix des modèles et expertise interne L’entreprise s’appuie sur une équipe d’une quarantaine de spécialistes en IA, plusieurs détenant un doctorat, qui combinent rigueur scientifique et application concrète (programmation, entraînement et ajustement de modèles). Leur rôle a évolué : alors qu’ils entraînaient autrefois des modèles sur des infrastructures dédiées, ils se concentrent aujourd’hui davantage sur le choix du modèle optimal selon le contexte, qu’il soit local ou hébergé via une API externe, agissant essentiellement comme un routeur intelligent entre différents modèles de langage. Vers la commercialisation et les prochains défis Développée depuis janvier, la plateforme interne sert déjà à la fois à protéger l’entreprise et à soutenir des contrats clients de longue durée. Samuel évoque un potentiel de commercialisation, possiblement sous forme de produit en mode SaaS, déjà testé auprès de grands clients déployant des systèmes agentiques complexes. En clôture, Samuel partage sa vision des prochains défis : l’arrivée de robots humanoïdes en milieu industriel, déjà amorcée chez certains clients, qui posera de nouveaux enjeux de sécurité et de sûreté (safety) lorsque ces robots, connectés à des systèmes intelligents, devront être encadrés pour éviter des actions dangereuses. L’entreprise prévoit relancer une division spécialisée pour anticiper cette vague, prévue dans un horizon de deux à cinq ans. Collaborateurs Nicolas-Loïc Fortin Samuel Bonneau Crédits Montage par Intrasecure inc Locaux réels par Cybereco

    33 min

  7. Jun 16

    Le marché dérégulé selon Cyber Citoyen et Polysécure

    Parce que… c’est l’épisode 0x30B! Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Dans cette 17e collaboration entre les balados Cyber Citoyen et Polysécure, Catherine anime la discussion avec Sam et Nicolas autour de quatre grands thèmes : la surveillance étatique en Russie, les abus du système de surveillance routière Flock, une étude sur les noms de domaine malveillants et le couplage de cette tendance avec le phishing, et enfin une anecdote sur les véhicules de livraison Amazon. Le système Sorm en Russie Sam ouvre l’épisode en présentant le Sorm, un système russe de surveillance des communications téléphoniques et internet datant de 1995. Conçu au départ pour donner au FSB un accès direct aux infrastructures téléphoniques, il a été étendu en 1998 aux fournisseurs d’accès internet, puis intensifié autour des Jeux olympiques de Sochi sous prétexte sécuritaire. Les fournisseurs doivent installer cet équipement à leurs propres frais, ce qui pousse les petits opérateurs à résister, sous peine d’amendes ou de retrait de licence pendant dix ans. Le système permet désormais des recherches par mots-clés et centralise des données extrêmement sensibles : adresses, passeports, coordonnées bancaires, géolocalisation, adresses IP et courriels. Les intervenants soulignent le parallèle avec les pratiques américaines révélées par Snowden, et notent que cette intensification coïncide avec le mécontentement intérieur lié à la guerre en Ukraine. La discussion s’élargit aux blocages d’internet ailleurs (Iran, listes blanches), à la conférence SplinterNet sur la fragmentation du réseau mondial, puis à des tendances similaires dans les démocraties occidentales (Chat Control en Europe, le projet de loi C-2 au Canada, les lois britanniques), illustrant que l’identification obligatoire (numéros de téléphone, cartes SIM, interdiction des téléphones jetables aux États-Unis) n’est pas l’apanage des régimes autoritaires. Nicolas évoque aussi son expérience personnelle en Corée du Sud, où l’identité est systématiquement liée aux services numériques. Le segment se conclut sur l’inquiétude que