PolySécure Podcast

Parce que… c’est l’épisode 0x726!

Shameless plug

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Introduction

Dans cet épisode du podcast, je reçois Cédrick Bruyère, associé chez Vigilia, une entreprise spécialisée en cybersécurité qui se concentre principalement sur la formation et la sensibilisation des PME. Cédrick nous partage les réflexions qui ont guidé la création de leur plateforme, articulées autour de trois piliers fondamentaux pour rendre une solution véritablement accessible en entreprise : la simplicité, l’abordabilité et l’adaptabilité. Ces trois concepts, bien que distincts, s’alimentent mutuellement et forment un cadre cohérent pour penser le développement de solutions qui répondent aux besoins réels des organisations.

Premier pilier : la simplicité

Le premier pilier, la simplicité, est apparu comme une évidence lors des sondages menés par l’équipe de Vigilia auprès d’entrepreneurs et de décideurs. Le constat était récurrent : lorsque les gens visitent le site d’un fournisseur de solutions en cybersécurité, l’impression dominante est celle d’une complexité rebutante. On a l’impression de s’embarquer dans un labyrinthe de configurations et de problèmes techniques. Résultat : beaucoup renoncent avant même d’avoir commencé.

Pour Cédrick, la simplicité ne réside pas dans la solution elle-même, mais avant tout dans la façon de communiquer. Il évoque le concept bien connu de la curse of knowledge — la malédiction du savoir — ce phénomène par lequel un expert, tellement immergé dans son domaine, oublie que son interlocuteur ne partage pas le même bagage. On se retrouve alors à utiliser un jargon technique, à accumuler les termes spécialisés sur une page d’accueil pour afficher son expertise, mais on finit par perdre le lecteur plutôt que de le convaincre.

La clé, selon Cédrick, est de privilégier une communication humaine, accessible, qui explique clairement ce qu’on fait et comment on peut aider, sans chercher à impressionner. L’objectif d’une communication efficace n’est pas de paraître intelligent, mais d’être compris. C’est un renversement de posture important pour beaucoup d’entreprises habituées à valoriser leur expertise par la complexité de leur discours. Être simple dans sa communication, c’est paradoxalement l’un des exercices les plus difficiles qui soit — et l’un des plus puissants.

Deuxième pilier : l’abordabilité

Le deuxième pilier est l’abordabilité. Cédrick reconnaît que le sujet est délicat, car il ne s’agit pas d’accuser les entreprises qui proposent des solutions coûteuses d’être motivées uniquement par le profit. Le prix d’une solution est souvent le reflet direct de sa complexité. Plus on accumule de fonctionnalités, plus on mobilise de ressources humaines pour faire fonctionner et entretenir la solution, et inévitablement, le coût grimpe.

C’est là que les deux premiers piliers se rejoignent avec force : en simplifiant l’offre, on réduit les coûts. En se concentrant sur l’essentiel — c’est-à-dire ce qu’on veut réellement accomplir pour le client —, on évite de surcharger la solution de fonctionnalités superflues qui alourdissent la structure sans nécessairement apporter de valeur ajoutée à la majorité des utilisateurs. Cédrick illustre cette idée avec une analogie parlante : comme chez Maxi ou dans un magasin de meubles à bas prix, le décor est fonctionnel mais pas tape-à-l’œil. On vend le produit, point. Pas d’artifices, pas d’employés en surnombre pour entretenir une mise en scène. La marchandise est accessible, le client achète, et tout le monde y trouve son compte.

En cybersécurité, la logique est identique. Si l’objectif est de sensibiliser les entreprises, il faut concentrer ses efforts sur cet objectif précis, délivrer la solution la plus directe possible, et éviter de complexifier pour le simple plaisir de l’exhaustivité. Moins il y a de personnes nécessaires pour faire tourner la machine, plus la solution peut être proposée à un prix accessible — et donc atteindre un plus grand nombre d’entreprises.

Troisième pilier : l’adaptabilité

Le troisième pilier, l’adaptabilité, est celui que Cédrick considère comme le plus important, car c’est lui qui permet de répondre aux besoins spécifiques de chaque client. Une solution, aussi bien conçue soit-elle, ne peut pas être universelle si elle ne peut pas s’ajuster aux particularités de chaque organisation.

Cédrick insiste toutefois sur un point crucial : l’adaptabilité découle directement de la simplicité. Si la base d’une solution est simple, la modifier pour répondre à un besoin particulier devient une opération légère et rapide. Par exemple, si un client souhaite diviser son compte en plusieurs équipes, il suffit d’effectuer un ajustement minimal sur une structure épurée. En revanche, si la solution est déjà surchargée de couches de complexité, chaque modification devient un chantier, et l’adaptabilité devient illusoire en pratique — même si elle est promise sur le papier.

L’adaptabilité n’est donc pas une fonctionnalité qu’on ajoute par-dessus une solution complexe. C’est une qualité qui émerge naturellement d’une solution bien conçue à la base. Cédrick souligne également l’importance d’avoir une solution qui appartient vraiment à l’entreprise qui la développe — une plateforme qu’on peut moduler soi-même, sans dépendre d’une infrastructure tierce rigide.

Conclusion

Ces trois piliers — simplicité, abordabilité et adaptabilité — forment un tout cohérent et interdépendant. La simplicité conditionne l’abordabilité, et toutes deux rendent l’adaptabilité possible. Le fil conducteur de la réflexion de Cédrick est une mise en garde contre la tendance naturelle des experts à se perdre dans leur propre expertise au détriment des besoins fondamentaux de leurs clients.

La vraie valeur d’une solution ne réside pas dans sa sophistication, mais dans sa capacité à aider le plus grand nombre, le plus efficacement et le plus accessiblement possible. Un message simple à retenir, et pourtant difficile à appliquer.

Collaborateurs

Nicolas-Loïc Fortin

Cédrick Bruyère

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x725!

Préambule

Besoin d’aide?

Téléphone: 1866-277-3553

SMS: 535353

Clavardage




Shameless plug

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Présentation

Dans cet épisode spécial enregistré dans le cadre du Podcaston, l’animateur reçoit Hugo Fournier, PDG et porte-parole de l’Association Québécoise de Prévention du Suicide (AQPS). L’organisme, qui célèbre son 40e anniversaire, poursuit une vision à la fois ambitieuse et utopique : bâtir un Québec sans suicide, brique par brique. Sa mission s’articule autour de trois grands axes — influencer les décideurs politiques, soutenir les initiatives citoyennes et offrir des formations aux intervenants.

Les mythes tenaces autour du suicide

Hugo Fournier commence par déconstruire plusieurs mythes profondément ancrés dans la société.

Mythe 1 — La personne suicidaire veut mourir. C’est faux. Elle ne veut pas mourir ; elle veut cesser de souffrir. Face à une souffrance devenue insupportable, l’espoir se transforme en désespoir. Il subsiste néanmoins toujours une ambivalence : une partie d’elle veut en finir, une autre cherche de l’aide. C’est précisément pour cela que les personnes appellent les lignes d’écoute.

Mythe 2 — Parler du suicide encourage le passage à l’acte. C’est également faux. Poser directement la question « Penses-tu au suicide ? » ne provoque pas le geste ; au contraire, cela soulage la personne, lui fait sentir qu’elle n’est pas seule et ouvre une conversation sur sa souffrance. Briser le tabou du silence est une étape essentielle.

Mythe 3 — Le suicide est un acte de courage ou de lâcheté. Ni l’un ni l’autre. La personne ne se suicide pas par choix, mais parce qu’elle n’aperçoit plus aucune option devant elle, même si elles existent.

Mythe 4 — Les menaces de suicide sont de la manipulation. Toute verbalisation suicidaire est un appel à l’aide. Il faut toujours prendre ces propos au sérieux.

Comment intervenir : la simplicité avant tout

Un point central de l’entretien porte sur la façon d’aborder quelqu’un qu’on inquiète. Hugo Fournier insiste : il ne s’agit pas de devenir un intervenant professionnel, mais simplement d’initier une conversation sincère et directe.

Concrètement, si une personne de l’entourage dit qu’elle « n’en peut plus », on peut lui répondre : « Quand tu dis que tu n’en peux plus, est-ce que ça t’amène à penser au suicide ? » Un geste aussi simple qu’une main sur l’épaule, accompagné de mots bienveillants, peut faire toute la différence. L’objectif est de faire sentir à la personne qu’elle n’est pas seule et de l’orienter vers une ressource professionnelle.

Hugo rappelle également les ressources disponibles : le 1 866 APPEL, le 5353 (texto) et le site suicide.ca (clavardage). Ces plateformes sont accessibles autant aux personnes en détresse qu’à celles qui ne savent plus comment aider un proche.

Les signaux de détresse à reconnaître

Plusieurs signaux peuvent alerter, indépendamment du genre ou de l’âge :

Tristesse persistante, découragement, propos comme « Vous seriez bien mieux sans moi »

Isolement social soudain chez quelqu’un d’habituellement extraverti

Négligence de l’hygiène et de l’apparence

Absence de motivation, changement des habitudes de vie

Intérêt soudain pour la mort, colère inhabituelle, impulsivité

Don d’objets précieux, règlement de conflits, évocation d’un legs

Un signe particulièrement trompeur est la rémission spontanée : une personne en grande souffrance qui semble soudainement apaisée. Cet apaisement peut indiquer qu’elle a pris sa décision, ce qui représente un risque élevé de passage à l’acte.

La spécificité des hommes et la culture du silence

Les hommes, surtout ceux des générations plus anciennes, sont statistiquement plus touchés par le suicide, mais moins enclins à demander de l’aide. Le stéréotype voulant qu’un homme « doit être fort » a longtemps invalidé toute expression de vulnérabilité. Hugo Fournier le rappelle avec conviction : demander de l’aide est un signe de force, pas de faiblesse. Face à un ami masculin en difficulté, une approche directe et simple — aller cogner à sa porte, proposer un café, lui demander d’appeler le 5353 devant soi — est souvent plus efficace qu’un long discours.

Une réalité préoccupante chez les jeunes et les femmes

Les données récentes de suicide.ca révèlent des tendances alarmantes. En 2025, 70 % des interventions par clavardage concernaient des femmes, et 67 % des utilisateurs avaient entre 18 et 40 ans. Plus inquiétant encore : les interventions auprès de filles de 13 ans et moins ont bondi de 80 % par rapport à 2024. Le taux d’hospitalisation pour tentative de suicide chez les adolescentes de 15 à 19 ans est le plus élevé jamais enregistré, et celui des 10-14 ans a triplé depuis 2010.

Les facteurs explicatifs pointés par la recherche incluent les séquelles de la pandémie, l’usage excessif des écrans, la pression de performance scolaire, l’intimidation en ligne et la surcharge travail-études.

Pour rejoindre les jeunes là où ils se trouvent, l’AQPS soutient les gardiens virtuels : des travailleurs de rue du numérique formés à détecter les signaux de détresse dans les chambres de jeu en ligne (PS5, Xbox) et à intervenir directement dans cet environnement.

Le rôle des médias

Les médias ont une responsabilité particulière. Diffuser les moyens utilisés lors d’un suicide peut provoquer un effet d’entraînement, comme l’ont montré des cas marquants au Québec. Aujourd’hui, les médias sont invités à adopter une approche sécuritaire : mettre l’accent sur les facteurs de protection, présenter les ressources d’aide et traiter le sujet avec respect, sans détailler les méthodes.

Conclusion

Cet épisode offre des outils concrets pour reconnaître la détresse, oser poser la question directement et orienter vers les bonnes ressources. Comme le résume Hugo Fournier, chaque initiative — un podcast, un tournoi, une conversation — contribue, brique par brique, à construire un Québec où la souffrance peut trouver une réponse humaine et digne.

Notes

Association québécoise de prévention du suicide

Oser parler du suicide

Fondation des gardiens virtuels

Besoin d’aide?

Téléphone: 1866-277-3553

SMS: 535353

Clavardage




Collaborateurs

Nicolas-Loïc Fortin

Hugo Fournier

Crédits

Montage par Intrasecure inc

Locaux réels par Association québécoise de prévention du suicide

Parce que… c’est l’épisode 0x724!

Shameless plug

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Notes

IA ou dans le prisme de la machine

Amazon WTF
- Amazon Forced Engineers to Use AI Coding Tools. Then It Lost 6.3 Million Orders.

After Outages, Amazon To Make Senior Engineers Sign Off On AI-Assisted Changes

Amazon insists AI coding isn’t source of outages




Pour la nation

AI CEOs Worry the Government Will Nationalize AI

Canada Needs Nationalized, Public AI




How AI Assistants are Moving the Security Goalposts

AI Didn’t Break the Senior Engineer Pipeline. It Showed That One Never Existed.

AI agent hacked McKinsey chatbot for read-write access

USDA needs Palantir to tell workers where to sit

AI nonsense finds new home as Meta acquires Moltbook

Critical Microsoft Excel bug weaponizes Copilot Agent

VS Code goes weekly, gets AI autopilot - what could go wrong

Microsoft Copilot Email and Teams Summarization Vulnerability Enables Phishing Attacks




Perplexity’s ‘Personal Computer’ Lets AI Agents Access Your Local Files

OpenAI Blurs Its Mass Surveillance Red Line With New Pentagon Contract

Document Poisoning in RAG Systems: How Attackers Corrupt Your AI’s Sources

NanoClaw latches onto Docker Sandboxes for safer AI agents

Top Google Result for Claude Code is Malicious




La guerre, la guerre, c’est pas une raison pour se faire mal!

What Is Cyber Warfare? Definition, Doctrine, and Real-World Examples

Iran is the first out-loud cyberwar the US has fought

Cybercrime isn’t just a cover for Iran’s government goons

Stryker: Pro-Iran hackers claim cyberattack on major US medical device maker

A superpower goes offline




Souveraineté ou tout ce que je peux faire sur mon terrain

Meta to charge advertisers a fee to offset Europe’s digital taxes




Privacy ou tout ce qui devrait rester à la maison

Patrick Breyer: “🇪🇺 1/7 🌍 Foreign-funded lobby …” - digitalcourage.social

Upcoming Vote on Chat Control: New S&D, EPP, and Renew Deal is Worse Than Rejected Draft Report – AI Text Scanning and Mass Surveillance Set to Continue

Where did you think the training data was coming from?

Police Scotland fined for mishandling victim data

Nanny state vs. Linux: show us your ID, kid

Meta to Shut Down Instagram End-to-End Encrypted Chat Support Starting May 2026

Federal Surveillance Tech Becomes Mandatory in New Cars by 2027




Red ou tout ce qui est brisé

One hundred accounts are behind the majority of conspiracy theory content in Canada

Online astroturfing: A problem beyond disinformation

DOGE employee stole Social Security data and put it on a thumb drive, report says

Foreign hacker reportedly breached FBI servers holding Epstein files in 2023

Most Google Cloud Attacks Start With Bug Exploitation

Cyberattackers Don’t Care About Good Causes

Supply-chain attack using invisible code hits GitHub and other repositories




Blue ou tout ce qui améliore notre posture

Intel Demos Chip To Compute With Encrypted Data

Microsoft tightens Authenticator checks on Android and iOS

WireGuard Is Two Things - Proxylity Blog

How Kernel Anti-Cheats Work: A Deep Dive into Modern Game Protection




Divers

New Freenet Network Launches, Along With ‘River’ Group Chat




Collaborateurs

Nicolas-Loïc Fortin

Crédits

Montage par Intrasecure inc

Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x723!

Préambule

Nous sommes à la Cage durant un match des Canadiens. Le bruit ambiant a fait que nous parlons en “criant”, pour nous entendre. Le lendemain, je n’avais plus de voix.

Shameless plug

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Un retour après une longue absence

C’est avec une certaine nostalgie que j’accueille Nicolas Bédard, un invité régulier qui avait mystérieusement disparu des ondes pendant plusieurs mois. La raison de cette absence ? Un changement de carrière majeur qui a bousculé son quotidien et rendu toute planification d’enregistrement pratiquement impossible. Entre les décalages de calendrier, les voyages et les nouvelles responsabilités à apprivoiser, les deux complices n’avaient tout simplement pas réussi à se retrouver devant un micro. Mais Nicolas est de retour, et il a beaucoup à raconter.

Cinq ans chez Google : de l’imposter syndrome aux 20 %

Tout commence en août 2020, quand Nicolas rejoint Google en pleine pandémie, parmi une cohorte de 10 000 nouvelles recrues embauchées simultanément. L’imposter syndrome le frappe de plein fouet. Comment se démarquer dans une entreprise peuplée de talents exceptionnels ? Sa réponse : trouver une niche où son expérience passée peut faire une différence.

Connaissant bien Palo Alto Networks de ses vies professionnelles antérieures, Nicolas remarque un courriel interne annonçant le lancement d’un nouveau produit, Cloud IDS. Il contacte directement le gestionnaire de produit pour offrir son aide. C’est ainsi que naît son premier projet à 20 %.

La règle des 20 % est une particularité culturelle bien connue de Google : chaque employé a le droit de consacrer 20 % de son temps de travail à un projet annexe, à condition que celui-ci apporte de la valeur à la compagnie ou à la société. C’est d’ailleurs ce principe qui aurait mené à la création de Gmail. Pour Nicolas, cette liberté devient un levier de croissance personnelle et professionnelle remarquable.

Pendant quatre ans, il consacre ce temps à renforcer l’alliance stratégique entre Google et Palo Alto Networks, deux géants dont le partenariat commercial est l’un des plus importants dans l’industrie de la cybersécurité. Il co-présente des produits lors de conférences comme Google Next, développe une expertise pointue sur les intégrations conjointes, et gagne en visibilité des deux côtés de l’alliance. Son 20 % devient, en quelque sorte, son véritable terrain de passion.

Le moment décisif : convertir le 20 % en 100 %

Après avoir tenté sans succès d’obtenir un poste dédié à cette alliance à l’intérieur même de Google, Nicolas pivote vers l’équipe Google Cloud Security (GCS) pour ses six derniers mois dans l’entreprise. C’est alors qu’il reçoit un texto inattendu de la personne responsable de l’alliance Google-Palo : un poste s’ouvre chez Palo Alto Networks pour prendre en charge tout l’enablement technique lié aux fournisseurs infonuagiques. Son nom a été mentionné. L’offre ? Transformer son ancien 20 % en 100 % de son travail.

La décision n’est pas difficile à prendre. Bien que les produits de Google soient de grande qualité, Nicolas constate lors de ses discussions avec des clients que des angles morts existent dans l’offre de sécurité. Les entreprises ne vivent pas exclusivement dans un seul environnement infonuagique : elles jonglent entre des charges de travail on-premises, AWS, Azure, Google Cloud et Oracle Cloud. Palo Alto Networks, en tant que pure player de la cybersécurité, possède cet avantage de la spécialisation que ne peut pas toujours offrir un généraliste comme Google, si bon soit-il.

Un nouveau rôle centré sur la valeur, sans pression de vente

Ce qui enthousiasme particulièrement Nicolas dans son nouveau poste, c’est l’abandon du quota de vente. Fini la pression commerciale mensuelle : il peut désormais enfiler son chapeau de formateur et se concentrer sur la transmission de la connaissance. Son équipe de quatre personnes se structure autour de quatre missions principales :

L’intégration de produits, pour s’assurer que les solutions conjointes Palo-Google fonctionnent de façon fluide et cohérente ;

La création de sales plays, des guides qui permettent aux équipes de vente de bien articuler la valeur des produits devant les clients ;

L’enablement, qui passe par des conférences, des webinaires, des architectures de référence et des démonstrations techniques ;

Le soutien aux équipes commerciales, qui garde Nicolas connecté à la réalité du terrain sans qu’il soit lui-même sous pression de résultats.

L’alliance Google-Palo Alto : une symbiose technique profonde

L’intégration entre les deux entreprises va bien plus loin qu’un simple partenariat commercial. La quasi-totalité des produits de Palo Alto Networks tourne aujourd’hui sur l’infrastructure de Google Cloud. Certains produits Google, comme Cloud IDS ou Cloud NGFW Enterprise, sont en réalité propulsés par la technologie de Palo Alto en dessous. Des utilisateurs de Prisma Access, l’outil SASE de Palo, traversent l’infrastructure de Google à chaque connexion VPN sans nécessairement le savoir. L’alliance permet également des optimisations réseau avancées, comme l’appairage natif entre Prisma Access et Google Cloud via le Network Connectivity Center.

L’intelligence artificielle : le prochain grand terrain de jeu

La conversation s’oriente naturellement vers l’IA, sujet incontournable du moment. Nicolas identifie deux enjeux majeurs pour les entreprises qui adoptent ces technologies : la consistance des résultats (les modèles d’IA ne sont pas déterministiques comme un formulaire web) et, en second lieu, la sécurité. Les grands fournisseurs infonuagiques développent des modèles de pointe, mais ils sont moins bien équipés pour gérer des problématiques comme la prévention des fuites de données (DLP), la protection contre le prompt injection ou la sécurisation des pipelines IA. C’est exactement là que Palo Alto Networks intervient en complémentarité, comme en témoigne l’annonce récente d’une intégration de Prisma AIRS directement dans Microsoft Copilot.

Un virage vers la souveraineté numérique

En guise de conclusion, Nicolas évoque brièvement le thème de la souveraineté numérique, sujet d’autant plus brûlant dans le contexte géopolitique actuel. Les organisations cherchent à reprendre le contrôle de leurs données, à réduire leur dépendance envers des infrastructures étrangères et à explorer les options de nuage souverain. Un vaste sujet que les deux complices promettent d’explorer en profondeur lors d’un prochain épisode, avec Nicolas qui se retrouve, cette fois-ci, aux premières loges de cette transformation.

Collaborateurs

Nicolas-Loïc Fortin

Nicolas Bédard

Crédits

Montage par Intrasecure inc

Locaux réels par La Cage - Complexe Desjardins

Parce que… c’est l’épisode 0x722!

Shameless plug

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15




28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Nouveautés de Boost Security Labs

François Proulx commence l’épisode en faisant le point sur les développements récents de son équipe. Boost Security a procédé à une refonte de son site web afin de distinguer clairement l’entreprise commerciale de son équipe de recherche, désormais appelée Boost Security Labs, accessible à l’adresse labs.security. Ce nouveau site centralise les articles, outils et références produits par les chercheurs.

François mentionne également un article publié fin 2025 intitulé Defensive Research Weaponized — 2025 State of Pipeline Security, qui dressait un bilan de l’année et anticipait les types d’attaques qui se sont effectivement concrétisées depuis. L’équipe sera de retour à NorthSec cette année avec un nouveau talk et surtout un nouvel outil baptisé Smoke Meat — fidèle à la thématique culinaire montréalaise de l’équipe. Cet outil se veut le « Metasploit des pipelines CI/CD » : là où Poutine (leur outil d’analyse statique) détecte les vulnérabilités dans les pipelines de build, Smoke Meat permettra de les exploiter de manière semi-autonome, en proposant un menu d’options à l’utilisateur.

Un troisième outil est aussi annoncé : Bagel, un utilitaire défensif qui tourne entièrement hors ligne et analyse la posture de sécurité des laptops de développeurs et administrateurs. Il détecte les mauvaises configurations locales — clés SSH non chiffrées, tokens hardcodés dans des scripts, etc. — pour limiter les dégâts en cas d’infection par un logiciel de type info stealer (ou « kleptogiciel », selon la terminologie de l’équipe Flare).

L’attaque Hackerbot Claw : une offensive automatisée sur les pipelines CI/CD

Sébastien Graveline prend ensuite la parole pour détailler une attaque survenue le 27 février, impliquant un agent automatisé qui a ciblé plusieurs grands projets open source. Au moins quatre projets ont été confirmés comme exploités. Ce qui rend cette attaque particulièrement notable, c’est qu’il s’agit d’un agent IA attaquant d’autres systèmes intégrant de l’IA dans leurs pipelines — un scénario que les chercheurs qualifient, avec un certain humour noir, de « bienvenue en 2026 ».

L’équipe s’est concentrée notamment sur Aqua Security Trivy, un projet comptant plus de 25 000 étoiles sur GitHub. L’une des conséquences directes de l’attaque a été que le dépôt a été rendu privé ou supprimé, compliquant considérablement le travail d’investigation forensique.

La piste de MégaGame : remonter le fil de l’attaque

En examinant les discussions GitHub autour de l’incident, l’équipe repère une pull request (PR #10252) ouverte environ cinq heures avant la première attaque de Hackerbot, puis rapidement supprimée — un fait que personne d’autre n’avait mentionné dans les analyses publiées. L’utilisateur à son origine avait lui aussi été supprimé.

Grâce à Trat Hunter, leur outil de surveillance en temps réel des événements GitHub, les chercheurs identifient l’acteur derrière cette PR : un utilisateur qu’ils surnomment Méga Game, dont le compte datait de début janvier. En remontant plus loin, ils trouvent qu’une tentative d’attaque similaire avait été détectée un mois auparavant sur ce qui semble être un dépôt de test.

Forensique sur GitHub : fork networks et gists supprimés

L’investigation se heurte à un obstacle de taille : le dépôt Trivy ayant été supprimé ou rendu privé, il n’est plus possible de cloner directement la version du commit exploité. C’est ici qu’entre en jeu un comportement peu connu de GitHub : lorsqu’un dépôt est supprimé, le fork network ne disparaît pas pour autant. Le plus ancien fork existant hérite automatiquement du rôle de racine du réseau, et l’intégralité des commits de tous les forks reste accessible tant qu’il reste au moins un fork vivant.

L’équipe retrouve ainsi un fork avec une seule étoile mais… 3 000 forks rattachés, devenu malgré lui le patriarche de l’arbre. Cela leur permet de récupérer le payload de Méga Game, qui consiste en une exploitation d’action GitHub locale (local GitHub action exploit) : le workflow checkout le code de l’attaquant, puis exécute une action locale redéfinie par ce dernier — une variante classique du untrusted checkout.

L’exploitation finale repose sur un curl pipe bash pointant vers un gist GitHub privé (mais non authentifié). Les chercheurs découvrent qu’il est possible de cloner un gist supprimé par son identifiant unique, à condition d’être authentifié sur GitHub — peu importe que ce soit le créateur original ou non. Un comportement probablement lié à la gestion du CDN de GitHub, qui conserve les objets tant qu’un garbage collection n’a pas eu lieu.

L’essor des attaques automatisées sur les CI/CD

L’épisode se conclut sur une réflexion plus large. Les attaques sur les pipelines CI/CD sont en croissance exponentielle, car ces environnements donnent accès à des ressources cloud critiques et que les secrets y sont souvent mal scopés. Dans le cas de Trivy, un simple workflow de commentaires a suffi à obtenir des droits administrateurs sur le projet.

Face à cela, les recommandations sont claires : rouler des outils de détection comme Poutine, appliquer le principe de défense en profondeur (secrets correctement scopés, limitation des outils accessibles aux agents IA), et ne jamais oublier qu’un projet public est ouvert non seulement au téléchargement, mais aussi à l’attaque. L’équipe mentionne également des cas où Claude a détecté des tentatives de prompt injection et a correctement refusé d’exécuter les actions demandées — une lueur d’espoir dans un tableau par ailleurs assez sombre.

Notes

MegaGame10418: A Throwaway Account Linked to the Hackerbot-Claw Attack

Nouveau site de Boostsecurity Labs

Defensive Research, Weaponized: The 2025 State of Pipeline Security

Collaborateurs

Nicolas-Loïc Fortin

Sébastien Graveline

François Proulx

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm