Ce cinquième épisode de collaboration entre les balados Super Citoyen et Polysécure, animé par Catherine Dupont-Gagnon et Samuel Harper, avec la participation de Nicolas, aborde deux sujets majeurs touchant la cybersécurité et la vie privée des citoyens canadiens. Après une pause d’une semaine, les animateurs se retrouvent pour discuter d’enjeux critiques qui affectent directement les utilisateurs de technologies et les citoyens.

L’épisode débute par l’analyse d’une vulnérabilité critique découverte dans Microsoft Copilot, spécifiquement dans sa version M365. Cette faille permet aux attaquants d’injecter des instructions malveillantes dans des documents de manière invisible pour les utilisateurs humains, mais détectable par l’agent d’indexation de Copilot.

L’attaque fonctionne selon un principe relativement simple mais efficace : les cybercriminels cachent du texte dans des documents en utilisant des techniques comme l’écriture en blanc sur fond blanc ou des polices de caractères microscopiques. Lorsque Copilot analyse ces documents pour répondre aux requêtes des utilisateurs, il lit ces instructions cachées et les exécute comme s’il s’agissait de commandes légitimes.

Samuel Harper explique que cette vulnérabilité est particulièrement dangereuse avec la version M365 de Copilot car cet agent peut indexer l’ensemble du contenu personnel d’un utilisateur : courriels, documents OneDrive, conversations Teams. Les instructions malveillantes peuvent donc ordonner à Copilot d’effectuer des actions non autorisées, comme envoyer des informations sensibles à des adresses externes.

Cette faille représente un risque considérable pour les organisations, particulièrement celles possédant des secrets industriels ou des informations confidentielles. Un attaquant pourrait théoriquement envoyer un courriel contenant des instructions cachées demandant à Copilot de transmettre tous les secrets industriels à une adresse spécifique. L’agent exécuterait ces commandes sans que l’utilisateur ne s’en aperçoive.

Les animateurs soulignent que bien que Microsoft ait corrigé cette vulnérabilité spécifique, le problème est plus large. Tous les agents d’intelligence artificielle utilisant des modèles RAG (Retrieval-Augmented Generation) - qui puisent leurs réponses dans des bases de données externes - sont potentiellement vulnérables à ce type d’attaque. Google Gemini, Claude et d’autres plateformes similaires pourraient être ciblés par des méthodes comparables.

Samuel Harper présente ensuite une analyse approfondie du projet de loi C-4 du gouvernement Carney, officiellement intitulé “Loi visant à rendre la vie plus abordable pour les Canadiens”. Si les trois premières parties de cette loi concernent effectivement des mesures d’abordabilité (baisses d’impôts, fin de la taxe carbone, remboursement de la TPS pour l’achat d’une première maison neuve), la quatrième partie introduit des modifications controversées à la loi électorale.

Cette section du projet de loi soustrait les partis politiques fédéraux aux lois de protection des renseignements personnels. Concrètement, cela signifie que les partis politiques, leurs bénévoles et tous ceux qui travaillent en leur nom peuvent exercer toutes les activités avec les renseignements personnels sans aucune restriction légale.

Cette modification législative fait suite à une décision de 2022 du commissaire à la vie privée de la Colombie-Britannique, qui avait déterminé que les partis fédéraux devaient également respecter la loi provinciale PIPA (Personal Information Protection Act). Les partis politiques ont contesté cette décision jusqu’en Cour suprême de la Colombie-Britannique et ont perdu leur cause.

Les animateurs dénoncent la tactique consistant à inclure ces modifications controversées dans un projet de loi sur l’abordabilité. Cette approche, rappelant les “omnibus bills” de l’ère Harper, rend difficile l’opposition à des mesures populaires tout en faisant passer des dispositions problématiques.

Catherine et Samuel discutent des dangers du micro-ciblage politique, comparant les stratégies des partis politiques à celles utilisées par Cambridge Analytica. Ils soulignent que les mêmes techniques de marketing qui poussent les consommateurs vers des achats peuvent être utilisées pour manipuler les intentions de vote.

Les animateurs expriment leurs préoccupations concernant l’utilisation d’algorithmes pour influencer les électeurs. Ils argumentent que ces pratiques transforment le processus démocratique en exercice de marketing, éloignant les citoyens d’un choix libre et éclairé basé sur leurs valeurs personnelles.

Un thème récurrent de l’épisode est la “paresse technologique” - la tendance des utilisateurs à accepter passivement les solutions automatisées sans exercer leur esprit critique. Cette passivité, selon les animateurs, représente un danger plus immédiat que l’intelligence artificielle générale souvent évoquée dans les scénarios catastrophiques.

Les animateurs insistent sur l’importance de l’engagement citoyen au-delà du simple vote. Ils encouragent les auditeurs à contacter leurs députés pour exprimer leurs préoccupations concernant des projets de loi comme le C-4, rappelant que la démocratie ne se limite pas aux périodes électorales.

Samuel souligne que le projet de loi C-4 pourrait être adopté très rapidement, utilisant une procédure accélérée qui contourne les étapes normales du processus législatif. Cette urgence rend encore plus crucial l’engagement immédiat des citoyens.

L’épisode se termine sur une note qui mélange pessimisme et espoir. Bien que les animateurs identifient des tendances inquiétantes - vulnérabilités technologiques, érosion de la vie privée, manipulation démocratique - ils maintiennent leur foi en la capacité des citoyens canadiens à influencer leur système politique par l’engagement actif.

Les deux sujets traités dans cet épisode illustrent les défis interconnectés de notre époque numérique : d’une part, des technologies puissantes mais imparfaites qui créent de nouvelles vulnérabilités ; d’autre part, des institutions politiques qui tentent de s’adapter à ces nouvelles réalités parfois aux dépens des protections démocratiques traditionnelles.

L’appel à l’action des animateurs est clair : les citoyens doivent rester vigilants, s’informer activement et s’engager dans le processus démocratique pour préserver leurs droits dans un monde de plus en plus numérisé. La technologie n’est ni bonne ni mauvaise en soi, mais son impact dépend largement de la façon dont la société choisit de l’encadrer et de l’utiliser.