cette centralisation des données personnelles russes constitue elle-même une cible de choix pour des puissances rivales, et sur le constat plus large d’une incompréhension généralisée des conséquences à long terme de ces choix technologiques. Les dérives du système Flock Nicolas revient ensuite sur Flock, le système de reconnaissance de plaques d’immatriculation, déjà abordé dans un épisode précédent. Grâce au site DeFlock, des citoyens ont découvert que leur plaque avait été recherchée des centaines de fois sans justification : un cas où un policier avait consulté la plaque d’une victime plus de cent fois, et un chef de police pris à espionner sa propre conjointe. La réponse de l’entreprise Flock, qui se targue de transparence plutôt que de reconnaître le problème, est jugée particulièrement maladroite, surtout après la révélation qu’une quarantaine de nouveaux cas d’abus ont été recensés en un seul mois. Les animateurs saluent le rôle du journalisme d’enquête (notamment celui de 404 Media) dans la mise en lumière de ces dérives, et comparent l’absence de garde-fous chez Flock aux systèmes d’alerte automatique utilisés dans les réseaux hospitaliers ou les agences gouvernementales, où une consultation anormale d’un dossier déclenche immédiatement une enquête. Le débat se conclut sur la question de savoir si cette absence de contrôle relève de l’incompétence ou d’un choix délibéré de ne pas investir dans la prévention des abus. Noms de domaine, phishing et marché de la fraude Sam présente ensuite une étude d’Interisle sur les noms de domaine enregistrés en 2025 : sur 85 millions de domaines créés, 8,5 millions ont fini bloqués pour usage frauduleux, soit un plancher d’environ 10 %, probablement plus proche de 15 à 20 % en réalité. Cinq bureaux d’enregistrement concentrent la moitié des domaines bloqués, l’un d’eux affichant un taux de 88 %, souvent via l’enregistrement automatisé en masse de domaines à très bas coût. Le groupe critique l’approche du rapport, trop centrée sur l’autorégulation du marché, alors qu’aucun mécanisme structurel n’empêche ces registraires de continuer leurs pratiques. L’exemple belge du CCB, qui bloque au niveau national les domaines jugés dangereux, est cité comme une approche plus efficace, comparable à une mesure de santé publique. La conversation aborde aussi la difficulté d’agir à l’échelle internationale, faute de coordination entre les autorités américaines et européennes. En lien avec ce sujet, Sam note une diminution du volume des attaques de phishing de 20 % en 2024 et 2025, non pas parce que la menace recule, mais parce que les attaquants privilégient désormais des campagnes plus sophistiquées et ciblées plutôt que des envois massifs peu rentables, une tendance facilitée par les outils d’intelligence artificielle générative. L’anecdote des camionnettes Amazon et la question de l’authenticité Le dernier sujet porte sur une mise à jour logicielle des camions de livraison Amazon qui coupe la climatisation après seulement trente secondes d’inactivité, exposant les chauffeurs à des chaleurs dangereuses, notamment au Texas. La réponse officielle d’Amazon, qui présente cette mesure comme un gain de confort et d’autonomie de batterie, est tournée en dérision par les animateurs, qui y voient un exemple typique d’absence d’accountability corporative. Cette anecdote sert de tremplin à une réflexion plus large sur le manque d’authenticité des communications d’entreprise contemporaines, illustrée par le retrait du slogan « Don’t Be Evil » chez Google, et une brève mention du manifeste controversé du dirigeant de Palantir, sujet que le groupe prévoit de traiter dans un épisode futur dédié. Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

    1h 2m

  8. Jun 15

    Actu - 14 juin 2026

    Parce que… c’est l’épisode 0x30A! Préambule Expérimentation avec une nouvelle approche d’enregistrer en itinérance. Le son n’est pas idéal, mais pas trop loin de l’objectif. Un nouvel essai aura lieu le 21 juin, où j’améliorerai l’approche pour atteindre une qualité suffisante en limitant la quantité de choses que j’apporte lorsque je suis en voyage. Shameless plug 24 et 25 juin 2026 - Troopers 26 et 27 juin 2026 - leHACK 30 juin au 2 juillet 2026 - Pass the SALT 19 septembre 2026 - Bsides Montréal 20 au 26 septembre 2026 - BruCON 13 novembre 2026 - DEATHCon 16 au 19 novembre - European Cyber Week 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Fable ou fiction Claude Fable 5 Doesn’t Change the Mythos Security Story Anthropic says these topics are too dangerous to let its Fable 5 model talk about Cybersecurity researchers aren’t happy about the guardrails on Anthropic’s Fable Il était une fois… l’export control ou la fable de l’accès universel Statement on the US government directive to suspend access to Fable 5 and Mythos 5 \ Anthropic Anthropic’s Claude Fable 5 Alleged Jailbreak to Generate Stack Exploits Anthropic shuts down Fable, Mythos models following Trump admin directive Our response to the US ban on Fable 5 and Mythos 5 How Amazon and the White House ended Anthropic’s Fable US ban on Anthropic’s Fable 5 and Mythos 5 has ‘Amazon link’: Researchers from Amazon used a series of prompts to … Tech Things: There is a massive shadow hanging over this Fable thing Lawsuit: ChatGPT validated suicidal woman’s distrust of crisis lines Zcash - Une IA déniche en 24h une faille vieille de 4 ans Extracting Recurring Vulnerabilities from Black-Box LLM-Generated Software Friend or Foe? Language as an ideological switch in open-weight LLMs under Russian disinformation stress AI Code Sandboxes: A Comparative Security Study Part 1 of 2 — Engine-Level Properties (Attack Surface, Leakage, Stackability, CVE History, Patch Cadence, Fuzzing) Sample-Efficient LLM-Based Detection of Malicious Web Server Logs with Forensically Explainable Reasoning SecureClaw: Clawing Back Control of LLM Agents Security Risks of Apple’s AI Changing Your Passwords Blame AI: Patch Tuesday Hits Record 206 CVEs Un ver informatique qui raisonne tout seul China-linked operators revive botnet, stir AI datacenter debate Are Frontier LLMs Ready for Cybersecurity? Evidence for Vertical Foundation Models from Dual-Mode Vulnerability Benchmarks Bypassing Prompt Guards in Production with Controlled-Release Prompting Mind your key: An Empirical Study of LLM API Credential Leakage in iOS Apps GenAI Is Both Hunter and Hunted at Pwn2Own Berlin 2026 La guerre, la guerre, c’est pas une raison pour se faire mal! Iran Signed a Ceasefire — Its Hackers Didn’t The Strange Defeat of Nuclear Deterrence Souveraineté ou vive le numérique libre! Digital Sovereignty Becomes An Imperative As the US Reads Dutch Emails All the Ways Europe Is Ditching American Technology Euro-Office 1.0 Arrives To Open-Source Infighting: ‘Compatibility Is Not Sovereignty’ Infineon to Open German Chip Fab as Part of EU Sovereignty Push AI Sovereignty: A Qualitative Model of Strategic Competition as AI Becomes an Instrument of National Power Canada: Artificial Intelligence as a Pillar of Digital Sovereignty - INCYBER NEWS Kevin Beaumont: “I’m on year 3 of trying to con…” - Cyberplace Germany 🇩🇪 https://social.bund.de https://social.schleswig-holstein.de Frankrijk 🇫🇷 https://social.numerique.gouv.fr Netherlands 🇳🇱 https://social.overheid.nl https://social.amsterdam.nl EU 🇪🇺 https://ec.social-network.europa.eu https://curia.social-network.europa.eu https://social.edps.europa.eu Block-A-Mole: The Sustainability Frontier of Moving-Target Censorship Resistance Privacy ou cachez ces informations que je ne saurais voir Souveraineté for the fail Over 73,000 French govt employees affected in Tchap messenger breach France Tchap Hack Undermines Its Encryption Crackdown Signal: UK’s child-nude-block threat won’t protect children Meta Deletes Face-Recognition System From Its Smart Glasses App After WIRED Report FCC Wants to Kill Burner Phones By Forcing Telecoms to Get All Customers’ IDs Flock Leaked Cops’ License Plate Searches via DuckDuckGo, Bing Expanding Private Cloud Compute - Apple Security Research I am the law FISA for the Fail House rejects last-ditch FISA extension ahead of Friday deadline Trump Risks Key Surveillance Authority Over ‘Unqualified’ Spy-Chief Pick Controversial FISA spying law expires tonight. The spying will continue. WhatsApp Catches Spyware Firm NSO Defying No-Hacking Court Order No tech rule exemption for Apple, EU regulators say amid spat over Siri AI delay Ottawa moves to restrict social media for kids under 16 Grok Is Still Hosting Sexualized Deepfakes of Famous Women US, France, and Italian authorities shut down massive deepfake porn site Red ou tout ce qui est brisé Cauchemar de l’éclipse Locked in heated rivalry with researcher, Microsoft fixes 0-day they disclosed Nightmare Eclipse publishes new Windows Defender zero-day Nightmare Eclipse drops claimed BitLocker bypass for Microsoft Windows Microsoft fixes BitLocker recovery bug on Windows Server 2025 GreatXML - BitLocker contourné en quelques clics via WinRE The architecture of the internet creates risks for democracy GitHub nukes 70+ Microsoft repos amid suspected worm attack Security Analysis of LTE Connectivity in Connected Cars: A Case Study of Tesla Faille kernel Linux - Un seul caractère et vous voilà root Arch Linux Now Believes Malware Incident Under Control: More Than 1,500 Affected Packages Blue ou tout ce qui améliore notre posture Experts say we should use passkeys, but can a smartphone PIN really be safer than a password? Signal Alums Reveal ‘Encrypted Spaces,’ a System for Making Private Collaboration Apps CISA Requires Federal Agencies to Patch Critical Vulnerabilities Within 3 Days Divers ou parce que j’ai aucune idée où les placer Yoti does not report GrapheneOS users to the authorities Des listes de cybercriminels à télécharger Can’t Stop the Signal. Poison It. Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Club Med La Caravelle

    48 min
See All (784)

About

Podcast francophone sur la cybersécurité. Pour professionels et curieux.

Information

  • Creator
    Nicolas-Loïc Fortin et tous les collaborateurs
  • Years Active
    2021 - 2026
  • Episodes
    784
  • Rating
    Clean
  • Copyright
    © CC BY-NC-ND 4.0
  • Show Website
    PolySécure Podcast

You Might Also Like