PolySécure Podcast

Parce que… c’est l’épisode 0x678! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Notes Nick Taylor Model Context Protocol MCP Security Best Practices Pomerium Model Context Protocol (MCP) Support Github/Pomerium Github/mcp-app-demo Github/MCP-typescript-template BeyondCorp: A New Approach to Enterprise Security Collaborateurs Nicolas-Loïc Fortin Nick Taylor Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x6xx! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Notes Don’t Go with the flaw Collaborateurs Nicolas-Loïc Fortin Garance de la Brosse François Proulx Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x676! Préambule Le son n’est pas à son meilleur. Nous avons improvisé une session avec deux personnes en présence et le reste à distance. Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description L’importance stratégique des réseaux sociaux Les réseaux sociaux occupent aujourd’hui une place primordiale dans l’écosystème des PME et des solopreneurs. Pour certaines entreprises, ils représentent même la source de revenus la plus importante. Contrairement aux sites web traditionnels, les plateformes comme Facebook, Instagram, LinkedIn et TikTok offrent une accessibilité et une facilité de déploiement qui les rendent particulièrement attractives. Comme le souligne l’équipe du podcast, même sans connaissances techniques approfondies, n’importe qui peut créer et gérer une page professionnelle, ce qui explique leur adoption massive. Cependant, cette omniprésence s’accompagne d’une problématique majeure la sécurité de ces comptes est souvent la dernière préoccupation des entreprises. Alors que les organisations commencent à comprendre l’importance de sécuriser leurs comptes bancaires et leurs courriels, les réseaux sociaux sont encore perçus comme des outils de marketing et de communication qui ne nécessiteraient pas le même niveau de protection. Cette perception erronée expose les entreprises à des risques considérables. Le mythe du support client efficace Un des points les plus révélateurs du podcast concerne la réalité du support technique offert par les géants des médias sociaux, notamment Meta (Facebook et Instagram). Contrairement à ce que beaucoup d’utilisateurs pensent, il n’existe pas vraiment de garantie de service professionnel. Julien explique que le support de Meta est en réalité assuré par des firmes sous-traitantes qui n’ont même pas accès au système interne de la plateforme. Ces équipes de support agissent plutôt comme des messagers : ils peuvent observer ce qui se passe sur les comptes, mais ne peuvent poser aucune action directe. Ils doivent eux-mêmes soumettre des demandes aux équipes internes de Meta, qui détiennent les véritables accès. Si ces équipes internes refusent d’intervenir, le support ne peut rien faire. Cette réalité contraste fortement avec l’image que les utilisateurs se font d’un service client réactif et efficace capable de résoudre rapidement les problèmes. Les conséquences dévastatrices d’un piratage Le podcast illustre les conséquences dramatiques d’un compte compromis à travers plusieurs exemples concrets. Lorsqu’un pirate prend le contrôle d’une page et publie du contenu qui enfreint les règles de la plateforme, c’est la page elle-même qui est sanctionnée et bloquée, même si ce n’est pas la faute du propriétaire légitime. Meta ne cherche pas à comprendre qui a effectué les actions problématiques ; elle applique simplement ses règles, laissant l’entreprise victime sans recours. L’exemple du Parc Safari est particulièrement éloquent. En 2023, leur page Facebook comptant 110 000 abonnés a été piratée et fermée. Trois ans plus tard, ils ne sont parvenus à reconstruire qu’une communauté de 5 000 abonnés, perdant ainsi 95 % de leur audience. Cette perte s’est traduite par une chute drastique des demandes de renseignements, passant d’une vingtaine par jour à seulement deux ou trois par mois. Un autre cas mentionné concerne une nutritionniste indépendante qui a perdu sa page de 10 000 abonnés créée en 2016, représentant l’essentiel de sa valeur commerciale, car son activité reposait principalement sur sa présence sur les réseaux sociaux. La responsabilité des utilisateurs Un point important soulevé dans la discussion est que les plateformes comme Meta offrent effectivement tous les outils nécessaires pour se protéger. Leur infrastructure de sécurité interne est solide, et les piratages ne proviennent généralement pas de failles dans leurs systèmes, mais plutôt de la négligence des utilisateurs eux-mêmes. Les entreprises qui ne mettent pas en place les bonnes pratiques de sécurité sont donc responsables de la compromission de leurs comptes. Cependant, cette réalité soulève des questions sur la responsabilité des plateformes. Bien que les outils de protection existent, si les utilisateurs ne les utilisent pas, les entreprises comme Meta ne considèrent pas nécessaire d’offrir un support efficace. Cette approche peut sembler discutable, mais elle reflète la position de ces géants technologiques : si c’est la faute de l’utilisateur, pourquoi investir dans un support coûteux ? Les bonnes pratiques essentielles Le podcast met l’accent sur plusieurs mesures de sécurité fondamentales. La première et la plus importante est l’activation du double facteur d’authentification (MFA) sur tous les comptes de réseaux sociaux, ainsi que sur les adresses courriel qui leur sont associées. Cette couche de sécurité supplémentaire constitue la défense la plus efficace contre les tentatives de piratage. La gestion des accès représente un autre aspect crucial souvent négligé. Les entreprises doivent régulièrement effectuer des revues d’accès pour s’assurer que seules les personnes autorisées peuvent accéder à leurs pages professionnelles. Lorsqu’un employé quitte l’entreprise ou qu’un mandat avec une agence de marketing se termine, il est impératif de retirer immédiatement leurs accès. Le podcast révèle que de nombreuses entreprises n’ont aucun processus interne pour gérer les accès aux réseaux sociaux lors du départ d’un employé, alors qu’elles ont des protocoles bien établis pour récupérer les ordinateurs portables et fermer les comptes Microsoft. Un autre principe fondamental est la gestion appropriée des rôles et permissions. Trop souvent, toutes les personnes qui travaillent sur les réseaux sociaux d’une entreprise reçoivent le statut d’administrateur, alors que ce niveau d’accès devrait être réservé uniquement à ceux qui en ont réellement besoin. Un stagiaire qui publie du contenu et gère les commentaires n’a pas besoin d’être administrateur de la page. Cette attribution excessive de privilèges augmente considérablement la surface d’attaque en cas de compromission d’un compte. Conclusion Ce podcast met en lumière un paradoxe troublant : alors que les réseaux sociaux sont devenus essentiels pour la survie et la croissance de nombreuses PME, leur sécurité reste largement sous-estimée. La perte d’un compte peut avoir des conséquences dévastatrices, tant sur le plan financier que réputationnel, avec des communautés bâties au fil des années qui disparaissent en un instant. La solution ne réside pas dans l’espoir d’un support client providentiel, mais dans l’adoption proactive de bonnes pratiques de sécurité : activation du MFA, gestion rigoureuse des accès, attribution appropriée des rôles, et sauvegarde des codes de secours. Comme le souligne l’équipe, se protéger avant qu’un incident ne survienne est infiniment plus simple, moins coûteux et moins stressant que tenter de récupérer un compte compromis. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Julien Teste-Harnois Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm Locaux réels par Moxy Montreal Downtown

Parce que… c’est l’épisode 0x675! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Notes Divers Users scramble as critical open source project left to die Hegseth needs to go to secure messaging school, report says How I discovered a hidden microphone on a Chinese NanoKVM Jeunesse Dutch study finds teen cybercrime is mostly just a phase The WIRED Guide to Digital Opsec for Teens React2Shell Cloudflare blames today’s outage on React2Shell mitigations Admins and defenders gird themselves against maximum-severity server vuln Cybersecurity industry overreacts to React vulnerability, starts panic, burns own house down again Kevin Beaumont: “Similarly attacks are spraying…” - Cyberplace IA Guardails ou l’abence de Securing AI Agents with Information Flow Control (Part I) Google’s vibe coding platform deletes entire drive AI Agents, Enterprise Risk, and the Future of Recovery: Rubrik’s Vision with Dev Rishi AI-Powered Browsers Create New Vulnerabilities Cocoon – Confidential Compute Open Network UnMarker - Les watermarks IA ne servent à rien Quand l’IA écoute et analyse les appels de millions de détenus américains AWS joins Microsoft, Google in the security AI agent race AWS AI Factories: AI-in-a-box for enterprise datacenters Red Living the long game PRC spies Brickstormed their way into critical US networks Browser extensions pushed malware to 4.3M Chrome, Edge users Hackers are Moving to “Living Off the Land” Techniques to Attack Windows Systems Bypassing EDR Velociraptor Misuse, Pt. II: The Eye of the Storm Hackers Using Calendly-Themed Phishing Attack to Steal Google Workspace Account New wave of VPN login attempts targets Palo Alto GlobalProtect portals Threat Landscape Grows Increasingly Dangerous for Manufacturers Blue Decreasing Certificate Lifetimes to 45 Days - Let’s Encrypt Microsoft fixes Windows shortcut flaw exploited for years The built-in Windows security features you should be using GrapheneOS: “GrapheneOS is the only Android…” - GrapheneOS Mastodon Legalize Lawmakers Want To Ban VPNs—And They Have No Idea What They’re Doing Portugal updates cybercrime law to exempt security researchers Legislation would designate ‘critical cyber threat actors,’ direct sanctions against them Souveraineté Porsche outage in Russia serves as a reminder of the risks in connected vehicle security What digital sovereignty? How a Canadian Court is forcing a French company to break French law Privacy India Orders Phone Makers to Pre-Install Government App to Tackle Telecom Fraud India Mandates SIM-Binding: WhatsApp and Telegram Users Must Re-verify Every 6 Hours Canadian police department becomes first to trial body cameras equipped with facial recognition technology The Age-Gated Internet Is Sweeping the US. Activists Are Fighting Back OpenAI loses fight to keep ChatGPT logs secret in copyright case Insolites Kohler’s Encrypted Smart Toilet Camera is not Actually end-to-end Encrypted Twin brothers charged with deleting 96 US govt databases Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x674! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Introduction Dans cet épisode spécial PME du podcast Pause Sécure, les animateurs Cyndie Feltz, Nicholas Milot et Dominique Derrier abordent en profondeur le sujet crucial de la sensibilisation à la cybersécurité. Leur message est clair dès le départ : la sensibilisation va bien au-delà du simple fait de cocher une case dans un rapport de conformité. Il s’agit d’un véritable enjeu stratégique pour la protection des entreprises et de leurs employés. La sensibilisation : un enjeu vital pour les entreprises Les experts rappellent une réalité incontournable : la majorité des brèches de sécurité commencent par l’humain. Dans un contexte où les courriels d’hameçonnage sont de plus en plus sophistiqués, notamment grâce à l’intelligence artificielle, personne n’est à l’abri. Même les professionnels de la cybersécurité admettent avoir déjà été victimes de ces attaques. Le quotidien professionnel, avec sa charge de travail intense, ses multiples sollicitations et la nécessité de cliquer constamment sur des liens, rend la vigilance d’autant plus difficile. Tests d’hameçonnage versus sensibilisation : deux concepts distincts Un point important soulevé durant la discussion concerne la distinction entre les tests d’hameçonnage et la sensibilisation proprement dite. Les tests servent principalement à mesurer la progression des employés dans leur capacité à détecter les courriels malveillants et à obtenir des statistiques sur l’efficacité de la sensibilisation. Cependant, la sensibilisation elle-même constitue un processus beaucoup plus large visant à instiguer un véritable changement de comportement. Transformer les utilisateurs en maillons forts L’un des messages clés du podcast est la nécessité de considérer les employés comme des maillons forts plutôt que des maillons faibles. Les participants en ont assez de cette étiquette négative. Bien formés et sensibilisés, les employés peuvent devenir la dernière ligne de défense capable de détecter ce que les outils techniques n’auraient pas pu attraper. Au-delà de la simple détection, l’objectif est que les employés développent des réflexes de communication : signaler les menaces au service informatique, alerter leurs collègues et contribuer activement à la sécurité collective de l’entreprise. Les indicateurs d’alerte : le sentiment d’urgence Les experts insistent sur un indicateur particulièrement révélateur : le sentiment d’urgence. Qu’il s’agisse d’une fraude du président demandant un virement urgent ou d’un courriel promettant de gagner un voyage à Cancún en cliquant dans les quatre prochaines minutes, ce sentiment d’urgence artificielle devrait immédiatement éveiller les soupçons. Dans un monde où tout va trop vite, il est essentiel d’apprendre à prendre le temps de la réflexion avant d’agir. Éliminer la honte et encourager la communication Un aspect fondamental de la sensibilisation efficace réside dans l’élimination de toute forme de jugement ou de honte. Tout le monde peut tomber dans un piège d’hameçonnage, même les experts. L’important n’est pas de ne jamais se faire avoir, mais plutôt de le reconnaître rapidement et d’en informer immédiatement le service informatique, même si c’est un vendredi après-midi ou qu’il s’avère finalement qu’il n’y avait pas de menace. Les participants racontent l’histoire d’une entreprise où un employé a attendu le lundi pour signaler une attaque survenue le vendredi, permettant ainsi aux pirates d’agir pendant tout le week-end. Les dirigeants et les équipes informatiques doivent créer une culture d’entreprise où les bons comportements sont récompensés et où il n’y a aucune place pour la honte. L’importance de l’adaptation et de la contextualisation La sensibilisation ne peut pas être une approche universelle. Les experts soulignent l’importance de contextualiser la formation en fonction des différents profils d’employés et de leur réalité quotidienne. Par exemple, former des ouvriers d’usine à la fraude du président n’a pas de sens s’ils n’ont pas accès aux systèmes de paiement. En revanche, les sensibiliser aux clés USB trouvées dans le stationnement ou à la sécurité physique est beaucoup plus pertinent. Cette adaptation nécessite une compréhension fine de l’organisation et des rôles de chacun. Le rôle du marketing et des ressources humaines Nicolas Milot fait une proposition audacieuse : la sensibilisation devrait être gérée par les équipes de marketing et de ressources humaines plutôt que uniquement par l’informatique. La raison est simple : créer un test d’hameçonnage efficace ressemble davantage à la création d’une infolettre marketing engageante qu’à un projet technique. Il s’agit de capturer l’attention, de créer de l’engagement et de faire passer un message. Le service informatique reste essentiel pour les aspects techniques, mais le projet dans son ensemble bénéficierait d’une approche plus orientée communication. La dimension personnelle de la sécurité Depuis la pandémie de COVID-19, la frontière entre vie personnelle et professionnelle est devenue floue. Les experts encouragent à profiter de cette réalité en abordant aussi la sécurité personnelle lors des formations. Si les employés apprennent à se protéger contre les fraudes sur les sites de vente en ligne, les QR codes malveillants ou autres menaces de leur vie quotidienne, ils appliqueront naturellement ces réflexes dans leur contexte professionnel. Les êtres humains sont fondamentalement égoïstes, et en leur montrant comment se protéger personnellement, on les rend plus réceptifs au message global de sécurité. Une approche positive et même humoristique Enfin, les participants insistent sur l’importance de rendre la sensibilisation engageante, voire amusante. La cybersécurité ne doit pas être perçue comme une contrainte pénible, mais comme une partie intégrante de la vie professionnelle abordée avec énergie positive. Utiliser l’humour, célébrer les bons comportements et créer des moments d’apprentissage plaisants permet une meilleure rétention de l’information et une adoption plus naturelle des bonnes pratiques. Conclusion La sensibilisation à la cybersécurité représente un investissement rentable qui ne coûte pas nécessairement très cher, mais qui peut considérablement améliorer la posture de sécurité d’une organisation. En donnant aux employés les outils, le temps et surtout la confiance nécessaires pour devenir des acteurs actifs de la sécurité, les entreprises se dotent d’une défense humaine efficace, capable de compléter leurs solutions techniques. Le message est clair : transformons nos employés en superstars de la sécurité plutôt qu’en suspects potentiels. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x673! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Introduction Dans cet épisode technique du podcast, Yoan Schinck, directeur de la pratique de cyber réponse chez KPMG Canada, partage son expertise sur le threat hunting utilisant le Kusto Query Language (KQL). Fort de 12 ans d’expérience en technologies de l’information, dont 6 ans chez KPMG et la moitié en cybersécurité, Schinck se spécialise dans la réponse aux incidents, particulièrement les ransomwares et les compromissions de courriels d’affaires (business email compromise). Le workshop de threat hunting Lors de l’événement DeathC, dédié au detection engineering et au threat hunting, Schinck a conçu un workshop intitulé “Threat hunting en KQL 101”. Ce workshop vise à démontrer comment effectuer du threat hunting dans l’environnement Microsoft Sentinel en utilisant le KQL, le langage de requête pour explorer les données dans l’univers Microsoft. L’accent est mis particulièrement sur la télémétrie de Microsoft Defender for Endpoint, un choix stratégique reflétant la réalité du terrain où les organisations utilisant Sentinel travaillent généralement avec la suite de produits Microsoft Defender. Infrastructure et méthodologie Pour créer un environnement d’apprentissage réaliste, Schinck a mis en place une infrastructure comprenant deux machines virtuelles : un client Windows et un serveur Windows. Sur ces machines, il a exécuté une attaque complète simulée, couvrant toutes les étapes depuis l’accès initial jusqu’à l’exfiltration de données. Cette approche synthétique permet aux participants d’explorer des artefacts d’attaque authentiques dans un environnement contrôlé. L’infrastructure incluait également des politiques d’audit avancées Windows pour capturer des événements spécifiques dans le Security Event Log, notamment pour les processus, la gestion des utilisateurs et la création de comptes. Un déploiement de Sysmon avec une configuration étendue complétait le dispositif de collecte de données. Tous ces événements étaient ensuite envoyés vers Microsoft Sentinel, créant ainsi un environnement réaliste de threat hunting. Les organisateurs de DeathC ont fourni l’infrastructure on-premise, incluant le contrôleur de domaine, l’Active Directory, le Windows Event Collector et la configuration des Group Policies pour le transfert des événements Windows. Schinck s’est chargé de créer les deux machines virtuelles localement, de les joindre au domaine et d’installer Microsoft Defender for Endpoint avant d’exécuter son scénario d’attaque. Contenu pédagogique du workshop Le workshop est structuré en quatre catégories principales de threat hunting. La première se concentre sur les vecteurs d’accès initial, explorant différentes techniques pour identifier comment un accès a été obtenu. La deuxième catégorie examine les services Windows, analysant leur création, exécution et configuration pour détecter les abus potentiels par des attaquants. La troisième catégorie explore les tâches planifiées (scheduled tasks), un concept similaire aux services Windows en termes d’opportunités de hunting. Schinck souligne que la maîtrise de l’une de ces techniques facilite l’apprentissage de l’autre en raison de leurs similarités conceptuelles. Enfin, la quatrième catégorie aborde le hunting au niveau réseau en utilisant l’enrichissement de sources externes, notamment le projet Living Off Trusted Sites (LOTS) de Mr. D0x, qui répertorie les sites et domaines internet pouvant être abusés par des attaquants. Pour les participants plus expérimentés, Schinck propose un défi bonus : effectuer les mêmes analyses en utilisant la télémétrie Sysmon ou les Windows Event Logs plutôt que les données de Microsoft Defender for Endpoint. Cette approche alternative permet d’explorer différentes sources de données et de développer une compréhension plus complète du threat hunting. Expérience terrain et cas pratiques L’expertise de Schinck en réponse aux incidents enrichit considérablement le workshop. Il partage des observations concrètes issues de ses interventions, notamment l’abus fréquent des comptes de service par les attaquants. Ces comptes, souvent configurés comme des comptes utilisateurs normaux dans Active Directory avec simplement le préfixe “SVC”, peuvent être exploités pour des connexions RDP sur des systèmes où ils ne devraient pas avoir accès. Schinck recommande de chasser activement ces anomalies en surveillant les connexions de comptes de service entre serveurs, particulièrement celles survenant en dehors des heures normales de travail. Un autre pattern récurrent concerne l’emplacement des fichiers malveillants. Les attaquants déposent fréquemment leurs binaires ou scripts dans des emplacements moins surveillés comme la racine de Program Data, le dossier Users Public, ou divers répertoires AppData. Lors d’une intervention récente sur un cas de ransomware, Schinck a identifié rapidement un fichier DLL suspect dans le dossier Users Public, qui s’est révélé être un backdoor Cobalt Strike. Méthodologie de hunting et conseils pratiques Schinck insiste sur l’importance de filtrer le bruit dans les données de threat hunting. Une technique qu’il privilégie consiste à utiliser la fonction “distinct” pour regrouper les résultats uniques. Par exemple, lors de l’analyse de commandes PowerShell, plutôt que de parcourir 15 000 exécutions individuelles, le regroupement par lignes de commande distinctes peut réduire le jeu de données à 500 entrées, rendant l’analyse visuelle beaucoup plus efficace. Il souligne également que l’œil humain possède une capacité remarquable à détecter des anomalies. En parcourant lentement 50 lignes de commande PowerShell sans filtres additionnels, un analyste expérimenté peut souvent repérer des éléments suspects. Cette capacité repose sur deux piliers : la connaissance approfondie de son environnement et l’expérience accumulée à travers de multiples incidents. Accessibilité et reproductibilité Un aspect important du workshop est son accessibilité. Schinck démontre qu’il est possible de créer un environnement de threat hunting fonctionnel avec seulement deux machines virtuelles, un Windows Event Collector et Microsoft Sentinel. Cette simplicité rend l’apprentissage accessible à quiconque souhaite créer un homelab, même sur un ordinateur personnel ou portable. Il note qu’au Québec, le stack Microsoft (Sentinel et Defender) est devenu très populaire ces dernières années, rendant ces compétences particulièrement pertinentes. Paradoxalement, il observe que très peu d’organisations déploient Sysmon ou collectent les Security Event Logs dans Sentinel, malgré la gratuité de ces outils et leur valeur considérable en cas d’incident. Conclusion Le workshop de Yoan Schinck offre une approche pragmatique et réaliste du threat hunting en KQL, combinant expertise technique et expérience terrain. En se concentrant sur des scénarios d’attaque concrets et des outils largement déployés en entreprise, il prépare efficacement les participants aux défis réels de la cybersécurité moderne. Sa philosophie est claire : une fois les concepts de threat hunting maîtrisés, ils peuvent s’appliquer à n’importe quel produit ou langage de requête, seule la syntaxe change. Collaborateurs Nicolas-Loïc Fortin Yoan Schinck Crédits Montage par Intrasecure inc Locaux réels par DEATHcon Montréal

Parce que… c’est l’épisode 0x672! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Ce podcast spécial European Cyber Week met en lumière les enjeux de la cyberdéfense, de la souveraineté numérique et de la collaboration internationale à travers l’expérience d’Arnaud Coustillière, ancien amiral de la Marine nationale française. Parcours et création de la cyberdéfense française Arnaud Coustillière a consacré 40 années au service de l’État français dans la Marine nationale, partageant équitablement sa carrière entre le maritime et le numérique. Après avoir navigué pendant quinze ans, il est devenu directeur des systèmes d’information de la Marine avant de récupérer le dossier de création de la cyberdéfense des armées en 2009. Jusqu’en 2017, il a commandé l’ensemble de la structure de cyberdéfense française, développant une capacité qui englobe la protection, la prévention, la défense et l’action offensive dans l’espace numérique. Cette cyberdéfense militaire se distingue des services de renseignement par son cadre juridique : contrairement à l’action secrète, l’action militaire reste discrète mais encadrée par le droit des conflits armés, le droit international humanitaire et le code pénal. Les trois dernières années de sa carrière, Coustillière a créé la direction générale du numérique du ministère des armées, passant de la défense des données à leur ouverture et à l’accompagnement de la transformation numérique. Le Pôle d’Excellence Cyber : un pari gagnant Depuis sa retraite, Coustillière préside le Pôle d’Excellence Cyber (PeC), une association créée il y a dix ans pour concentrer les forces de cyberdéfense françaises en Bretagne. Ce choix stratégique reposait sur trois piliers : la proximité avec Paris, l’expertise technique-opérationnelle déjà présente dans la région, et un terreau d’emplois dans les télécommunications. Le pari, considéré comme audacieux voire fou à l’époque, consistait à faire collaborer une organisation civile (l’association) avec la région Bretagne et l’État. Le succès est aujourd’hui manifeste : l’European Cyber Week est passée de 2000 participants il y a cinq ans à plus de 8000 aujourd’hui, avec une projection de 8500 à 9000 participants. L’événement se distingue par son ADN régalien européen, un terme que Coustillière préfère à “souveraineté” car il permet de penser à l’échelle européenne tout en conservant les fonctions essentielles de l’État. La collaboration franco-canadienne Le PeC développe une stratégie de partenariats choisis, notamment avec le Canada, qui partage les mêmes valeurs démocratiques que l’Europe. Depuis quatre ans, une journée de l’European Cyber Week est consacrée au Canada, et la délégation canadienne est passée d’un seul participant en 2021 à environ 25 personnes aujourd’hui. Des protocoles de coopération ont été signés avec ISECOM, et un laboratoire de recherche cyber-IA est en cours de création entre les universités de Bretagne et celles du Québec (Sherbrooke, ÉTS). L’objectif est de créer un véritable écosystème cyber franco-canadien où les entreprises des deux côtés de l’Atlantique travaillent ensemble, avec des partenariats et des offres communes. Les entreprises canadiennes peuvent participer aux appels d’offres européens si elles s’associent avec un partenaire européen. Souveraineté numérique : un concept à repenser Coustillière critique le terme de “souveraineté numérique” qu’il juge inadapté au monde numérique. Contrairement à la souveraineté terrestre qui définit clairement les frontières, l’espace numérique est plus complexe et comparable au maritime, où différents niveaux de droits coexistent selon la distance des côtes. Il préfère parler d’autonomie stratégique ou de résilience. L’écosystème numérique a évolué d’un milieu technique vers un espace de conflictualité centrée sur la captation des données. L’informatique communiquante et Internet ont créé un monde où celui qui possède les données détient le pouvoir. Cette captation est restée longtemps cachée, masquée par les technologies de big data, la transformation numérique et la migration vers le cloud. Le numérique ressemble à un iceberg : visible en surface mais reposant sur des infrastructures massives (câbles, data centers, électricité) qui appartiennent souvent à d’autres. L’impact géopolitique et le réveil européen Le combat entre la Chine et les États-Unis pour la domination technologique place l’Europe dans une position difficile. L’arrivée du président Trump a eu un effet “salutaire” selon Coustillière, car elle traite tous les pays de la même manière, clarifiant les relations et mettant fin à l’ambiguïté. La doctrine américaine se résume à : liberté des données pour faire des affaires, et cette liberté s’arrête là où commencent leurs intérêts commerciaux. Face à cette réalité, l’Europe doit retrouver une autonomie stratégique en faisant écosystème avec des partenaires partageant les mêmes valeurs. L’IA générative complique encore la situation en rendant impossible pour le citoyen moyen de distinguer le vrai du faux en ligne, nécessitant de nouvelles formes de certification. Solutions concrètes : cloud souverain et résilience Plusieurs initiatives émergent en France et en Allemagne. Les projets Bleu (Cap Gemini, Microsoft, Orange) et Sens (Thalès, Google) proposent des solutions de cloud utilisant la technologie américaine mais exploitées par des sociétés européennes, garantissant que les données restent sous cadre juridique européen. OVH représente une alternative purement européenne avec une forte présence au Canada. Le CIGREF, qui rassemble les 150 plus grandes entreprises françaises, ne parle plus de souveraineté mais de résilience face à toutes les menaces : géopolitiques, techniques et commerciales. Cette approche implique de désoptimiser les réseaux pour avoir des architectures plus hétérogènes mais plus robustes. Certaines données, particulièrement celles des citoyens, de la santé ou des services régaliens, doivent impérativement rester sous contrôle national, même si cela implique un système moins performant. Défis et perspectives Le principal défi reste le lobbying massif des grandes entreprises américaines auprès de l’Union européenne et des gouvernements. Ces sociétés déploient des moyens comparables à ceux des nations pour influencer les politiques et les décideurs. Néanmoins, un mouvement de fond s’est enclenché. Le sommet franco-allemand sur la souveraineté numérique, alors que les deux pays avaient des visions initialement opposées, démontre une prise de conscience collective. Les 18 à 24 prochains mois seront cruciaux pour concrétiser les initiatives, développer des certifications et établir une préférence européenne dans les marchés publics. Coustillière conclut que l’écosystème doit se mobiliser pour avancer dans la même direction, malgré les forces qui tenteront de l’en empêcher. La fin de la naïveté européenne face aux réalités géopolitiques du numérique constitue peut-être l’héritage le plus important de cette période de transformation. Collaborateurs Nicolas-Loïc Fortin Arnaud Coustillière Crédits Montage par Intrasecure inc Locaux réels par European Cyber Week

Parce que… c’est l’épisode 0x671! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 27 février 2026 - Blackout 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 juin 2026 - leHACK Notes IA Vibe coding: What is it good for? Absolutely nothing The slow rise of SBOMs meets the rapid advance of AI Malveillant How Malware Authors Incorporate LLMs to Evade Detection KawaiiGPT - Free WormGPT Variant Leveraging DeepSeek, Gemini, and Kimi-K2 AI Models LLMs Tools Like GPT-3.5-Turbo and GPT-4 Fuels the Development of Fully Autonomous Malware Amazon Is Using Specialized AI Agents for Deep Bug Hunting OpenAI dumps Mixpanel after analytics breach hits API users Gibberifier Souveraineté Europe Is Bending the Knee to the US on Tech Policy NATO taps Google for air-gapped sovereign cloud Canadian data order risks blowing a hole in EU sovereignty Underwater Cables That Carry the Internet Are in Trouble Social media giants liable for financial scams under new EU law Switzerland: Data Protection Officers Recommend Broad Cloud Ban for Authorities Pluralistic: (Digital) Elbows Up (28 Nov 2025) – Pluralistic: Daily links from Cory Doctorow Red Threats Actors Leverage Python-based Malware to Inject Process into a Legitimate Windows Binary New Fluent Bit Flaws Expose Cloud to RCE and Stealthy Infrastructure Intrusions ClickFix Hackers Tricks macOS Users to Execute Command in Terminal to Deliver FlexibleFerret Malware Beware of Weaponized Google Meet page that uses ClickFix to deliver Malicious Payload ClickFix attack uses fake Windows Update screen to push malware Malicious Blender model files deliver StealC infostealing malware HashiCorp Vault Vulnerability Allow Attackers to Authenticate to Vault Without Valid Credentials Cheap Device Bypasses AMD, Intel Memory Encryption Advanced Security Isn’t Stopping Old Phishing Tactics Des outils de formatage de code ont exposé des milliers de mots de passe Over 390 Abandoned iCalendar Sync Domains Could Expose ~4 Million Devices to Security Risks Public GitLab repositories exposed more than 17,000 secrets Blue Leonardo unveils ‘Michelangelo Dome’ AI-powered shield system Ex-CISA officials, CISOs aim to stop the spread of hacklore Mobile phones : Threat landscape since 2015 Air Force practices operating from cut-off bases in fierce future war Airbus: We were hours from pausing production in Spain Microsoft to secure Entra ID sign-ins from script injection attacks Privacy Mind-reading devices can now predict preconscious thoughts: is it time to worry? One Tech Tip: Modern cars are spying on you. Here’s what you can do about it Proton Meet: Secure, end-to-end encrypted video conferencing Chat Control - 3 ans de débats pour accoucher d’un truc qui ne sert à rien GrapheneOS: “We no longer have any active s…” - GrapheneOS Mastodon GrapheneOS bails on OVHcloud over France’s privacy stance European Parliament for mandatory age verification for social media Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x670! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Ce podcast réunit François Proulx, Alexis Maurer-Fortin et Sébastien Graveline, chercheurs chez BoostSecurity, une startup montréalaise spécialisée en sécurité applicative. L’épisode explore les coulisses de leur travail de recherche et développement, particulièrement leurs découvertes récentes sur les vulnérabilités de type “race condition” dans les pipelines CI/CD. Structure et méthodologie de recherche L’équipe de recherche de BoostSecurity fonctionne de manière structurée mais flexible. François Proulx définit les grandes orientations annuelles basées sur les tendances émergentes et les apprentissages de l’année précédente. Alexis apporte son expertise en développement backend et son approche défensive, tandis que Sébastien, joueur avide de CTF, contribue avec une perspective offensive de red team. Garance, absente lors de l’enregistrement, assure la rigueur académique en effectuant des revues approfondies de la littérature scientifique. Infrastructure de recherche massive L’équipe a développé une infrastructure impressionnante pour la détection de vulnérabilités à grande échelle. Au cœur de leur système se trouve Poutine, un outil open source développé en Go pour scanner les pipelines de build, particulièrement les GitHub Actions. Cette infrastructure analyse continuellement l’écosystème open source, accumulant plusieurs téraoctets de données sur des millions de projets. Leur système “Threat Hunter” ingère en quasi-temps réel tous les événements publics sur GitHub avec un délai d’environ cinq minutes, capturant même les dépôts éphémères qui n’existent que brièvement. Cette capacité leur permet de détecter des attaques en cours, comme l’attaque par “confused deputy” de Kong qu’ils ont pu capturer et analyser. Les données sont stockées dans Google Cloud BigQuery, permettant des analyses complexes qui auraient autrefois nécessité des semaines de travail. Découverte d’une nouvelle technique de malware François décrit une découverte récente concernant une technique d’obfuscation utilisant les “Private Use Areas” d’Unicode. Ces plages de caractères, réservées mais jamais attribuées officiellement, permettent d’encoder des données arbitraires dans des chaînes de caractères invisibles. Un malware peut ainsi être caché dans du code source JavaScript, Python ou Go sans être visible dans les éditeurs standards comme Visual Studio Code. En réponse, l’équipe a développé “Puant”, un outil open source capable de scanner efficacement des millions de fichiers en quelques secondes pour détecter l’utilisation de ces caractères suspects. L’outil peut s’intégrer facilement dans les pipelines CI/CD pour bloquer du code contenant ces caractères invisibles lors de la révision de pull requests. Vulnérabilités “Time of Check, Time of Use” dans les pipelines CI/CD La découverte majeure présentée concerne une classe de vulnérabilités de type “race condition” appliquée aux build pipelines. L’équipe a identifié six cas significatifs affectant des entreprises comme Nvidia, GitHub Copilot et Jupyter Notebook. Le premier cas découvert impliquait le “copy-pr-bot” de Nvidia. Ce bot copie le code d’une pull request dans une branche dédiée après qu’un mainteneur ait commenté “ok to test”. L’équipe a découvert une fenêtre d’environ cinq secondes entre la commande du mainteneur et l’exécution du bot, pendant laquelle un attaquant pouvait modifier le code malicieusement puis le rétablir, rendant l’attaque invisible. Pour GitHub Copilot, la vulnérabilité était encore plus exploitable manuellement. Lorsqu’un mainteneur assignait Copilot pour résoudre un bug décrit dans une issue, un attaquant pouvait modifier les instructions pendant la race condition, demandant au bot d’insérer une backdoor tout en affichant une tâche légitime à l’écran. Le cas de Jupyter Notebook était particulièrement ironique : la vulnérabilité résidait dans le code de mitigation d’une race condition précédemment rapportée. La correction initiale présentait une erreur typographique dans la référence temporelle utilisée, rendant la mitigation complètement inefficace. Recommandations et mitigations L’équipe propose plusieurs stratégies de mitigation. La plus importante consiste à utiliser des mécanismes atomiques qui lient l’approbation du mainteneur à un commit SHA spécifique. GitHub offre la fonctionnalité “Pull Request Review” qui garantit cette atomicité, contrairement aux simples commentaires ou labels qui restent vulnérables aux race conditions. Les environnements GitHub constituent une autre défense robuste. Ils permettent de définir des règles d’approbation liées à des commits précis et de limiter l’accès aux secrets sensibles. L’équipe recommande fortement de restreindre la permission “Workflow Write”, qui permet de modifier les workflows GitHub Actions, car elle amplifie considérablement l’impact potentiel d’une attaque. Finalement, l’adoption du principe “fail-close” plutôt que “fail-open” est essentielle : en cas d’erreur inattendue, le système doit arrêter l’exécution plutôt que de continuer. Des outils comme Poutine peuvent scanner automatiquement les workflows pour détecter ces vulnérabilités avant leur déploiement. D’ailleurs, une recherche académique récente a identifié Poutine comme l’un des meilleurs outils du domaine, particulièrement pour son excellent ratio signal/bruit. Impact de l’intelligence artificielle L’équipe observe que l’IA générative crée involontairement de nouvelles vulnérabilités. Certains pipelines vulnérables qu’ils ont découverts provenaient clairement de code généré automatiquement, créant ainsi de nouvelles chaînes d’attaque dans la supply chain logicielle. Cette conversation met en lumière l’importance croissante de la sécurité des pipelines CI/CD dans l’écosystème open source moderne, où l’automatisation accrue multiplie les vecteurs d’attaque potentiels. Notes Split-Second Side Doors: How Bot-Delegated TOCTOU Breaks The CI/CD Threat Model Collaborateurs Nicolas-Loïc Fortin Alexis-Maurer Fortin Sébastien Graveline François Proulx Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x669! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Le dark web fascine et inquiète en même temps. Pourtant, ce concept n’est pas aussi mystérieux qu’on pourrait le croire, bien qu’il joue un rôle crucial dans le paysage de la cybersécurité actuelle. Cyndie Feltz, Nicholas Milot et Dominique Derrier nous aident à mieux comprendre cet écosystème et son importance pour les petites et moyennes entreprises. Qu’est-ce que le dark web? Pour bien comprendre le dark web, il faut d’abord parler du deep web. Le deep web représente toute la partie non indexée d’internet. Lorsqu’on effectue une recherche sur Google, on ne consulte que la portion indexée du web. Mais internet contient beaucoup plus : les canaux Telegram, par exemple, font partie du deep web car ils ne sont pas indexés par les moteurs de recherche traditionnels. Le dark web constitue la partie la plus profonde du deep web, celle où se déroulent la plupart des activités criminelles en ligne. L’image de l’iceberg illustre bien cette structure : au-dessus de l’eau se trouve la partie indexée d’internet, tandis que tout ce qui est submergé représente le deep web. Au fond, là où se trouvent les créatures marines les plus imposantes, on retrouve le dark web. Il est important de noter qu’on n’accède pas au dark web par hasard. Il faut utiliser un navigateur spécialisé comme Tor pour y naviguer. De plus, contrairement au web traditionnel, il n’existe pas de Google du deep web. Il faut savoir où chercher pour trouver ce qu’on recherche. Des usages légitimes existent Bien que le dark web soit souvent associé aux activités criminelles, il possède également des usages légitimes. Les journalistes l’utilisent pour protéger leurs sources, et de nombreux gouvernements y ont recours pour des communications sécurisées. Cet espace permet des transactions sur internet qui ne sont pas indexées par Google, offrant ainsi un niveau de confidentialité supérieur. Pourquoi les PME doivent-elles s’y intéresser? Pour une PME, le dark web devient pertinent dans deux cas principaux. Le premier survient lors d’un incident de sécurité. Lorsqu’une entreprise subit une violation de données, l’assurance ou l’équipe de réponse à incident recommandera souvent d’investiguer le dark web pour tenter de récupérer les informations volées. Le deuxième cas relève de la prévention. Certaines organisations choisissent de surveiller le dark web pour anticiper les menaces. Cette surveillance permet de découvrir si des acteurs malveillants planifient une attaque ou s’ils possèdent déjà des informations compromettantes sur l’entreprise. Une véritable industrie criminelle Lorsqu’une entreprise se fait voler des données, celles-ci ont de la valeur. Les cybercriminels ne gardent pas ces informations pour eux : ils cherchent à les vendre sur des canaux Telegram ou des sites non indexés. Le dark web fonctionne comme une véritable chaîne d’approvisionnement. Des spécialistes collectent des identifiants de connexion fonctionnels, souvent par hameçonnage. Ces credentials sont ensuite vendus en lot à d’autres criminels qui les utiliseront pour déployer des rançongiciels ou des voleurs d’information. Cette division du travail crée un écosystème criminel professionnalisé, comparable à un modèle d’affaires SaaS (software as a service). Les limites de la surveillance du dark web Malgré son utilité, la surveillance du dark web comporte des limitations importantes. Par nature, cet espace n’est pas indexable comme Google. Il n’existe donc aucune garantie de retrouver toutes les informations recherchées. On peut passer des années à chercher quelque chose qui pourrait ne jamais être trouvé. Le dark web fonctionne comme un marché aux puces : les lieux où se commercent des biens illégaux apparaissent et disparaissent rapidement. Les données volées ont une durée de vie limitée. Comme on vérifie la fraîcheur des fruits à l’épicerie, les acheteurs vérifient la fraîcheur des credentials. Une fois le produit périmé, il disparaît du marché. Au-delà des mots de passe Le dark web ne contient pas que des mots de passe. Suite à une violation de données, des informations sur des centaines ou milliers de clients peuvent s’y retrouver. Ces données permettent aux attaquants de mener des campagnes d’harponnage hautement ciblées. Avec le bon contexte, leurs courriels frauduleux deviennent beaucoup plus crédibles et efficaces. Le piège des jetons de session Même avec l’authentification à deux facteurs activée, les entreprises ne sont pas totalement protégées. Les voleurs d’information peuvent extraire des jetons de session du navigateur. Ces jetons sont octroyés après qu’un utilisateur a complété son authentification complète, incluant le deuxième facteur. Si un attaquant met la main sur ce jeton et l’insère dans son propre navigateur, il peut se faire passer pour l’utilisateur légitime sans avoir besoin du deuxième facteur. Ce scénario devient particulièrement problématique lorsque les employés utilisent leur ordinateur personnel pour accéder aux ressources professionnelles. Un simple téléchargement malveillant peut compromettre une session d’entreprise et ouvrir la porte à une attaque par rançongiciel. L’hygiène de base avant tout La surveillance du dark web ne remplace pas les bonnes pratiques de sécurité. Les entreprises doivent d’abord mettre en place leur hygiène de base : authentification à deux facteurs, gestion rigoureuse des mots de passe, et autres mesures de protection accessibles aux PME. Ces éléments ne sont ni extrêmement coûteux ni particulièrement complexes à implémenter. La surveillance du dark web devrait être considérée comme une couche de protection supplémentaire, pas comme la solution principale. Elle ne fonctionne efficacement que lorsque les fondations de sécurité sont solides. Un investissement pour ne rien trouver Paradoxalement, la meilleure utilisation d’un service de surveillance du dark web est de ne jamais recevoir de notification. Si une entreprise paie pour ce service et n’est jamais alertée, cela signifie que son équipe fait du bon travail et que les mesures de sécurité fonctionnent. C’est un investissement qu’on espère ne jamais devoir utiliser, mais qui offre une tranquillité d’esprit précieuse. La nouvelle surveillance de crédit Le dark web devient le nouveau terrain de surveillance pour la protection des données personnelles. Autrefois, on surveillait son crédit pour détecter les fraudes. Aujourd’hui, avec la multiplication des violations de données, il devient plus pertinent de surveiller si nos informations se retrouvent sur le dark web. Cette évolution reflète les nouvelles réalités de la cybersécurité. Le dark web n’est finalement qu’un outil parmi d’autres dans l’arsenal de cybersécurité d’une PME. Comprendre son fonctionnement et ses limites permet de l’utiliser judicieusement, sans y investir des ressources démesurées ni négliger les fondamentaux qui demeurent la meilleure protection. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x668! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Introduction Ce podcast spécial réunit trois experts pour discuter d’un enjeu crucial : les conseils d’administration comme engrenage raté de la cybersécurité. L’hypothèse centrale avancée est que l’absence de connaissances même basiques en cybersécurité au sein de ces instances de gouvernance explique en partie les problèmes actuels auxquels font face les organisations québécoises et canadiennes. Le problème de la composition des conseils d’administration Sylvie Guérin soulève un constat troublant : malgré la multiplication des fraudes touchant les institutions, écoles, hôpitaux et universités, les conseils d’administration demeurent largement dominés par des comptables et des avocats. Cette surreprésentation crée un manque flagrant de diversité, particulièrement en matière d’expertise technologique et de cybersécurité. Elle partage son expérience personnelle où, malgré son expertise, elle s’est vue écartée d’un poste au conseil d’administration d’un CHSLD privé au profit d’un autre comptable. Cette anecdote illustre bien le caractère consanguin de ces structures, où les membres ont tendance à reproduire les mêmes profils plutôt que d’ouvrir leurs rangs à de nouvelles compétences essentielles à l’ère numérique. L’aveuglement volontaire et la dénégation plausible Éric Parent expose un phénomène qu’il nomme “l’aveuglement volontaire”. Il raconte avoir été approché pour un poste de CSO (Chief Security Officer) dans une entreprise internationale, où il est rapidement devenu évident que l’organisation cherchait en réalité un bouc émissaire plutôt qu’un véritable responsable de la sécurité. Le poste offert devait se rapporter au directeur des technologies de l’information, créant ainsi une structure hiérarchique dysfonctionnelle. Une conversation révélatrice avec Ronald Brisois, ancien PDG de Cognos, illustre parfaitement ce problème. Interrogé sur où devrait se situer la sécurité dans l’organigramme, Brisois a répondu sans hésitation : au conseil d’administration. Pourtant, il admet que ce n’est jamais là qu’elle se trouve en pratique, les dirigeants préférant la cacher sous les technologies de l’information. Parent mentionne également le concept de “plausible deniability department” utilisé dans certaines grandes entreprises canadiennes pour désigner les départements légaux, véritables cimetières d’idées où les préoccupations sont écoutées mais jamais suivies d’actions concrètes. Le fossé du langage et de la communication Un obstacle majeur identifié concerne le langage. Les comptables et avocats ont appris à parler en termes de risques financiers, ce qui leur confère une certaine autorité auprès des conseils d’administration. En contraste, les professionnels de la cybersécurité peinent souvent à traduire leurs préoccupations techniques en risques d’affaires compréhensibles. Parent souligne l’importance de cette traduction. Au lieu de parler de bits, de réseaux et de technologies, il faut parler de l’arrêt potentiel des chaînes de montage, des pénalités contractuelles et des impacts financiers concrets. Il mentionne avoir enseigné pendant dix ans à Polytechnique avec cet objectif précis : former des technologues capables de communiquer en langage d’affaires. Les lacunes du système éducatif La discussion révèle des failles profondes dans le système éducatif, depuis les écoles primaires jusqu’aux universités. Les universités forment des enseignants compétents sur le plan pédagogique, mais largement démunis en matière de technologie et de cybersécurité. Cette lacune se répercute ensuite sur les élèves, créant un cercle vicieux d’incompétence numérique. Sylvie partage l’exemple d’une connaissance dont les stagiaires en enseignement étaient prometteurs comme futurs professeurs, mais quasi analphabètes technologiquement. Ironiquement, ce sont souvent les enfants qui doivent aider leurs enseignants avec les ordinateurs et les tableaux interactifs. Ce problème s’étend aux comptables et avocats qui siègent aux conseils d’administration. Décrits avec humour comme “une gang de vieux hommes blancs de 75 ans” incapables de reprogrammer leur magnétoscope, ils manquent cruellement de la formation minimale nécessaire pour comprendre les enjeux de cybersécurité. Des solutions possibles Plusieurs pistes sont explorées pour améliorer la situation. Sylvie suggère de créer un module de formation obligatoire d’environ deux heures pour tout nouveau membre d’un conseil d’administration, les sensibilisant aux risques concrets comme l’usurpation d’identité et les fraudes par courriel. Parent propose d’aller plus loin avec une approche réglementaire. Il cite l’exemple de la loi HIPAA aux États-Unis, qui établit une grille de pénalités graduées selon le niveau de négligence. Il imagine un système où les dirigeants seraient personnellement pénalisés financièrement en cas de brèche, créant ainsi un “four autonettoyant” où la cybersécurité deviendrait automatiquement une priorité. L’exemple récent de Qantas, qui a pénalisé ses cadres supérieurs suite à un incident, est cité comme un modèle encourageant. Les assureurs pourraient également jouer un rôle en exigeant non seulement la présence d’un responsable de la cybersécurité, mais aussi une gouvernance active du conseil d’administration sur ces questions. Conclusion Le consensus qui émerge de cette discussion est que le changement ne viendra probablement que par la contrainte : réglementation, pénalités personnelles pour les dirigeants, ou exigences des assureurs. Le bon sens seul ne suffit pas, et comme le souligne Parent, “le monde marche à claque à gueule puis au coup de pelle en pleine face”. Sans événements majeurs ou nouvelles lois, les conseils d’administration continueront probablement à négliger leur rôle crucial en matière de cybersécurité, perpétuant ainsi le cycle de vulnérabilité des organisations québécoises et canadiennes. Collaborateurs Nicolas-Loïc Fortin Sylvie Guérin Éric Parent Crédits Montage par Intrasecure inc Locaux réels par Bsides Montréal

Parce que… c’est l’épisode 0x667! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Notes IA MCP Hackers Use Rogue MCP Server to Inject Malicious Code and Control the Cursor’s Built-in Browser Obscure MCP API in Comet Browser Breaches User Trust, Enabling Full Device Control via AI Browsers Microsoft Microsoft Integrated Azure Firewall With AI-powered Security Copilot Microsoft’s New Windows AI Feature Comes With Warnings About Malware and Data Theft Le crime ne paie pas GenAI Makes it Easier for Cybercriminals to Successfully Lure Victims into Scams LLM-generated malware improving, but not operational (yet) anthropic’s paper smells like bullshit – djnn@localhost AI as Cyberattacker Ollama Vulnerabilities Let Attackers Execute Arbitrary Code by Parsing of Malicious Model Files Beyond IAM Silos: Why the Identity Security Fabric is Essential for Securing AI and Non-Human Identities La poésie est une arme… pour contourner la sécurité des LLMs AI-Based Obfuscated Malicious Apps Evading AV Detection to Deploy Malicious Payload Blue Why bcrypt Can Be Unsafe for Password Hashing ? Chasse aux hostiles Authorities Seized Thousands of Servers from Rogue Hosting Company Used to Fuel Cyberattacks Five Eyes just made life harder for bulletproof hosting providers NSA Issues Guidance for ISPs and Network Defenders to Combat Malicious Activity Microsoft Finally Makes Sysmon Native To Windows Microsoft Threat Intelligence Briefing Agent Now Integrated into the Defender Portal Security 101: Cyber Training Still Fails Miserably What Cybersecurity Can Learn From Car Racing Red Malicious ‘Free’ VPN Extension with 9 Million Installs Hijacks User Traffic and Steals Browsing Data Researchers discover security vulnerability in WhatsApp Browser Fingerprinting And Why VPNs Won’t Make You Anonymous Kevin Boone: The privacy nightmare of browser fingerprinting Multi-threat Android malware Sturnus steals Signal, WhatsApp messages Threat Actors Allegedly Selling Microsoft Office 0-Day RCE Vulnerability on Hacking Forums Salesforce flags another third-party security incident Stolen VPN Credentials Most Common Ransomware Attack Vector Ransomware Actors Primarily Targeting Retailers This Holiday Season to Deploy Malicious Payloads Dark Web Job Market Evolved - Prioritizes Practical Skills Over Formal Education Privacy Google Is Collecting Troves of Data From Downgraded Nest Thermostats Europe is scaling back its landmark privacy and AI laws Europe’s cookie nightmare is crumbling Canadian privacy regulators say schools share blame for PowerSchool hack The FBI spied on a Signal group chat of immigration activists, records reveal Random Cloud Sovereignty: How Berlin and Paris Are Trying to Draw a European Line Cloudflare broke the internet with a bad DB query The Cloudflare Outage May Be a Security Roadmap Legal Restrictions on Vulnerability Disclosure Can Chinese-Made Buses Be Hacked? Norway Drove One Down a Mine to Find Out Rogue techie pleads guilty in $862K employer attack La Quadrature du Net: “Deux articles du Parisien hier…” - Mamot - Le Mastodon de La Quadrature du Net GrapheneOS: “@Fritange France is taking sta…” - GrapheneOS Mastodon BrianKrebs: “Social engineering – the art …” - Infosec Exchange Canonical expands total coverage for Ubuntu LTS releases to 15 years with Legacy add-on Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x666! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Ce podcast technique réunit Jérémy Scion et Quentin Bourgue, analystes en cybersécurité chez Sekoia, qui présentent leurs recherches sur une campagne sophistiquée de phishing baptisée “Double Paiement” (ou “I Paid Twice”). Un mode opératoire en deux phases Cette attaque se distingue par son approche méthodique en deux étapes distinctes. La première phase cible spécifiquement les hôtels et leurs administrateurs dans le but de compromettre leurs systèmes et d’accéder aux comptes de gestion sur des plateformes comme Booking.com, Expedia ou Airbnb. Une fois ces accès obtenus, la deuxième phase consiste à cibler les clients de ces hôtels pour leur extorquer de l’argent en les faisant payer une seconde fois leur réservation. La force de cette attaque réside dans le niveau de personnalisation rendu possible par l’accès aux informations de réservation. Les attaquants disposent de détails précis comme le nombre de nuits, les noms des clients, leurs coordonnées téléphoniques et les tarifs exacts, ce qui leur permet de créer des messages extrêmement convaincants. L’infection des systèmes hôteliers Pour compromettre les hôtels, les attaquants envoient des messages de phishing qui imitent le style de Booking.com ou d’autres plateformes de réservation. Ces messages prétendent provenir de clients avec des demandes d’information ou des besoins particuliers concernant leur séjour. Les hôteliers, soucieux de bien servir leur clientèle, sont naturellement enclins à répondre. La technique utilisée repose sur une méthode appelée “ClickFix”, particulièrement insidieuse. Contrairement au phishing classique où la charge malveillante est contenue dans le courriel, cette approche redirige vers une page qui reprend l’apparence de Booking.com et incite l’utilisateur à exécuter lui-même une commande PowerShell. Cette auto-infection permet de contourner de nombreuses mesures de sécurité, car le téléchargement de la charge malveillante ne se fait pas via les canaux habituellement surveillés comme la messagerie ou le navigateur web. La chaîne d’infection fait appel à des techniques avancées comme le DLL Side Loading et l’utilisation détournée d’outils légitimes pour charger le malware en mémoire. Dans le cas étudié, le malware utilisé était PureRAT, un logiciel malveillant proposé comme service, que l’attaquant loue plutôt que de développer lui-même. Spécialisation et professionnalisation Les attaquants démontrent une spécialisation claire dans le secteur hôtelier. Bien que leurs techniques restent relativement opportunistes, ils ont adapté leur approche à cet environnement spécifique. Fait intéressant, les chercheurs ont découvert que les attaquants ne développent de charges malveillantes que pour Windows, négligeant les systèmes Mac, ce qui suggère une approche coût-bénéfice calculée basée sur la prédominance de Windows dans ce secteur. Cette campagne illustre particulièrement bien la professionnalisation croissante de l’écosystème cybercriminel. On observe un véritable découpage des fonctions avec différents acteurs spécialisés : un développeur crée et loue PureRAT comme service, un opérateur utilise sa propre infrastructure de phishing et ce malware pour voler des accès, puis revend ces accès à d’autres criminels spécialisés dans la fraude bancaire. L’exploitation frauduleuse Une fois les accès aux comptes Booking.com obtenus, ils sont revendus sur des forums cybercriminels. Les acheteurs utilisent alors ces accès pour mener la deuxième phase de l’attaque. Ils récupèrent les listes de réservations à venir et contactent les clients, principalement par courriel ou WhatsApp, en se faisant passer pour l’hôtel. Le prétexte utilisé est généralement une vérification bancaire aléatoire ou un problème avec la validation de la carte de crédit. Les victimes sont rassurées qu’aucun prélèvement ne sera effectué, mais doivent simplement confirmer leurs informations. La légitimité apparente de ces messages, renforcée par les détails précis de la réservation, rend la fraude particulièrement efficace. Les victimes sont redirigées vers de fausses pages qui imitent parfaitement Booking.com ou d’autres plateformes. Ces pages professionnelles récupèrent les informations bancaires et initient directement des transactions correspondant au montant de la réservation. Comme il s’agit souvent de montants de plusieurs centaines, voire milliers d’euros, la fraude devient rapidement lucrative. Origine et évolution L’analyse des forums cybercriminels révèle que ces opérations proviennent principalement de l’écosystème russophone, avec des acteurs situés dans l’ex-URSS. L’écosystème s’est considérablement professionnalisé avec des services spécialisés : certains vendent des listes d’adresses courriel d’hôtels, d’autres proposent des accès compromis, et certains recrutent même des opérateurs pour mener ces campagnes. Jérémy Scion souligne l’évolution historique de cette menace. Il y a quelques années, il s’agissait d’opérations quasi artisanales menées par des groupes isolés. Aujourd’hui, attirés par les gains financiers substantiels, plusieurs groupes se sont lancés dans ce type d’activité. Cette professionnalisation s’accompagne d’une capacité d’adaptation remarquable : les attaquants modifient rapidement leurs chaînes d’infection pour rester discrets tout en maintenant une approche générique qui ne nécessite pas de personnalisation pour chaque victime. Indicateurs de compromission et détection Sekoia suit désormais plusieurs clusters utilisant ce mode opératoire, démontrant sa popularisation au sein de l’écosystème cybercriminel. Les chercheurs ont développé des méthodes automatiques et proactives pour suivre ces campagnes. Les indicateurs de compromission incluent principalement des noms de domaine imitant Booking.com ou utilisant des termes liés aux réservations et à l’hôtellerie, ainsi que les adresses IP hébergeant ces domaines. Cette recherche met en lumière la réalité concrète de la professionnalisation du cybercrime, qui n’est plus une simple prédiction mais une réalité observable opérant à échelle industrielle. Notes Phishing Campaigns “I Paid Twice” Targeting Booking.com Hotels and Customers Collaborateurs Nicolas-Loïc Fortin Quentin Bourgue Jérémy Scion Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x665! Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Dans cet épisode, l’équipe composée de Nicolas, Dominique et Cindy explore les mesures d’hygiène de base en cybersécurité que les petites et moyennes entreprises devraient mettre en place. L’objectif est d’identifier les solutions peu coûteuses qui offrent un gain important en sécurité et qui aident les organisations à répondre aux exigences de certifications et de conformité. L’authentification et la gestion des mots de passe Le premier pilier essentiel abordé concerne l’authentification et la gestion des mots de passe. Contrairement à ce que certains pourraient penser, les mots de passe demeurent un enjeu critique et représentent la faiblesse numéro un dans la majorité des tests d’intrusion. Cette problématique touche autant les mots de passe utilisés pour se connecter aux services externes que ceux utilisés à l’interne, incluant les comptes de service. L’équipe recommande fortement l’adoption de l’authentification unique (SSO) dès que possible, malgré l’existence d’une liste de la honte recensant les entreprises qui forcent leurs clients à prendre des forfaits coûteux pour accéder au SSO. Le principe est simple : moins il y a de mots de passe, mieux c’est. L’utilisation d’un gestionnaire de mots de passe s’avère non négociable. Il ne suffit pas de demander aux employés d’utiliser des mots de passe différents et complexes pour chaque site sans leur fournir les outils appropriés. Les experts mettent en garde contre l’utilisation des gestionnaires intégrés aux navigateurs web comme Chrome ou Edge, qui ne sont pas de qualité égale aux véritables gestionnaires de mots de passe autonomes disponibles sur le marché. Un point crucial soulevé est que si quelqu’un compromet une machine en tant qu’administrateur, il peut accéder à tous les mots de passe stockés dans le navigateur, alors qu’un gestionnaire de mots de passe dédié nécessite le mot de passe maître pour y accéder, offrant ainsi une protection supplémentaire même en cas de compromission de la machine. La protection des postes de travail Le deuxième élément fondamental concerne ce qu’on appelait autrefois les antivirus, maintenant connus sous le nom d’EDR (Endpoint Detection and Response). Cette protection minimale devrait être mise en place sur tous les environnements, même sur les ordinateurs Mac. Bien que les EDR ne soient pas infaillibles et puissent être contournés, ils représentent un premier niveau de protection accessible financièrement. L’équipe souligne l’importance de choisir un EDR adapté aux besoins spécifiques de l’entreprise en considérant plusieurs facteurs : le prix, la quantité de postes à protéger, le support offert, l’interface utilisateur, et la présence ou non de ressources techniques internes capables de gérer la solution. Certains EDR sont plus faciles à administrer tandis que d’autres offrent plus d’options mais nécessitent des formations et du personnel qualifié. Ces solutions deviennent de plus en plus accessibles pour les PME et constituent une brique essentielle de la sécurité. Les mises à jour automatiques Le troisième pilier aborde la question du patching, ces fameuses mises à jour souvent perçues comme un mal nécessaire. Pour les PME, la recommandation est claire : activer le patching automatique plutôt que de compter sur une vérification manuelle quotidienne. Cette approche s’applique non seulement aux systèmes internes mais aussi aux applications web comme WordPress. Un point important soulevé est que l’activation du patching automatique implique probablement d’avoir une bonne gestion des sauvegardes. Par exemple, si WordPress se met à jour automatiquement le mercredi, il est prudent de faire une sauvegarde le mardi pour pouvoir restaurer rapidement en cas de problème. Cette règle s’applique également aux serveurs internes, même si certains secteurs comme le manufacturier ou l’industriel peuvent nécessiter une approche plus nuancée. Il est rappelé que dans le cadre de Sécuritaire Canada, une des questions d’évaluation porte justement sur l’activation du patching automatique pour les postes de travail, ce qui devrait être une pratique standard. La gestion des sauvegardes Le quatrième élément essentiel concerne les sauvegardes. Une recommandation cruciale est de ne jamais joindre les sauvegardes au domaine. L’équipe partage plusieurs anecdotes illustrant les conséquences d’une mauvaise gestion des sauvegardes, comme la perte de dix ans de photos personnelles ou l’impossibilité d’accéder à une sauvegarde chiffrée dont le mot de passe était uniquement stocké sur la machine principale défaillante. La qualité d’une sauvegarde est égale à la dernière fois qu’elle a été testée. Les experts ont vu des situations catastrophiques où des organisations pensaient avoir des sauvegardes fonctionnelles mais ne les avaient jamais testées, pour découvrir leur inefficacité au moment d’un incident. Les sauvegardes ne servent pas uniquement en cas d’incident de sécurité, mais aussi lors de bris matériels, d’incendies ou d’autres catastrophes. Un conseil important : bien que le chiffrement des sauvegardes soit essentiel, il faut s’assurer que la clé principale n’est pas uniquement stockée sur le système sauvegardé. Il en va de même pour le mot de passe maître d’un gestionnaire de mots de passe, qui devrait être conservé sur papier quelque part en lieu sûr. Mesures complémentaires Au-delà de ces quatre piliers fondamentaux, l’équipe propose quelques mesures additionnelles. Pour les entreprises ayant un site web, l’utilisation d’un service de proxy comme Cloudflare permet d’ajouter une couche de protection accessible, voire quasi gratuite pour les PME. Bien que non infaillible, cette solution offre de la détection et une protection contre les exploits potentiels, tout en améliorant la performance et la rapidité du site. Pour les organisations utilisant Active Directory, deux outils gratuits sont recommandés : Purple Knight de Semperis et Pink Castle (récemment acquis par Tenable). Ces outils permettent de réaliser des audits de configuration et fournissent un score de sécurité sans avoir à engager immédiatement un auditeur externe coûteux. Ils génèrent des rapports en HTML, PDF ou Excel permettant d’identifier et de corriger les problèmes de configuration les plus évidents. L’importance de la base L’équipe insiste sur le fait qu’avant d’investir dans des outils complexes et coûteux comme la surveillance du dark web, il est primordial d’avoir une base solide. Comme pour une maison, si les fondations sont bancales, la plus belle construction s’effondrera. La bonne nouvelle est que cette base n’est pas nécessairement coûteuse et que de nombreux outils gratuits ou peu dispendieux existent pour établir un diagnostic et améliorer sa posture de sécurité. Un dernier point crucial, qui fera l’objet d’un épisode ultérieur, concerne la sensibilisation des employés. Ceux-ci peuvent être le meilleur allié ou la pire faiblesse d’une organisation. Il ne s’agit pas d’une formation ponctuelle mais d’un effort continu. En conclusion, les experts rappellent que ces éléments de base sont précisément ceux qui sont vérifiés dans les formulaires d’assurance et les certifications. Prendre ces mesures préventives est comparable à une visite médicale préventive : c’est beaucoup moins coûteux et traumatisant qu’une opération d’urgence suite à un incident majeur. Consulter un expert pour mettre en place ces mesures de base coûte généralement moins cher que de gérer les conséquences d’une cyberattaque. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x664! Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Ce dixième épisode collaboratif entre Polysécure et Cyber Citoyen réunit Sam Harper et Catherine Dupont-Gagnon pour discuter de trois enjeux majeurs en cybersécurité et protection de la vie privée. Les publicités malveillantes et l’importance des bloqueurs de publicité L’épisode débute avec le cas du Nevada, touché par un ransomware après qu’un employé ait cliqué sur une publicité malveillante. En cherchant un logiciel standard, l’employé est tombé sur un faux site positionné en premier dans les résultats de recherche Google grâce à de la publicité payante. Ce site clonait l’apparence du site légitime et a permis l’installation d’un malware qui a mené à une attaque par rançongiciel. Catherine souligne qu’un expert en sécurité suggère maintenant que les bloqueurs de publicité devraient être considérés comme des outils de cybersécurité essentiels, au-delà de leur rôle dans la protection de la vie privée. Elle partage sa propre expérience d’avoir failli tomber dans un piège similaire en magasinant des vêtements en ligne, se retrouvant sur un site frauduleux qui cherchait à collecter des informations de paiement. Sam explique utiliser un système de filtrage DNS à domicile via un Raspberry Pi qui bloque les domaines publicitaires connus, rendant la navigation plus rapide et sécuritaire pour tous les habitants de sa demeure. Il mentionne des solutions gratuites comme Quad9 en Suisse et le Canadian Shield de CIRA au Canada, qui offrent des niveaux de protection variables. La Belgique va même jusqu’à imposer un système opt-out plutôt qu’opt-in, avec des résultats positifs sur la réduction de la fraude. Le groupe note que Meta tire environ 10% de ses revenus de publicités frauduleuses, soit environ 7 milliards de dollars annuellement, créant une situation où bloquer les publicités devient nécessaire pour se protéger, tout en privant les médias légitimes de revenus. Ils encouragent les auditeurs à s’abonner à des médias de qualité plutôt que de compter sur le modèle publicitaire. L’enquête sur les courtiers de données (Data Broker Files) Le deuxième sujet porte sur une enquête journalistique internationale révélatrice menée par plusieurs médias européens, dont Le Monde, L’Écho et Netzpolitik. Des journalistes se sont fait passer pour une compagnie de marketing et ont obtenu gratuitement 13 milliards de points de données de géolocalisation auprès de courtiers de données. L’enquête démontre qu’avec seulement quatre points de géolocalisation, il est possible de désanonymiser pratiquement n’importe qui. Les journalistes ont pu suivre des employés de l’OTAN, de l’Union européenne et de centrales nucléaires, connaissant leurs trajets quotidiens entre la maison, la garderie, le travail et le gym. Lorsque les journalistes ont demandé si c’était légal, les vendeurs ont répondu avec un sourire que oui, car les gens avaient cliqué “j’accepte”, mais que l’anonymisation n’était “pas vraiment” garantie. Catherine explique comment ces données sont collectées : par les applications elles-mêmes, par du code tiers intégré dans les applications, et même par le système d’enchères publicitaires où chaque demande de publicité transmet la localisation de l’utilisateur à plusieurs vendeurs potentiels. Certaines compagnies participent au marché publicitaire uniquement pour collecter ces données, sans intention réelle de vendre des publicités. Sam rappelle que Tim Hortons avait été impliqué dans un scandale similaire au Canada, traçant ses clients pour savoir s’ils visitaient des compétiteurs. L’exemple de John Oliver est mentionné, où il avait créé un faux site pour collecter des données d’employés gouvernementaux afin de les confronter à la réalité de cette surveillance. Le groupe constate que ni le RGPD en Europe ni la Loi 25 au Québec ne protègent adéquatement contre les courtiers de données. Ils suggèrent qu’il faudrait peut-être “combattre le feu par le feu” en exposant publiquement les données des politiciens pour les motiver à légiférer efficacement. L’extorsion des restaurateurs via de fausses évaluations Le dernier sujet aborde une nouvelle forme de fraude ciblant les petits commerçants, particulièrement les restaurants. Des fraudeurs inondent soudainement un commerce de critiques négatives d’une étoile sur Google, souvent avec des commentaires absurdes (comme critiquer un burger dans une pizzeria). Parmi ces fausses critiques apparaît un message offrant de retirer les avis pour 100 à 200 dollars via WhatsApp. Cette tactique exploite l’importance des évaluations Google pour les commerces et la difficulté du processus de contestation. Catherine souligne que ce n’est pas nouveau – Yelp avait connu des problèmes similaires – mais que Google n’a pas mis en place les mêmes protections. Les animateurs conseillent fermement aux commerçants de ne pas payer, car cela encourage les fraudeurs. Ils suggèrent plutôt de répondre individuellement aux faux commentaires, de signaler l’attaque et de demander des révisions à Google, même si le processus est long. Cette approche s’inspire du succès de la stratégie de non-paiement face aux ransomwares, qui a conduit à une réduction significative des montants totaux payés en 2025. L’épisode se termine sur un appel humoristique aux auditeurs pour créer un “bingo” des marottes et expressions fétiches des animateurs, soulignant l’atmosphère conviviale de cette collaboration entre Polysécure et Cyber Citoyen. Notes À venir Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x663! Préambule Je teste une nouvelle façon d’enregistrer en mode nomade. J’ai l’air essoufflé, même si je ne suis pas en train de courir. C’est mon mode delivery avec ce type de micro qui est à retravailler pour mieux respirer et ne pas avoir l’air de courir. Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Notes IA Anthropic claims of Claude AI-automated cyberattacks met with doubt Kevin Beaumont: “If you’re wondering what any o…” - Cyberplace EchoGram tokens like ‘=coffee’ flip AI guardrail verdicts OpenAI Fights Order To Turn Over Millions of ChatGPT Conversation SecureVibes - AI-backed Tool Uses Claude AI Agents to Scan for Vulnerabilities Across 11 Languages Google is introducing its own version of Apple’s private AI cloud compute Red SilentButDeadly - Network Communication Blocker Tool That Neutralizes EDR/AV Ubuntu 25.10’s Rusty sudo holes quickly welded shut Active Directory Under Siege: Why Critical Infrastructure Needs Stronger Security Authentication Coercion Attack Tricks Windows Machines into Revealing Credentials to Attack-controlled Servers Hackers abuse Triofox antivirus feature to deploy remote access tools Blue What is OpenID Connect (OIDC)? — Explainer tied to CVE-2025-54603 Orgs Move to SSO, Passkeys to Solve Bad Password Habits Removing support for –no-quarantine for casks · Issue #20755 · Homebrew/brew Google sues to dismantle Chinese phishing platform behind US toll scams Kevin Beaumont: “My suggestion with ClickFix fo…” - Cyberplace CISA’s expiration leaves a dangerous void in US cyber collaboration Cyber information sharing law would get extension under shutdown deal bill DNS Provider Quad9 Sees Piracy Blocking Orders as “Existential Threat” Privacy Copy-paste now exceeds file transfer as top corporate data exfiltration vector Proton might recycle abandoned email addresses and the privacy risks are terrifying Firefox vous protège sérieusement contre le fingerprinting EU’s leaked GDPR, AI reforms slated by privacy activists Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par CitizenM

Parce que… c’est l’épisode 0x662! Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Introduction et parcours professionnel Youna Chosse-Bentabed est ingénieure en sécurité réseau spécialisée en social engineering (ingénierie sociale). Son parcours illustre une transition intéressante du monde très technique des réseaux vers l’aspect humain de la cybersécurité. Cette évolution s’est amorcée par la création de contenu sur LinkedIn, où elle démystifiait les concepts de hacking pour un large public. Cette démarche l’a menée à une prise de conscience fondamentale : si le hacking technique et physique est important, c’est le hacking humain qui constitue la clé de voûte de la sécurité informatique. Pour approfondir ses compétences, elle s’est formée aux États-Unis auprès de Christopher Hadnagy, considéré comme une référence mondiale en social engineering. Son objectif est désormais de démocratiser cette expertise en France et en Europe, où le domaine accuse un retard par rapport aux États-Unis, similaire à celui qu’avait le pentesting il y a quinze ans. Qu’est-ce que le social engineering ? Le social engineering est défini comme l’art de manipuler les autres pour obtenir des informations ou atteindre un objectif précis. Cette pratique prend de multiples formes dans notre quotidien : phishing (courriels frauduleux), vishing (appels téléphoniques), smishing (SMS), et intrusion physique. La réalité est que nous sommes tous exposés à ces attaques de manière constante. Une statistique particulièrement révélatrice indique que 72 % des incidents de sécurité impliquent un facteur humain. Pourtant, lorsqu’on demande au public qui pense avoir déjà subi une attaque de social engineering, peu de mains se lèvent, témoignant d’un manque de conscience de la régularité de ces menaces. Les services offerts aux entreprises Youna propose deux approches principales pour accompagner les organisations. La première consiste en des masterclass d’une à deux journées, particulièrement adaptées aux TPE, PME et collectivités territoriales disposant de budgets limités. Ces formations combinent théorie et exercices pratiques pour que les participants deviennent acteurs de leur sécurité et apprennent à penser comme des hackers. La seconde approche implique des audits réels avec intrusion physique, cartographie des vulnérabilités et identification des failles humaines. La solution la plus efficace pour augmenter la vigilance consiste à attaquer régulièrement l’entreprise dans le cadre de contrats à long terme (de un à cinq ans), avec des campagnes de phishing, vishing et smishing adaptées aux besoins spécifiques. L’intrusion physique, bien que moins fréquente, représente l’aspect le plus excitant du métier, nécessitant reconnaissance, création d’une légende (pretexting) et planification minutieuse de la mission. La culture du “no blame” Un principe fondamental de l’approche de Youna est la culture du “no blame” (sans reproche). Cette philosophie est essentielle car tout le monde peut tomber dans les pièges du social engineering, et il est contre-productif de culpabiliser les employés. L’expérience montre qu’une personne piégée une fois a moins de chances de récidiver. L’approche consiste à gamifier le processus, à rendre la remontée d’informations gratifiante et à accompagner les personnes qui se font prendre de manière constructive. Cette culture doit être établie dès le départ avec le top management et clairement intégrée dans les contrats. Les biais cognitifs exploités Les attaquants exploitent de nombreux biais cognitifs, dont plusieurs sont particulièrement efficaces. Le biais d’urgence est probablement le plus puissant, souvent associé au phénomène d’amygdala hijacking. L’amygdale, cette petite zone du cerveau qui assure notre survie depuis des millions d’années, nous fait perdre 60 % de notre capacité de raisonnement face à une situation d’urgence. La bonne nouvelle est qu’il n’existe jamais de situation réelle nécessitant une réaction dans les 30 secondes. Prendre 20 à 30 secondes pour respirer et se questionner permet de réactiver le raisonnement. D’autres biais fréquemment exploités incluent le biais d’autorité (difficile de remettre en question un supérieur, un médecin ou un policier), le biais de réciprocité (notre désir naturel de rendre service) et le biais de conformité (si tout le monde le fait, je le fais aussi, et l’importance d’être cohérent avec l’image qu’on projette). Stratégies de défense et formation La défense la plus efficace commence par la prise de conscience de l’existence de ces biais. Toutefois, la formation purement théorique ne suffit pas, car les réactions exploitées sont émotionnelles et 90 % de nos actions quotidiennes relèvent de l’automatisme. D’où l’importance cruciale d’exercices pratiques et concrets qui permettent d’observer différemment les situations et soi-même. La formation doit être récurrente et non ponctuelle. L’idéal est d’établir un lien direct avec l’utilisateur lorsqu’il clique sur un lien malveillant, en lui expliquant immédiatement ce qui s’est passé et pourquoi, permettant une intégration directe dans la mémoire. L’aspect éthique et l’ocytocine Youna met l’accent sur l’éthique de son travail. Formée dans cette optique par Christopher Hadnagy, elle applique le principe de laisser les gens qu’elle croise dans un meilleur état qu’avant leur rencontre. Elle n’utilise jamais de chantage, de blackmail ou de techniques de coercition basées sur la peur. Un concept fascinant abordé est celui de l’ocytocine, l’hormone de la confiance. Cette hormone, connue comme “l’hormone de l’amour”, est ce qui permet aux humains de travailler ensemble à travers le monde avec des personnes qu’ils n’ont jamais rencontrées. Le pic d’ocytocine se produit particulièrement lorsque quelqu’un nous dit qu’il nous fait confiance, créant un rapport fort et une envie de rendre service. Paradoxalement, la coopération et la confiance s’avèrent être des leviers extrêmement efficaces en social engineering. L’écoute active fait des miracles, et les gens ont naturellement tendance à beaucoup parler lorsqu’ils se sentent écoutés et validés. Conclusion et perspective globale Le social engineering dépasse largement le cadre de la cybersécurité d’entreprise. Les techniques et biais exploités sont identiques à ceux utilisés dans la désinformation, la manipulation de l’information et l’influence des démocraties. Dans un contexte d’infobésité et de bulles de filtres, développer une culture de vigilance de l’information devient essentiel, tant pour protéger l’entreprise que pour mieux comprendre le monde dans lequel nous vivons. La clé réside dans deux éléments fondamentaux : le jeu et la connaissance de soi. Créer une responsabilité collective où chacun devient acteur de la sécurité, tout en développant sa capacité à se connaître et à identifier quand on est manipulé, constitue la meilleure défense. Cette approche transforme la vulnérabilité humaine en force, en mobilisant notre capacité d’apprentissage et d’adaptation. Youna poursuit cette réflexion dans son podcast “Human Ecos”, où elle explore les liens entre cybersécurité, sciences humaines, philosophie et psychologie, offrant une vision non cloisonnée de ces enjeux qui façonnent nos sociétés et démocraties contemporaines. Notes Human Echoes Collaborateurs Nicolas-Loïc Fortin Youna Chosse-Bentabed Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x661! Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Dans cet épisode spécial consacré aux petites et moyennes entreprises, Cyndie Feltz, Nicholas Milot et Dominique Derrier abordent l’un des sujets les plus redoutés par les entrepreneurs : les formulaires de sécurité informatique. Ces documents, souvent exigés par les grandes entreprises ou les assureurs pour établir des relations commerciales, représentent un véritable casse-tête pour les PME q

Parce que… c’est l’épisode 0x660! Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Parcours professionnel de Michel Gaudette Michel Gaudette possède plus de 25 ans d’expérience dans le secteur technologique montréalais. Son parcours a débuté dans les années 90 chez Discrete Logic, une entreprise spécialisée dans les effets visuels 2D, l’incrustation et la correction couleur, avant que celle-ci ne soit rachetée par Autodesk. Attiré par l’énergie des startups, il a quitté cette position stable pour rejoindre une jeune pousse en tant que VP technologie, une aventure qui s’est soldée par un échec lors de l’éclatement de la bulle technologique. Cette expérience l’a néanmoins “intoxiqué” à l’univers des startups et à l’innovation de pointe. Son parcours l’a ensuite mené chez Quebecor, où il a passé 10 ans à développer une plateforme numérique désormais utilisée par des millions d’élèves québécois. Après avoir quitté Quebecor en 2020 pour rejoindre une startup en agrotechnologie, la pandémie de COVID-19 a fait échouer ce projet avant même son premier jour de travail, les investisseurs ayant retiré leur financement. Il a par la suite dirigé une filiale nord-américaine d’une entreprise allemande de modélisation 3D avant de rejoindre FLIR il y a deux ans et demi, recommandé par un ancien collègue qui décrivait FLIR comme la meilleure entreprise montréalaise pour laquelle il avait travaillé. Le rôle fondamental du product manager Michel définit le rôle de directeur de produit comme celui d’un orchestrateur ou d’un coach. Le product manager ne réalise pas directement le travail technique, mais s’assure que chaque membre de l’équipe performe à son meilleur niveau. Son rôle consiste à équilibrer trois dimensions essentielles : les besoins des clients, les objectifs d’affaires de l’entreprise et les capacités de l’équipe d’ingénierie. Cette position requiert des compétences particulières et multidimensionnelles. Le product manager doit pouvoir communiquer efficacement avec les développeurs passionnés et parfois têtus, tout en comprenant les enjeux commerciaux et les attentes des clients. Michel souligne qu’il a rapidement pivoté de l’ingénierie vers ce rôle après avoir découvert son intérêt pour le contact client, réalisant qu’on ne peut pas simultanément être “dans la zone” de développement et gérer les interactions constantes qu’exige la gestion de produit. Un aspect crucial du rôle est la capacité à dire non. Le product manager doit constamment prendre des décisions qui optimisent la capacité de l’équipe d’ingénierie tout en restant aligné avec la stratégie globale. Quelqu’un qui cherche à rendre tout le monde heureux en permanence ne fait pas correctement son travail. Gestion des parties prenantes et priorisation L’un des défis majeurs pour un product manager réside dans la gestion des demandes anecdotiques provenant des vendeurs et de l’équipe de support client. Les vendeurs peuvent vouloir une fonctionnalité immédiate pour conclure une vente, tandis que le support peut signaler des problèmes urgents. Le product manager doit replacer ces demandes dans un contexte holistique : est-ce vraiment prioritaire pour l’ensemble des clients et pour l’entreprise? Michel insiste sur l’importance d’écouter les clients, une approche qui résout la moitié des problèmes. Chez FLIR, les clients ont l’opportunité de parler presque directement aux équipes, créant une relation de confiance. Plutôt que de promettre des changements massifs dans 12 mois, l’équipe privilégie des améliorations incrémentales constantes. Cette approche transforme certains clients en co-créateurs et ambassadeurs du produit. Méthodologie et évolution organisationnelle FLIR a adopté une méthodologie inspirée de Shape Up, développée par Basecamp, avec des cycles de travail de 8 semaines. Les product managers présentent des propositions de projets, et les dirigeants (CTO, CEO, CPO) votent sur les priorités. L’équipe de développement travaille ensuite sans interruption pendant ces 8 semaines. L’entreprise a récemment atteint un niveau de maturité où elle développe une vision stratégique et un plan à plus long terme. Avec un doublement de la clientèle chaque année, FLIR doit mettre en place des processus plus robustes de gestion et de communication. Michel précise qu’un processus n’est essentiellement qu’une “manière de communiquer ensemble” dans une organisation en croissance où les collègues peuvent se trouver à Toronto, aux États-Unis ou ailleurs. Culture d’équipe et valeurs humaines Michel critique fermement le mythe du “10x engineer” toxique popularisé par la Silicon Valley. Il compare la gestion d’une équipe technologique à celle d’un groupe musical : chaque membre doit jouer la bonne note au bon moment, en harmonie avec les autres. Quelqu’un qui arrive avec un ego surdimensionné ne fait pas corps avec l’ensemble et nuit à l’harmonie globale. Chez FLIR, l’équipe privilégie des personnes passionnées mais capables de collaborer. La diversité des talents et des contributions est essentielle. Michel souligne que même les développeurs les plus talentueux ne pourraient pas, à eux seuls, soutenir le rythme et la complexité du travail accompli collectivement. La prise de décision chez FLIR est remarquablement rapide. L’entreprise évite les débats interminables : si une décision est réversible, l’équipe avance rapidement. Cette culture du momentum attire des personnes à l’aise avec l’action et l’imperfection, sachant qu’ils pourront se réajuster au besoin. Bien que ce ne soit pas une démocratie, chaque voix compte et est entendue. Processus d’embauche et travail hybride Le processus d’embauche chez FLIR est personnalisé et orienté vers la collaboration. Les candidats rencontrent directement les personnes avec qui ils travailleront et participent à des sessions de résolution de problèmes au tableau pendant 2 à 3 heures. L’objectif n’est pas de piéger les candidats mais d’évaluer la chimie, la communication et la compatibilité culturelle. FLIR fonctionne comme une entreprise remote par défaut, mais favorise l’embauche locale à Montréal pour faciliter les interactions. Les employés viennent naturellement au bureau pour des raisons précises : brainstorming, kickoffs de projets ou événements sociaux. Michel est convaincu que l’idéation et le brainstorming fonctionnent mieux en personne, mais que la production individuelle se fait souvent mieux à domicile. Cette approche rejoint le meilleur des deux mondes. Conclusion Michel Gaudette incarne un product manager qui place l’humain au centre de son approche. Son expérience démontre l’importance de ce rôle souvent dans l’ombre, mais essentiel à la coordination entre les besoins techniques, commerciaux et clients. Chez FLIR, cette philosophie centrée sur la collaboration, l’agilité et le respect mutuel a permis à l’entreprise de doubler sa clientèle chaque année tout en maintenant une culture saine et dynamique dans le secteur exigeant de la cybersécurité. Collaborateurs Nicolas-Loïc Fortin Michel Gaudette Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x659! Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Notes IA AI Agents Are Going Rogue: Here’s How to Rein Them In AI Security Agents Get Persona Makeovers List of AI Tools Promoted by Threat Actors in Underground Forums and Their Capabilities Ransomware Attack on European Organizations Surge as Hackers Leveraging AI-Tools for Attacks UofT: Canada isn’t doing its part to stop AI surveillance MIT Retracts Controversial AI Ransomware Study Amid Expert Scrutiny Kevin Beaumont: “The whole report is like that …” - Cyberplace Microsoft: SesameOp malware abuses OpenAI Assistants API in attacks Blue MITRE ATT&CKcon - ATT&CKcon 6.0 Chrome Emergency Update to Patch Multiple Vulnerabilities that Enable Remote Code Execution Apple addresses more than 100 vulnerabilities in security updates for iPhones, Macs and iPads Microsoft removing Defender Application Guard from Office Microsoft Entra Credentials in the Authenticator App on Jail-Broken Devices to be Wiped Out Red Teams New BOF Tool Exploits Microsoft Teams’ Cookie Encryption allowing Attackers to Access User Chats Microsoft Teams’ New “Chat with Anyone” Feature Exposes Users to Phishing and Malware Attacks Hackers Can Exploit Microsoft Teams Vulnerabilities to Manipulate Messages and Alter Notifications Hackers Weaponize Windows Hyper-V to Hide Linux VM and Evade EDR Detection Danish authorities in rush to close security loophole in Chinese electric buses 2025 Insider Risk Report Finds Most Organizations Struggle to Detect and Predict Insider Risks Violent cybercrime surges in Europe amid big payouts Cybercriminals, OCGs team up on lucrative cargo thefts DOJ accuses US ransomware negotiators of launching their own ransomware attacks Legalize Legal Corner - Apple’s notarisation – blocking software freedom of developers and users Microsoft’s data sovereignty: Now with extra sovereignty! DHS wants more biometric data - even from citizens Divers Microsoft’s lack of quality control is out of control Cybersecurity Forecast 2026 - Google Warns Threat Actors Use AI to Enhance Speed and Effectiveness ISPs more likely to throttle CGNAT traffic: Cloudflare Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc