Épisodes

  • Actu - 07 décembre 2025 - Parce que... c'est l'épisode 0x675!

    Actu - 07 décembre 2025 - Parce que... c'est l'épisode 0x675!
    Dec 8 2025
    Parce que… c’est l’épisode 0x675! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 202628 et 29 avril 2026 - Cybereco Cyberconférence 20269 au 17 mai 2026 - NorthSec 20263 au 5 juin 2025 - SSTIC 2026 Notes Divers Users scramble as critical open source project left to dieHegseth needs to go to secure messaging school, report saysHow I discovered a hidden microphone on a Chinese NanoKVMJeunesse Dutch study finds teen cybercrime is mostly just a phaseThe WIRED Guide to Digital Opsec for Teens React2Shell Cloudflare blames today’s outage on React2Shell mitigationsAdmins and defenders gird themselves against maximum-severity server vulnCybersecurity industry overreacts to React vulnerability, starts panic, burns own house down againKevin Beaumont: “Similarly attacks are spraying…” - Cyberplace IA Guardails ou l’abence de Securing AI Agents with Information Flow Control (Part I)Google’s vibe coding platform deletes entire driveAI Agents, Enterprise Risk, and the Future of Recovery: Rubrik’s Vision with Dev Rishi AI-Powered Browsers Create New VulnerabilitiesCocoon – Confidential Compute Open NetworkUnMarker - Les watermarks IA ne servent à rienQuand l’IA écoute et analyse les appels de millions de détenus américainsAWS joins Microsoft, Google in the security AI agent raceAWS AI Factories: AI-in-a-box for enterprise datacenters Red Living the long game PRC spies Brickstormed their way into critical US networksBrowser extensions pushed malware to 4.3M Chrome, Edge users Hackers are Moving to “Living Off the Land” Techniques to Attack Windows Systems Bypassing EDRVelociraptor Misuse, Pt. II: The Eye of the StormHackers Using Calendly-Themed Phishing Attack to Steal Google Workspace AccountNew wave of VPN login attempts targets Palo Alto GlobalProtect portalsThreat Landscape Grows Increasingly Dangerous for Manufacturers Blue Decreasing Certificate Lifetimes to 45 Days - Let’s EncryptMicrosoft fixes Windows shortcut flaw exploited for yearsThe built-in Windows security features you should be usingGrapheneOS: “GrapheneOS is the only Android…” - GrapheneOS Mastodon Legalize Lawmakers Want To Ban VPNs—And They Have No Idea What They’re DoingPortugal updates cybercrime law to exempt security researchersLegislation would designate ‘critical cyber threat actors,’ direct sanctions against them Souveraineté Porsche outage in Russia serves as a reminder of the risks in connected vehicle securityWhat digital sovereignty? How a Canadian Court is forcing a French company to break French law Privacy India Orders Phone Makers to Pre-Install Government App to Tackle Telecom FraudIndia Mandates SIM-Binding: WhatsApp and Telegram Users Must Re-verify Every 6 HoursCanadian police department becomes first to trial body cameras equipped with facial recognition technologyThe Age-Gated Internet Is Sweeping the US. Activists Are Fighting BackOpenAI loses fight to keep ChatGPT logs secret in copyright case Insolites Kohler’s Encrypted Smart Toilet Camera is not Actually end-to-end EncryptedTwin brothers charged with deleting 96 US govt databases Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure incLocaux réels par Intrasecure inc
    Voir plus Voir moins
    50 min
  • PME - Sensibilisation - Parce que... c'est l'épisode 0x674!

    PME - Sensibilisation - Parce que... c'est l'épisode 0x674!
    Dec 4 2025
    Parce que… c’est l’épisode 0x674! Shameless plug
    • 25 et 26 février 2026 - SéQCure 2026
      • CfP
    • 14 au 17 avril 2026 - Botconf 2026
    • 28 et 29 avril 2026 - Cybereco Cyberconférence 2026
    • 9 au 17 mai 2026 - NorthSec 2026
    • 3 au 5 juin 2025 - SSTIC 2026
    Description Collaborateurs
    • Nicolas-Loïc Fortin
    • Dominique Derrier
    • Cyndie Feltz
    • Nicholas Milot
    Crédits
    • Montage par Intrasecure inc
    • Locaux virtuels par Riverside.fm
    Voir plus Voir moins
    21 min
  • Teknik - Threat Hunting in KQL 101 - Parce que... c'est l'épisode 0x673!

    Teknik - Threat Hunting in KQL 101 - Parce que... c'est l'épisode 0x673!
    Dec 3 2025
    Parce que… c’est l’épisode 0x673! Shameless plug
    • 25 et 26 février 2026 - SéQCure 2026
      • CfP
    • 14 au 17 avril 2026 - Botconf 2026
    • 28 et 29 avril 2026 - Cybereco Cyberconférence 2026
    • 9 au 17 mai 2026 - NorthSec 2026
    • 3 au 5 juin 2025 - SSTIC 2026
    Description Collaborateurs
    • Nicolas-Loïc Fortin
    • Yoan Schinck
    Crédits
    • Montage par Intrasecure inc
    • Locaux réels par DEATHcon Montréal
    Voir plus Voir moins
    25 min
  • Spécial - 10 ans d'ECW, le PeC, la collaboration commmunautaire et l'espace régalien - Parce que... c'est l'épisode 0x672!

    Spécial - 10 ans d'ECW, le PeC, la collaboration commmunautaire et l'espace régalien - Parce que... c'est l'épisode 0x672!
    Dec 2 2025
    Parce que… c’est l’épisode 0x672! Shameless plug
    • 25 et 26 février 2026 - SéQCure 2026
      • CfP
    • 14 au 17 avril 2026 - Botconf 2026
    • 28 et 29 avril 2026 - Cybereco Cyberconférence 2026
    • 9 au 17 mai 2026 - NorthSec 2026
    • 3 au 5 juin 2025 - SSTIC 2026
    Description Collaborateurs
    • Nicolas-Loïc Fortin
    • Arnaud Coustillière
    Crédits
    • Montage par Intrasecure inc
    • Locaux réels par European Cyber Week
    Voir plus Voir moins
    30 min
  • Actu - 30 novembre 2025 - Parce que... c'est l'épisode 0x671!

    Actu - 30 novembre 2025 - Parce que... c'est l'épisode 0x671!
    Dec 1 2025
    Parce que… c’est l’épisode 0x671! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 27 février 2026 - Blackout14 au 17 avril 2026 - Botconf 202628 et 29 avril 2026 - Cybereco Cyberconférence 20269 au 17 mai 2026 - NorthSec 20263 au 5 juin 2026 - SSTIC 2026juin 2026 - leHACK Notes IA Vibe coding: What is it good for? Absolutely nothingThe slow rise of SBOMs meets the rapid advance of AIMalveillant How Malware Authors Incorporate LLMs to Evade DetectionKawaiiGPT - Free WormGPT Variant Leveraging DeepSeek, Gemini, and Kimi-K2 AI ModelsLLMs Tools Like GPT-3.5-Turbo and GPT-4 Fuels the Development of Fully Autonomous Malware Amazon Is Using Specialized AI Agents for Deep Bug HuntingOpenAI dumps Mixpanel after analytics breach hits API usersGibberifier Souveraineté Europe Is Bending the Knee to the US on Tech PolicyNATO taps Google for air-gapped sovereign cloudCanadian data order risks blowing a hole in EU sovereigntyUnderwater Cables That Carry the Internet Are in TroubleSocial media giants liable for financial scams under new EU lawSwitzerland: Data Protection Officers Recommend Broad Cloud Ban for AuthoritiesPluralistic: (Digital) Elbows Up (28 Nov 2025) – Pluralistic: Daily links from Cory Doctorow Red Threats Actors Leverage Python-based Malware to Inject Process into a Legitimate Windows BinaryNew Fluent Bit Flaws Expose Cloud to RCE and Stealthy Infrastructure IntrusionsClickFix Hackers Tricks macOS Users to Execute Command in Terminal to Deliver FlexibleFerret MalwareBeware of Weaponized Google Meet page that uses ClickFix to deliver Malicious PayloadClickFix attack uses fake Windows Update screen to push malware Malicious Blender model files deliver StealC infostealing malwareHashiCorp Vault Vulnerability Allow Attackers to Authenticate to Vault Without Valid CredentialsCheap Device Bypasses AMD, Intel Memory EncryptionAdvanced Security Isn’t Stopping Old Phishing TacticsDes outils de formatage de code ont exposé des milliers de mots de passeOver 390 Abandoned iCalendar Sync Domains Could Expose ~4 Million Devices to Security RisksPublic GitLab repositories exposed more than 17,000 secrets Blue Leonardo unveils ‘Michelangelo Dome’ AI-powered shield systemEx-CISA officials, CISOs aim to stop the spread of hackloreMobile phones : Threat landscape since 2015Air Force practices operating from cut-off bases in fierce future warAirbus: We were hours from pausing production in SpainMicrosoft to secure Entra ID sign-ins from script injection attacks Privacy Mind-reading devices can now predict preconscious thoughts: is it time to worry?One Tech Tip: Modern cars are spying on you. Here’s what you can do about itProton Meet: Secure, end-to-end encrypted video conferencingChat Control - 3 ans de débats pour accoucher d’un truc qui ne sert à rienGrapheneOS: “We no longer have any active s…” - GrapheneOS MastodonGrapheneOS bails on OVHcloud over France’s privacy stanceEuropean Parliament for mandatory age verification for social media Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure incLocaux réels par Intrasecure inc
    Voir plus Voir moins
    57 min
  • Teknik - Split-Second Side Doors - How Bot-Delegated TOCTOU Breaks The CI/CD Threat Model - Parce que... c'est l'épisode 0x670!

    Teknik - Split-Second Side Doors - How Bot-Delegated TOCTOU Breaks The CI/CD Threat Model - Parce que... c'est l'épisode 0x670!
    Nov 27 2025
    Parce que… c’est l’épisode 0x670! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 202628 et 29 avril 2026 - Cybereco Cyberconférence 20269 au 17 mai 2026 - NorthSec 20263 au 5 juin 2025 - SSTIC 2026 Description Ce podcast réunit François Proulx, Alexis Maurer-Fortin et Sébastien Graveline, chercheurs chez BoostSecurity, une startup montréalaise spécialisée en sécurité applicative. L’épisode explore les coulisses de leur travail de recherche et développement, particulièrement leurs découvertes récentes sur les vulnérabilités de type “race condition” dans les pipelines CI/CD. Structure et méthodologie de recherche L’équipe de recherche de BoostSecurity fonctionne de manière structurée mais flexible. François Proulx définit les grandes orientations annuelles basées sur les tendances émergentes et les apprentissages de l’année précédente. Alexis apporte son expertise en développement backend et son approche défensive, tandis que Sébastien, joueur avide de CTF, contribue avec une perspective offensive de red team. Garance, absente lors de l’enregistrement, assure la rigueur académique en effectuant des revues approfondies de la littérature scientifique. Infrastructure de recherche massive L’équipe a développé une infrastructure impressionnante pour la détection de vulnérabilités à grande échelle. Au cœur de leur système se trouve Poutine, un outil open source développé en Go pour scanner les pipelines de build, particulièrement les GitHub Actions. Cette infrastructure analyse continuellement l’écosystème open source, accumulant plusieurs téraoctets de données sur des millions de projets. Leur système “Threat Hunter” ingère en quasi-temps réel tous les événements publics sur GitHub avec un délai d’environ cinq minutes, capturant même les dépôts éphémères qui n’existent que brièvement. Cette capacité leur permet de détecter des attaques en cours, comme l’attaque par “confused deputy” de Kong qu’ils ont pu capturer et analyser. Les données sont stockées dans Google Cloud BigQuery, permettant des analyses complexes qui auraient autrefois nécessité des semaines de travail. Découverte d’une nouvelle technique de malware François décrit une découverte récente concernant une technique d’obfuscation utilisant les “Private Use Areas” d’Unicode. Ces plages de caractères, réservées mais jamais attribuées officiellement, permettent d’encoder des données arbitraires dans des chaînes de caractères invisibles. Un malware peut ainsi être caché dans du code source JavaScript, Python ou Go sans être visible dans les éditeurs standards comme Visual Studio Code. En réponse, l’équipe a développé “Puant”, un outil open source capable de scanner efficacement des millions de fichiers en quelques secondes pour détecter l’utilisation de ces caractères suspects. L’outil peut s’intégrer facilement dans les pipelines CI/CD pour bloquer du code contenant ces caractères invisibles lors de la révision de pull requests. Vulnérabilités “Time of Check, Time of Use” dans les pipelines CI/CD La découverte majeure présentée concerne une classe de vulnérabilités de type “race condition” appliquée aux build pipelines. L’équipe a identifié six cas significatifs affectant des entreprises comme Nvidia, GitHub Copilot et Jupyter Notebook. Le premier cas découvert impliquait le “copy-pr-bot” de Nvidia. Ce bot copie le code d’une pull request dans une branche dédiée après qu’un mainteneur ait commenté “ok to test”. L’équipe a découvert une fenêtre d’environ cinq secondes entre la commande du mainteneur et l’exécution du bot, pendant laquelle un attaquant pouvait modifier le code malicieusement puis le rétablir, rendant l’attaque invisible. Pour GitHub Copilot, la vulnérabilité était encore plus exploitable manuellement. Lorsqu’un mainteneur assignait Copilot pour résoudre un bug décrit dans une issue, un attaquant pouvait modifier les instructions pendant la race condition, demandant au bot d’insérer une backdoor tout en affichant une tâche légitime à l’écran. Le cas de Jupyter Notebook était particulièrement ironique : la vulnérabilité résidait dans le code de mitigation d’une race condition précédemment rapportée. La correction initiale présentait une erreur typographique dans la référence temporelle utilisée, rendant la mitigation complètement inefficace. Recommandations et mitigations L’équipe propose plusieurs stratégies de mitigation. La plus importante consiste à utiliser des mécanismes atomiques qui lient l’approbation du mainteneur à un commit SHA spécifique. GitHub offre la fonctionnalité “Pull Request Review” qui garantit cette atomicité, contrairement aux simples commentaires ou labels qui restent vulnérables aux race conditions. Les environnements ...
    Voir plus Voir moins
    54 min
  • PME - DarkWeb - Parce que... c'est l'épisode 0x669!

    PME - DarkWeb - Parce que... c'est l'épisode 0x669!
    Nov 26 2025
    Parce que… c’est l’épisode 0x669! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 202628 et 29 avril 2026 - Cybereco Cyberconférence 20269 au 17 mai 2026 - NorthSec 20263 au 5 juin 2025 - SSTIC 2026 Description Le dark web fascine et inquiète en même temps. Pourtant, ce concept n’est pas aussi mystérieux qu’on pourrait le croire, bien qu’il joue un rôle crucial dans le paysage de la cybersécurité actuelle. Cyndie Feltz, Nicholas Milot et Dominique Derrier nous aident à mieux comprendre cet écosystème et son importance pour les petites et moyennes entreprises. Qu’est-ce que le dark web? Pour bien comprendre le dark web, il faut d’abord parler du deep web. Le deep web représente toute la partie non indexée d’internet. Lorsqu’on effectue une recherche sur Google, on ne consulte que la portion indexée du web. Mais internet contient beaucoup plus : les canaux Telegram, par exemple, font partie du deep web car ils ne sont pas indexés par les moteurs de recherche traditionnels. Le dark web constitue la partie la plus profonde du deep web, celle où se déroulent la plupart des activités criminelles en ligne. L’image de l’iceberg illustre bien cette structure : au-dessus de l’eau se trouve la partie indexée d’internet, tandis que tout ce qui est submergé représente le deep web. Au fond, là où se trouvent les créatures marines les plus imposantes, on retrouve le dark web. Il est important de noter qu’on n’accède pas au dark web par hasard. Il faut utiliser un navigateur spécialisé comme Tor pour y naviguer. De plus, contrairement au web traditionnel, il n’existe pas de Google du deep web. Il faut savoir où chercher pour trouver ce qu’on recherche. Des usages légitimes existent Bien que le dark web soit souvent associé aux activités criminelles, il possède également des usages légitimes. Les journalistes l’utilisent pour protéger leurs sources, et de nombreux gouvernements y ont recours pour des communications sécurisées. Cet espace permet des transactions sur internet qui ne sont pas indexées par Google, offrant ainsi un niveau de confidentialité supérieur. Pourquoi les PME doivent-elles s’y intéresser? Pour une PME, le dark web devient pertinent dans deux cas principaux. Le premier survient lors d’un incident de sécurité. Lorsqu’une entreprise subit une violation de données, l’assurance ou l’équipe de réponse à incident recommandera souvent d’investiguer le dark web pour tenter de récupérer les informations volées. Le deuxième cas relève de la prévention. Certaines organisations choisissent de surveiller le dark web pour anticiper les menaces. Cette surveillance permet de découvrir si des acteurs malveillants planifient une attaque ou s’ils possèdent déjà des informations compromettantes sur l’entreprise. Une véritable industrie criminelle Lorsqu’une entreprise se fait voler des données, celles-ci ont de la valeur. Les cybercriminels ne gardent pas ces informations pour eux : ils cherchent à les vendre sur des canaux Telegram ou des sites non indexés. Le dark web fonctionne comme une véritable chaîne d’approvisionnement. Des spécialistes collectent des identifiants de connexion fonctionnels, souvent par hameçonnage. Ces credentials sont ensuite vendus en lot à d’autres criminels qui les utiliseront pour déployer des rançongiciels ou des voleurs d’information. Cette division du travail crée un écosystème criminel professionnalisé, comparable à un modèle d’affaires SaaS (software as a service). Les limites de la surveillance du dark web Malgré son utilité, la surveillance du dark web comporte des limitations importantes. Par nature, cet espace n’est pas indexable comme Google. Il n’existe donc aucune garantie de retrouver toutes les informations recherchées. On peut passer des années à chercher quelque chose qui pourrait ne jamais être trouvé. Le dark web fonctionne comme un marché aux puces : les lieux où se commercent des biens illégaux apparaissent et disparaissent rapidement. Les données volées ont une durée de vie limitée. Comme on vérifie la fraîcheur des fruits à l’épicerie, les acheteurs vérifient la fraîcheur des credentials. Une fois le produit périmé, il disparaît du marché. Au-delà des mots de passe Le dark web ne contient pas que des mots de passe. Suite à une violation de données, des informations sur des centaines ou milliers de clients peuvent s’y retrouver. Ces données permettent aux attaquants de mener des campagnes d’harponnage hautement ciblées. Avec le bon contexte, leurs courriels frauduleux deviennent beaucoup plus crédibles et efficaces. Le piège des jetons de session Même avec l’authentification à deux facteurs activée, les entreprises ne sont pas totalement protégées. Les voleurs d’information peuvent extraire des jetons de session du navigateur. Ces jetons sont ...
    Voir plus Voir moins
    20 min
  • Spécial - Le rôle des conseils d'administration - Parce que... c'est l'épisode 0x668!

    Spécial - Le rôle des conseils d'administration - Parce que... c'est l'épisode 0x668!
    Nov 25 2025
    Parce que… c’est l’épisode 0x668! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 14 au 17 avril 2026 - Botconf 202628 et 29 avril 2026 - Cybereco Cyberconférence 20269 au 17 mai 2026 - NorthSec 20263 au 5 juin 2025 - SSTIC 2026 Description Introduction Ce podcast spécial réunit trois experts pour discuter d’un enjeu crucial : les conseils d’administration comme engrenage raté de la cybersécurité. L’hypothèse centrale avancée est que l’absence de connaissances même basiques en cybersécurité au sein de ces instances de gouvernance explique en partie les problèmes actuels auxquels font face les organisations québécoises et canadiennes. Le problème de la composition des conseils d’administration Sylvie Guérin soulève un constat troublant : malgré la multiplication des fraudes touchant les institutions, écoles, hôpitaux et universités, les conseils d’administration demeurent largement dominés par des comptables et des avocats. Cette surreprésentation crée un manque flagrant de diversité, particulièrement en matière d’expertise technologique et de cybersécurité. Elle partage son expérience personnelle où, malgré son expertise, elle s’est vue écartée d’un poste au conseil d’administration d’un CHSLD privé au profit d’un autre comptable. Cette anecdote illustre bien le caractère consanguin de ces structures, où les membres ont tendance à reproduire les mêmes profils plutôt que d’ouvrir leurs rangs à de nouvelles compétences essentielles à l’ère numérique. L’aveuglement volontaire et la dénégation plausible Éric Parent expose un phénomène qu’il nomme “l’aveuglement volontaire”. Il raconte avoir été approché pour un poste de CSO (Chief Security Officer) dans une entreprise internationale, où il est rapidement devenu évident que l’organisation cherchait en réalité un bouc émissaire plutôt qu’un véritable responsable de la sécurité. Le poste offert devait se rapporter au directeur des technologies de l’information, créant ainsi une structure hiérarchique dysfonctionnelle. Une conversation révélatrice avec Ronald Brisois, ancien PDG de Cognos, illustre parfaitement ce problème. Interrogé sur où devrait se situer la sécurité dans l’organigramme, Brisois a répondu sans hésitation : au conseil d’administration. Pourtant, il admet que ce n’est jamais là qu’elle se trouve en pratique, les dirigeants préférant la cacher sous les technologies de l’information. Parent mentionne également le concept de “plausible deniability department” utilisé dans certaines grandes entreprises canadiennes pour désigner les départements légaux, véritables cimetières d’idées où les préoccupations sont écoutées mais jamais suivies d’actions concrètes. Le fossé du langage et de la communication Un obstacle majeur identifié concerne le langage. Les comptables et avocats ont appris à parler en termes de risques financiers, ce qui leur confère une certaine autorité auprès des conseils d’administration. En contraste, les professionnels de la cybersécurité peinent souvent à traduire leurs préoccupations techniques en risques d’affaires compréhensibles. Parent souligne l’importance de cette traduction. Au lieu de parler de bits, de réseaux et de technologies, il faut parler de l’arrêt potentiel des chaînes de montage, des pénalités contractuelles et des impacts financiers concrets. Il mentionne avoir enseigné pendant dix ans à Polytechnique avec cet objectif précis : former des technologues capables de communiquer en langage d’affaires. Les lacunes du système éducatif La discussion révèle des failles profondes dans le système éducatif, depuis les écoles primaires jusqu’aux universités. Les universités forment des enseignants compétents sur le plan pédagogique, mais largement démunis en matière de technologie et de cybersécurité. Cette lacune se répercute ensuite sur les élèves, créant un cercle vicieux d’incompétence numérique. Sylvie partage l’exemple d’une connaissance dont les stagiaires en enseignement étaient prometteurs comme futurs professeurs, mais quasi analphabètes technologiquement. Ironiquement, ce sont souvent les enfants qui doivent aider leurs enseignants avec les ordinateurs et les tableaux interactifs. Ce problème s’étend aux comptables et avocats qui siègent aux conseils d’administration. Décrits avec humour comme “une gang de vieux hommes blancs de 75 ans” incapables de reprogrammer leur magnétoscope, ils manquent cruellement de la formation minimale nécessaire pour comprendre les enjeux de cybersécurité. Des solutions possibles Plusieurs pistes sont explorées pour améliorer la situation. Sylvie suggère de créer un module de formation obligatoire d’environ deux heures pour tout nouveau membre d’un conseil d’administration, les sensibilisant aux risques concrets comme l’...
    Voir plus Voir moins
    27 min