PolySécure Podcast

Parce que… c’est l’épisode 0x712!

Shameless plug

25 et 26 février 2026 - SéQCure 2026

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

Notes

IA

Sécurité et le code

Kevin Beaumont: “Today in InfoSec Job Security …” - Cyberplace

AI Found Twelve New Vulnerabilities in OpenSSL

Anthropic rolls out embedded security scanning for Claude

Cyber Stocks Slide As Anthropic Unveils ‘Claude Code Security’




Plagiat chez Microsoft

Microsoft deletes blog telling users to train AI on pirated Harry Potter books

Microsoft Uses Plagiarized AI Slop Flowchart To Explain How Git Works




The Promptware Kill Chain

Why ‘secure-by-design’ systems are non-negotiable in the AI era

Side-Channel Attacks Against LLMs

Gentoo dumps GitHub over Copilot nagware

European Parliament bars lawmakers from AI tools

AI chatbots to face strict online safety rules in UK

LLM-generated passwords ‘fundamentally weak,’ experts say

PromptSpy ushers in the era of Android threats using GenAI

Claude just gave me access to another user’s legal documents

OpenClaw Security Fears Lead Meta, Other AI Firms To Restrict Its Use

Was an Amazon Service Taken Down By Its AI Coding Bot?

Kevin Beaumont: “Microsoft need a better way of…” - Cyberplace

OpenAI Employees Raised Alarms About Canada Shooting Suspect Months Ago

The Internet Is Becoming a Dark Forest — And AI Is the Hunter




Souveraineté ou tout ce que je peux faire sur mon terrain

India’s New Social Media Rules: Remove Unlawful Content in Three Hours, Detect Illegal AI Content Automatically

UK to require tech firms to remove nonconsensual intimate images within 48 hours or face fines

Greece throws support behind social media bans for kids

Kevin Beaumont: “Ireland’s data protection watc…” - Cyberplace

Spain orders NordVPN, ProtonVPN to block LaLiga piracy sites

Poland bans Chinese-made cars from entering military sites

Texas sues TP-Link over Chinese hacking risks, user deception

Microsoft throws spox under the bus in ICC email flap

Digital sovereignty must define itself before it can succeed

“Made in EU” - it was harder than I thought.




Privacy ou tout ce qui devrait rester à la maison

Underground Facial Recognition Tool Unmasks Camgirls

Leaked Email Suggests Ring Plans to Expand ‘Search Party’ Surveillance Beyond Dogs

Mysk🇨🇦🇩🇪: “Forget about switching off “Sh…” - Mastodon

How to Organize Safely in the Age of Surveillance

BrianKrebs: “If you’re on LinkedIn and are …” - Infosec Exchange

Data breach at French bank registry impacts 1.2 million accounts

Across the US, people are dismantling and destroying Flock surveillance cameras

Fury Over Discord’s Age Checks Explodes After Shady Persona Test In UK




Red ou tout ce qui est brisé

Open source registries underfunded as security costs rise

Password managers don’t protect secrets if pwned

Microsoft 365 Exchange URL Filtering Update Quarantines Legitimate Emails as Phishing

Attackers keep finding the same gaps in security programs

Man accidentally gains control of 7,000 robot vacuums




Blue ou tout ce qui améliore notre posture

UK.gov launches cyber ‘lockdown’ campaign as 80% of orgs hit

Notepad++ boosts update security with ‘double-lock’ mechanism




Divers et insolites

Dutch defense chief: F-35s can be jailbroken like iPhones

US funding for global internet freedom ‘effectively gutted’

NHS strategy: Write password on whiteboard, hope for best

DEF CON bans three Epstein-linked men from future events

US Plans Online Portal To Bypass Content Bans In Europe and Elsewhere

Europe’s Labor Laws Are Strangling Its Ability To Innovate, New Analysis Argues




Collaborateurs

Nicolas-Loïc Fortin

Crédits

Montage par Intrasecure inc

Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x711!

Shameless plug

25 et 26 février 2026 - SéQCure 2026

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Collaborateurs

Nicolas-Loïc Fortin

Vicky Desjardins

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x710!

Shameless plug

25 et 26 février 2026 - SéQCure 2026

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Genèse du projet Hacklore

Dans cet épisode spécial du Policé Sécure, l’animateur reçoit Guillaume Ross pour discuter d’un projet qui a fait couler beaucoup d’encre dans la communauté de la cybersécurité : Hacklore (hacklore.org). L’initiative a été fondée par Bob Lord, un vétéran de l’industrie qui a notamment été le premier CISO de Twitter, a découvert la mégabrèche chez Yahoo et a travaillé pour le Comité national démocrate (DNC) après l’ingérence russe lors des élections américaines. Fort de ces expériences face à de véritables menaces, Bob Lord a voulu s’attaquer à un problème bien précis : les recommandations de sécurité périmées qui font perdre du temps aux gens sans réellement améliorer leur posture de sécurité.

Le principe central du projet est simple — arrêter de distraire le grand public avec des conseils qui ne correspondent plus à la réalité technologique actuelle, pour mieux concentrer les efforts sur ce qui fonctionne vraiment. La lettre fondatrice du projet a été signée par de nombreux professionnels reconnus du milieu. Elle a suscité autant d’adhésion que de controverse, certains experts techniques reprochant aux signataires de négliger des détails techniques pointus. Guillaume répond à ces critiques : savoir qu’un risque existe théoriquement, c’est très différent d’estimer si ce risque est pertinent pour madame et monsieur Tout-le-Monde.

Les six « hacklores » décryptés

1. Éviter le Wi-Fi public

C’est probablement le mythe qui a généré le plus de débat. À l’époque de Firesheep — une extension Firefox qui permettait de voler des sessions authentifiées sur des réseaux non chiffrés —, l’avertissement était légitime. Mais aujourd’hui, plus de 99 % du trafic web est chiffré via TLS. Les applications mobiles modernes, notamment sur iOS, ne peuvent même plus se connecter en HTTP sans une configuration explicite. Les réseaux Wi-Fi publics d’une certaine taille intègrent généralement l’isolation entre clients. Le conseil pertinent serait plutôt : si vous voyez une erreur de certificat dans un café, ne cliquez pas sur « continuer ».

2. Ne jamais scanner de codes QR

Certes, des cas de faux codes QR collés sur des parcomètres ont été documentés. Mais la réalité est que la majorité des gens sont incapables de distinguer un nom de domaine légitime d’un faux, que ce soit dans un lien texte ou via un code QR. Le vrai conseil à retenir : ne jamais entrer ses identifiants bancaires après avoir scanné un code QR, tout comme on ne le ferait pas après avoir cliqué sur un lien reçu par SMS. Le code QR, en soi, n’t est pas plus dangereux qu’une URL.

3. Ne jamais utiliser les ports USB publics (juice jacking)

Le terme juice jacking a été inventé autour de 2014, à une époque où connecter un iPhone en USB permettait pratiquement d’en télécharger tout le contenu. Depuis, les systèmes d’exploitation mobiles ont radicalement évolué : demande de confiance explicite, désactivation de l’accès USB lorsque l’écran est verrouillé, etc. Surtout, aucun cas documenté de juice jacking n’a affecté un utilisateur ordinaire. Exploiter cette vulnérabilité nécessiterait un zero-day iOS ou Android valant facilement un million de dollars — des outils que personne ne déploierait dans un aéroport pour hacker n’importe qui. Le conseil utile : ne pas appuyer sur « faire confiance à cet ordinateur » quand vous branchez votre téléphone sur un port inconnu.

4. Désactiver le Bluetooth, le NFC et les connexions sans fil

Des vulnérabilités Bluetooth ont existé, notamment au moment du jumelage des appareils. Mais ce type d’attaque exige une proximité physique au moment précis du pairing — une contrainte majeure pour n’importe quel attaquant opportuniste. De plus, les téléphones modernes ne diffusent plus leur présence Bluetooth en permanence et font tourner des clés rotatives. Dire aux gens de désactiver leur Bluetooth, c’est leur demander de renoncer à leurs écouteurs, leur souris ou leur clavier sans fil — pour les remplacer, ironiquement, par des périphériques RF bon marché souvent bien moins sécurisés.

5. Effacer régulièrement ses cookies

Ce conseil crée plus de problèmes qu’il n’en résout : les utilisateurs se retrouvent constamment déconnectés de leurs services, doivent ressaisir leurs mots de passe en boucle, et perdent leurs préférences. La peur des cookies est largement entretenue par les bannières de consentement omniprésentes, mais les navigateurs modernes bloquent déjà les cookies tiers par défaut. Et de toute façon, le tracking publicitaire ne dépend plus uniquement des cookies — le fingerprinting du navigateur offre des méthodes alternatives tout aussi efficaces.

6. Changer ses mots de passe régulièrement

La rotation forcée des mots de passe est inutile si chaque compte a déjà un mot de passe unique et robuste. Ce qui expose vraiment les gens, c’est la réutilisation du même mot de passe sur des dizaines de sites. Quand l’un d’eux est compromis, des botnets essaient automatiquement ces identifiants partout ailleurs. Changer un mot de passe sans raison précise génère du travail, de la confusion et des erreurs, sans bénéfice réel.

Ce qu’il faut vraiment faire

En contrepartie, Hacklore formule des recommandations simples et efficaces pour le commun des mortels : maintenir ses systèmes et applications à jour, activer l’authentification multifacteur (les passkeys si disponibles, le SMS si c’est la seule option — c’est mieux que rien), et utiliser un gestionnaire de mots de passe avec des mots de passe uniques partout.

L’enjeu, conclut Guillaume, c’est la crédibilité. Si la communauté de la sécurité continue d’alarmer les gens sur des risques négligeables, personne n’écoutera quand il s’agira de vraies menaces.

Notes

Stop Hacklore!

Stop Hacklore! - Version française

FUDBester!

Stop Hacklore: quand les mauvais conseils éclipsent les bons

Collaborateurs

Nicolas-Loïc Fortin

Guillaume Ross

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x709!

Shameless plug

25 et 26 février 2026 - SéQCure 2026

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Description

Les trois raisons de faire appel à un MSP

Nicolas ouvre la discussion en proposant un cadre simple et efficace : trois questions auxquelles il suffit de répondre « oui » pour savoir qu’il est temps de chercher un MSP.

1. On ne sait pas faire. La technologie évolue à une vitesse fulgurante. Maintenir des systèmes TI à jour, connaître les nouvelles techniques, les nouvelles failles de sécurité, les mises à jour critiques — tout cela demande une expertise pointue et en constante évolution. Pour la majorité des PME, cette compétence n’est tout simplement pas disponible à l’interne, et il serait illusoire de vouloir la développer soi-même. Nicolas rappelle d’ailleurs que dans ses mandats de test d’intrusion (pen test), il exploite précisément ces nouvelles failles qui apparaissent continuellement. Il est donc très difficile pour une entreprise non spécialisée de suivre ce rythme.

2. On ne peut pas. Même si la volonté est là, le temps et les ressources manquent. Les dirigeants et employés d’une PME sont focalisés sur la mission principale de l’entreprise : vendre des services, livrer des produits, servir les clients. Gérer l’infrastructure TI en parallèle représente une charge supplémentaire qui finit par tout ralentir.

3. On ne veut pas. Certaines tâches TI — comme la gestion des mises à jour (patching), la surveillance réseau ou le support de niveau 1 — ne font tout simplement pas vibrer les équipes internes. Et c’est parfaitement normal. Vouloir déléguer ce qui n’est pas dans son cœur de métier est une décision stratégique saine, pas un aveu de faiblesse.

Une logique qui dépasse le TI

L’équipe prend soin de replacer cette réflexion dans un contexte plus large. La question « est-ce que je garde cette compétence à l’interne ou est-ce que je la délègue ? » se pose en réalité dans tous les secteurs d’activité. Marketing, réseaux sociaux, comptabilité, entretien des locaux… De nombreuses entreprises font appel à des partenaires externes pour des fonctions qui ne constituent pas leur cœur de business. Le TI n’est qu’un exemple parmi d’autres d’une externalisation stratégique. Comme le résume Dominique : personne n’achète ses propres locaux commerciaux s’il peut simplement les louer.

Le duo gagnant : l’administrateur système et le MSP

Un des points les plus intéressants de l’épisode concerne la complémentarité entre un administrateur système interne (sysadmin) et un MSP. Nicolas souligne que ce jumelage constitue souvent un cas de succès très convaincant. L’administrateur connaît l’environnement interne, les serveurs, la chaîne de production. Le MSP, lui, prend en charge les tâches répétitives ou moins stimulantes — patching des postes, gestion du Wi-Fi, support utilisateurs — et apporte en plus une disponibilité 24/7 que le sysadmin ne peut ou ne veut pas offrir.

Ce partenariat présente un autre avantage non négligeable : il permet à l’administrateur de se concentrer sur des tâches à plus haute valeur ajoutée, celles qui lui apportent de la satisfaction professionnelle. Les deux parties peuvent ainsi « briller » dans leur zone d’excellence respective.

Les bénéfices concrets d’un MSP pour une PME

L’équipe identifie plusieurs avantages pratiques à faire appel à un MSP :


L’expérience mutualisée. Un MSP travaille avec de nombreux clients. Il apporte des solutions déjà éprouvées ailleurs, ce qui évite à la PME de faire office de cobaye. Elle bénéficie de recettes qui ont fonctionné pour d’autres, sans en payer le coût d’apprentissage.




L’accès privilégié aux éditeurs. Un MSP dispose souvent de contrats spéciaux avec de grands fournisseurs comme Microsoft ou Oracle. Pour une PME seule, il serait pratiquement impossible d’obtenir un interlocuteur dédié chez ces géants. Le MSP devient donc un canal d’accès précieux.




La normalisation des relations internes. Quand c’est un collègue qui règle tous les problèmes informatiques des autres, cela peut créer des tensions. Passer par un fournisseur externe clarifie les rôles et normalise la relation. Le sysadmin n’est plus soumis à des pressions informelles ou des passe-droits. Tout est encadré par des contrats avec des délais de réponse définis (service level agreements).



La question des forfaits

En fin d’épisode, Dominique aborde brièvement le modèle de facturation. Il conseille fortement de privilégier les forfaits par rapport à la facturation à l’acte. Pourquoi ? Parce qu’un employé qui sait que chaque appel au support coûte de l’argent à l’entreprise va hésiter à signaler ses problèmes. Cette retenue peut nuire à la sécurité et à la productivité. Un forfait encourage au contraire la transparence et l’utilisation normale du support, sans que chaque incident devienne une source de stress financier. Ce volet monétaire — les coûts, les modèles tarifaires, les pièges à éviter — fera l’objet d’un épisode entièrement dédié.

En conclusion

Cet épisode pose les bases d’une réflexion structurée sur le recours aux MSP pour les PME. Le message central est clair : externaliser son TI n’est pas un signe de faiblesse, c’est une décision stratégique qui permet de mieux se concentrer sur sa mission d’entreprise. Que ce soit parce qu’on ne sait pas, qu’on ne peut pas ou qu’on ne veut pas gérer cette dimension, le MSP représente une solution mature, flexible et accessible — à condition de bien choisir son partenaire et de formaliser la relation contractuellement.

Collaborateurs

Nicolas-Loïc Fortin

Dominique Derrier

Cyndie Feltz

Nicholas Milot

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x708!

Shameless plug

25 et 26 février 2026 - SéQCure 2026

31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026

14 au 17 avril 2026 - Botconf 2026

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

Notes

IA

AI threat modeling must include supply chains, agents, and human risk

OpenClaw instances open to the internet present ripe targets

Microsoft boffins show LLM safety can be trained away

Augustus - Open-source LLM Vulnerability Scanner With 210+ Attacks Across 28 LLM Providers

AI-Generated Text and the Detection Arms Race

AI agents can spill secrets via malicious link previews

Claude add-on turns Google Calendar into malware courier

The First Signs of Burnout Are Coming From the People Who Embrace AI the Most

Claude and OpenAI fight over ads while Google monetizes

Prompt Injection Via Road Signs

NanoClaw solves one of OpenClaw’s biggest security issues — and it’s already powering the creator’s biz

Microsoft: Poison AI buttons and links may betray your trust

Anthropic safety researcher quits, warning ‘world is in peril’

Cyber Model Arena

AI bot seemingly shames developer for rejected pull request

AI Weaponization: State Hackers Using Google Gemini for Espionage and Malware Generation

Misconfigured AI could shut down a G20 nation, says Gartner

AI Agents ‘Swarm,’ Security Complexity Follows Suit

OpenAI has deleted the word ‘safely’ from its mission – and its new structure is a test for whether AI serves society or shareholders

Pentagon used Anthropic’s Claude during Maduro raid

How AI could eat itself: Using LLMs to distill rivals

Your Friends Might Be Sharing Your Number With ChatGPT




Souveraineté ou tout ce que je peux faire sur mon terrain

Carmakers Rush To Remove Chinese Code Under New US Rules

White House to meet with GOP lawmakers on FISA Section 702 renewal

Google Warns EU Risks Undermining Own Competitiveness With Tech Sovereignty Push




Privacy ou tout ce qui devrait rester à la maison

Re-Identification vs Anonymization Strength

Ring cancels its partnership with Flock Safety after surveillance backlash

Meta Plans To Let Smart Glasses Identify People Through AI-Powered Facial Recognition




Red ou tout ce qui est brisé

After Six Years, Two Pentesters Arrested in Iowa Receive $600,000 Settlement

Notepad’s new Markdown powers served with a side of RCE

Spying Chrome Extensions: 287 Extensions spying on 37M users

Apple patches decade-old iOS zero-day exploited in the wild

Exclusive: Palo Alto chose not to tie China to hacking campaign for fear of retaliation from Beijing, sources say

Microsoft: New Windows LNK spoofing issues aren’t vulnerabilities

Microsoft Under Pressure to Bolster Defenses for BYOVD Attacks




Blue ou tout ce qui améliore notre posture

Microsoft announces new mobile-style Windows security controls

Patch Tuesday, February 2026 Edition

The EU moves to kill infinite scrolling

Meta, TikTok and others agree to teen safety ratings

European nations gear up to ban social media for children




Divers et insolites

Nobody knows how the whole system works

Counting the waves of tech industry BS from blockchain to AI

Apple and Google agree to change app stores after ‘effective duopoly’ claim

Hacktivism today: What three years of research reveal about its transformation

Europe must adapt to ‘permanent’ cyber and hybrid threats, Sweden warns

US needs to impose ‘real costs’ on bad actors, State Department cyber official says

Stop Using Face ID Right Now. Here’s Why




Collaborateurs

Nicolas-Loïc Fortin

Crédits

Montage par Intrasecure inc

Locaux réels par Intrasecure inc