Actualités Cyber Citoyen au 17 juin 2025 - Parce que... c'est l'épisode 0x603!

カートのアイテムが多すぎます

ご購入は五十タイトルがカートに入っている場合のみです。

カートに追加できませんでした。

しばらく経ってから再度お試しください。

ウィッシュリストに追加できませんでした。

しばらく経ってから再度お試しください。

ほしい物リストの削除に失敗しました。

しばらく経ってから再度お試しください。

ポッドキャストのフォローに失敗しました

ポッドキャストのフォロー解除に失敗しました

Actualités Cyber Citoyen au 17 juin 2025 - Parce que... c'est l'épisode 0x603!

無料で聴く

ポッドキャストの詳細を見る

このコンテンツについて

Parce que… c’est l’épisode 0x603! Shameless plug 27 et 29 juin 2025 - LeHACK12 au 17 octobre 2025 - Objective by the sea v810 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec17 au 20 novembre 2025 - European Cyber Week25 et 26 février 2026 - SéQCure 2065 Description Introduction et contexte Ce cinquième épisode de collaboration entre les balados Super Citoyen et Polysécure, animé par Catherine Dupont-Gagnon et Samuel Harper, avec la participation de Nicolas, aborde deux sujets majeurs touchant la cybersécurité et la vie privée des citoyens canadiens. Après une pause d’une semaine, les animateurs se retrouvent pour discuter d’enjeux critiques qui affectent directement les utilisateurs de technologies et les citoyens. Première partie : Les vulnérabilités de Microsoft Copilot La découverte d’une faille majeure L’épisode débute par l’analyse d’une vulnérabilité critique découverte dans Microsoft Copilot, spécifiquement dans sa version M365. Cette faille permet aux attaquants d’injecter des instructions malveillantes dans des documents de manière invisible pour les utilisateurs humains, mais détectable par l’agent d’indexation de Copilot. Le mécanisme d’attaque L’attaque fonctionne selon un principe relativement simple mais efficace : les cybercriminels cachent du texte dans des documents en utilisant des techniques comme l’écriture en blanc sur fond blanc ou des polices de caractères microscopiques. Lorsque Copilot analyse ces documents pour répondre aux requêtes des utilisateurs, il lit ces instructions cachées et les exécute comme s’il s’agissait de commandes légitimes. Samuel Harper explique que cette vulnérabilité est particulièrement dangereuse avec la version M365 de Copilot car cet agent peut indexer l’ensemble du contenu personnel d’un utilisateur : courriels, documents OneDrive, conversations Teams. Les instructions malveillantes peuvent donc ordonner à Copilot d’effectuer des actions non autorisées, comme envoyer des informations sensibles à des adresses externes. Les implications pour les entreprises Cette faille représente un risque considérable pour les organisations, particulièrement celles possédant des secrets industriels ou des informations confidentielles. Un attaquant pourrait théoriquement envoyer un courriel contenant des instructions cachées demandant à Copilot de transmettre tous les secrets industriels à une adresse spécifique. L’agent exécuterait ces commandes sans que l’utilisateur ne s’en aperçoive. Un problème systémique Les animateurs soulignent que bien que Microsoft ait corrigé cette vulnérabilité spécifique, le problème est plus large. Tous les agents d’intelligence artificielle utilisant des modèles RAG (Retrieval-Augmented Generation) - qui puisent leurs réponses dans des bases de données externes - sont potentiellement vulnérables à ce type d’attaque. Google Gemini, Claude et d’autres plateformes similaires pourraient être ciblés par des méthodes comparables. Deuxième partie : Le projet de loi C-4 et la protection des données Une loi aux multiples facettes Samuel Harper présente ensuite une analyse approfondie du projet de loi C-4 du gouvernement Carney, officiellement intitulé “Loi visant à rendre la vie plus abordable pour les Canadiens”. Si les trois premières parties de cette loi concernent effectivement des mesures d’abordabilité (baisses d’impôts, fin de la taxe carbone, remboursement de la TPS pour l’achat d’une première maison neuve), la quatrième partie introduit des modifications controversées à la loi électorale. L’exemption des partis politiques Cette section du projet de loi soustrait les partis politiques fédéraux aux lois de protection des renseignements personnels. Concrètement, cela signifie que les partis politiques, leurs bénévoles et tous ceux qui travaillent en leur nom peuvent exercer toutes les activités avec les renseignements personnels sans aucune restriction légale. Le contexte juridique Cette modification législative fait suite à une décision de 2022 du commissaire à la vie privée de la Colombie-Britannique, qui avait déterminé que les partis fédéraux devaient également respecter la loi provinciale PIPA (Personal Information Protection Act). Les partis politiques ont contesté cette décision jusqu’en Cour suprême de la Colombie-Britannique et ont perdu leur cause. Une stratégie législative discutable Les animateurs dénoncent la tactique consistant à inclure ces modifications controversées dans un projet de loi sur l’abordabilité. Cette approche, rappelant les “omnibus bills” de l’ère Harper, rend difficile l’opposition à des mesures populaires tout en faisant passer des dispositions problématiques. Les risques pour la démocratie Le micro-ciblage politique Catherine et Samuel discutent des dangers du micro-ciblage politique, comparant les stratégies des partis...