PolySécure Podcast

Parce que… c’est l’épisode 0x626! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Notes Divers How Has IoT Security Changed Over the Past 5 Years? Hackers Leverage Raw Disk Reads to Bypass EDR Solutions and Access Highly Sensitive Files Qantas penalizes executives for July cyberattack CVE-2025-6785 - Tesla Model 3 Physical CAN Bus Injection Android drops mega patch bomb - 120 fixes, two already exploited Automated Sextortion Spyware Takes Webcam Pics of Victims Watching Porn SIM Swapping Attacks on the Rise – How eSIM can Make SIM Swapping Harder Europe Putin the blame on Russia after GPS jamming disrupts president’s plane Almost Every State Has Its Own Deepfakes Law Now No, Google did not warn 2.5 billion Gmail users to reset passwords IA Hackers Use AI Platforms to Steal Microsoft 365 Credentials in Phishing Campaign AI code assistants make developers more efficient at creating security problems Comment manipuler psychologiquement une IA ? Les techniques qui marchent vraiment LegalPWN - Pour piéger les IA avec les petites lignes Indirect Prompt Injection Attacks Against LLM Assistants BruteForceAI - L’IA qui cracke vos mots de passe Hackers Leverage Hexstrike-AI Tool to Exploit Zero Day Vulnerabilities Within 10 Minutes Ollama - 14 000 serveurs IA laissés en libre-service sur Internet Europe et souveraineté EUVD: first step toward Europe’s cybersecurity sovereignty? Switzerland Launches Apertus: A Public, Open-Source AI Model Built for Privacy EU court’s dismissal of US data transfer challenge raises privacy advocates’ ire SAP to invest over 20 billion euros in ‘sovereign cloud’ in boost to Europe’s AI ambitions Chaine d’approchées Blast Radius of Salesloft Drift Attacks Remains Uncertain Addressing the unauthorized issuance of multiple TLS certificates for 1.1.1.1 How big will this Drift get? Cloudflare cops to Salesloft Drift breach The impact of the Salesloft Drift breach on Cloudflare and our customers Zscaler Confirms Data Breach – Hackers Compromised Salesforce Instance and Stole Customer Data Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x625! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Notes Tarif préférentiel Tarif subventionné grâce à un partenariat avec UV Assurance de 2345$ + tx ( Tarif régulier de 2995$ + tx ). Pour plus de détails sur les tarifs, veuillez consulter la section Détails des tarifs. Tarif régulier Canada Le tarif régulier pour toute personne résidente au Canada : 2 995$ plus taxes applicables Important de noter que le tarif subventionné est non applicable pour le secteur public et parapublic. Ces secteurs sont sujets au tarif régulier pour résidents et résidentes au Canada. Tarif régulier hors Canada Le tarif régulier pour toute personne résidente hors Canada : 3 995$ plus taxes applicables Tarif subventionné PME et OBLN au Québec Le tarif subventionné en partenariat avec UV Assurance est offert à toute personne travaillant dans une PME québécoises (PME : entreprise de moins de 500 employés) ou les OBNL québécois : 2 345$ plus taxes applicables. Une preuve de NEQ (numéro d’entreprise du Québec) pourrait être demandée. **Important de noter que le tarif subventionné est non applicable pour le secteur public et parapublic. Ces secteurs sont sujets au tarif régulier pour résidents et résidentes au Canada. Programme de subvention Visées : Propulsez les compétences de vos équipes avec cette formation, et recevez jusqu’à 8 000$ de subvention! Formez vos employés et employées aux bénéfices de cette formation et bénéficiez d’un soutien financier pouvant aller jusqu’à 8000$ grâce au programme Visées. Une initiative de la Chambre de commerce du Montréal métropolitain et de la Fédération des chambres de commerce du Québec, financé par Upskill Canada (propulsé par Palette Skills) et le gouvernement du Canada. Conditions d’éligibilité: Votre entreprise doit posséder un NEQ, doit employer au minimum une personne salariée équivalent temps plein et ne pas être un organisme gouvernemental, public, municipal, ou scolaire ni être assujetties à la Loi M-30 ; La personne formée doit être légalement autorisée à travailler au Canada, détenir un permis de travail valide, et avoir 3 ans d’expérience professionnelle. FORCE-UQTR Aide financière Collaborateurs Nicolas-Loïc Fortin Gino Plourde Dominic Villeneuve Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x624! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Camille Felx Leduc Alexandre Fournier Marc Potvin Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x623! Préambule Bon… je saute à l’eau et je repars un podcast sur l’actualité en mode seul. Ce que je n’avais pas fait depuis vraiment longtemps. J’ai été excessif sur le volume de nouvelles, ne m’étant pas bien organisé. Je m’améliorerai avec la pratique… car, paraît-il, ça ne se perd pas, comme le “bécicle”. Aussi, et probablement le plus audible, j’ai eu un glitch à l’enregistrement. Comme quoi j’ai vraiment perdu la main. Pour l’aspect technique, j’ai oublié de retirer un filtre lors de l’enregistrement, ce qui fait que la bande originale est “instable”. Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - ATT&CKcon 6.0 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Notes Breach Salesforce Releases Forensic Investigation Guide Following Chain of Attacks Salesloft breached to steal OAuth tokens for Salesforce data-theft attacks Hackers Lay in Wait, Then Knocked Out Iran Ship Comms Légalise Mastodon says it doesn’t ‘have the means’ to comply with age verification laws France and Germany reject Trump’s threats on EU tech legislation AI CVE-2025-58062 - OpenMCP Client OS Command Injection Vulnerability AI Agents in Browsers Light on Cybersecurity, Bypass Controls Anthropic AI Used to Automate Data Extortion Campaign Crims laud Claude to plant ransomware and fake IT expertise Anthropic Disrupts AI-Powered Cyberattacks Automating Theft and Extortion Across Critical Sectors Anthropic teases Claude for Chrome: Don’t try this at home Researchers flag code that uses AI systems to carry out ransomware attacks Securing the AI Revolution: Introducing Cloudflare MCP Server Portals Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet Helping people when they need it most Exclusive: Meta created flirty chatbots of Taylor Swift, other celebrities without permission PromptLock - Le premier ransomware à utiliser une IA 100% locale Anthropic will start training its AI models on chat transcripts The Default Trap: Why Anthropic’s Data Policy Change Matters Threat Actors Weaponizes AI Generated Summaries With Malicious Payload to Execute Ransomware New AI attack hides data-theft prompts in downscaled images Will Smith’s concert crowds are real, but AI is blurring the lines Best Practices for Securing Generative AI with SASE ChatGPT, Claude, & Gemini security scanning with Cloudflare CASB Hackers Can Exploit Image Scaling in Gemini CLI, Google Assistant to Exfiltrate Sensitive Data New Prompt Insertion Attack – OpenAI Account Name Used to Trigger ChatGPT Jailbreaks Vulnérabilités U.S. CISA adds Citrix Netscaler flaw to its known exploited vulnerabilities catalog Docker Desktop bug let containers hop the fence with barely a nudge CISA Adds Three Exploited Vulnerabilities to KEV Catalog Affecting Citrix and Git The Hidden Risk of Consumer Devices in the Hybrid Workforce Shadow IT Is Expanding Your Attack Surface. Here’s Proof Putin on the code: DoD reportedly relies on utility written by Russia-based Yandex dev Microsoft details Storm-0501’s focus on ransomware in the cloud Surge in coordinated scans targets Microsoft RDP auth servers CVE-2025-7776 - Citrix NetScaler Memory Overflow Denial of Service CVE-2025-55526 - n8n-workflows Directory Traversal Vulnerability WhatsApp patches vulnerability exploited in zero-day attacks Cloud Azure apparatchik shows custom silicon keeping everything locked down Microsoft Azure Hardware Security to Help Thwart the World’s 3rd Largest GDP Microsoft to enforce MFA for Azure resource management in October Pentagon ends Microsoft’s use of China-based support staff for DoD cloud Risque Mansplaining your threat model, as a service Threat Modeling Tools Privacy Smart glasses record people in public. The most online generation is pushing back Your Word documents will be saved to the cloud automatically on Windows going forward Prepare for the unexpected with emergency access for your Proton Account FTC Chair Tells Tech Giants to Hold the Line on Encryption The UK May Be Dropping Its Backdoor Mandate Defensif Google to Verify All Android Developers in 4 Countries to Block Malicious Apps BGP’s security problems are notorious. Attempts to fix that are a work in progress Who are you again? Infosec experiencing ‘Identity crisis’ amid rising login attacks CISA Publish Hunting and Mitigation Guide to Defend Networks from Chinese State-Sponsored Actors Offensif Threat Actors Abuse Velociraptor Incident Response Tool to Gain Remote Access Hackers Weaponize PDF Along With a Malicious LNK File to Compromise Windows Systems Arch Linux Confirms Week-Long DDoS Attack Disrupted its Website, Repository, and Forums Hackers Abuse Microsoft Teams to Gain Remote Access on Windows With PowerShell-based Malware WinRAR 0-Day Vulnerabilities Exploited in Wild by Hackers – Detailed Case Study Breaking the Passkey Promise: SquareX Discloses Major Passkey Vulnerability at DEF CON 33 Beware of Website Mimicking Google Play Store Pages to Deliver Android Malware Malicious Android apps with 19M installs removed from Google Play Weaponized PuTTY Via Bing Ads Exploit Kerberos and Attack Active Directory Services ShadowCaptcha Exploits WordPress Sites to Spread Ransomware, Info Stealers, and Crypto Miners PoC Exploit Released for Chrome 0-Day Vulnerability Exploited in the Wild TAG-144 Actors Attacking Government Entities With New Tactics, Techniques, and Procedures Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x622! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Jordan Theodore Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x621! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Collaborateurs Nicolas-Loïc Fortin Dimitri Souleliac Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x620! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description L’inflation des titres sur LinkedIn et dans l’informatique Dans cet épisode, NLF et Davy Adam abordent un phénomène problématique qui touche le secteur informatique : l’inflation et la dénaturation des titres professionnels, particulièrement visible sur LinkedIn. Ils observent que des métiers traditionnels et essentiels comme technicien, administrateur système ou administrateur de base de données ont quasiment disparu au profit de titres plus ronflants comme “architecte”, “consultant”, “expert” ou “spécialiste”. La disparition des métiers de base Davy Adam note qu’il ne croise pratiquement plus d’administrateurs système ou réseau dans ses formations, alors que ces rôles restent fondamentaux pour le bon fonctionnement des infrastructures informatiques. Les professionnels préfèrent se présenter comme “spécialistes sécurité” quand ils font du réseau basique, ou “architectes cloud” quand ils administrent du Windows sur Azure. Cette dévalorisation des métiers techniques de base pose problème car ces rôles sont essentiels. Comme le souligne NLF, sans bons administrateurs et techniciens pour opérer les infrastructures, les dommages peuvent être énormes. L’excellence dans ces qualifications est très importante et ne devrait pas être dévalorisée. Le malentendu autour du rôle d’architecte Les intervenants expliquent que le titre d’architecte a un sens précis, similaire à celui d’un architecte de bâtiment. Un vrai architecte informatique doit : Écouter le client en premier lieu pour comprendre ses besoins réels Reformuler la demande avec le client, ce qui aide souvent ce dernier à clarifier ses véritables besoins Concevoir des plans en appliquant les bonnes pratiques et normes Documenter ses recommandations de manière claire Avoir une vision transversale sans être expert dans tous les domaines Au Québec notamment, il existe une présomption qu’un architecte sait rédiger, analyser et documenter, compétences souvent absentes chez ceux qui s’autoproclament architectes tout en excellant dans l’opérationnel. Les problèmes de recrutement et d’attentes Cette confusion des titres crée des dysfonctionnements : Pour les recruteurs : ils cherchent des “architectes” pour faire de l’implémentation technique Pour les consultants : on leur propose des missions opérationnelles alors qu’ils veulent faire du conseil stratégique Pour les clients : leurs attentes ne correspondent pas aux profils recrutés Davy Adam utilise l’analogie médicale : on ne demande pas à un chirurgien orthopédique de couper les ongles, même s’il en a techniquement la capacité. La hiérarchisation des rôles n’est pas un jugement de valeur mais une question de répartition efficace des compétences. La vraie nature du consulting Les deux experts insistent sur ce qu’est réellement le consulting : Intervention ponctuelle : quelques jours par mois chez plusieurs clients plutôt qu’une présence permanente Conseil à la demande : comme un avocat ou un médecin qu’on consulte pour son expertise Synthèse d’expérience : apporter la richesse de multiples expériences vécues chez différents clients Autonomisation des équipes : donner les clés pour que les équipes internes puissent implémenter Davy Adam compare son profil à un “couteau suisse” : de multiples capacités sans être le meilleur dans aucune, mais avec la capacité de faire le lien entre tous les domaines. Les défis du freelancing et les malentendus Les consultants freelance font face à des demandes inadéquates : Missions de résidence alors qu’ils cherchent du conseil ponctuel Tâches opérationnelles alors qu’ils veulent faire de la stratégie Attentes de présence permanente incompatibles avec leur modèle économique NLF et Davy Adam expliquent que leur valeur réside dans la diversité de leurs expériences, pas dans une expertise approfondie unique. Ils préfèrent refuser des missions inadéquates plutôt que de créer de la frustration mutuelle. L’aspect économique du consulting Le consulting coûte plus cher à l’heure mais reste moins onéreux sur l’année car : Usage ponctuel : on ne paie que quand on a besoin du consultant Expertise concentrée : résolution rapide des problématiques Pas de coûts de structure : pas de charges sociales permanentes Comme le dit Davy Adam : “Je synthétise 10 ans d’expérience en une journée et réponds à toutes tes questions.” L’intelligence artificielle ne remplace pas l’expertise contextuelle Face aux questionnements sur l’IA, les experts restent confiants. L’IA générative ne peut pas : Comprendre le contexte spécifique de chaque entreprise Gérer les particularités des systèmes patrimoniaux Naviguer les dynamiques humaines et politiques internes Adapter les bonnes pratiques aux contraintes réelles NLF utilise l’analogie de la rénovation : demander à ChatGPT de rénover une maison patrimoniale de 200 ans serait inadéquat car ses références ne correspondent pas au contexte spécifique. Solutions recherchées vs problèmes réels Un problème récurrent observé est la tendance des organisations à adopter des solutions trendy (IA, Kubernetes, cloud) sans avoir identifié le vrai problème à résoudre. C’est une approche inverse où “la solution cherche un problème”. Le rôle du consultant est justement de remonter aux vrais besoins et de guider vers les solutions appropriées, en tenant compte des contraintes organisationnelles, culturelles et techniques réelles. Conclusion Cet épisode appelle à une clarification des terminologies professionnelles et une meilleure compréhension des rôles de chacun. L’objectif n’est pas de critiquer mais de rétablir la cohérence entre les titres, les compétences réelles et les besoins des organisations pour améliorer l’efficacité du marché du travail informatique. Collaborateurs Nicolas-Loïc Fortin Davy Adam Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x619! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction : La pyramide des conspirations Catherine Dupont-Gagnon ouvre l’épisode en présentant la pyramide des conspirations d’Abby Richards (connue sous le nom de Tofologie), un outil pédagogique pour comprendre les différents niveaux de théories conspiratrices. Cette pyramide part de la base avec des éléments ancrés dans la réalité (comme MK-Ultra, aujourd’hui documenté), puis progresse vers la ligne de spéculation (Area 51), les théories sans danger mais fausses (le Titanic n’a jamais coulé, Avril Lavigne remplacée par un clone), jusqu’aux niveaux dangereux qui nient la réalité (5G, Pizzagate) et finalement les théories antisémites et déshumanisantes (lézards extraterrestres, négationnisme de l’Holocauste). L’objectif est de montrer qu’il est normal et sain de poser des questions, tant qu’on reste ancré dans les faits et les preuves. Le problème survient quand on commence à “remplir les vides” avec des spéculations non fondées. L’histoire factuelle d’Jeffrey Epstein Samuel Harper présente ensuite les faits documentés de l’affaire Epstein. En 1998, Ghislaine Maxwell commence à recruter des “assistantes” et “masseuses” dans des écoles et centres pour Jeffrey Epstein. En 2005, une enquête policière révèle un système pyramidal de recrutement où des mineures, souvent de 13-14 ans, étaient exploitées sexuellement et encouragées à recruter d’autres victimes. L’enquête de West Palm Beach identifie 18 victimes nommées, tandis que le FBI en trouve 34. Malgré l’ampleur des preuves, Epstein plaide coupable à seulement deux accusations mineures en 2008 et purge 13 mois d’une sentence de 18 mois, avec des conditions de détention exceptionnellement favorables. Le parcours d’Epstein révèle des éléments troublants : sans diplôme universitaire, il est embauché comme professeur à l’école élitiste Dalton par Donald Barr (père de William Barr), puis recruté chez Bear Stearns avant de fonder sa propre entreprise d’investissement prétendument réservée aux milliardaires. Les zones grises et spéculations Le podcast explore ensuite les aspects plus nébuleux de l’affaire. Epstein a généré plus de 800 millions de dollars entre 1999 et 2018, principalement grâce à des “frais de consultation” de clients comme Les Wexner (200 millions) et Leon Black (170 millions) - des sommes inhabituellement élevées pour des conseils fiscaux. Les liens d’Epstein avec des personnalités influentes soulèvent des questions : Bill Clinton, le prince Andrew, Donald Trump, Kevin Spacey, et de nombreuses autres figures publiques fréquentaient ses cercles. Virginia Giuffre a notamment accusé plusieurs personnalités d’agressions dans le cadre du réseau d’Epstein. Les circonstances de la mort d’Epstein La mort d’Epstein en prison en août 2019 alimente de nombreuses spéculations. L’autopsie révèle une fracture de l’os hyoïde, plus fréquente dans les homicides que les suicides. Les enregistrements vidéo du premier incident en juillet ont mystérieusement disparu, et son compagnon de cellule était Nick Tartaglione, un ancien policier condamné pour quadruple meurtre. Alexander Acosta, le procureur qui avait accordé l’accord clément à Epstein en 2008, aurait déclaré qu’Epstein “appartenait au renseignement” et était “au-dessus de son niveau de compétence”, avant de se rétracter. Les théories sur les services de renseignement Le podcast aborde les rumeurs de liens avec les services secrets. Des sources non confirmées suggèrent des connections avec le Mossad israélien, notamment à travers le père de Ghislaine Maxwell, Robert Maxwell, magnat de la presse décédé dans des circonstances mystérieuses. Ces théories restent largement spéculatives, manquant de corroboration solide. Trump et les développements récents Les relations entre Trump et Epstein sont documentées : ils se connaissaient depuis les années 1990, Trump a voyagé sur le jet d’Epstein, et des citations de 2002 montrent Trump louant Epstein comme “un type formidable” qui “aime les belles femmes, et beaucoup d’entre elles sont plutôt jeunes”. Le podcast révèle un retournement politique récent : après avoir promis de divulguer les “fichiers Epstein” pendant sa campagne, l’administration Trump a publié en juillet 2025 un mémo déclarant qu’aucune nouvelle divulgation n’était nécessaire, qu’il n’existait pas de “liste de clients” et qu’Epstein s’était bien suicidé. Cette volte-face a provoqué la colère de la base MAGA et des partisans de QAnon, qui avaient fait de cette promesse un pilier de leur soutien. Des figures comme Cash Patel et Dan Bongino, nouvellement nommés au FBI, semblaient visiblement inconfortables en défendant cette position. Conclusion et réflexions Les animateurs concluent que l’affaire Epstein illustre parfaitement les dangers de combler les vides informationnels avec des spéculations. Ils soulignent qu’il n’est pas nécessaire d’invoquer des rituels sataniques ou des conspirations mondiales pour expliquer ce qui semble être, fondamentalement, un réseau d’hommes puissants abusant de leur position. Cette affaire révèle aussi la fragilité des mouvements conspirationnistes face aux prophéties non réalisées. Le moment actuel pourrait représenter un point de fracture pour QAnon et MAGA, leurs leaders étant confrontés à l’impossibilité de tenir leurs promesses sans s’incriminer eux-mêmes. L’épisode se termine sur une réflexion plus large concernant l’ère de l’information et la difficulté croissante de distinguer les faits de la fiction dans un paysage médiatique fragmenté. Notes Abbie Richards fights TikTok disinformation with a cup of tea, a conspiracy chart and a punchline The conspiracy chart 2021 Abbie Richards Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x618! Préambule Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction et contexte Charlotte Trudelle, consultante en gouvernance, risque et conformité chez Cyblex Consulting, présente la directive européenne NIS 2, qui constitue la suite de NIS 1. Cette réglementation vise à protéger les entités critiques européennes dans un contexte d’augmentation des cyberattaques et d’omniprésence des systèmes d’information. Contrairement au RGPD qui a des applications extraterritoriales, NIS 2 se concentre principalement sur le territoire européen, mais suivra un modèle de transposition similaire dans chaque pays membre. Objectifs et philosophie de NIS 2 L’objectif principal n’est pas d’atteindre une sécurité absolue, mais d’améliorer la résilience et la capacité de réaction aux incidents. La directive vise à “effacer le bruit ambiant” et empêcher les attaques opportunistes, particulièrement les ransomwares facilement déployables. Il s’agit d’établir une hygiène de base en cybersécurité plutôt que de se prémunir contre des attaques étatiques sophistiquées. La directive prône une approche par les risques, reconnaissant que les 18 secteurs d’activité couverts ont des profils de risque variables. L’Europe souhaite également créer un écosystème résilient global, incluant le partage des menaces et vulnérabilités, ainsi que la mise en place du UVD (pendant européen des bases CVE) par l’agence ENISA. Périmètre d’application considérablement élargi NIS 2 couvre 18 secteurs d’activité, répartis entre entités essentielles et entités importantes. Les entités essentielles incluent l’énergie, le transport, l’eau potable (déjà dans NIS 1), auxquels s’ajoutent les eaux usées, la santé, l’espace et les administrations publiques. Le secteur bancaire bénéficie d’un traitement spécial avec le référentiel DORA. Les entités importantes comprennent les services postaux, la gestion des déchets, et la fabrication alimentaire. L’impact est considérable : en France, on passe de 300 entités concernées par NIS 1 à potentiellement 15 000 avec NIS 2, avec des seuils démarrant à 50 employés. Effet de cascade et impact sur les tiers Une différence majeure avec le RGPD réside dans l’effet de cascade sur les fournisseurs et prestataires. Toutes les entreprises travaillant avec les entités régulées devront également se conformer à NIS 2, même si elles n’atteignent pas les seuils de taille requis. Cette approche vise à sécuriser l’ensemble de la chaîne d’approvisionnement, reconnue comme un vecteur d’attaque privilégié. Mesures et exigences techniques Les mesures s’appuient largement sur la norme ISO 27001, évitant de “réinventer la roue”. Les exigences incluent : Inventaire des actifs (retour aux fondamentaux) Gestion des ressources humaines (approche transverse) Gestion des tiers et prestataires Gestion des incidents avec critères précis de déclaration Supervision et revues régulières La directive fixe des critères quantitatifs précis pour les incidents, éliminant l’interprétation subjective. Contrairement à NIS 1 qui ne réglementait que les systèmes critiques, NIS 2 s’applique à l’ensemble du système d’information, sauf isolation prouvée des systèmes critiques. Sanctions et modèle de contrôle Les sanctions suivent le modèle RGPD : 10 millions d’euros ou 2% du chiffre d’affaires mondial pour les entités essentielles, 7 millions ou 1,4% pour les entités importantes. Le modèle de contrôle ressemble également au RGPD, avec des autorités nationales (ANSSI en France) effectuant des audits et contrôles, sans certification obligatoire prévue. Défis de transposition et accompagnement La transposition française accuse du retard, adoptée par le Sénat en mars et en cours d’examen à l’Assemblée nationale. Le projet “Résilience” transpose simultanément NIS 2, DORA et CER (Critical Entities Resilience), créant une complexité réglementaire supplémentaire. L’ANSSI privilégie l’accompagnement à la sanction, reconnaissant que de nombreuses entités découvrent la réglementation cyber. Des outils d’auto-évaluation et de suivi sont déjà disponibles pour faciliter la transition. Impact sur les différents types d’organisations Pour les grandes entreprises internationales, déjà familières avec l’ISO 27001, l’adaptation devrait être relativement aisée. La principale préoccupation concerne le “millefeuille réglementaire” et la conformité administrative. Les PME et administrations publiques, notamment les collectivités et hôpitaux, font face à des défis plus importants : manque de personnel spécialisé, budgets contraints, et cybersécurité éloignée du cœur de métier. Des initiatives de mutualisation émergent dans certains secteurs. Perspective et enjeux futurs NIS 2 représente un changement culturel majeur, intégrant la cyberattaque dans la gestion de crise standard. La philosophie du directeur de l’ANSSI résume bien l’approche : “ce n’est pas si vous allez être attaqué, mais quand”. L’objectif est la résilience - continuer à fonctionner malgré l’incident. Cette réglementation s’inscrit dans la volonté européenne d’uniformiser le marché, créant une prévisibilité similaire à celle du marché américain. Bien que la période d’adaptation puisse être inconfortable, elle devrait considérablement renforcer la résilience collective face aux cybermenaces. La réussite de NIS 2 dépendra de sa capacité à éviter la “conformité pour la conformité” et à véritablement améliorer la maturité cybersécuritaire de l’écosystème européen. Collaborateurs Nicolas-Loïc Fortin Charlotte Trudelle Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x617! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Dans ce podcast spécial Northsec, David Décary-Hétu présente une recherche fascinante sur les négociations entre groupes de ransomware et leurs victimes, basée sur l’analyse d’archives de conversations réelles accessibles publiquement sur ransomware.li. Le contexte des ransomwares modernes Les ransomwares représentent aujourd’hui la plus grande menace pour les infrastructures critiques selon le gouvernement canadien. Ces attaques ont évolué vers des stratégies multiples : chiffrement des données, exfiltration d’informations sensibles, et même la “triple extorsion” où les attaquants menacent de nouvelles attaques ou de déni de service si la rançon n’est pas payée. Cette évolution a naturellement mené à des négociations complexes entre criminels et victimes. Des attaquants bien préparés L’analyse révèle que les groupes de ransomware effectuent des recherches approfondies sur leurs cibles avant de formuler leurs demandes. Ils examinent les documents financiers volés pour connaître les soldes bancaires, les polices d’assurance cyber, et adaptent leurs exigences en conséquence. Cette approche leur permet de contrer efficacement les arguments de pauvreté des victimes en citant des chiffres précis : “À la fin du dernier trimestre, vous aviez 460 millions dans votre compte bancaire.” Cette connaissance détaillée des capacités financières des victimes leur donne un avantage considérable dans les négociations, particulièrement lorsqu’ils peuvent invoquer l’existence d’une assurance cyber en déclarant que “cela ne vous coûtera absolument rien”. Une mentalité commerciale surprenante Malgré leur préparation minutieuse, les cybercriminels adoptent une approche similaire à celle de “vendeurs de voitures usagées”, privilégiant le volume de transactions. La recherche montre qu’ils sont remarquablement flexibles sur les prix, acceptant généralement environ 50% de leur demande initiale, parfois même seulement 20%. Cette flexibilité suggère que leur modèle économique repose davantage sur la multiplication des paiements que sur l’obtention du montant maximal de chaque victime. La première leçon qui en découle est claire : ne jamais accepter la première offre et toujours négocier. L’arsenal des menaces Lorsque les victimes résistent ou prétendent disposer de sauvegardes, les attaquants déploient un éventail de menaces sophistiquées. Ils promettent de nouvelles attaques dès la restauration des systèmes, des campagnes de déni de service continues, ou encore la divulgation d’informations compromettantes aux clients et partenaires. Dans un cas particulièrement révélateur, des attaquants ont menacé de dénoncer des pratiques de délit d’initié aux autorités compétentes si leur victime vendait ses actions tout en cachant l’attaque subie. Cette approche montre une compréhension fine des enjeux réglementaires et réputationnels auxquels font face les entreprises. Des services après-vente discutables De manière quasi-commerciale, les groupes criminels promettent des “services après-vente” incluant la suppression garantie de toutes les données de leurs serveurs et, plus surprenant encore, des rapports de vulnérabilités pour aider leurs victimes à éviter de futures attaques. L’analyse révèle cependant que ces rapports sont standardisés et contiennent des recommandations basiques : ne pas cliquer sur des liens suspects, activer l’authentification à deux facteurs, maintenir les systèmes à jour. Ces conseils, bien qu’utiles, relèvent de l’hygiène cybernétique élémentaire et suggèrent que ces “services” constituent davantage un argument de vente qu’une véritable valeur ajoutée. Des exceptions géopolitiques inattendues Un aspect particulièrement intrigant concerne les considérations géopolitiques de certains groupes. Un cas documenté montre des attaquants s’excusant auprès d’une victime ayant une filiale en Arménie, considérant cette région comme faisant partie de la zone d’influence russe où ils ne souhaitent pas opérer. Ils ont même fourni gratuitement l’outil de déchiffrement avec des excuses. Cette observation soulève la question fascinante de savoir si la création stratégique de filiales dans certains pays pourrait constituer une forme de protection contre ces attaques, à l’instar des mécanismes automatiques qui détectent les claviers cyrilliques pour éviter les systèmes russes. Les stratégies défensives des victimes Du côté des victimes, plusieurs stratégies récurrentes émergent de l’analyse. La minimisation constitue l’approche la plus commune : les organisations se présentent systématiquement comme de petites entités sans moyens, même lorsqu’il s’agit d’entreprises importantes. Un centre d’hébergement pour sans-abri prétendant ne pas avoir d’argent a finalement versé 125 000 dollars de rançon. Les tentatives de création de liens personnels avec les attaquants constituent une autre stratégie fascinante, évoquant potentiellement le syndrome de Stockholm. Les victimes partagent leurs difficultés internes, décrivent des environnements de travail chaotiques, ou mentionnent les dangers personnels qu’elles acceptent de courir pour obtenir des cryptomonnaies. La temporisation représente également une tactique courante, les entreprises cherchant à gagner du temps pour évaluer leurs alternatives, comprendre l’étendue des dégâts et potentiellement restaurer leurs systèmes sans payer. Le contenu des données volées : moins spectaculaire qu’attendu L’examen du contenu réellement volé révèle une réalité souvent décevante. Contrairement aux attentes, la plupart des données divulguées consistent en documents administratifs banals, anciennes sauvegardes, et fichiers personnels d’employés sans intérêt stratégique. L’exemple du Blue Leak, impliquant 250 gigaoctets de documents de services de police, illustre cette réalité : malgré des heures d’analyse, peu d’informations véritablement compromettantes ont été identifiées, principalement des manuels de formation et des présentations statistiques. L’impact économique réel Cette recherche remet en question les statistiques alarmantes souvent citées, notamment celle affirmant que 60% des PME attaquées ferment dans l’année suivante. L’observation empirique suggère que les entreprises continuent généralement leurs opérations après une attaque, et que les consommateurs maintiennent leurs habitudes d’achat même après des violations de données majeures, comme l’illustre le cas de Home Depot. L’émergence d’une industrie de la négociation Un aspect méconnu mais crucial concerne le rôle des négociateurs professionnels, souvent mandatés par les compagnies d’assurance. Ces intermédiaires spécialisés développent des relations avec les différents groupes criminels, créant une forme d’écosystème professionnel autour de ces négociations. Cette professionnalisation soulève des questions importantes sur l’efficacité de ces services et leur impact sur les montants finalement versés, un domaine qui mériterait des recherches approfondies. Implications et enseignements Cette recherche, rendue possible par la mise à disposition publique de ces archives sur ransomware.li, offre des insights précieux pour les professionnels de la cybersécurité. Elle permet aux organisations de mieux se préparer à d’éventuelles négociations en comprenant les tactiques employées de part et d’autre. L’importance de cette recherche académique ne peut être sous-estimée car elle fournit aux défenseurs des outils concrets pour gérer ces situations critiques, alimentant ainsi la réflexion stratégique du secteur. La poursuite de ces travaux, enrichie par de nouveaux cas comme celui de LockBit récemment compromis, promet d’apporter des éclairages supplémentaires sur l’évolution de cet écosystème criminel en constante mutation, confirmant que les ransomwares demeurent une menace majeure nécessitant une vigilance et une préparation continues. Notes Nice to meet you! That will be 20 million please Davy Décary-Hétu Ransomware.live Collaborateurs Nicolas-Loïc Fortin David Décary-Hétu Crédits Montage par Intrasecure inc Locaux réels par Northsec

Parce que… c’est l’épisode 0x616! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Introduction et contexte Joey D., superviseur d’une équipe de détection au Centre canadien pour la cybersécurité du gouvernement fédéral, présente les défis majeurs auxquels fait face son organisation dans la gestion de la cybersécurité à l’échelle nationale. Lors de sa présentation à NorthSec, il a abordé un problème critique : la pollution causée par le bruit dans les systèmes de détection. Le défi du volume de données Le centre canadien traite un volume impressionnant de données : plus de 200 000 événements par seconde provenant de 167 clients (et plus), couvrant l’ensemble du territoire canadien. Cette télémétrie massive est corrélée avec un grand volume d’indicateurs de compromission provenant de diverses sources et partenariats internationaux. Si cette richesse d’informations constitue un atout considérable, elle génère également un défi majeur : le bruit. La combinaison de ces deux éléments - volume important de télémétrie et grand nombre d’indicateurs - crée une pollution informationnelle qui peut submerger les analystes. Les faux positifs et les mauvaises détections prolifèrent, risquant de masquer de véritables menaces ou de mobiliser inutilement les ressources d’analyse. L’approche de filtrage intelligent Pour résoudre ce problème, Joey et son équipe ont développé une approche basée sur l’identification et la caractérisation de ce qui est “non malicieux”. Plutôt que de simplement bloquer automatiquement les alertes, ils créent des filtres informatifs qui aident les analystes dans leur processus de triage. Cette méthode permet d’éviter les faux négatifs, où un véritable compromis pourrait être filtré par erreur. L’équipe préfère maintenir un niveau de prudence élevé. Comme l’explique Joey : “À un moment donné, nous, on n’aime pas prendre ce risque-là de manquer un vrai événement de compromission.” Les filtres automatisés sont donc principalement informatifs, bien que certains, lorsque l’équipe a une confiance élevée, puissent déclencher des actions automatisées. Le cas des administrateurs créatifs Un exemple particulièrement intéressant concerne les administrateurs système. Ces professionnels, dotés de privilèges élevés sur les réseaux, font parfois preuve d’une créativité remarquable dans l’accomplissement de leur travail. Ils peuvent utiliser des outils ou des techniques habituellement associés à des acteurs malveillants, mais dans un contexte parfaitement légitime. Cette créativité administrative pose un défi constant : comment distinguer une technique légitime d’une utilisation malveillante ? L’équipe de Joey a développé plusieurs approches pour gérer ce problème, allant de filtres très spécifiques (par exemple, tel script exécuté par tel utilisateur à telle heure) à des filtres plus génériques basés sur la compréhension des technologies. L’étude du système Delivery Optimization Joey a mené une étude approfondie du système Delivery Optimization de Microsoft, un service de partage de fichiers présent par défaut sur tous les appareils Windows depuis Windows 10. Ce système permet d’accélérer les mises à jour en utilisant un mécanisme de peer-to-peer au sein du réseau local, réduisant ainsi la bande passante utilisée vers les serveurs Microsoft. Le problème survient lorsque ce système est configuré pour partager avec des machines sur Internet plutôt que seulement sur le réseau local. Dans un contexte de télétravail, cela peut créer des connexions vers des adresses IP dans différents pays, générant des alertes suspectes pour les analystes qui voient des transferts de données importants vers des destinations potentiellement douteuses. Cette recherche illustre parfaitement l’importance de comprendre le fonctionnement normal des systèmes pour mieux détecter les anomalies. Comme le souligne Joey, peu de chercheurs en sécurité s’intéressent à ces mécanismes non malveillants, créant un angle mort dans la détection. La corrélation multi-sources Une des forces du système développé par l’équipe réside dans sa capacité à corréler différents types de télémétrie. En combinant les données réseau (NetFlow, captures de paquets) avec les données d’endpoints (EDR), ils peuvent obtenir un contexte beaucoup plus riche pour leurs analyses. Par exemple, dans le cas des “fake captchas” - ces pages web malveillantes qui demandent aux utilisateurs d’exécuter des commandes via Windows+R et Ctrl+V - la corrélation permet de faire la distinction entre une simple visite du domaine malveillant (comportement normal) et l’exécution effective de la chaîne de processus malveillante (comportement à investiguer). L’architecture de détection à plusieurs niveaux Le système développé par l’équipe fonctionne selon une architecture sophistiquée à plusieurs niveaux. Au niveau le plus bas, on trouve les “hits” - des événements détectés qui ne nécessitent pas nécessairement l’intervention humaine. Par exemple, l’exécution de la commande “ping” génère un hit, mais celui-ci n’est traité que par des algorithmes. Ces hits peuvent être “promus” en alertes lorsque des algorithmes détectent des patterns suspects - par exemple, une séquence ping-ping-ping suivie de “whoami”. À l’inverse, certaines détections génèrent directement des alertes en raison de leur gravité (comme PowerShell téléchargeant du contenu depuis Internet après l’ouverture d’un document Word). Le système inclut également des algorithmes de “démotion” qui peuvent reclasser une alerte en hit lorsqu’il s’avère qu’elle correspond à un comportement légitime d’un administrateur système connu. L’intégration des indicateurs de compromission L’intégration des feeds de threat intelligence (comme MISP) représente un défi particulier. Ces indicateurs, souvent rudimentaires, nécessitent un travail important de contextualisation. Plusieurs équipes au Centre Canadien pour la cybersécurité ajoutent systématiquement du contexte lors de l’ingestion : si un fournisseur ne livre que des adresses IP mais que tous ses indicateurs concernent des botnets, cette information contextuelle est ajoutée automatiquement. Cette approche permet aux analystes de disposer du contexte nécessaire dès le moment du triage, améliorant significativement l’efficacité du processus d’analyse. Les défis de la contextualisation La contextualisation des indicateurs présente plusieurs difficultés. Les concepts peuvent être contradictoires entre différentes sources, la temporalité joue un rôle crucial (un indicateur valide il y a deux semaines peut ne plus l’être aujourd’hui), et la géolocalisation peut être trompeuse, notamment lorsque des acteurs malveillants utilisent des routeurs compromis pour masquer leur origine réelle. L’équipe doit constamment évaluer son appétit au risque pour déterminer quels indicateurs méritent une investigation et lesquels peuvent être filtrés sans risque. Les bénéfices pour les citoyens Au-delà de la protection des infrastructures gouvernementales, le travail de l’équipe de Joey bénéficie directement aux citoyens canadiens. Grâce à un partenariat avec CIRA (l’organisme responsable du domaine .ca), les indicateurs de compromission identifiés par le centre sont intégrés au service Canadian Shield. Ce service DNS gratuit permet à tout citoyen de bénéficier de cette protection en configurant simplement son routeur domestique. Conclusion et enseignements Le travail présenté par Joey D. illustre l’importance d’investir dans la qualité des données en amont du processus de détection Plutôt que de déployer des solutions “out-of-the-box” et de s’en contenter, son équipe démontre qu’un investissement significatif dans la compréhension, la contextualisation et le filtrage intelligent des données peut transformer radicalement l’efficacité d’un SOC. L’approche développée au Centre canadien pour la cybersécurité offre un modèle inspirant pour d’autres organisations confrontées aux mêmes défis de volume et de bruit. En se concentrant sur la caractérisation du comportement normal et en développant des systèmes de corrélation sophistiqués, il devient possible de gérer efficacement des volumes de données considérables tout en maintenant un niveau de détection élevé. Cette présentation souligne également l’importance de la collaboration et du partage d’informations dans le domaine de la cybersécurité, démontrant comment le travail d’une équipe gouvernementale peut bénéficier à l’ensemble de la communauté, des grandes organisations aux citoyens individuels. Notes Le Bouclier canadien Collaborateurs Joey D. Crédits Montage par Intrasecure inc Locaux réels par Northsec

Parce que… c’est l’épisode 0x615! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Dans ce podcast approfondi, Charles Hamilton partage sa vision du red teaming moderne et de l’évolution de l’écosystème cybersécurité. L’échange révèle les complexités d’un marché en constante mutation et les défis qui touchent tant les professionnels que les organisations. Le paradoxe du red teaming moderne Hamilton souligne un phénomène fascinant : les red teamers ciblent principalement des entreprises matures en sécurité, créant un écart croissant avec la réalité des attaques criminelles. Cette sophistication forcée des équipes rouges s’explique par la nécessité de contourner des solutions de sécurité avancées pour accomplir leurs missions d’évaluation. Paradoxalement, cette expertise finit par être publique et influence les techniques des vrais attaquants, créant un cycle où les défenseurs doivent constamment s’adapter. Les véritables cybercriminels, quant à eux, privilégient l’opportunisme au détriment de la sophistication. Ils concentrent leurs efforts sur des cibles plus vulnérables, rendant leurs techniques souvent moins raffinées mais plus pragmatiques. Cette approche business-oriented explique pourquoi on retrouve encore des outils anciens comme Mimikatz dans les incidents réels, alors que les red teamers développent des techniques d’évasion complexes. L’écart entre recherche et réalité opérationnelle L’expérience d’Hamilton illustre comment les innovations du red teaming finissent par être récupérées par les attaquants réels. Il raconte l’anecdote d’un code qu’il avait publié il y a plus de dix ans et qui fut récemment réutilisé par un groupe d’attaquants, devenant soudainement une “nouvelle backdoor” aux yeux des analystes. Cette récupération démontre que les criminels puisent largement dans les ressources publiques plutôt que de développer leurs propres innovations. Cette dynamique soulève des questions importantes sur l’équilibre entre le partage de connaissances défensives et les risques d’armement involontaire des attaquants. Hamilton défend néanmoins la publication de recherches, arguant que ces techniques finiraient par être découvertes de toute façon, et que leur divulgation permet aux défenseurs de mieux se préparer. La sophistication technique face à l’efficacité pratique Un point central de la discussion concerne l’appréciation des outils techniques. Hamilton insiste sur l’importance de comprendre la complexité sous-jacente d’outils comme Mimikatz, développé par Benjamin Delpy. Cet outil, souvent perçu comme “simple” par les utilisateurs, représente en réalité des centaines d’heures de recherche sur les structures internes de Windows. Cette incompréhension de la sophistication technique conduit à une sous-estimation de la valeur des outils et des compétences nécessaires pour les développer. Il établit un parallèle avec Metasploit, framework qui a démocratisé l’exploitation de vulnérabilités. Beaucoup d’utilisateurs peuvent lancer un exploit sans comprendre sa mécanique interne, comme l’exemple historique de MS08-067, exploitation particulièrement complexe impliquant des services RPC, des buffer overflows et des techniques de contournement de protections mémoire. La collaboration entre équipes rouges et bleues Hamilton prône une approche collaborative à travers les “Detection Capability Assessment”, exercices où red teamers et blue teamers travaillent ensemble. Ces sessions permettent aux défenseurs de voir les techniques en action et de développer des règles de détection appropriées. Cette collaboration bidirectionnelle enrichit les deux parties : les red teamers comprennent mieux les traces qu’ils laissent, tandis que les blue teamers apprennent à identifier des indicateurs subtils. Cette approche collaborative reste malheureusement rare, particulièrement au Québec où les budgets cybersécurité sont plus limités. Le recours massif aux services managés crée également une opacité problématique, où l’intelligence de détection développée reste propriété du fournisseur plutôt que de l’organisation cliente. Les défis de la détection moderne La conversation aborde la transition des signatures antivirales vers la télémétrie moderne. Cette évolution, bien que techniquement supérieure, reste mal comprise par de nombreux professionnels. La télémétrie génère d’importants volumes de données qui nécessitent une analyse contextuelle sophistiquée pour identifier les activités malicieuses. Hamilton illustre ce défi avec l’exemple d’un utilisateur non-technique exécutant soudainement PowerShell et effectuant des requêtes LDAP. Individuellement, ces actions peuvent sembler bénignes, mais leur combinaison et le contexte utilisateur révèlent une activité suspecte typique d’outils comme BloodHound. Cette contextualisation reste difficile à automatiser et nécessite une compréhension fine de l’environnement organisationnel. Critique des métriques de vulnérabilité L’expert critique vivement l’utilisation systématique du système CVSS pour évaluer les risques. Dans le contexte du red teaming, une vulnérabilité “low” selon CVSS peut devenir critique si elle constitue le maillon manquant d’une chaîne d’attaque vers des actifs sensibles. Cette approche contextuelle du risque contraste avec les évaluations standardisées des tests d’intrusion traditionnels. L’exemple de Log4J illustre parfaitement cette problématique. Plutôt que de paniquer et patcher massivement, une compréhension du vecteur d’attaque aurait permis de mitiger le risque par des mesures réseau, évitant le stress des équipes pendant les vacances de Noël. L’industrie de la cybersécurité et ses travers Hamilton observe une tendance préoccupante vers la sur-médiatisation et le marketing dans la cybersécurité. Les vulnérabilités reçoivent des noms accrocheurs et des logos, les groupes d’attaquants sont “glorifiés” avec des noms évocateurs et des représentations heroïques. Cette approche marketing dilue les vrais messages techniques et crée une confusion entre communication et substance. Il dénonce également la prolifération de contenu généré par IA sur les plateformes professionnelles, particulièrement LinkedIn, qui noie les discussions techniques pertinentes sous un flot de contenu vide mais bien formaté. Cette tendance marginalise les voix techniques expertes au profit de “cyber-influenceurs” qui recyclent des concepts obsolètes. Formation et transmission des connaissances Malgré ces défis, Hamilton continue de former la prochaine génération de professionnels. Il insiste sur l’importance de comprendre les fondamentaux plutôt que d’utiliser aveuglément des outils. Cette philosophie éducative vise à créer des professionnels capables d’adaptation et d’innovation plutôt que de simples utilisateurs d’outils. Il encourage également la publication de blogs techniques, même sur des sujets déjà connus, comme moyen de développer les compétences de communication essentielles dans le domaine. La capacité à documenter et expliquer son travail s’avère aussi importante que l’expertise technique elle-même. Vers une industrie plus collaborative La conversation se conclut sur un appel à plus de collaboration et moins de compétition stérile dans l’industrie. Hamilton plaide pour des échanges constructifs entre professionnels techniques et dirigeants, entre red teamers et blue teamers, entre chercheurs et praticiens. Cette vision d’une communauté unie contraste avec la réalité actuelle d’écosystèmes cloisonnés qui peinent à communiquer efficacement. Il partage son expérience personnelle des critiques et de la toxicité parfois présente dans la communauté cybersécurité, tout en réaffirmant son engagement à partager ses connaissances et à contribuer à l’évolution positive du domaine. Son parcours, depuis les débuts dans les années 2000 jusqu’à aujourd’hui, témoigne de l’évolution rapide du secteur et de l’importance de l’adaptation continue. Cette riche discussion révèle les multiples facettes d’un domaine en constante évolution, où l’équilibre entre technique et communication, entre offensive et défensive, entre innovation et pragmatisme, définit l’efficacité des approches sécuritaires modernes. Collaborateurs Charles F. Hamilton Crédits Montage par Intrasecure inc Locaux réels par Northsec

Parce que… c’est l’épisode 0x614! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Ce podcast explore les réalités et malentendus entourant l’intelligence artificielle, avec Mickael Nadeau, expert du domaine depuis plusieurs années. La discussion révèle les confusions actuelles entre les différents types d’IA et l’importance cruciale de la transparence dans cette technologie. L’expertise précoce face à la popularisation récente Mickael Nadeau travaillait déjà dans l’intelligence artificielle appliquée à la cyberdéfense en 2021, bien avant l’explosion populaire de ChatGPT. Cette expérience lui donne une perspective unique sur l’évolution du secteur. Il observe aujourd’hui que “tout le monde est rendu des experts en IA”, alors que la réalité de la compréhension technologique est bien différente. Cette popularisation soudaine a créé une situation où les termes “IA”, “machine learning” et “intelligence artificielle générative” sont constamment confondus et utilisés de manière interchangeable. La confusion terminologique généralisée L’un des problèmes majeurs identifiés est la tendance à réduire l’IA à ChatGPT ou aux chatbots génériques. Pour beaucoup, l’IA s’arrête à ces outils conversationnels, alors qu’elle englobe en réalité de nombreux segments d’algorithmes différents, conçus pour répondre à des besoins spécifiques. Cette confusion se manifeste particulièrement dans les appels d’offres gouvernementaux, où Nadeau a récemment dû répondre à des questions “sidérantes” mélageant concepts d’IA générative, de stockage de données, de métadonnées et de propriété intellectuelle. Ces questions semblent inspirées du RGPD européen, le Québec tentant de suivre cette approche réglementaire. Cependant, elles révèlent une incompréhension fondamentale des différences entre les types d’IA et leurs implications techniques. Les rédacteurs de ces documents mélangent l’entraînement des modèles, l’hébergement cloud, et les différents types d’algorithmes, créant un “amalgame” de préoccupations légitimes mais mal contextualisées. L’IA traditionnelle versus l’IA générative La distinction entre l’IA traditionnelle (machine learning classique) et l’IA générative (GenAI) est cruciale mais mal comprise. L’IA existe depuis des décennies dans nos appareils quotidiens : la prédiction de texte sur nos téléphones, les algorithmes de recommandation de Netflix, la correction automatique, ou encore les moteurs de recherche Google utilisent tous des formes d’intelligence artificielle. Ces applications sont ciblées, efficaces et consomment relativement peu d’énergie. En revanche, les grands modèles de langage (LLM) comme ChatGPT sont des outils généralistes comparables à “faire du trail avec un char de ville”. Ils peuvent produire des résultats dans de nombreux domaines, mais au prix d’une consommation énergétique massive et avec des risques d’erreurs ou d’hallucinations. Cette différence fondamentale explique pourquoi Google et Apple n’ont pas initialement développé de chatbots grand public : ils utilisaient déjà l’IA de manière spécialisée et efficace. L’évolution technologique et les capacités actuelles Ce qui a véritablement changé récemment, ce ne sont pas les algorithmes eux-mêmes, mais la puissance de calcul disponible. Les concepts statistiques sous-jacents au machine learning existent depuis des décennies. Cependant, l’accès démocratisé aux serveurs puissants, aux cartes graphiques spécialisées et aux capacités cloud a permis de traiter des volumes de données impensables il y a encore cinq ans. Cette évolution technologique a également permis l’émergence de nouveaux paradigmes, comme les MCP (Model Context Protocol), qui agissent comme des coprocesseurs spécialisés. Ces systèmes permettent de combiner plusieurs agents IA spécialisés plutôt que de s’appuyer sur un seul modèle généraliste. Cette approche modulaire, déjà utilisée par Apple et Google sur leurs téléphones, représente probablement l’avenir de l’IA pratique. Les défis de qualité et de fiabilité Un problème récurrent avec les outils d’IA générative concerne la qualité et la fiabilité des résultats. Nadeau partage des exemples frustrants de personnes envoyant des courriels clairement générés par IA, contenant des erreurs ou des “hallucinations” que l’expéditeur n’a même pas pris la peine de relire. Cette paresse révèle une confiance aveugle dangereuse envers ces outils. Pour le développement de code, les modèles généralistes produisent souvent du code non maintenable, inventent des bibliothèques inexistantes, ou créent des solutions partiellement fonctionnelles. En revanche, les modèles spécialisés comme Claude Code, entraînés spécifiquement sur du code de qualité, produisent des résultats significativement meilleurs. Cette différence illustre l’importance de choisir l’outil approprié pour chaque tâche. La question cruciale de la transparence Le défi majeur identifié par Nadeau concerne la transparence des systèmes d’IA. Contrairement aux LLM qui fonctionnent comme des “boîtes noires”, les systèmes d’IA spécialisés peuvent être conçus pour expliquer leurs décisions. Dans leur solution de cyberdéfense, ils indiquent le degré de confiance du modèle dans chaque décision et expliquent le raisonnement sous-jacent. Cette transparence devient un avantage concurrentiel majeur. Elle permet aux utilisateurs de comprendre pourquoi une décision a été prise, d’évaluer la fiabilité du résultat, et de prendre des décisions éclairées. Cette approche contraste avec la mentalité “trust me bro” de nombreuses solutions actuelles qui demandent une confiance aveugle dans leurs résultats “magiques”. Les enjeux géopolitiques et de confidentialité La discussion révèle également les préoccupations géopolitiques autour de l’IA. L’interdiction de TikTok aux États-Unis, les amendes contre ByteDance en Europe, et les questions sur l’envoi de données en Chine illustrent ces tensions. Cependant, les intervenants soulignent l’hypocrisie de ces préoccupations : les mêmes questions auraient dû être posées depuis longtemps concernant le cloud computing, les applications mobiles, et les services web en général. OpenAI a été forcé de conserver indéfiniment les conversations ChatGPT par les tribunaux américains, mais Google conserve déjà toutes nos recherches. Cette situation révèle un “réveil tardif” face à des pratiques existantes depuis des années. L’IA générative a simplement rendu visible des problématiques de confidentialité préexistantes. L’avenir : spécialisation et orchestration L’avenir de l’IA semble s’orienter vers des écosystèmes d’agents spécialisés orchestrés intelligemment. Plutôt qu’un seul modèle généraliste tentant de tout faire, nous verrons probablement des “essaims” de petits agents, chacun expert dans un domaine particulier. Cette approche, déjà visible dans les dernières versions de ChatGPT et Gemini qui intègrent des modules de recherche web, promet des résultats plus fiables et plus efficaces. Conclusion : éducation et transparence Le podcast se termine sur l’importance de l’éducation et de la transparence. La confusion actuelle autour de l’IA résulte largement d’un manque de compréhension des différentes technologies et de leurs implications. Les consommateurs, régulateurs, et entreprises doivent développer une meilleure compréhension de ces outils pour les utiliser efficacement et en toute sécurité. La transparence devient non seulement un impératif éthique mais aussi un avantage concurrentiel. Les entreprises capables d’expliquer clairement le fonctionnement de leurs systèmes d’IA, leurs limites, et leurs garanties de confidentialité auront un avantage significatif dans un marché de plus en plus méfiant face aux “boîtes noires” technologiques. Cette évolution vers plus de transparence et de spécialisation pourrait finalement résoudre de nombreux problèmes actuels de l’IA, tout en réalisant son véritable potentiel dans des applications pratiques et fiables. Collaborateurs Mickael Nadeau Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x613! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Ce podcast présente le témoignage d’Antoine Vacher, auditeur technique chez Cyblex Consulting, qui partage son retour d’expérience sur ses premières missions d’intrusion physique. Cette discussion révèle les défis, apprentissages et méthodologies d’un professionnel de la cybersécurité découvrant un nouveau domaine d’expertise. Contexte et approche initiale Antoine Vacher travaille comme pentester dans une petite société française de cybersécurité. Lorsqu’un client manifeste son intérêt pour une mission d’intrusion physique, l’équipe décide de se lancer malgré leur manque d’expérience dans ce domaine. Cette transparence avec le client constitue un élément clé de leur approche : ils informent clairement qu’il s’agit de leur première expérience tout en exprimant leur motivation à relever ce défi. Première mission : société de développement monétique La première mission concerne une entreprise de développement de systèmes monétiques répartie sur deux bâtiments. Les objectifs sont clairement définis et géographiquement précis : accéder à différents étages, prendre un café au troisième étage, visiter le bureau du directeur, accéder aux salles serveurs, passer un appel depuis un téléphone interne et évaluer la possibilité de vol de modules HSM (Hardware Security Modules). Phase de reconnaissance et préparation L’équipe commence par une phase d’OSINT (Open Source Intelligence) pour collecter des informations utiles. Ils recherchent des noms d’employés, des événements, des marques d’équipements informatiques ou de machines à café, toute information pouvant servir de prétexte pour justifier leur présence. Bien que cette recherche ne produise pas énormément de résultats exploitables, ils parviennent à identifier et vérifier la présence en ligne du facility manager, information qu’ils comptent utiliser. Première approche : reconnaissance nocturne et tentative matinale L’équipe adopte une approche en deux phases. La première consiste en une reconnaissance nocturne pour évaluer la sécurité physique des bâtiments. Ils découvrent que la barrière de sortie du parking est cassée en position ouverte, facilitant l’accès véhiculaire. Cependant, toutes les portes et fenêtres sont correctement sécurisées. Le lendemain matin, ils exploitent une particularité architecturale : un des bâtiments appartient entièrement au client, mais un étage est loué à une société tierce. En sonnant à cette société sous prétexte de livraison, ils obtiennent un accès immédiat au bâtiment sans argumentation. Une fois à l’intérieur, ils découvrent qu’ils peuvent accéder aux cages d’escalier grâce aux normes de sécurité incendie, et qu’une porte d’étage n’est pas correctement verrouillée. Cette intrusion leur permet de valider plusieurs objectifs : photographier des HSM abandonnés, passer un appel au donneur d’ordre depuis un téléphone interne. Pour accéder à un autre étage, ils utilisent l’ingénierie sociale en tapant à une vitre séparant la cage d’escalier d’une salle de pause. Un employé leur ouvre après qu’ils aient inventé une histoire de mesures WiFi. Deuxième approche : professionnalisation du prétexte Sur le second bâtiment, l’équipe se fait remarquer et décide de reporter l’intrusion. Pour la deuxième tentative, ils développent un scénario plus élaboré en exploitant le passé professionnel d’un collègue, ancien ingénieur en acoustique. Équipés de véritables micromètres de mesure sonore, ils se présentent à l’accueil comme une équipe de mesures acoustiques mandatée par le facility manager. Cette approche s’avère remarquablement efficace. La réceptionniste leur délivre des badges temporaires sans vérification préalable, révélant un défaut procédural majeur. Quand elle tente de contacter le facility manager, celui-ci ne répond pas comme convenu, et elle s’absente pour le chercher, leur laissant le champ libre. L’expertise technique du collègue ajoute une crédibilité naturelle à leur couverture. Pendant qu’il effectue de véritables mesures acoustiques dans chaque bureau, Antoine note fictement les résultats. Cette méthode leur permet d’accéder systématiquement à tous les espaces, y compris un bureau gérant les badges où Antoine parvient à subtiliser des badges (qui s’avéreront malheureusement désactivés). Pour la salle serveur, ils demandent simplement à un employé de leur ouvrir l’accès pour effectuer des mesures, requête qui est satisfaite sans difficulté. Cependant, leur succès trouve ses limites quand un employé plus vigilant vérifie effectivement auprès du facility manager, mettant fin à leur mission sur cet étage. Deuxième mission : structures publiques départementales La seconde mission concerne des bâtiments publics : les archives départementales et un centre de solidarité avec PMI (Protection Maternelle et Infantile). Les objectifs sont plus larges, incluant une dimension informatique légère avec l’accès à une session utilisateur et l’installation d’un C2 (Command and Control). Reconnaissance dans les espaces publics L’équipe commence par une reconnaissance dans les zones accessibles au public. Un collègue visite la PMI en prétextant chercher des informations sur les modes de garde pour sa femme enceinte. Cette visite révèle une information cruciale : l’imprimante est en panne. Parallèlement, la visite des toilettes (décrite comme “la base” en reconnaissance) permet de découvrir une salle technique contenant des équipements réseau non sécurisée. Exploitation de l’information collectée Antoine exploite l’information sur l’imprimante défaillante en appelant l’accueil en se faisant passer pour le service technique départemental. Non seulement il obtient un rendez-vous, mais la réceptionniste lui propose spontanément de venir le lundi matin pendant la fermeture au public, facilitant considérablement leur mission. Le jour J, l’accès se déroule sans encombre. Antoine demande à la réceptionniste d’ouvrir sa session informatique et de lui prêter son badge, requêtes satisfaites sans questionnement. Cette complaisance permet de valider immédiatement les objectifs informatiques : accès session et installation du C2 sans résistance du système de sécurité. Pour justifier leur déplacement dans le bâtiment, ils utilisent des antennes WiFi basiques, prétextant effectuer des mesures de qualité réseau. Cette couverture leur permet d’explorer l’intégralité des locaux sans être questionnés, découvrant une seconde salle technique non sécurisée. Enseignements et apprentissages Variabilité des réactions humaines L’expérience révèle la grande diversité des réactions humaines face aux intrus. Certaines personnes ouvrent immédiatement sans poser de questions, d’autres appliquent spontanément des procédures de vérification inexistantes mais efficaces. Cette variabilité suggère qu’une approche patiente, avec plusieurs tentatives à différents moments et avec différentes personnes, peut surmonter les refus initiaux. Importance du prétexte et de la crédibilité La différence d’efficacité entre les approches improvisées et préparées est frappante. L’expertise technique réelle du collègue en acoustique apporte une crédibilité naturelle impossible à simuler par de simples recherches internet. Cette expérience souligne l’importance de s’appuyer sur de véritables compétences techniques pour construire des scénarios crédibles. Exploitation des informations collectées Les missions démontrent l’importance de la phase de collecte d’informations, même apparemment anodines. L’information sur l’imprimante en panne, recueillie lors d’une visite publique légitime, devient le pilier d’une intrusion réussie. Cette approche illustre comment transformer des détails opérationnels en opportunités d’accès. Défaillances procédurales systémiques Les missions révèlent des défaillances procédurales récurrentes : délivrance de badges sans vérification, absence de procédures claires pour les employés face à des visiteurs suspects, complaisance excessive des personnels. Ces failles suggèrent que les problèmes de sécurité physique relèvent souvent plus de l’organisation que de la technologie. Aspects légaux et déontologiques Antoine insiste sur l’importance du cadre légal et déontologique. Chaque mission nécessite des autorisations formelles, une notification aux forces de l’ordre, et les auditeurs portent une lettre de mission attestant de la légitimité de leur présence. Le donneur d’ordre doit être disponible pour confirmation en cas de contrôle. Cette approche professionnelle protège à la fois les auditeurs et les organisations testées. Communication des résultats Les rapports adoptent une approche narrative, racontant chronologiquement le déroulement des intrusions avec photos à l’appui. Cette méthode, qualifiée “d’article de magazine”, permet aux clients de comprendre concrètement les techniques utilisées et les failles exploitées. Les recommandations portent sur la sensibilisation, la définition de procédures claires, et l’adaptation des mesures de sécurité physique aux menaces réelles. Réception par les clients Les réactions clients varient selon leur niveau de conscience préalable des vulnérabilités. Le premier client, bien que déçu, n’était pas surpris par certaines défaillances. Le département public montrait plus d’inquiétude concernant l’accès aux archives sensibles, mais restait pessimiste sur la sécurité de la PMI. Recommandations pour les futurs praticiens Antoine encourage la prise de risque mesurée et l’exploration de nouveaux domaines, tout en insistant sur la tran

Parce que… c’est l’épisode 0x612! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 2025 12 au 17 octobre 2025 - Objective by the sea v8 14 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Dans cet épisode, l’animateur reçoit Simon Du Perron, avocat spécialisé en protection de la vie privée, pour analyser deux projets de loi majeurs du gouvernement : C-2 et C-8. Ces projets législatifs, qualifiés de « massifs », ont des implications significatives sur la protection des renseignements personnels au Canada. Le projet de loi C-2 : un régime de surveillance élargi Le projet de loi C-2, officiellement intitulé « Loi concernant certaines mesures liées à la sécurité de la frontière entre le Canada et les États-Unis et d’autres mesures connexes liées à la sécurité », constitue un projet omnibus de 140 pages modifiant près de 20 lois fédérales. Présenté par le ministre de la sécurité publique, ce projet va bien au-delà des simples enjeux frontaliers. Modifications au code criminel La partie 14 de C-2 modifie le code criminel pour accorder aux agents de la paix des pouvoirs élargis d’accès aux données. Cette modification est particulièrement préoccupante car elle s’applique de manière générale à travers le Canada. Les agents peuvent désormais ordonner aux fournisseurs de services électroniques de divulguer des métadonnées sur leurs utilisateurs sans mandat préalable, incluant l’identifiant du client, ses numéros de compte, le type de service fourni, la période d’utilisation et les informations sur les dispositifs utilisés. Cette approche contraste avec la jurisprudence récente de la Cour suprême, notamment l’affaire Bicovette, qui avait établi qu’un mandat était nécessaire pour obtenir des adresses IP. Le projet C-2 semble vouloir contourner cette protection judiciaire en facilitant l’accès aux données par les forces de l’ordre. Le régime d’accès légal La partie 15 crée un cadre juridique pour l’accès légal (« legal access »), obligeant les fournisseurs de services électroniques à maintenir des capacités techniques permettant aux autorités d’accéder aux informations demandées. Cette obligation va jusqu’à créer un pouvoir ministériel d’ordonner par décrets contraignants la mise en place de mesures spécifiques, avec des sanctions pécuniaires pouvant atteindre 250 000 dollars. La définition de « fournisseur de services électroniques » est particulièrement large, englobant essentiellement tout service permettant de mettre à disposition des informations par un moyen technologique. Paradoxalement, la loi crée une distinction entre les fournisseurs canadiens et étrangers : pour ces derniers, une autorisation judiciaire reste nécessaire, créant une situation où il est plus facile d’accéder aux données d’un fournisseur canadien qu’américain. Autres modifications préoccupantes Le projet modifie également la Loi sur la Société canadienne des postes, réduisant la protection du contenu des transmissions postales en ajoutant une exception « sauf en conformité avec une loi fédérale ». Cette modification pourrait permettre l’application des nouvelles dispositions du code criminel aux services postaux. Une modification à la Loi sur le recyclage des produits de la criminalité permet aux institutions financières de recueillir et utiliser des renseignements personnels sans consentement s’ils proviennent d’une autorité policière, dans le but de lutter contre le blanchiment d’argent et le financement terroriste. Le projet de loi C-8 : renaissance de C-26 Le projet C-8 reprend presque intégralement l’ancien projet C-26, qui n’avait pas pu être adopté lors de la législature précédente en raison d’un problème de traduction. Ce projet vise à sécuriser les systèmes de télécommunications et les infrastructures critiques. Modifications à la loi sur les télécommunications La première partie modifie la Loi sur les télécommunications pour inclure « la promotion de la sécurité du système canadien de télécommunication » dans ses objets. Elle confère au ministre de l’Industrie le pouvoir d’interdire aux télécommunicateurs d’utiliser certains produits ou services, ou d’imposer des mesures de sécurité spécifiques, sans indemnisation en cas de pertes financières. La loi sur la protection des cybersystèmes essentiels La seconde partie crée une nouvelle loi visant les secteurs critiques : télécommunications, pipelines et lignes électriques, énergie nucléaire, système bancaire, et transport de compétence fédérale. Les organisations de ces secteurs devront adopter un programme de cybersécurité, notifier les incidents au Centre de la sécurité des télécommunications dans les 90 jours, et se conformer aux directives gouvernementales. Cette approche s’inspire du règlement européen NIS 2, créant un régime de cybersécurité robuste pour les infrastructures essentielles. Les incidents de cybersécurité qui affectent la confidentialité, l’intégrité ou la disponibilité de l’information devront être signalés, créant potentiellement une double obligation de notification pour les incidents touchant aussi la vie privée. Préoccupations et enjeux constitutionnels Inspiration américaine problématique Les deux projets s’inspirent fortement du modèle américain, particulièrement du FISA (Foreign Intelligence Surveillance Act). Cette approche soulève des inquiétudes quant à la création d’un système de surveillance de masse similaire à celui des États-Unis, mais appliqué aux données de citoyens canadiens plutôt qu’aux données d’étrangers. La facilité d’accès aux métadonnées pourrait mener à la constitution de bases de données gouvernementales permettant des requêtes systématiques, transformant l’État en « courtier de données criminel ». Cette évolution vers un modèle de surveillance étatique accrue préoccupe les défenseurs de la vie privée. Absence de contrepouvoirs Contrairement à d’autres juridictions qui mettent en place des mécanismes de surveillance spécifiques pour encadrer de nouveaux pouvoirs, C-2 s’en remet principalement aux tribunaux pour baliser l’usage des nouvelles dispositions. Cette approche réactive plutôt que préventive laisse une large marge de manœuvre aux forces de l’ordre. Questions constitutionnelles Le projet C-2 présente la particularité de ne pas contenir de disposition d’objets claire, contrairement à la pratique habituelle des projets de loi fédéraux qui cherchent à ancrer leur compétence constitutionnelle. Cette omission pourrait poser des défis d’interprétation judiciaire. Processus parlementaire et perspectives Le gouvernement conservateur semble pressé de faire adopter ces mesures. C-2 est actuellement en deuxième lecture tandis que C-8 est en première lecture. Tous deux relevant du ministre de la sécurité publique, ils seront probablement étudiés par le même comité parlementaire, ce qui pourrait ralentir leur progression. L’adoption de ces projets marquerait un tournant significatif dans l’équilibre entre sécurité et vie privée au Canada. Ils reflètent une volonté gouvernementale de s’aligner sur les demandes américaines en matière de sécurité frontalière, tout en modernisant les outils d’enquête face à la multiplication des plateformes numériques. Les audiences publiques et l’étude détaillée en comité seront cruciales pour évaluer l’impact réel de ces mesures sur les droits fondamentaux des Canadiens. La communauté juridique et les défenseurs de la vie privée devront être particulièrement vigilants face à ces transformations majeures du paysage législatif canadien en matière de surveillance et de cybersécurité. Collaborateurs Nicolas-Loïc Fortin Simon Du Perron Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm