PolySécure Podcast

Parce que… c’est l’épisode 0x670! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Notes Split-Second Side Doors: How Bot-Delegated TOCTOU Breaks The CI/CD Threat Model Collaborateurs Nicolas-Loïc Fortin Alexis-Maurer Fortin Sébastien Graveline François Proulx Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x669! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x668! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Collaborateurs Nicolas-Loïc Fortin Sylvie Guérin Éric Parent Crédits Montage par Intrasecure inc Locaux réels par Bsides Montréal

Parce que… c’est l’épisode 0x667! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Notes IA MCP Hackers Use Rogue MCP Server to Inject Malicious Code and Control the Cursor’s Built-in Browser Obscure MCP API in Comet Browser Breaches User Trust, Enabling Full Device Control via AI Browsers Microsoft Microsoft Integrated Azure Firewall With AI-powered Security Copilot Microsoft’s New Windows AI Feature Comes With Warnings About Malware and Data Theft Le crime ne paie pas GenAI Makes it Easier for Cybercriminals to Successfully Lure Victims into Scams LLM-generated malware improving, but not operational (yet) anthropic’s paper smells like bullshit – djnn@localhost AI as Cyberattacker Ollama Vulnerabilities Let Attackers Execute Arbitrary Code by Parsing of Malicious Model Files Beyond IAM Silos: Why the Identity Security Fabric is Essential for Securing AI and Non-Human Identities La poésie est une arme… pour contourner la sécurité des LLMs AI-Based Obfuscated Malicious Apps Evading AV Detection to Deploy Malicious Payload Blue Why bcrypt Can Be Unsafe for Password Hashing ? Chasse aux hostiles Authorities Seized Thousands of Servers from Rogue Hosting Company Used to Fuel Cyberattacks Five Eyes just made life harder for bulletproof hosting providers NSA Issues Guidance for ISPs and Network Defenders to Combat Malicious Activity Microsoft Finally Makes Sysmon Native To Windows Microsoft Threat Intelligence Briefing Agent Now Integrated into the Defender Portal Security 101: Cyber Training Still Fails Miserably What Cybersecurity Can Learn From Car Racing Red Malicious ‘Free’ VPN Extension with 9 Million Installs Hijacks User Traffic and Steals Browsing Data Researchers discover security vulnerability in WhatsApp Browser Fingerprinting And Why VPNs Won’t Make You Anonymous Kevin Boone: The privacy nightmare of browser fingerprinting Multi-threat Android malware Sturnus steals Signal, WhatsApp messages Threat Actors Allegedly Selling Microsoft Office 0-Day RCE Vulnerability on Hacking Forums Salesforce flags another third-party security incident Stolen VPN Credentials Most Common Ransomware Attack Vector Ransomware Actors Primarily Targeting Retailers This Holiday Season to Deploy Malicious Payloads Dark Web Job Market Evolved - Prioritizes Practical Skills Over Formal Education Privacy Google Is Collecting Troves of Data From Downgraded Nest Thermostats Europe is scaling back its landmark privacy and AI laws Europe’s cookie nightmare is crumbling Canadian privacy regulators say schools share blame for PowerSchool hack The FBI spied on a Signal group chat of immigration activists, records reveal Random Cloud Sovereignty: How Berlin and Paris Are Trying to Draw a European Line Cloudflare broke the internet with a bad DB query The Cloudflare Outage May Be a Security Roadmap Legal Restrictions on Vulnerability Disclosure Can Chinese-Made Buses Be Hacked? Norway Drove One Down a Mine to Find Out Rogue techie pleads guilty in $862K employer attack La Quadrature du Net: “Deux articles du Parisien hier…” - Mamot - Le Mastodon de La Quadrature du Net GrapheneOS: “@Fritange France is taking sta…” - GrapheneOS Mastodon BrianKrebs: “Social engineering – the art …” - Infosec Exchange Canonical expands total coverage for Ubuntu LTS releases to 15 years with Legacy add-on Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x666! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Notes Phishing Campaigns “I Paid Twice” Targeting Booking.com Hotels and Customers Collaborateurs Nicolas-Loïc Fortin Quentin Bourgue Jérémy Scion Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x665! Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x664! Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Notes À venir Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x663! Préambule Je teste une nouvelle façon d’enregistrer en mode nomade. J’ai l’air essoufflé, même si je ne suis pas en train de courir. C’est mon mode delivery avec ce type de micro qui est à retravailler pour mieux respirer et ne pas avoir l’air de courir. Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Notes IA Anthropic claims of Claude AI-automated cyberattacks met with doubt Kevin Beaumont: “If you’re wondering what any o…” - Cyberplace EchoGram tokens like ‘=coffee’ flip AI guardrail verdicts OpenAI Fights Order To Turn Over Millions of ChatGPT Conversation SecureVibes - AI-backed Tool Uses Claude AI Agents to Scan for Vulnerabilities Across 11 Languages Google is introducing its own version of Apple’s private AI cloud compute Red SilentButDeadly - Network Communication Blocker Tool That Neutralizes EDR/AV Ubuntu 25.10’s Rusty sudo holes quickly welded shut Active Directory Under Siege: Why Critical Infrastructure Needs Stronger Security Authentication Coercion Attack Tricks Windows Machines into Revealing Credentials to Attack-controlled Servers Hackers abuse Triofox antivirus feature to deploy remote access tools Blue What is OpenID Connect (OIDC)? — Explainer tied to CVE-2025-54603 Orgs Move to SSO, Passkeys to Solve Bad Password Habits Removing support for –no-quarantine for casks · Issue #20755 · Homebrew/brew Google sues to dismantle Chinese phishing platform behind US toll scams Kevin Beaumont: “My suggestion with ClickFix fo…” - Cyberplace CISA’s expiration leaves a dangerous void in US cyber collaboration Cyber information sharing law would get extension under shutdown deal bill DNS Provider Quad9 Sees Piracy Blocking Orders as “Existential Threat” Privacy Copy-paste now exceeds file transfer as top corporate data exfiltration vector Proton might recycle abandoned email addresses and the privacy risks are terrifying Firefox vous protège sérieusement contre le fingerprinting EU’s leaked GDPR, AI reforms slated by privacy activists Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par CitizenM

Parce que… c’est l’épisode 0x662! Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Introduction et parcours professionnel Youna Chosse-Bentabed est ingénieure en sécurité réseau spécialisée en social engineering (ingénierie sociale). Son parcours illustre une transition intéressante du monde très technique des réseaux vers l’aspect humain de la cybersécurité. Cette évolution s’est amorcée par la création de contenu sur LinkedIn, où elle démystifiait les concepts de hacking pour un large public. Cette démarche l’a menée à une prise de conscience fondamentale : si le hacking technique et physique est important, c’est le hacking humain qui constitue la clé de voûte de la sécurité informatique. Pour approfondir ses compétences, elle s’est formée aux États-Unis auprès de Christopher Hadnagy, considéré comme une référence mondiale en social engineering. Son objectif est désormais de démocratiser cette expertise en France et en Europe, où le domaine accuse un retard par rapport aux États-Unis, similaire à celui qu’avait le pentesting il y a quinze ans. Qu’est-ce que le social engineering ? Le social engineering est défini comme l’art de manipuler les autres pour obtenir des informations ou atteindre un objectif précis. Cette pratique prend de multiples formes dans notre quotidien : phishing (courriels frauduleux), vishing (appels téléphoniques), smishing (SMS), et intrusion physique. La réalité est que nous sommes tous exposés à ces attaques de manière constante. Une statistique particulièrement révélatrice indique que 72 % des incidents de sécurité impliquent un facteur humain. Pourtant, lorsqu’on demande au public qui pense avoir déjà subi une attaque de social engineering, peu de mains se lèvent, témoignant d’un manque de conscience de la régularité de ces menaces. Les services offerts aux entreprises Youna propose deux approches principales pour accompagner les organisations. La première consiste en des masterclass d’une à deux journées, particulièrement adaptées aux TPE, PME et collectivités territoriales disposant de budgets limités. Ces formations combinent théorie et exercices pratiques pour que les participants deviennent acteurs de leur sécurité et apprennent à penser comme des hackers. La seconde approche implique des audits réels avec intrusion physique, cartographie des vulnérabilités et identification des failles humaines. La solution la plus efficace pour augmenter la vigilance consiste à attaquer régulièrement l’entreprise dans le cadre de contrats à long terme (de un à cinq ans), avec des campagnes de phishing, vishing et smishing adaptées aux besoins spécifiques. L’intrusion physique, bien que moins fréquente, représente l’aspect le plus excitant du métier, nécessitant reconnaissance, création d’une légende (pretexting) et planification minutieuse de la mission. La culture du “no blame” Un principe fondamental de l’approche de Youna est la culture du “no blame” (sans reproche). Cette philosophie est essentielle car tout le monde peut tomber dans les pièges du social engineering, et il est contre-productif de culpabiliser les employés. L’expérience montre qu’une personne piégée une fois a moins de chances de récidiver. L’approche consiste à gamifier le processus, à rendre la remontée d’informations gratifiante et à accompagner les personnes qui se font prendre de manière constructive. Cette culture doit être établie dès le départ avec le top management et clairement intégrée dans les contrats. Les biais cognitifs exploités Les attaquants exploitent de nombreux biais cognitifs, dont plusieurs sont particulièrement efficaces. Le biais d’urgence est probablement le plus puissant, souvent associé au phénomène d’amygdala hijacking. L’amygdale, cette petite zone du cerveau qui assure notre survie depuis des millions d’années, nous fait perdre 60 % de notre capacité de raisonnement face à une situation d’urgence. La bonne nouvelle est qu’il n’existe jamais de situation réelle nécessitant une réaction dans les 30 secondes. Prendre 20 à 30 secondes pour respirer et se questionner permet de réactiver le raisonnement. D’autres biais fréquemment exploités incluent le biais d’autorité (difficile de remettre en question un supérieur, un médecin ou un policier), le biais de réciprocité (notre désir naturel de rendre service) et le biais de conformité (si tout le monde le fait, je le fais aussi, et l’importance d’être cohérent avec l’image qu’on projette). Stratégies de défense et formation La défense la plus efficace commence par la prise de conscience de l’existence de ces biais. Toutefois, la formation purement théorique ne suffit pas, car les réactions exploitées sont émotionnelles et 90 % de nos actions quotidiennes relèvent de l’automatisme. D’où l’importance cruciale d’exercices pratiques et concrets qui permettent d’observer différemment les situations et soi-même. La formation doit être récurrente et non ponctuelle. L’idéal est d’établir un lien direct avec l’utilisateur lorsqu’il clique sur un lien malveillant, en lui expliquant immédiatement ce qui s’est passé et pourquoi, permettant une intégration directe dans la mémoire. L’aspect éthique et l’ocytocine Youna met l’accent sur l’éthique de son travail. Formée dans cette optique par Christopher Hadnagy, elle applique le principe de laisser les gens qu’elle croise dans un meilleur état qu’avant leur rencontre. Elle n’utilise jamais de chantage, de blackmail ou de techniques de coercition basées sur la peur. Un concept fascinant abordé est celui de l’ocytocine, l’hormone de la confiance. Cette hormone, connue comme “l’hormone de l’amour”, est ce qui permet aux humains de travailler ensemble à travers le monde avec des personnes qu’ils n’ont jamais rencontrées. Le pic d’ocytocine se produit particulièrement lorsque quelqu’un nous dit qu’il nous fait confiance, créant un rapport fort et une envie de rendre service. Paradoxalement, la coopération et la confiance s’avèrent être des leviers extrêmement efficaces en social engineering. L’écoute active fait des miracles, et les gens ont naturellement tendance à beaucoup parler lorsqu’ils se sentent écoutés et validés. Conclusion et perspective globale Le social engineering dépasse largement le cadre de la cybersécurité d’entreprise. Les techniques et biais exploités sont identiques à ceux utilisés dans la désinformation, la manipulation de l’information et l’influence des démocraties. Dans un contexte d’infobésité et de bulles de filtres, développer une culture de vigilance de l’information devient essentiel, tant pour protéger l’entreprise que pour mieux comprendre le monde dans lequel nous vivons. La clé réside dans deux éléments fondamentaux : le jeu et la connaissance de soi. Créer une responsabilité collective où chacun devient acteur de la sécurité, tout en développant sa capacité à se connaître et à identifier quand on est manipulé, constitue la meilleure défense. Cette approche transforme la vulnérabilité humaine en force, en mobilisant notre capacité d’apprentissage et d’adaptation. Youna poursuit cette réflexion dans son podcast “Human Ecos”, où elle explore les liens entre cybersécurité, sciences humaines, philosophie et psychologie, offrant une vision non cloisonnée de ces enjeux qui façonnent nos sociétés et démocraties contemporaines. Notes Human Echoes Collaborateurs Nicolas-Loïc Fortin Youna Chosse-Bentabed Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x661! Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Dans cet épisode spécial consacré aux petites et moyennes entreprises, Cyndie Feltz, Nicholas Milot et Dominique Derrier abordent l’un des sujets les plus redoutés par les entrepreneurs : les formulaires de sécurité informatique. Ces documents, souvent exigés par les grandes entreprises ou les assureurs pour établir des relations commerciales, représentent un véritable casse-tête pour les PME q

Parce que… c’est l’épisode 0x660! Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Parcours professionnel de Michel Gaudette Michel Gaudette possède plus de 25 ans d’expérience dans le secteur technologique montréalais. Son parcours a débuté dans les années 90 chez Discrete Logic, une entreprise spécialisée dans les effets visuels 2D, l’incrustation et la correction couleur, avant que celle-ci ne soit rachetée par Autodesk. Attiré par l’énergie des startups, il a quitté cette position stable pour rejoindre une jeune pousse en tant que VP technologie, une aventure qui s’est soldée par un échec lors de l’éclatement de la bulle technologique. Cette expérience l’a néanmoins “intoxiqué” à l’univers des startups et à l’innovation de pointe. Son parcours l’a ensuite mené chez Quebecor, où il a passé 10 ans à développer une plateforme numérique désormais utilisée par des millions d’élèves québécois. Après avoir quitté Quebecor en 2020 pour rejoindre une startup en agrotechnologie, la pandémie de COVID-19 a fait échouer ce projet avant même son premier jour de travail, les investisseurs ayant retiré leur financement. Il a par la suite dirigé une filiale nord-américaine d’une entreprise allemande de modélisation 3D avant de rejoindre FLIR il y a deux ans et demi, recommandé par un ancien collègue qui décrivait FLIR comme la meilleure entreprise montréalaise pour laquelle il avait travaillé. Le rôle fondamental du product manager Michel définit le rôle de directeur de produit comme celui d’un orchestrateur ou d’un coach. Le product manager ne réalise pas directement le travail technique, mais s’assure que chaque membre de l’équipe performe à son meilleur niveau. Son rôle consiste à équilibrer trois dimensions essentielles : les besoins des clients, les objectifs d’affaires de l’entreprise et les capacités de l’équipe d’ingénierie. Cette position requiert des compétences particulières et multidimensionnelles. Le product manager doit pouvoir communiquer efficacement avec les développeurs passionnés et parfois têtus, tout en comprenant les enjeux commerciaux et les attentes des clients. Michel souligne qu’il a rapidement pivoté de l’ingénierie vers ce rôle après avoir découvert son intérêt pour le contact client, réalisant qu’on ne peut pas simultanément être “dans la zone” de développement et gérer les interactions constantes qu’exige la gestion de produit. Un aspect crucial du rôle est la capacité à dire non. Le product manager doit constamment prendre des décisions qui optimisent la capacité de l’équipe d’ingénierie tout en restant aligné avec la stratégie globale. Quelqu’un qui cherche à rendre tout le monde heureux en permanence ne fait pas correctement son travail. Gestion des parties prenantes et priorisation L’un des défis majeurs pour un product manager réside dans la gestion des demandes anecdotiques provenant des vendeurs et de l’équipe de support client. Les vendeurs peuvent vouloir une fonctionnalité immédiate pour conclure une vente, tandis que le support peut signaler des problèmes urgents. Le product manager doit replacer ces demandes dans un contexte holistique : est-ce vraiment prioritaire pour l’ensemble des clients et pour l’entreprise? Michel insiste sur l’importance d’écouter les clients, une approche qui résout la moitié des problèmes. Chez FLIR, les clients ont l’opportunité de parler presque directement aux équipes, créant une relation de confiance. Plutôt que de promettre des changements massifs dans 12 mois, l’équipe privilégie des améliorations incrémentales constantes. Cette approche transforme certains clients en co-créateurs et ambassadeurs du produit. Méthodologie et évolution organisationnelle FLIR a adopté une méthodologie inspirée de Shape Up, développée par Basecamp, avec des cycles de travail de 8 semaines. Les product managers présentent des propositions de projets, et les dirigeants (CTO, CEO, CPO) votent sur les priorités. L’équipe de développement travaille ensuite sans interruption pendant ces 8 semaines. L’entreprise a récemment atteint un niveau de maturité où elle développe une vision stratégique et un plan à plus long terme. Avec un doublement de la clientèle chaque année, FLIR doit mettre en place des processus plus robustes de gestion et de communication. Michel précise qu’un processus n’est essentiellement qu’une “manière de communiquer ensemble” dans une organisation en croissance où les collègues peuvent se trouver à Toronto, aux États-Unis ou ailleurs. Culture d’équipe et valeurs humaines Michel critique fermement le mythe du “10x engineer” toxique popularisé par la Silicon Valley. Il compare la gestion d’une équipe technologique à celle d’un groupe musical : chaque membre doit jouer la bonne note au bon moment, en harmonie avec les autres. Quelqu’un qui arrive avec un ego surdimensionné ne fait pas corps avec l’ensemble et nuit à l’harmonie globale. Chez FLIR, l’équipe privilégie des personnes passionnées mais capables de collaborer. La diversité des talents et des contributions est essentielle. Michel souligne que même les développeurs les plus talentueux ne pourraient pas, à eux seuls, soutenir le rythme et la complexité du travail accompli collectivement. La prise de décision chez FLIR est remarquablement rapide. L’entreprise évite les débats interminables : si une décision est réversible, l’équipe avance rapidement. Cette culture du momentum attire des personnes à l’aise avec l’action et l’imperfection, sachant qu’ils pourront se réajuster au besoin. Bien que ce ne soit pas une démocratie, chaque voix compte et est entendue. Processus d’embauche et travail hybride Le processus d’embauche chez FLIR est personnalisé et orienté vers la collaboration. Les candidats rencontrent directement les personnes avec qui ils travailleront et participent à des sessions de résolution de problèmes au tableau pendant 2 à 3 heures. L’objectif n’est pas de piéger les candidats mais d’évaluer la chimie, la communication et la compatibilité culturelle. FLIR fonctionne comme une entreprise remote par défaut, mais favorise l’embauche locale à Montréal pour faciliter les interactions. Les employés viennent naturellement au bureau pour des raisons précises : brainstorming, kickoffs de projets ou événements sociaux. Michel est convaincu que l’idéation et le brainstorming fonctionnent mieux en personne, mais que la production individuelle se fait souvent mieux à domicile. Cette approche rejoint le meilleur des deux mondes. Conclusion Michel Gaudette incarne un product manager qui place l’humain au centre de son approche. Son expérience démontre l’importance de ce rôle souvent dans l’ombre, mais essentiel à la coordination entre les besoins techniques, commerciaux et clients. Chez FLIR, cette philosophie centrée sur la collaboration, l’agilité et le respect mutuel a permis à l’entreprise de doubler sa clientèle chaque année tout en maintenant une culture saine et dynamique dans le secteur exigeant de la cybersécurité. Collaborateurs Nicolas-Loïc Fortin Michel Gaudette Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x659! Shameless plug 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Notes IA AI Agents Are Going Rogue: Here’s How to Rein Them In AI Security Agents Get Persona Makeovers List of AI Tools Promoted by Threat Actors in Underground Forums and Their Capabilities Ransomware Attack on European Organizations Surge as Hackers Leveraging AI-Tools for Attacks UofT: Canada isn’t doing its part to stop AI surveillance MIT Retracts Controversial AI Ransomware Study Amid Expert Scrutiny Kevin Beaumont: “The whole report is like that …” - Cyberplace Microsoft: SesameOp malware abuses OpenAI Assistants API in attacks Blue MITRE ATT&CKcon - ATT&CKcon 6.0 Chrome Emergency Update to Patch Multiple Vulnerabilities that Enable Remote Code Execution Apple addresses more than 100 vulnerabilities in security updates for iPhones, Macs and iPads Microsoft removing Defender Application Guard from Office Microsoft Entra Credentials in the Authenticator App on Jail-Broken Devices to be Wiped Out Red Teams New BOF Tool Exploits Microsoft Teams’ Cookie Encryption allowing Attackers to Access User Chats Microsoft Teams’ New “Chat with Anyone” Feature Exposes Users to Phishing and Malware Attacks Hackers Can Exploit Microsoft Teams Vulnerabilities to Manipulate Messages and Alter Notifications Hackers Weaponize Windows Hyper-V to Hide Linux VM and Evade EDR Detection Danish authorities in rush to close security loophole in Chinese electric buses 2025 Insider Risk Report Finds Most Organizations Struggle to Detect and Predict Insider Risks Violent cybercrime surges in Europe amid big payouts Cybercriminals, OCGs team up on lucrative cargo thefts DOJ accuses US ransomware negotiators of launching their own ransomware attacks Legalize Legal Corner - Apple’s notarisation – blocking software freedom of developers and users Microsoft’s data sovereignty: Now with extra sovereignty! DHS wants more biometric data - even from citizens Divers Microsoft’s lack of quality control is out of control Cybersecurity Forecast 2026 - Google Warns Threat Actors Use AI to Enhance Speed and Effectiveness ISPs more likely to throttle CGNAT traffic: Cloudflare Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x658! Shameless plug 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Dans cet épisode spécial du Policure, l’animateur et Alexandre Fournier explorent un scénario à la fois inquiétant et réaliste : que se passerait-il si nous perdions l’électricité de façon prolongée ? À travers une discussion riche en exemples concrets et en recommandations pratiques, les deux interlocuteurs examinent notre vulnérabilité face à une panne électrique généralisée. L’exercice de mise en situation Le podcast débute par un exercice d’imagination : vous vous réveillez, votre alarme n’a pas sonné, tout est sombre. Vous vous cognez l’orteil, cherchez l’interrupteur qui ne fonctionne pas, constatez que votre téléphone n’a plus que 2 % de batterie. Pas de café, pas de télévision, pas d’ordinateur. Cette mise en situation, familière pour les Québécois habitués aux pannes hivernales, prend une dimension plus inquiétante lorsqu’on en explore toutes les ramifications. Une société hyperdépendante Alexandre Fournier souligne notre dépendance extrême à l’électricité et au numérique. Sans électricité, impossible d’utiliser sa carte de crédit pour faire le plein d’essence ou acheter de la nourriture. Les adolescents, constamment sur TikTok et Instagram, vivraient une véritable angoisse. L’exemple de la panne de Rogers en 2022 est particulièrement révélateur : même le 911 était inaccessible, passant par les systèmes de l’opérateur. Le télétravail, désormais omniprésent, deviendrait impossible. Les centres informatiques, malgré leurs génératrices, ne peuvent fonctionner indéfiniment sans entretien. C’est tout le tissu économique qui risquerait de s’effondrer, avec des conséquences en cascade sur les clients, partenaires et l’ensemble de l’activité. Les impacts sur la santé et la sécurité Les répercussions sur la santé seraient dramatiques. Les personnes dépendant d’appareils respiratoires risqueraient leur vie. En Espagne, lors d’une récente panne, plusieurs décès ont été attribués à cette cause. Les pharmacies ne pourraient renouveler les prescriptions, privant de nombreuses personnes de médicaments essentiels. L’espérance de vie, que la médecine moderne a réussi à doubler, dépend d’une infrastructure énergétique fiable. Les hôpitaux, fonctionnant sur groupes électrogènes, seraient rapidement saturés. Sans feux de circulation opérationnels, les déplacements deviendraient chaotiques, compliquant l’acheminement de carburant pour alimenter les génératrices. La vie quotidienne bouleversée En hiver québécois, l’absence de chauffage devient rapidement une question de survie. Le froid extrême peut causer engelures et gelures en quelques heures. L’eau courante disparaîtrait également, car elle dépend de pompes électriques. Alexandre conseille de savoir où trouver de l’eau d’urgence : réservoir des toilettes (8 litres), chauffe-eau (150-200 litres), et même les radiateurs. L’alimentation pose un autre défi majeur. Sans électricité, impossible d’acheter avec une carte de crédit. Les épiciers refuseraient de donner leur marchandise gratuitement. Une étude citée indique qu’à Londres, 48 heures sans électricité suffiraient à déclencher des émeutes généralisées. La formule est claire : “Chacun pour soi et Dieu pour tous.” Les leçons de l’histoire Le verglas de 1998 au Québec constitue un cas d’école. Certaines régions sont restées privées d’électricité pendant 32 jours. La solidarité s’est organisée, avec des familles hébergeant leurs voisins, des gymnases transformés en refuges. HydroQuébec fut débordée, l’armée déployée, mais impossible de tout couvrir. Des solutions créatives ont émergé, comme l’utilisation d’une locomotive sur remorque pour alimenter un hôtel en électricité. Au Texas, une vague de froid récente a révélé le manque de préparation : des gens ont brûlé des parties de leur maison pour se chauffer, causant de nombreux décès par intoxication. À Mayotte, après le cyclone Chido en décembre 2024, les infrastructures détruites ont laissé la population sans eau potable ni services de base, causant 1800 morts. L’ouragan Katrina a également démontré les limites de l’État dans ces situations critiques. La préparation individuelle : la clé de la résilience Face à ces constats, Alexandre insiste sur l’importance de la préparation personnelle. Le “sac 72 heures” recommandé par la sécurité civile devrait contenir eau, nourriture, lampes et alimentation électrique d’urgence. Mais 72 heures représentent le minimum légal d’intervention de l’État. Il conseille plutôt de viser 96 heures, voire une semaine complète d’autonomie. Il est crucial de comprendre que les secours ne viendront pas immédiatement. Ils prioriseront les services essentiels (hôpitaux, pharmacies) et les personnes vulnérables. De plus, les secouristes sont eux-mêmes des humains avec des familles à protéger, ce qui peut retarder leur intervention. La solidarité locale, premier filet de sécurité Au-delà de la préparation individuelle, la solidarité de quartier s’avère indispensable. Alexandre encourage à discuter avec ses voisins, même au risque de passer pour un “illuminé”, afin de coordonner les préparatifs. Un quartier préparé collectivement évite les tensions et les conflits pour les ressources, créant plutôt un réseau d’entraide. Exercices pratiques et défis Le podcast propose trois défis concrets : vérifier ses réserves alimentaires et d’eau, noter cinq numéros de téléphone importants sur papier, et identifier un lieu de repli hors de la ville. L’invitation à simuler une demi-journée sans électricité permet de prendre conscience de nos vulnérabilités réelles. Conclusion Cette discussion soulève une question fondamentale : sommes-nous prêts à tenir 72 heures seuls ? Dans un monde où les pannes peuvent survenir suite à des tempêtes, des cyberattaques ou même des éruptions solaires, la résilience commence chez soi. Notre société moderne, forte et développée, ne tient que si chaque citoyen peut assurer son autonomie de base. La préparation n’est pas du survivalisme extrême, mais du simple bon sens face à des risques bien réels et documentés. Collaborateurs Nicolas-Loïc Fortin Le Magnifique Alexandre Fournier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x657! Shameless plug 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Introduction Ce podcast explore la relation complexe entre les équipes Red Team et les solutions EDR (Endpoint Detection and Response), en mettant l’accent sur les dimensions business plutôt que purement techniques. Charles F. Hamilton partage son expertise terrain sur l’évasion des EDR et démystifie la confiance aveugle que beaucoup placent dans ces solutions présentées comme magiques. La réalité des EDR : au-delà du marketing Les EDR sont souvent vendus comme des solutions universelles de protection, mais cette perception cache une réalité plus nuancée. Il existe plusieurs types de solutions (EDR, XDR, NDR) avec des capacités différentes, notamment au niveau de la télémétrie réseau et de l’enrichissement des données. L’industrie de la cybersécurité reste avant tout un business, où les décisions sont guidées par des considérations financières, de croissance et de parts de marché plutôt que uniquement par la protection des utilisateurs. Un aspect troublant est la romanticisation des groupes d’attaquants par certaines compagnies de détection, qui créent des figurines géantes et des noms accrocheurs pour ces groupes criminels lors de conférences. Cette approche marketing peut paradoxalement valoriser le crime et encourager de nouveaux acteurs malveillants. Fonctionnement technique des EDR Les EDR fonctionnent sur plusieurs niveaux de détection. D’abord, l’aspect antivirus traditionnel effectue une analyse statique avant l’exécution d’un binaire. Ensuite, la détection en temps réel utilise diverses techniques : le user mode hooking (de moins en moins populaire), les callbacks dans le kernel, et ETW (Event Tracing for Windows) qui capture de la télémétrie partout dans Windows. Les EDR modernes privilégient les callbacks kernel plutôt que le user mode, car le kernel offre une meilleure protection. Cependant, le risque est qu’une erreur dans le code kernel peut causer un écran bleu, comme l’a démontré l’incident CrowdStrike. Microsoft a également implémenté les PPL (Protected Process Light) pour empêcher même les utilisateurs avec privilèges système de tuer certains processus critiques. Un point crucial : les Red Teams sont souvent plus sophistiquées que les attaquants réels, précisément parce qu’elles doivent contourner les EDR dans leurs mandats. Techniques d’évasion : simplicité et adaptation Contrairement à ce qu’on pourrait croire, l’évasion d’EDR ne nécessite pas toujours des techniques extrêmement sophistiquées. Plusieurs approches simples fonctionnent encore remarquablement bien. Par exemple, modifier légèrement un outil comme PinkCastle en changeant les requêtes LDAP et en désactivant certaines fonctionnalités détectables (comme les tentatives de zone transfer DNS ou les requêtes SPN) peut le rendre indétectable. Un cas particulier intéressant concerne un EDR qui, suite à son acquisition par Broadcom, a cessé d’être signé par Microsoft. Cette décision business a rendu leur DLL incapable de s’injecter dans les processus utilisant le flag de chargement de DLL signées uniquement par Microsoft, rendant effectivement l’EDR sans valeur de détection. Une stratégie efficace consiste à désactiver la connectivité réseau des processus EDR avant toute manipulation, en utilisant le firewall local. Même si des alertes sont générées, elles ne peuvent pas être transmises au serveur. L’agent apparaît simplement offline temporairement. Les vieilles techniques qui fonctionnent encore De nombreuses techniques d’attaque anciennes restent efficaces car elles ne sont pas assez utilisées par les attaquants standard pour justifier leur détection. Les EDR se concentrent sur le “commodity malware” - les attaques volumétriques - plutôt que sur les techniques de niche utilisées principalement par les Red Teams. Charles cite l’exemple d’une “nouvelle backdoor” découverte en 2024 qui était en fait son propre code archivé sur GitHub depuis 8 ans. Pour les compagnies de sécurité, c’était nouveau car jamais vu dans leur environnement, illustrant le décalage entre ce qui existe et ce qui est détecté. L’importance de la simplicité Un conseil crucial : ne pas suivre les tendances en matière de malware. Les techniques à la mode comme le stack spoofing deviennent rapidement détectées. Charles utilise depuis 6-7 ans un agent simple en C# sans share code ni techniques exotiques, qui passe encore inaperçu. La simplicité et une approche différente sont souvent plus efficaces que la complexité. L’utilisation de Beacon Object Files (BOF) avec Cobalt Strike évite l’injection de processus, réduisant considérablement les artefacts détectables. Recommandations pratiques Pour les organisations, avoir un EDR est essentiel en 2025 pour bloquer les attaques triviales. Mais ce n’est qu’un début. Il faut absolument avoir au moins une personne qui examine les logs quotidiennement, idéalement trois fois par jour. De nombreux incidents de réponse montrent que toute l’information était disponible dans la console EDR, mais personne ne l’a regardée. La segmentation réseau reste sous-développée depuis 15 ans, principalement pour des raisons de complexité opérationnelle. Sysmon devrait être déployé partout avec une configuration appropriée pour augmenter exponentiellement la visibilité, malgré la courbe d’apprentissage XML. La visibilité réseau est ce qui manque le plus aux clients en 2025. Sans elle, il est impossible de valider ce que les EDR prétendent avoir bloqué. Charles donne l’exemple de Microsoft Defender Identity qui dit avoir bloqué des attaques alors que l’attaquant a bel et bien obtenu les hash recherchés. Conclusion L’évasion d’EDR est une spécialisation à part entière, au même titre que le pentesting web ou Active Directory. Le secret est de comprendre profondément Windows, les outils et les EDR eux-mêmes avant de tenter de les contourner. Les entreprises doivent garder l’intelligence à l’interne plutôt que de dépendre entièrement des produits commerciaux. Finalement, la collaboration entre Blue Teams et Red Teams reste insuffisante. Plus de synergie permettrait aux deux côtés de mieux comprendre les perspectives de l’autre et d’améliorer globalement la sécurité. La curiosité et l’apprentissage continu sont les clés du succès dans ce domaine en constante évolution. Notes Training Training Collaborateurs Nicolas-Loïc Fortin Charles F. Hamilton Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x656! Shameless plug 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Ce podcast technique réunit Nicolas, l’animateur, avec Maxime Arquillière et Amaury-Jacques Garçon, deux analystes en cybermenace de sekoia., une société française spécialisée dans le renseignement sur les menaces informatiques (CTI - Cyber Threat Intelligence). Leur discussion porte sur une investigation approfondie d’une campagne de cyberespionnage sophistiquée baptisée “Double Tap”, probablement liée au groupe APT28 du renseignement militaire russe. Le contexte et la méthodologie Maxime et Amaury expliquent d’abord leur approche du travail de CTI, qui repose largement sur une veille continue des publications d’organismes spécialisés (CERT français, américains, canadiens) et de chercheurs en cybersécurité. Cette collecte systématique d’informations en source ouverte leur permet de modéliser les menaces et de créer des règles de détection, notamment des règles Yara pour identifier les fichiers malveillants. Leur équipe dispose de quatre spécialités : le tracking d’infrastructure, les règles de détection, le reverse engineering de malware, et l’analyse stratégique qui vise à comprendre les objectifs géopolitiques derrière les attaques étatiques. Cette approche multidimensionnelle permet une compréhension globale des cybermenaces. La découverte initiale L’investigation démarre à partir d’un article publié fin juillet 2024 par le CERT-UA (l’autorité ukrainienne de réponse aux incidents), qui documente des attaques ciblant régulièrement l’Ukraine. À partir de ces informations, l’équipe a créé des règles de détection, dont certaines volontairement plus souples pour capturer d’éventuelles variantes. Mi-octobre, une de ces règles Yara a détecté un document Word malveillant sur VirusTotal, une plateforme où sont analysés des millions de fichiers suspects. Ce document contenait une macro et semblait être issu du ministère des Affaires étrangères du Kazakhstan. Cette alerte a déclenché une investigation approfondie qui a permis de découvrir au total 18 documents similaires, dont une dizaine n’avaient jamais été publiés auparavant. L’analyse technique : la chaîne d’infection “Double Tap” Amaury détaille la sophistication technique de cette attaque. Les documents malveillants utilisent une technique de social engineering : ils apparaissent floutés ou déformés à l’ouverture, incitant la victime à cliquer sur “Activer les macros” pour les rendre lisibles. Cette action déclenche une chaîne d’infection particulièrement élaborée. La particularité qui a donné son nom à la campagne est l’utilisation d’un double mécanisme : le premier document Word crée un second document contenant des macros malveillantes dans un répertoire temporaire du système. Cette approche en plusieurs étapes vise à contourner les systèmes de détection. Une fois activé, le malware modifie les paramètres de sécurité du système pour permettre l’exécution automatique de macros futures, établit une persistance qui se réactive toutes les quatre minutes, et contacte un serveur de commande et contrôle (C2). Le code, largement obfusqué, construit progressivement une troisième macro qui communique avec un serveur externe pour transmettre des informations sur la machine compromise (nom d’utilisateur, nom du PC) et potentiellement déployer un backdoor Python appelé “Cherry Spy” pour l’exfiltration de données. La dimension géopolitique L’analyse de Maxime révèle que les dix documents découverts étaient tous rédigés en kazakh et concernaient des sujets diplomatiques : câbles d’ambassades kazakhes en Belgique et Afghanistan, comptes-rendus de visites présidentielles, et notamment une déclaration diplomatique conjointe entre l’Allemagne et le Kazakhstan datant de septembre 2024, lors d’une visite du chancelier Olaf Scholz visant à diversifier les approvisionnements énergétiques allemands. Ces documents, datés entre 2021 et 2024, semblent être des documents légitimes récupérés lors d’opérations antérieures et réutilisés comme appâts pour cibler des diplomates et officiels kazakhs. Le Kazakhstan, bien qu’allié traditionnel de la Russie, adopte une politique de plus en plus indépendante, ce qui expliquerait l’intérêt du renseignement russe. Le lien avec APT28 et Zebrocy L’équipe établit des connexions avec APT28 (également connu sous le nom de Fancy Bear), un groupe de cyberespionnage du renseignement militaire russe (GRU). Ils identifient également des similitudes avec Zebrocy, un mode opératoire actif entre 2015 et 2020 qui ciblait spécifiquement l’Asie centrale et utilisait des techniques similaires de “double tap”. L’importance du partage Les chercheurs soulignent l’importance de publier leurs découvertes en source ouverte. Bien que cela puisse alerter les attaquants et les pousser à modifier leur infrastructure, cette transparence contribue à l’amélioration de la cybersécurité globale, permettant à d’autres chercheurs de construire sur leurs travaux. De manière remarquable, quelques jours après la publication de leur rapport, un média kazakh a annoncé qu’une inspection imprévue du ministère des Affaires étrangères serait menée suite aux révélations sur cette cyberattaque. L’équipe avait d’ailleurs tenté de contacter le gouvernement kazakh avant publication, sans recevoir de réponse. Cette investigation illustre parfaitement la complexité du travail en CTI : combiner expertise technique, compréhension géopolitique et éthique du partage pour protéger efficacement contre les menaces étatiques sophistiquées qui peuvent s’étendre sur plusieurs années. Notes Double-Tap Campaign - Russia-nexus APT possibly related to APT28 conducts cyber espionage on Central Asia and Kazakhstan diplomatic relations Collaborateurs Nicolas-Loïc Fortin Maxime Arquillière Amaury-Jacques Garçon Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x655! Shameless plug 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Notes Résilience du cloud Microsoft: DNS outage impacts Azure and Microsoft 365 services Kevin Beaumont: “Yep, just did some testing - A…” - Cyberplace Kevin Beaumont: “If you’re wondering what prote…” - Cyberplace Microsoft Services Experience Global Outage Due to Faulty Cloud Configuration Microsoft Azure challenges AWS for downtime crown Kevin Beaumont: “If you’re wondering the AWS an…” - Cyberplace IA The glaring security risks with AI browser agents OpenAI’s Atlas browser — and others — can be tricked by manipulated web content New Agent-Aware Cloaking Leverages OpenAI ChatGPT Atlas Browser to Deliver Fake Content Ex-CISA chief says AI could mean the end of cybersecurity AI-Generated Code Poses Security, Bloat Challenges AI Trust Paradox: Overcome Fear Auto Cyber Remediation Anthropic’s Claude convinced to exfiltrate private data OpenAI unleashes Aardvark security agent in private beta Red New EDR-Redir Tool Breaks EDR Exploiting Bind Filter and Cloud Filter Driver New EDR-Redir V2 Blinds Windows Defender on Windows 11 With Fake Program Files Hackers Exploiting Microsoft WSUS Vulnerability In The Wild - 2800 Instances Exposed Online oss-sec: Questionable CVE’s reported against dnsmasq 81% Router Usres Have Not Changed Default Admin Passwords, Exposing Devices to Hackers Sweden’s power grid operator confirms data breach claimed by ransomware gang What Is Bring Your Own Vulnerable Driver (BYOVD)? High-Severity OpenVPN Flaw (CVE-2025-10680) Allows Script Injection on Linux/macOS via Malicious DNS Server Beware of Free Video Game Cheats That Delivers Infostealer Malwares New Atroposia malware comes with a local vulnerability scanner New Android Trojan ‘Herodotus’ Outsmarts Anti-Fraud Systems by Typing Like a Human Next-gen firewalls, VPNs can increase security risks: At-Bay Tata Motors Data Leak - 70+ TB of Sensitive Info and Test Drive Data Exposed via AWS Keys 9 in 10 Exchange servers in Germany are out of support Cyberpunks mess with Canada’s water, energy, farm systems Multiple Jenkins Vulnerability SAML Authentication Bypass And MCP Server Plugin Permissions Blue Mozilla to Require Data-Collection Disclosure in All New Firefox Extensions CISOs Finally Get a Seat at the Board’s Table Ransomware Profits Drop As Victims Stop Paying Hackers Making A Virtual Machine Look Like Real Hardware To Malware Open-Source Firewall IPFire 2.29 With New Reporting For Intrusion Prevention System Agent Fatigue Is Real and Your Security Stack Is to Blame ATT&CK v18: The Detection Overhaul You’ve Been Waiting For How Threat Intelligence Feeds Help Organizations Quickly Mitigate Malware Attacks Passkeys: they’re not perfect but they’re getting better Google Unveils Guide for Defenders to Monitor Privileged User Accounts Google Chrome Will Finally Default To Secure HTTPS Connections Starting in April CISA Releases Best Security Practices Guide for Hardening Microsoft Exchange Server Russia arrests three suspected Meduza infostealer devs Privacy What brain privacy will look like in the age of neurotech Proton 2025 autumn/winter roadmaps [New Release: Tor Browser 15.0 The Tor Project](https://blog.torproject.org/new-release-tor-browser-150/) Divers EU sovereignty plan accused of helping US cloud giants Red lights flashing at CISPE over Broadcom licensing antics France signs up to the Matrix.org Foundation US declines to join more than 70 countries in signing UN cybercrime treaty International Criminal Court To Ditch Microsoft Office For European Open Source Alternative Everyone Wants to Hack — No One Wants to Think Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x654! Shameless plug 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Introduction et contexte Dans cet épisode du podcast 0x654 Teknik, Nicolas Corin s’entretient avec Alex Tardif de Palo Alto Networks sur l’opération du centre de sécurité (SOC) lors du Hackfest, un événement majeur de cybersécurité au Québec. Depuis plusieurs années, même avant 2022, Palo Alto est responsable de monter l’infrastructure et de sécuriser le CTF (Capture The Flag) de l’événement. Cette présence unique offre à l’équipe une visibilité exceptionnelle sur des trafics hostiles dans un environnement volontairement vulnérable. La mission de sécurisation Contrairement à ce qu’on pourrait penser, sécuriser un CTF n’est pas contradictoire. L’objectif principal est de contrôler ce qui se passe pour s’assurer que les participants respectent le code de conduite et ne dépassent pas les limites établies. Il faut empêcher les attaques sur les infrastructures hors périmètre du CTF et surveiller l’adresse IP publique pour éviter que des activités malveillantes n’affectent le Centre des Congrès qui héberge l’événement. Cette diligence est essentielle pour maintenir la confiance de l’organisation et garantir l’accès internet. Une infrastructure complète de bout en bout Palo Alto déploie bien plus que des pare-feu. L’équipe utilise une suite complète de solutions de sécurité, incluant des pare-feu nouvelle génération, un SOC, et des produits de sécurité cloud. Cette architecture permet une traçabilité complète, de l’utilisateur jusqu’aux challenges dans le cloud, en passant par le réseau. Cette année, l’infrastructure comprenait plus de 260 serveurs pour le challenge Active Directory, avec 5 à 6 serveurs instantanés par équipe. Les outils déployés incluent Xsoar (leur outil SIEM automatisé), des solutions d’attack surface management, de la sécurité applicative pour analyser le code des challenges, et potentiellement pour l’année prochaine, des outils de sécurité pour les LLM (Large Language Models). Une préparation approfondie La préparation commence plusieurs mois à l’avance, dès avril-mai pour l’événement d’octobre. Cette planification extensive couvre la logistique, la nature des challenges, les connexions d’infrastructure et le déploiement des solutions. L’équipe connecte les challenges deux semaines avant l’événement pour effectuer des audits de sécurité, identifier les vulnérabilités présentes et confirmer avec les créateurs de challenges que tout est intentionnel. Cette approche “purple team” permet d’équilibrer la sécurité et l’intérêt des défis. L’équipe et son organisation Cette année, l’équipe a adopté un organigramme de SOC traditionnel avec 14 ressources sur place, incluant des SOC managers, des analystes de niveau 1, 2 et 3, et un analyste de sécurité réseau. L’événement se déroule sur 24 heures, du jeudi 19h30 au vendredi 19h30, ce qui représente un défi opérationnel considérable. L’équipe est principalement composée de ressources locales en prévente chez Palo Alto, avec des profils variés : red teaming, cloud, anciens directeurs de SOC, et spécialistes de l’implémentation de pare-feu. Le mode détection plutôt que blocage L’équipe opère entièrement en mode détection, avec seulement un événement bloqué cette année : une tentative d’injection sur la page de connexion WiFi. Ce mode nécessite plus d’intervention humaine mais offre une expérience d’apprentissage unique dans un environnement de production extrêmement bruyant, rempli de C2, malware et exploitations de vulnérabilités. Des statistiques impressionnantes Les chiffres de cette année témoignent de l’ampleur de l’événement : 486 Go de données analysées en 24 heures, 31,4 millions de menaces uniques détectées, 11 300 alertes générées et converties en 1 000 incidents. Grâce à l’automatisation, 663 incidents ont été traités automatiquement, soit plus de la moitié. L’équipe a atteint un temps moyen de détection et de réponse (MTTR/MTTD) de moins de 15 minutes, un exploit remarquable comparé à certaines grandes organisations. L’automatisation et l’intelligence artificielle L’automatisation joue un rôle crucial dans la gestion du volume d’alertes. Une fois qu’un type d’incident est résolu et compris, le système Xsoar recommande des playbooks pour automatiser la fermeture d’incidents similaires. Cette approche permet aux analystes de se concentrer sur les incidents vraiment intéressants plutôt que sur le triage répétitif, améliorant ainsi la rétention du personnel et la satisfaction au travail. Les incidents et anecdotes marquantes L’histoire justifie la vigilance : en 2022, un participant avait déployé des malwares via un faux captcha dans un PDF, ciblant la Russie et le Vietnam. En 2023, des machines infectées (notamment une VM Kali piratée) ont été détectées, et des tentatives de DDoS sur l’infrastructure du Hackfest ont été stoppées. Cette année a été relativement calme, avec quelques anecdotes amusantes : une équipe a uploadé des photos de Vladimir Poutine aux pectoraux surdimensionnés sur un challenge GCP, et un participant paranoïaque a effectué 929 tentatives de validation DNS avec des DGA (Dynamically Generated Addresses). L’utilisation de l’IA par les participants Une découverte intéressante : 242 utilisateurs uniques ont utilisé ChatGPT durant les challenges, soit environ un tiers des participants. Plus surprenant encore, 68 utilisateurs ont utilisé Bing AI, probablement faute d’abonnement à d’autres services. Cette tendance soulève des questions sur l’équité et l’apprentissage dans les CTF. Conclusion et perspectives Cette expérience unique bénéficie autant à Palo Alto qu’au Hackfest. Pour l’entreprise, c’est une opportunité exceptionnelle de tester leurs solutions dans un environnement de production hostile et d’acquérir une expertise concrète pour mieux conseiller leurs clients. Pour le Hackfest, c’est la garantie d’un événement sécuritaire et professionnel. L’équipe invite d’ailleurs les intéressés à venir observer le SOC en action l’année prochaine, une opportunité rare de voir ces outils professionnels déployés dans un contexte réel et d’apprendre aux côtés d’experts. Collaborateurs Nicolas-Loïc Fortin Alex Tardif Crédits Montage par Intrasecure inc Locaux réels par Bâton Rouge - Galeries de la Capitale

Parce que… c’est l’épisode 0x653! Shameless plug 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Introduction et contexte Dans cet épisode du podcast, l’équipe composée de Nicolas, Cyndie et Dominique explore l’histoire de NotPetya, une cyberattaque majeure qui, bien qu’elle ait principalement visé de grandes entreprises, offre des enseignements cruciaux pour les petites et moyennes entreprises. L’objectif est de démontrer que même les incidents qui semblent éloignés des PME peuvent les affecter directement ou indirectement, et qu’il existe des mesures préventives essentielles à mettre en place. Le témoignage de l’intérieur Dominique partage son expérience vécue du jour de l’attaque NotPetya. Travaillant pour un fournisseur de services gérés (MSP), il se trouvait en séminaire avec son équipe lorsque l’incident s’est produit. L’équipe de surveillance a commencé à remarquer des anomalies : des machines s’arrêtaient progressivement, puis des dizaines, puis des centaines de serveurs cessaient de fonctionner. Lorsque 200 à 300 machines sont tombées, il est devenu évident qu’il s’agissait d’un problème majeur nécessitant une intervention immédiate, malgré le contexte festif du séminaire. Le fonctionnement de NotPetya NotPetya est un malware qui s’est initialement propagé via un logiciel de comptabilité ukrainien compromis. Un client disposant de bureaux en Ukraine a effectué une mise à jour routinière et a involontairement téléchargé le virus. Le malware s’est ensuite comporté comme un ver informatique, se propageant à travers les réseaux de manière particulièrement vicieuse. Nicolas explique que NotPetya exploitait EternalBlue, une vulnérabilité découverte par la NSA et divulguée par le groupe Shadow Brokers. Cette faille affectait le protocole SMB, permettant une exécution de code à distance sans authentification, nécessitant simplement d’être sur le même réseau. La technique de propagation était sophistiquée : le virus se diffusait pendant environ vingt minutes, infectant d’autres machines, avant de redémarrer le serveur sur un écran de demande de rançon. Cette temporisation permettait une propagation massive avant que les dommages ne deviennent visibles. Le malware était capable de détecter les contrôleurs de domaine et d’abuser de leurs privilèges pour maximiser la destruction. Bien qu’une rançon de 300 dollars soit demandée, le paiement ne permettait pas de récupérer les données, révélant que l’objectif principal était la destruction pure et simple. Les failles de sécurité révélées L’incident a mis en lumière plusieurs problèmes de sécurité fondamentaux. Premièrement, malgré la taille et les ressources de l’entreprise touchée, la segmentation réseau était insuffisante. Le responsable de la sécurité (CISO) était convaincu que tout était correctement segmenté et que la propagation était impossible. La réalité a prouvé le contraire : environ 50 000 serveurs ont été affectés en raison de partages réseau non sécurisés et d’interconnexions excessives. Deuxièmement, le laxisme concernant les mises à jour de sécurité a joué un rôle crucial. EternalBlue était déjà connu au moment de l’attaque NotPetya, mais de nombreux serveurs n’avaient pas été corrigés. Troisièmement, une pratique dangereuse a été identifiée : certains clients avaient joint leurs systèmes de sauvegarde au domaine Active Directory. Nicolas insiste fortement sur ce point : il ne faut jamais joindre les serveurs de backup au domaine, un conseil tellement important que l’équipe envisage d’en faire des t-shirts promotionnels. Les conséquences économiques Les chiffres sont éloquents : NotPetya a causé environ 10 milliards de dollars de dommages économiques mondiaux. Des entreprises majeures ont été lourdement touchées, notamment Maersk, l’un des plus grands transporteurs maritimes au monde, avec 870 millions de dollars de coûts en 2017, et FedEx avec 300 millions de dollars. Ces entreprises n’ont pas été directement piratées mais ont été victimes collatérales via leur chaîne d’approvisionnement. L’arrêt de production s’est étendu sur plusieurs semaines, période pendant laquelle les employés ne pouvaient rien faire. Les leçons pour les PME Le podcast souligne plusieurs points essentiels pour les petites et moyennes entreprises. Premièrement, aucune organisation n’est à l’abri, quelle que soit sa taille. Des incidents récents comme les packages NPM compromis ou l’incident CrowdStrike démontrent que ces menaces persistent. Les PME peuvent devenir des points d’entrée pour attaquer de plus grandes entreprises, ce qui explique pourquoi les grandes organisations exigent de plus en plus de certifications de sécurité de leurs partenaires, même petits. L’exemple récent de Salesforce, attaqué via un petit fournisseur, illustre parfaitement ce risque. Les attaquants privilégient le maillon le plus faible, et un petit fournisseur ayant accès au réseau d’une grande entreprise devient une cible attractive. Les mesures de protection essentielles L’équipe recommande plusieurs mesures concrètes et accessibles. Il faut segmenter correctement les réseaux, s’assurer que les sauvegardes sont fonctionnelles et isolées du domaine, et maintenir les systèmes à jour. Les scans de vulnérabilité permettent d’identifier les problèmes invisibles. Des outils comme Shodan révèlent souvent des éléments inquiétants : caméras de surveillance, systèmes HVAC et autres équipements accessibles depuis Internet. Concernant les accès des fournisseurs, il faut se demander s’ils ont réellement besoin d’un accès administrateur permanent ou si un accès temporaire, limité au moment de l’intervention, suffirait. Le principe directeur doit être le besoin réel plutôt que la facilité. Fermer les accès extérieurs non essentiels et se protéger derrière un pare-feu constituent des bases fondamentales. Conclusion Les PME disposent d’un avantage par rapport aux grandes entreprises : leur périmètre est plus restreint et donc plus facile à sécuriser. Elles doivent éviter toute entreprise promettant une sécurité à 100%, car celle-ci n’existe pas. L’important est d’implémenter les mesures de base correctement. Les PME peuvent devenir des dommages collatéraux d’incidents qui ne les visent pas directement, mais elles devront néanmoins en assumer les coûts de nettoyage. NotPetya et d’autres incidents récents rappellent l’importance d’une vigilance constante et de pratiques de sécurité solides, accessibles à toutes les organisations. Collaborateurs Nicolas-Loïc Fortin Cyndie Feltz Nicholas Milot Dominique Derrier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x652! Shameless plug 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Ce neuvième épisode du balado collaboratif entre Cyber Citoyen et Polysécure, animé par Catherine Dupont-Gagnon et ses invités Sam Harper et Nicolas Louck, aborde plusieurs enjeux critiques de cybersécurité, de vie privée et de technologie qui marquent l’actualité récente. L’application Tea et les dangers du dating en ligne L’épisode débute avec une mise à jour sur l’application Tea, un sujet récurrent du podcast. Apple et Google ont finalement retiré cette application et son alternative Tea on Earth de leurs magasins, invoquant des problèmes de modération et de vie privée. Malgré ses 6,1 millions de téléchargements et 5 millions de dollars de revenus générés, l’application présentait de graves lacunes de sécurité. Ce qui inquiète particulièrement les experts, c’est l’apparition de copies tentant de combler le vide laissé par ce retrait, des applications tout aussi mal sécurisées. Les animateurs constatent un retour aux groupes Facebook « Are we dating the same guy », malgré les limites de la fonction d’anonymat de Facebook. Cette situation soulève des questions cruciales sur la protection des données sensibles, notamment celles de femmes en situation de vulnérabilité. La panne AWS : symptôme d’un monopole dangereux La panne d’Amazon Web Services du 22 octobre constitue le deuxième sujet majeur. Au-delà de l’incident technique lui-même, les animateurs s’interrogent sur la concentration monopolistique des infrastructures internet. Le fait qu’une partie importante du web dépende d’un seul point de défaillance représente un risque systémique considérable. Sam rappelle que cette situation n’est pas nouvelle, citant la panne Rogers qui avait paralysé le système d’urgence 911 et Interac. Nicolas mentionne un cas similaire en Australie où une mise à jour de pare-feu a rendu le service d’urgence inaccessible pendant des heures, causant des décès. Les intervenants soulignent que des entreprises comme Netflix ont conçu leurs systèmes pour tolérer les pannes grâce au « chaos engineering », testant régulièrement leur résilience. Cependant, la majorité des entreprises ne prennent pas ces précautions, préférant la solution la moins coûteuse. Cette négligence révèle un problème plus large : le marché ne punit pas suffisamment les mauvaises pratiques, et les entreprises continuent de dépendre d’une seule zone AWS parce que c’est moins cher, acceptant implicitement le risque de perte de revenus et de réputation. Les objets connectés : quand la technologie devient un fléau L’histoire du lit intelligent à 5 000 dollars illustre parfaitement les dangers de l’Internet des objets. Ce lit, qui nécessite un abonnement mensuel de 17 à 33 dollars pour fonctionner, est devenu complètement inutilisable lors de la panne AWS. Sans accès aux serveurs, les utilisateurs ne pouvaient même plus ajuster la position de leur lit, certains se retrouvant coincés en position assise. Cette situation absurde démontre comment la dépendance excessive aux serveurs cloud crée des vulnérabilités dans des objets du quotidien. Les animateurs élargissent la discussion aux voitures connectées, comme les Tesla qui peuvent être contrôlées à distance, voire désactivées. John Deere a ainsi désactivé des équipements agricoles volés par les Russes en Ukraine. Cette capacité de contrôle à distance soulève des questions fondamentales sur la propriété réelle des objets que nous achetons et sur les modèles d’abonnement pour des fonctionnalités déjà installées physiquement dans les produits. L’intelligence artificielle : une fiabilité très relative Une étude majeure coordonnée par l’European Broadcasting Union et la BBC révèle que 45 % des résumés d’actualité générés par l’IA contiennent au moins un problème significatif. Gemini se distingue particulièrement négativement avec 76 % de réponses problématiques. L’étude identifie des erreurs d’attribution, des informations trompeuses ou manquantes, et des hallucinations. Cette situation est d’autant plus préoccupante que 15 % des moins de 25 ans utilisent principalement l’IA pour s’informer sur l’actualité. Les animateurs soulignent que l’IA n’est pas un moteur de recherche et ne peut se fier à sa base de connaissances pour des informations récentes. Nicolas compare l’IA à quelqu’un qui lit en diagonale, mais sans la capacité humaine de repérer les mots clés pertinents, s’appuyant plutôt sur des modèles statistiques. Les citations fournies par les IA sont souvent incorrectes ou non pertinentes, obligeant à vérifier systématiquement les sources. OpenAI et la course aux données Le lancement du navigateur Atlas par OpenAI inquiète les experts en vie privée. Conçu pour rivaliser avec Google, ce navigateur semble destiné principalement à collecter des données pour entraîner les modèles d’IA. Perplexity a déjà lancé un navigateur similaire, criblé de vulnérabilités, et n’a jamais caché que toutes les données de navigation étaient renvoyées vers ses serveurs. Cette course aux données révèle un problème fondamental : l’IA générative ne peut survivre sans nouveau contenu, mais ne peut se nourrir de son propre contenu sous peine de dégradation progressive, comparable à la consanguinité génétique. La bulle de l’IA et ses conséquences Les animateurs anticipent l’explosion imminente de la bulle de l’IA, artificiellement gonflée par le battage médiatique autour de l’intelligence artificielle générale. Microsoft pousse agressivement Copilot en liant les indicateurs de performance des vendeurs au taux d’utilisation chez les clients, malgré des résultats mitigés. Seulement 5 % des projets d’IA donnent des résultats réels. Pendant ce temps, les coûts énergétiques explosent aux États-Unis, financés indirectement par les citoyens, tandis que des villages entiers perdent l’accès à l’eau potable pour refroidir les centres de données. L’épisode se conclut sur une note plus légère avec l’histoire d’un prisonnier en Roumanie qui a exploité les vulnérabilités d’un système de tablettes pénitentiaires, distribuant du matériel pour adultes et créditant 1,15 million de dollars sur le compte cantine d’un complice. Cette anecdote illustre l’importance de considérer la sécurité numérique avec la même rigueur que la sécurité physique, un continuum souvent négligé. Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x651! Shameless plug 4 et 5 novembre 2025 - FAIRCON 2025 8 et 9 novembre 2025 - DEATHcon 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Notes Incidents What the Huge AWS Outage Reveals About the Internet A single DNS race condition brought AWS to its knees Amazon brain drain finally caught up with AWS Louvre heist raises decades-old questions about museum security IA Critical Vulnerability in MCP Server Platform Exposes 3,000 Servers and Thousands of API Keys The security paradox of local LLMs OpenAI ChatGPT Atlas Browser Jailbroken to Disguise Malicious Prompt as URLs OpenAI’s New Browser Raises ‘Insurmountably High’ Security Concerns Perplexity’s Comet Browser Screenshot Feature Vulnerability Let Attackers Inject Malicious Prompts MCP attack uses predictable session IDs to hijack AI agents Zero Trust Has a Blind Spot—Your AI Agents Sneaky Mermaid attack in Microsoft 365 Copilot steals data AI-Powered Ransomware Is the Emerging Threat That Could Bring Down Your Organization One in five security breaches now thought to be caused by AI-written code Privacy Microsoft Teams to Auto-Set Work Location by Detecting the Wi-Fi Network Polish PM: former government used Pegasus spyware to surveil my wife and daughter The Internet’s Biggest Annoyance: Why Cookie Laws Should Target Browsers, Not Websites Blue 5 Deception Solutions that are Changing the Cybersecurity Game  You Still Shouldn’t Use a Browser Password Manager Microsoft admits File Explorer Preview pane won’t work in Windows 11 25H2 for internet files by default Myanmar military detains 2,000 people in raid at cybercrime center Shifting from reactive to proactive: Cyber resilience amid nation-state espionage Proofpoint releases innovative detections for threat hunting: PDF Object Hashing OpenBSD 7.8 out now and 9front’s ‘Release’ released OpenBSD 7.8 ChkTag: x86 Memory Safety Réserve européenne de cybersécurité : l’Union se dote d’un bouclier commun Red GlassWorm: First Self-Propagating Worm Using Invisible Code Hits OpenVSX Marketplace Self-Propagating GlassWorm Poisons VS Code Extensions Network security devices endanger orgs with ’90s era flaws 706,000+ BIND 9 Resolver Instances Vulnerable to Cache Poisoning Exposed Online - PoC Released Google Warns of Threat Actors Using Fake Job Posting to Deliver Malware and Steal Credentials The YouTube Ghost Network: How Check Point Research Helped Take Down 3,000 Malicious Videos Spreading Malware Threat Actors Attacking Azure Blob Storage to Compromise Organizational Repositories Inside the attack chain: Threat activity targeting Azure Blob Storage Hackers Can Access Microsoft Teams Chat and Emails by Retrieving Access Tokens Critical WSUS Flaw (CVE-2025-59287, CVSS 9.8) Allows Unauthenticated RCE via Unsafe Cookie Deserialization, PoC Available Hackers Weaponizing OAuth Applications for Persistent Cloud Access Even After Password Reset ‘PassiveNeuron’ Cyber Spies Attack With Custom Malware Airport PA System Hack: How Attackers Hijacked Announcements in the US and Canada - Cyberwarzone China finds “irrefutable evidence” of US NSA cyberattacks on time Authority Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc