PolySécure Podcast

Parce que… c’est l’épisode 0x737! Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Contexte et rappel de l’épisode précédent Dans cet épisode technique, l’animateur reçoit à nouveau François Proulx pour faire le point sur une cyberattaque majeure dont les développements ont explosé depuis leur dernière conversation. L’épisode précédent portait sur une première attaque contre Trivy, un outil d’analyse de sécurité open source développé par l’entreprise israélienne Aqua Security. Trivy est massivement utilisé par de grandes entreprises pour inventorier les composants open source d’un projet (SBOM) et identifier les vulnérabilités associées (CVE). C’est précisément cette popularité qui en a fait une cible de choix. La deuxième vague : une réponse aux incidents incomplète À peine 20 jours après l’attaque initiale de fin février, Trivy a été compromis une seconde fois. La raison : Aqua Security n’avait pas révoqué la totalité des jetons d’accès (tokens) lors de sa réponse aux incidents. L’entreprise a attendu plusieurs jours avant de faire appel à une firme externe (Mend), ce qui lui a valu des critiques. Dans leur communiqué, ils ont admis avoir oublié de révoquer un token — et pas n’importe lequel : il s’agissait d’un token encore plus privilégié que celui utilisé lors de la première attaque, donnant accès à des dépôts privés internes contenant potentiellement de la propriété intellectuelle sensible. Cette deuxième attaque a été encore plus dévastatrice : non seulement Trivy a été empoisonné à nouveau, mais les GitHub Actions associées — des composants permettant d’intégrer Trivy dans des pipelines CI/CD — ont également été corrompues, y compris les versions antérieures. Ainsi, des organisations qui croyaient utiliser une version sûre et ancienne se sont retrouvées exposées sans le savoir. Une propagation en cascade Le vecteur initial était une vulnérabilité dans un workflow GitHub Actions du dépôt de Trivy, simple à exploiter mais peu connue. Les attaquants ont obtenu un token leur permettant de compiler et distribuer une version malveillante de Trivy sur les registres officiels — sans modifier le code source visible, ce qui rendait la détection plus difficile. Lorsque Trivy s’exécutait dans le pipeline CI/CD d’une entreprise victime, il agissait comme un info stealer : il exfiltrait les secrets et tokens présents dans l’environnement d’exécution. Ces tokens volés ont ensuite servi à compromettre d’autres projets, créant une chaîne de contamination à plusieurs niveaux : Premier ordre : Trivy lui-même, compromis chez Aqua Security. Deuxième ordre : les entreprises utilisant Trivy dans leurs pipelines, dont Checkmarx, un autre outil de sécurité applicative. Troisième ordre : des projets open source très populaires comme LiteLLM, une bibliothèque d’interfaçage avec des API de modèles de langage (LLM), dont le mainteneur semble avoir été compromis directement via son poste de travail. Environ 72 heures après l’attaque, des entreprises ont commencé à signaler publiquement que leurs tokens avaient été exfiltrés et réutilisés contre elles. Les attaquants se dévoilent Durant le week-end du 20 mars, le groupe responsable s’est révélé sur Twitter sous le nom Team PCP, en défaçant des dépôts GitHub pour prouver leurs accès. Ils ont ensuite établi des partenariats avec des groupes spécialisés dans les rançongiciels pour monétiser les accès obtenus — une évolution logique pour des acteurs en possession de téraoctets de secrets volés. Le FBI a officiellement nommé ce groupe et demandé à toutes les entreprises américaines victimes de déposer plainte. Selon François Proulx, le profil comportemental des attaquants — messages puérils, communication sur Telegram, manière de se vanter publiquement — laisse fortement penser qu’il s’agit d’adolescents, probablement situés hors du territoire américain, ce qui complique les poursuites. Pour entraver les équipes de réponse aux incidents, les attaquants ont utilisé des centaines de comptes GitHub légitimes achetés sur le marché noir (probablement issus de logs d’info stealers) pour inonder les fils de discussion d’incidents avec des commentaires génériques automatisés, rendant toute coordination difficile. Le problème structurel des dépendances transitives François Proulx soulève un enjeu critique lié à l’écosystème npm : la façon dont les contraintes de version sont définies dans les fichiers package.json. Lorsqu’une dépendance est déclarée de manière vague (ex. : axios: ^1.x), une mise à jour de routine peut automatiquement introduire une version compromise sans que le développeur s’en rende compte. La bibliothèque Axios, extrêmement populaire, a notamment été touchée dans cette attaque. Même avec un fichier de verrouillage (lock file), le risque n’est pas nul : une alerte de hash incohérent pourrait être ignorée ou, pire, conduire un développeur à régénérer le lock file en gelant ainsi la version malveillante. Ce que les développeurs peuvent faire François Proulx recommande deux mesures concrètes : Utiliser des outils de vérification en temps réel qui interceptent les téléchargements de composants npm ou PyPI pour les comparer à des listes de composants malveillants mises à jour plusieurs fois par heure. Adopter une période de gel (cool-off period) avant d’utiliser une nouvelle version d’une dépendance, afin de laisser à la communauté le temps de détecter d’éventuels problèmes. Il mentionne également Bagle, leur propre outil open source d’analyse locale, qui permet de détecter des secrets mal stockés sur un poste de travail (variables d’environnement, fichiers temporaires, etc.) sans rien envoyer à l’extérieur. Conclusion Au moment de l’enregistrement, le 2 avril, l’attaque était toujours en cours. Une grande partie des victimes ne sait même pas encore qu’elle a été compromise. Les semaines à venir risquent de révéler l’ampleur réelle des dégâts, notamment via les dépendances transitives. Cet épisode illustre à quel point la sécurité de la chaîne d’approvisionnement logicielle reste largement sous-estimée — et que ce réveil collectif, bien que douloureux, était peut-être nécessaire. Notes Teknik - Hackerbot-claw Collaborateurs Nicolas-Loïc Fortin François Proulx Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x736! Préambule Nous sommes à la Cage durant un match des Canadiens. Le bruit ambiant a fait que nous parlons en “criant”, pour nous entendre. Le lendemain, je n’avais plus de voix. Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Introduction et mise en contexte Dans cet épisode spécial, l’animateur reçoit Nicolas Bédard, un expert en infonuagique qui a évolué chez Google avant de rejoindre Palo Alto Networks. Le prétexte de l’épisode est concret : Nicolas s’apprête à se rendre à Paris pour participer à la grande conférence de S3NS, une entreprise issue d’un partenariat franco-américain au cœur de la souveraineté numérique en France. C’est l’occasion idéale pour aborder un sujet devenu incontournable, alors qu’il était encore marginal il y a quelques années seulement. S3NS : la franchise numérique franco-américaine Pour expliquer le modèle de S3NS, Nicolas utilise une analogie parlante : celle de la franchise de restauration rapide. Comme un franchisé de McDonald’s ou Tim Hortons qui investit dans son propre établissement tout en appliquant la recette du franchiseur, S3NS est une entreprise majoritairement détenue par le groupe français Thales, qui a obtenu de Google le « livre de recettes » de son infrastructure infonuagique — tant sur le plan matériel (serveurs, stockage, réseau) que logiciel (les services Google Cloud). S3NS propose deux offres distinctes : Cryptance : une couche de souveraineté appliquée directement sur l’infrastructure de Google Cloud. Les charges de travail (workloads) sont placées dans un dossier (folder) auquel sont attachées des règles de gouvernance strictes — notamment des clés de chiffrement gérées par S3NS — garantissant que les données demeurent sur le territoire français. Prémiance : un niveau supérieur, où Thales et Google ont co-construit des centres de données physiques en France. Ces infrastructures, propriété de S3NS, utilisent l’architecture de Google Cloud mais sont opérées de façon indépendante. Prémiance est certifiée SecNumCloud, la norme française de cybersécurité gérée par l’ANSSI, ce qui constitue une validation rigoureuse issue de plusieurs années d’expérimentation sur le terrain. La force des règles technologiques Un point central de la discussion porte sur la nature même des règles technologiques : contrairement aux règles entre humains, qui peuvent être interprétées, négociées ou contournées, les règles appliquées par une machine sont absolues. Nicolas illustre cela avec une anecdote personnelle : lors d’un projet pilote, des parties prenantes avaient exigé l’application de règles strictes, malgré ses mises en garde. En moins de 24 heures, le projet avait été abandonné parce que les participants ne pouvaient tout simplement pas « tolérer » des règles que la machine appliquait sans compromis. Cette rigidité est précisément ce qui rend la souveraineté numérique crédible. Le chiffrement, par exemple, ne se négocie pas : sans la clé détenue par l’entité française, même un acteur américain ne peut accéder aux données. Les craintes liées au Cloud Act américain, souvent agitées dans le débat public, se heurtent à cette réalité technique implacable. Le rôle de Palo Alto Networks Palo Alto Networks s’intègre dans cet écosystème parce que les clients qui migrent vers un cloud souverain s’attendent à retrouver les outils de sécurité qu’ils utilisaient dans leurs environnements traditionnels. Quatre produits de Palo Alto sont particulièrement concernés, tous basés sur des machines virtuelles (VM-based) : Les pare-feu de nouvelle génération (Next-Gen Firewalls) Prisma AIRS, le pare-feu dopé à l’IA pour contrer les injections de prompts et les fuites de données Panorama, la console centralisée de gestion des pare-feu XSIAM, la plateforme d’orchestration pour la réponse aux incidents Ces produits, parce qu’ils s’exécutent sur des machines virtuelles plutôt que sous forme de SaaS hébergé chez Palo Alto, peuvent être déployés aussi bien sur Cryptance que sur Prémiance, en conformité avec SecNumCloud. La vraie valeur du nuage et la modernisation des applications Nicolas insiste sur une vision souvent oubliée : le nuage, c’est avant tout du logiciel. Sa valeur réelle réside dans l’élasticité, la dématérialisation, les microservices et les conteneurs — pas dans la simple virtualisation de serveurs existants. Beaucoup d’entreprises ont mal abordé leur passage au nuage en y transférant des systèmes vieillissants sans les moderniser, ce qui les rend aujourd’hui incompatibles avec les exigences de la souveraineté numérique, qui impose une partition claire des services à l’échelle nationale. Rouler une application moderne — découpée en microservices indépendants, stateless, élastiques — sur un cloud souverain, c’est là que réside la vraie promesse de la prochaine génération d’infrastructures souveraines. Le retard canadien et les leçons européennes La France a commencé à réfléchir à la souveraineté numérique dès 2017 environ. Elle a construit ses normes, les a testées, les a fait évoluer. Le Canada, lui, s’est réveillé bien plus tard, emporté qu’il était par la « locomotive » américaine. Aujourd’hui, il n’existe pas d’équivalent canadien à SecNumCloud, et la maturité réglementaire nécessaire pour encadrer une véritable infrastructure souveraine est encore à construire. Les deux interlocuteurs s’entendent pour dire que le Canada devrait s’inspirer davantage de ce qui se fait en Europe — en France, en Allemagne, à travers des initiatives comme celle de la ville de Munich — plutôt que de se limiter à répéter le mot « souveraineté » sans se donner les outils concrets pour la réaliser. Cela implique une réarchitecture profonde des systèmes existants, un développement de compétences nationales et un cadre réglementaire sérieux. Conclusion La souveraineté numérique est un chantier de longue haleine, mais l’exemple de S3NS en France démontre qu’il est possible de concilier technologie américaine de pointe et contrôle national effectif. Nicolas conclut sur une note d’enthousiasme, impatient de voir la conférence parisienne et d’espérer que des modèles similaires finissent par voir le jour au Canada. Un suivi de l’épisode est d’ores et déjà prévu. Collaborateurs Nicolas-Loïc Fortin Nicolas Bédard Crédits Montage par Intrasecure inc Locaux réels par La Cage - Complexe Desjardins

Parce que… c’est l’épisode 0x735! Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Retour aux sources techniques Dans cet épisode, l’animateur retrouve Frédéric Grelot, expert en intelligence artificielle, qu’il n’avait pas croisé depuis un moment. Frédéric a quitté son poste de dirigeant chez Glimps, une entreprise qu’il avait exportée au Canada, pour retrouver ses premières amours : la technique et la recherche. Il a rejoint l’AMIAD (Agence pour la maîtrise de l’IA de défense), rattachée au ministère des Armées français, créée en 2024. Un retour assumé, les « mains dans le cambouis », comme il le dit lui-même. Le fil conducteur de cet échange tourne autour d’une idée provocatrice : peut-on faire de l’intelligence artificielle sans données ? Frédéric avertit d’emblée que la formule est volontairement accrocheuse, et que la réponse sera nuancée. Une histoire de l’IA en quelques étapes clés Pour comprendre où l’on va, Frédéric propose un retour sur les grandes ruptures qui ont façonné l’IA depuis une quarantaine d’années. 1989 – Les débuts des réseaux convolutifs. Le réseau LeNet-5, conçu pour lire des chiffres manuscrits sur des chèques, représente l’un des premiers exemples concrets de réseaux de neurones convolutifs. Ces réseaux fonctionnent en empilant des couches d’analyse : les premières détectent des formes simples (points, lignes, angles), les suivantes des structures plus complexes (roues, rétroviseurs, puis une voiture entière). Ce paradigme a dominé le domaine pendant environ vingt ans. 2012 – La double révolution. Deux événements simultanés ont provoqué une explosion du domaine. D’une part, Nvidia a démocratisé l’utilisation des GPU pour le calcul scientifique via son API CUDA, rendant accessibles des calculs matriciels massivement parallèles. D’autre part, le jeu de données ImageNet a été publié en accès libre — un million d’images réparties en 1 000 catégories — offrant à la communauté une base commune pour entraîner et évaluer des modèles. Ces deux facteurs combinés ont déclenché une effervescence considérable, notamment dans le domaine de la vision par ordinateur. 2017 – L’avènement des transformers. La publication du célèbre article Attention is all you need introduit une nouvelle architecture qui va s’imposer comme le standard de l’IA moderne. Contrairement aux approches séquentielles précédentes, le transformer analyse chaque mot d’une phrase en le mettant en relation avec tous les mots qui le précèdent, enrichissant progressivement le sens de chaque élément couche après couche. Cette capacité à saisir le contexte global d’une séquence est à la base de tous les grands modèles de langage actuels. Son principal défaut : un coût de calcul quadratique par rapport à la longueur des séquences. Doubler la longueur d’un texte quadruple le volume de calcul. Les recherches de ces huit dernières années ont largement porté sur la résolution de ce problème, avec des résultats impressionnants — certains modèles open source atteignent aujourd’hui des fenêtres de contexte d’un à deux millions de tokens. Novembre 2022 – ChatGPT et la démocratisation. La sortie de ChatGPT marque moins une rupture technologique qu’une rupture d’usage. En mettant dans les mains du grand public ce qui n’existait que dans des laboratoires, OpenAI a transformé une évolution technique en révolution sociale. Les questions d’hallucinations, de jailbreak et d’alignement des modèles ont alors émergé comme des enjeux majeurs. Les modèles de fondation : l’IA qui apprend à vivre avant de se spécialiser C’est ici que Frédéric introduit son concept central : les modèles de fondation. L’analogie qu’il utilise est parlante : un enfant qui grandit jusqu’à 20 ans — observant des formes, des visages, des papillons, faisant du cerf-volant — développe une compréhension générique du monde qui en fait un « excellent modèle de fondation ». Il sera ensuite capable d’apprendre un métier précis, comme la géométrie ou la rétroingénierie de code, en repartant de cette base solide plutôt que de zéro. Un modèle de fondation est entraîné sur des quantités massives de données brutes, sans nécessairement annoter chaque exemple. Une fois cette phase généraliste accomplie, on n’a plus besoin que d’un tout petit volume de données spécialisées et annotées pour l’amener à un niveau d’excellence sur une tâche précise. Là où il fallait autrefois des millions d’exemples étiquetés, quelques centaines suffisent désormais. Ce paradigme bouleverse les rapports de force autour de la donnée. Frédéric, qui conseillait autrefois à ses clients de « conserver précieusement toutes leurs données », leur dit aujourd’hui d’en garder un peu, de bonne qualité. Le reste n’est plus indispensable. Vers l’inférence sans entraînement La dernière évolution abordée est peut-être la plus spectaculaire : le zero-shot learning. Grâce à la richesse des modèles de fondation, il est aujourd’hui possible de montrer une seule image d’un objet inconnu — une voiture jamais vue pendant l’entraînement — et d’être immédiatement capable de la reconnaître dans d’autres photos. Aucun entraînement supplémentaire n’est nécessaire : le modèle comprend l’objet à partir d’un seul exemple. C’est en ce sens que l’on peut parler d’IA « sans données » : non pas qu’il n’y en ait jamais eu, mais que l’utilisateur final n’a plus besoin d’en fournir pour bénéficier de capacités autrefois réservées aux experts disposant de vastes bases de données annotées. Un domaine en perpétuelle ébullition La conversation aborde également la dynamique concurrentielle entre modèles propriétaires américains et modèles open source, notamment chinois (DeepSeek) et français (Mistral). Les contraintes imposées aux acteurs chinois en matière de puissance de calcul ont paradoxalement stimulé l’innovation, à travers des techniques comme la distillation, le pruning ou l’optimisation des architectures d’attention. L’épisode se conclut sur une note d’ouverture : les hallucinations reculent, les modèles apprennent à dire « je ne sais pas », et le champ continue d’évoluer à un rythme soutenu — autant de raisons de se retrouver pour un prochain épisode. Collaborateurs Nicolas-Loïc Fortin Frédéric Grelot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x734! Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Contexte Dans cet épisode spécial du podcast, l’animateur reçoit Guillaume Ross pour discuter d’un sujet d’actualité brûlant en cybersécurité mobile : la publication d’un outil d’exploitation sophistiqué — le toolkit DarkSword — sur la place publique, et ce que cela signifie concrètement pour la sécurité des utilisateurs ordinaires. La discussion s’inscrit dans la continuité des conseils véhiculés par le projet Hacklore, qui vise à démystifier la sécurité informatique pour le grand public. DarkSword et Corona : des outils de surveillance commerciaux Guillaume commence par recontextualiser la situation. DarkSword et Corona sont deux toolkits d’exploitation mobile qui combinent de nombreuses vulnérabilités — notamment plusieurs failles dans WebKit et dans iOS — pour compromettre des appareils ciblés. Ces outils, qui valaient autrefois des millions de dollars, semblent provenir d’une entreprise commerciale de surveillance. Comment ils se sont retrouvés dans le domaine public reste flou : fuite interne, employé corrompu ou revente illicite, l’origine exacte n’est pas encore établie. Ce qui est clair, c’est leur évolution d’utilisation : au départ déployés pour cibler des Ukrainiens dans le contexte du conflit avec la Russie (notamment via des watering hole attacks, soit des attaques à l’abreuvoir, où l’on compromise des sites web fréquentés par les cibles), ces outils ont ensuite été utilisés contre des acteurs du monde des cryptomonnaies et des jeux d’argent en ligne. Faut-il vraiment paniquer ? Guillaume tient un discours nuancé et rassurant pour la majorité des utilisateurs. La plupart des vulnérabilités exploitées par DarkSword et Corona ont été corrigées. En particulier, une personne qui maintenait son appareil à jour avec la version la plus récente d’iOS au moment de leur diffusion n’était généralement pas affectée. Aujourd’hui, il faudrait être deux versions en retard (soit en dessous d’iOS 26.2 au moment de l’enregistrement) pour rester vulnérable. Ce constat rejoint directement le message de fond de Hacklore : les mises à jour système sont la mesure de protection la plus importante. Non pas par peur des ports USB à l’aéroport ou des réseaux Wi-Fi publics — aucune des vulnérabilités connues de DarkSword n’est liée aux ports USB —, mais parce que le vecteur d’attaque principal reste les messages textes (SMS, iMessage) et la navigation web. Le vrai vecteur de menace : les messages et le web Contrairement à l’idée populaire que le danger vient des connexions physiques ou des réseaux publics, Guillaume souligne que les exploits mobiles les plus redoutables transitent principalement par : Les messages textes et iMessage, car l’utilisateur ne contrôle pas ce qu’il reçoit, et l’application Messages est complexe et supporte de nombreux formats de fichiers. La navigation web (attaques à l’abreuvoir), où un site légitime mais compromis peut servir de vecteur d’infection via Safari. Cela signifie que même en faisant « attention », une personne ciblée peut être compromise sans avoir cliqué sur quoi que ce soit de suspect. Recommandations concrètes selon le profil de risque Guillaume distingue clairement deux catégories d’utilisateurs : Pour monsieur et madame tout le monde : Installer les mises à jour iOS ou Android dès que possible, sans attendre. S’abonner à la liste de diffusion Security Announce d’Apple pour être alerté rapidement. Utiliser l’application iVerify pour recevoir des notifications presque instantanées lors de nouvelles mises à jour. Envisager le DNS over HTTPS pour avoir une meilleure visibilité sur le trafic réseau en entreprise. Pour les personnes à haut risque (journalistes, militants, détenteurs de cryptomonnaies importantes) : Activer le mode Isolement (Lockdown Mode) sur iPhone, qui désactive les aperçus de fichiers dans Messages et réduit considérablement la surface d’attaque. Utiliser iVerify pour une analyse forensique de l’appareil. Considérer le renouvellement régulier de l’appareil : le processeur de l’iPhone 17 (et des puces M5) intègre le Memory Integrity Enforcement (MIE), une technologie qui rend de nombreuses techniques d’exploitation nettement plus difficiles. Le problème des mises à jour négligées Un point important est soulevé concernant iOS 26 et son interface Liquid Glass, jugée peu populaire, voire franchement mauvaise selon Guillaume. Beaucoup d’utilisateurs décident délibérément de ne pas mettre à jour, préférant attendre iOS 27. C’est une erreur de sécurité significative, car les correctifs arrivent d’abord sur la version actuelle, avec un délai parfois important avant d’être rétroportés sur les versions plus anciennes. Ironiquement, Guillaume suggère que les nouveaux emojis inclus dans iOS 26.4 pourraient être le meilleur argument pour convaincre les récalcitrants de mettre à jour. Qui est vraiment à risque sans le savoir ? La partie la plus importante de la discussion porte sur les personnes qui ne se rendent pas compte de leur profil de risque élevé. Parmi elles : les détenteurs de cryptomonnaies avec des portefeuilles locaux, qui se sont retrouvés propriétaires d’actifs considérables sans avoir mis en place une hygiène de sécurité adéquate. Mais aussi des personnes vivant dans des pays où certaines caractéristiques personnelles (orientation sexuelle, opinions politiques) peuvent faire d’eux des cibles gouvernementales, sans qu’ils y pensent nécessairement. Conclusion En somme, la publication de DarkSword ne contredit pas les conseils de Hacklore — elle les confirme. Pour la grande majorité des utilisateurs, maintenir ses appareils à jour reste la mesure la plus efficace. Ce qui change, c’est que la fenêtre entre la disponibilité d’un exploit et son utilisation à plus grande échelle se rétrécit. La vigilance doit s’accélérer en conséquence. Collaborateurs Nicolas-Loïc Fortin Guillaume Ross Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x733! Shameless plug 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Introduction Dans cet épisode spécial enregistré au chalet, Claude reçoit Nicolas pour une conversation approfondie sur l’utilisation de l’intelligence artificielle dans les PME. L’entretien aborde plusieurs thèmes essentiels : la nature réelle des modèles d’IA, leurs risques et avantages pour les petites et moyennes entreprises, le phénomène du vibe coding, les enjeux de droits d’auteur, la confidentialité des données, ainsi que les risques liés aux achats sur des plateformes étrangères. Ce qu’est réellement l’intelligence artificielle Nicolas commence par démystifier le fonctionnement des grands modèles de langage (LLM). Contrairement à une idée répandue, l’IA ne « réfléchit » pas : il s’agit d’un modèle statistique dont le seul rôle est de prédire le prochain mot dans une séquence, en s’appuyant sur les données d’entraînement ingérées. Même les modèles qui prétendent « raisonner » ne font que relancer ce processus statistique sur lui-même. Cette nuance est fondamentale. Se fier aveuglément à une réponse générée par un LLM comporte des risques importants, particulièrement dans des domaines spécialisés comme la médecine ou le droit. Nicolas précise qu’une recherche dans une vraie base de données structurée — comme Google ou une bibliothèque — offre une meilleure garantie d’exactitude qu’une réponse générée par un modèle ayant « lu en diagonale » une quantité massive de contenu. Les avantages de l’IA pour les PME… avec nuances Il existe néanmoins des gains réels pour les PME qui utilisent l’IA de façon éclairée. L’IA générative de type LLM, popularisée depuis le lancement public de ChatGPT, représente la face la plus visible d’une technologie qui existe en réalité depuis plusieurs décennies. Les avancées récentes ont simplement permis de rendre ces outils accessibles au grand public. Cependant, les LLM sont des outils généralistes : ils performent bien dans l’ensemble, mais montrent leurs limites dès qu’on entre dans des domaines très précis. Pour ces cas, il est nécessaire d’entraîner des modèles spécialisés. La prudence reste de mise : ces technologies sont encore nouvelles, les usages mal maîtrisés peuvent créer des problèmes sérieux. Nicolas conseille aux PME d’observer les erreurs des autres avant de se lancer tête baissée. Les hallucinations et l’aide à la décision Un risque majeur des LLM est le phénomène d’hallucination : le modèle génère une réponse fausse, mais formulée avec assurance. La probabilité d’hallucination dépend notamment de la façon dont le modèle a été configuré et enrichi. Un modèle « augmenté » avec du contenu robuste et pertinent offre de meilleures garanties. Toutefois, Nicolas souligne une règle d’or : seul un expert dans son domaine est réellement en mesure de détecter une hallucination. Il ne poserait jamais une question médicale à une IA, faute de pouvoir valider la réponse. En revanche, un professionnel qui connaît son secteur peut utiliser l’IA comme outil d’exploration d’avenues, tout en exerçant son jugement critique. Des guides de bonnes pratiques existent désormais, publiés par les gouvernements du Québec, du Canada, ainsi que par des agences européennes et américaines. Ces documents encouragent unanimement la prudence, la vérification des sources et l’absence de confiance aveugle envers les réponses générées. Le vibe coding : programmer au pif La partie la plus percutante de l’échange porte sur le vibe coding, cette tendance à utiliser l’IA pour générer du code sans posséder les connaissances techniques nécessaires. Nicolas utilise une analogie parlante : c’est comme demander à quelqu’un sans formation en menuiserie de fabriquer un meuble de qualité. Le résultat fonctionnera peut-être, mais il ne sera ni durable, ni élégant, ni robuste. Le problème central est celui de la dette technologique : le code produit par vibe coding devra être revu, corrigé, voire entièrement réécrit beaucoup plus tôt que du code conçu selon les règles de l’art. Un développeur formé en ingénierie de système ne se contente pas d’atteindre un objectif immédiat — il conçoit une architecture cohérente, évolutive et maintenable. L’IA, elle, est orientée vers l’objectif final, sans souci du chemin parcouru. Ce manque de rigueur dans le processus engendre également de sérieux problèmes de sécurité. Des études récentes ont démontré que le code généré par IA présente un niveau de vulnérabilité significatif. Des exemples publics, notamment aux États-Unis, illustrent les conséquences concrètes : des applications mal sécurisées exposant des données personnelles sensibles. Claude Mercier évoque un cas marquant impliquant des informations personnelles de femmes vulnérables rendues publiques en raison de failles dans une application mal codée. Le vibe coding reste acceptable pour de petits projets internes, sans exposition à internet, lorsque les enjeux sont limités. En revanche, pour des systèmes de production, des applications complexes ou tout ce qui constitue le cœur d’une entreprise, il est fortement déconseillé. Droits d’auteur et confidentialité des données Un aspect souvent négligé est la question des droits d’auteur sur le code généré par IA. Un jugement récent aux États-Unis ne reconnaît pas de droits d’auteur sur les contenus générés par l’intelligence artificielle. Ainsi, si 90 % d’un code est produit par une machine, il n’est probablement pas protégé légalement, ce qui signifie qu’en cas de vol, aucun recours juridique n’est possible. Par ailleurs, la protection des données envoyées aux LLM est un enjeu critique. Seules les licences de type entreprise — comme Microsoft 365 Copilot ou Google Workspace — offrent une protection réelle contre la réutilisation des informations transmises. Les versions gratuites ou personnelles de ces outils, tout comme ChatGPT ou Claude en accès grand public, peuvent utiliser les échanges pour réentraîner leurs modèles. Nicolas rappelle qu’il faut activement décocher certaines options pour retirer son consentement à cette réutilisation. Conclusion Cet échange offre une perspective lucide et nuancée sur l’IA dans le contexte des PME. L’intelligence artificielle est un outil puissant, mais mal compris et souvent mal utilisé. La prudence, la formation et le recours à des professionnels qualifiés restent les meilleures garanties pour en tirer des bénéfices réels sans s’exposer à des risques coûteux. Collaborateurs Nicolas-Loïc Fortin Claude Mercier Crédits Montage par Intrasecure inc Locaux réels par Le Chalet de Claude

Parce que… c’est l’épisode 0x732! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou dans le prisme de la machine Naif Terminator AI agents are ‘gullible’ and easy to turn into your minions Documentation can contain malicious instructions for agents AI-Powered Dependency Decisions Introduce, Ignore Security Bugs Using AI to code does not mean your code is more secure Number of AI Chatbots Ignoring Human Instructions Increasing, Study Says OpenClaw is a Security Nightmare Dressed Up as a Daydream Why Email Spam Looks Better Than Usual These Days Lightning-fast exploits mean patch fast, says Cisco Talos Reverse-SynthID - Le filigrane de Gemini mis à nu Anthropic wins preliminary injunction in Trump DOD fight Linux Maintainer Greg Kroah-Hartman Says AI Tools Now Useful, Finding Real Bugs MP victim of AI deepfake fails to get answers from Big Tech La guerre, la guerre, c’est pas une raison pour se faire mal! A Mysterious Numbers Station Is Broadcasting Through the Iran War Why Cyberwarfare Hits Civilian Companies First Iran-linked group Handala hacked FBI Director Kash Patel’s personal email account Iran Hacktivists Make Noise but Have Little Impact on War Was the Iran War Caused by AI Psychosis? Souveraineté ou vive le numérique libre! US bans new foreign-made consumer internet routers US cloud giants not invited to Euro digital dosh project Privacy ou cachez ces informations que je ne saurais voir Using a VPN May Subject You to NSA Spying Building an E2E Encrypted Chat Application with LanceDB and libsodium I am the law L’appétit de contrôler les enfants GrapheneOS refuses to comply with new age verification laws for operating systems — group says it will never require personal information Un ingénieur a intégré la vérification d’âge dans Linux, et c’est la panique The Battle Over Chat Control: How EU Governments and the Tech Lobby Are Trying to Overturn Parliament’s Vote — A Comprehensive Fact Check End of “Chat Control”: EU Parliament Stops Mass Surveillance in Voting Thriller – Paving the Way for Genuine Child Protection! – Patrick Breyer Meta Loses Trial After Arguing Child Exploitation Was ‘Inevitable’ Supreme Court declines to review press freedom case Supreme Court Sides With Internet Provider In Copyright Fight Over Pirated Music European Commission investigating breach after Amazon cloud account hack California Bill Would Require Parent Bloggers To Delete Content of Minors On Social Media Red ou tout ce qui est brisé Apple battling the DarkSword Coruna, DarkSword & Democratizing Nation-State Exploit Kits Apple says no one using Lockdown Mode has been hacked with spyware Threat Insight: “Proofpoint has directly observ…” Apple issues urgent lock screen warnings for unpatched iPhones and iPads DarkSword’s GitHub leak threatens to turn elite iPhone hacking into a tool for the masses Voice phishing skyrockets as smooth crims talk their way in Do Emergency Microsoft, Oracle Patches Point to Wider Issues? Popular LiteLLM PyPI Package Backdoored To Steal Credentials, Auth Tokens Bitwarden Doubled Their Price. I’d Already Left. Here’s What You Missed. - ByteHaven - Where I ramble about bytes Blue ou tout ce qui améliore notre posture The Most Secure, Modern Computer Might Be A Mac Streamlining secure boot for 26.10 - Project Discussion / Foundations Apple randomly closes bug reports unless you “verify” the bug remains unfixed Google moves post-quantum encryption timeline up to 2029 Security boffins harvest bumper crop of API keys from web Microsoft cracks down on old Windows kernel drivers Divers Remote or not, workers are drifting back toward the city Open source isn’t a tip jar – it’s time to charge for access Enterprise PCs are unreliable, unpatched, and unloved Security leaders say the next two years are going to be ‘insane’ Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Cardo Brussels

Parce que… c’est l’épisode 0x731! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Présentation et contexte Dans cet épisode spécial du podcast, Nicolas reçoit François Khourbiga et Thomas Raffineau Maréchal, cofondateurs d’une startup dans le domaine de la cybersécurité (Defants). Après quatre années d’activité, la compagnie a officiellement fermé ses portes en août 2025. Quelques mois après cette fermeture, les deux fondateurs acceptent de revenir sur cette expérience avec sérénité, dans un esprit de partage et de transmission pour ceux qui souhaiteraient se lancer dans l’aventure entrepreneuriale. La fermeture : un événement difficile, vécu différemment Thomas et François s’accordent sur le fait que la fermeture a été un choc émotionnel profond, mais que les effets se sont souvent manifestés après coup. Pendant les turbulences, les fondateurs restaient concentrés sur la gestion quotidienne, tenant le cap. C’est seulement une fois la tempête passée que le vide s’est fait ressentir — une expérience qu’ils comparent à un deuil, ou à la perte d’une relation importante. Leur engagement avait été total : familial, financier, personnel. Cela rend inévitablement la chute plus douloureuse que pour des collaborateurs salariés. Les causes de l’échec : une suite d’erreurs cumulées Les deux fondateurs sont honnêtes sur les facteurs qui ont conduit à la fermeture. Un excès de confiance envers l’écosystème. Lors de leur première levée de fonds, ils ont idéalisé le rôle des investisseurs et des structures d’accompagnement. Ils ont découvert que tous les fonds n’avaient pas la même vision : certains adoptaient une approche purement comptable, incompatible avec les horizons longs que nécessite une startup deeptech investissant massivement en R&D. Une divergence de visions. Les cofondateurs et leurs investisseurs n’avaient pas les mêmes objectifs ni les mêmes contraintes. Cette tension entre croissance à long terme et exigence de rentabilité immédiate n’a jamais vraiment été résolue, épuisant l’énergie de l’équipe — et le cash. Un marché français très régulé. La startup opérait dans un secteur où les certifications coûtent des centaines de milliers d’euros aux entreprises clientes, rendant ces dernières très résistantes au changement. Proposer de l’innovation dans un marché aussi rigide s’est avéré extrêmement difficile commercialement. Leur demande de pivoter vers des marchés moins régulés n’a pas reçu le soutien espéré. Une stratégie commerciale inadaptée. En rétrospective, Thomas et François estiment qu’ils auraient dû commencer par une activité de service outillé — démontrer la valeur de leur logiciel par des prestations concrètes — plutôt que d’essayer de vendre directement une solution logicielle à de grandes entreprises. Arriver face à des groupes qui voient défiler quinze startups par jour en clamant « nous sommes différents » n’était pas la bonne approche. La preuve par l’exemple aurait été bien plus convaincante. Des pivots trop fréquents. S’adresser trop tôt à de trop grands comptes, pivoter trop souvent : l’accumulation de ces faux pas a fini par mener dans une impasse. « Rater bien » : la fermeture dans le respect des équipes Malgré l’échec, François et Thomas tiennent à souligner ce qu’ils considèrent comme une réussite dans la manière de conclure l’aventure. Conscients de leur responsabilité envers leurs collaborateurs, ils ont tout fait pour que personne ne se retrouve du jour au lendemain sans filet. Transparents sur les difficultés tout au long de la vie de la startup, ils ont accompagné chaque membre de l’équipe vers une sortie digne, à l’opposé des fermetures brutales que l’on observe parfois dans l’écosystème américain. Comme le dit François : « Le bateau a coulé, certes, mais tout le monde avait un radeau. » L’écosystème breton : une bienveillance remarquable Un point revient avec insistance dans la discussion : la qualité de l’écosystème entrepreneurial en Bretagne et à Rennes. Les deux fondateurs saluent la chaleur humaine, la proximité des acteurs et le soutien reçu, aussi bien pendant la vie de la startup qu’au moment de sa fermeture. Beaucoup de personnes ont répondu présent pour échanger, partager des expériences similaires ou simplement témoigner leur soutien. Si cet accompagnement s’est parfois révélé être une forme de « sirène » — encourageant sans nécessairement aligner les attentes — la reconnaissance reste entière envers celles et ceux qui ont cru en eux. Ce qu’ils referaient, et ce qu’ils changeraient Sur les décisions passées, Thomas et François refusent de tomber dans le regret. Chaque choix a été pris avec les informations et la conviction du moment. Ce qui change, c’est le bagage accumulé. Si c’était à refaire, ils opteraient pour une approche plus pragmatique et mesurée : commencer petit, prouver la valeur par le service, créer de la traction concrète avant de chercher des financements, et ne jamais considérer qu’une levée de fonds ou un accompagnement équivaut automatiquement à des clients. La suite : rebondir et regarder vers l’avenir Aujourd’hui, chacun a repris sa route. François a lancé une activité indépendante centrée sur la réponse à incident, le threat hunting et la forensique — des domaines qu’il a découvert être ses véritables moteurs. Thomas, de son côté, a rejoint un centre d’excellence cyber en tant que product owner, se retrouvant désormais de l’autre côté du miroir, à évaluer les idées de startups qu’il reçoit. Ce qui importe le plus, peut-être, c’est que les deux cofondateurs ont traversé la tempête ensemble et sont arrivés sur la même plage. Leur amitié est intacte, leur envie d’entreprendre n’est pas éteinte, et leur sac à dos est désormais bien plus riche d’expériences. Comme le résume Thomas : « Si une prochaine bêtise est à faire, on la refera peut-être ensemble. » Notes Thunt Labs Security Collaborateurs Nicolas-Loïc Fortin Thomas Raffineau Maréchal François Khourbiga Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x730! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Introduction Dans cet épisode spécial PME du podcast 0x730, Nicolas reçoit à nouveau Claude Mercier pour une conversation enregistrée au chalet. Claude, qui travaille régulièrement avec des PME, pose une série de questions pratiques sur la cybersécurité en entreprise. L’objectif est simple : traduire des concepts techniques parfois abstraits en conseils concrets et accessibles pour les gestionnaires et propriétaires de petites et moyennes entreprises. Sécuriser les postes de travail La première question porte sur la configuration idéale d’un poste ou d’un portable en PME. Nicolas explique qu’il existe déjà des gabarits de configuration préconçus qui facilitent grandement le travail. Dans un environnement centralisé, leur déploiement est simplifié ; pour les plus petites structures, ils peuvent être appliqués machine par machine. Le principe de base reste le même : garder les systèmes d’exploitation constamment à jour, ce qui constitue la mesure de protection la plus efficace et la plus négligée. Pour illustrer l’importance de protéger un poste, Nicolas recourt à une analogie simple : un ordinateur, c’est comme un édifice physique. On y met des serrures, des verrous, des coffres-forts, non pas pour la forme, mais parce que l’intérieur contient des informations précieuses — liste de clients, données financières, procédés exclusifs. Perdre le contrôle de ces informations peut mettre en péril l’entreprise entière. Chiffrement et mot de passe Le sujet du chiffrement de disque est abordé avec nuance. Des outils comme BitLocker de Microsoft permettent de chiffrer le contenu d’un disque dur, mais cette protection ne vaut que si un mot de passe d’ouverture de session est également configuré. Sans ce mot de passe, le coffre-fort virtuel reste grand ouvert. Nicolas précise que le chiffrement sert principalement à protéger les données en cas de vol physique de l’appareil ou du disque dur : sans la clé associée, le contenu devient illisible pour n’importe qui. Antivirus modernes, EDR et XDR La question des antivirus permet à Nicolas de distinguer les solutions d’ancienne génération des solutions modernes. Le Defender intégré à Windows, par exemple, est considéré comme suffisant pour la grande majorité des PME qui n’évoluent pas dans des secteurs à risques élevés. Il bloque environ 95 % des menaces courantes. Les termes EDR (Endpoint Detection and Response) et XDR (Extended Detection and Response) désignent précisément ces antivirus de nouvelle génération. Leur grande différence par rapport aux anciens outils : ils ne se contentent plus de reconnaître des signatures de fichiers malveillants, ils analysent les comportements anormaux sur la machine. Un processus qui agit de façon suspecte sera détecté, même si aucune signature connue ne lui correspond. Les droits administrateur Sur la question de qui devrait avoir les droits d’administrateur dans une PME, Nicolas est catégorique : le moins de personnes possible. Il compare ces droits à l’accès aux paramètres internes d’un moteur de voiture : personne ne va bricoler les composants d’un véhicule sans être mécanicien qualifié. De même, un utilisateur non formé qui dispose de droits admin peut involontairement causer des dommages considérables, ou pire, offrir aux attaquants le même niveau d’accès que le sien s’il clique sur un lien malveillant. VPN : mythes et réalités Les VPN commerciaux font l’objet d’un marketing souvent trompeur. Nicolas distingue deux types de VPN : les VPN commerciaux (NordVPN, ProtonVPN, etc.), dont l’utilité réelle est très limitée pour une PME, et les VPN d’entreprise, que l’on configure soi-même pour permettre l’accès sécurisé à distance à son propre réseau interne. Le premier est largement superflu dans le contexte actuel, car les communications en ligne sont déjà chiffrées nativement. Le second est utile, mais doit être déployé avec soin : si le poste utilisé est mal sécurisé, le tunnel VPN devient un vecteur d’intrusion vers l’ensemble du réseau d’entreprise. Windows Hello et l’authentification sans mot de passe Nicolas présente Windows Hello comme une solution d’authentification moderne dite passwordless. Plutôt qu’un mot de passe classique — qui peut être volé —, cette approche repose sur une clé cryptographique associée à un scan biométrique. Il n’y a donc rien à dérober. La sécurité est plus robuste et l’expérience utilisateur, plus fluide. Sauvegardes : l’approche 3-2-1 La deuxième grande thématique concerne les sauvegardes. Nicolas présente la règle 3-2-1 : trois copies des données, sur deux supports différents, dont une hors site. L’objectif est de pouvoir récupérer rapidement les informations critiques en cas de panne mécanique, de vol ou d’attaque par rançongiciel. Point crucial : les sauvegardes doivent être hors ligne ou hors réseau (offline). Une copie accessible depuis le réseau de l’entreprise peut être chiffrée ou effacée par un attaquant en même temps que les données originales, la rendant inutile. Elles doivent également être chiffrées, qu’elles soient stockées dans le nuage ou transportées physiquement. Enfin, il est tout à fait possible de sauvegarder les courriels hébergés sur des plateformes comme Microsoft 365 ou Google Workspace grâce à des services tiers dédiés. La « question noire » : les rançongiciels En guise de conclusion, Claude pose une question délicate : si Nicolas était un attaquant, quelle stratégie adopterait-il ? La réponse est sans équivoque : les rançongiciels ciblant les PME. Ces entreprises sont souvent les moins bien protégées, n’ont pas de sauvegardes fiables, et sont prêtes à payer pour récupérer leurs données. Le coût d’une cyberattaque peut rapidement atteindre 100 000 $ par jour en honoraires d’urgence, sans compter les pertes d’exploitation, voire la perte de clients au profit de concurrents. La bonne nouvelle : les PME qui appliquent les mesures de base — sauvegardes hors ligne, MFA, séparation des accès — compliquent suffisamment la tâche des attaquants pour que ceux-ci renoncent plus rapidement. La tendance s’améliore lentement, mais le chemin reste long. Collaborateurs Nicolas-Loïc Fortin Claude Mercier Crédits Montage par Intrasecure inc Locaux réels par Le Chalet de Claude

Parce que… c’est l’épisode 0x729! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Introduction Dans cette 14e collaboration entre les balados Cyber Citoyen et PolySécure, Nicolas reçoit Catherine Dupont-Gagnon et Samuel Harper pour une discussion dense et animée sur plusieurs enjeux de cybersécurité, de surveillance et de démocratie numérique. L’épisode couvre trois grands thèmes : le projet de loi canadien C-22, les révélations sur le Department of Homeland Security américain, et la montée des outils d’influence politique automatisés. Le projet de loi C-22 : entre progrès et inquiétudes Samuel Harper introduit le projet de loi C-22, une version remaniée et plus ciblée de l’ancien C-2, qui avait suscité beaucoup de controverse. Si certaines dispositions particulièrement attentatoires à la vie privée ont été retirées — notamment la fouille du courrier postal et la collecte de données sans mandat — d’autres éléments soulèvent encore des préoccupations. Parmi les changements notables, les forces de l’ordre pourront désormais demander à un fournisseur de services Internet ou de télécommunication si une personne y détient un compte, sans avoir besoin d’un mandat préalable. La compagnie doit simplement répondre par oui ou non. Sam souligne que cette disposition, bien qu’encadrée, pourrait permettre de dresser des profils assez détaillés en croisant les informations de plusieurs fournisseurs. Le projet de loi prévoit également d’obliger certains fournisseurs — désignés comme « core providers » — à conserver les métadonnées de communications pendant une période maximale d’un an. Cela inclut notamment des données de géolocalisation et des informations sur quels appareils ont communiqué entre eux. Catherine soulève un point crucial : cette obligation de conservation crée une cible de choix pour des acteurs malveillants ou des employés internes corrompus qui pourraient accéder à ces données de façon non autorisée. Le trio discute également de la légalisation pour les forces de l’ordre d’utiliser des données de sources ouvertes (réseaux sociaux publics, forums) et potentiellement d’acheter des données auprès de data brokers. Cette dernière pratique est particulièrement problématique, car elle permet de contourner l’exigence d’un mandat judiciaire en remplaçant la procédure légale par un simple budget d’enquête. La question des données de santé achetables sur le marché, et la facilité croissante de désanonymiser des individus grâce à l’intelligence artificielle, vient compléter ce tableau préoccupant. Pour ceux qui souhaitent s’opposer au projet de loi, Samuel rappelle que les citoyens peuvent contacter leur député, écrire des commentaires sur le site du Parlement ou demander à témoigner en comité. Les révélations sur le Department of Homeland Security Catherine prend ensuite la parole pour présenter des documents divulgués par des activistes concernant des projets de surveillance du Department of Homeland Security américain. Environ 6 000 entreprises auraient soumis des propositions à l’agence, allant de la surveillance biométrique avancée dans les aéroports jusqu’à l’utilisation des téléphones comme scanners biométriques. Le projet qui retient le plus l’attention de Catherine est une plateforme qui analyserait les appels au 911 à l’échelle nationale pour créer une carte prédictive des incidents criminels — une forme de « minority report » appliquée à la police. Cette approche algorithmique de la prévention du crime est hautement problématique en raison des biais systémiques qu’elle risque de reproduire et d’amplifier. Le livre Automating Inequality est mentionné comme référence sur ce sujet. Samuel insiste sur le fait que ces projets ne sont pas que théoriques : certains sont déjà partiellement retenus et font l’objet de financements dépassant les 100 milliards de dollars. Sans tomber dans le fatalisme, les trois animateurs rappellent que la résistance citoyenne a déjà démontré son efficacité — notamment à Minneapolis — et que des solutions créatives et low-tech, comme des techniques de maquillage perturbant la reconnaissance faciale, peuvent constituer des formes de résistance accessibles et efficaces. Les « combattants numériques » et la démocratie gamifiée Catherine présente ensuite un article du Devoir portant sur une entreprise israélienne qui commercialise une technologie d’influence politique au Canada. Le principe : envoyer des messages à des sympathisants pour les inciter à interagir avec des publications politiques, en générant même des commentaires personnalisés par intelligence artificielle afin d’éviter la détection des plateformes. Il ne s’agit pas de bots, mais d’humains dont l’action est orchestrée et facilitée par la machine, ce que Samuel qualifie d’« astroturfing gamifié ». La comparaison avec Cambridge Analytica est inévitable : on instrumentalise les liens de confiance entre individus, comme Farmville le faisait jadis sur Facebook pour aspirer les données des amis d’utilisateurs. L’enjeu démocratique est fondamental : l’application est conçue pour que l’utilisateur n’ait pas à réfléchir au message qu’il diffuse, court-circuitant ainsi l’engagement politique authentique. La dette cognitive et l’intelligence artificielle en éducation La discussion dérive naturellement vers l’usage de l’IA générative dans les milieux professionnels et éducatifs. Catherine observe une dégradation notable chez ses étudiants : travaux générés en quelques secondes sans relecture, anxiété accrue aux examens, baisse des résultats sur des évaluations identiques à celles d’il y a 18 mois. Elle note que les étudiants délèguent même la prise de notes à des outils IA lors des cours Zoom, privant leur cerveau du travail cognitif nécessaire à la mémorisation. Nicolas renchérit en évoquant la qualité des documents reçus dans son milieu professionnel, qu’il décrit comme des textes « bien polis mais sans substance » — un éternuement qui n’aboutit pas. Le groupe s’entend pour dire que l’IA est un outil utile dans certains contextes, mais que son utilisation généralisée et non réfléchie érode des compétences fondamentales. La solution, jugée simple mais exigeante, reste de faire l’effort cognitif soi-même. Conclusion L’épisode se termine sur une note d’espoir mesuré : sans nier la gravité des enjeux abordés, les trois animateurs refusent le fatalisme. Ils évoquent la possibilité de diffuser le balado sur Twitch pour rejoindre un public plus jeune, et s’engagent à tester prochainement la fameuse application de militantisme virtuel pour en analyser les résultats dans un épisode futur. Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x728! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes RadioCSIRT Cyblex Consulting IA ou dans le prisme de la machine Child abuse Europe takes first step to banning AI-generated child sexual abuse images Teens sue Elon Musk’s xAI over Grok’s pornographic images of them Prevalence of generative artificial intelligence sexualized image usage by adolescents in the United States New study raises concerns about AI chatbots fueling delusional thinking AI Didn’t Make Expertise Optional. It Made It More Valuable Why Security Validation Is Becoming Agentic AI-driven fraud far more profitable, Interpol warns Google lance une IA pour traquer les bugs dans le noyau Linux Okta made a nightmare micromanager for your AI agents Signal’s Creator Is Helping Encrypt Meta AI A rogue AI led to a serious security incident at Meta AI Conundrum: Why MCP Security Can’t Be Patched Away US to embed Palantir AI across entire military: Report La guerre, la guerre, c’est pas une raison pour se faire mal! Iran Poland Says It Foiled a Cyberattack on Its Nuclear Research Centre: Why the Iran Clue Matters Less Than the Operational Lesson Cybercrime up 245% since the start of the Iran war Iran cyberattack against med tech firm ‘just the beginning’ Microsoft Intune: Lock it down, warn feds after Stryker Iran’s internet blackout enters day 18 Le GPS des navires complètement brouillé dans le détroit d’Hormuz, plus de 1 100 bateaux touchés Ukraine strike on Kremniy El plant sparks rift between Russian propaganda and milbloggers White House pours cold water on cyber ‘letters of marque’ speculation Souveraineté ou tout ce que je peux faire sur mon terrain Don’t let hyperscalers hijack digital sovereignty, EC told Framasoft dit tout haut ce qu’on est nombreux à penser tout bas Privacy ou tout ce qui devrait rester à la maison Surveillance en vrac FBI is buying location data to track US citizens, director confirms Quand la publicité ciblée devient un outil de surveillance pour le gouvernement américain Les joueurs de Pokémon Go ont entraîné des robots livreurs sans le savoir The Danger Behind Meta Killing End-to-End Encryption for Instagram DMs ‘StravaLeaks’: France’s aircraft carrier located in real time through fitness app A Top Democrat Is Urging Colleagues to Support Trump’s Spy Machine Je suis la loi Age verification isn’t sage verification inside OSes End of “Chat Control”: Paving the Way for Genuine Child Protection! Hacking The System In A Moral Panic: We Need To Talk Apple can delist apps “with or without cause,” judge says in loss for Musi app Cloudflare appeals Piracy Shield fine, hopes to kill Italy’s site-blocking law Red ou tout ce qui est brisé Washington is right: Cybercrime is organized crime. Now we need to shut down the business model EU sanctions Iranian cyber crew behind US election tampering Ransomware Tactics, Techniques, and Procedures in a Shifting Threat Landscape Hundreds of Millions of iPhones Can Be Hacked With a New Tool Found in the Wild Boîtiers KVM IP - Les 9 failles qui vous offrent un accès root OKLM Ransomware crims abused Cisco 0-day weeks before disclosure [20 Days Later - Trivy Compromise, Act II Boost Security Labs](https://labs.boostsecurity.io/articles/20-days-later-trivy-compromise-act-ii/) The Art of Self-Healing Code: Malware that fixes itself Ils trouvent 100 failles dans le noyau Windows pour 600 dollars Delve - Fake Compliance as a Service - Part I Jaguar Land Rover’s cyber bailout sets worrying precedent, watchdog warns Blue ou tout ce qui améliore notre posture North Korean workers are taking remote U.S. jobs. This company set a trap to expose one. Boot ROM Security on Silicon Macs (M1/M2/M3) - Olivia A. Gallucci Android 17 va bloquer les apps qui abusent des services d’accessibilité Japan to allow ‘proactive cyber-defense’ from October 1st EA prépare son système anti-triche pour les PC ARM et envisage un support de Linux ArXiv, the pioneering preprint server, declares independence from Cornell Google adds ‘Advanced Flow’ for safe APK sideloading on Android Divers Ubuntu 26.04 Ends 46 Years of Silent sudo Passwords Why One Key Shouldn’t Rule Them All: Threshold Signatures for the Rest of Us Social media harms kids, says most evidence Flexibility boosts productivity, not office mandates Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Moxy Montreal Downtown

Parce que… c’est l’épisode 0x727! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Contexte et invités Dans cet épisode, Nicolas reçoit David Bizeul pour un retour approfondi sur le concept de SOC (Security Operations Center) moderne. David est notamment l’un des artisans de Secoya, une plateforme SOC développée par son équipe, ce qui lui confère une perspective à la fois pratique et stratégique sur l’évolution du domaine. Ce que contient un SOC moderne en 2026 David commence par dresser un portrait du SOC contemporain tel qu’il devrait fonctionner aujourd’hui. Selon lui, trois grandes dimensions structurent un SOC efficace. 1. La fusion de la connaissance interne et externe avec les événements de sécurité La première brique fondamentale est la capacité à ingérer, normaliser et consolider les événements de sécurité issus du système d’information. À cela s’ajoutent deux couches de connaissance complémentaires : La connaissance interne : elle porte sur les assets de l’entreprise, les identités, les vulnérabilités, les chemins critiques métier. En somme, tout ce qui permet de comprendre ce que l’on protège. La connaissance externe : c’est le domaine de la threat intelligence (CTI). Elle répond à la question « qu’est-ce que je dois craindre ? » et modélise les menaces extérieures, les campagnes d’attaque, les modes opératoires. David explique que Secoya a justement construit son produit en partant de la CTI, avant même de s’intéresser aux événements clients. L’idée était d’abord de bien connaître la menace, puis de confronter cette connaissance aux données du terrain. 2. Les moteurs de détection Une fois les données ingérées, trois moteurs distincts entrent en jeu : Le moteur de threat intelligence : il repose sur une base de connaissances en graphe. Chaque indicateur (une adresse IP, par exemple) est relié à des nœuds représentant des malwares, des campagnes, des acteurs malveillants. Quand un indicateur apparaît dans les événements, le moteur remonte automatiquement tout le contexte associé, permettant d’évaluer rapidement la gravité de la situation. Le moteur de corrélation : basé sur le langage Sigma et Sigma Correlation, il modélise des comportements suspects à partir d’enchaînements d’événements. Par exemple : cinq échecs d’authentification sur un poste suivis d’une connexion anormale sur un équipement réseau peuvent caractériser une tentative d’intrusion. Toutes les règles sont créées ou validées par des experts internes, ce qui permet d’atteindre un taux de faux positifs infime (environ 0,001 %). Le moteur d’anomalie : il détecte les déviances par rapport à une baseline comportementale. Un pic de trafic soudain sur un serveur web, une exfiltration de données inhabituelle ou une activité de type brute force sont autant de signaux que ce moteur est conçu à relever. Le retour en arrière : le SOC d’il y a dix ans Pour mieux illustrer les progrès accomplis, David fait un flash-back sur les SOC de la génération précédente. Monter un SOC il y a dix ans était une opération longue et coûteuse : infrastructure à déployer, licences SIEM à acquérir, threat intelligence quasi inexistante ou inutilisable, enrichissement des alertes quasi nul. Une seule alerte pouvait mobiliser un analyste pendant une heure sans déboucher sur une conclusion claire. Les règles de corrélation, souvent dérivées de politiques de sécurité mal rédigées, généraient un volume d’alertes sans valeur réelle. Le bilan : des millions dépensés pour un SOC qui ne produisait rien d’utile. De l’alerte à la réponse : l’automatisation et l’IA agentique La génération d’alertes n’est qu’une étape. Le vrai objectif d’un SOC est de contenir les risques avant qu’ils ne se concrétisent en impacts. David décrit la chaîne de réponse moderne : Qualification automatique des alertes : des agents IA prennent en charge le triage préliminaire, vérifient le contexte autour d’un événement (les cinq minutes avant/après, la nature de l’asset concerné), et déterminent si l’alerte mérite d’être escaladée ou peut être ignorée. Playbooks automatisés : des plans de réponse préconfigurés peuvent déclencher des actions concrètes, comme l’isolation d’une machine compromise, sans intervention humaine immédiate. Le rôle central de l’humain : malgré l’automatisation, l’analyste reste indispensable pour les décisions complexes, la communication de crise, l’adaptation des plans de réponse aux spécificités du client. Le modèle MDR et l’architecture multitenant David aborde également la réalité économique : la grande majorité des entreprises n’ont pas les ressources pour gérer un SOC en interne. C’est là qu’interviennent les prestataires MDR (Managed Detection and Response), qui mutualisent les services de SOC pour plusieurs clients. Secoya répond à ce besoin avec une architecture multitenant : un opérateur MDR peut gérer dix clients dans une seule interface, tout en maintenant une séparation stricte des données. L’interopérabilité et le rôle d’OXA La dernière partie de l’échange porte sur l’interopérabilité entre produits de cybersécurité, notamment via la plateforme ouverte OXA et le protocole MCP (Model Context Protocol). L’idée est de permettre à chaque outil de se « présenter » aux autres — ses capacités, ses endpoints, ses types de données — afin de construire des workflows automatisés sans friction. La mise en garde finale : l’IA ne vaut que ce que valent ses données Les deux interlocuteurs s’accordent sur un point crucial pour conclure : l’engouement pour l’IA agentique en 2025 a souvent masqué un problème fondamental. Si les sources de données en entrée sont de mauvaise qualité, l’IA produira des résultats erronés, voire dangereux. La vraie tendance de 2026 sera donc la valorisation des data sources de pertinence : une CTI fiable, une connaissance interne solide des assets, avant d’y injecter de l’intelligence artificielle. Un prochain épisode est annoncé pour approfondir spécifiquement cette question. Collaborateurs Nicolas-Loïc Fortin David Bizeul Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x726! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Introduction Dans cet épisode du podcast, je reçois Cédrick Bruyère, associé chez Vigilia, une entreprise spécialisée en cybersécurité qui se concentre principalement sur la formation et la sensibilisation des PME. Cédrick nous partage les réflexions qui ont guidé la création de leur plateforme, articulées autour de trois piliers fondamentaux pour rendre une solution véritablement accessible en entreprise : la simplicité, l’abordabilité et l’adaptabilité. Ces trois concepts, bien que distincts, s’alimentent mutuellement et forment un cadre cohérent pour penser le développement de solutions qui répondent aux besoins réels des organisations. Premier pilier : la simplicité Le premier pilier, la simplicité, est apparu comme une évidence lors des sondages menés par l’équipe de Vigilia auprès d’entrepreneurs et de décideurs. Le constat était récurrent : lorsque les gens visitent le site d’un fournisseur de solutions en cybersécurité, l’impression dominante est celle d’une complexité rebutante. On a l’impression de s’embarquer dans un labyrinthe de configurations et de problèmes techniques. Résultat : beaucoup renoncent avant même d’avoir commencé. Pour Cédrick, la simplicité ne réside pas dans la solution elle-même, mais avant tout dans la façon de communiquer. Il évoque le concept bien connu de la curse of knowledge — la malédiction du savoir — ce phénomène par lequel un expert, tellement immergé dans son domaine, oublie que son interlocuteur ne partage pas le même bagage. On se retrouve alors à utiliser un jargon technique, à accumuler les termes spécialisés sur une page d’accueil pour afficher son expertise, mais on finit par perdre le lecteur plutôt que de le convaincre. La clé, selon Cédrick, est de privilégier une communication humaine, accessible, qui explique clairement ce qu’on fait et comment on peut aider, sans chercher à impressionner. L’objectif d’une communication efficace n’est pas de paraître intelligent, mais d’être compris. C’est un renversement de posture important pour beaucoup d’entreprises habituées à valoriser leur expertise par la complexité de leur discours. Être simple dans sa communication, c’est paradoxalement l’un des exercices les plus difficiles qui soit — et l’un des plus puissants. Deuxième pilier : l’abordabilité Le deuxième pilier est l’abordabilité. Cédrick reconnaît que le sujet est délicat, car il ne s’agit pas d’accuser les entreprises qui proposent des solutions coûteuses d’être motivées uniquement par le profit. Le prix d’une solution est souvent le reflet direct de sa complexité. Plus on accumule de fonctionnalités, plus on mobilise de ressources humaines pour faire fonctionner et entretenir la solution, et inévitablement, le coût grimpe. C’est là que les deux premiers piliers se rejoignent avec force : en simplifiant l’offre, on réduit les coûts. En se concentrant sur l’essentiel — c’est-à-dire ce qu’on veut réellement accomplir pour le client —, on évite de surcharger la solution de fonctionnalités superflues qui alourdissent la structure sans nécessairement apporter de valeur ajoutée à la majorité des utilisateurs. Cédrick illustre cette idée avec une analogie parlante : comme chez Maxi ou dans un magasin de meubles à bas prix, le décor est fonctionnel mais pas tape-à-l’œil. On vend le produit, point. Pas d’artifices, pas d’employés en surnombre pour entretenir une mise en scène. La marchandise est accessible, le client achète, et tout le monde y trouve son compte. En cybersécurité, la logique est identique. Si l’objectif est de sensibiliser les entreprises, il faut concentrer ses efforts sur cet objectif précis, délivrer la solution la plus directe possible, et éviter de complexifier pour le simple plaisir de l’exhaustivité. Moins il y a de personnes nécessaires pour faire tourner la machine, plus la solution peut être proposée à un prix accessible — et donc atteindre un plus grand nombre d’entreprises. Troisième pilier : l’adaptabilité Le troisième pilier, l’adaptabilité, est celui que Cédrick considère comme le plus important, car c’est lui qui permet de répondre aux besoins spécifiques de chaque client. Une solution, aussi bien conçue soit-elle, ne peut pas être universelle si elle ne peut pas s’ajuster aux particularités de chaque organisation. Cédrick insiste toutefois sur un point crucial : l’adaptabilité découle directement de la simplicité. Si la base d’une solution est simple, la modifier pour répondre à un besoin particulier devient une opération légère et rapide. Par exemple, si un client souhaite diviser son compte en plusieurs équipes, il suffit d’effectuer un ajustement minimal sur une structure épurée. En revanche, si la solution est déjà surchargée de couches de complexité, chaque modification devient un chantier, et l’adaptabilité devient illusoire en pratique — même si elle est promise sur le papier. L’adaptabilité n’est donc pas une fonctionnalité qu’on ajoute par-dessus une solution complexe. C’est une qualité qui émerge naturellement d’une solution bien conçue à la base. Cédrick souligne également l’importance d’avoir une solution qui appartient vraiment à l’entreprise qui la développe — une plateforme qu’on peut moduler soi-même, sans dépendre d’une infrastructure tierce rigide. Conclusion Ces trois piliers — simplicité, abordabilité et adaptabilité — forment un tout cohérent et interdépendant. La simplicité conditionne l’abordabilité, et toutes deux rendent l’adaptabilité possible. Le fil conducteur de la réflexion de Cédrick est une mise en garde contre la tendance naturelle des experts à se perdre dans leur propre expertise au détriment des besoins fondamentaux de leurs clients. La vraie valeur d’une solution ne réside pas dans sa sophistication, mais dans sa capacité à aider le plus grand nombre, le plus efficacement et le plus accessiblement possible. Un message simple à retenir, et pourtant difficile à appliquer. Collaborateurs Nicolas-Loïc Fortin Cédrick Bruyère Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x725! Préambule Besoin d’aide? Téléphone: 1866-277-3553 SMS: 535353 Clavardage Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Présentation Dans cet épisode spécial enregistré dans le cadre du Podcaston, l’animateur reçoit Hugo Fournier, PDG et porte-parole de l’Association Québécoise de Prévention du Suicide (AQPS). L’organisme, qui célèbre son 40e anniversaire, poursuit une vision à la fois ambitieuse et utopique : bâtir un Québec sans suicide, brique par brique. Sa mission s’articule autour de trois grands axes — influencer les décideurs politiques, soutenir les initiatives citoyennes et offrir des formations aux intervenants. Les mythes tenaces autour du suicide Hugo Fournier commence par déconstruire plusieurs mythes profondément ancrés dans la société. Mythe 1 — La personne suicidaire veut mourir. C’est faux. Elle ne veut pas mourir ; elle veut cesser de souffrir. Face à une souffrance devenue insupportable, l’espoir se transforme en désespoir. Il subsiste néanmoins toujours une ambivalence : une partie d’elle veut en finir, une autre cherche de l’aide. C’est précisément pour cela que les personnes appellent les lignes d’écoute. Mythe 2 — Parler du suicide encourage le passage à l’acte. C’est également faux. Poser directement la question « Penses-tu au suicide ? » ne provoque pas le geste ; au contraire, cela soulage la personne, lui fait sentir qu’elle n’est pas seule et ouvre une conversation sur sa souffrance. Briser le tabou du silence est une étape essentielle. Mythe 3 — Le suicide est un acte de courage ou de lâcheté. Ni l’un ni l’autre. La personne ne se suicide pas par choix, mais parce qu’elle n’aperçoit plus aucune option devant elle, même si elles existent. Mythe 4 — Les menaces de suicide sont de la manipulation. Toute verbalisation suicidaire est un appel à l’aide. Il faut toujours prendre ces propos au sérieux. Comment intervenir : la simplicité avant tout Un point central de l’entretien porte sur la façon d’aborder quelqu’un qu’on inquiète. Hugo Fournier insiste : il ne s’agit pas de devenir un intervenant professionnel, mais simplement d’initier une conversation sincère et directe. Concrètement, si une personne de l’entourage dit qu’elle « n’en peut plus », on peut lui répondre : « Quand tu dis que tu n’en peux plus, est-ce que ça t’amène à penser au suicide ? » Un geste aussi simple qu’une main sur l’épaule, accompagné de mots bienveillants, peut faire toute la différence. L’objectif est de faire sentir à la personne qu’elle n’est pas seule et de l’orienter vers une ressource professionnelle. Hugo rappelle également les ressources disponibles : le 1 866 APPEL, le 5353 (texto) et le site suicide.ca (clavardage). Ces plateformes sont accessibles autant aux personnes en détresse qu’à celles qui ne savent plus comment aider un proche. Les signaux de détresse à reconnaître Plusieurs signaux peuvent alerter, indépendamment du genre ou de l’âge : Tristesse persistante, découragement, propos comme « Vous seriez bien mieux sans moi » Isolement social soudain chez quelqu’un d’habituellement extraverti Négligence de l’hygiène et de l’apparence Absence de motivation, changement des habitudes de vie Intérêt soudain pour la mort, colère inhabituelle, impulsivité Don d’objets précieux, règlement de conflits, évocation d’un legs Un signe particulièrement trompeur est la rémission spontanée : une personne en grande souffrance qui semble soudainement apaisée. Cet apaisement peut indiquer qu’elle a pris sa décision, ce qui représente un risque élevé de passage à l’acte. La spécificité des hommes et la culture du silence Les hommes, surtout ceux des générations plus anciennes, sont statistiquement plus touchés par le suicide, mais moins enclins à demander de l’aide. Le stéréotype voulant qu’un homme « doit être fort » a longtemps invalidé toute expression de vulnérabilité. Hugo Fournier le rappelle avec conviction : demander de l’aide est un signe de force, pas de faiblesse. Face à un ami masculin en difficulté, une approche directe et simple — aller cogner à sa porte, proposer un café, lui demander d’appeler le 5353 devant soi — est souvent plus efficace qu’un long discours. Une réalité préoccupante chez les jeunes et les femmes Les données récentes de suicide.ca révèlent des tendances alarmantes. En 2025, 70 % des interventions par clavardage concernaient des femmes, et 67 % des utilisateurs avaient entre 18 et 40 ans. Plus inquiétant encore : les interventions auprès de filles de 13 ans et moins ont bondi de 80 % par rapport à 2024. Le taux d’hospitalisation pour tentative de suicide chez les adolescentes de 15 à 19 ans est le plus élevé jamais enregistré, et celui des 10-14 ans a triplé depuis 2010. Les facteurs explicatifs pointés par la recherche incluent les séquelles de la pandémie, l’usage excessif des écrans, la pression de performance scolaire, l’intimidation en ligne et la surcharge travail-études. Pour rejoindre les jeunes là où ils se trouvent, l’AQPS soutient les gardiens virtuels : des travailleurs de rue du numérique formés à détecter les signaux de détresse dans les chambres de jeu en ligne (PS5, Xbox) et à intervenir directement dans cet environnement. Le rôle des médias Les médias ont une responsabilité particulière. Diffuser les moyens utilisés lors d’un suicide peut provoquer un effet d’entraînement, comme l’ont montré des cas marquants au Québec. Aujourd’hui, les médias sont invités à adopter une approche sécuritaire : mettre l’accent sur les facteurs de protection, présenter les ressources d’aide et traiter le sujet avec respect, sans détailler les méthodes. Conclusion Cet épisode offre des outils concrets pour reconnaître la détresse, oser poser la question directement et orienter vers les bonnes ressources. Comme le résume Hugo Fournier, chaque initiative — un podcast, un tournoi, une conversation — contribue, brique par brique, à construire un Québec où la souffrance peut trouver une réponse humaine et digne. Notes Association québécoise de prévention du suicide Oser parler du suicide Fondation des gardiens virtuels Besoin d’aide? Téléphone: 1866-277-3553 SMS: 535353 Clavardage Collaborateurs Nicolas-Loïc Fortin Hugo Fournier Crédits Montage par Intrasecure inc Locaux réels par Association québécoise de prévention du suicide

Parce que… c’est l’épisode 0x724! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA ou dans le prisme de la machine Amazon WTF - Amazon Forced Engineers to Use AI Coding Tools. Then It Lost 6.3 Million Orders. After Outages, Amazon To Make Senior Engineers Sign Off On AI-Assisted Changes Amazon insists AI coding isn’t source of outages Pour la nation AI CEOs Worry the Government Will Nationalize AI Canada Needs Nationalized, Public AI How AI Assistants are Moving the Security Goalposts AI Didn’t Break the Senior Engineer Pipeline. It Showed That One Never Existed. AI agent hacked McKinsey chatbot for read-write access USDA needs Palantir to tell workers where to sit AI nonsense finds new home as Meta acquires Moltbook Critical Microsoft Excel bug weaponizes Copilot Agent VS Code goes weekly, gets AI autopilot - what could go wrong Microsoft Copilot Email and Teams Summarization Vulnerability Enables Phishing Attacks Perplexity’s ‘Personal Computer’ Lets AI Agents Access Your Local Files OpenAI Blurs Its Mass Surveillance Red Line With New Pentagon Contract Document Poisoning in RAG Systems: How Attackers Corrupt Your AI’s Sources NanoClaw latches onto Docker Sandboxes for safer AI agents Top Google Result for Claude Code is Malicious La guerre, la guerre, c’est pas une raison pour se faire mal! What Is Cyber Warfare? Definition, Doctrine, and Real-World Examples Iran is the first out-loud cyberwar the US has fought Cybercrime isn’t just a cover for Iran’s government goons Stryker: Pro-Iran hackers claim cyberattack on major US medical device maker A superpower goes offline Souveraineté ou tout ce que je peux faire sur mon terrain Meta to charge advertisers a fee to offset Europe’s digital taxes Privacy ou tout ce qui devrait rester à la maison Patrick Breyer: “🇪🇺 1/7 🌍 Foreign-funded lobby …” - digitalcourage.social Upcoming Vote on Chat Control: New S&D, EPP, and Renew Deal is Worse Than Rejected Draft Report – AI Text Scanning and Mass Surveillance Set to Continue Where did you think the training data was coming from? Police Scotland fined for mishandling victim data Nanny state vs. Linux: show us your ID, kid Meta to Shut Down Instagram End-to-End Encrypted Chat Support Starting May 2026 Federal Surveillance Tech Becomes Mandatory in New Cars by 2027 Red ou tout ce qui est brisé One hundred accounts are behind the majority of conspiracy theory content in Canada Online astroturfing: A problem beyond disinformation DOGE employee stole Social Security data and put it on a thumb drive, report says Foreign hacker reportedly breached FBI servers holding Epstein files in 2023 Most Google Cloud Attacks Start With Bug Exploitation Cyberattackers Don’t Care About Good Causes Supply-chain attack using invisible code hits GitHub and other repositories Blue ou tout ce qui améliore notre posture Intel Demos Chip To Compute With Encrypted Data Microsoft tightens Authenticator checks on Android and iOS WireGuard Is Two Things - Proxylity Blog How Kernel Anti-Cheats Work: A Deep Dive into Modern Game Protection Divers New Freenet Network Launches, Along With ‘River’ Group Chat Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x723! Préambule Nous sommes à la Cage durant un match des Canadiens. Le bruit ambiant a fait que nous parlons en “criant”, pour nous entendre. Le lendemain, je n’avais plus de voix. Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Un retour après une longue absence C’est avec une certaine nostalgie que j’accueille Nicolas Bédard, un invité régulier qui avait mystérieusement disparu des ondes pendant plusieurs mois. La raison de cette absence ? Un changement de carrière majeur qui a bousculé son quotidien et rendu toute planification d’enregistrement pratiquement impossible. Entre les décalages de calendrier, les voyages et les nouvelles responsabilités à apprivoiser, les deux complices n’avaient tout simplement pas réussi à se retrouver devant un micro. Mais Nicolas est de retour, et il a beaucoup à raconter. Cinq ans chez Google : de l’imposter syndrome aux 20 % Tout commence en août 2020, quand Nicolas rejoint Google en pleine pandémie, parmi une cohorte de 10 000 nouvelles recrues embauchées simultanément. L’imposter syndrome le frappe de plein fouet. Comment se démarquer dans une entreprise peuplée de talents exceptionnels ? Sa réponse : trouver une niche où son expérience passée peut faire une différence. Connaissant bien Palo Alto Networks de ses vies professionnelles antérieures, Nicolas remarque un courriel interne annonçant le lancement d’un nouveau produit, Cloud IDS. Il contacte directement le gestionnaire de produit pour offrir son aide. C’est ainsi que naît son premier projet à 20 %. La règle des 20 % est une particularité culturelle bien connue de Google : chaque employé a le droit de consacrer 20 % de son temps de travail à un projet annexe, à condition que celui-ci apporte de la valeur à la compagnie ou à la société. C’est d’ailleurs ce principe qui aurait mené à la création de Gmail. Pour Nicolas, cette liberté devient un levier de croissance personnelle et professionnelle remarquable. Pendant quatre ans, il consacre ce temps à renforcer l’alliance stratégique entre Google et Palo Alto Networks, deux géants dont le partenariat commercial est l’un des plus importants dans l’industrie de la cybersécurité. Il co-présente des produits lors de conférences comme Google Next, développe une expertise pointue sur les intégrations conjointes, et gagne en visibilité des deux côtés de l’alliance. Son 20 % devient, en quelque sorte, son véritable terrain de passion. Le moment décisif : convertir le 20 % en 100 % Après avoir tenté sans succès d’obtenir un poste dédié à cette alliance à l’intérieur même de Google, Nicolas pivote vers l’équipe Google Cloud Security (GCS) pour ses six derniers mois dans l’entreprise. C’est alors qu’il reçoit un texto inattendu de la personne responsable de l’alliance Google-Palo : un poste s’ouvre chez Palo Alto Networks pour prendre en charge tout l’enablement technique lié aux fournisseurs infonuagiques. Son nom a été mentionné. L’offre ? Transformer son ancien 20 % en 100 % de son travail. La décision n’est pas difficile à prendre. Bien que les produits de Google soient de grande qualité, Nicolas constate lors de ses discussions avec des clients que des angles morts existent dans l’offre de sécurité. Les entreprises ne vivent pas exclusivement dans un seul environnement infonuagique : elles jonglent entre des charges de travail on-premises, AWS, Azure, Google Cloud et Oracle Cloud. Palo Alto Networks, en tant que pure player de la cybersécurité, possède cet avantage de la spécialisation que ne peut pas toujours offrir un généraliste comme Google, si bon soit-il. Un nouveau rôle centré sur la valeur, sans pression de vente Ce qui enthousiasme particulièrement Nicolas dans son nouveau poste, c’est l’abandon du quota de vente. Fini la pression commerciale mensuelle : il peut désormais enfiler son chapeau de formateur et se concentrer sur la transmission de la connaissance. Son équipe de quatre personnes se structure autour de quatre missions principales : L’intégration de produits, pour s’assurer que les solutions conjointes Palo-Google fonctionnent de façon fluide et cohérente ; La création de sales plays, des guides qui permettent aux équipes de vente de bien articuler la valeur des produits devant les clients ; L’enablement, qui passe par des conférences, des webinaires, des architectures de référence et des démonstrations techniques ; Le soutien aux équipes commerciales, qui garde Nicolas connecté à la réalité du terrain sans qu’il soit lui-même sous pression de résultats. L’alliance Google-Palo Alto : une symbiose technique profonde L’intégration entre les deux entreprises va bien plus loin qu’un simple partenariat commercial. La quasi-totalité des produits de Palo Alto Networks tourne aujourd’hui sur l’infrastructure de Google Cloud. Certains produits Google, comme Cloud IDS ou Cloud NGFW Enterprise, sont en réalité propulsés par la technologie de Palo Alto en dessous. Des utilisateurs de Prisma Access, l’outil SASE de Palo, traversent l’infrastructure de Google à chaque connexion VPN sans nécessairement le savoir. L’alliance permet également des optimisations réseau avancées, comme l’appairage natif entre Prisma Access et Google Cloud via le Network Connectivity Center. L’intelligence artificielle : le prochain grand terrain de jeu La conversation s’oriente naturellement vers l’IA, sujet incontournable du moment. Nicolas identifie deux enjeux majeurs pour les entreprises qui adoptent ces technologies : la consistance des résultats (les modèles d’IA ne sont pas déterministiques comme un formulaire web) et, en second lieu, la sécurité. Les grands fournisseurs infonuagiques développent des modèles de pointe, mais ils sont moins bien équipés pour gérer des problématiques comme la prévention des fuites de données (DLP), la protection contre le prompt injection ou la sécurisation des pipelines IA. C’est exactement là que Palo Alto Networks intervient en complémentarité, comme en témoigne l’annonce récente d’une intégration de Prisma AIRS directement dans Microsoft Copilot. Un virage vers la souveraineté numérique En guise de conclusion, Nicolas évoque brièvement le thème de la souveraineté numérique, sujet d’autant plus brûlant dans le contexte géopolitique actuel. Les organisations cherchent à reprendre le contrôle de leurs données, à réduire leur dépendance envers des infrastructures étrangères et à explorer les options de nuage souverain. Un vaste sujet que les deux complices promettent d’explorer en profondeur lors d’un prochain épisode, avec Nicolas qui se retrouve, cette fois-ci, aux premières loges de cette transformation. Collaborateurs Nicolas-Loïc Fortin Nicolas Bédard Crédits Montage par Intrasecure inc Locaux réels par La Cage - Complexe Desjardins

Parce que… c’est l’épisode 0x722! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Nouveautés de Boost Security Labs François Proulx commence l’épisode en faisant le point sur les développements récents de son équipe. Boost Security a procédé à une refonte de son site web afin de distinguer clairement l’entreprise commerciale de son équipe de recherche, désormais appelée Boost Security Labs, accessible à l’adresse labs.security. Ce nouveau site centralise les articles, outils et références produits par les chercheurs. François mentionne également un article publié fin 2025 intitulé Defensive Research Weaponized — 2025 State of Pipeline Security, qui dressait un bilan de l’année et anticipait les types d’attaques qui se sont effectivement concrétisées depuis. L’équipe sera de retour à NorthSec cette année avec un nouveau talk et surtout un nouvel outil baptisé Smoke Meat — fidèle à la thématique culinaire montréalaise de l’équipe. Cet outil se veut le « Metasploit des pipelines CI/CD » : là où Poutine (leur outil d’analyse statique) détecte les vulnérabilités dans les pipelines de build, Smoke Meat permettra de les exploiter de manière semi-autonome, en proposant un menu d’options à l’utilisateur. Un troisième outil est aussi annoncé : Bagel, un utilitaire défensif qui tourne entièrement hors ligne et analyse la posture de sécurité des laptops de développeurs et administrateurs. Il détecte les mauvaises configurations locales — clés SSH non chiffrées, tokens hardcodés dans des scripts, etc. — pour limiter les dégâts en cas d’infection par un logiciel de type info stealer (ou « kleptogiciel », selon la terminologie de l’équipe Flare). L’attaque Hackerbot Claw : une offensive automatisée sur les pipelines CI/CD Sébastien Graveline prend ensuite la parole pour détailler une attaque survenue le 27 février, impliquant un agent automatisé qui a ciblé plusieurs grands projets open source. Au moins quatre projets ont été confirmés comme exploités. Ce qui rend cette attaque particulièrement notable, c’est qu’il s’agit d’un agent IA attaquant d’autres systèmes intégrant de l’IA dans leurs pipelines — un scénario que les chercheurs qualifient, avec un certain humour noir, de « bienvenue en 2026 ». L’équipe s’est concentrée notamment sur Aqua Security Trivy, un projet comptant plus de 25 000 étoiles sur GitHub. L’une des conséquences directes de l’attaque a été que le dépôt a été rendu privé ou supprimé, compliquant considérablement le travail d’investigation forensique. La piste de MégaGame : remonter le fil de l’attaque En examinant les discussions GitHub autour de l’incident, l’équipe repère une pull request (PR #10252) ouverte environ cinq heures avant la première attaque de Hackerbot, puis rapidement supprimée — un fait que personne d’autre n’avait mentionné dans les analyses publiées. L’utilisateur à son origine avait lui aussi été supprimé. Grâce à Trat Hunter, leur outil de surveillance en temps réel des événements GitHub, les chercheurs identifient l’acteur derrière cette PR : un utilisateur qu’ils surnomment Méga Game, dont le compte datait de début janvier. En remontant plus loin, ils trouvent qu’une tentative d’attaque similaire avait été détectée un mois auparavant sur ce qui semble être un dépôt de test. Forensique sur GitHub : fork networks et gists supprimés L’investigation se heurte à un obstacle de taille : le dépôt Trivy ayant été supprimé ou rendu privé, il n’est plus possible de cloner directement la version du commit exploité. C’est ici qu’entre en jeu un comportement peu connu de GitHub : lorsqu’un dépôt est supprimé, le fork network ne disparaît pas pour autant. Le plus ancien fork existant hérite automatiquement du rôle de racine du réseau, et l’intégralité des commits de tous les forks reste accessible tant qu’il reste au moins un fork vivant. L’équipe retrouve ainsi un fork avec une seule étoile mais… 3 000 forks rattachés, devenu malgré lui le patriarche de l’arbre. Cela leur permet de récupérer le payload de Méga Game, qui consiste en une exploitation d’action GitHub locale (local GitHub action exploit) : le workflow checkout le code de l’attaquant, puis exécute une action locale redéfinie par ce dernier — une variante classique du untrusted checkout. L’exploitation finale repose sur un curl pipe bash pointant vers un gist GitHub privé (mais non authentifié). Les chercheurs découvrent qu’il est possible de cloner un gist supprimé par son identifiant unique, à condition d’être authentifié sur GitHub — peu importe que ce soit le créateur original ou non. Un comportement probablement lié à la gestion du CDN de GitHub, qui conserve les objets tant qu’un garbage collection n’a pas eu lieu. L’essor des attaques automatisées sur les CI/CD L’épisode se conclut sur une réflexion plus large. Les attaques sur les pipelines CI/CD sont en croissance exponentielle, car ces environnements donnent accès à des ressources cloud critiques et que les secrets y sont souvent mal scopés. Dans le cas de Trivy, un simple workflow de commentaires a suffi à obtenir des droits administrateurs sur le projet. Face à cela, les recommandations sont claires : rouler des outils de détection comme Poutine, appliquer le principe de défense en profondeur (secrets correctement scopés, limitation des outils accessibles aux agents IA), et ne jamais oublier qu’un projet public est ouvert non seulement au téléchargement, mais aussi à l’attaque. L’équipe mentionne également des cas où Claude a détecté des tentatives de prompt injection et a correctement refusé d’exécuter les actions demandées — une lueur d’espoir dans un tableau par ailleurs assez sombre. Notes MegaGame10418: A Throwaway Account Linked to the Hackerbot-Claw Attack Nouveau site de Boostsecurity Labs Defensive Research, Weaponized: The 2025 State of Pipeline Security Collaborateurs Nicolas-Loïc Fortin Sébastien Graveline François Proulx Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x721! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Introduction : qu’est-ce que le shadow IT ? Dans cet épisode du podcast, Cyndie Feltz, Nicolas Milot et Dominique Derrier abordent un sujet omniprésent dans les entreprises, mais souvent méconnu : le shadow IT. Le terme désigne l’utilisation d’outils, de logiciels ou de périphériques non approuvés par le département des technologies de l’information (TI), dans un contexte professionnel. Il ne s’agit pas uniquement d’apporter son propre appareil au bureau (bring your own device), mais aussi d’installer des applications sur un poste de travail fourni par l’entreprise sans avoir obtenu l’aval de l’équipe TI. L’exemple classique ? L’employé qui télécharge un convertisseur PDF gratuit trouvé sur Internet parce qu’il avait un problème avec son lecteur PDF habituel. Ce geste, anodin en apparence, illustre bien la nature du phénomène : il n’y a aucune mauvaise intention derrière, seulement un besoin pratique à combler rapidement. Une question de besoin, pas de malveillance L’un des points centraux de la discussion est que le shadow IT naît rarement d’une volonté de nuire. Les employés adoptent des outils non autorisés parce qu’ils veulent simplement faire leur travail efficacement. Ils connaissent un logiciel, ils ont l’habitude de l’utiliser, ou encore ils se retrouvent dans une situation d’urgence — il est 17 h 50, la présentation doit être envoyée dans dix minutes, et l’équipe TI est injoignable. La solution de facilité s’impose alors naturellement, sans que la personne mesure les risques auxquels elle expose son organisation. Comme le soulignent les intervenants, l’être humain a horreur du vide. Lorsqu’un outil manque, il trouve une alternative, qu’on lui ait dit ou non de ne pas le faire. Une politique de refus systématique, sans solution de remplacement proposée, ne résout rien : les employés contournent l’interdiction de toute façon. Les risques concrets pour l’entreprise Le vrai problème avec le shadow IT, c’est qu’il échappe à toutes les mesures de sécurité mises en place par l’entreprise. Ces mesures existent précisément pour réduire les risques ; or, un logiciel installé en dehors des processus officiels ne bénéficie d’aucune de ces protections. Les intervenants soulèvent plusieurs types de risques : Les vulnérabilités logicielles non corrigées. Quand un logiciel est installé par un employé sans passer par les canaux officiels (Intune, GPO, etc.), l’équipe TI n’est souvent même pas au courant de son existence. Elle ne peut donc pas en assurer la maintenance ni les mises à jour. Le cas de VLC est cité en exemple : un employé l’installe pour lire des vidéos, l’oublie pendant trois ans, et entre-temps le logiciel accumule des failles de sécurité (zero-days) jamais corrigées. Pour un testeur d’intrusion comme Nicolas, c’est une aubaine ; pour l’entreprise, c’est une porte ouverte aux attaquants. Les problèmes de licences. Certains logiciels sont soumis à des licences commerciales. Si un employé installe un tel outil sans que l’entreprise l’ait acheté, elle s’expose à des redressements financiers parfois très coûteux, pour un logiciel utilisé une seule fois et oublié. Le shadow AI. Le phénomène s’étend désormais à l’intelligence artificielle. Les intervenants posent la question directement : si une entreprise n’a pas encore officiellement adopté un outil d’IA ni établi de directives à ce sujet, croit-elle vraiment que ses employés n’utilisent pas l’IA ? La réponse est non. Pire encore : même sans utiliser directement un outil d’IA, les employés se servent souvent de logiciels qui intègrent de l’IA en arrière-plan. La question n’est donc plus de savoir si l’IA est utilisée dans l’entreprise, mais comment l’encadrer. Comment s’en prémunir ? Les intervenants s’accordent sur plusieurs pistes concrètes pour limiter le phénomène. Anticiper les besoins. La meilleure façon d’éviter que les employés cherchent leurs propres solutions, c’est de leur fournir les bons outils avant qu’ils en ressentent le besoin. Le département TI doit adopter une posture proactive et proposer des alternatives officielles aux logiciels populaires. Limiter les droits d’administration. S’assurer que les employés ne sont pas administrateurs locaux sur leur poste de travail est une première étape importante. Cela ne résout pas tout, mais complique considérablement l’installation sauvage de logiciels. Favoriser la communication. Il est crucial de créer un environnement où les employés se sentent à l’aise de signaler leurs besoins en matière d’outils, sans craindre un refus automatique ou une réaction négative. Quand un employé demande à son équipe TI s’il peut utiliser tel logiciel, c’est déjà un pas dans la bonne direction : il faut encourager et cultiver ce réflexe. Inclure les TI dans l’adoption de nouveaux outils. Chaque fois qu’un département envisage d’adopter un nouveau logiciel — qu’il soit destiné à la facturation, à l’ingénierie ou à la gestion de projets — l’équipe TI doit être impliquée dès le départ, pas après coup. Faire un inventaire des applications installées. Pour les entreprises qui font appel à un fournisseur de services managés (MSP), il est recommandé de lui demander un inventaire complet des applications présentes sur les postes de travail. Cet exercice réserve souvent de mauvaises surprises, mais il constitue un point de départ indispensable pour reprendre le contrôle. Conclusion : un problème humain avant tout Le shadow IT est un problème complexe, et il l’est d’autant plus que l’entreprise grandit. En PME, la pression de la rapidité et l’absence de processus formels amplifient le phénomène. Mais au fond, c’est avant tout un enjeu humain et communicationnel. Sensibiliser les employés aux risques, leur offrir des alternatives adaptées à leurs besoins et instaurer une culture de dialogue ouverte entre les équipes métier et l’équipe TI : voilà les piliers d’une approche réaliste et efficace face au shadow IT — et à tous ses avatars, du shadow hardware au shadow AI. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Jordan Theodore Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x720! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Notes IA La chicane OpenAI says Pentagon set ‘scary precedent’ binning Anthropic How OpenAI caved to the Pentagon on AI surveillance OpenAI Just Got Anthropic’s Pentagon Deal Anthropic CEO Dario Amodei calls OpenAI’s messaging around military deal ‘straight up lies,’ report says Altman said no to military AI – then signed Pentagon deal Anthropic sues US over national security blacklist Près de 900 employés de Google et OpenAI réclament des limites sur l’IA militaire La sécurité qu’ils disent Flaw-Finding AI Assistants Face Criticism for Speed, Accuracy Claude Code Security vs. OpenAI Codex Security – AI Arms Race Plus vite que la vérification How Claude Code escapes its own denylist and sandbox Claude Code deletes developers’ production setup, including its database and snapshots — 2.5 years of records were nuked in an instant Your LLM Doesn’t Write Correct Code. It Writes Plausible Code. Verification debt: the hidden cost of AI-generated code Usage pas si sécuritaire AI doctor’s assistant swayed to change scrips - researchers New York Could Prohibit Chatbot Advice on Medical, Legal, and Engineering Questions L’agent (Smith) de tous les chaos Chrome Gemini Vulnerability Lets Attackers Access Victims’ Camera and Microphone Remotely Critical OpenClaw Vulnerability Exposes AI Agent Risks OpenClaw Incidents Show Why AI Adoption Pressure Puts Companies at Risk The Panopticon Is Here: How the US Government Built an AI Superweapon for Social Control How Deepfakes and Injection Attacks Are Breaking Identity Verification CyberStrikeAI : cet outil dopé à l’IA automatise les cyberattaques AI-generated art can’t be copyrighted after Supreme Court declines to review the rule LLMs can unmask pseudonymous users at scale with surprising accuracy Chardet : quand une IA réécrit un logiciel open source en cinq jours et change sa licence elder-plinius/OBLITERATUS: OBLITERATE THE CHAINS THAT BIND YOU La guerre, la guerre, c’est pas une raison pour se faire mal! Attacks on GPS Spike Amid US and Israeli War on Iran Iran’s cyberwar has begun Israeli spies ‘hacked every traffic camera in Tehran to plot killing of Iran’s Ayatollah Ali Khamenei’ ‘Hundreds’ of Iranian hacking attempts hit IP cameras Businesses told to harden defenses amid Iran conflict risk Kevin Beaumont: “If you’re wondering what I’m s…” - Cyberplace Cyber Command disrupted Iranian comms, sensors, top general says Top general spotlights cyber role in Iran conflict Iran War Provides a Large-Scale Test for AI-Assisted Warfare Hiding A Bomb In Plain Sight Souveraineté ou tout ce que je peux faire sur mon terrain Can Europe break free of Visa and Mastercard? MEPs stall digital euro Office EU touts new European online productivity suite Bureautique : l’Europe lance son alternative à Microsoft 365, mais utilise quand même Excel Privacy ou tout ce qui devrait rester à la maison Tire Pressure Systems in Toyota, Mercedes, and Other Major Car Brands Enable Silent Vehicle Tracking Motorola’s new partnership with GrapheneOS Meta’s AI Smart Glasses and Data Privacy Concerns: Workers Say “We See Everything” Anonymous credentials: an illustrated primer A new app alerts you if someone nearby is wearing smart glasses TikTok says it won’t encrypt DMs claiming it puts users at risk System76 on Age Verification Laws X Users Find Their Real Names Are Being Googled in Israel After Using X Verification Software “Au10tix” The banality of surveillance Deveillance Red ou tout ce qui est brisé Le fisc sud-coréen publie carrément ses mots de passe crypto dans un communiqué de presse Des outils de piratage d’iPhone conçus par les États-Unis finissent chez les cybercriminels FBI targeted with ‘suspicious’ activity on its networks 900+ Certificates Used by Fortune 500, Governments Exposed by Key Leaks FBI probing intrusion into system managing sensitive surveillance information Blue ou tout ce qui améliore notre posture How Vulnerable Are Computers to an 80-Year-Old Spy Technique? Congress Wants Answers Reading White House President Trump’s Cyber Strategy for America Merkley, Klobuchar Launch New Effort to Ban Federal Elected Officials Profiting from Prediction Markets Insolites Microsoft gets tired of “Microslop,” bans the word on its Discord, then locks the server after backlash Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x719! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Présentation de l’invitée Geneviève Lajeunesse est une professionnelle en cybersécurité dont le parcours atypique — du design interactif et du jeu vidéo vers la protection des usagers — lui a forgé une perspective unique sur les enjeux humains derrière la technologie. Elle est cofondatrice d’un organisme à but non lucratif, l’AB 2038, qui offre un cadre d’intervention aux personnes victimes de violences technologiques, notamment dans des contextes de violence conjugale. Elle intervient également de façon bénévole auprès d’organismes variés : médias, banques, groupes communautaires. La surface d’exposition : une réalité souvent sous-estimée Le point de départ de la discussion est une réalité devenue incontournable : la surface de captation de données d’une personne ordinaire est aujourd’hui immense. La voiture connectée géolocalise ses occupants. La laveuse se branche au Wi-Fi. L’aspirateur intelligent cartographie le logement. Les lumières, la sonnette, le réfrigérateur — tout cela génère des données, souvent partagées entre conjoints sans qu’on y réfléchisse vraiment. Ce qui rend cette réalité particulièrement préoccupante dans un contexte de violence conjugale, c’est que ces accès partagés ne disparaissent pas automatiquement lors d’une rupture. Un calendrier partagé oublié, un compte de véhicule conjoint non résilié, un abonnement Spotify encore lié — chacun de ces éléments peut devenir un vecteur de surveillance. La personne qui cherche à contrôler n’a pas besoin d’être un expert en informatique : elle a juste besoin de conserver l’accès à des outils qu’elle utilise déjà. Du geste anodin au harcèlement : le principe des mille coupures Un aspect central abordé dans l’épisode est la nature cumulative de la violence technologique. Un seul geste isolé — éteindre les lumières à distance, consulter la localisation du véhicule — peut sembler bénin ou même humoristique. Mais la répétition transforme ces gestes en harcèlement. C’est ce qu’on appelle parfois « mourir de mille coupures » : aucune blessure n’est fatale prise seule, mais l’accumulation crée un contexte de terreur et de perte de contrôle profonde. Ce phénomène est particulièrement difficile à documenter sur le plan juridique. Pour obtenir l’aide du système de justice, la victime doit être en mesure d’énoncer clairement les comportements vécus et d’avoir explicitement demandé qu’ils cessent. Or, si certains de ces comportements n’avaient pas été imaginés d’avance, comment aurait-on pu en demander l’arrêt ? De plus, beaucoup de ces gestes ne laissent aucune trace — un interrupteur actionné à distance ne génère pas nécessairement de journal d’activité. Les limites des institutions et des outils courants Les forces de l’ordre et les procureurs, bien intentionnés, sont souvent démunis face à ces crimes. Historiquement, la cybercriminalité était associée à des crimes en col blanc — fraudes, vols de données à grande échelle — et les corps policiers ont été formés en ce sens. Les crimes technologiques individualisés, très personnels, relèvent d’une tout autre logique, et l’expertise nécessaire pour y répondre est encore en construction. Du côté des outils de détection, le constat est similaire. Les logiciels de type accès à distance — ceux que des conjoints malveillants utilisent fréquemment pour surveiller un appareil — ne sont pas automatiquement détectés comme malveillants par les antivirus classiques, car ils ont des usages légitimes. La victime fait un scan, ne trouve rien, et en conclut que la menace est encore plus sophistiquée qu’elle ne le pensait. Ce qui aggrave son état d’anxiété. Le problème des modèles d’IA comme premiers répondants Un enjeu émergent soulevé dans l’épisode est l’utilisation croissante des grands modèles de langage — comme ChatGPT — par des personnes en détresse qui cherchent à comprendre ce qui leur arrive. Le problème est double. D’abord, ces modèles n’ont pas de démarche systématique et rigoureuse. Ils ne vérifient pas les hypothèses les moins graves en premier. Face à des symptômes comme un téléphone qui chauffe ou redémarre, ils vont souvent suggérer des scénarios extrêmes — logiciels espions de type Pegasus, opérations de services de renseignement — alors que l’explication est presque toujours beaucoup plus simple et accessible. Ensuite, les modèles d’IA ont tendance à confirmer les biais de la personne qui les interroge. Quelqu’un en état d’anxiété intense va formuler ses inquiétudes d’une certaine façon, et le modèle va amplifier ces craintes plutôt que les tempérer. Ce qui aurait pu être désamorcé en quelques échanges avec un professionnel se transforme en spirale d’angoisse. L’intervention humaine, rigoureuse et empathique, reste irremplaçable. La complexité de l’intervention : ne pas couper trop vite Contre-intuitivement, retirer immédiatement un accès malveillant n’est pas toujours la bonne décision. Dans un contexte de violence conjugale, mettre brusquement fin à la surveillance d’une personne volatile peut déclencher une escalade dangereuse. Avant d’agir, il faut évaluer la situation : comprendre qui est l’auteur, anticiper sa réaction, et s’assurer que la victime ne sera pas en danger accru si l’accès lui est retiré. Parfois, la bonne stratégie consiste à vivre avec la connaissance que le téléphone est compromis, tout en préparant un plan de sortie sécuritaire. Ressources et appel à la vigilance collective En terminant, Geneviève souligne l’importance d’écouter les personnes qui, autour de nous, expriment un malaise — même timidement. « Il sait toujours où je suis » ou « j’ai l’impression d’être surveillée » ne sont pas des propos à balayer du revers de la main. Ce sont des signaux à prendre au sérieux. Pour les personnes au Québec qui vivent une situation inconfortable dans leur relation, SOS violence conjugale offre une ligne d’écoute 24 h sur 24 et dispose de ressources adaptées aux enjeux technologiques contemporains. La violence conjugale n’est pas nouvelle, mais la technologie en a considérablement abaissé le seuil d’entrée et amplifié la portée. Répondre à ce phénomène demande des outils, des lois et une conscience collective à la hauteur de cette réalité. Collaborateurs Nicolas-Loïc Fortin Geneviève Lajeunesse Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x718! Shameless plug 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 20 au 22 avril 2026 - ITSec Code rabais de 15%: Seqcure15 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026 24 et 25 février 2027 - SéQCure 2027 Description Introduction Dans cet épisode de Polécure consacré aux PME, Cyndie Fletz, Nicholas Milot et Dominique Derrier poursuivent leur discussion sur la santé financière des fournisseurs de services gérés (MSP). Après avoir abordé les contrats et les flux d’argent dans l’épisode précédent, les trois experts s’attaquent cette fois à une question fondamentale : combien devrait-on payer pour un MSP, et qu’est-ce qu’on est en droit d’attendre en retour ? L’anecdote des 2 dollars de l’heure Cyndie ouvre le bal avec une histoire savoureuse : elle a reçu un message vocal d’une compagnie se présentant comme le MSP le moins cher au Québec, lui proposant des services à… 2 dollars de l’heure. La réaction instinctive est de sauter sur l’occasion, mais les trois invités s’empressent de remettre les choses en perspective. Le modèle MSP repose sur la duplication des mêmes processus pour optimiser l’efficacité. Cela demande du temps, des investissements et des compétences. Un MSP doit être financièrement viable pour offrir un service fiable sur le long terme. Choisir un fournisseur uniquement sur la base du prix le plus bas, c’est prendre le risque d’obtenir exactement ce pour quoi on a payé : très peu. Dominique illustre bien le danger : à 2 dollars, le contrat pourrait simplement autoriser le client à appeler le fournisseur, sans que ce dernier ait l’obligation d’intervenir. Tout est une question de ce qui est écrit dans le contrat. Le seuil des 100 dollars par endpoint par mois Nicholas propose une métrique concrète pour avoir une base de comparaison : 100 dollars par endpoint par mois pour de la gestion d’équipement de base. Ce chiffre n’est pas arbitraire. Il correspond grosso modo au coût de remplacement d’une ressource IT interne qui accomplirait les mêmes tâches. Externaliser son IT à un MSP, c’est donc un transfert de responsabilité, pas nécessairement une économie radicale. En dessous de ce seuil, les experts s’entendent : les garanties de service s’effritent, les processus internes du fournisseur sont probablement sous-financés, et la qualité du service devient imprévisible. Qu’est-ce qu’un contrat MSP devrait inclure ? La discussion s’oriente naturellement vers le contenu attendu d’un bon contrat MSP. Dominique dresse une liste des services typiques : Support de niveau 1 pour les incidents courants Gestion des vulnérabilités et des correctifs (patching) Gestion de l’obsolescence du parc informatique Gestion des serveurs, du cloud et des environnements hybrides Plus on ajoute de services dans le contrat, plus le prix augmente — logiquement. Et c’est là qu’intervient la notion de niveaux de service. Un site transactionnel qui doit fonctionner 24h/24, 7j/7, avec une intervention garantie en moins de deux heures même en pleine nuit, coûtera bien plus cher qu’un service de base. Mais en contrepartie, en cas de panne à 2h du matin, c’est le MSP qui se lève — pas le client. Comment savoir ce dont on a réellement besoin ? Cyndie pose la question que beaucoup d’entreprises se posent sans oser l’avouer : comment identifier ses propres besoins quand on n’est pas soi-même expert en IT ? Nicholas et Dominique suggèrent deux approches. Si l’entreprise dispose d’un responsable IT interne, celui-ci peut dresser la liste des tâches récurrentes ou maîtrisées à externaliser, tout en conservant en interne les décisions stratégiques. Si ce n’est pas le cas, il est fortement recommandé de se faire accompagner par un expert indépendant capable de faire le pont entre les besoins réels de l’entreprise et l’offre des MSP sur le marché. La notion de risque d’affaires est centrale dans cette démarche. Si un système doit absolument fonctionner en tout temps, il faut choisir un partenaire capable de garantir cette disponibilité. Si une panne le week-end est tolérable, un service moins coûteux peut suffire. L’analogie de l’assurance automobile est parlante : on coche d’abord tout ce qu’on veut, puis on regarde le prix et on réévalue ses priorités. Les SLA et les pénalités : une arme pour le client Dominique rappelle qu’un outil souvent sous-utilisé par les clients existe dans les contrats MSP : le service level agreement (SLA) assorti de pénalités. En définissant des taux de disponibilité (98 %, 99 %) et des délais de réponse contractuels, et en prévoyant des pénalités en cas de non-respect, le client dispose d’un levier concret pour s’assurer que le partenaire reste performant mois après mois. Comme le dit Dominique avec humour : « C’est comme dans le mariage, il faut être bon tous les jours. » La question de l’offshore La discussion se conclut sur le sujet de l’offshoring. Le modèle à 2 dollars de l’heure impliquait manifestement une main-d’œuvre délocalisée dans des pays à faibles coûts de main-d’œuvre. Les experts nuancent : l’offshore n’est pas mauvais en soi. Des compétences existent partout dans le monde, et de nombreuses entreprises utilisent déjà des services offshore sans le savoir. Le vrai risque est ailleurs : un partenaire qui réduit trop ses coûts ne pourra pas investir dans la formation de ses équipes. Or, un technicien offshore mal formé au contexte québécois pourrait redémarrer un serveur critique en pleine période de production fiscale, faute de sensibilisation aux réalités locales. La chaîne de confiance — et les certifications comme le SOC 2 ou l’ISO — doit s’étendre à l’ensemble des sous-traitants. Conclusion Choisir un MSP, ce n’est pas choisir le moins cher. C’est choisir un partenaire dont la santé financière garantit la pérennité du service, dont le contrat est clair et mesurable, et dont le niveau de service correspond réellement aux risques d’affaires de l’entreprise. Le prix est un indicateur, pas une finalité. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm