Ce quatrième épisode de collaboration entre “Cyber Citoyen” et “PolySécure” réunit Catherine Dupot-Gagnon et Sam Harper, animé par Nicolas-Loïc Fortin. L’enregistrement fait suite à leur participation au NorthSec (NSec), une conférence de cybersécurité qui vient de se terminer.

Catherine exprime son enthousiasme pour NorthSec, qu’elle considère comme sa conférence préférée dans l’écosystème cybersécurité. Elle souligne l’aspect inclusif et accueillant de la communauté, même pour ceux qui ne correspondent pas au profil typique des participants. La diversité et la richesse des conférences, ainsi que l’authenticité des présentations (versus les conférences trop sponsorisées), contribuent à cette appréciation positive.

Sam partage cette vision positive, notant que malgré une fatigue initiale, il a apprécié la variété des présentations allant du très technique à la gouvernance. Il souligne particulièrement la présence d’académiques présentant leurs recherches pour la première fois, ce qui enrichit considérablement le contenu.

L’événement se distingue par son degré d’inclusion remarquable, comparable selon Nicolas au Blue Team Con de Chicago. Cette atmosphère inclusive est attribuée aux valeurs du comité organisateur qui se propagent naturellement à travers l’événement.

Sam présente en détail une conférence particulièrement marquante sur le phishing, adoptant une approche scientifique et non-jugeante. Cette présentation analysait les comportements face aux tentatives de phishing sans blâmer les individus, mais en se concentrant sur les données statistiques.

Les résultats révèlent des patterns fascinants : même 5 minutes après une formation sur le phishing, 0,3% des personnes cliquent encore sur les liens malveillants. L’étude montre qu’il est impossible d’atteindre un taux de réussite de 100%, certaines personnes continuant à cliquer indépendamment des formations reçues.

Un élément particulièrement intéressant concerne le timing : la plupart des clics se produisent le lundi matin, quand les employés arrivent au travail avec des boîtes de réception pleines. Cette découverte suggère des solutions organisationnelles plutôt que techniques, comme reporter les réunions du lundi matin ou gérer différemment les emails de fin de semaine.

Les participants évoquent également les activités de soudure (badge hacking) et les CTF (Capture The Flag). Cette année, le thème était celui d’un bateau de croisière avec un casino intégré, permettant aux participants d’interagir avec des machines de casino pour découvrir des “flags” cachés. Ces activités offrent des défis variés, incluant des éléments plus “puzzle” accessibles aux non-programmeurs.

Sam présente un rapport détaillé de Viginum, l’agence française de vigilance numérique, sur Storm-1516, une opération d’influence russe active depuis août 2023. Cette analyse de 77 opérations révèle une machine de désinformation sophistiquée.

Les campagnes visent principalement à discréditer le gouvernement ukrainien, particulièrement Zelensky, tout en s’attaquant à l’opposition russe et aux gouvernements occidentaux. Une vingtaine d’opérations ciblaient spécifiquement des élections (européennes, françaises, américaines, allemandes).

Le rapport détaille un processus en plusieurs étapes :

Catherine fait le parallèle avec le jeu éducatif “Get Bad News” qu’elle utilise dans ses cours sur la désinformation, qui reproduit exactement ces stratégies. La sophistication de ces opérations rend leur détection par les utilisateurs ordinaires quasi impossible, même pour des experts du domaine.

L’arrestation de Pavel Durov, fondateur de Telegram, a marqué un tournant dans la coopération de la plateforme avec les autorités. Environ 5000 requêtes gouvernementales ont abouti à la transmission de données sur 20000 utilisateurs, principalement suite à des demandes françaises et américaines.

Catherine souligne l’ironie de la situation : Telegram, qui se vantait d’être une plateforme de libre expression sans contrôle, a rapidement changé de position face aux pressions judiciaires. Elle évoque le scandale des “Nth rooms” en Corée du Sud, où 73 victimes (dont 26 mineures) avaient été exploitées via des salles de conversation Telegram, illustrant les dérives possibles de la liberté d’expression absolue.

La discussion révèle la tension fondamentale entre liberté d’expression et protection des droits humains. Sam note que l’anonymat combiné au “free speech” total crée un environnement sans conséquences, favorisant les comportements extrêmes. L’expérience historique montre qu’aucune plateforme de libre expression absolue n’a eu d’issue positive.

Catherine et Sam reconnaissent néanmoins l’importance de préserver des espaces de communication sécurisés pour les communautés persécutées (LGBTQ+, dissidents politiques). L’équilibre reste difficile à trouver entre protection des vulnérables et prévention des abus.

Nicolas introduit un nouveau volet du “SignalGate” concernant TeleMessage, un client Signal utilisé par des fonctionnaires américains pour la rétention légale des messages. Cette plateforme a été compromise facilement, soulevant des questions sur l’écosystème distribué de Signal.

Le modèle de sécurité de Signal repose sur la confiance accordée aux clients. Or, rien ne garantit que l’interlocuteur utilise un client légitime. TeleMessage enregistrait tous les messages, contredisant les promesses de confidentialité de Signal.

Catherine exprime sa déception face au silence de Signal sur cette problématique. Contrairement à leur habitude de communication proactive, l’organisation n’a émis aucun communiqué ni annoncé de solution pour détecter les clients non-officiels.

Les participants discutent de solutions potentielles : Signal pourrait alerter les utilisateurs quand leur correspondant utilise un client desktop ou non-officiel. Cette information existe déjà dans le protocole, rendant l’implémentation techniquement faisable.

Sam note que l’impact va au-delà : le groupe Distributed Denial of Secrets a publié 410 Go de données extraites de TeleMessage, incluant messages et métadonnées, compromettant potentiellement des lanceurs d’alerte.

La discussion révèle un déficit généralisé dans la compréhension et la gestion du risque numérique. Les participants soulignent que même des personnes éduquées (secrétaires d’État, universitaires) peinent à évaluer correctement les risques liés aux outils qu’ils utilisent.

Guillaume insiste sur la nécessité d’intégrer une forme de gestion de risque rapide dans l’usage quotidien des technologies, reconnaissant que l’humain résiste naturellement au changement d’habitudes, même face à des statistiques alarmantes.

L’ensemble des sujets abordés illustre une sophistication croissante des menaces, que ce soit dans la désinformation d’État ou l’exploitation des plateformes de communication. Les “gentils” se retrouvent systématiquement en position défensive, avec des moyens limités face à des adversaires qui exploitent efficacement les technologies conçues pour faciliter la communication.

En conclusion plus légère, Catherine présente le cas du Chicago Sun-Times qui a publié une liste de livres d’été générée par IA, incluant des titres complètement inventés (hallucinations). Cet incident illustre une paresse journalistique préoccupante où l’économie de temps permise par l’IA (réduire 5 jours de travail à 3) ne s’accompagne même pas d’une vérification minimale.

Catherine souligne que beaucoup de personnes, même éduquées, ne comprennent pas la différence fondamentale entre une recherche Google (qui indexe du contenu existant) et une requête ChatGPT (qui génère statistiquement des réponses plausibles). Cette confusion contribue à l’acceptation aveugle de contenus générés artificiellement.

L’exemple de l’étudiant ayant demandé à ChatGPT une citation de Catherine Dupot-Gagnon, aboutissant à une référence vers un livre inexistant, illustre parfaitement ces dérives. Les modèles IA peuvent également être manipulés, comme l’exemple de Bing temporairement convaincu que l’Australie n’existait pas après avoir été entraîné sur des blagues Reddit.

Ce podcast révèle un écosystème numérique en mutation profonde, où les technologies conçues pour faciliter la communication et l’accès à l’information sont systématiquement détournées par des acteurs malveillants. Que ce soit les opérations de désinformation d’État, l’exploitation des plateformes de communication, ou la génération de fausses informations par IA, les défis s’accumulent.

Les participants identifient plusieurs problèmes structurels : le déficit d’éducation à la gestion du risque numérique, la difficulté à maintenir un équilibre entre liberté d’expression et protection des droits humains, et l’asymétrie fondamentale entre la facilité de créer de fausses informations et la difficulté de les combattre.

Malgré ce tableau sombre, l’échange maintient une note d’espoir, rappelant que la sensibilisation et l’éducation restent nos meilleurs outils. L’exemple de NorthSec montre qu’il est possible de créer des espaces inclusifs et constructifs pour aborder ces défis collectivement.

La discussion se termine sur une note humoristique évoquant une retraite vers “une cabane dans le bois” avec élevage de brebis et poules pour échapper à la singularité technologique, illustrant avec ironie les sentiments d’impuissance face à l’ampleur des défis identifiés.