エピソード

  • Teknik - Panel nsec 2026 - Parce que... c'est l'épisode 0x30D!

    Teknik - Panel nsec 2026 - Parce que... c'est l'épisode 0x30D!
    2026/06/18
    Parce que… c’est l’épisode 0x30D! Shameless plug
    • 24 et 25 juin 2026 - Troopers
    • 26 et 27 juin 2026 - leHACK
    • 30 juin au 2 juillet 2026 - Pass the SALT
    • 19 septembre 2026 - Bsides Montréal
    • 20 au 26 septembre 2026 - BruCON
    • 13 novembre 2026 - DEATHCon
    • 16 au 19 novembre - European Cyber Week
    • 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026
    • 24 et 25 février 2027 - SéQCure 2027
    Description Collaborateurs
    • Nicolas-Loïc Fortin
    • François Labrèche
    • François Proulx
    • Charles F. Hamilton
    • Christian Paquin
    • Philippe Pépos Petitclerc
    Crédits
    • Montage par Intrasecure inc
    • Locaux réels par Northsec
    続きを読む 一部表示
    51 分
  • Spécial - L'IA au service de la cybersécurité - de l'optimisation à la transformation (Cybereco) - Parce que... c'est l'épisode 0x30C!

    Spécial - L'IA au service de la cybersécurité - de l'optimisation à la transformation (Cybereco) - Parce que... c'est l'épisode 0x30C!
    2026/06/17
    Parce que… c’est l’épisode 0x30C! Shameless plug 24 et 25 juin 2026 - Troopers26 et 27 juin 2026 - leHACK30 juin au 2 juillet 2026 - Pass the SALT19 septembre 2026 - Bsides Montréal20 au 26 septembre 2026 - BruCON13 novembre 2026 - DEATHCon16 au 19 novembre - European Cyber Week1 au 3 décembre 2026 - Forum INCYBER - Canada 202624 et 25 février 2027 - SéQCure 2027 Description Dans cet épisode, je reçois Samuel Bonneau, venu présenter Cybereco la transformation profonde que son entreprise — une société de développement logiciel établie depuis quinze ans, qui intègre l’intelligence artificielle depuis huit ans — a opérée au cours de la dernière année. Contrairement à plusieurs entreprises qui se contentent d’un discours marketing autour de l’IA, l’organisation a réellement transformé ses façons de faire en profondeur. D’un objectif de 50 % à un changement de mentalité radical L’histoire débute par un objectif ambitieux fixé aux employés : devenir 50 % plus performants grâce à l’IA, sur une période d’un an. Plusieurs équipes ont dépassé largement cette cible en cours de route, ce qui a mené l’entreprise à revoir entièrement son approche. Samuel illustre ce changement par une analogie automobile : viser 50 % plus de vitesse revient à accélérer davantage avec le même véhicule, alors que viser une multiplication par dix ou vingt force à repenser entièrement le moyen de transport. C’est ce changement de paradigme — un mindset de croissance exponentielle plutôt qu’incrémentale — que l’entreprise a adopté, en parallèle de l’arrivée de modèles et d’outils de codage de plus en plus performants, dont Claude Code, qui a rapidement surpassé les outils utilisés jusque-là. Cette transformation ne s’est pas limitée aux équipes techniques : les ressources humaines, la finance et le reste du back-office ont aussi été intégrés, développant leurs propres flux de travail avec des agents, des compétences (skills) partagées entre équipes, et même de nouveaux outils et plateformes internes. Samuel souligne que la petite taille de l’équipe administrative et une culture d’innovation déjà bien ancrée ont facilité cette adoption, réalisée sur une période de trois à six mois pour la cinquantaine de personnes moins familières avec ces outils. Une urgence stratégique et des risques émergents Samuel explique que ce virage n’était pas optionnel : dans un domaine où l’IA évolue très rapidement, ne pas adopter ces outils aurait signifié perdre en pertinence face à des concurrents capables de développer plus vite et à moindre coût. Ce sentiment d’urgence (« do or die ») a guidé les décisions de l’entreprise. Or, cette accélération massive amène son lot de défis en cybersécurité. Les employés développant leurs propres agents et automatisations utilisent souvent leurs propres identifiants, ce qui peut devenir dangereux si ces agents ne sont pas correctement encadrés. Samuel cite l’exemple de la sandboxing des agents codeurs, un besoin pour lequel peu de solutions matures existaient sur le marché — l’outil le plus prometteur, Nvidia Open Shell, étant encore en préalpha, ce qui illustre bien le décalage entre la rapidité de l’innovation en IA et la maturité des outils de protection. Une plateforme cybersécurité développée à l’interne Face à ce constat, l’équipe a bâti sa propre plateforme de cybersécurité, intégrée à un robot Slack déjà utilisé pour les demandes liées à la sécurité. Cette plateforme analyse automatiquement les demandes d’utilisation d’outils ou de compétences (skills) externes, attribue des scores de risque et permet d’approuver ou de rejeter les requêtes. Plutôt que de gérer cela à travers du code traditionnel, l’équipe travaille désormais par spécifications : il suffit de modifier les spécifications fonctionnelles pour que le système se régénère avec les nouvelles règles, par exemple en ajoutant un critère lié à la localisation des données. L’élément le plus distinctif de cette plateforme est sa capacité à puiser dans toute la documentation interne d’un projet client — transcriptions de réunions, documents de conception, échanges — afin de déterminer automatiquement le niveau de criticité, les enjeux de disponibilité et les risques associés à un système avant même son développement. Cette information alimente ensuite la génération de spécifications de sécurité sur mesure, adaptées au contexte d’affaires réel du client plutôt qu’à des standards génériques. Encadrer les agents : god rails et supervision Une partie importante de l’entretien porte sur la façon de limiter les comportements destructeurs que pourraient avoir des agents autonomes. Samuel explique que chaque agent développé par l’entreprise comporte une douzaine de composantes, dont des mécanismes de garde-fous...
    続きを読む 一部表示
    33 分
  • Le marché dérégulé selon Cyber Citoyen et Polysécure - Parce que... c'est l'épisode 0x30B!

    Le marché dérégulé selon Cyber Citoyen et Polysécure - Parce que... c'est l'épisode 0x30B!
    2026/06/16
    Parce que… c’est l’épisode 0x30B! Shameless plug 24 et 25 juin 2026 - Troopers26 et 27 juin 2026 - leHACK30 juin au 2 juillet 2026 - Pass the SALT19 septembre 2026 - Bsides Montréal20 au 26 septembre 2026 - BruCON13 novembre 2026 - DEATHCon16 au 19 novembre - European Cyber Week1 au 3 décembre 2026 - Forum INCYBER - Canada 202624 et 25 février 2027 - SéQCure 2027 Description Dans cette 17e collaboration entre les balados Cyber Citoyen et Polysécure, Catherine anime la discussion avec Sam et Nicolas autour de quatre grands thèmes : la surveillance étatique en Russie, les abus du système de surveillance routière Flock, une étude sur les noms de domaine malveillants et le couplage de cette tendance avec le phishing, et enfin une anecdote sur les véhicules de livraison Amazon. Le système Sorm en Russie Sam ouvre l’épisode en présentant le Sorm, un système russe de surveillance des communications téléphoniques et internet datant de 1995. Conçu au départ pour donner au FSB un accès direct aux infrastructures téléphoniques, il a été étendu en 1998 aux fournisseurs d’accès internet, puis intensifié autour des Jeux olympiques de Sochi sous prétexte sécuritaire. Les fournisseurs doivent installer cet équipement à leurs propres frais, ce qui pousse les petits opérateurs à résister, sous peine d’amendes ou de retrait de licence pendant dix ans. Le système permet désormais des recherches par mots-clés et centralise des données extrêmement sensibles : adresses, passeports, coordonnées bancaires, géolocalisation, adresses IP et courriels. Les intervenants soulignent le parallèle avec les pratiques américaines révélées par Snowden, et notent que cette intensification coïncide avec le mécontentement intérieur lié à la guerre en Ukraine. La discussion s’élargit aux blocages d’internet ailleurs (Iran, listes blanches), à la conférence SplinterNet sur la fragmentation du réseau mondial, puis à des tendances similaires dans les démocraties occidentales (Chat Control en Europe, le projet de loi C-2 au Canada, les lois britanniques), illustrant que l’identification obligatoire (numéros de téléphone, cartes SIM, interdiction des téléphones jetables aux États-Unis) n’est pas l’apanage des régimes autoritaires. Nicolas évoque aussi son expérience personnelle en Corée du Sud, où l’identité est systématiquement liée aux services numériques. Le segment se conclut sur l’inquiétude que cette centralisation des données personnelles russes constitue elle-même une cible de choix pour des puissances rivales, et sur le constat plus large d’une incompréhension généralisée des conséquences à long terme de ces choix technologiques. Les dérives du système Flock Nicolas revient ensuite sur Flock, le système de reconnaissance de plaques d’immatriculation, déjà abordé dans un épisode précédent. Grâce au site DeFlock, des citoyens ont découvert que leur plaque avait été recherchée des centaines de fois sans justification : un cas où un policier avait consulté la plaque d’une victime plus de cent fois, et un chef de police pris à espionner sa propre conjointe. La réponse de l’entreprise Flock, qui se targue de transparence plutôt que de reconnaître le problème, est jugée particulièrement maladroite, surtout après la révélation qu’une quarantaine de nouveaux cas d’abus ont été recensés en un seul mois. Les animateurs saluent le rôle du journalisme d’enquête (notamment celui de 404 Media) dans la mise en lumière de ces dérives, et comparent l’absence de garde-fous chez Flock aux systèmes d’alerte automatique utilisés dans les réseaux hospitaliers ou les agences gouvernementales, où une consultation anormale d’un dossier déclenche immédiatement une enquête. Le débat se conclut sur la question de savoir si cette absence de contrôle relève de l’incompétence ou d’un choix délibéré de ne pas investir dans la prévention des abus. Noms de domaine, phishing et marché de la fraude Sam présente ensuite une étude d’Interisle sur les noms de domaine enregistrés en 2025 : sur 85 millions de domaines créés, 8,5 millions ont fini bloqués pour usage frauduleux, soit un plancher d’environ 10 %, probablement plus proche de 15 à 20 % en réalité. Cinq bureaux d’enregistrement concentrent la moitié des domaines bloqués, l’un d’eux affichant un taux de 88 %, souvent via l’enregistrement automatisé en masse de domaines à très bas coût. Le groupe critique l’approche du rapport, trop centrée sur l’autorégulation du marché, alors qu’aucun mécanisme structurel n’empêche ces registraires de continuer leurs pratiques. L’exemple belge du CCB, qui bloque au niveau national les domaines jugés dangereux, est cité comme une approche plus efficace, comparable à une mesure de santé publique. La conversation aborde aussi la difficulté d’agir à l’échelle ...
    続きを読む 一部表示
    1 時間 2 分
  • Actu - 14 juin 2026 - Parce que... c'est l'épisode 0x30A!

    Actu - 14 juin 2026 - Parce que... c'est l'épisode 0x30A!
    2026/06/15
    Parce que… c’est l’épisode 0x30A! Préambule Expérimentation avec une nouvelle approche d’enregistrer en itinérance. Le son n’est pas idéal, mais pas trop loin de l’objectif. Un nouvel essai aura lieu le 21 juin, où j’améliorerai l’approche pour atteindre une qualité suffisante en limitant la quantité de choses que j’apporte lorsque je suis en voyage. Shameless plug 24 et 25 juin 2026 - Troopers26 et 27 juin 2026 - leHACK30 juin au 2 juillet 2026 - Pass the SALT19 septembre 2026 - Bsides Montréal20 au 26 septembre 2026 - BruCON13 novembre 2026 - DEATHCon16 au 19 novembre - European Cyber Week1 au 3 décembre 2026 - Forum INCYBER - Canada 202624 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Fable ou fiction Claude Fable 5 Doesn’t Change the Mythos Security StoryAnthropic says these topics are too dangerous to let its Fable 5 model talk aboutCybersecurity researchers aren’t happy about the guardrails on Anthropic’s Fable Il était une fois… l’export control ou la fable de l’accès universel Statement on the US government directive to suspend access to Fable 5 and Mythos 5 \ AnthropicAnthropic’s Claude Fable 5 Alleged Jailbreak to Generate Stack ExploitsAnthropic shuts down Fable, Mythos models following Trump admin directiveOur response to the US ban on Fable 5 and Mythos 5How Amazon and the White House ended Anthropic’s FableUS ban on Anthropic’s Fable 5 and Mythos 5 has ‘Amazon link’: Researchers from Amazon used a series of prompts to …Tech Things: There is a massive shadow hanging over this Fable thing Lawsuit: ChatGPT validated suicidal woman’s distrust of crisis linesZcash - Une IA déniche en 24h une faille vieille de 4 ansExtracting Recurring Vulnerabilities from Black-Box LLM-Generated SoftwareFriend or Foe? Language as an ideological switch in open-weight LLMs under Russian disinformation stressAI Code Sandboxes: A Comparative Security Study Part 1 of 2 — Engine-Level Properties (Attack Surface, Leakage, Stackability, CVE History, Patch Cadence, Fuzzing)Sample-Efficient LLM-Based Detection of Malicious Web Server Logs with Forensically Explainable ReasoningSecureClaw: Clawing Back Control of LLM AgentsSecurity Risks of Apple’s AI Changing Your PasswordsBlame AI: Patch Tuesday Hits Record 206 CVEsUn ver informatique qui raisonne tout seulChina-linked operators revive botnet, stir AI datacenter debateAre Frontier LLMs Ready for Cybersecurity? Evidence for Vertical Foundation Models from Dual-Mode Vulnerability BenchmarksBypassing Prompt Guards in Production with Controlled-Release PromptingMind your key: An Empirical Study of LLM API Credential Leakage in iOS AppsGenAI Is Both Hunter and Hunted at Pwn2Own Berlin 2026 La guerre, la guerre, c’est pas une raison pour se faire mal! Iran Signed a Ceasefire — Its Hackers Didn’tThe Strange Defeat of Nuclear Deterrence Souveraineté ou vive le numérique libre! Digital Sovereignty Becomes An Imperative As the US Reads Dutch EmailsAll the Ways Europe Is Ditching American TechnologyEuro-Office 1.0 Arrives To Open-Source Infighting: ‘Compatibility Is Not Sovereignty’Infineon to Open German Chip Fab as Part of EU Sovereignty PushAI Sovereignty: A Qualitative Model of Strategic Competition as AI Becomes an Instrument of National PowerCanada: Artificial Intelligence as a Pillar of Digital Sovereignty - INCYBER NEWSKevin Beaumont: “I’m on year 3 of trying to con…” - Cyberplace Germany 🇩🇪 https://social.bund.dehttps://social.schleswig-holstein.de Frankrijk 🇫🇷 https://social.numerique.gouv.fr Netherlands 🇳🇱 https://social.overheid.nlhttps://social.amsterdam.nl EU 🇪🇺 https://ec.social-network.europa.euhttps://curia.social-network.europa.euhttps://social.edps.europa.eu Block-A-Mole: The Sustainability Frontier of Moving-Target Censorship Resistance Privacy ou cachez ces informations que je ne saurais voir Souveraineté for the fail Over 73,000 French govt employees affected in Tchap messenger breachFrance Tchap Hack Undermines Its Encryption Crackdown Signal: UK’s child-nude-block threat won’t protect childrenMeta Deletes Face-Recognition System From Its Smart Glasses App After WIRED ReportFCC Wants to Kill Burner Phones By Forcing Telecoms to Get All Customers’ IDsFlock Leaked Cops’ License Plate Searches via DuckDuckGo, BingExpanding Private Cloud Compute - Apple Security Research I am the law FISA for the Fail House rejects last-ditch FISA extension ahead of Friday deadlineTrump Risks Key Surveillance Authority Over ‘Unqualified’ Spy-Chief PickControversial FISA spying law expires tonight. The spying will continue. WhatsApp Catches Spyware Firm NSO Defying No-Hacking Court OrderNo tech rule exemption for Apple, EU regulators say amid spat over Siri AI delayOttawa moves to restrict social media for kids under 16Grok Is Still Hosting Sexualized Deepfakes of Famous WomenUS, France, and Italian authorities shut down massive deepfake ...
    続きを読む 一部表示
    48 分
  • PME - Reconnaitre le bias cognitif pour mieux se protéger - Parce que... c'est l'épisode 0x309!

    PME - Reconnaitre le bias cognitif pour mieux se protéger - Parce que... c'est l'épisode 0x309!
    2026/06/11
    Parce que… c’est l’épisode 0x309! Shameless plug 24 et 25 juin 2026 - Troopers26 et 27 juin 2026 - leHACK30 juin au 2 juillet 2026 - Pass the SALT19 septembre 2026 - Bsides Montréal20 au 26 septembre 2026 - BruCON13 novembre 2026 - DEATHCon16 au 19 novembre - European Cyber Week1 au 3 décembre 2026 - Forum INCYBER - Canada 202624 et 25 février 2027 - SéQCure 2027 Description Dans cet épisode, je reçois Emeline Manson pour discuter d’un sujet central mais souvent négligé en cybersécurité : les biais cognitifs. Le point de départ de la discussion est simple mais important : les victimes de fraude ne sont ni naïves ni stupides. Les fraudeurs comprennent très bien le fonctionnement du cerveau humain et exploitent des mécanismes universels, peu importe le niveau de connaissances ou de prudence d’une personne. Les attaques ne visent donc pas toujours une machine, mais cherchent surtout à influencer un comportement humain, en misant sur l’urgence, la peur, la confiance, l’habitude ou la fatigue. Pour rendre ces mécanismes plus faciles à repérer, les biais sont regroupés en quatre grandes familles. Les biais qui nous font agir trop vite La première famille regroupe les biais qui réduisent l’espace entre l’émotion et l’action, empêchant toute vérification. Le biais d’urgence repose sur la création d’une pression artificielle (compte bloqué, livraison suspendue, intervention policière imminente), qui pousse à régler un faux problème avant même de vérifier son existence. Le biais de rareté fonctionne de façon similaire, avec des offres limitées dans le temps qui forcent une décision rapide. Les intervenants notent que ces deux biais sont souvent combinés, par exemple un message urgent accompagné d’éléments rassurants qui font aussi baisser la garde. Les biais qui nous font accorder trop de confiance La deuxième famille mise sur la crédibilité apparente. Le biais d’autorité pousse à obéir à une demande qui semble venir d’un supérieur, d’une institution ou d’une personne importante, comme dans les fraudes au faux président. Le biais de familiarité agit de façon proche : on baisse la garde lorsqu’un message semble provenir d’un proche ou d’un fournisseur connu, alors qu’un compte peut être compromis ou une identité usurpée. Le biais de réciprocité intervient lorsqu’une personne se sent obligée de répondre positivement après avoir reçu quelque chose, par exemple une fausse offre d’emploi ou un document utile envoyé par un faux fournisseur. Enfin, le biais de preuve sociale, très présent sur les réseaux sociaux, fait croire qu’une offre ou un investissement est légitime simplement parce que de nombreux avis ou témoignages positifs l’accompagnent, alors que ces avis peuvent être achetés ou fabriqués. Les biais qui nous font baisser la garde La troisième famille touche à la sous-estimation du risque. Le biais d’optimisme, très répandu même chez les experts, se traduit par la conviction qu’on ne se fera jamais piéger. Une statistique citée dans l’épisode indique que 78 % des Canadiens sont convaincus de ne pas pouvoir se faire avoir, ce qui en fait des cibles particulièrement vulnérables, car le risque demeure abstrait jusqu’à ce qu’il se concrétise. Le biais de surcharge cognitive complète ce tableau : devant la multiplication des comptes, mots de passe et applications, le cerveau cherche la facilité, ce qui mène à la réutilisation de mots de passe ou à des validations faites trop rapidement, surtout en fin de journée lorsque la vigilance diminue. Les biais qui nous enferment dans nos habitudes La dernière famille concerne les comportements numériques répétitifs. Le biais d’ancrage illustre la tendance à modifier légèrement un mot de passe existant plutôt que d’en créer un réellement nouveau, ce qui le rend prévisible pour un attaquant. L’usage de gestionnaires de mots de passe et de technologies comme les clés d’accès (passkeys) est présenté comme une solution efficace pour réduire cette dépendance. Le biais d’engagement, quant à lui, explique pourquoi une personne ayant déjà commencé à répondre à une demande a tendance à poursuivre dans cette direction, même si celle-ci devient progressivement plus risquée, alors qu’il est toujours possible de s’arrêter et de revalider. Cinq réflexes pour se protéger Pour conclure, cinq bonnes pratiques sont proposées comme réflexes anti-biais : Ralentir dès qu’une demande exige une action immédiate.Sortir du canal de communication utilisé pour valider une demande autrement.Ne jamais cliquer sur un lien fourni et se rendre soi-même à la source officielle.Traiter toute demande liée à l’argent, aux accès ou aux mots de passe comme une exception nécessitant une validation obligatoire.Utiliser des outils qui réduisent la charge mentale, comme les gestionnaires de mots de passe ou les...
    続きを読む 一部表示
    51 分
  • Teknik - Doxxing-proof authentic digital media - trust the asset, protect the source (nsec) - Parce que... c'est l'épisode 0x308!

    Teknik - Doxxing-proof authentic digital media - trust the asset, protect the source (nsec) - Parce que... c'est l'épisode 0x308!
    2026/06/10
    Parce que… c’est l’épisode 0x308! Shameless plug 24 et 25 juin 2026 - Troopers26 et 27 juin 2026 - leHACK30 juin au 2 juillet 2026 - Pass the SALT19 septembre 2026 - Bsides Montréal20 au 26 septembre 2026 - BruCON13 novembre 2026 - DEATHCon16 au 19 novembre - European Cyber Week1 au 3 décembre 2026 - Forum INCYBER - Canada 202624 et 25 février 2027 - SéQCure 2027 Description Dans cet épisode spécial enregistré en marge de la conférence NorthSec, Christian Paquin, cryptographe chez Microsoft Research et ancien étudiant de Gilles Brassard à l’Université de Montréal, présente ses travaux sur la provenance des actifs numériques et sur une approche permettant de concilier authenticité du contenu et protection de l’identité de son créateur. Le problème : désinformation et perte de confiance Avec la prolifération de l’intelligence artificielle générative, il devient de plus en plus difficile de distinguer le contenu authentique du contenu fabriqué. Pour répondre à ce défi, l’industrie s’est rassemblée autour de la C2PA (Coalition for Content Provenance and Authenticity), un protocole qui permet de signer numériquement images, vidéos, fichiers audio et même textes afin d’en tracer l’origine et toutes les transformations subies. Le principe repose sur la cryptographie à clé publique, la même que celle utilisée pour sécuriser le web (HTTPS). Une caméra signe une photo avec une clé privée intégrée à l’appareil ; chaque transformation ultérieure (retouche, redimensionnement, republication sur un réseau social) invalide la signature précédente et nécessite une nouvelle signature de la part de l’éditeur responsable. On obtient ainsi un historique complet, dit « écran à écran », de la création jusqu’à la consommation du contenu. Si seule la dernière signature est généralement vérifiée, l’historique des transformations antérieures peut être conservé, soit en clair, soit de façon compressée grâce à des preuves à divulgation nulle de connaissance (zero-knowledge proofs). Cette norme est déjà largement adoptée : OpenAI signe ses images générées, Sony intègre la fonctionnalité dans certains appareils photo, Google l’offre sur ses téléphones Pixel, et Adobe ainsi que Microsoft l’intègrent à leurs outils. Le dilemme : authenticité contre anonymat Le problème, souligne Christian Paquin, est que cette forte authentification crée un lien direct entre le contenu et l’identité de son auteur. Or, dans plusieurs contextes, cette traçabilité pose un risque réel : journalistes couvrant des zones de conflit qui pourraient être identifiés et visés par un régime hostile, lanceurs d’alerte révélant des pratiques répréhensibles, ou artistes souhaitant publier anonymement tout en prouvant que leur œuvre leur appartient bel et bien. Dans ces cas, on souhaite prouver qu’un contenu provient d’une source légitime (par exemple, un journaliste affilié à une organisation reconnue) sans révéler de quel individu précis il s’agit. Deux solutions simples, mais limitées Deux approches rudimentaires existent déjà dans l’écosystème C2PA. La première consiste à utiliser un certificat auto-émis, à la manière de PGP : on publie sa propre clé publique pour que d’autres puissent vérifier le contenu, mais cela ne permet pas à un tiers de valider une affiliation institutionnelle (par exemple, confirmer qu’une personne travaille bien pour telle agence de presse). La seconde consiste à utiliser des certificats à très courte durée de vie, voire à usage unique, comme le fait Google sur ses téléphones Pixel, qui émet un nouveau certificat pour chaque photo prise. Cette méthode empêche les plateformes de lier différentes publications à un même utilisateur, mais exige de faire confiance à l’émetteur (ici Google) pour ne pas conserver de journal reliant les certificats entre eux. Les techniques cryptographiques avancées Pour résoudre ce dilemme sans dépendre de la confiance envers un tiers, Christian Paquin a développé un prototype open source combinant deux techniques. La première remplace les signatures classiques (RSA, ECDSA) par des signatures dites « randomisables », notamment l’algorithme BBS, actuellement en voie de standardisation à l’IETF. Ces signatures permettent de prouver qu’un certificat appartient bien à une hiérarchie de confiance donnée (par exemple, celle de Google ou de Radio-Canada) sans révéler les éléments uniques qui permettraient de relier plusieurs signatures à une même personne. La deuxième technique utilise des preuves à divulgation nulle de connaissance. Plutôt que d’inclure le certificat directement dans le fichier signé, on y insère une preuve démontrant que la signature a été générée correctement, que le certificat utilisé a bien été émis par une autorité reconnue, et qu’il était valide au moment de la signature, ...
    続きを読む 一部表示
    41 分
  • H'umain - Horizon 2030 - Le cerveau humain, nouvelle infrastructure critique de la cybersécurité (Cybereco) - Parce que... c'est l'épisode 0x307!

    H'umain - Horizon 2030 - Le cerveau humain, nouvelle infrastructure critique de la cybersécurité (Cybereco) - Parce que... c'est l'épisode 0x307!
    2026/06/09
    Parce que… c’est l’épisode 0x307! Shameless plug 24 et 25 juin 2026 - Troopers26 et 27 juin 2026 - leHACK30 juin au 2 juillet 2026 - Pass the SALT19 septembre 2026 - Bsides Montréal20 au 26 septembre 2026 - BruCON13 novembre 2026 - DEATHCon16 au 19 novembre - European Cyber Week1 au 3 décembre 2026 - Forum INCYBER - Canada 202624 et 25 février 2027 - SéQCure 2027 Description Le cerveau : une infrastructure à part entière L’épisode s’ouvre sur une idée centrale et provocatrice : traiter le cerveau humain comme une infrastructure critique de cybersécurité. Mélissa Canseliet, conférencière spécialisée dans le facteur humain, propose d’appliquer au cerveau les mêmes approches que celles utilisées pour les systèmes techniques — cartographie, mesure, gestion des risques. Son constat de départ est simple mais dérangeant : on parle abondamment d’intelligence artificielle sans jamais se demander ce qu’est l’intelligence humaine. Si personne n’est capable de définir ce qu’on cherche à protéger ou à augmenter, comment espérer construire une défense cohérente ? Le facteur humain, cible privilégiée des cybercriminels Depuis plus d’une décennie, le facteur humain représente le vecteur d’attaque dominant en cybersécurité. Mélissa souligne que cette réalité n’a pas été suffisamment prise au sérieux, et que l’IA générative l’aggrave considérablement. Les deepfakes, la manipulation émotionnelle, les campagnes de désinformation ciblée : autant d’armes qui ne s’attaquent pas aux systèmes, mais directement au cerveau. L’IA n’est donc pas seulement un outil technologique entre les mains des attaquants — c’est une arme neurologique. Face à cela, les stratégies de défense actuelles restent largement insuffisantes, car elles protègent les données sans renforcer les humains qui les manipulent. L’analogie avec l’industrialisation Pour structurer sa pensée, Mélissa recourt à une analogie éclairante : l’industrialisation a augmenté la force musculaire de l’être humain, tandis que l’ère numérique cherche à augmenter sa capacité cognitive. Or, nos systèmes éducatifs sont restés figés à l’époque industrielle. On n’a jamais mis en place d’équivalent pédagogique à la révolution numérique. Résultat : face à des outils qui sollicitent et manipulent le cerveau de façon de plus en plus sophistiquée, les individus n’ont reçu aucune formation adaptée. Comme on a dû inventer le sport synthétique une fois que le travail physique a disparu du quotidien, on devra inventer des pratiques pour entraîner le cerveau à l’ère de l’IA. L’économie de la relation mise en danger L’un des passages les plus marquants de l’échange porte sur ce que Mélissa appelle l’« économie de la relation ». L’IA, par son aspect fluide et non-contraignant, s’est insérée dans nos vies sans friction. Elle nous conforte, nous flatte, nous évite l’effort de la contradiction. Ce faisant, elle érode progressivement les interactions humaines réelles — celles qui permettent de se remettre en question, de confronter ses idées, de grandir collectivement. Les deux interlocuteurs s’accordent : la psyché humaine se développe au contact de l’autre, de la frustration, de l’imprévisible. En se substituant à ces interactions, l’IA crée une forme de régression cognitive et affective. On devient plus vulnérables, moins capables d’esprit critique, plus facilement manipulables. L’effort et l’inconfort comme moteurs de résilience Une part importante de la conversation tourne autour du rapport à l’inconfort. Mélissa défend une idée contre-intuitive mais biologiquement étayée : le confort permanent appauvrit. Le cerveau humain, comme le corps, a besoin de stimuli variés, d’efforts, de frustrations intermittentes pour fonctionner à son plein potentiel. Elle cite notamment le BDNF (brain-derived neurotrophic factor), une molécule produite lors de l’activité physique qui favorise la croissance des neurones — un rappel que le cerveau et le corps sont indissociables. Trop de confort, à l’inverse, abaisse le seuil de satisfaction, érode la capacité d’appréciation et finit par diminuer la qualité de vie. Cette logique vaut aussi dans les organisations : blâmer l’erreur plutôt que de l’accueillir comme un apprentissage est une stratégie perdante, particulièrement en cybersécurité. Ce qui s’en vient : un choix collectif déterminant En conclusion, Mélissa refuse le fatalisme. L’avenir dépendra des choix opérés maintenant — individuellement et collectivement. Elle appelle à sortir des incantations et des buzzwords pour passer à des actions mesurables : entraîner concrètement le cerveau, valoriser le partage d’expériences au sein des équipes, construire la résilience sur des bases tangibles. Le cerveau humain n’est pas une variable molle à mentionner ...
    続きを読む 一部表示
    44 分
  • Actu - 7 juin 2026 - Parce que... c'est l'épisode 0x306!

    Actu - 7 juin 2026 - Parce que... c'est l'épisode 0x306!
    2026/06/08
    Parce que… c’est l’épisode 0x306! Shameless plug 24 et 25 juin 2026 - Troopers26 et 27 juin 2026 - leHACK30 juin au 2 juillet 2026 - Pass the SALT19 septembre 2026 - Bsides Montréal20 au 26 septembre 2026 - BruCON13 novembre 2026 - DEATHCon16 au 19 novembre - European Cyber Week1 au 3 décembre 2026 - Forum INCYBER - Canada 202624 et 25 février 2027 - SéQCure 2027 Notes IA ou Ghost in the shell Mythos Anthropic invites EU to access Mythos hacking techAnthropic scales Claude Mythos to critical infrastructure in 15+ countriesAnthropic Expands Project Glasswing Claude Mythos Preview to 150 New OrganizationsKevin Beaumont: “Mythos is not great btw. Runni…” - CyberplaceFree AI model powers self-spreading worm in enterprise test network Instapassword Hackers Used Meta’s AI Support Bot to Seize Instagram AccountsInstagram Meta AI Vulnerability Allegedly Enables Password Reset for AccountsHackers duped Meta AI support chatbot to steal celebrity Instagram accountsInstagram Fixes Password Reset Flaw That Exposes User Emails and Phone NumbersHackers Simply Asked Meta AI to Give Them Access to High-Profile Instagram Accounts. It WorkedKevin Beaumont: “How people hacked Meta account…” - Cyberplace Injecte moi ça ChatGPT for Google Sheets Exfiltrates WorkbooksNew Google Gemini Vulnerability Exploited via Prompt Injections from WhatsApp, Slack, and SMSNew ChatGPT Lockdown Mode Limits Tools That Could Enable Data Exfiltration Irresponsable Florida sues OpenAI, Sam Altman after multiple ChatGPT-linked murdersSchool shooting survivor sues AI gun detection firm after system failed to spot weapon AI Agents Get Their Own Directory Built Atop DNSRemove all LLM generated commits before people get hurt by this nonsense. · Issue #934 · RsyncProject/rsyncAmazon Shuts Down Internal AI Leaderboard After Employees CheatedOpen source project contains hidden instruction for “AI” agents: delete my codeDOD wants to integrate cyber in all operations, and integrate security into AITrump plan to test AI models has a problem—US security teams were gutted by DOGEKevin Beaumont: “xAI have asked a court to stri…” - CyberplaceCommvault says it’s time to rethink resiliency as AI crooks leave victims in a ‘dark, dead’ stateAttackers Use AI to Automate EDR Evasion TestingPluralistic: Delusion as a service (04 Jun 2026) – Pluralistic: Daily links from Cory DoctorowThese LLMs are the best at resisting Russian propagandaRAG Security and Privacy: Formalizing the Threat Model and Attack SurfaceFrom Attack Simulation to SIEM Rule: Deterministic Detection-as-Code Synthesis with Probe-Level TraceabilityWill the Agent Recuse Itself? Measuring LLM-Agent Compliance with In-Band Access-Deny SignalsCritical Hugging Face Transformers Vulnerability Enables Remote Code Execution Attacks La guerre, la guerre, c’est pas une raison pour se faire mal! Iran-Linked Hackers Destroy IT, Backups, and Recovery Systems in Cyberattack targeting Middle EastPentagon raised threat of Israeli spying on U.S. to highest level, sources say Souveraineté ou vive le numérique libre! EU plots long game against US digital supremacyOSI welcomes the European Union’s “Tech Sovereignty” packageCable lobby warns of chaos if FCC doesn’t relax ban on foreign routers Privacy ou cachez ces informations que je ne saurais voir The Pentagon Finally Admits That Location Data Is a Battlefield ProblemAge verification for social media – the beginning of the end for a free internet?Privacy isn’t dead: it’s just that tech companies have made it inconvenientAmazon-owned Ring should pay Americans for scanning their faces, lawsuit saysElon Musk tries again to escape FTC audits of X data handling I am the law Policy-Compliant Cloud Storage SystemsGrapheneOS user reported to authorities for using GrapheneOS Red ou tout ce qui est brisé Cachez ce fiasco que j’ai fait Microsoft’s Zero-Day Legal Threats Spark BacklashMicrosoft Clarifies It Won’t Sue Security Researchers Amid Nightmare-Eclipse ControversyMicrosoft reaches for olive branch after public dustup with 0-day researcherNightmare Eclipse incident shows the researcher-vendor fights may never fully go awayAnother bug hunter leaks Microsoft exploits in defiance of company’s handling of vulnerability disclosuresMicrosoft MSRC Allegedly Dismissed Dependency Confusion Vulnerability, Claims Researcher Just LOL BIN BAS Kevin Beaumont: “Wake up babe, new lolbins and …” - CyberplaceMicrosoft’s Coreutils project brings Linux commands to Windows Microsoft Investigates MFA Setup Failure and MySigns-In Portal OutageDozens of Red Hat packages backdoored through its official NPM channelInspector general finds NIST mistakes have made vulnerability database ineffectiveSur le serveur X.Org, neuf nouvelles failles de sécurité dont huit débusquées par une IAHTTP/2 Bomb : une mini-requête suffit pour faire tomber nginx, Apache ou IIS Blue ou tout ce qui améliore notre posture - An ...
    続きを読む 一部表示
    49 分