PolySécure Podcast

Parce que… c’est l’épisode 0x723!

Préambule

Nous sommes à la Cage durant un match des Canadiens. Le bruit ambiant a fait que nous parlons en “criant”, pour nous entendre. Le lendemain, je n’avais plus de voix.

Shameless plug

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Un retour après une longue absence

C’est avec une certaine nostalgie que j’accueille Nicolas Bédard, un invité régulier qui avait mystérieusement disparu des ondes pendant plusieurs mois. La raison de cette absence ? Un changement de carrière majeur qui a bousculé son quotidien et rendu toute planification d’enregistrement pratiquement impossible. Entre les décalages de calendrier, les voyages et les nouvelles responsabilités à apprivoiser, les deux complices n’avaient tout simplement pas réussi à se retrouver devant un micro. Mais Nicolas est de retour, et il a beaucoup à raconter.

Cinq ans chez Google : de l’imposter syndrome aux 20 %

Tout commence en août 2020, quand Nicolas rejoint Google en pleine pandémie, parmi une cohorte de 10 000 nouvelles recrues embauchées simultanément. L’imposter syndrome le frappe de plein fouet. Comment se démarquer dans une entreprise peuplée de talents exceptionnels ? Sa réponse : trouver une niche où son expérience passée peut faire une différence.

Connaissant bien Palo Alto Networks de ses vies professionnelles antérieures, Nicolas remarque un courriel interne annonçant le lancement d’un nouveau produit, Cloud IDS. Il contacte directement le gestionnaire de produit pour offrir son aide. C’est ainsi que naît son premier projet à 20 %.

La règle des 20 % est une particularité culturelle bien connue de Google : chaque employé a le droit de consacrer 20 % de son temps de travail à un projet annexe, à condition que celui-ci apporte de la valeur à la compagnie ou à la société. C’est d’ailleurs ce principe qui aurait mené à la création de Gmail. Pour Nicolas, cette liberté devient un levier de croissance personnelle et professionnelle remarquable.

Pendant quatre ans, il consacre ce temps à renforcer l’alliance stratégique entre Google et Palo Alto Networks, deux géants dont le partenariat commercial est l’un des plus importants dans l’industrie de la cybersécurité. Il co-présente des produits lors de conférences comme Google Next, développe une expertise pointue sur les intégrations conjointes, et gagne en visibilité des deux côtés de l’alliance. Son 20 % devient, en quelque sorte, son véritable terrain de passion.

Le moment décisif : convertir le 20 % en 100 %

Après avoir tenté sans succès d’obtenir un poste dédié à cette alliance à l’intérieur même de Google, Nicolas pivote vers l’équipe Google Cloud Security (GCS) pour ses six derniers mois dans l’entreprise. C’est alors qu’il reçoit un texto inattendu de la personne responsable de l’alliance Google-Palo : un poste s’ouvre chez Palo Alto Networks pour prendre en charge tout l’enablement technique lié aux fournisseurs infonuagiques. Son nom a été mentionné. L’offre ? Transformer son ancien 20 % en 100 % de son travail.

La décision n’est pas difficile à prendre. Bien que les produits de Google soient de grande qualité, Nicolas constate lors de ses discussions avec des clients que des angles morts existent dans l’offre de sécurité. Les entreprises ne vivent pas exclusivement dans un seul environnement infonuagique : elles jonglent entre des charges de travail on-premises, AWS, Azure, Google Cloud et Oracle Cloud. Palo Alto Networks, en tant que pure player de la cybersécurité, possède cet avantage de la spécialisation que ne peut pas toujours offrir un généraliste comme Google, si bon soit-il.

Un nouveau rôle centré sur la valeur, sans pression de vente

Ce qui enthousiasme particulièrement Nicolas dans son nouveau poste, c’est l’abandon du quota de vente. Fini la pression commerciale mensuelle : il peut désormais enfiler son chapeau de formateur et se concentrer sur la transmission de la connaissance. Son équipe de quatre personnes se structure autour de quatre missions principales :

L’intégration de produits, pour s’assurer que les solutions conjointes Palo-Google fonctionnent de façon fluide et cohérente ;

La création de sales plays, des guides qui permettent aux équipes de vente de bien articuler la valeur des produits devant les clients ;

L’enablement, qui passe par des conférences, des webinaires, des architectures de référence et des démonstrations techniques ;

Le soutien aux équipes commerciales, qui garde Nicolas connecté à la réalité du terrain sans qu’il soit lui-même sous pression de résultats.

L’alliance Google-Palo Alto : une symbiose technique profonde

L’intégration entre les deux entreprises va bien plus loin qu’un simple partenariat commercial. La quasi-totalité des produits de Palo Alto Networks tourne aujourd’hui sur l’infrastructure de Google Cloud. Certains produits Google, comme Cloud IDS ou Cloud NGFW Enterprise, sont en réalité propulsés par la technologie de Palo Alto en dessous. Des utilisateurs de Prisma Access, l’outil SASE de Palo, traversent l’infrastructure de Google à chaque connexion VPN sans nécessairement le savoir. L’alliance permet également des optimisations réseau avancées, comme l’appairage natif entre Prisma Access et Google Cloud via le Network Connectivity Center.

L’intelligence artificielle : le prochain grand terrain de jeu

La conversation s’oriente naturellement vers l’IA, sujet incontournable du moment. Nicolas identifie deux enjeux majeurs pour les entreprises qui adoptent ces technologies : la consistance des résultats (les modèles d’IA ne sont pas déterministiques comme un formulaire web) et, en second lieu, la sécurité. Les grands fournisseurs infonuagiques développent des modèles de pointe, mais ils sont moins bien équipés pour gérer des problématiques comme la prévention des fuites de données (DLP), la protection contre le prompt injection ou la sécurisation des pipelines IA. C’est exactement là que Palo Alto Networks intervient en complémentarité, comme en témoigne l’annonce récente d’une intégration de Prisma AIRS directement dans Microsoft Copilot.

Un virage vers la souveraineté numérique

En guise de conclusion, Nicolas évoque brièvement le thème de la souveraineté numérique, sujet d’autant plus brûlant dans le contexte géopolitique actuel. Les organisations cherchent à reprendre le contrôle de leurs données, à réduire leur dépendance envers des infrastructures étrangères et à explorer les options de nuage souverain. Un vaste sujet que les deux complices promettent d’explorer en profondeur lors d’un prochain épisode, avec Nicolas qui se retrouve, cette fois-ci, aux premières loges de cette transformation.

Collaborateurs

Nicolas-Loïc Fortin

Nicolas Bédard

Crédits

Montage par Intrasecure inc

Locaux réels par La Cage - Complexe Desjardins

Parce que… c’est l’épisode 0x722!

Shameless plug

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Nouveautés de Boost Security Labs

François Proulx commence l’épisode en faisant le point sur les développements récents de son équipe. Boost Security a procédé à une refonte de son site web afin de distinguer clairement l’entreprise commerciale de son équipe de recherche, désormais appelée Boost Security Labs, accessible à l’adresse labs.security. Ce nouveau site centralise les articles, outils et références produits par les chercheurs.

François mentionne également un article publié fin 2025 intitulé Defensive Research Weaponized — 2025 State of Pipeline Security, qui dressait un bilan de l’année et anticipait les types d’attaques qui se sont effectivement concrétisées depuis. L’équipe sera de retour à NorthSec cette année avec un nouveau talk et surtout un nouvel outil baptisé Smoke Meat — fidèle à la thématique culinaire montréalaise de l’équipe. Cet outil se veut le « Metasploit des pipelines CI/CD » : là où Poutine (leur outil d’analyse statique) détecte les vulnérabilités dans les pipelines de build, Smoke Meat permettra de les exploiter de manière semi-autonome, en proposant un menu d’options à l’utilisateur.

Un troisième outil est aussi annoncé : Bagel, un utilitaire défensif qui tourne entièrement hors ligne et analyse la posture de sécurité des laptops de développeurs et administrateurs. Il détecte les mauvaises configurations locales — clés SSH non chiffrées, tokens hardcodés dans des scripts, etc. — pour limiter les dégâts en cas d’infection par un logiciel de type info stealer (ou « kleptogiciel », selon la terminologie de l’équipe Flare).

L’attaque Hackerbot Claw : une offensive automatisée sur les pipelines CI/CD

Sébastien Graveline prend ensuite la parole pour détailler une attaque survenue le 27 février, impliquant un agent automatisé qui a ciblé plusieurs grands projets open source. Au moins quatre projets ont été confirmés comme exploités. Ce qui rend cette attaque particulièrement notable, c’est qu’il s’agit d’un agent IA attaquant d’autres systèmes intégrant de l’IA dans leurs pipelines — un scénario que les chercheurs qualifient, avec un certain humour noir, de « bienvenue en 2026 ».

L’équipe s’est concentrée notamment sur Aqua Security Trivy, un projet comptant plus de 25 000 étoiles sur GitHub. L’une des conséquences directes de l’attaque a été que le dépôt a été rendu privé ou supprimé, compliquant considérablement le travail d’investigation forensique.

La piste de MégaGame : remonter le fil de l’attaque

En examinant les discussions GitHub autour de l’incident, l’équipe repère une pull request (PR #10252) ouverte environ cinq heures avant la première attaque de Hackerbot, puis rapidement supprimée — un fait que personne d’autre n’avait mentionné dans les analyses publiées. L’utilisateur à son origine avait lui aussi été supprimé.

Grâce à Trat Hunter, leur outil de surveillance en temps réel des événements GitHub, les chercheurs identifient l’acteur derrière cette PR : un utilisateur qu’ils surnomment Méga Game, dont le compte datait de début janvier. En remontant plus loin, ils trouvent qu’une tentative d’attaque similaire avait été détectée un mois auparavant sur ce qui semble être un dépôt de test.

Forensique sur GitHub : fork networks et gists supprimés

L’investigation se heurte à un obstacle de taille : le dépôt Trivy ayant été supprimé ou rendu privé, il n’est plus possible de cloner directement la version du commit exploité. C’est ici qu’entre en jeu un comportement peu connu de GitHub : lorsqu’un dépôt est supprimé, le fork network ne disparaît pas pour autant. Le plus ancien fork existant hérite automatiquement du rôle de racine du réseau, et l’intégralité des commits de tous les forks reste accessible tant qu’il reste au moins un fork vivant.

L’équipe retrouve ainsi un fork avec une seule étoile mais… 3 000 forks rattachés, devenu malgré lui le patriarche de l’arbre. Cela leur permet de récupérer le payload de Méga Game, qui consiste en une exploitation d’action GitHub locale (local GitHub action exploit) : le workflow checkout le code de l’attaquant, puis exécute une action locale redéfinie par ce dernier — une variante classique du untrusted checkout.

L’exploitation finale repose sur un curl pipe bash pointant vers un gist GitHub privé (mais non authentifié). Les chercheurs découvrent qu’il est possible de cloner un gist supprimé par son identifiant unique, à condition d’être authentifié sur GitHub — peu importe que ce soit le créateur original ou non. Un comportement probablement lié à la gestion du CDN de GitHub, qui conserve les objets tant qu’un garbage collection n’a pas eu lieu.

L’essor des attaques automatisées sur les CI/CD

L’épisode se conclut sur une réflexion plus large. Les attaques sur les pipelines CI/CD sont en croissance exponentielle, car ces environnements donnent accès à des ressources cloud critiques et que les secrets y sont souvent mal scopés. Dans le cas de Trivy, un simple workflow de commentaires a suffi à obtenir des droits administrateurs sur le projet.

Face à cela, les recommandations sont claires : rouler des outils de détection comme Poutine, appliquer le principe de défense en profondeur (secrets correctement scopés, limitation des outils accessibles aux agents IA), et ne jamais oublier qu’un projet public est ouvert non seulement au téléchargement, mais aussi à l’attaque. L’équipe mentionne également des cas où Claude a détecté des tentatives de prompt injection et a correctement refusé d’exécuter les actions demandées — une lueur d’espoir dans un tableau par ailleurs assez sombre.

Notes

MegaGame10418: A Throwaway Account Linked to the Hackerbot-Claw Attack

Nouveau site de Boostsecurity Labs

Defensive Research, Weaponized: The 2025 State of Pipeline Security

Collaborateurs

Nicolas-Loïc Fortin

Sébastien Graveline

François Proulx

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x721!

Shameless plug

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Introduction : qu’est-ce que le shadow IT ?

Dans cet épisode du podcast, Cyndie Feltz, Nicolas Milot et Dominique Derrier abordent un sujet omniprésent dans les entreprises, mais souvent méconnu : le shadow IT. Le terme désigne l’utilisation d’outils, de logiciels ou de périphériques non approuvés par le département des technologies de l’information (TI), dans un contexte professionnel. Il ne s’agit pas uniquement d’apporter son propre appareil au bureau (bring your own device), mais aussi d’installer des applications sur un poste de travail fourni par l’entreprise sans avoir obtenu l’aval de l’équipe TI.

L’exemple classique ? L’employé qui télécharge un convertisseur PDF gratuit trouvé sur Internet parce qu’il avait un problème avec son lecteur PDF habituel. Ce geste, anodin en apparence, illustre bien la nature du phénomène : il n’y a aucune mauvaise intention derrière, seulement un besoin pratique à combler rapidement.

Une question de besoin, pas de malveillance

L’un des points centraux de la discussion est que le shadow IT naît rarement d’une volonté de nuire. Les employés adoptent des outils non autorisés parce qu’ils veulent simplement faire leur travail efficacement. Ils connaissent un logiciel, ils ont l’habitude de l’utiliser, ou encore ils se retrouvent dans une situation d’urgence — il est 17 h 50, la présentation doit être envoyée dans dix minutes, et l’équipe TI est injoignable. La solution de facilité s’impose alors naturellement, sans que la personne mesure les risques auxquels elle expose son organisation.

Comme le soulignent les intervenants, l’être humain a horreur du vide. Lorsqu’un outil manque, il trouve une alternative, qu’on lui ait dit ou non de ne pas le faire. Une politique de refus systématique, sans solution de remplacement proposée, ne résout rien : les employés contournent l’interdiction de toute façon.

Les risques concrets pour l’entreprise

Le vrai problème avec le shadow IT, c’est qu’il échappe à toutes les mesures de sécurité mises en place par l’entreprise. Ces mesures existent précisément pour réduire les risques ; or, un logiciel installé en dehors des processus officiels ne bénéficie d’aucune de ces protections.

Les intervenants soulèvent plusieurs types de risques :

Les vulnérabilités logicielles non corrigées. Quand un logiciel est installé par un employé sans passer par les canaux officiels (Intune, GPO, etc.), l’équipe TI n’est souvent même pas au courant de son existence. Elle ne peut donc pas en assurer la maintenance ni les mises à jour. Le cas de VLC est cité en exemple : un employé l’installe pour lire des vidéos, l’oublie pendant trois ans, et entre-temps le logiciel accumule des failles de sécurité (zero-days) jamais corrigées. Pour un testeur d’intrusion comme Nicolas, c’est une aubaine ; pour l’entreprise, c’est une porte ouverte aux attaquants.

Les problèmes de licences. Certains logiciels sont soumis à des licences commerciales. Si un employé installe un tel outil sans que l’entreprise l’ait acheté, elle s’expose à des redressements financiers parfois très coûteux, pour un logiciel utilisé une seule fois et oublié.

Le shadow AI. Le phénomène s’étend désormais à l’intelligence artificielle. Les intervenants posent la question directement : si une entreprise n’a pas encore officiellement adopté un outil d’IA ni établi de directives à ce sujet, croit-elle vraiment que ses employés n’utilisent pas l’IA ? La réponse est non. Pire encore : même sans utiliser directement un outil d’IA, les employés se servent souvent de logiciels qui intègrent de l’IA en arrière-plan. La question n’est donc plus de savoir si l’IA est utilisée dans l’entreprise, mais comment l’encadrer.

Comment s’en prémunir ?

Les intervenants s’accordent sur plusieurs pistes concrètes pour limiter le phénomène.

Anticiper les besoins. La meilleure façon d’éviter que les employés cherchent leurs propres solutions, c’est de leur fournir les bons outils avant qu’ils en ressentent le besoin. Le département TI doit adopter une posture proactive et proposer des alternatives officielles aux logiciels populaires.

Limiter les droits d’administration. S’assurer que les employés ne sont pas administrateurs locaux sur leur poste de travail est une première étape importante. Cela ne résout pas tout, mais complique considérablement l’installation sauvage de logiciels.

Favoriser la communication. Il est crucial de créer un environnement où les employés se sentent à l’aise de signaler leurs besoins en matière d’outils, sans craindre un refus automatique ou une réaction négative. Quand un employé demande à son équipe TI s’il peut utiliser tel logiciel, c’est déjà un pas dans la bonne direction : il faut encourager et cultiver ce réflexe.

Inclure les TI dans l’adoption de nouveaux outils. Chaque fois qu’un département envisage d’adopter un nouveau logiciel — qu’il soit destiné à la facturation, à l’ingénierie ou à la gestion de projets — l’équipe TI doit être impliquée dès le départ, pas après coup.

Faire un inventaire des applications installées. Pour les entreprises qui font appel à un fournisseur de services managés (MSP), il est recommandé de lui demander un inventaire complet des applications présentes sur les postes de travail. Cet exercice réserve souvent de mauvaises surprises, mais il constitue un point de départ indispensable pour reprendre le contrôle.

Conclusion : un problème humain avant tout

Le shadow IT est un problème complexe, et il l’est d’autant plus que l’entreprise grandit. En PME, la pression de la rapidité et l’absence de processus formels amplifient le phénomène. Mais au fond, c’est avant tout un enjeu humain et communicationnel. Sensibiliser les employés aux risques, leur offrir des alternatives adaptées à leurs besoins et instaurer une culture de dialogue ouverte entre les équipes métier et l’équipe TI : voilà les piliers d’une approche réaliste et efficace face au shadow IT — et à tous ses avatars, du shadow hardware au shadow AI.

Collaborateurs

Nicolas-Loïc Fortin

Dominique Derrier

Cyndie Feltz

Nicholas Milot

Jordan Theodore

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x720!

Shameless plug

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Notes

IA

La chicane

OpenAI says Pentagon set ‘scary precedent’ binning Anthropic

How OpenAI caved to the Pentagon on AI surveillance

OpenAI Just Got Anthropic’s Pentagon Deal

Anthropic CEO Dario Amodei calls OpenAI’s messaging around military deal ‘straight up lies,’ report says

Altman said no to military AI – then signed Pentagon deal

Anthropic sues US over national security blacklist

Près de 900 employés de Google et OpenAI réclament des limites sur l’IA militaire




La sécurité qu’ils disent

Flaw-Finding AI Assistants Face Criticism for Speed, Accuracy

Claude Code Security vs. OpenAI Codex Security – AI Arms Race




Plus vite que la vérification

How Claude Code escapes its own denylist and sandbox

Claude Code deletes developers’ production setup, including its database and snapshots — 2.5 years of records were nuked in an instant

Your LLM Doesn’t Write Correct Code. It Writes Plausible Code.

Verification debt: the hidden cost of AI-generated code




Usage pas si sécuritaire

AI doctor’s assistant swayed to change scrips - researchers

New York Could Prohibit Chatbot Advice on Medical, Legal, and Engineering Questions




L’agent (Smith) de tous les chaos

Chrome Gemini Vulnerability Lets Attackers Access Victims’ Camera and Microphone Remotely

Critical OpenClaw Vulnerability Exposes AI Agent Risks

OpenClaw Incidents Show Why AI Adoption Pressure Puts Companies at Risk




The Panopticon Is Here: How the US Government Built an AI Superweapon for Social Control

How Deepfakes and Injection Attacks Are Breaking Identity Verification

CyberStrikeAI : cet outil dopé à l’IA automatise les cyberattaques

AI-generated art can’t be copyrighted after Supreme Court declines to review the rule

LLMs can unmask pseudonymous users at scale with surprising accuracy

Chardet : quand une IA réécrit un logiciel open source en cinq jours et change sa licence

elder-plinius/OBLITERATUS: OBLITERATE THE CHAINS THAT BIND YOU




La guerre, la guerre, c’est pas une raison pour se faire mal!

Attacks on GPS Spike Amid US and Israeli War on Iran

Iran’s cyberwar has begun

Israeli spies ‘hacked every traffic camera in Tehran to plot killing of Iran’s Ayatollah Ali Khamenei’

‘Hundreds’ of Iranian hacking attempts hit IP cameras

Businesses told to harden defenses amid Iran conflict risk

Kevin Beaumont: “If you’re wondering what I’m s…” - Cyberplace

Cyber Command disrupted Iranian comms, sensors, top general says

Top general spotlights cyber role in Iran conflict

Iran War Provides a Large-Scale Test for AI-Assisted Warfare

Hiding A Bomb In Plain Sight




Souveraineté ou tout ce que je peux faire sur mon terrain

Can Europe break free of Visa and Mastercard? MEPs stall digital euro

Office EU touts new European online productivity suite

Bureautique : l’Europe lance son alternative à Microsoft 365, mais utilise quand même Excel




Privacy ou tout ce qui devrait rester à la maison

Tire Pressure Systems in Toyota, Mercedes, and Other Major Car Brands Enable Silent Vehicle Tracking

Motorola’s new partnership with GrapheneOS

Meta’s AI Smart Glasses and Data Privacy Concerns: Workers Say “We See Everything”

Anonymous credentials: an illustrated primer

A new app alerts you if someone nearby is wearing smart glasses

TikTok says it won’t encrypt DMs claiming it puts users at risk

System76 on Age Verification Laws

X Users Find Their Real Names Are Being Googled in Israel After Using X Verification Software “Au10tix”

The banality of surveillance

Deveillance




Red ou tout ce qui est brisé

Le fisc sud-coréen publie carrément ses mots de passe crypto dans un communiqué de presse

Des outils de piratage d’iPhone conçus par les États-Unis finissent chez les cybercriminels

FBI targeted with ‘suspicious’ activity on its networks

900+ Certificates Used by Fortune 500, Governments Exposed by Key Leaks

FBI probing intrusion into system managing sensitive surveillance information




Blue ou tout ce qui améliore notre posture

How Vulnerable Are Computers to an 80-Year-Old Spy Technique? Congress Wants Answers

Reading White House President Trump’s Cyber Strategy for America

Merkley, Klobuchar Launch New Effort to Ban Federal Elected Officials Profiting from Prediction Markets




Insolites

Microsoft gets tired of “Microslop,” bans the word on its Discord, then locks the server after backlash




Collaborateurs

Nicolas-Loïc Fortin

Crédits

Montage par Intrasecure inc

Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x719!

Shameless plug

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Présentation de l’invitée

Geneviève Lajeunesse est une professionnelle en cybersécurité dont le parcours atypique — du design interactif et du jeu vidéo vers la protection des usagers — lui a forgé une perspective unique sur les enjeux humains derrière la technologie. Elle est cofondatrice d’un organisme à but non lucratif, l’AB 2038, qui offre un cadre d’intervention aux personnes victimes de violences technologiques, notamment dans des contextes de violence conjugale. Elle intervient également de façon bénévole auprès d’organismes variés : médias, banques, groupes communautaires.

La surface d’exposition : une réalité souvent sous-estimée

Le point de départ de la discussion est une réalité devenue incontournable : la surface de captation de données d’une personne ordinaire est aujourd’hui immense. La voiture connectée géolocalise ses occupants. La laveuse se branche au Wi-Fi. L’aspirateur intelligent cartographie le logement. Les lumières, la sonnette, le réfrigérateur — tout cela génère des données, souvent partagées entre conjoints sans qu’on y réfléchisse vraiment.

Ce qui rend cette réalité particulièrement préoccupante dans un contexte de violence conjugale, c’est que ces accès partagés ne disparaissent pas automatiquement lors d’une rupture. Un calendrier partagé oublié, un compte de véhicule conjoint non résilié, un abonnement Spotify encore lié — chacun de ces éléments peut devenir un vecteur de surveillance. La personne qui cherche à contrôler n’a pas besoin d’être un expert en informatique : elle a juste besoin de conserver l’accès à des outils qu’elle utilise déjà.

Du geste anodin au harcèlement : le principe des mille coupures

Un aspect central abordé dans l’épisode est la nature cumulative de la violence technologique. Un seul geste isolé — éteindre les lumières à distance, consulter la localisation du véhicule — peut sembler bénin ou même humoristique. Mais la répétition transforme ces gestes en harcèlement. C’est ce qu’on appelle parfois « mourir de mille coupures » : aucune blessure n’est fatale prise seule, mais l’accumulation crée un contexte de terreur et de perte de contrôle profonde.

Ce phénomène est particulièrement difficile à documenter sur le plan juridique. Pour obtenir l’aide du système de justice, la victime doit être en mesure d’énoncer clairement les comportements vécus et d’avoir explicitement demandé qu’ils cessent. Or, si certains de ces comportements n’avaient pas été imaginés d’avance, comment aurait-on pu en demander l’arrêt ? De plus, beaucoup de ces gestes ne laissent aucune trace — un interrupteur actionné à distance ne génère pas nécessairement de journal d’activité.

Les limites des institutions et des outils courants

Les forces de l’ordre et les procureurs, bien intentionnés, sont souvent démunis face à ces crimes. Historiquement, la cybercriminalité était associée à des crimes en col blanc — fraudes, vols de données à grande échelle — et les corps policiers ont été formés en ce sens. Les crimes technologiques individualisés, très personnels, relèvent d’une tout autre logique, et l’expertise nécessaire pour y répondre est encore en construction.

Du côté des outils de détection, le constat est similaire. Les logiciels de type accès à distance — ceux que des conjoints malveillants utilisent fréquemment pour surveiller un appareil — ne sont pas automatiquement détectés comme malveillants par les antivirus classiques, car ils ont des usages légitimes. La victime fait un scan, ne trouve rien, et en conclut que la menace est encore plus sophistiquée qu’elle ne le pensait. Ce qui aggrave son état d’anxiété.

Le problème des modèles d’IA comme premiers répondants

Un enjeu émergent soulevé dans l’épisode est l’utilisation croissante des grands modèles de langage — comme ChatGPT — par des personnes en détresse qui cherchent à comprendre ce qui leur arrive. Le problème est double.

D’abord, ces modèles n’ont pas de démarche systématique et rigoureuse. Ils ne vérifient pas les hypothèses les moins graves en premier. Face à des symptômes comme un téléphone qui chauffe ou redémarre, ils vont souvent suggérer des scénarios extrêmes — logiciels espions de type Pegasus, opérations de services de renseignement — alors que l’explication est presque toujours beaucoup plus simple et accessible.

Ensuite, les modèles d’IA ont tendance à confirmer les biais de la personne qui les interroge. Quelqu’un en état d’anxiété intense va formuler ses inquiétudes d’une certaine façon, et le modèle va amplifier ces craintes plutôt que les tempérer. Ce qui aurait pu être désamorcé en quelques échanges avec un professionnel se transforme en spirale d’angoisse. L’intervention humaine, rigoureuse et empathique, reste irremplaçable.

La complexité de l’intervention : ne pas couper trop vite

Contre-intuitivement, retirer immédiatement un accès malveillant n’est pas toujours la bonne décision. Dans un contexte de violence conjugale, mettre brusquement fin à la surveillance d’une personne volatile peut déclencher une escalade dangereuse. Avant d’agir, il faut évaluer la situation : comprendre qui est l’auteur, anticiper sa réaction, et s’assurer que la victime ne sera pas en danger accru si l’accès lui est retiré. Parfois, la bonne stratégie consiste à vivre avec la connaissance que le téléphone est compromis, tout en préparant un plan de sortie sécuritaire.

Ressources et appel à la vigilance collective

En terminant, Geneviève souligne l’importance d’écouter les personnes qui, autour de nous, expriment un malaise — même timidement. « Il sait toujours où je suis » ou « j’ai l’impression d’être surveillée » ne sont pas des propos à balayer du revers de la main. Ce sont des signaux à prendre au sérieux.

Pour les personnes au Québec qui vivent une situation inconfortable dans leur relation, SOS violence conjugale offre une ligne d’écoute 24 h sur 24 et dispose de ressources adaptées aux enjeux technologiques contemporains.

La violence conjugale n’est pas nouvelle, mais la technologie en a considérablement abaissé le seuil d’entrée et amplifié la portée. Répondre à ce phénomène demande des outils, des lois et une conscience collective à la hauteur de cette réalité.

Collaborateurs

Nicolas-Loïc Fortin

Geneviève Lajeunesse

Crédits

Montage par Intrasecure inc

Locaux réels par Intrasecure inc