PolySécure Podcast

Parce que… c’est l’épisode 0x704!

Shameless plug

– 25 et 26 février 2026 - SéQCure 2026

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Introduction : Entre enthousiasme et vigilance

Dans cet épisode, les animateurs explorent l’utilisation concrète de l’intelligence artificielle dans leurs environnements professionnels respectifs. Enregistré dans un contexte festif entre Noël et le jour de l’An, ce podcast vise à démystifier l’IA en partageant des expériences réelles, sanctionnées par leurs employeurs, plutôt que de perpétuer des mythes ou des craintes infondées.

L’IA comme outil, pas comme substitut

L’analogie centrale du podcast compare l’IA à une caméra de recul automobile : un outil utile qui améliore nos capacités, mais qui peut nous rendre « niaiseux » si on s’y fie aveuglément. Vincent insiste sur l’importance de tester l’outil, comme on teste une voiture en hiver dans un stationnement pour comprendre ses réactions et ses limites. Cette approche expérimentale est essentielle pour développer un usage responsable.

Depuis le lancement de ChatGPT en novembre 2022, l’écosystème a considérablement évolué avec l’émergence de concurrents comme Claude, Copilot, Gemini et Mistral. Les deux animateurs utilisent principalement Copilot et Gemini dans des environnements contrôlés par leurs employeurs, avec des autorisations spécifiques pour certains types de données – un point crucial pour la sécurité.

La méthodologie gagnante : partir d’un draft solide

L’approche recommandée par les deux experts est claire : ne jamais partir de zéro. Vincent décrit son processus de travail pour la production de rapports, d’analyses de risque ou d’avis : il rédige toujours un premier draft lui-même avant de le soumettre à Copilot. Il définit ensuite des critères précis : l’audience (exécutive ou opérationnelle), l’objectif de la présentation, et le format souhaité.

Cette méthode respecte la règle du 80/20 : on maîtrise 100 % du sujet, ce qui permet de détecter facilement les 20 % d’ajustements nécessaires dans le résultat proposé par l’IA. Vincent souligne que sa force réside dans les idées et le message, tandis que l’IA l’aide sur la présentation et la structure – un domaine qu’il reconnaît comme moins naturel pour lui.

Nicolas partage cette philosophie : l’IA lui permet de gagner du temps en structurant ses idées plus efficacement, économisant les deuxième et troisième réécritures qu’il effectuait auparavant. Un rapport qui prenait une semaine peut maintenant être complété en 2,5 à 3 jours, mais cela représente toujours un travail humain substantiel.

L’IA n’est pas votre ami : une relation professionnelle

Un point crucial soulevé par Nicolas : il ne converse pas avec l’IA, il lui donne des directives. Cette approche professionnelle évite le piège de vouloir « plaire » à l’agent conversationnel. Vincent reconnaît ce risque : l’IA peut effectivement chercher à faire plaisir à l’utilisateur, reproduisant parfois exactement ce qu’on lui a soumis avec des changements cosmétiques.

La métaphore employée évolue de « wingman » à « copilote », voire à « un enfant de 5 ans qui écrit bien » selon Nicolas. Cette désacralisation est importante : l’IA est un outil, pas un collègue, pas un ami, et certainement pas un expert autonome.

Les pièges à éviter : hallucinations et références fictives

Les animateurs mettent en garde contre plusieurs dangers majeurs :

Les hallucinations : L’IA peut inventer des informations, notamment des références juridiques inexistantes. Plusieurs cas d’avocats américains ont fait les manchettes pour avoir cité des jurisprudences fictives. Au Québec et au Canada, où les données sont plus périphériques dans l’entraînement des modèles, ce risque est encore plus élevé.

Les références erronées : L’IA propose souvent des sources qu’il faut impérativement vérifier. Vincent raconte avoir reçu des références provenant d’autres pays (Luxembourg, Japon, Chine) totalement inadéquates pour le contexte québécois et canadien. Les lois et règlements variant d’un pays à l’autre, une validation systématique est essentielle.

Les biais discriminatoires : Vincent rappelle le cas d’Amazon en 2017-2018, où un système d’IA de tri de CV excluait systématiquement les femmes. Ces biais, parfois subtils, peuvent s’infiltrer dans les textes générés et nécessitent une vigilance constante, d’autant plus que l’AMF (Autorité des marchés financiers) s’intéresse de près à ces questions.

Cas d’usage concret : l’importance du contexte

Vincent partage un exemple éloquent : pour produire un avis de risque dans un délai serré, il a fourni à l’IA des documents de référence spécifiques (code Maestro, COBIT 4.1) ainsi que le contexte précis, les critères et les limitations. Le résultat : un document à 99 % probant, très cadré, qui lui a permis de présenter rapidement des recommandations claires à son vice-président.

Cette approche illustre le concept de RAG (Retrieval-Augmented Generation) : en fournissant une base de connaissance spécifique, on obtient des résultats beaucoup plus précis et pertinents. L’IA n’est pas un moteur de recherche, mais un générateur de texte qui performe mieux quand on lui donne le contexte adéquat.

Votre réputation en jeu

Un message fort traverse tout le podcast : c’est votre nom qui apparaît sur le document. Si vous déposez un travail médiocre généré par l’IA sans vérification, c’est votre réputation professionnelle qui en souffrira, pas celle de la machine. Les conséquences peuvent être sévères : perte de confiance de la part des gestionnaires, sanctions professionnelles, voire amendes dans le cas d’avocats.

La relation de confiance avec son supérieur est fragile, particulièrement en début de carrière. Un gestionnaire qui reçoit un document s’attend à ce que son auteur en maîtrise le contenu à 100 %. L’incapacité à répondre aux questions lors de la « question du journaliste » – ce moment où un décideur challenge votre travail – peut détruire cette confiance de manière durable.

Conclusion : maîtrise et vigilance

L’analogie de l’automobile revient en conclusion : l’IA est un outil puissant et utile, mais qui nécessite une maîtrise adéquate avant utilisation, comme un permis de conduire. Elle peut générer des gains de productivité de 10 % ou plus, mais ne remplacera pas l’humain, du moins pas dans un avenir immédiat.

Les animateurs insistent : vous restez imputable de vos décisions et de votre travail. L’IA est un allié dans votre stratégie et votre tactique, mais vous êtes le décideur final. Utilisez-la comme un accélérateur, un rehausseur de qualité, mais jamais comme un substitut à votre expertise et votre jugement professionnel.

Collaborateurs

Nicolas-Loïc Fortin

Vincent Groleau

Crédits

Montage par Intrasecure inc

Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x703!

Shameless plug

25 et 26 février 2026 - SéQCure 2026

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Introduction

Ce podcast réunit Nicolas Milot, Cyndie Fletz et Dominique Derrier pour discuter d’un sujet pour les PME : la différence entre les fournisseurs de services gérés traditionnels (MSP) et les fournisseurs de services de sécurité gérés (MSSP). Cette distinction, souvent mal comprise, a des implications importantes pour la stratégie technologique et la cybersécurité des entreprises.

Définitions et différences fondamentales

Le MSP (Managed Service Provider) et le MSSP (Managed Security Service Provider) ne sont pas interchangeables, malgré la tentation de certains fournisseurs de vouloir tout couvrir. La différence se résume ainsi : le MSP s’occupe principalement de la disponibilité des systèmes informatiques, tandis que le MSSP se concentre sur la sécurité contre les cybermenaces.

Le rôle du MSP est de s’assurer que tout fonctionne sans interruption : les pages web s’affichent, les commandes sont traitées, les bons de commande s’impriment et les clients reçoivent des réponses. C’est une question d’opérations quotidiennes et de continuité des affaires.

Le MSSP, quant à lui, se préoccupe de l’intégrité et de la confidentialité des données. Il surveille et protège contre les acteurs malveillants et les cyberattaques. Au Québec, pratiquement toutes les entreprises offrant des services de cybersécurité sont des MSSP, même si elles ne l’affichent pas toujours explicitement dans leur nom.

Approches opérationnelles distinctes

Une différence majeure réside dans la nature du travail. Le MSP a “les mains dans la technologie” : il intervient directement sur les systèmes, gère les serveurs, connaît les processus de redémarrage et l’ordre dans lequel les services doivent être relancés. Il sait si la base de données doit redémarrer avant le service web, ou si l’ERP doit être prioritaire sur les robots.

Le MSSP, en revanche, travaille davantage dans l’analyse que dans l’intervention directe. Il collecte des informations via des technologies comme les EDR (Endpoint Detection and Response) et les SIEM (Security Information and Event Management). Ces outils de défense requièrent une spécialisation particulière pour être exploités à leur pleine valeur. Avoir la capacité technique de déployer ces outils ne signifie pas nécessairement pouvoir en extraire toute la valeur pour le client.

Comme l’explique l’équipe, “rouler un outil et l’analyser sont deux choses vraiment différentes”. Un MSP peut savoir utiliser un outil de sécurité, mais sera-t-il capable d’en tirer la valeur analytique maximale? Ce sont des questions essentielles à poser lors du choix d’un fournisseur.

L’importance de choisir le bon partenaire

Les MSP et MSSP deviennent des partenaires à long terme, voire des extensions de l’équipe TI interne. Il est crucial de ne pas “mélanger les genres”. Demander à un MSSP de gérer le patching ou les opérations quotidiennes, c’est comme “enfoncer une vis avec un marteau ou un clou avec un tournevis” : ce n’est pas le bon outil pour le travail.

Inversement, si vous payez un MSSP pour faire du travail de MSP, vous risquez soit de payer trop cher, soit de recevoir un service inadéquat. Les contrats étant généralement conclus sur le long terme, choisir le mauvais type de service peut sérieusement nuire aux objectifs de l’entreprise.

La coexistence MSP-MSSP : défis et collaboration

Un aspect délicat est la coexistence de ces deux types de fournisseurs. Le MSP se concentre sur le “run” quotidien, tandis que le MSSP doit collaborer avec celui qui opère ce “run”, particulièrement en cas d’incident de sécurité.

Cette dynamique peut créer des tensions. La mission du MSP est que tout fonctionne et roule sans interruption, tandis que la mission du MSSP est que tout soit sécuritaire, ce qui peut impliquer des processus plus longs. En cas d’incident de sécurité majeur, ce conflit devient aigu : le client veut remettre sa chaîne de production en marche rapidement, mais le MSSP insiste pour mener une enquête forensique et récupérer des informations critiques.

Il peut même y avoir un conflit d’intérêts si la même entreprise offre ces deux volets. C’est au client d’arbitrer entre ces positions, avec toutes les informations fournies par ses partenaires. Le client reste “accountable” devant son propre client et doit pouvoir faire des choix éclairés en fonction de ses priorités d’affaires et de ses obligations légales.

L’ordre logique pour les PME

Un conseil crucial pour les PME : ne prenez pas de MSSP si vous n’avez pas d’abord une gestion solide de votre IT. Il faut d’abord établir une hygiène de base avant d’investir dans la sécurité avancée. Si un fournisseur de sécurité découvre que vous n’avez même pas d’EDR déployé, vous paierez pour qu’il fasse votre travail TI de base en plus de la sécurité. Cela rendra la sécurité prohibitivement chère et risque de vous “dégoûter” du domaine.

Comme le souligne l’équipe, avec 97,1% des entreprises québécoises comptant moins de 100 employés, beaucoup n’ont même pas d’équipe TI interne. Les équipes de sécurité dédiées sont encore plus rares. Ces entreprises devront inévitablement se tourner vers des MSSP à un moment donné, mais seulement après avoir établi des bases solides avec un MSP.

Le facteur cyberassurance

Les cyberassurances ajoutent une couche de complexité. Elles exigent généralement la présence d’un SOC (Security Operations Center), donc d’un MSSP. Mais elles requièrent aussi que des mesures de base soient en place : l’authentification multifacteur (MFA), la gestion des comptes, le DKIM, etc. Ces éléments, qui relèvent du MSP, doivent être implémentés avant même de pouvoir contracter sérieusement une cyberassurance.

Conclusion

Le message final est clair : cherchez un partenaire, pas un simple fournisseur. Soyez curieux, posez des questions, mais ne cherchez pas à “coincer” vos fournisseurs avec des questions pièges. La relation doit être collaborative. Et rappelez-vous : ni le MSP ni le MSSP n’est responsable de votre maturité technologique ou sécuritaire. Ils vous aident dans la mesure où vous le voulez, moyennant des frais supplémentaires pour augmenter cette maturité. Enfin, un dernier conseil important : les audits ne doivent jamais être réalisés par votre MSP, car il ne peut pas se vérifier lui-même.

Collaborateurs

Nicolas-Loïc Fortin

Dominique Derrier

Cyndie Feltz

Nicholas Milot

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x702!

Shameless plug

25 et 26 février 2026 - SéQCure 2026

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Notes

IA

The leaky one

Exposed Moltbook Database Let Anyone Take Control of Any AI Agent on the Site

Massive AI Chat App Leaked Millions of Users Private Conversations

An AI Toy Exposed 50,000 Logs of Its Chats With Kids to Anyone With a Gmail Account

Trump’s acting cyber chief uploaded sensitive files into a public version of ChatGPT




The uncontrolled one

Viral Moltbot AI assistant raises concerns over data security

OpenClaw AI Runs Wild in Business Environments

Claude Code ignores ignore rules meant to block secrets

Unaccounted-for AI agents are being handed wide access




Vibe-Coded ‘Sicarii’ Ransomware Can’t Be Decrypted

AISLE Discovered 12 out of 12 OpenSSL Vulnerabilities

Kevin Beaumont: “Amazon have reported “hundreds…” - Cyberplace

Second Round of Critical RCE Bugs in n8n Spikes Corporate Risk




Souveraineté

Iran is building a two-tier internet that locks 85 million citizens out of the global web - Rest of World

France says au revoir to US videoconferencing software

Nations must spend 1% of GDP on AI infrastructure – Gartner




Privacy

Supreme Court to hear Facebook pixel tracking case

UK House of Lords Votes to Extend Age Verification to VPNs

The Constitutionality of Geofence Warrants

Kash Patel says the FBI is investigating Signal chats of Minnesotans tracking ICE

Speak in code, delete the chats: The tactics Venezuelans are using out of fear of phone checks

Data Protection Day: 5 misconceptions about data protection, debunked

France fines unemployment agency €5 million over data breach

New Apple feature will block cell networks from capturing precise location data




Blue

1Password adds pop-up warnings for suspected phishing sites

Google Announces Android Theft Protection Feature to Make Your Device Harder Target for Hackers

Microsoft to disable NTLM by default in future Windows releases




Red

Microsoft 365 Outlook Add-ins Weaponized to Exfiltrate Sensitive Email Data Without Leaving Traces

Meet IClickFix: a widespread framework using the ClickFix tactic




Legalize et Politics

Grok

EU launches formal investigation into X and Grok over sexual images

For These Women, Grok’s Sexualized Images Are Personal




Trump Administration Rescinds Biden-Era Software Guidance

Is America’s Cyber Weakness Self-Inflicted?

Finland looks to end “uncontrolled human experiment” with Australia-style ban on social media

France passes bill to ban social media use by under-15s




Divers

Kevin Beaumont: “if you want to buy yourself a …” - Cyberplace

DOJ releases details alleged talented hacker working for Jeffrey Epstein




Collaborateurs

Nicolas-Loïc Fortin

Crédits

Montage par Intrasecure inc

Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x701!

Shameless plug

25 et 26 février 2026 - SéQCure 2026

CfP




31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Les initiatives du gouvernement du Québec en cybersécurité

Dans cet épisode du podcast, je reçois Yvan Fournier, chef gouvernemental de la sécurité de l’information du gouvernement du Québec, qui occupe le poste de sous-ministre adjoint. Cette conversation révèle l’ampleur des transformations en cours au sein de l’appareil gouvernemental québécois en matière de cybersécurité.

Un parcours technique impressionnant

Yvan Fournier possède un parcours professionnel remarquable de 29 ans dans le réseau de la santé, où il a occupé pratiquement tous les postes possibles, du technicien jusqu’au directeur général de la cybersécurité. Son expertise technique est considérable : il détient 22 certifications en cybersécurité, a été le premier instructeur Novell francophone, et a même participé à des concours de hacking aux États-Unis. Cette solide expérience technique lui permet aujourd’hui d’apporter une vision pragmatique et éclairée à son rôle stratégique.

Les 15 mesures obligatoires : une base solide

En 2019, en collaboration avec des champions du réseau gouvernemental, l’équipe d’Yvan Fournier a établi 15 mesures obligatoires de cybersécurité, inspirées du référentiel NIST. Ces mesures incluent des éléments fondamentaux comme l’authentification multifacteur, l’application des correctifs de sécurité, et l’utilisation de systèmes d’exploitation encore supportés par les fabricants. Ces mesures constituent le socle sur lequel repose aujourd’hui la stratégie de cybersécurité gouvernementale, visant à protéger les données des citoyens et assurer la continuité des services publics.

Une surveillance centralisée 24/7/365

L’un des projets phares actuels est la mise en place d’un service de surveillance centralisé fonctionnant 24 heures sur 24, 7 jours sur 7, 365 jours par année, basé sur l’intelligence artificielle. Historiquement, chaque organisme public devait assurer sa propre surveillance, ce qui créait des disparités importantes selon les ressources disponibles. Les petits organismes ne pouvaient pas se permettre d’avoir du personnel de garde en permanence.

Le nouveau système centralise les données provenant de multiples sources : les EDR (antivirus avancés), les balayages de vulnérabilités externes et internes, les PDNS (pour surveiller les employés en télétravail), et les vérifications des Active Directory. Toutes ces informations convergent vers des SIEM et SOAR locaux, basés sur l’IA, permettant une vue d’ensemble complète de l’état de sécurité du gouvernement. Le gouvernement collabore également avec des firmes privées pour assurer cette surveillance continue. Fait intéressant, le coût de ce service est environ deux fois moins élevé que ce que paient certaines organisations privées, tout en offrant un niveau de service supérieur.

Le regroupement RHI : une révolution organisationnelle

Un changement majeur qui n’a pas reçu l’attention médiatique qu’il mérite est le regroupement RHI, qui intègre la cybersécurité de 52 organismes publics (ministères et organismes) directement au sein du MCN (Ministère de la Cybersécurité et du Numérique). Cette centralisation, qui prendra effet à partir du 1er avril, permettra d’harmoniser les choix technologiques et stratégiques dans tout l’appareil gouvernemental. Comme le souligne Fournier, ce n’est pas parce qu’un organisme est petit qu’il doit avoir une sécurité moins robuste, car tous les systèmes sont interconnectés et une vulnérabilité dans un petit organisme peut compromettre l’ensemble.

L’automatisation et la réactivité

L’un des enjeux majeurs identifiés par Fournier est la vitesse à laquelle les attaques se produisent désormais. Avec l’arrivée de l’intelligence artificielle, le nombre d’attaques a augmenté drastiquement, et le temps entre la découverte d’une vulnérabilité zero-day et son exploitation est passé de plusieurs jours ou semaines à environ quatre heures. Cette réalité impose une automatisation des réponses.

Le nouveau système permettra non seulement de détecter les menaces en temps réel, mais aussi d’automatiser les réactions : bloquer automatiquement les serveurs compromis, déployer centralement les indicateurs de compromission (IOC) sur tous les pare-feu du gouvernement, et même arrêter préventivement les services à risque. L’exemple de la vulnérabilité SharePoint illustre bien cette capacité : le Québec a agi rapidement en fermant les systèmes vulnérables, alors qu’une autre province a subi le piratage de 900 serveurs SharePoint.

Reconnaissance internationale et création de CVE

Un accomplissement remarquable est que le Québec (et non le Canada) fait maintenant partie des 20 organisations mondiales autorisées à créer des CVE (Common Vulnerabilities and Exposures), aux côtés du Luxembourg. Cette reconnaissance témoigne de l’excellence des équipes de pentesting québécoises, qui découvrent régulièrement des vulnérabilités, parfois avec l’aide de pentesteurs virtuels basés sur l’IA.

Le balayage de vulnérabilités : externe et interne

Le balayage externe des vulnérabilités, déployé massivement pendant le confinement, permet déjà une visibilité complète sur la surface d’attaque visible depuis Internet. Le balayage interne, actuellement en cours de déploiement, apportera une dimension supplémentaire cruciale. Au-delà de l’identification des vulnérabilités, ces outils permettront de créer un inventaire automatisé et centralisé de tous les équipements, logiciels, et même des microcodes des contrôleurs de stockage et des BIOS.

Cet inventaire facilitera grandement la gestion des risques : lorsqu’une nouvelle vulnérabilité est annoncée, il sera possible de cibler immédiatement les organismes concernés plutôt que d’alerter tout le monde. De plus, cet inventaire donnera une vision claire de la dette technique et permettra de prioriser les investissements en fonction des risques réels.

Le défi des objets connectés

Fournier identifie les objets connectés (IoT) comme un défi majeur pour l’avenir. Ces dispositifs, de plus en plus présents dans l’environnement gouvernemental (santé, transport, construction), posent des problèmes de sécurité particuliers. La majorité des microcodes sont produits par cinq grandes compagnies chinoises, et ces objets peuvent contenir des fonctionnalités insoupçonnées, comme la reconnaissance faciale dans un drone à 40 dollars. L’exemple du thermomètre d’aquarium ayant servi de point d’entrée pour paralyser un casino pendant 24 heures illustre les risques associés. Pour Fournier, avoir un inventaire complet des objets connectés dans l’appareil gouvernemental représente le “Saint Graal” de la cybersécurité.

Le projet de loi 82 et les infrastructures critiques

Le projet de loi 82 confère pour la première fois au gouvernement du Québec une responsabilité dans la sécurité des infrastructures critiques de la société civile. Cela inclut l’eau, l’électricité, et d’autres services essentiels. Le gouvernement commence déjà à travailler avec certaines municipalités qui manifestent un vif intérêt pour cette collaboration, particulièrement importante considérant la vulnérabilité des systèmes de gestion de l’eau.

Conclusion

Les initiatives présentées par Yvan Fournier démontrent que le gouvernement du Québec prend la cybersécurité au sérieux et investit massivement dans la protection de ses systèmes et des données des citoyens. La centralisation des ressources, l’automatisation des réponses, la surveillance continue, et l’adoption de technologies basées sur l’IA positionnent le Québec comme un leader en matière de cybersécurité gouvernementale. Ces efforts et combinés à l’ouverture au code source, tracent la voie vers un avenir numérique plus sûr pour tous les Québécois.

Collaborateurs

Nicolas-Loïc Fortin

Yvan Fournier

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x700!

Shameless plug

29 janvier 2026 - The Coming AI Hackers

25 et 26 février 2026 - SéQCure 2026

CfP




31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Introduction

Ce 12e épisode de collaboration entre Cyber Citoyen et Polysécure marque également la première année de partenariat entre les animateurs. Nicolas, Catherine Dupont-Gagnon et Samuel Harper abordent deux sujets majeurs d’actualité en cybersécurité : la controverse autour de Grok et les développements récents concernant les centres de fraude au Cambodge.

Grok : une plateforme problématique

Le problème de la pornographie juvénile générée par IA

Le premier sujet abordé concerne Grok, l’outil d’intelligence artificielle de X (anciennement Twitter), qui soulève de graves préoccupations en matière de pornographie juvénile générée par IA. Les animateurs dénoncent l’hypocrisie apparente de ceux qui prétendent lutter contre ce fléau tout en tolérant l’existence de cette plateforme.

Seuls quelques pays, notamment l’Indonésie et la Malaisie en Asie, ont officiellement bloqué Grok. L’Europe reste relativement passive, l’Angleterre mène une enquête, et les États-Unis ainsi que le Canada n’ont pris que des mesures limitées. Elon Musk a même dénoncé cette situation comme de la « censure », un choix de bataille que les animateurs trouvent particulièrement troublant.

Les cas choquants

Le podcast relate des histoires tragiques, notamment celle d’une jeune victime d’un incendie dont la photo mémoriale a été utilisée par des utilisateurs de X pour demander à Grok de générer des images pornographiques. Ces cas se multiplient, particulièrement lorsque des visages féminins ou de jeunes filles apparaissent en ligne.

Les mesures insuffisantes

Les premières barrières mises en place par Musk consistaient à limiter cette fonctionnalité aux comptes payants, créant des situations absurdes où l’outil proposait de passer au forfait premium pour accéder à ces fonctionnalités illégales. Les filtres sont facilement contournables, contrairement à d’autres plateformes comme Google, MidJourney ou ChatGPT qui ont mis en place des filtres stricts dès le départ.

L’inaction des grandes entreprises

Apple et Google n’ont pas retiré l’application de leurs boutiques, malgré les violations apparentes de leurs conditions d’utilisation. L’administration Trump actuelle montre une tolérance extrême envers ce type de contenu, et les tentatives européennes d’imposer des amendes ont été contrecarrées par des représailles, incluant la révocation de visas et le placement sur des listes de sanctions.

Un problème sociétal plus large

Les animateurs soulignent que le problème dépasse Grok. Craig Silverman, journaliste spécialisé dans la fraude en ligne, a découvert 25 000 publicités sur Meta en 2025 pour des applications de « deepnude ». La facilité d’accès à ces outils, comparativement à l’époque où il fallait maîtriser Photoshop, amplifie considérablement le problème. La génération instantanée d’images ne laisse pas le temps de réfléchir aux conséquences, facilitant les actes impulsifs de revenge porn et de harcèlement.

Les centres de fraude au Cambodge

Le contexte

Le deuxième sujet porte sur les développements majeurs concernant les centres de fraude au Cambodge et au Myanmar. Ces « scam compounds » sont des centres où des personnes sont retenues en esclavage pour commettre des fraudes en ligne. Pendant la pandémie, d’anciens casinos se sont reconvertis en centres de fraude, représentant jusqu’à 60 % du PIB cambodgien.

L’arrestation de Chen Ji

Récemment, Chen Ji, un magnat de cette industrie membre du Prince Group (un conglomérat incluant une compagnie aérienne, des projets immobiliers et des casinos), a été arrêté au Cambodge et extradé vers la Chine. Cette arrestation est surprenante car Chen Ji avait des liens étroits avec le pouvoir cambodgien. En 2019, le premier ministre avait même refusé de l’extrader malgré les demandes chinoises.

Les développements récents

Suite à cette arrestation, plusieurs centres se sont vidés. À certains endroits, les gérants ont simplement ouvert les portes et laissé partir les prisonniers. Des centaines de ressortissants chinois se sont retrouvés devant l’ambassade à Phnom Penh, cherchant à rentrer chez eux. Des milliers de personnes sont dans les rues en situation de crise, certains ayant été retenus pendant des années après avoir perdu leur argent au casino et s’être fait confisquer leur passeport.

Une répression sélective

Plusieurs hauts gradés de la police et un général du ministère de l’immigration ont été démis de leurs fonctions pour implication dans le trafic humain. Cependant, la répression semble sélective : certains centres continuent d’opérer normalement, et des journalistes rapportent avoir vu des personnes tentant de s’échapper être rattrapées, battues et ramenées à l’intérieur.

La fermeture des marchés de blanchiment

Parallèlement, We Guarantee, le plus gros marché illégal de l’histoire (sur Telegram), appartenant à des proches du pouvoir cambodgien, a fermé en mai 2025 après qu’une compagnie d’enquête crypto ait exposé ses opérations de blanchiment. Son successeur, Todo Guarantee, a également fermé après 7 semaines.

Les pressions internationales

Les hypothèses suggèrent que les sanctions américaines, la pression de la Corée du Sud (qui a émis des avis de voyage contre le Cambodge) et surtout l’insistance chinoise ont forcé le Cambodge à agir. La Chine est particulièrement motivée car ce sont principalement ses citoyens qui sont victimes de ces fraudes et qui se font trafiquer dans ces centres.

Conclusion

Les animateurs concluent en soulignant l’inaction générale face à ces problèmes. Que ce soit pour Grok ou pour les centres de fraude, les pouvoirs en place tardent à agir efficacement. Ils comparent la situation à l’époque du Far West d’internet des années 90, où l’absence de conséquences encourageait tous les comportements. La professionnalisation et l’application de règles avaient alors permis d’améliorer la situation, mais aujourd’hui, on semble avoir régressé vers un état d’impunité, particulièrement sur les réseaux sociaux où la tolérance est devenue extrême sous l’administration Trump.

Cette première année de collaboration se termine sur l’espoir que 2026 apportera des changements positifs, bien que les signes actuels ne soient pas encourageants.

Notes

Malaysia and Indonesia block X over deepfake smut

Ofcom officially investigating X over Grok nudification

Kevin Beaumont: “The UK government is to enforc…”

Apps like Grok are explicitly banned under Google’s rules—why is it still in the Play Store?à

California AG to probe Musk’s Grok for nonconsensual deepfakes

Kevin Beaumont: “X has finally climbed down ove…”

Ofcom continues X probe despite Grok ‘nudify’ fix

Elon Musk’s X says it will block Grok from making sexual images

Campaigners demand Apple, Google remove Grok from stores

X serre la vis de sa plateforme de nudification, mais pas trop fort quand même

State Department Threatens UK Over Grok Investigation, Because Only The US Is Allowed To Ban Foreign Apps

Elon Musk’s Grok ‘Undressing’ Problem Isn’t Fixed

Collaborateurs

Nicolas-Loïc Fortin

Catherine Dupont-Gagnon

Samuel Harper

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm