PolySécure Podcast

Parce que… c’est l’épisode 0x304!

Shameless plug

24 et 25 juin 2026 - Troopers

26 et 27 juin 2026 - leHACK

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Notes

A systematic approach to evading antivirus software

Collaborateurs

Nicolas-Loïc Fortin

Philippe Pépos Petitclerc

Crédits

Montage par Intrasecure inc

Locaux réels par NorthSec

Parce que… c’est l’épisode 0x303!

Shameless plug

3 au 5 juin 2026 - SSTIC 2026

24 et 25 juin 2026 - Troopers

26 et 27 juin 2026 - leHACK

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Collaborateurs

Nicolas-Loïc Fortin

Cédric Thibault

Crédits

Montage par Intrasecure inc

Locaux réels par Cybereco

Parce que… c’est l’épisode 0x302!

Préambule

Finalement, ce n’est pas tant concluant la nouvelle façon d’enregistrer. J’aurai d’autres tests à faire si je désire continuer avec cet équipement.

Shameless plug

3 au 5 juin 2026 - SSTIC 2026

24 et 25 juin 2026 - Troopers

26 et 27 juin 2026 - leHACK

30 juin au 2 juillet 2026 - Pass the SALT

19 septembre 2026 - Bsides Montréal

20 au 26 septembre 2026 - BruCON

13 novembre 2026 - DEATHCon

16 au 19 novembre - European Cyber Week

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Notes

IA ou Ghost in the shell

Retour de l’enfant Mythos

Anthropic to release Mythos-class models to the public

Anthropic’s Restricted Claude Mythos Moves Toward Public Release via Claude Code and Security

Mythos Detected 23,000 Vulnerabilities Across 1,000 OSS Projects

Anthropic confirms Claude Mythos-class models will roll out to the public




Raz le bol

AI is becoming increasingly unpopular

Fed up with vibe coders, dev sneaks data-nuking prompt injection into their code




Menteur menteur

LLMs believe false statements even after explicit warnings that they’re false

AI bots ignore evidence. Can we trust them with science?

Kevin Beaumont: “If anybody is wondering how th…” - Cyberplace




SecuClaude

Anthropic Releases Free Security Plugin for Claude Code Terminal to Detect Vulnerabilities

Anthropic Updates Claude Code With Security Plugin and Faster Performance




Aider ce qui ne veut pas se faire aider

Open-Weight LLM Fine-Tuning Defenses are Susceptible to Simple Attacks

Jailbreaking and Mitigation of Vulnerabilities in Large Language Models

Provably Secure Agent Guardrail




Millions of AI agents imperiled by critical vulnerability in open source package

The pressure

Agentic AI Isn’t Risky; the Way Orgs Deploy It Is

Leak@𝑘: Unlearning Does Not Make LLMs Forget Under Probabilistic Decoding

Hackers are now using ChatGPT share links to deliver malware

OpenAI Privacy Filter - Masquez vos données perso en local

Microsoft Copilot Cowork Exfiltrates Files




La guerre, la guerre, c’est pas une raison pour se faire mal!

Internet Starts to Return in Iran After 3-Month Blackout

Iran president ends Internet blackout, orders access to be restored

Musk says US military suicide drones used Starlink in violation of SpaceX rules

Russia conducting daily attacks on UK ‘from seabed to cyberspace,’ spy chief warns

The Pentagon Knew Enemies Could Track Troops’ Phones for Years. Now They Are




Souveraineté ou vive le numérique libre!

Microsoft Allegedly Leaked Dutch Civil Servants’ Data To the US




Privacy ou cachez ces informations que je ne saurais voir

‘BusPatrol’ Put AI Cameras in Tens of Thousands of School Buses. Now They Want to Give Cops Access

Anonymous YARA Rules Are Not Anonymous

iOS 26 gèle vos appels FaceTime quand il détecte de la nudité, même entre adultes

Cities Are Covering Flock Cameras With Trash Bags

Trillions of miles of data: Your car is spying on you, and it’s only just the beginning




I am the law

Ninth Circuit Panel Goes Out of Its Way to Question Section 230-Doe v. Meta

FBI agent explains how easy it is to ID people posting AI porn without consent

Germany Considers Law to Force Social Media Algorithm Boost for State-Approved News

Dutch Raid Fails to Dent Russian Bulletproof Host

Bill C-22 Is a Mess of the Government’s Own Making




Red ou tout ce qui est brisé

Rire jaune

GitLab Suspends Windows Exploit Researcher Nightmare-Eclipse After GitHub Ban

Microsoft’s stance on zero day exploits is a dumpster fire of their own making

Microsoft Criticized for Threatening Legal Action Against Security Researcher

Cris Thomas (L0pht Veteran, Architect Of Responsible Disclosure) Is Calling Microsoft’s MSRC Posture An Abuse Of The Framework His Community Built. Free Cookies For Collaborators.




Quand les Motorola prennent une commission sur vos achats Amazon

Shai-Hulud Hackers TeamPCP: Lucky or Skilled?

Hackers Exploit Microsoft Teams’ Collaboration Features to Impersonate IT Helpdesk Staff

Rob Bonta sues 23andMe’s new owners over 2023 breach

FROST - Quand un site web peut vous tracker grâce à votre SSD




Blue ou tout ce qui améliore notre posture

2026 HIPAA Security Rule Update: New Requirements to Prepare For

Apple open-sources quantum-resistant encryption code

Apple’s New Anti-Snatching Feature Will Auto-Lock iPhones When Stolen From Your Hand

Rust Will Save Linux From AI, Says Greg Kroah-Hartman

IBM, Red Hat Commit $5 Billion To Secure Open Source Supply Chains

A Secure, Manifest-Based Framework for Delegated Privilege Promotion




Divers ou parce que j’ai aucune idée où les placer

Experts question Nigel Farage’s Russian phone-hacking claims

You should not update your dependencies in 2026

Un développeur de malware oublie son propre token GitHub dans le code




Collaborateurs

Nicolas-Loïc Fortin

Crédits

Montage par Intrasecure inc

Locaux réels par CitizenM CDG

Parce que… c’est l’épisode 0x301!

Shameless plug

3 au 5 juin 2026 - SSTIC 2026

24 et 25 juin 2026 - Troopers

26 et 27 juin 2026 - leHACK

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Collaborateurs

Nicolas-Loïc Fortin

Georges Badro

Crédits

Montage par Intrasecure inc

Locaux réels par Google Paris

Parce que… c’est l’épisode 0x300!

Shameless plug

3 au 5 juin 2026 - SSTIC 2026

24 et 25 juin 2026 - Troopers

26 et 27 juin 2026 - leHACK

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Dans cet épisode du podcast Polysécure enregistré au NorthSec, Gaëtan Ferry et Guillaume Valadon, tous deux cyber security researchers chez GitGuardian depuis deux ans, présentent une recherche consacrée aux fuites de clés privées cryptographiques. Guillaume est par ailleurs mainteneur du logiciel Scapy et rédacteur en chef du magazine MISC.

Le problème de l’attribution

Contrairement à des secrets classiques comme les clés AWS, dont on peut retrouver le propriétaire en interrogeant les services associés, une clé privée cryptographique (RSA par exemple) ne se rattache à aucune identité. C’est un simple objet mathématique aux propriétés cryptographiques, utilisable pour de multiples usages : connexion SSH, protection d’un site web en TLS, etc. En regardant la clé seule, impossible de savoir à quoi elle sert ou à qui elle appartient. Quelques indices existent parfois — le nom de fichier (norssec.io.key) — mais souvent on tombe sur des private.key inexploitables. L’enjeu de la recherche était donc de trouver une technique générique de catégorisation.

La méthode : Certificate Transparency

La solution repose sur les Certificate Transparency logs, un mécanisme de l’infrastructure X.509 datant de 2015. Chaque fois qu’une autorité de certification émet un certificat, elle doit le journaliser dans ces registres publics, souvent opérés par d’autres autorités. Ces journaux contiennent donc l’historique de tous les certificats émis.

Le principe du matching est le suivant : une clé privée contient des informations sur sa partie publique (le module, dans le cas de RSA). On extrait cette partie publique, on calcule une empreinte SHA-256, et on fait de même pour les certificats. Comme un certificat TLS associe une clé publique à une identité (généralement le nom du site protégé), une simple jointure entre les deux bases d’empreintes permet de relier une clé privée à un site et à son propriétaire.

La recherche s’est accélérée lors de la conférence Pass the SALT à Lille, où des contacts chez Google les ont alertés : les anciens logs de Certificate Transparency, coûteux à opérer, allaient être mis hors ligne. Or c’était précisément la dimension historique du dataset qui les intéressait. Un partenariat s’est noué : GitGuardian a fourni une liste d’empreintes, et Google a effectué la correspondance dans sa base propriétaire, renvoyant les certificats associés.

Les chiffres

Le dataset de fin 2025 comptait un million de clés privées distinctes, collectées via l’activité historique de GitGuardian — le public monitoring qui scanne GitHub, Docker Hub et d’autres sources à la recherche de secrets codés en dur, puis avertit les victimes en mode « bon samaritain ».

Sur ce million, 42 000 clés correspondaient à des certificats émis par des autorités. Le chiffre peut sembler modeste, mais la majorité des clés ne servent jamais au TLS (projets personnels, SSH, autorités privées d’entreprise absentes des logs publics). Ces 42 000 clés étaient liées à plus de 140 000 certificats, signe que certaines avaient servi à émettre plusieurs certificats successifs, prolongeant d’autant la durée d’exposition. Après vérification, 2 600 clés restaient associées à un certificat valide en septembre 2025. Grâce à des techniques d’OSINT, 1 300 certificats ont pu être rattachés à environ 600 entités.

La divulgation responsable, un parcours décevant

L’équipe a entrepris un responsible disclosure en envoyant environ 4 300 emails à ces 600 entreprises. Résultat : seulement 54 réponses, soit environ 9 %. Même en se limitant aux adresses certaines à près de 100 %, le taux ne dépassait pas 36 %. Pour gérer un envoi aussi massif sans être bloqués comme spam, ils ont dû collaborer avec leurs collègues du marketing, rompus aux techniques de délivrabilité.

Plus frappant que le silence : l’incompréhension des répondants. Beaucoup confondaient clé privée et certificat. Certains ont répondu avoir « changé le certificat », croyant le problème réglé. Une équipe de réponse à incident d’une grande entreprise a même produit une analyse détaillée pour conclure que l’endpoint utilisait désormais un autre certificat, refusant toute révocation — alors qu’un attaquant peut toujours mener une attaque man-in-the-middle avec l’ancien certificat non révoqué. Le certificat a fini par expirer un mois plus tard. Fait notable, 19 entités gouvernementales étaient concernées, et aucune n’a répondu.

Comprendre TLS

Le malentendu de fond tient au fonctionnement de TLS. On génère sa clé privée chez soi, puis on signe une demande de certificat (CSR) envoyée à l’autorité avec la clé publique. L’autorité vérifie les informations, journalise dans CT et renvoie le certificat. Le certificat n’est qu’une partie publique : il associe une clé publique à une identité, sans contenir le secret. Changer de certificat sans changer de clé n’invalide donc rien : l’ancien certificat reste exploitable pour usurper le service tant qu’il n’est pas révoqué.

Forcer la révocation et la vraie solution

Face au silence, l’équipe a contacté directement les autorités de certification pour demander la révocation, en fournissant les preuves de possession. Cette voie autoritative s’est révélée plus efficace, mais a généré des réactions parfois hostiles — dont un individu insultant expliquant que sa clé était « volontairement publique » pour permettre l’interception (cas d’usage type Burp), sans que le site l’indique clairement.

Les chercheurs avouent un moment de doute, au point de vérifier auprès d’anciens collègues de l’ANSSI : le problème est bien systémique. La solution qu’ils privilégient n’est pas seulement l’éducation, mais l’automatisation. La réduction drastique de la durée de vie des certificats (vers 47 jours) imposera des outils comme Certbot, qui renouvelle déjà la clé privée en même temps que le certificat. Or 20 % des clés trouvées avaient fui plus de deux ans avant l’expiration du certificat le plus récent : des clés compromises réutilisées sur de nouveaux certificats pendant des années. Renouveler systématiquement la clé aurait éliminé ce cinquième des compromissions.

Notes

Private Key Leaks in the Wild: Insights from Certificate Transparency

Collaborateurs

Nicolas-Loïc Fortin

Guillaume Valadon

Gaetan Ferry

Crédits

Montage par Intrasecure inc

Locaux réels par NorthSec