PolySécure Podcast podcast | Listen online for free

750 episodes

Actu - 26 avril 2026 - Parce que... c'est l'épisode 0x2EF!
2026-04-27 | 47 mins.
Parce que… c’est l’épisode 0x2EF!

Shameless plug

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

24 et 25 juin 2026 - Troopers

26 et 27 juin 2026 - leHACK

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Notes

IA ou Ghost in the shell

Mythos

NSA Reportedly Using Anthropic’s Mythos Despite Pentagon Blacklist

US security agency is using Anthropic’s Mythos despite blacklist, Axios reports

Unauthorized Group Gains Access to Anthropic’s Exclusive Cyber Tool Mythos

Anthropic Mythos shaping up as nothingburger

The Boy That Cried Mythos: Verification is Collapsing Trust in Anthropic

The Guardian view on Anthropic’s Claude Mythos: when AI finds every flaw, who controls the internet?

Mozilla: Anthropic’s Mythos found 271 security vulnerabilities in Firefox 150

The AI era demands a different kind of CISO

Paradigme

AI-Powered Exploitation May Collapse the Patch Window for Defenders

AI Model Claude Opus turns bugs into exploits for just $2,283

Why the Axios attack proves AI is mandatory for supply chain security

Un agent IA chinois a trouvé près de 1 000 failles inédites, dont certaines dans Microsoft Office

MCP

MCP Servers Are the New APIs — And We’re Making the Same Security Mistakes

How Anthropic’s Model Context Protocol Allows For Easy Remote Execution

Prove You Are a Robot: CAPTCHAs for Agents

Anthropic secretly installs spyware when you install Claude Desktop

AI Agents Think. They Just Don’t Know They’re Being Watched.

Vuln in Google’s Antigravity AI agent manager could escape sandbox, give attackers remote code execution

Lovable denies data leak, cites ‘intentional behavior’

Kernel code removals driven by LLM-created security reports

Introducing OpenAI Privacy Filter

La guerre, la guerre, c’est pas une raison pour se faire mal!

Iran claims US used backdoors in networking equipment

Souveraineté ou vive le numérique libre!

[Matrix in Europe
Digital sovereignty](https://element.io/en/matrix-in-europe)

FCC adds mobile hotspots to router ban

Privacy ou cachez ces informations que je ne saurais voir

Une faille IndexedDB permettait de relier toutes vos identités Tor

Nullroom - Un chat P2P qui s’efface en 15 minutes

Proton CEO: Age checks turn internet into ID checkpoint

Apple stops weirdly storing data that let cops spy on Signal chats

Why you should refuse to let your doctor record you

Privacy Advocate Accuses US Government of Investing in AI-Powered Mass Surveillance

I am the law

Elon Musk fails to appear for questioning by French police over sexualized AI images on X

Loi séparatisme - Le blocage sans juge gagne du terrain

Most Australian teens admit the social media ban isn’t working as they try to sidestep age verification blocks with face masks and their parents’ IDs

Colorado Adds Open-Source Exemption to Age-Attestation Bill

Red ou tout ce qui est brisé

You Don’t Need to Hack the System. You Just Need to Make People Think You Did.

Apple Knows. Visa Knows. Nobody Has Fixed It. Here’s Why.

Cyberattack at French identity document agency may have exposed personal data

France’s ‘Secure’ ID agency probes claimed 19M record breach

Another npm supply chain worm hits dev environments

Bitwarden CLI Compromised in Ongoing Checkmarx Supply Chain …

Why Phishing Still Works (Even If You Know About It)

Blue ou tout ce qui améliore notre posture

DDoS

Kevin Beaumont: “If anybody is wondering, masto…” - Cyberplace

DDoS wave continues as Mastodon hit after Bluesky incident

Network ‘background noise’ may predict the next big edge-device vulnerability

NCSC: Passkeys now good enough to be the default standard

Kevin Beaumont: “I just want to give the analysts at Dragos credit here for how they framed this - it’s really responsible.” - Cyberplace

You don’t want long-lived keys

Divers ou parce que j’ai aucune idée où les placer

Quadratic

Contrary to popular superstition, AES 128 is just fine in a post-quantum world

In a first, a ransomware family is confirmed to be quantum-safe

Original GrapheneOS responses to WIRED fact checker

Palantir Employees Are Starting to Wonder if They’re the Bad Guys

Les cartes bancaires biométriques sont-elles une vraie avancée ou du bullshit marketing ?

Histoire

Un malware qui pourrait être la toute première cyberarme de l’histoire

Discret 11, the French TV encryption of the 80’s

Collaborateurs

Nicolas-Loïc Fortin

Crédits

Montage par Intrasecure inc

Locaux réels par Moxy Montreal Downtown
Teknik - IA SOC - Parce que... c'est l'épisode 0x2EE!
2026-04-22 | 40 mins.
Parce que… c’est l’épisode 0x2EE!

Shameless plug

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Collaborateurs

Nicolas-Loïc Fortin

David Bizeul

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm
PME - Comment simplifier un message complexe pour qu'il soit retenu? - Parce que... c'est l'épisode 0x2ED!
2026-04-21 | 15 mins.
Parce que… c’est l’épisode 0x2ED!

Préambule

Nous avons rencontré un petit défi d’enregistrement vers la 12e minute.

Shameless plug

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

24 et 25 juin 2026 - Troopers

26 et 27 juin 2026 - leHACK

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Collaborateurs

Nicolas-Loïc Fortin

Cédrick Bruyère

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm
Actu - 19 avril 2026 - Parce que... c'est l'épisode 0x2EC!
2026-04-20 | 1h 1 mins.
Parce que… c’est l’épisode 0x2EC!

Shameless plug

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

24 et 25 juin 2026 - Troopers

26 et 27 juin 2026 - leHACK

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Notes

RETEX Botconf

IA ou Ghost in the shell

Mythos qui ne veut pas mourir

[AI Cybersecurity After Mythos: The Jagged Frontier
AISLE](https://aisle.com/blog/ai-cybersecurity-after-mythos-the-jagged-frontier)

On Anthropic’s Mythos Preview and Project Glasswing - Schneier on Security

UK gov’s Mythos AI tests help separate cybersecurity threat from hype - Ars Technica

[In the Wake of Anthropic’s Mythos, OpenAI Has a New Cybersecurity Model—and Strategy
WIRED](https://www.wired.com/story/in-the-wake-of-anthropics-mythos-openai-has-a-new-cybersecurity-model-and-strategy/)

Anthropic releases Claude Opus 4.7, a less risky model than Mythos

[AI cybersecurity is not proof of work - ](https://antirez.com/news/163)

[White House to give US agencies Anthropic Mythos access, Bloomberg News reports
Reuters](https://www.reuters.com/technology/white-house-give-us-agencies-anthropic-mythos-access-bloomberg-news-reports-2026-04-16/)

Frontier AI Reinforces the Future of Modern Cyber Defense

We Reproduced Anthropic’s Mythos Findings With Public Models - Vidoc Security Lab

Every Old Vulnerability Is Now an AI Vulnerability

US Government Now Wants Anthropic’s ‘Mythos’, Preparing for AI Cybersecurity Threats - Slashdot

Nude

Apple a menacé de virer Grok de l’App Store à cause des deepfakes publiés sur X - Korben

[The Deepfake Nudes Crisis in Schools Is Much Worse Than You Thought
WIRED](https://www.wired.com/story/deepfake-nudify-schools-global-crisis/)

AI Chatbots and Trust - Schneier on Security

OpenAI rotates macOS certs after Axios attack hit code-signing workflow

How Hackers Are Thinking About AI - Schneier on Security

Agentic LLM Browsers Expose New Attack Surface for Prompt Injection and Data Theft

AI platform n8n abused for stealthy phishing and malware delivery

Google, Pentagon Discuss Classified AI Deal - Slashdot

MCP ‘design flaw’ puts 200k servers at risk: Researcher • The Register

In the AI propaganda war, Iran is winning

La guerre, la guerre, c’est pas une raison pour se faire mal!

Hackers Target Israeli Desalination Plants With ZionSiphon Sabotage Malware

Souveraineté ou vive le numérique libre!

Linux commence à retirer le support des processeurs russes Baikal - Korben

Baumgartner Introduces Bipartisan Bill to Tighten Controls on Sensitive Chipmaking Equipment - Michael Baumgartner

Privacy ou cachez ces informations que je ne saurais voir

Contrôlons nos enfants

EU Age Verification Blueprint — the dedicated technical portal

EU age verification app announced to protect children online

EU’s New Age Verification App Can Be Hacked Within 2 Minutes, Researchers Claim

702 is the code

[In defeat for Trump, House extends electronic spying program for just 10 days
The Record from Recorded Future News](https://therecord.media/fisa–trump-congress-extension-surveillance)

[Keep Pushing: We Get 10 More Days to Reform Section 702
Electronic Frontier Foundation](https://www.eff.org/deeplinks/2026/04/keep-pushing-we-get-10-more-days-reform-section-702)

Meta Is Warned That Facial Recognition Glasses Will Arm Sexual Predators - Slashdot

Audit Finds Google, Microsoft, and Meta Still Tracking Users After Opt-Out - Slashdot

[It Is Time to Ban the Sale of Precise Geolocation
Lawfare](https://www.lawfaremedia.org/article/it-is-time-to-ban-the-sale-of-precise-geolocation)

Old Cars ‘Tell Tales’ by Storing Data That’s Never Wiped - Slashdot

I am the law

[Majority of Australian youth still use social media despite ban, researchers find
The Record from Recorded Future News](https://therecord.media/social-media-ban-australia-research)

FCC exempts Netgear from ban on foreign routers, doesn’t explain why - Ars Technica

Red ou tout ce qui peut tourner mal

[No one owes you supply-chain security
purplesyringa’s blog](https://purplesyringa.moe/blog/no-one-owes-you-supply-chain-security/)

[The Dumbest Hack of the Year Exposed a Very Real Problem
WIRED](https://www.wired.com/story/crosswalk-city-hack-cybersecurity-lessons/)

[Mailbox rules in O365—a post-exploitation tactic in cloud ATO
Proofpoint US](https://www.proofpoint.com/us/blog/threat-insight/mailbox-rules-o365-post-exploitation-tactic-cloud-ato?utm_source=twitter&utm_medium=social_organic)

Quatre bugs Microsoft ressortent du placard, dont un de 14 ans - Korben

[NIST narrows scope of CVE analysis to keep up with rising tide of vulnerabilities
CyberScoop](https://cyberscoop.com/nist-narrows-cve-analysis-nvd/)

Dutch navy frigate tracked by mailing it a Bluetooth tracker • The Register

MAD Bugs: Even “cat readme.txt” is not safe - Calif

Tycoon 2FA Phishers Scatter, Adopt Device Code Phishing

Microsoft defender under attack as three zero-days, two of them still unpatched, enable elevated access

Blue ou bleu est la nuit

Defense in Depth, Medieval Style - Schneier on Security

[ANNOUNCE] WireGuard for Windows and WireGuardNT, Version 1.0 - Jason A. Donenfeld

Divers ou la crise identitaire

Rien hahahahahaha!

Collaborateurs

Nicolas-Loïc Fortin

Crédits

Montage par Intrasecure inc

Locaux réels par Sheraton Saint-Hyacinthe Hotel
H'umain - Projet accompagné par Propolys - Mindlock - Parce que... c'est l'épisode 0x747!
2026-04-15 | 37 mins.
Parce que… c’est l’épisode 0x747!

Shameless plug

20 au 22 avril 2026 - ITSec

Code rabais de 15%: Seqcure15

28 et 29 avril 2026 - Cybereco Cyberconférence 2026

9 au 17 mai 2026 - NorthSec 2026

3 au 5 juin 2026 - SSTIC 2026

19 septembre 2026 - Bsides Montréal

1 au 3 décembre 2026 - Forum INCYBER - Canada 2026

24 et 25 février 2027 - SéQCure 2027

Description

Une experte à la croisée des neurosciences et de la cybersécurité

Dans cet épisode spécial Propolys, l’hôte reçoit Mélissa Canseliet, experte en neurosciences et en cyberpsychologie, qui développe une start-up en cybersécurité appelée Mindlock. Avec un parcours atypique allant de la recherche en neurosciences à Oxford jusqu’à plus de 14 ans dans l’industrie du jeu vidéo — notamment chez Ubisoft, Samsung et Missplay —, Mélissa incarne une vision résolument interdisciplinaire de la sécurité informatique.

Le constat : des formations en cybersécurité inefficaces

La conversation s’ouvre sur un problème que les deux interlocuteurs connaissent très bien : les formations traditionnelles de sensibilisation à la cybersécurité sont, au mieux, inefficaces, et au pire, contre-productives. L’hôte décrit avec humour sa propre expérience de ces interminables présentations PowerPoint que tout le monde s’empresse de traverser le plus vite possible, en répondant aux questions de validation sans vraiment retenir quoi que ce soit. Ce constat, qui dure selon lui depuis plus de vingt ans, illustre un problème structurel : ces formations ne tiennent absolument pas compte de la façon dont le cerveau humain apprend et s’engage.

Mélissa confirme ce diagnostic. Lors de ses nombreux entretiens menés dans le cadre du projet Mindlock, elle a constaté que la cybersécurité est systématiquement perçue par les non-spécialistes comme un domaine austère, peu prioritaire et difficile d’accès. Les formations existantes s’attardent souvent sur l’aspect technique des attaques, mais abordent très peu comment nous, en tant qu’humains, fonctionnons — et surtout, comment nous commettons des erreurs.

Le facteur humain : le grand oublié de la cyberdéfense

L’un des fils conducteurs de l’entretien est la place centrale du facteur humain dans les cyberattaques. En s’appuyant sur des rapports comme celui du Forum économique mondial, Mélissa rappelle que la vaste majorité des cyberattaques sont liées à des erreurs humaines. Pourtant, les défenseurs ont longtemps misé presque exclusivement sur des solutions techniques, laissant de côté les expertises issues des sciences cognitives et de la psychologie.

Les attaquants, eux, ont depuis longtemps compris cette réalité. L’ingénierie sociale — l’art de manipuler les individus plutôt que de pirater des systèmes — repose précisément sur une connaissance fine des mécanismes psychologiques universels : l’urgence, la peur, l’autorité, la confiance. Ces « boutons » émotionnels sont exploités méthodiquement par des cybercriminels qui ne sont pas nécessairement des génies de la technique, mais qui savent, selon la formule savoureuse de Mélissa, « bien se f**re de la gueule du monde ».

Arrogance, humilité et vulnérabilité cyber

Un passage particulièrement marquant de la discussion porte sur le lien entre les traits de personnalité et la vulnérabilité aux attaques. Contrairement à l’idée reçue selon laquelle « seuls les naïfs se font avoir », Mélissa explique que l’arrogance est une vulnérabilité cyber à part entière. Une personne qui se croit à l’abri ne développe pas de vigilance ; elle se laisse porter par sa surconfiance et ne perçoit pas les signaux d’alerte. À l’inverse, une personne plus humble, capable de reconnaître ses limites, sera naturellement plus attentive à une situation inhabituelle — une demande anormalement urgente, par exemple.

Les états émotionnels comme la colère, la peur ou le sentiment d’urgence sont également des portes d’entrée exploitées par les attaquants, comme en témoignent les célèbres fraudes au président. Comprendre ces mécanismes, c’est commencer à s’en protéger.

L’empathie comme bouclier

La notion d’empathie occupe une place importante dans la vision de Mélissa. Souvent perçue comme une faiblesse ou une qualité purement relationnelle, l’empathie est en réalité, dans une perspective neuroscientifique, un outil puissant. L’ingénierie sociale en est d’ailleurs une forme détournée : les cybercriminels font preuve d’une empathie redoutable pour anticiper les réactions de leurs cibles. La réponse consiste donc à développer une empathie envers soi-même — comprendre ses propres réactions, ses biais, ses angles morts — afin de reconquérir un espace de discernement et de choix éclairé dans un environnement numérique de plus en plus fluide et automatisé.

Mindlock : mettre l’expertise du jeu vidéo au service de la sécurité

C’est dans ce contexte que s’inscrit le projet Mindlock, un jeu de sensibilisation à la cybersécurité centré sur le facteur humain. L’idée est d’appliquer au domaine de la sécurité les standards d’expérience utilisateur que Mélissa a développés au fil de sa carrière dans l’industrie du jeu vidéo, notamment dans la phase dite d’onboarding — la première heure de jeu, étudiée à la minute près pour maximiser l’engagement.

Mindlock ambitionne de rompre avec le modèle de la formation unique et générique distribuée une fois par an. Le cerveau ne construit pas de nouvelles habitudes en « one shot » : il lui faut de la récurrence, de la motivation et de la personnalisation. En s’inspirant des mécaniques de jeu et des connaissances issues des neurosciences, Mindlock vise une expérience à la fois intuitive, engageante et adaptée à chaque utilisateur — une expérience qui donne envie de revenir, non par obligation, mais parce qu’elle permet d’apprendre quelque chose sur soi-même.

Un enjeu de société

En toile de fond, la discussion soulève un enjeu beaucoup plus large : dans un monde désormais entièrement numérisé — accéléré par la pandémie de COVID-19 —, la cybersécurité est devenue une question citoyenne. Protéger son organisation, c’est aussi apprendre à se protéger soi et à protéger ses proches. Et face à l’essor de l’intelligence artificielle, le risque n’est pas seulement de se faire pirater, mais d’assister à une atrophie progressive de l’intelligence humaine, faute de l’exercer.

Le cerveau, première cible des pièges du numérique, est aussi, selon Mélissa, la protection la plus sous-exploitée qui soit. C’est ce pari que tente de relever Mindlock.

Notes

Parcours Entreprendre en cybersécurité

Humanet

Collaborateurs

Nicolas-Loïc Fortin

Mélissa Canseliet

Crédits

Montage par Intrasecure inc

Locaux réels par Club Claude