PolySécure Podcast

• Spécial - L'outillage dans le cadre d'analyse de risque - Parce que... c'est l'épisode 0x608!

  Parce que… c’est l’épisode 0x608! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Introduction et contexte Nicolas accueille Christophe d’Arlhac pour cette nouvelle édition du podcast. Faisant suite à leur précédent échange sur l’importance de l’analyse des menaces, cette discussion se concentre sur l’outillage associé à l’analyse de risque. L’objectif est de mettre en perspective les avantages et inconvénients de ces outils pour en tirer le maximum de bénéfices tout en évitant les pièges potentiels. Les avantages fondamentaux de l’outillage Structure et guidance Les outils d’analyse de risque constituent un élément structurant essentiel qui aide les analystes à effectuer leur travail méthodiquement sans rien omettre. Christophe souligne que ces outils permettent d’identifier, d’évaluer et de prioriser les menaces potentielles pesant sur les systèmes d’information. L’intégration intrinsèque de différentes fonctionnalités offre un cadre rigide qui évite l’oubli de certaines étapes importantes et standardise les méthodes de calcul. Conservation et pérennisation de l’information Un avantage majeur réside dans la capacité de ces outils à conserver et pérenniser l’information. Contrairement aux fichiers Excel artisanaux, les outils dédiés facilitent le transfert du travail entre différents intervenants. Nicolas observe que dans un contexte plus artisanal, chaque changement d’analyste tend à provoquer une reprise complète du travail, chacun ayant sa propre approche. Cette tendance à “repartir de zéro” fait perdre les bénéfices de l’amélioration continue et de l’approche itérative préconisée par les méthodologies actuelles. Gestion de la complexité Les fichiers Excel deviennent rapidement volumineux et difficiles à gérer, posant des problèmes de sécurité et de partage de droits. La ultra-personnalisation de ces fichiers les rend difficilement compréhensibles pour d’autres utilisateurs, créant un cercle vicieux où il devient plus simple de recommencer que de comprendre le travail précédent. L’adaptabilité face aux évolutions Suivi des menaces évolutives L’évolution constante des menaces constitue un argument fort en faveur des outils stables. L’exemple de la guerre en Ukraine illustre parfaitement comment la nature des menaces peut changer rapidement, modifiant le niveau de risque pour certains secteurs ou pays. Les outils permettent de pivoter et de suivre ces évolutions dans le temps, offrant une vision claire des raisons des changements de risque. Évolution réglementaire De même, les réglementations évoluent constamment, particulièrement en Europe où l’activité législative est intense. Les outils intègrent ces mises à jour réglementaires automatiquement, permettant de suivre facilement ces évolutions et de comprendre pourquoi un risque peut différer selon l’époque, non seulement à cause des attaques mais aussi des changements réglementaires. Les fonctionnalités avancées Intégration et pré-remplissage Les outils modernes offrent des capacités d’intégration avec d’autres systèmes, permettant de puiser dans des sources de données existantes. Cette fonctionnalité pré-remplit automatiquement les informations sur les actifs de support et business, représentant un gain de temps considérable. Pour les entreprises matures disposant de CMDB (Configuration Management Database), cette intégration automatique élimine l’effort manuel de collecte d’informations. Collaboration et reporting Ces outils favorisent la collaboration entre équipes et s’intègrent avec d’autres solutions pour enrichir les données d’entrée. Ils offrent également des capacités de reporting avancées avec des tableaux de bord permettant aux dirigeants de prendre des décisions éclairées concernant les investissements sécuritaires, avec une vue historique des choix stratégiques et financiers. Les écueils à éviter Faux sentiment de sécurité L’utilisation d’outils peut créer une illusion de précision et un faux sentiment de sécurité. Les utilisateurs risquent de devenir moins objectifs et de manquer de contextualisation, se concentrant davantage sur les capacités de l’outil que sur l’analyse critique des données. Cette tendance peut conduire à suivre mécaniquement une checklist sans remettre en question les données ou la logique sous-jacente. Risque de déshumanisation Un piège particulièrement dangereux consiste à croire qu’un outil peut remplacer l’expérience humaine. Certaines organisations font l’erreur de penser qu’un consultant junior peut utiliser l’outil de manière autonome, sous prétexte que celui-ci le guide. Cette approche néglige l’importance de l’expertise humaine dans l’interprétation des résultats et l’analyse contextuelle. Stagnation des compétences Les outils évoluent constamment, nécessitant une formation continue. Les utilisateurs peuvent avoir tendance à rester sur les fonctionnalités qu’ils maîtrisent, passant à côté des améliorations et nouvelles capacités. Cette stagnation limite l’efficacité de l’outil et peut conduire à une sous-utilisation de ses potentialités. L’importance du binôme expérimenté-junior Nicolas et Christophe soulignent l’importance de faire travailler ensemble des consultants expérimentés et des juniors. Cette approche permet un transfert de connaissances efficace tout en évitant les écueils de l’utilisation d’outils par des personnes inexpérimentées. L’outil accélère le travail de l’expert et aide le junior à progresser plus rapidement en se concentrant sur l’analyse plutôt que sur les aspects techniques. La valeur ajoutée de l’expertise humaine Interprétation et explication La capacité d’expliquer les résultats aux dirigeants reste fondamentalement humaine. Un expert doit pouvoir expliquer pourquoi l’outil produit certains résultats, quelles valeurs ont été saisies et pour quelles raisons. Cette interprétation constitue le cœur de métier du consultant et ne peut être automatisée. Solutions créatives L’expertise humaine permet d’identifier des solutions organisationnelles simples là où l’outil proposerait uniquement des mitigations techniques complexes. Les exemples abondent de problèmes résolus par de simples changements de processus plutôt que par des solutions techniques coûteuses et complexes. Dialogue avec les métiers L’écoute des équipes métier reste cruciale pour identifier les solutions les plus appropriées. Souvent, ces équipes ont déjà proposé des solutions simples qui n’ont pas été entendues par les départements IT. L’analyse de risque, guidée par un expert utilisant les bons outils, permet de remettre toutes les parties prenantes autour de la table et de créer cette cohésion nécessaire. Recommandations pour une utilisation optimale Formation et processus La réussite de l’implémentation d’outils d’analyse de risque nécessite une formation approfondie des utilisateurs et l’implication de toutes les parties prenantes. La documentation des processus et la sollicitation régulière des retours utilisateurs permettent d’optimiser l’utilisation et de mesurer le retour sur investissement. Critères de choix Le choix d’un outil doit tenir compte de plusieurs facteurs : interface intuitive et ergonomique, capacité de personnalisation, flexibilité de connexion avec d’autres systèmes, qualité du reporting et des visualisations, fonctionnalités collaboratives permettant le partage sécurisé de données confidentielles, et capacité d’évolution qualitative. Amélioration continue La contribution des experts utilisateurs au développement des outils bénéficie à tout l’écosystème. Les retours d’expérience permettent aux éditeurs d’améliorer leurs produits, créant un cercle vertueux d’amélioration continue qui profite à tous les acteurs de la cybersécurité. Conclusion L’outillage en analyse de risque représente un élément essentiel pour structurer et améliorer l’efficacité des analyses de sécurité. Cependant, ces outils ne doivent jamais remplacer l’expertise humaine mais l’augmenter. Ils constituent des accélérateurs qui permettent aux analystes de se concentrer sur leur valeur ajoutée : l’interprétation, l’analyse contextuelle et la création de solutions adaptées aux besoins réels des organisations. L’approche idéale combine la puissance structurante des outils avec l’expertise humaine, dans un processus d’amélioration continue impliquant toutes les parties prenantes. Collaborateurs Nicolas-Loïc Fortin Christophe D’ARLHAC Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

  --------  

  32:53

  --------

  32:53
• Spécial - leHACK 2025 - Parce que... c'est l'épisode 0x607!

  Parce que… c’est l’épisode 0x607! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Un épisode depuis Paris Cet épisode spécial du podcast propose une rencontre inhabituelle entre deux Québécois expatriés à Paris pour assister au leHACK, un événement mythique de cybersécurité francophone. L’animateur retrouve Martin Dubé, ancien organisateur du HAckfest au Québec, qui réalise un rêve de quinze ans en découvrant enfin cet événement légendaire. Depuis 2010, Martin s’impliquait dans le milieu de la cybersécurité québécoise, notamment avec le Hackfest, avant de prendre une pause pour des raisons familiales. Aujourd’hui entrepreneur indépendant, il s’est offert ce voyage comme un cadeau personnel. Découverte du leHACK et de son atmosphère unique Le leHACK, anciennement appelé “La Nuit du Hack”, se révèle être un événement impressionnant par son ampleur et son organisation. Avec environ 3000 participants, l’événement se déroule à la Cité des Sciences, offrant un cadre exceptionnel avec des espaces généreux et bien distribués. Contrairement au NorthSec ou au Hackfest québécois, l’atmosphère y est remarquablement détendue et non-compétitive. Le CTF (Capture The Flag) rassemble plus de 400 participants dans deux grandes salles, mais fonctionne selon un principe individuel plutôt qu’en équipes, ce qui explique cette ambiance plus relaxe. Différences culturelles et techniques L’infrastructure technique du leHACK impressionne par son approche “old school” avec des serveurs sur site, des switches 10GB et 25GB, et trois gros serveurs Xeon avec 128GB de RAM chacun. Cette approche filaire contraste avec la tendance cloud des événements québécois. L’aspect culturel se révèle également fascinant : les deux Québécois découvrent un environnement plus ouvert et respectueux, où les conflits se résolvent par une simple bise plutôt que par des confrontations. Cette différence culturelle enrichit leur expérience, même si elle crée parfois un sentiment d’isolement initial. Conférences : entre excellence et redondance L’amphithéâtre de 900 places offre des conditions d’écoute exceptionnelles, avec un son et un confort impeccables. Les conférences présentent un mélange intéressant : certaines sont remarquables, comme celle sur le reverse engineering d’une montre connectée à 12 euros. Cette présentation technique de haut niveau démontre comment les conférenciers ont contourné des protections complexes pour révéler que l’appareil générait simplement des données de santé aléatoires. D’autres conférences, malheureusement, recyclent des concepts déjà largement abordés dans le milieu, créant une certaine frustration chez les participants expérimentés. Réflexions sur l’évolution du milieu L’événement révèle une problématique générationnelle intéressante : de nombreux sujets “basiques” doivent encore être expliqués, révélant des lacunes dans la formation académique. Les techniques de sécurité recommandées aujourd’hui pour l’IA reprennent souvent des principes établis il y a vingt ans, soulignant un éternel recommencement dans le domaine. Cette situation crée un dilemme : les vétérans aimeraient du contenu plus avancé, mais les nombreux jeunes participants ont besoin de ces bases fondamentales. Observations sur la relève et l’écosystème Le leHACK frappe par la jeunesse de ses participants, contrastant avec le vieillissement observé dans certains événements québécois. De nombreuses écoles sont présentes, notamment l’École 42, démontrant un investissement fort dans la formation. Cette diversité générationnelle enrichit l’événement, même si elle complique parfois le niveau des présentations. L’écosystème français semble plus dynamique pour attirer et former la relève en cybersécurité. Expérience personnelle et networking Malgré leur statut d’étrangers, les deux Québécois parviennent à créer des liens intéressants, notamment grâce à Florent, associé français de l’un d’eux, qui facilite les rencontres. L’événement se distingue par son accessibilité : pas de files d’attente interminables comme au DefCon, une circulation fluide, et des espaces qui ne donnent pas cette impression d’écrasement malgré les 3000 participants. Cette organisation permet de véritablement profiter du contenu et des interactions. Anecdotes et détails marquants L’événement réserve quelques surprises technologiques, comme la présence de minitels connectés au WiFi, rappelant l’histoire des télécommunications françaises. Un chien robot programmable attire l’attention, créant des réactions mitigées selon les profils des participants. La canicule parisienne ajoute une dimension climatique inattendue pour des Québécois habitués à des températures plus clémentes en cette période. Bilan et perspectives Cette première participation au leHACK constitue une réussite totale pour Martin Dubé, qui envisage déjà un retour en 2026. L’événement offre un excellent équilibre entre contenu technique de qualité, networking efficace, et découverte culturelle. Il confirme l’importance des événements internationaux pour élargir les perspectives professionnelles et personnelles. L’expérience démontre que sortir de sa zone de confort géographique et culturelle apporte une richesse inestimable au développement professionnel. L’épisode se conclut sur une note philosophique concernant l’importance de la diversité culturelle dans l’enrichissement professionnel, Martin soulignant comment ces expériences internationales le rendent plus complet comme professionnel de la cybersécurité. Collaborateurs Nicolas-Loïc Fortin Martin Dubé Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

  --------  

  36:13

  --------

  36:13
• Spécial - Un brin de nostalgie durant le Northsec - Parce que... c'est l'épisode 0x606!

  Parce que… c’est l’épisode 0x606! Préambule Nous avons rencontré un problème technique durant l’enregistrement. L’équipement a cessé de fonctionner, sans que nous nous en rendions compte. Nous avons conservé le segment qui est utilisable. Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Ce podcast enregistré lors de NorthSec réunit l’animateur et Martin Dubé pour une discussion nostalgique sur l’évolution de la communauté cybersécurité québécoise, particulièrement autour du Hackfest et de NorthSec. Les débuts du Hackfest et l’innovation des CTF Martin Dubé raconte ses débuts en 2010 au Hackfest, alors qu’il était étudiant en deuxième année d’université. À cette époque, l’événement était très différent d’aujourd’hui : les organisateurs transportaient des serveurs physiques hébergés chez eux jusqu’à l’hôtel, utilisant des technologies comme Proxmox et VMware. Cette période artisanale contraste fortement avec l’automatisation moderne mise en place par des équipes comme celle de Laurent au NorthSec. L’innovation majeure de cette époque fut l’introduction du format “attaque-défense” pour les CTF, remplaçant le traditionnel format “jeopardy” (matrice de challenges par catégories). Ce nouveau format permettait aux participants d’attaquer les infrastructures des autres équipes tout en défendant la leur, créant une dynamique plus réaliste et complexe. Leadership et apprentissage par la pratique Martin souligne l’importance de l’aspect leadership dans son rôle de responsable des CTF. Gérer une équipe de bénévoles non rémunérés lui a enseigné des compétences précieuses en gestion d’équipe, motivation par la reconnaissance et coordination de projets complexes. Cette expérience s’est révélée cruciale pour sa carrière professionnelle, démontrant que l’implication dans la communauté offre bien plus que des compétences techniques. Il encourage fortement les nouveaux arrivants dans le domaine à s’impliquer dans de tels événements, car cela permet de garnir son CV d’expériences pertinentes et facilite l’entrée sur le marché du travail. Cette recommandation reste valable aujourd’hui, même si le domaine s’est professionnalisé. L’innovation de la track Windows Un moment marquant fut la création de la “track Windows” au NorthSec, une innovation que Martin et Stéphan Sigman considèrent comme pionnière. Contrairement aux challenges synthétiques habituels, cette track simulait un véritable environnement d’entreprise avec Active Directory, partages réseau mal configurés, GPO contenant des mots de passe, et autres vulnérabilités typiques des infrastructures corporatives. Cette approche répondait à une critique importante : les CTF traditionnels développaient des compétences sur des challenges artificiels, tandis que les vrais pentesters doivent attaquer des réseaux d’entreprise réels. La track Windows a forcé les participants à développer des compétences directement applicables au Red Teaming et aux tests d’intrusion internes. Évolution technologique et impact de l’IA La discussion aborde l’évolution technologique du domaine. Martin observe que la sécurité par défaut s’est considérablement améliorée depuis les années 2010, rendant les vulnérabilités basiques moins fréquentes. L’arrivée de l’intelligence artificielle transforme également le paysage professionnel, mais plutôt comme un assistant qu’un remplaçant pour les pentesteurs. L’IA automatise certains aspects du travail de sécurité, notamment dans les outils de défense comme Sentinel pour l’analyse de logs. Cependant, Martin et l’animateur s’accordent sur le fait que l’IA reste un multiplicateur de force nécessitant une direction humaine, particulièrement en Red Team et pentest. Expérimentations mémorables Le podcast évoque plusieurs expérimentations marquantes, notamment les CTF avec des maquettes physiques comme le barrage hydroélectrique de 2013, précurseur des préoccupations actuelles sur la sécurité IoT et OT. Ces innovations visuelles permettaient aux non-participants de comprendre concrètement ce qu’était le hacking. L’expérience la plus mémorable reste les éditions “taupes” : des CTF 12 vs 12 ou 20 vs 20 où certains participants étaient secrètement des espions pour l’équipe adverse, simulant l’espionnage industriel. Ces expérimentations, bien que créatrices de “drama”, démontraient l’importance de prendre des risques calculés pour innover. Communauté et networking professionnel Un aspect crucial souligné est la valeur du réseau professionnel créé par ces événements. La communauté cybersécurité québécoise, bien que pas nécessairement composée d’amis proches, forme un réseau où chacun connaît les autres et peut interagir facilement. Cette connectivité s’avère particulièrement précieuse lors des transitions de carrière ou des périodes de recherche d’emploi. Cette dimension communautaire devient encore plus importante dans le contexte économique actuel, où les restrictions budgétaires entraînent des licenciements même dans le secteur technologique traditionnellement stable. Gestion des risques et culture d’apprentissage La conversation aborde la culture du risque et de l’erreur dans la communauté. Martin prône une approche permettant l’expérimentation et l’erreur, créant un “safe space” pour les bénévoles. Il partage un exemple récent où un bénévole a rencontré des difficultés opérationnelles, et comment son expérience lui a permis d’accompagner cette personne pour désamorcer le stress et trouver une solution. Cette philosophie s’oppose à l’élitisme parfois présent dans la communauté cybersécurité. Les deux interlocuteurs s’accordent sur l’importance de permettre aux nouveaux arrivants de faire des erreurs et d’apprendre, condition essentielle pour éviter la stagnation communautaire et favoriser l’inclusion. Réflexions sur l’humilité et l’évolution Le podcast se termine sur une note d’humilité, évoquant comment Olivier (probablement le président sortant de NorthSec) a publiquement reconnu avoir peut-être poussé trop fort ses équipes de bénévoles vers la perfection. Cette reconnaissance publique illustre la maturité croissante de la communauté et l’importance de l’équilibre entre excellence et bienveillance. Martin partage également ses propres “blessures de guerre” professionnelles, ces erreurs passées qui, bien que parfois encore douloureuses, constituent un apprentissage précieux qu’il souhaite transmettre aux générations suivantes. Conclusion Ce podcast offre un regard privilégié sur l’évolution de la cybersécurité québécoise, montrant comment l’innovation, la prise de risques calculés et la construction communautaire ont façonné l’écosystème actuel. Il souligne l’importance de maintenir un équilibre entre excellence technique et bienveillance humaine, tout en continuant à expérimenter pour faire évoluer le domaine. L’expérience de Martin Dubé illustre parfaitement comment l’implication bénévole peut catalyser une carrière professionnelle tout en contribuant significativement au développement d’une communauté technique dynamique et inclusive. Collaborateurs Nicolas-Loïc Fortin Martin Dubé Crédits Montage par Intrasecure inc Locaux réels par Northsec

  --------  

  27:30

  --------

  27:30
• Spécial - Outrunning the Red Queen - Analysis of Ransomware Scripts - Parce que... c'est l'épisode 0x605!

  Parce que… c’est l’épisode 0x605! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Dans cet épisode spécial du podcast enregistré lors de l’événement Cyberco, l’animateur reçoit Vicky Desjardins, candidate au doctorat en criminologie à l’Université de Montréal et spécialiste en réponse à incident. Vicky présente les résultats de sa recherche de cinq années sur les rançongiciels, offrant une perspective unique qui combine criminologie et cybersécurité. Parcours et motivation de la recherche Vicky a débuté sa thèse avant la pandémie, cherchant à comprendre pourquoi les défenseurs semblaient toujours surpris et en mode réaction face aux attaques de rançongiciels. Malgré son manque initial d’expertise technique, elle était déterminée à contribuer à résoudre ce problème croissant. L’arrivée du Covid-19 a considérablement amplifié l’ampleur du phénomène qu’elle étudiait. Son expérience dans l’industrie a transformé sa perspective de recherche. Elle a réalisé qu’il existait souvent un fossé important entre la recherche académique et la réalité terrain. Cette prise de conscience l’a amenée à adopter une approche différente, se concentrant non pas sur ce qui change constamment dans les techniques d’attaque, mais plutôt sur les éléments stables et prévisibles du comportement criminel. Approche criminologique des rançongiciels L’originalité de la recherche de Vicky réside dans son approche criminologique. Plutôt que de se concentrer uniquement sur les aspects techniques qui évoluent rapidement, elle a choisi d’analyser les comportements humains sous-jacents aux attaques. Sa philosophie est que les techniques ne sont que des outils utilisés par des humains pour commettre des actes criminels. Cette perspective lui a permis de découvrir que les attaques de rançongiciels sont beaucoup moins sophistiquées qu’on pourrait le croire. En réalité, la plupart peuvent être exécutées en quelques lignes de commande une fois l’accès obtenu. Cette simplicité contraste avec l’image de tours de magie technologiques souvent véhiculée dans les médias. Constats sur la simplicité des attaques L’un des enseignements les plus marquants de sa recherche concerne la banalité technique des attaques. Vicky observe que les méthodes utilisées aujourd’hui sont essentiellement identiques à celles d’il y a six ans. Les attaquants utilisent toujours la même approche : ils “se tapent la tête” sur différents systèmes jusqu’à ce qu’ils trouvent une faille exploitable. La principale évolution qu’elle note est l’augmentation de la spécialisation des tâches. Alors qu’auparavant, un même attaquant gérait l’ensemble du processus, on observe maintenant une séparation entre ceux qui obtiennent l’accès initial (Initial Access Brokers) et ceux qui mènent l’attaque finale. Cette fragmentation n’augmente cependant pas la complexité technique fondamentale des attaques. Problèmes de base en cybersécurité Vicky souligne que beaucoup d’organisations investissent massivement dans des produits de cybersécurité sophistiqués sans maîtriser les fondamentaux. Elle observe fréquemment des entreprises qui possèdent des outils avancés mais mal déployés ou mal configurés, parfois même pas mis en place du tout. Sa première question lors d’interventions de réponse à incident est révélatrice : “Savez-vous ce que vous avez dans votre environnement ?” La réponse est souvent approximative, ce qui illustre le problème fondamental. Sans une connaissance précise de son infrastructure et une configuration appropriée des éléments de base, les investissements en cybersécurité perdent leur efficacité. Dépendance des attaquants à l’infrastructure des victimes L’une des découvertes les plus importantes de la recherche concerne la forte dépendance des attaquants vis-à-vis de l’infrastructure des victimes. Cette observation est cruciale car elle identifie un point de contrôle pour les défenseurs. Contrairement aux outils d’attaque qu’on ne peut pas contrôler, l’infrastructure appartient à l’organisation et peut être configurée de manière à compliquer considérablement le travail des attaquants. Cette dépendance se manifeste dans tous les aspects de l’attaque : reconnaissance, mouvement latéral, élévation de privilèges, et exfiltration de données. En rendant l’infrastructure moins “accueillante” pour les attaquants, on peut augmenter significativement la difficulté de leurs opérations. Importance critique des comptes valides Les comptes valides représentent la technique la plus stable et la plus utilisée dans l’arsenal des attaquants de rançongiciels. Vicky les observe à toutes les étapes du processus d’attaque : entrée initiale, évasion des défenses, reconnaissance interne, élévation de privilèges, persistance, et mouvement latéral. Cette omniprésence des comptes valides dans les attaques souligne l’importance cruciale de repenser complètement la gestion des accès. Il ne s’agit plus seulement d’appliquer le principe de moindre privilège, mais d’adopter une approche beaucoup plus granulaire et contextuelle. Recommandations pour la gestion des accès Vicky propose une approche révolutionnaire de la gestion des accès basée sur plusieurs dimensions. D’abord, une segmentation par groupes d’employés avec des accès spécifiques à leurs besoins réels, pas théoriques. Ensuite, l’implémentation de restrictions temporelles : la plupart des employés ne travaillent pas après 21h, leurs comptes ne devraient donc pas avoir accès aux systèmes critiques durant ces heures. Elle suggère également des restrictions géographiques, bloquant les connexions depuis des emplacements non autorisés. Ces mesures forcent les attaquants à opérer dans des créneaux temporels et géographiques spécifiques, compliquant considérablement leurs opérations et potentiellement les décourageant de cibler l’organisation. Cibles privilégiées des attaquants L’analyse révèle que certains éléments de l’infrastructure sont systématiquement ciblés. Les antivirus et firewalls sont désactivés par des scripts automatisés. Les solutions de détection (EDR) voient leurs configurations modifiées. L’Active Directory et les contrôleurs de domaine sont particulièrement visés car ils donnent accès à des privilèges étendus. Le cloud est devenu une cible majeure depuis 2020, coïncidant avec la migration massive due à la pandémie. Les services d’accès distant (VPN, bureaux à distance) constituent des portes d’entrée privilégiées. Ces observations permettent de prioriser les efforts de sécurisation sur les éléments les plus à risque. Stratégies d’évasion et de dissimulation Les attaquants investissent énormément d’efforts dans l’évasion de la détection plutôt que dans la sophistication technique. Leur avantage principal réside dans leur capacité à rester indétectés le plus longtemps possible avant de révéler leur présence. Vicky observe de nombreuses techniques de brouillage du trafic réseau, rendant la détection difficile dans le volume normal des communications. Cette approche furtive explique pourquoi une détection précoce peut transformer radicalement la dynamique de l’incident, forçant les attaquants à opérer sous pression et à commettre des erreurs. Aspects comportementaux et motivations L’approche criminologique révèle des aspects souvent négligés. Les attaquants ont des vies personnelles et des contraintes temporelles. Beaucoup opèrent selon des horaires de travail normaux dans leur fuseau horaire. Cette humanisation des attaquants ouvre des possibilités de défense basées sur l’analyse comportementale. Concernant les motivations, au-delà de l’aspect financier évident des rançongiciels, Vicky identifie des problématiques plus subtiles comme les Initial Access Brokers qui vendent des accès pour des sommes dérisoires. Ces cas révèlent souvent des motivations personnelles (frustration professionnelle, problèmes financiers personnels) plutôt que purement lucratives. Méthodologie multidisciplinaire La force de cette recherche réside dans son approche multidisciplinaire, combinant écologie, économie, criminologie et technique. Cette convergence permet de créer une nouvelle chaîne d’attaque (kill chain) basée sur les techniques les plus fréquemment observées, offrant des points d’intervention plus précis. L’approche évite l’écueil de la sur-sophistication des menaces. Plutôt que de se préparer contre des groupes APT ultra-sophistiqués qui ciblent rarement les PME, elle encourage une évaluation réaliste des menaces appropriées à chaque organisation. Impact de la spécialisation criminelle L’évolution vers une spécialisation des rôles dans l’écosystème criminel reflète une professionnalisation du secteur. Les Initial Access Brokers se spécialisent dans l’obtention d’accès qu’ils revendent ensuite. Cette séparation des tâches, bien qu’augmentant l’efficacité globale, crée aussi de nouveaux points de vulnérabilité dans la chaîne criminelle. Le marché des accès révèle des prix parfois dérisoires, suggérant que certains vendeurs sont motivés par autre chose que le profit pur. Cette réalité soulève des questions importantes sur la gestion des risques internes et la satisfaction des employés ayant accès à des systèmes critiques. Recommandations stratégiques La recherche aboutit à des recommandations pragmatiques centrées sur le “security by design”. Il s’agit de repenser fondamentalement l’architecture de sécurité plutôt que d’ajouter des couches successives de protection. Cette approche reconnaît qu’il n’est jamais trop tard pour réviser ses configurations de base. L’objectif n’est pas de créer une forteresse impénétrable, mais de rendre l’environnement suffisamment “ennuyeux” ou difficile pour décourager les attaquants opportunistes. Dans l’esprit de Vicky, “le meilleur truc en cybersécurité, c’est juste être plus embêtant que quelqu’un d’autre”. Cette philosophie pragmatique reconnaît les limites des ressources et se concentre sur l’efficacité maximale avec les moyens disponibles, privilégiant une approche de risque proportionné plutôt que de protection absolue. Collaborateurs Nicolas-Loïc Fortin Vicky Desjardins Crédits Montage par Intrasecure inc Locaux réels par Cybereco

  --------  

  36:23

  --------

  36:23
• Teknik - Al Trust - Apprentissage automatique - Détection des modèles empoisonnés après entrainement - Parce que... c'est l'épisode 0x604!

  Parce que… c’est l’épisode 0x604! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Introduction et présentation de l’expert Dans cet épisode spécial de “Police Sécure Cyber Éco”, Emmanuel Christian Nternanya, expert en cybersécurité d’origine congolaise, présente ses recherches révolutionnaires sur la détection de l’empoisonnement de modèles d’intelligence artificielle. Certifié CISSP avec plus d’une décennie d’expérience dans l’industrie informatique depuis 2012 et cinq années spécialisées en cybersécurité, Emmanuel apporte une expertise technique approfondie à un sujet critique pour l’avenir de l’IA. Le problème de l’empoisonnement des modèles d’IA L’empoisonnement de modèles d’IA représente une menace sophistiquée et souvent invisible. Contrairement à l’expérience utilisateur simplifiée que nous connaissons avec ChatGPT ou d’autres interfaces conversationnelles, la réalité technique est bien plus complexe. Chaque modèle d’IA possède un “cerveau” qui doit être entraîné avec des données pour acquérir ses capacités de prédiction et de classification. Le principe fondamental est simple mais préoccupant : si un modèle est entraîné avec des données corrompues indiquant que 1+1=3, il reproduira fidèlement cette erreur. Les modèles d’IA ne font que reproduire ce qu’ils ont appris, sans capacité de discernement critique. Cette vulnérabilité ouvre la porte à des attaques sophistiquées où des adversaires peuvent corrompre intentionnellement les données d’entraînement. La recherche d’Emmanuel démontre qu’il suffit parfois de contaminer seulement 1% des données d’entraînement pour réussir à modifier significativement le comportement d’un modèle. Cette découverte est particulièrement alarmante car elle révèle qu’une intervention minimale peut avoir des conséquences majeures, tout en restant pratiquement indétectable par les méthodes conventionnelles. La solution innovante : le “docteur” en IA Face à cette menace, l’équipe d’Emmanuel a développé une approche révolutionnaire : créer un “docteur” spécialisé dans le diagnostic des modèles d’IA. Ce système de détection peut identifier si un modèle a été empoisonné en analysant uniquement ses poids internes, sans avoir accès aux données d’entraînement originales. La méthodologie de recherche s’appuie sur une approche rigoureuse et extensive. L’équipe a créé 1000 ensembles de données d’entraînement soigneusement vérifiés et non contaminés, puis a entraîné 1000 modèles correspondants. Parmi ces modèles, les 950 présentant les meilleures performances ont été sélectionnés pour l’analyse approfondie. Le processus d’analyse se concentre sur l’architecture des réseaux de neurones convolutifs, particulièrement sur les trois couches denses et la couche de classification finale utilisant une fonction sigmoïde. Chaque couche contient des neurones qui apprennent et retiennent l’information sous forme de poids, des valeurs numériques représentant la connaissance acquise par le modèle. La transformation des poids en images diagnostiques L’innovation majeure réside dans la transformation des poids du modèle en images analysables. Emmanuel explique que les poids d’un modèle varient généralement entre -1 et 1, des valeurs difficiles à interpréter directement. L’équipe a développé un algorithme propriétaire capable de convertir ces poids en valeurs d’intensité d’image (de 1 à 255), créant ainsi des représentations visuelles des états internes du modèle. Cette approche s’inspire de l’imagerie médicale : tout comme un cerveau humain peut être analysé par radiographie, le “cerveau” d’un modèle d’IA peut être “radiographié” en convertissant ses poids en images. Cette analogie n’est pas qu’une métaphore ; elle constitue la base technique de leur méthode de diagnostic. Le système utilise deux docteurs spécialisés, chacun entraîné sur des images de dimensions différentes extraites de couches distinctes du modèle analysé. Le premier docteur analyse des images de 100x100 pixels, tandis que le second traite des images de 200x200 pixels. Cette approche multicouche permet une analyse plus complète et nuancée des modèles suspects. L’apprentissage d’ensemble et les performances La combinaison des deux docteurs spécialisés à travers l’apprentissage d’ensemble (ensemble learning) produit un diagnostic final plus précis que chaque docteur individuellement. Cette synergie permet d’atteindre des taux de réussite impressionnants de 98% à 99% dans la détection des modèles empoisonnés. La validation de ces performances s’effectue sur des modèles que les docteurs n’ont jamais vus pendant leur entraînement. L’équipe utilise des bases de données publiques reconnues comme MNIST Fashion et des données de plaques d’immatriculation disponibles publiquement. Cette approche garantit l’objectivité des résultats et la capacité de généralisation du système. Les défis de la détection à faible contamination Cependant, la détection devient plus complexe lorsque le niveau de contamination diminue. À 1% de contamination, le taux de réussite chute à 77%, révélant les limites actuelles de la technologie. Cette limitation est critique car les adversaires sophistiqués privilégieront naturellement des niveaux de contamination faibles pour éviter la détection. Emmanuel explique que l’amélioration de ces performances nécessite l’optimisation des hyperparamètres et l’exploration de nouvelles techniques d’apprentissage automatique. Néanmoins, il souligne un aspect rassurant : l’analyse du rapport signal/bruit révèle que les modèles empoisonnés à très faible niveau présentent souvent un bruit supérieur de 4% aux modèles sains, les rendant potentiellement inutilisables en pratique. Applications critiques et enjeux sociétaux L’importance de cette recherche transcende les aspects purement techniques. Emmanuel souligne les applications critiques où l’empoisonnement de modèles pourrait avoir des conséquences dramatiques : détection de cancer, diagnostic médical, reconnaissance de plaques d’immatriculation pour les systèmes de sécurité routière. Il illustre ces risques par un exemple concret : un modèle empoisonné de reconnaissance de plaques pourrait identifier incorrectement le véhicule d’un délinquant en fuite, envoyant la convocation à une personne innocente. Ces erreurs ne sont pas de simples dysfonctionnements techniques, mais des failles de sécurité aux conséquences sociales et judiciaires importantes. L’écosystème d’IA et ses vulnérabilités Un aspect particulièrement préoccupant concerne l’écosystème actuel de l’IA. De nombreuses applications utilisent des APIs payantes comme celle de ChatGPT sans vérification de l’intégrité des modèles sous-jacents. Les développeurs intègrent ces services par confiance, sans moyens de vérifier si les modèles ont été compromis. Cette situation crée une chaîne de vulnérabilités où la contamination d’un modèle central peut affecter des milliers d’applications dérivées. L’objectif d’Emmanuel est de fournir des outils forensiques permettant de vérifier l’intégrité des modèles avant leur mise en production, même sans accès complet au modèle original. Perspectives et développements futurs La recherche continue d’évoluer vers une meilleure adaptation aux différentes architectures de modèles. L’équipe développe des algorithmes capables d’ajuster automatiquement l’analyse en fonction de l’architecture spécifique de chaque modèle testé, améliorant ainsi la précision et la polyvalence du diagnostic. Les travaux s’étendent également vers l’analyse de modèles publics disponibles sur des plateformes comme Hugging Face, bien que cette phase n’ait pas encore été complètement mise en œuvre. Cette extension permettrait de cartographier la prévalence réelle de l’empoisonnement dans l’écosystème d’IA public. Conclusion et mission de sensibilisation Au-delà des aspects techniques, Emmanuel porte une mission de sensibilisation cruciale. Il cherche à éveiller les consciences sur l’existence réelle des modèles empoisonnés et leurs implications. Alors que l’adoption de l’IA s’accélère dans tous les secteurs, la compréhension de ces vulnérabilités devient essentielle pour un déploiement sécurisé. Cette recherche représente une contribution significative à la sécurisation de l’écosystème d’intelligence artificielle, offrant des outils concrets pour détecter et prévenir les attaques par empoisonnement de modèles, tout en sensibilisant la communauté aux enjeux critiques de sécurité dans l’ère de l’IA généralisée. Collaborateurs Nicolas-Loïc Fortin Christian Emmanuel Nteranya Crédits Montage par Intrasecure inc Locaux réels par Cybereco

  --------  

  25:58

  --------

  25:58

Plus de podcasts Technologies

Podcasts tendance de Technologies

À propos de PolySécure Podcast