Powered by RND
Ouvrir l'app
Top 100 radiosPodcastsSport en directÀ proximitéGenres musicauxThèmes
PodcastsTechnologiesPolySécure Podcast
Écoutez gratuitement ce podcast dans l'application :
PolySécure Podcast
radio.fr
Minuteur
Sauvegarde des favoris
Télécharger gratuitement dans l'App Store

PolySécure Podcast

Nicolas-Loïc Fortin et le Polysecure crew
Technologies
PolySécure Podcast
Dernier épisode

Épisodes disponibles

5 sur 605
  • Spécial - Un brin de nostalgie durant le Northsec - Parce que... c'est l'épisode 0x606!
    Parce que… c’est l’épisode 0x606! Préambule Nous avons rencontré un problème technique durant l’enregistrement. L’équipement a cessé de fonctionner, sans que nous nous en rendions compte. Nous avons conservé le segment qui est utilisable. Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2026 Description Ce podcast enregistré lors de NorthSec réunit l’animateur et Martin Dubé pour une discussion nostalgique sur l’évolution de la communauté cybersécurité québécoise, particulièrement autour du Hackfest et de NorthSec. Les débuts du Hackfest et l’innovation des CTF Martin Dubé raconte ses débuts en 2010 au Hackfest, alors qu’il était étudiant en deuxième année d’université. À cette époque, l’événement était très différent d’aujourd’hui : les organisateurs transportaient des serveurs physiques hébergés chez eux jusqu’à l’hôtel, utilisant des technologies comme Proxmox et VMware. Cette période artisanale contraste fortement avec l’automatisation moderne mise en place par des équipes comme celle de Laurent au NorthSec. L’innovation majeure de cette époque fut l’introduction du format “attaque-défense” pour les CTF, remplaçant le traditionnel format “jeopardy” (matrice de challenges par catégories). Ce nouveau format permettait aux participants d’attaquer les infrastructures des autres équipes tout en défendant la leur, créant une dynamique plus réaliste et complexe. Leadership et apprentissage par la pratique Martin souligne l’importance de l’aspect leadership dans son rôle de responsable des CTF. Gérer une équipe de bénévoles non rémunérés lui a enseigné des compétences précieuses en gestion d’équipe, motivation par la reconnaissance et coordination de projets complexes. Cette expérience s’est révélée cruciale pour sa carrière professionnelle, démontrant que l’implication dans la communauté offre bien plus que des compétences techniques. Il encourage fortement les nouveaux arrivants dans le domaine à s’impliquer dans de tels événements, car cela permet de garnir son CV d’expériences pertinentes et facilite l’entrée sur le marché du travail. Cette recommandation reste valable aujourd’hui, même si le domaine s’est professionnalisé. L’innovation de la track Windows Un moment marquant fut la création de la “track Windows” au NorthSec, une innovation que Martin et Stéphan Sigman considèrent comme pionnière. Contrairement aux challenges synthétiques habituels, cette track simulait un véritable environnement d’entreprise avec Active Directory, partages réseau mal configurés, GPO contenant des mots de passe, et autres vulnérabilités typiques des infrastructures corporatives. Cette approche répondait à une critique importante : les CTF traditionnels développaient des compétences sur des challenges artificiels, tandis que les vrais pentesters doivent attaquer des réseaux d’entreprise réels. La track Windows a forcé les participants à développer des compétences directement applicables au Red Teaming et aux tests d’intrusion internes. Évolution technologique et impact de l’IA La discussion aborde l’évolution technologique du domaine. Martin observe que la sécurité par défaut s’est considérablement améliorée depuis les années 2010, rendant les vulnérabilités basiques moins fréquentes. L’arrivée de l’intelligence artificielle transforme également le paysage professionnel, mais plutôt comme un assistant qu’un remplaçant pour les pentesteurs. L’IA automatise certains aspects du travail de sécurité, notamment dans les outils de défense comme Sentinel pour l’analyse de logs. Cependant, Martin et l’animateur s’accordent sur le fait que l’IA reste un multiplicateur de force nécessitant une direction humaine, particulièrement en Red Team et pentest. Expérimentations mémorables Le podcast évoque plusieurs expérimentations marquantes, notamment les CTF avec des maquettes physiques comme le barrage hydroélectrique de 2013, précurseur des préoccupations actuelles sur la sécurité IoT et OT. Ces innovations visuelles permettaient aux non-participants de comprendre concrètement ce qu’était le hacking. L’expérience la plus mémorable reste les éditions “taupes” : des CTF 12 vs 12 ou 20 vs 20 où certains participants étaient secrètement des espions pour l’équipe adverse, simulant l’espionnage industriel. Ces expérimentations, bien que créatrices de “drama”, démontraient l’importance de prendre des risques calculés pour innover. Communauté et networking professionnel Un aspect crucial souligné est la valeur du réseau professionnel créé par ces événements. La communauté cybersécurité québécoise, bien que pas nécessairement composée d’amis proches, forme un réseau où chacun connaît les autres et peut interagir facilement. Cette connectivité s’avère particulièrement précieuse lors des transitions de carrière ou des périodes de recherche d’emploi. Cette dimension communautaire devient encore plus importante dans le contexte économique actuel, où les restrictions budgétaires entraînent des licenciements même dans le secteur technologique traditionnellement stable. Gestion des risques et culture d’apprentissage La conversation aborde la culture du risque et de l’erreur dans la communauté. Martin prône une approche permettant l’expérimentation et l’erreur, créant un “safe space” pour les bénévoles. Il partage un exemple récent où un bénévole a rencontré des difficultés opérationnelles, et comment son expérience lui a permis d’accompagner cette personne pour désamorcer le stress et trouver une solution. Cette philosophie s’oppose à l’élitisme parfois présent dans la communauté cybersécurité. Les deux interlocuteurs s’accordent sur l’importance de permettre aux nouveaux arrivants de faire des erreurs et d’apprendre, condition essentielle pour éviter la stagnation communautaire et favoriser l’inclusion. Réflexions sur l’humilité et l’évolution Le podcast se termine sur une note d’humilité, évoquant comment Olivier (probablement le président sortant de NorthSec) a publiquement reconnu avoir peut-être poussé trop fort ses équipes de bénévoles vers la perfection. Cette reconnaissance publique illustre la maturité croissante de la communauté et l’importance de l’équilibre entre excellence et bienveillance. Martin partage également ses propres “blessures de guerre” professionnelles, ces erreurs passées qui, bien que parfois encore douloureuses, constituent un apprentissage précieux qu’il souhaite transmettre aux générations suivantes. Conclusion Ce podcast offre un regard privilégié sur l’évolution de la cybersécurité québécoise, montrant comment l’innovation, la prise de risques calculés et la construction communautaire ont façonné l’écosystème actuel. Il souligne l’importance de maintenir un équilibre entre excellence technique et bienveillance humaine, tout en continuant à expérimenter pour faire évoluer le domaine. L’expérience de Martin Dubé illustre parfaitement comment l’implication bénévole peut catalyser une carrière professionnelle tout en contribuant significativement au développement d’une communauté technique dynamique et inclusive. Collaborateurs Nicolas-Loïc Fortin Martin Dubé Crédits Montage par Intrasecure inc Locaux réels par Northsec
    --------  
    27:30
  • Spécial - Outrunning the Red Queen - Analysis of Ransomware Scripts - Parce que... c'est l'épisode 0x605!
    Parce que… c’est l’épisode 0x605! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Dans cet épisode spécial du podcast enregistré lors de l’événement Cyberco, l’animateur reçoit Vicky Desjardins, candidate au doctorat en criminologie à l’Université de Montréal et spécialiste en réponse à incident. Vicky présente les résultats de sa recherche de cinq années sur les rançongiciels, offrant une perspective unique qui combine criminologie et cybersécurité. Parcours et motivation de la recherche Vicky a débuté sa thèse avant la pandémie, cherchant à comprendre pourquoi les défenseurs semblaient toujours surpris et en mode réaction face aux attaques de rançongiciels. Malgré son manque initial d’expertise technique, elle était déterminée à contribuer à résoudre ce problème croissant. L’arrivée du Covid-19 a considérablement amplifié l’ampleur du phénomène qu’elle étudiait. Son expérience dans l’industrie a transformé sa perspective de recherche. Elle a réalisé qu’il existait souvent un fossé important entre la recherche académique et la réalité terrain. Cette prise de conscience l’a amenée à adopter une approche différente, se concentrant non pas sur ce qui change constamment dans les techniques d’attaque, mais plutôt sur les éléments stables et prévisibles du comportement criminel. Approche criminologique des rançongiciels L’originalité de la recherche de Vicky réside dans son approche criminologique. Plutôt que de se concentrer uniquement sur les aspects techniques qui évoluent rapidement, elle a choisi d’analyser les comportements humains sous-jacents aux attaques. Sa philosophie est que les techniques ne sont que des outils utilisés par des humains pour commettre des actes criminels. Cette perspective lui a permis de découvrir que les attaques de rançongiciels sont beaucoup moins sophistiquées qu’on pourrait le croire. En réalité, la plupart peuvent être exécutées en quelques lignes de commande une fois l’accès obtenu. Cette simplicité contraste avec l’image de tours de magie technologiques souvent véhiculée dans les médias. Constats sur la simplicité des attaques L’un des enseignements les plus marquants de sa recherche concerne la banalité technique des attaques. Vicky observe que les méthodes utilisées aujourd’hui sont essentiellement identiques à celles d’il y a six ans. Les attaquants utilisent toujours la même approche : ils “se tapent la tête” sur différents systèmes jusqu’à ce qu’ils trouvent une faille exploitable. La principale évolution qu’elle note est l’augmentation de la spécialisation des tâches. Alors qu’auparavant, un même attaquant gérait l’ensemble du processus, on observe maintenant une séparation entre ceux qui obtiennent l’accès initial (Initial Access Brokers) et ceux qui mènent l’attaque finale. Cette fragmentation n’augmente cependant pas la complexité technique fondamentale des attaques. Problèmes de base en cybersécurité Vicky souligne que beaucoup d’organisations investissent massivement dans des produits de cybersécurité sophistiqués sans maîtriser les fondamentaux. Elle observe fréquemment des entreprises qui possèdent des outils avancés mais mal déployés ou mal configurés, parfois même pas mis en place du tout. Sa première question lors d’interventions de réponse à incident est révélatrice : “Savez-vous ce que vous avez dans votre environnement ?” La réponse est souvent approximative, ce qui illustre le problème fondamental. Sans une connaissance précise de son infrastructure et une configuration appropriée des éléments de base, les investissements en cybersécurité perdent leur efficacité. Dépendance des attaquants à l’infrastructure des victimes L’une des découvertes les plus importantes de la recherche concerne la forte dépendance des attaquants vis-à-vis de l’infrastructure des victimes. Cette observation est cruciale car elle identifie un point de contrôle pour les défenseurs. Contrairement aux outils d’attaque qu’on ne peut pas contrôler, l’infrastructure appartient à l’organisation et peut être configurée de manière à compliquer considérablement le travail des attaquants. Cette dépendance se manifeste dans tous les aspects de l’attaque : reconnaissance, mouvement latéral, élévation de privilèges, et exfiltration de données. En rendant l’infrastructure moins “accueillante” pour les attaquants, on peut augmenter significativement la difficulté de leurs opérations. Importance critique des comptes valides Les comptes valides représentent la technique la plus stable et la plus utilisée dans l’arsenal des attaquants de rançongiciels. Vicky les observe à toutes les étapes du processus d’attaque : entrée initiale, évasion des défenses, reconnaissance interne, élévation de privilèges, persistance, et mouvement latéral. Cette omniprésence des comptes valides dans les attaques souligne l’importance cruciale de repenser complètement la gestion des accès. Il ne s’agit plus seulement d’appliquer le principe de moindre privilège, mais d’adopter une approche beaucoup plus granulaire et contextuelle. Recommandations pour la gestion des accès Vicky propose une approche révolutionnaire de la gestion des accès basée sur plusieurs dimensions. D’abord, une segmentation par groupes d’employés avec des accès spécifiques à leurs besoins réels, pas théoriques. Ensuite, l’implémentation de restrictions temporelles : la plupart des employés ne travaillent pas après 21h, leurs comptes ne devraient donc pas avoir accès aux systèmes critiques durant ces heures. Elle suggère également des restrictions géographiques, bloquant les connexions depuis des emplacements non autorisés. Ces mesures forcent les attaquants à opérer dans des créneaux temporels et géographiques spécifiques, compliquant considérablement leurs opérations et potentiellement les décourageant de cibler l’organisation. Cibles privilégiées des attaquants L’analyse révèle que certains éléments de l’infrastructure sont systématiquement ciblés. Les antivirus et firewalls sont désactivés par des scripts automatisés. Les solutions de détection (EDR) voient leurs configurations modifiées. L’Active Directory et les contrôleurs de domaine sont particulièrement visés car ils donnent accès à des privilèges étendus. Le cloud est devenu une cible majeure depuis 2020, coïncidant avec la migration massive due à la pandémie. Les services d’accès distant (VPN, bureaux à distance) constituent des portes d’entrée privilégiées. Ces observations permettent de prioriser les efforts de sécurisation sur les éléments les plus à risque. Stratégies d’évasion et de dissimulation Les attaquants investissent énormément d’efforts dans l’évasion de la détection plutôt que dans la sophistication technique. Leur avantage principal réside dans leur capacité à rester indétectés le plus longtemps possible avant de révéler leur présence. Vicky observe de nombreuses techniques de brouillage du trafic réseau, rendant la détection difficile dans le volume normal des communications. Cette approche furtive explique pourquoi une détection précoce peut transformer radicalement la dynamique de l’incident, forçant les attaquants à opérer sous pression et à commettre des erreurs. Aspects comportementaux et motivations L’approche criminologique révèle des aspects souvent négligés. Les attaquants ont des vies personnelles et des contraintes temporelles. Beaucoup opèrent selon des horaires de travail normaux dans leur fuseau horaire. Cette humanisation des attaquants ouvre des possibilités de défense basées sur l’analyse comportementale. Concernant les motivations, au-delà de l’aspect financier évident des rançongiciels, Vicky identifie des problématiques plus subtiles comme les Initial Access Brokers qui vendent des accès pour des sommes dérisoires. Ces cas révèlent souvent des motivations personnelles (frustration professionnelle, problèmes financiers personnels) plutôt que purement lucratives. Méthodologie multidisciplinaire La force de cette recherche réside dans son approche multidisciplinaire, combinant écologie, économie, criminologie et technique. Cette convergence permet de créer une nouvelle chaîne d’attaque (kill chain) basée sur les techniques les plus fréquemment observées, offrant des points d’intervention plus précis. L’approche évite l’écueil de la sur-sophistication des menaces. Plutôt que de se préparer contre des groupes APT ultra-sophistiqués qui ciblent rarement les PME, elle encourage une évaluation réaliste des menaces appropriées à chaque organisation. Impact de la spécialisation criminelle L’évolution vers une spécialisation des rôles dans l’écosystème criminel reflète une professionnalisation du secteur. Les Initial Access Brokers se spécialisent dans l’obtention d’accès qu’ils revendent ensuite. Cette séparation des tâches, bien qu’augmentant l’efficacité globale, crée aussi de nouveaux points de vulnérabilité dans la chaîne criminelle. Le marché des accès révèle des prix parfois dérisoires, suggérant que certains vendeurs sont motivés par autre chose que le profit pur. Cette réalité soulève des questions importantes sur la gestion des risques internes et la satisfaction des employés ayant accès à des systèmes critiques. Recommandations stratégiques La recherche aboutit à des recommandations pragmatiques centrées sur le “security by design”. Il s’agit de repenser fondamentalement l’architecture de sécurité plutôt que d’ajouter des couches successives de protection. Cette approche reconnaît qu’il n’est jamais trop tard pour réviser ses configurations de base. L’objectif n’est pas de créer une forteresse impénétrable, mais de rendre l’environnement suffisamment “ennuyeux” ou difficile pour décourager les attaquants opportunistes. Dans l’esprit de Vicky, “le meilleur truc en cybersécurité, c’est juste être plus embêtant que quelqu’un d’autre”. Cette philosophie pragmatique reconnaît les limites des ressources et se concentre sur l’efficacité maximale avec les moyens disponibles, privilégiant une approche de risque proportionné plutôt que de protection absolue. Collaborateurs Nicolas-Loïc Fortin Vicky Desjardins Crédits Montage par Intrasecure inc Locaux réels par Cybereco
    --------  
    36:23
  • Teknik - Al Trust - Apprentissage automatique - Détection des modèles empoisonnés après entrainement - Parce que... c'est l'épisode 0x604!
    Parce que… c’est l’épisode 0x604! Shameless plug 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Introduction et présentation de l’expert Dans cet épisode spécial de “Police Sécure Cyber Éco”, Emmanuel Christian Nternanya, expert en cybersécurité d’origine congolaise, présente ses recherches révolutionnaires sur la détection de l’empoisonnement de modèles d’intelligence artificielle. Certifié CISSP avec plus d’une décennie d’expérience dans l’industrie informatique depuis 2012 et cinq années spécialisées en cybersécurité, Emmanuel apporte une expertise technique approfondie à un sujet critique pour l’avenir de l’IA. Le problème de l’empoisonnement des modèles d’IA L’empoisonnement de modèles d’IA représente une menace sophistiquée et souvent invisible. Contrairement à l’expérience utilisateur simplifiée que nous connaissons avec ChatGPT ou d’autres interfaces conversationnelles, la réalité technique est bien plus complexe. Chaque modèle d’IA possède un “cerveau” qui doit être entraîné avec des données pour acquérir ses capacités de prédiction et de classification. Le principe fondamental est simple mais préoccupant : si un modèle est entraîné avec des données corrompues indiquant que 1+1=3, il reproduira fidèlement cette erreur. Les modèles d’IA ne font que reproduire ce qu’ils ont appris, sans capacité de discernement critique. Cette vulnérabilité ouvre la porte à des attaques sophistiquées où des adversaires peuvent corrompre intentionnellement les données d’entraînement. La recherche d’Emmanuel démontre qu’il suffit parfois de contaminer seulement 1% des données d’entraînement pour réussir à modifier significativement le comportement d’un modèle. Cette découverte est particulièrement alarmante car elle révèle qu’une intervention minimale peut avoir des conséquences majeures, tout en restant pratiquement indétectable par les méthodes conventionnelles. La solution innovante : le “docteur” en IA Face à cette menace, l’équipe d’Emmanuel a développé une approche révolutionnaire : créer un “docteur” spécialisé dans le diagnostic des modèles d’IA. Ce système de détection peut identifier si un modèle a été empoisonné en analysant uniquement ses poids internes, sans avoir accès aux données d’entraînement originales. La méthodologie de recherche s’appuie sur une approche rigoureuse et extensive. L’équipe a créé 1000 ensembles de données d’entraînement soigneusement vérifiés et non contaminés, puis a entraîné 1000 modèles correspondants. Parmi ces modèles, les 950 présentant les meilleures performances ont été sélectionnés pour l’analyse approfondie. Le processus d’analyse se concentre sur l’architecture des réseaux de neurones convolutifs, particulièrement sur les trois couches denses et la couche de classification finale utilisant une fonction sigmoïde. Chaque couche contient des neurones qui apprennent et retiennent l’information sous forme de poids, des valeurs numériques représentant la connaissance acquise par le modèle. La transformation des poids en images diagnostiques L’innovation majeure réside dans la transformation des poids du modèle en images analysables. Emmanuel explique que les poids d’un modèle varient généralement entre -1 et 1, des valeurs difficiles à interpréter directement. L’équipe a développé un algorithme propriétaire capable de convertir ces poids en valeurs d’intensité d’image (de 1 à 255), créant ainsi des représentations visuelles des états internes du modèle. Cette approche s’inspire de l’imagerie médicale : tout comme un cerveau humain peut être analysé par radiographie, le “cerveau” d’un modèle d’IA peut être “radiographié” en convertissant ses poids en images. Cette analogie n’est pas qu’une métaphore ; elle constitue la base technique de leur méthode de diagnostic. Le système utilise deux docteurs spécialisés, chacun entraîné sur des images de dimensions différentes extraites de couches distinctes du modèle analysé. Le premier docteur analyse des images de 100x100 pixels, tandis que le second traite des images de 200x200 pixels. Cette approche multicouche permet une analyse plus complète et nuancée des modèles suspects. L’apprentissage d’ensemble et les performances La combinaison des deux docteurs spécialisés à travers l’apprentissage d’ensemble (ensemble learning) produit un diagnostic final plus précis que chaque docteur individuellement. Cette synergie permet d’atteindre des taux de réussite impressionnants de 98% à 99% dans la détection des modèles empoisonnés. La validation de ces performances s’effectue sur des modèles que les docteurs n’ont jamais vus pendant leur entraînement. L’équipe utilise des bases de données publiques reconnues comme MNIST Fashion et des données de plaques d’immatriculation disponibles publiquement. Cette approche garantit l’objectivité des résultats et la capacité de généralisation du système. Les défis de la détection à faible contamination Cependant, la détection devient plus complexe lorsque le niveau de contamination diminue. À 1% de contamination, le taux de réussite chute à 77%, révélant les limites actuelles de la technologie. Cette limitation est critique car les adversaires sophistiqués privilégieront naturellement des niveaux de contamination faibles pour éviter la détection. Emmanuel explique que l’amélioration de ces performances nécessite l’optimisation des hyperparamètres et l’exploration de nouvelles techniques d’apprentissage automatique. Néanmoins, il souligne un aspect rassurant : l’analyse du rapport signal/bruit révèle que les modèles empoisonnés à très faible niveau présentent souvent un bruit supérieur de 4% aux modèles sains, les rendant potentiellement inutilisables en pratique. Applications critiques et enjeux sociétaux L’importance de cette recherche transcende les aspects purement techniques. Emmanuel souligne les applications critiques où l’empoisonnement de modèles pourrait avoir des conséquences dramatiques : détection de cancer, diagnostic médical, reconnaissance de plaques d’immatriculation pour les systèmes de sécurité routière. Il illustre ces risques par un exemple concret : un modèle empoisonné de reconnaissance de plaques pourrait identifier incorrectement le véhicule d’un délinquant en fuite, envoyant la convocation à une personne innocente. Ces erreurs ne sont pas de simples dysfonctionnements techniques, mais des failles de sécurité aux conséquences sociales et judiciaires importantes. L’écosystème d’IA et ses vulnérabilités Un aspect particulièrement préoccupant concerne l’écosystème actuel de l’IA. De nombreuses applications utilisent des APIs payantes comme celle de ChatGPT sans vérification de l’intégrité des modèles sous-jacents. Les développeurs intègrent ces services par confiance, sans moyens de vérifier si les modèles ont été compromis. Cette situation crée une chaîne de vulnérabilités où la contamination d’un modèle central peut affecter des milliers d’applications dérivées. L’objectif d’Emmanuel est de fournir des outils forensiques permettant de vérifier l’intégrité des modèles avant leur mise en production, même sans accès complet au modèle original. Perspectives et développements futurs La recherche continue d’évoluer vers une meilleure adaptation aux différentes architectures de modèles. L’équipe développe des algorithmes capables d’ajuster automatiquement l’analyse en fonction de l’architecture spécifique de chaque modèle testé, améliorant ainsi la précision et la polyvalence du diagnostic. Les travaux s’étendent également vers l’analyse de modèles publics disponibles sur des plateformes comme Hugging Face, bien que cette phase n’ait pas encore été complètement mise en œuvre. Cette extension permettrait de cartographier la prévalence réelle de l’empoisonnement dans l’écosystème d’IA public. Conclusion et mission de sensibilisation Au-delà des aspects techniques, Emmanuel porte une mission de sensibilisation cruciale. Il cherche à éveiller les consciences sur l’existence réelle des modèles empoisonnés et leurs implications. Alors que l’adoption de l’IA s’accélère dans tous les secteurs, la compréhension de ces vulnérabilités devient essentielle pour un déploiement sécurisé. Cette recherche représente une contribution significative à la sécurisation de l’écosystème d’intelligence artificielle, offrant des outils concrets pour détecter et prévenir les attaques par empoisonnement de modèles, tout en sensibilisant la communauté aux enjeux critiques de sécurité dans l’ère de l’IA généralisée. Collaborateurs Nicolas-Loïc Fortin Christian Emmanuel Nteranya Crédits Montage par Intrasecure inc Locaux réels par Cybereco
    --------  
    25:58
  • Actualités Cyber Citoyen au 17 juin 2025 - Parce que... c'est l'épisode 0x603!
    Parce que… c’est l’épisode 0x603! Shameless plug 27 et 29 juin 2025 - LeHACK 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Introduction et contexte Ce cinquième épisode de collaboration entre les balados Super Citoyen et Polysécure, animé par Catherine Dupont-Gagnon et Samuel Harper, avec la participation de Nicolas, aborde deux sujets majeurs touchant la cybersécurité et la vie privée des citoyens canadiens. Après une pause d’une semaine, les animateurs se retrouvent pour discuter d’enjeux critiques qui affectent directement les utilisateurs de technologies et les citoyens. Première partie : Les vulnérabilités de Microsoft Copilot La découverte d’une faille majeure L’épisode débute par l’analyse d’une vulnérabilité critique découverte dans Microsoft Copilot, spécifiquement dans sa version M365. Cette faille permet aux attaquants d’injecter des instructions malveillantes dans des documents de manière invisible pour les utilisateurs humains, mais détectable par l’agent d’indexation de Copilot. Le mécanisme d’attaque L’attaque fonctionne selon un principe relativement simple mais efficace : les cybercriminels cachent du texte dans des documents en utilisant des techniques comme l’écriture en blanc sur fond blanc ou des polices de caractères microscopiques. Lorsque Copilot analyse ces documents pour répondre aux requêtes des utilisateurs, il lit ces instructions cachées et les exécute comme s’il s’agissait de commandes légitimes. Samuel Harper explique que cette vulnérabilité est particulièrement dangereuse avec la version M365 de Copilot car cet agent peut indexer l’ensemble du contenu personnel d’un utilisateur : courriels, documents OneDrive, conversations Teams. Les instructions malveillantes peuvent donc ordonner à Copilot d’effectuer des actions non autorisées, comme envoyer des informations sensibles à des adresses externes. Les implications pour les entreprises Cette faille représente un risque considérable pour les organisations, particulièrement celles possédant des secrets industriels ou des informations confidentielles. Un attaquant pourrait théoriquement envoyer un courriel contenant des instructions cachées demandant à Copilot de transmettre tous les secrets industriels à une adresse spécifique. L’agent exécuterait ces commandes sans que l’utilisateur ne s’en aperçoive. Un problème systémique Les animateurs soulignent que bien que Microsoft ait corrigé cette vulnérabilité spécifique, le problème est plus large. Tous les agents d’intelligence artificielle utilisant des modèles RAG (Retrieval-Augmented Generation) - qui puisent leurs réponses dans des bases de données externes - sont potentiellement vulnérables à ce type d’attaque. Google Gemini, Claude et d’autres plateformes similaires pourraient être ciblés par des méthodes comparables. Deuxième partie : Le projet de loi C-4 et la protection des données Une loi aux multiples facettes Samuel Harper présente ensuite une analyse approfondie du projet de loi C-4 du gouvernement Carney, officiellement intitulé “Loi visant à rendre la vie plus abordable pour les Canadiens”. Si les trois premières parties de cette loi concernent effectivement des mesures d’abordabilité (baisses d’impôts, fin de la taxe carbone, remboursement de la TPS pour l’achat d’une première maison neuve), la quatrième partie introduit des modifications controversées à la loi électorale. L’exemption des partis politiques Cette section du projet de loi soustrait les partis politiques fédéraux aux lois de protection des renseignements personnels. Concrètement, cela signifie que les partis politiques, leurs bénévoles et tous ceux qui travaillent en leur nom peuvent exercer toutes les activités avec les renseignements personnels sans aucune restriction légale. Le contexte juridique Cette modification législative fait suite à une décision de 2022 du commissaire à la vie privée de la Colombie-Britannique, qui avait déterminé que les partis fédéraux devaient également respecter la loi provinciale PIPA (Personal Information Protection Act). Les partis politiques ont contesté cette décision jusqu’en Cour suprême de la Colombie-Britannique et ont perdu leur cause. Une stratégie législative discutable Les animateurs dénoncent la tactique consistant à inclure ces modifications controversées dans un projet de loi sur l’abordabilité. Cette approche, rappelant les “omnibus bills” de l’ère Harper, rend difficile l’opposition à des mesures populaires tout en faisant passer des dispositions problématiques. Les risques pour la démocratie Le micro-ciblage politique Catherine et Samuel discutent des dangers du micro-ciblage politique, comparant les stratégies des partis politiques à celles utilisées par Cambridge Analytica. Ils soulignent que les mêmes techniques de marketing qui poussent les consommateurs vers des achats peuvent être utilisées pour manipuler les intentions de vote. L’érosion du choix démocratique Les animateurs expriment leurs préoccupations concernant l’utilisation d’algorithmes pour influencer les électeurs. Ils argumentent que ces pratiques transforment le processus démocratique en exercice de marketing, éloignant les citoyens d’un choix libre et éclairé basé sur leurs valeurs personnelles. La paresse technologique Un thème récurrent de l’épisode est la “paresse technologique” - la tendance des utilisateurs à accepter passivement les solutions automatisées sans exercer leur esprit critique. Cette passivité, selon les animateurs, représente un danger plus immédiat que l’intelligence artificielle générale souvent évoquée dans les scénarios catastrophiques. Réflexions sur l’engagement citoyen La responsabilité démocratique Les animateurs insistent sur l’importance de l’engagement citoyen au-delà du simple vote. Ils encouragent les auditeurs à contacter leurs députés pour exprimer leurs préoccupations concernant des projets de loi comme le C-4, rappelant que la démocratie ne se limite pas aux périodes électorales. L’urgence d’agir Samuel souligne que le projet de loi C-4 pourrait être adopté très rapidement, utilisant une procédure accélérée qui contourne les étapes normales du processus législatif. Cette urgence rend encore plus crucial l’engagement immédiat des citoyens. Conclusion et perspectives L’épisode se termine sur une note qui mélange pessimisme et espoir. Bien que les animateurs identifient des tendances inquiétantes - vulnérabilités technologiques, érosion de la vie privée, manipulation démocratique - ils maintiennent leur foi en la capacité des citoyens canadiens à influencer leur système politique par l’engagement actif. Les deux sujets traités dans cet épisode illustrent les défis interconnectés de notre époque numérique : d’une part, des technologies puissantes mais imparfaites qui créent de nouvelles vulnérabilités ; d’autre part, des institutions politiques qui tentent de s’adapter à ces nouvelles réalités parfois aux dépens des protections démocratiques traditionnelles. L’appel à l’action des animateurs est clair : les citoyens doivent rester vigilants, s’informer activement et s’engager dans le processus démocratique pour préserver leurs droits dans un monde de plus en plus numérisé. La technologie n’est ni bonne ni mauvaise en soi, mais son impact dépend largement de la façon dont la société choisit de l’encadrer et de l’utiliser. Notes À venir Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
    --------  
    1:13:21
  • Teknik - Living Off the Pipeline - From Supply Chain 0-Days to Predicting the next XZ-like attacks - Parce que... c'est l'épisode 0x602!
    Parce que… c’est l’épisode 0x602! Shameless plug 27 et 29 juin 2025 - LeHACK 12 au 17 octobre 2025 - Objective by the sea v8 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec 17 au 20 novembre 2025 - European Cyber Week 25 et 26 février 2026 - SéQCure 2065 Description Introduction et contexte François Proulx fait son retour pour présenter l’évolution de ses recherches sur la sécurité des chaînes d’approvisionnement (supply chain) depuis sa présentation de l’année précédente. Ses travaux portent sur la détection de vulnérabilités dans les pipelines de construction (build pipelines) des projets open source, un sujet qui avait suscité beaucoup d’intérêt suite à l’incident XZ Utils. Évolution de la méthodologie de recherche Depuis l’année dernière, l’équipe de François a considérablement amélioré ses outils et sa stratégie de détection. Plutôt que de scanner massivement tous les dépôts disponibles, ils ont adopté une approche plus ciblée en se concentrant sur des entités majeures comme Google, Red Hat, Nvidia et Microsoft. Ces organisations sont des contributeurs importants de projets open source critiques et bien maintenus. Cette nouvelle approche leur permet de découvrir des centaines d’organisations GitHub par entité, chacune contenant parfois des milliers de dépôts. L’objectif reste le même : détecter des vulnérabilités zero-day dans les build pipelines qui permettent de compiler, tester et distribuer les projets open source, notamment via GitHub Actions. La problématique fondamentale des CI/CD François présente une analogie frappante pour expliquer la dangerosité des systèmes d’intégration continue : “un CI/CD, c’est juste du RCE as a service” (Remote Code Execution as a Service). Ces systèmes sont des applications web qui attendent de recevoir des déclencheurs sur une interface publique accessible via Internet. Dans le cas de GitHub Actions, il suffit d’ouvrir une pull request pour déclencher automatiquement l’exécution de tests. Cette situation rappelle les vulnérabilités des années 1990-2000 avec les débordements de pointeurs. François utilise une formule percutante : “les build pipelines ressemblent à une application PHP moyenne de 2005 en termes de codage sécurisé”. Cette comparaison souligne que malgré les décennies d’évolution en sécurité informatique, les mêmes erreurs fondamentales se répètent dans de nouveaux contextes. Les mécanismes d’exploitation Les vulnérabilités exploitent principalement les entrées non fiables (untrusted input) provenant des pull requests. Même les brouillons de contributions peuvent déclencher automatiquement l’exécution de tests avant qu’un mainteneur soit notifié. Le problème s’aggrave quand les pipelines nécessitent des secrets pour communiquer avec des systèmes externes (notifications Slack, télémétrie, etc.). Par défaut, GitHub Actions hérite parfois d’anciennes permissions en lecture-écriture, ce qui permet aux tests d’avoir accès à un token avec des droits d’écriture sur le dépôt. Cette configuration peut permettre à un attaquant d’écrire dans le dépôt de manière non visible. Résultats impressionnants des analyses L’équipe a considérablement affiné ses outils de détection. À partir de 200 000 résultats initiaux, ils appliquent des règles plus précises pour identifier environ 10 000 cas intéressants. Ces règles valident non seulement la présence de vulnérabilités, mais aussi les critères d’exploitation et la présence de secrets exploitables. Après validation manuelle, environ 25% de ces 10 000 cas s’avèrent facilement exploitables. Ces chiffres démontrent l’ampleur du problème dans l’écosystème open source, même en reconnaissant l’existence probable de nombreux faux négatifs. Cas concrets : Google et les régressions François rapporte avoir découvert des vulnérabilités dans 22 dépôts appartenant à Google, notamment dans un projet lié à Google Cloud (probablement Data Flow). Après avoir signalé et reçu une récompense pour la correction, une régression est survenue une semaine plus tard dans le même workflow, leur valant une seconde récompense. Cette situation illustre un problème récurrent : même les grandes organisations comme Google peuvent reproduire les mêmes erreurs après correction, souvent par méconnaissance des mécanismes sous-jacents de ces nouvelles techniques d’exploitation. L’affaire Ultralytics : un cas d’école L’incident le plus marquant concerne la bibliothèque Python Ultralytics, très populaire pour la détection d’images par apprentissage automatique. En août, l’équipe avait détecté une vulnérabilité dans ce projet mais s’était concentrée sur les découvertes chez Google, négligeant de signaler cette faille. En décembre, Ultralytics a été compromis par l’injection d’un crypto-mineur, exploitant précisément la vulnérabilité identifiée quatre mois plus tôt. Cette attaque était particulièrement ingénieuse car elle ciblait des environnements avec des GPU puissants (utilisés pour le machine learning), parfaits pour le minage de cryptomonnaies, tout en restant discrète dans un contexte où une forte consommation GPU est normale. Pivot vers la détection proactive Cet incident a motivé un changement stratégique majeur : passer de la simple détection de vulnérabilités à la détection proactive d’exploitations en cours. L’équipe ingère désormais le “firehose” des événements publics GitHub, soit environ 5,5 millions d’événements quotidiens. Après filtrage sur les projets critiques avec des build pipelines, ils analysent environ 500 000 événements intéressants par jour. En appliquant leurs analyses sophistiquées et en croisant avec leurs connaissances des vulnérabilités, ils obtiennent environ 45 événements suspects à investiguer quotidiennement. Validation forensique avec Kong Cette nouvelle approche s’est rapidement avérée efficace. Pendant les vacances de Noël, leur système a continué d’ingérer les données automatiquement. Au retour, l’incident Kong (un contrôleur Ingress pour Kubernetes) leur a permis de créer une timeline forensique détaillée grâce aux données accumulées pendant leur absence. Découverte sur les forums cybercriminels La collaboration avec Flare, spécialisée dans l’analyse du dark web, a révélé des informations troublantes. En recherchant “Ultralytics” sur Breach Forum avec un filtrage temporel précis, François a découvert qu’un utilisateur avait créé un compte 24 heures avant l’attaque, publié exactement la vulnérabilité du pipeline Ultralytics en mentionnant l’utilisation de “Poutine” (leur outil), puis confirmé 24 heures après l’exploitation avoir gagné des Monero grâce à cette attaque. Cette découverte confirme que les cybercriminels utilisent activement les outils de recherche en sécurité pour identifier et exploiter des vulnérabilités, transformant ces outils défensifs en armes offensives. Implications et recommandations Cette situation soulève des questions importantes sur la responsabilité des chercheurs en sécurité. François insiste sur le fait que Poutine, leur outil de détection, devrait devenir le minimum absolu pour tout projet open source. Il compare cette nécessité à l’interdiction d’avoir des dépôts Git pour ceux qui n’implementent pas ces vérifications de base. L’analogie avec PHP 2005 reste pertinente : il a fallu des années pour que la communauté PHP matûrisse ses pratiques de sécurité. Les build pipelines traversent actuellement la même phase d’évolution, avec des erreurs fondamentales répétées massivement dans l’écosystème. Défis techniques et limites François reconnaît honnêtement les limitations de leur approche. Leur système ne détecte que les attaques les moins sophistiquées - des “low hanging fruits”. Des attaques complexes comme celle de XZ Utils ne seraient probablement pas détectées par leurs outils actuels, car elles sont trop bien camouflées. Le défi principal reste de filtrer efficacement le bruit dans les millions d’événements quotidiens pour obtenir un nombre d’alertes gérable par une petite équipe d’analystes. Ils reconnaissent que la majorité des incidents leur échappe probablement encore. Perspective d’avenir François exprime l’espoir que la maturation de l’écosystème des build pipelines sera plus rapide que les 20 ans qu’il a fallu pour sécuriser PHP. Leur travail de pionnier contribue à cette évolution en sensibilisant la communauté et en fournissant des outils concrets. L’angle d’analyse des build pipelines est particulièrement pertinent car il se situe à la croisée des chemins entre le code source et sa distribution, avec des possibilités d’exécution de code qui en font un point critique de la chaîne d’approvisionnement logicielle. Cette présentation illustre parfaitement l’évolution rapide des menaces dans l’écosystème open source moderne et la nécessité d’une vigilance constante pour sécuriser les infrastructures critiques dont dépend l’ensemble de l’industrie logicielle. Notes François Proulx Collaborateurs Nicolas-Loïc Fortin François Proulx Crédits Montage par Intrasecure inc Locaux réels par Northsec
    --------  
    34:52

Plus de podcasts Technologies

Podcasts tendance de Technologies

À propos de PolySécure Podcast

Podcast francophone sur la cybersécurité. Pour professionels et curieux.
Site web du podcast
Technologies

Écoutez PolySécure Podcast, Le fil IA ou d'autres podcasts du monde entier - avec l'app de radio.fr

Obtenez l’app radio.fr
 gratuite

  • Ajout de radios et podcasts en favoris
  • Diffusion via Wi-Fi ou Bluetooth
  • Carplay & Android Auto compatibles
  • Et encore plus de fonctionnalités
Ouvrir l'app
Entreprise
Mentions légales
Service
Applications
Réseaux sociaux
Radio France
v7.20.1 | © 2007-2025 radio.de GmbH
Generated: 7/5/2025 - 9:59:34 AM