PolySécure Podcast

Parce que… c’est l’épisode 0x300!

Shameless plug

3 au 5 juin 2026 - SSTIC 2026

24 et 25 juin 2026 - Troopers

26 et 27 juin 2026 - leHACK

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Notes

Private Key Leaks in the Wild: Insights from Certificate Transparency

Collaborateurs

Nicolas-Loïc Fortin

Guillaume Valadon

Gaetan Ferry

Crédits

Montage par Intrasecure inc

Locaux réels par NorthSec

Parce que… c’est l’épisode 0x2FF!

Shameless plug

3 au 5 juin 2026 - SSTIC 2026

24 et 25 juin 2026 - Troopers

26 et 27 juin 2026 - leHACK

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Collaborateurs

Nicolas-Loïc Fortin

Jonathan Marcil

Crédits

Montage par Intrasecure inc

Locaux réels par Cybereco

Parce que… c’est l’épisode 0x2FE!

Préambule

Moins bonne qualité sonore parce que je n’ai pas mon équipement standard.

Shameless plug

3 au 5 juin 2026 - SSTIC 2026

24 et 25 juin 2026 - Troopers

26 et 27 juin 2026 - leHACK

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Notes

IA ou Ghost in the shell

Tout est dans le code

Linus Torvalds says AI-powered bug hunters have made Linux security mailing list ‘almost entirely unmanageable’

Bug bounty businesses bombarded with AI slop

AI eyes scanning for bugs create a worrisome Linux security trend

Linux kernel flaw opens root-only files to unprivileged users

BrianKrebs: “If AI is truly making it easie…” - Infosec Exchange

score by collisions, patch by panic




Boum ou BOM

What Will Make AI BOMs Real?

Operationalising Artificial Intelligence Bills of Materials (AIBOMs) for Verifiable AI Provenance and Lifecycle Assurance

How to Make AI BOMs Usable in a Modern Security Program




CtF

Autonomous LLM Agents & CTFs: A Second Look

Retour sur nsec 2026: le pouls de la communauté sur l’agentic CTF




Where OpenClaw Security Is Heading

Hidden Signals Can Hijack AI Voice Systems

When Skills Don’t Help: A Negative Result on Procedural Knowledge for Tool-Grounded Agents in Offensive Cybersecurity

Gemini 3.5 deleted 28,745 lines, broke production for 33 minutes, and wrote itself a fake post-mortem claiming credit for the fix : r/Bard

Even Claude agrees: hole in its sandbox was real and dangerous

Agent Security is a Systems Problem

Jailbroken Gemini helped Russian-speaking fraudster target MAGA crypto users

Anthropic’s Claude Mythos Preview Uncovers 10,000+ 0-Days in Project Glasswing

Trump abruptly cancels EO signing event after top AI firm CEOs declined to go




La guerre, la guerre, c’est pas une raison pour se faire mal!

Cable dans l’eau chaude

Iran eyes a new source of power deep beneath the Strait of Hormuz

Iran Now Threatens Fees for Subsea Internet Cables in the Strait of Hormuz




Fuel Tank Breaches Expand Scope of Iran’s Cyber Offensive




Souveraineté ou vive le numérique libre!

Poland builds its own Signal amid security concerns

The EU Is Going Through a Trump-Fueled Breakup With Big Tech

Sovereign cloud: Thales and Google create a S3NS clone in Germany




Privacy ou cachez ces informations que je ne saurais voir

BrianKrebs: “The Trump Mobile grift keeps g…” - Infosec Exchange

Discord adds end-to-end encryption to voice and video calls by default

A Bipartisan Amendment Would End Police License Plate Tracking Nationwide

Why the Supreme Court’s Chatrie case could change the meaning of privacy in America

Texas AG sues Meta over claims that WhatsApp doesn’t provide end-to-end encryption




I am the law

Pluralistic: There’s no such thing as “age verification”

You Can Get Some of Your Nudes Removed From the Internet Under a New Law




Red ou tout ce qui est brisé

Mother of all leak

CISA Admin Leaked AWS GovCloud Keys on Github

Senator presses CISA for answers about alleged GitHub repository leak

Lawmakers Demand Answers as CISA Tries to Contain Data Leak




Bitwhat?

Get your passwords out of BitWarden while you still can

The Quiet Renovation at Bitwarden




Microsoft Releases Mitigation for Windows BitLocker Security Bypass 0-Day Vulnerability

GitHub confirms being hacked by TeamPCP, says customer data unaffected

Google Publishes Exploit Code Threatening Millions of Chromium User

Les clés API Google encore en vie même après leur suppression

A hacker group is poisoning open source code at an unprecedented scale

Scammers Are Abusing an Internal Microsoft Account to Send Spam Links




Blue ou tout ce qui améliore notre posture

Microsoft disrupts alleged malware-signing operation used by ransomware gangs

Europe dismantles VPN service used by cybercriminals to hide ransomware attacks




Divers ou parce que j’ai aucune idée où les placer

NTSB Wants PDF Removed After It Exposed Final Cockpit Audio From UPS Crash




Collaborateurs

Nicolas-Loïc Fortin

Crédits

Montage par Intrasecure inc

Locaux réels par Courtyard by Marriott Montreal Midtown

Parce que… c’est l’épisode 0x2FD!

Shameless plug

3 au 5 juin 2026 - SSTIC 2026

24 et 25 juin 2026 - Troopers

26 et 27 juin 2026 - leHACK

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Collaborateurs

Nicolas-Loïc Fortin

Nicolas Bédard

Crédits

Montage par Intrasecure inc

Locaux réels par Nicolas Bédard

Parce que… c’est l’épisode 0x2FC!

Shameless plug

3 au 5 juin 2026 - SSTIC 2026

24 et 25 juin 2026 - Troopers

26 et 27 juin 2026 - leHACK

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Dans cet épisode spécial de Polysécure consacré à Cybereco, Charles F. Hamilton présente son analyse annuelle de l’état de la menace cyber en 2026. Comme chaque année, il s’efforce de distinguer le discours marketing des vendeurs de la réalité observée sur le terrain, fort de son expérience quotidienne en tests d’intrusion offensifs.

Azure et Entra ID : des failles par défaut

Une large partie de la discussion porte sur l’environnement Microsoft Azure et Entra ID (anciennement Azure Active Directory). Charles souligne un problème fondamental : beaucoup d’entreprises partent du principe que « si c’est Microsoft, c’est sécurisé », ce qui crée une forme de déresponsabilisation dangereuse. En réalité, la configuration par défaut d’Azure offre très peu de visibilité — les logs et informations de sécurité essentiels sont verrouillés derrière un paywall, rendant la validation quasi impossible sans un intervenant offensif.

Un exemple frappant illustre ce problème : lorsqu’une entreprise configure une politique d’accès conditionnel imposant le MFA pour toutes les applications mais ajoute une seule exception (par exemple pour un compte d’automatisation), Microsoft ajoutait silencieusement Microsoft Graph et Azure Active Directory dans les exceptions. Or, Microsoft Graph est le point d’entrée vers pratiquement tous les services cloud. Un attaquant disposant d’un identifiant et mot de passe pouvait donc s’authentifier via Microsoft Graph sans aucun MFA. Bien que Microsoft ait corrigé ce comportement récemment, toute exception créée avant le correctif reste active. Charles en découvre encore quotidiennement, ce qui pose un problème majeur — notamment pour les assureurs, dont les questionnaires de conformité ne détectent pas ces failles.

Le décalage entre sécurité offensive et défensive

Charles défend l’idée que la sécurité offensive a une longueur d’avance considérable sur la défensive. Les produits de sécurité défensive bloquent souvent des menaces qui datent de plusieurs années, pas celles d’aujourd’hui. Il prend l’exemple du device code phishing, une technique qu’il utilise depuis une dizaine d’années et que les attaquants malveillants commencent seulement à découvrir en 2026. Les entreprises qui ont investi dans des tests offensifs il y a cinq ou six ans sont déjà protégées ; les autres paniquent aujourd’hui.

Il insiste sur la valeur du Red Team : contrairement à un scan automatisé qui produit des milliers de vulnérabilités toutes marquées « critiques », un Red Team raconte une histoire — il identifie le chemin qu’un attaquant emprunterait pour atteindre ce qui a réellement de la valeur pour l’entreprise. Charles mentionne également le score EPSS (Exploit Prediction Scoring System), encore trop méconnu, qui permet de prioriser les vulnérabilités en fonction de leur probabilité réelle d’exploitation plutôt que de leur sévérité théorique.

Infostealers et ClickFix : les menaces du quotidien

La conversation aborde ensuite les infostealers, des logiciels malveillants qui récupèrent les mots de passe stockés dans les navigateurs. Leur efficacité tient à leur discrétion : ils ne touchent pas aux processus surveillés par les EDR/XDR et sont donc très peu détectés. Pire, ils se propagent souvent via des installeurs gratuits pour des jeux populaires comme Roblox ou Minecraft, ciblant les enfants. Quand un parent prête son ordinateur professionnel à son enfant, les identifiants corporatifs se retrouvent compromis. Charles rapporte des chiffres vertigineux : un de ses contacts dans le domaine possède des logs provenant de 600 millions de postes uniques infectés par des infostealers.

Quant aux attaques ClickFix, Charles se dit fasciné qu’elles fonctionnent, car elles demandent à l’utilisateur d’exécuter une série d’étapes complexes — copier du PowerShell dans une invite de commande, par exemple. Mais l’utilisateur moyen ne comprend tout simplement pas ce qu’il fait : les extensions de fichiers, les commandes, tout cela n’a aucun sens pour lui. Le succès du phishing repose uniquement sur l’expérience utilisateur : plus c’est simple, plus ça marche.

Supply chain et cas extrêmes

Charles partage des histoires marquantes de sa carrière. Il a testé la sécurité d’avions dont les interfaces pilotes tournaient sous Flash et Windows embarqué. Bien que l’avion soit physiquement déconnecté d’internet, le laptop de mise à jour, lui, y passait — ouvrant la porte à des attaques de supply chain. Il raconte aussi le cas de guichets ATM dont le système de gestion acceptait des mises à jour non signées, permettant l’injection de code malveillant.

Plus récemment, il a travaillé sur des cas d’infiltration d’employés nord-coréens se faisant passer pour des développeurs. Fait surprenant : ces individus étaient de bons ingénieurs et se faisaient toujours démasquer par des anomalies humaines (incohérences de localisation), jamais par leur code.

IA, vibe coding et secrets exposés

L’essor du vibe coding assisté par IA aggrave un problème existant : des développeurs qui ne comprennent pas ce qu’ils produisent. Charles a trouvé plus de 124 000 résultats sur GitHub pour « remove client secret » — des commits où des développeurs retirent des secrets Azure (tenant ID, application ID, client secret) sans jamais les révoquer. Beaucoup de ces commits portent les traces caractéristiques de code généré par IA, avec des emojis dans les commentaires.

Le paradoxe de l’industrie cyber

En conclusion, Charles soulève un paradoxe central : on n’a jamais eu autant de produits de sécurité, de solutions et de technologies pour prévenir les brèches, et pourtant on n’a jamais eu autant de brèches. Les entreprises s’étouffent sous les abonnements coûteux et les promesses marketing, mais négligent l’hygiène de base — segmentation réseau, gestion des correctifs, inventaire des systèmes. L’industrie souffre aussi d’un manque de conséquences réelles pour les entreprises négligentes, ce qui pousse beaucoup d’entre elles à faire le strict minimum. Le vrai travail reste à faire, et il commence par les fondamentaux.

Collaborateurs

Nicolas-Loïc Fortin

Charles F. Hamilton

Crédits

Montage par Intrasecure inc

Locaux réels par Intrasecure inc