Parce que… c’est l’épisode 0x30D!
Shameless plug
24 et 25 juin 2026 - Troopers
26 et 27 juin 2026 - leHACK
30 juin au 2 juillet 2026 - Pass the SALT
19 septembre 2026 - Bsides Montréal
20 au 26 septembre 2026 - BruCON
13 novembre 2026 - DEATHCon
16 au 19 novembre - European Cyber Week
1 au 3 décembre 2026 - Forum INCYBER - Canada 2026
24 et 25 février 2027 - SéQCure 2027
Description
Résumé du panel Polysécure — nsec 2026
Présentation des panélistes
Cet épisode spécial du podcast Polysécure réunit cinq invités aux profils variés : François Labrèche, principal data scientist chez Sophos travaillant avec le machine learning et les LLM dans un contexte XDR; François Proulx, VP recherche en sécurité chez Boost Security, spécialisé dans l’exploitation des build pipelines et la chaîne d’approvisionnement logiciel; Charles F. Hamilton, qui fait du red team chez Cyber; Christian Paquin, développeur cryptographique chez Microsoft Research; et Philippe Pépos Petitclerc, étudiant au doctorat et fondateur d’une petite compagnie de pentest, amateur de CTF.
Le « Magic AI » et le phénomène Mythos
La discussion s’ouvre sur l’éléphant dans la pièce : l’intelligence artificielle. Le sujet central est Mythos, présenté comme une démonstration marketing spectaculaire qui a semé la panique dans le milieu de la cybersécurité. Les panélistes s’entendent toutefois pour relativiser : ce modèle n’est pas fondamentalement plus dangereux que les autres. Labrèche rappelle qu’en tant que data scientist côtoyant les LLM chaque semaine, il observe une amélioration continue. Les travaux de Nicolas Carlini (Anthropic) montraient déjà des vulnérabilités trouvées dans le kernel Linux avant Mythos. Le succès de Mythos tiendrait surtout à son bon nom, plus effrayant que « vulnerability scanning ».
Plusieurs nuances sont apportées sur le cas BSD choisi pour la démonstration : ce système représente moins de 1 % du marché, donc son code est peu analysé et offre peu de surface d’attaque intéressante. De plus, la vulnérabilité « découverte » serait en réalité déjà connue (un correctif raté de 2007) et présente dans les données d’entraînement.
L’attaquant dans l’équation
Un point récurrent : on oublie souvent l’attaquant dans l’équation. Pépos Petitclerc, ayant analysé les attaques sur son blog, constate des comportements « brain dead » — des attaquants peu qualifiés qui dépensent des tokens pour n’aller nulle part. Proulx, early adopter du vulnerability research par LLM depuis 2022, insiste sur le principe garbage in, garbage out : la qualité du prompt et l’expertise humaine font toute la différence. Les vulnérabilités récentes dans Linux ont d’ailleurs été trouvées par des humains extrêmement compétents (l’exemple de Copy-on-write/Splice est cité), pas par des agents autonomes.
Le coût constitue un frein majeur : peu d’attaquants peuvent se permettre de dépenser 20 000 $ pour une vulnérabilité sans valeur réelle. Trouver une vulnérabilité ne signifie pas qu’elle soit exploitable en pratique, ni qu’on puisse la patcher plus vite — le problème du patching demeure (référence au drama MITRE/NVD de l’année précédente).
La question du volume et de la visibilité
Labrèche observe que les alertes clients n’ont pas explosé depuis trois mois, ce qui contredit la rhétorique d’une démocratisation massive des attaques. Les panélistes déboulonnent aussi le mythe des agents « autonomes » dotés d’une volonté propre : ces systèmes sont inertes sans humain pour les diriger. Une métaphore des fourmis illustre toutefois le danger : même inefficaces, des milliers de tentatives en parallèle finiront par faire tomber des cibles. Le vrai problème reste la visibilité réseau, inchangé depuis dix ans.
Dette technique et nouvelles surfaces d’attaque
Les LLM introduisent aussi des vulnérabilités. Proulx évoque des attaques de supply chain où du code généré est exploité quelques heures après son merge, et critique la prolifération de micro-librairies npm non maintenues (proposition humoristique de « tuer JavaScript »). Pépos Petitclerc signale une tendance : des secrets d’application Azure leakés sur GitHub, reconnaissables à leur signature (emojis, Unicode), avec 124 000 commits du type « remove client secret ». Le bandwidth humain pour réviser tout ce code généré devient le plus grand risque.
L’écosystème criminel et la curiosité
Une longue digression porte sur le disconnect entre l’industrie et les attaquants. Les criminels sont opportunistes : pourquoi dépenser des tokens quand le spray gratuit fonctionne ? Fait savoureux, les forums criminels eux-mêmes se plaignent du slop généré par les LLM. Deux « criminels » de la salle (clins d’œil humoristiques) racontent leurs débuts : cabines téléphoniques trafiquées, cartes d’arcade éditées en hexadécimal, disquettes de Doom copiées. Le message : tout part de la curiosité, et la ligne grise de la légalité est ce qui a mené plusieurs vers la défense des systèmes. On rappelle aussi que dans certains pays défavorisés, le cybercrime est une option de survie, parfois sous forme de travail forcé industrialisé — ce qui explique en partie l’absence d’explosion des attaques sophistiquées.
Conclusion
Le panel se termine sur des questions ouvertes : génère-t-on de la dette technologique trop vite pour pouvoir la corriger (réponse : oui, aucune chance de patcher à cette vitesse)? La rareté des vulnérabilités forcerait les attaquants vers des chemins connus, plus détectables, tout en augmentant la valeur des zero-days et de la main-d’œuvre hautement spécialisée. L’exemple de Metasploit illustre comment un outil peut rendre triviale une exploitation complexe, érodant l’expertise. Sur une analogie finale — une vulnérabilité non découverte fait-elle du bruit? — l’animateur clôt la discussion.
Collaborateurs
Nicolas-Loïc Fortin
François Labrèche
François Proulx
Charles F. Hamilton
Christian Paquin
Philippe Pépos Petitclerc
Crédits
Montage par Intrasecure inc
Locaux réels par Northsec
Canada - english