PolySécure Podcast

Épisodes disponibles

5 sur 672

Teknik - Threat Hunting in KQL 101 - Parce que... c'est l'épisode 0x673!
Parce que… c’est l’épisode 0x673! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Collaborateurs Nicolas-Loïc Fortin Yoan Schinck Crédits Montage par Intrasecure inc Locaux réels par DEATHcon Montréal
--------
25:06
--------
25:06
Spécial - 10 ans d'ECW, le PeC, la collaboration commmunautaire et l'espace régalien - Parce que... c'est l'épisode 0x672!
Parce que… c’est l’épisode 0x672! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Collaborateurs Nicolas-Loïc Fortin Arnaud Coustillière Crédits Montage par Intrasecure inc Locaux réels par European Cyber Week
--------
29:55
--------
29:55
Actu - 30 novembre 2025 - Parce que... c'est l'épisode 0x671!
Parce que… c’est l’épisode 0x671! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 27 février 2026 - Blackout 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 juin 2026 - leHACK Notes IA Vibe coding: What is it good for? Absolutely nothing The slow rise of SBOMs meets the rapid advance of AI Malveillant How Malware Authors Incorporate LLMs to Evade Detection KawaiiGPT - Free WormGPT Variant Leveraging DeepSeek, Gemini, and Kimi-K2 AI Models LLMs Tools Like GPT-3.5-Turbo and GPT-4 Fuels the Development of Fully Autonomous Malware Amazon Is Using Specialized AI Agents for Deep Bug Hunting OpenAI dumps Mixpanel after analytics breach hits API users Gibberifier Souveraineté Europe Is Bending the Knee to the US on Tech Policy NATO taps Google for air-gapped sovereign cloud Canadian data order risks blowing a hole in EU sovereignty Underwater Cables That Carry the Internet Are in Trouble Social media giants liable for financial scams under new EU law Switzerland: Data Protection Officers Recommend Broad Cloud Ban for Authorities Pluralistic: (Digital) Elbows Up (28 Nov 2025) – Pluralistic: Daily links from Cory Doctorow Red Threats Actors Leverage Python-based Malware to Inject Process into a Legitimate Windows Binary New Fluent Bit Flaws Expose Cloud to RCE and Stealthy Infrastructure Intrusions ClickFix Hackers Tricks macOS Users to Execute Command in Terminal to Deliver FlexibleFerret Malware Beware of Weaponized Google Meet page that uses ClickFix to deliver Malicious Payload ClickFix attack uses fake Windows Update screen to push malware Malicious Blender model files deliver StealC infostealing malware HashiCorp Vault Vulnerability Allow Attackers to Authenticate to Vault Without Valid Credentials Cheap Device Bypasses AMD, Intel Memory Encryption Advanced Security Isn’t Stopping Old Phishing Tactics Des outils de formatage de code ont exposé des milliers de mots de passe Over 390 Abandoned iCalendar Sync Domains Could Expose ~4 Million Devices to Security Risks Public GitLab repositories exposed more than 17,000 secrets Blue Leonardo unveils ‘Michelangelo Dome’ AI-powered shield system Ex-CISA officials, CISOs aim to stop the spread of hacklore Mobile phones : Threat landscape since 2015 Air Force practices operating from cut-off bases in fierce future war Airbus: We were hours from pausing production in Spain Microsoft to secure Entra ID sign-ins from script injection attacks Privacy Mind-reading devices can now predict preconscious thoughts: is it time to worry? One Tech Tip: Modern cars are spying on you. Here’s what you can do about it Proton Meet: Secure, end-to-end encrypted video conferencing Chat Control - 3 ans de débats pour accoucher d’un truc qui ne sert à rien GrapheneOS: “We no longer have any active s…” - GrapheneOS Mastodon GrapheneOS bails on OVHcloud over France’s privacy stance European Parliament for mandatory age verification for social media Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc
--------
56:35
--------
56:35
Teknik - Split-Second Side Doors - How Bot-Delegated TOCTOU Breaks The CI/CD Threat Model - Parce que... c'est l'épisode 0x670!
Parce que… c’est l’épisode 0x670! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Ce podcast réunit François Proulx, Alexis Maurer-Fortin et Sébastien Graveline, chercheurs chez BoostSecurity, une startup montréalaise spécialisée en sécurité applicative. L’épisode explore les coulisses de leur travail de recherche et développement, particulièrement leurs découvertes récentes sur les vulnérabilités de type “race condition” dans les pipelines CI/CD. Structure et méthodologie de recherche L’équipe de recherche de BoostSecurity fonctionne de manière structurée mais flexible. François Proulx définit les grandes orientations annuelles basées sur les tendances émergentes et les apprentissages de l’année précédente. Alexis apporte son expertise en développement backend et son approche défensive, tandis que Sébastien, joueur avide de CTF, contribue avec une perspective offensive de red team. Garance, absente lors de l’enregistrement, assure la rigueur académique en effectuant des revues approfondies de la littérature scientifique. Infrastructure de recherche massive L’équipe a développé une infrastructure impressionnante pour la détection de vulnérabilités à grande échelle. Au cœur de leur système se trouve Poutine, un outil open source développé en Go pour scanner les pipelines de build, particulièrement les GitHub Actions. Cette infrastructure analyse continuellement l’écosystème open source, accumulant plusieurs téraoctets de données sur des millions de projets. Leur système “Threat Hunter” ingère en quasi-temps réel tous les événements publics sur GitHub avec un délai d’environ cinq minutes, capturant même les dépôts éphémères qui n’existent que brièvement. Cette capacité leur permet de détecter des attaques en cours, comme l’attaque par “confused deputy” de Kong qu’ils ont pu capturer et analyser. Les données sont stockées dans Google Cloud BigQuery, permettant des analyses complexes qui auraient autrefois nécessité des semaines de travail. Découverte d’une nouvelle technique de malware François décrit une découverte récente concernant une technique d’obfuscation utilisant les “Private Use Areas” d’Unicode. Ces plages de caractères, réservées mais jamais attribuées officiellement, permettent d’encoder des données arbitraires dans des chaînes de caractères invisibles. Un malware peut ainsi être caché dans du code source JavaScript, Python ou Go sans être visible dans les éditeurs standards comme Visual Studio Code. En réponse, l’équipe a développé “Puant”, un outil open source capable de scanner efficacement des millions de fichiers en quelques secondes pour détecter l’utilisation de ces caractères suspects. L’outil peut s’intégrer facilement dans les pipelines CI/CD pour bloquer du code contenant ces caractères invisibles lors de la révision de pull requests. Vulnérabilités “Time of Check, Time of Use” dans les pipelines CI/CD La découverte majeure présentée concerne une classe de vulnérabilités de type “race condition” appliquée aux build pipelines. L’équipe a identifié six cas significatifs affectant des entreprises comme Nvidia, GitHub Copilot et Jupyter Notebook. Le premier cas découvert impliquait le “copy-pr-bot” de Nvidia. Ce bot copie le code d’une pull request dans une branche dédiée après qu’un mainteneur ait commenté “ok to test”. L’équipe a découvert une fenêtre d’environ cinq secondes entre la commande du mainteneur et l’exécution du bot, pendant laquelle un attaquant pouvait modifier le code malicieusement puis le rétablir, rendant l’attaque invisible. Pour GitHub Copilot, la vulnérabilité était encore plus exploitable manuellement. Lorsqu’un mainteneur assignait Copilot pour résoudre un bug décrit dans une issue, un attaquant pouvait modifier les instructions pendant la race condition, demandant au bot d’insérer une backdoor tout en affichant une tâche légitime à l’écran. Le cas de Jupyter Notebook était particulièrement ironique : la vulnérabilité résidait dans le code de mitigation d’une race condition précédemment rapportée. La correction initiale présentait une erreur typographique dans la référence temporelle utilisée, rendant la mitigation complètement inefficace. Recommandations et mitigations L’équipe propose plusieurs stratégies de mitigation. La plus importante consiste à utiliser des mécanismes atomiques qui lient l’approbation du mainteneur à un commit SHA spécifique. GitHub offre la fonctionnalité “Pull Request Review” qui garantit cette atomicité, contrairement aux simples commentaires ou labels qui restent vulnérables aux race conditions. Les environnements GitHub constituent une autre défense robuste. Ils permettent de définir des règles d’approbation liées à des commits précis et de limiter l’accès aux secrets sensibles. L’équipe recommande fortement de restreindre la permission “Workflow Write”, qui permet de modifier les workflows GitHub Actions, car elle amplifie considérablement l’impact potentiel d’une attaque. Finalement, l’adoption du principe “fail-close” plutôt que “fail-open” est essentielle : en cas d’erreur inattendue, le système doit arrêter l’exécution plutôt que de continuer. Des outils comme Poutine peuvent scanner automatiquement les workflows pour détecter ces vulnérabilités avant leur déploiement. D’ailleurs, une recherche académique récente a identifié Poutine comme l’un des meilleurs outils du domaine, particulièrement pour son excellent ratio signal/bruit. Impact de l’intelligence artificielle L’équipe observe que l’IA générative crée involontairement de nouvelles vulnérabilités. Certains pipelines vulnérables qu’ils ont découverts provenaient clairement de code généré automatiquement, créant ainsi de nouvelles chaînes d’attaque dans la supply chain logicielle. Cette conversation met en lumière l’importance croissante de la sécurité des pipelines CI/CD dans l’écosystème open source moderne, où l’automatisation accrue multiplie les vecteurs d’attaque potentiels. Notes Split-Second Side Doors: How Bot-Delegated TOCTOU Breaks The CI/CD Threat Model Collaborateurs Nicolas-Loïc Fortin Alexis-Maurer Fortin Sébastien Graveline François Proulx Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
--------
54:15
--------
54:15
PME - DarkWeb - Parce que... c'est l'épisode 0x669!
Parce que… c’est l’épisode 0x669! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2025 - SSTIC 2026 Description Le dark web fascine et inquiète en même temps. Pourtant, ce concept n’est pas aussi mystérieux qu’on pourrait le croire, bien qu’il joue un rôle crucial dans le paysage de la cybersécurité actuelle. Cyndie Feltz, Nicholas Milot et Dominique Derrier nous aident à mieux comprendre cet écosystème et son importance pour les petites et moyennes entreprises. Qu’est-ce que le dark web? Pour bien comprendre le dark web, il faut d’abord parler du deep web. Le deep web représente toute la partie non indexée d’internet. Lorsqu’on effectue une recherche sur Google, on ne consulte que la portion indexée du web. Mais internet contient beaucoup plus : les canaux Telegram, par exemple, font partie du deep web car ils ne sont pas indexés par les moteurs de recherche traditionnels. Le dark web constitue la partie la plus profonde du deep web, celle où se déroulent la plupart des activités criminelles en ligne. L’image de l’iceberg illustre bien cette structure : au-dessus de l’eau se trouve la partie indexée d’internet, tandis que tout ce qui est submergé représente le deep web. Au fond, là où se trouvent les créatures marines les plus imposantes, on retrouve le dark web. Il est important de noter qu’on n’accède pas au dark web par hasard. Il faut utiliser un navigateur spécialisé comme Tor pour y naviguer. De plus, contrairement au web traditionnel, il n’existe pas de Google du deep web. Il faut savoir où chercher pour trouver ce qu’on recherche. Des usages légitimes existent Bien que le dark web soit souvent associé aux activités criminelles, il possède également des usages légitimes. Les journalistes l’utilisent pour protéger leurs sources, et de nombreux gouvernements y ont recours pour des communications sécurisées. Cet espace permet des transactions sur internet qui ne sont pas indexées par Google, offrant ainsi un niveau de confidentialité supérieur. Pourquoi les PME doivent-elles s’y intéresser? Pour une PME, le dark web devient pertinent dans deux cas principaux. Le premier survient lors d’un incident de sécurité. Lorsqu’une entreprise subit une violation de données, l’assurance ou l’équipe de réponse à incident recommandera souvent d’investiguer le dark web pour tenter de récupérer les informations volées. Le deuxième cas relève de la prévention. Certaines organisations choisissent de surveiller le dark web pour anticiper les menaces. Cette surveillance permet de découvrir si des acteurs malveillants planifient une attaque ou s’ils possèdent déjà des informations compromettantes sur l’entreprise. Une véritable industrie criminelle Lorsqu’une entreprise se fait voler des données, celles-ci ont de la valeur. Les cybercriminels ne gardent pas ces informations pour eux : ils cherchent à les vendre sur des canaux Telegram ou des sites non indexés. Le dark web fonctionne comme une véritable chaîne d’approvisionnement. Des spécialistes collectent des identifiants de connexion fonctionnels, souvent par hameçonnage. Ces credentials sont ensuite vendus en lot à d’autres criminels qui les utiliseront pour déployer des rançongiciels ou des voleurs d’information. Cette division du travail crée un écosystème criminel professionnalisé, comparable à un modèle d’affaires SaaS (software as a service). Les limites de la surveillance du dark web Malgré son utilité, la surveillance du dark web comporte des limitations importantes. Par nature, cet espace n’est pas indexable comme Google. Il n’existe donc aucune garantie de retrouver toutes les informations recherchées. On peut passer des années à chercher quelque chose qui pourrait ne jamais être trouvé. Le dark web fonctionne comme un marché aux puces : les lieux où se commercent des biens illégaux apparaissent et disparaissent rapidement. Les données volées ont une durée de vie limitée. Comme on vérifie la fraîcheur des fruits à l’épicerie, les acheteurs vérifient la fraîcheur des credentials. Une fois le produit périmé, il disparaît du marché. Au-delà des mots de passe Le dark web ne contient pas que des mots de passe. Suite à une violation de données, des informations sur des centaines ou milliers de clients peuvent s’y retrouver. Ces données permettent aux attaquants de mener des campagnes d’harponnage hautement ciblées. Avec le bon contexte, leurs courriels frauduleux deviennent beaucoup plus crédibles et efficaces. Le piège des jetons de session Même avec l’authentification à deux facteurs activée, les entreprises ne sont pas totalement protégées. Les voleurs d’information peuvent extraire des jetons de session du navigateur. Ces jetons sont octroyés après qu’un utilisateur a complété son authentification complète, incluant le deuxième facteur. Si un attaquant met la main sur ce jeton et l’insère dans son propre navigateur, il peut se faire passer pour l’utilisateur légitime sans avoir besoin du deuxième facteur. Ce scénario devient particulièrement problématique lorsque les employés utilisent leur ordinateur personnel pour accéder aux ressources professionnelles. Un simple téléchargement malveillant peut compromettre une session d’entreprise et ouvrir la porte à une attaque par rançongiciel. L’hygiène de base avant tout La surveillance du dark web ne remplace pas les bonnes pratiques de sécurité. Les entreprises doivent d’abord mettre en place leur hygiène de base : authentification à deux facteurs, gestion rigoureuse des mots de passe, et autres mesures de protection accessibles aux PME. Ces éléments ne sont ni extrêmement coûteux ni particulièrement complexes à implémenter. La surveillance du dark web devrait être considérée comme une couche de protection supplémentaire, pas comme la solution principale. Elle ne fonctionne efficacement que lorsque les fondations de sécurité sont solides. Un investissement pour ne rien trouver Paradoxalement, la meilleure utilisation d’un service de surveillance du dark web est de ne jamais recevoir de notification. Si une entreprise paie pour ce service et n’est jamais alertée, cela signifie que son équipe fait du bon travail et que les mesures de sécurité fonctionnent. C’est un investissement qu’on espère ne jamais devoir utiliser, mais qui offre une tranquillité d’esprit précieuse. La nouvelle surveillance de crédit Le dark web devient le nouveau terrain de surveillance pour la protection des données personnelles. Autrefois, on surveillait son crédit pour détecter les fraudes. Aujourd’hui, avec la multiplication des violations de données, il devient plus pertinent de surveiller si nos informations se retrouvent sur le dark web. Cette évolution reflète les nouvelles réalités de la cybersécurité. Le dark web n’est finalement qu’un outil parmi d’autres dans l’arsenal de cybersécurité d’une PME. Comprendre son fonctionnement et ses limites permet de l’utiliser judicieusement, sans y investir des ressources démesurées ni négliger les fondamentaux qui demeurent la meilleure protection. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm
--------
19:46
--------
19:46