C’est difficile la vie d’aéroport.

Cet épisode spécial du podcast Polysécure réunit cinq invités aux profils variés : François Labrèche, principal data scientist chez Sophos travaillant avec le machine learning et les LLM dans un contexte XDR; François Proulx, VP recherche en sécurité chez Boost Security, spécialisé dans l’exploitation des build pipelines et la chaîne d’approvisionnement logiciel; Charles F. Hamilton, qui fait du red team chez Cyber; Christian Paquin, développeur cryptographique chez Microsoft Research; et Philippe Pépos Petitclerc, étudiant au doctorat et fondateur d’une petite compagnie de pentest, amateur de CTF.

La discussion s’ouvre sur l’éléphant dans la pièce : l’intelligence artificielle. Le sujet central est Mythos, présenté comme une démonstration marketing spectaculaire qui a semé la panique dans le milieu de la cybersécurité. Les panélistes s’entendent toutefois pour relativiser : ce modèle n’est pas fondamentalement plus dangereux que les autres. Labrèche rappelle qu’en tant que data scientist côtoyant les LLM chaque semaine, il observe une amélioration continue. Les travaux de Nicolas Carlini (Anthropic) montraient déjà des vulnérabilités trouvées dans le kernel Linux avant Mythos. Le succès de Mythos tiendrait surtout à son bon nom, plus effrayant que « vulnerability scanning ».

Plusieurs nuances sont apportées sur le cas BSD choisi pour la démonstration : ce système représente moins de 1 % du marché, donc son code est peu analysé et offre peu de surface d’attaque intéressante. De plus, la vulnérabilité « découverte » serait en réalité déjà connue (un correctif raté de 2007) et présente dans les données d’entraînement.

Un point récurrent : on oublie souvent l’attaquant dans l’équation. Pépos Petitclerc, ayant analysé les attaques sur son blog, constate des comportements « brain dead » — des attaquants peu qualifiés qui dépensent des tokens pour n’aller nulle part. Proulx, early adopter du vulnerability research par LLM depuis 2022, insiste sur le principe garbage in, garbage out : la qualité du prompt et l’expertise humaine font toute la différence. Les vulnérabilités récentes dans Linux ont d’ailleurs été trouvées par des humains extrêmement compétents (l’exemple de Copy-on-write/Splice est cité), pas par des agents autonomes.

Le coût constitue un frein majeur : peu d’attaquants peuvent se permettre de dépenser 20 000 $ pour une vulnérabilité sans valeur réelle. Trouver une vulnérabilité ne signifie pas qu’elle soit exploitable en pratique, ni qu’on puisse la patcher plus vite — le problème du patching demeure (référence au drama MITRE/NVD de l’année précédente).

Labrèche observe que les alertes clients n’ont pas explosé depuis trois mois, ce qui contredit la rhétorique d’une démocratisation massive des attaques. Les panélistes déboulonnent aussi le mythe des agents « autonomes » dotés d’une volonté propre : ces systèmes sont inertes sans humain pour les diriger. Une métaphore des fourmis illustre toutefois le danger : même inefficaces, des milliers de tentatives en parallèle finiront par faire tomber des cibles. Le vrai problème reste la visibilité réseau, inchangé depuis dix ans.

Les LLM introduisent aussi des vulnérabilités. Proulx évoque des attaques de supply chain où du code généré est exploité quelques heures après son merge, et critique la prolifération de micro-librairies npm non maintenues (proposition humoristique de « tuer JavaScript »). Pépos Petitclerc signale une tendance : des secrets d’application Azure leakés sur GitHub, reconnaissables à leur signature (emojis, Unicode), avec 124 000 commits du type « remove client secret ». Le bandwidth humain pour réviser tout ce code généré devient le plus grand risque.

Une longue digression porte sur le disconnect entre l’industrie et les attaquants. Les criminels sont opportunistes : pourquoi dépenser des tokens quand le spray gratuit fonctionne ? Fait savoureux, les forums criminels eux-mêmes se plaignent du slop généré par les LLM. Deux « criminels » de la salle (clins d’œil humoristiques) racontent leurs débuts : cabines téléphoniques trafiquées, cartes d’arcade éditées en hexadécimal, disquettes de Doom copiées. Le message : tout part de la curiosité, et la ligne grise de la légalité est ce qui a mené plusieurs vers la défense des systèmes. On rappelle aussi que dans certains pays défavorisés, le cybercrime est une option de survie, parfois sous forme de travail forcé industrialisé — ce qui explique en partie l’absence d’explosion des attaques sophistiquées.

Le panel se termine sur des questions ouvertes : génère-t-on de la dette technologique trop vite pour pouvoir la corriger (réponse : oui, aucune chance de patcher à cette vitesse)? La rareté des vulnérabilités forcerait les attaquants vers des chemins connus, plus détectables, tout en augmentant la valeur des zero-days et de la main-d’œuvre hautement spécialisée. L’exemple de Metasploit illustre comment un outil peut rendre triviale une exploitation complexe, érodant l’expertise. Sur une analogie finale — une vulnérabilité non découverte fait-elle du bruit? — l’animateur clôt la discussion.

Dans cet épisode, je reçois Samuel Bonneau, venu présenter Cybereco la transformation profonde que son entreprise — une société de développement logiciel établie depuis quinze ans, qui intègre l’intelligence artificielle depuis huit ans — a opérée au cours de la dernière année. Contrairement à plusieurs entreprises qui se contentent d’un discours marketing autour de l’IA, l’organisation a réellement transformé ses façons de faire en profondeur.

L’histoire débute par un objectif ambitieux fixé aux employés : devenir 50 % plus performants grâce à l’IA, sur une période d’un an. Plusieurs équipes ont dépassé largement cette cible en cours de route, ce qui a mené l’entreprise à revoir entièrement son approche. Samuel illustre ce changement par une analogie automobile : viser 50 % plus de vitesse revient à accélérer davantage avec le même véhicule, alors que viser une multiplication par dix ou vingt force à repenser entièrement le moyen de transport. C’est ce changement de paradigme — un mindset de croissance exponentielle plutôt qu’incrémentale — que l’entreprise a adopté, en parallèle de l’arrivée de modèles et d’outils de codage de plus en plus performants, dont Claude Code, qui a rapidement surpassé les outils utilisés jusque-là.

Cette transformation ne s’est pas limitée aux équipes techniques : les ressources humaines, la finance et le reste du back-office ont aussi été intégrés, développant leurs propres flux de travail avec des agents, des compétences (skills) partagées entre équipes, et même de nouveaux outils et plateformes internes. Samuel souligne que la petite taille de l’équipe administrative et une culture d’innovation déjà bien ancrée ont facilité cette adoption, réalisée sur une période de trois à six mois pour la cinquantaine de personnes moins familières avec ces outils.

Samuel explique que ce virage n’était pas optionnel : dans un domaine où l’IA évolue très rapidement, ne pas adopter ces outils aurait signifié perdre en pertinence face à des concurrents capables de développer plus vite et à moindre coût. Ce sentiment d’urgence (« do or die ») a guidé les décisions de l’entreprise.

Or, cette accélération massive amène son lot de défis en cybersécurité. Les employés développant leurs propres agents et automatisations utilisent souvent leurs propres identifiants, ce qui peut devenir dangereux si ces agents ne sont pas correctement encadrés. Samuel cite l’exemple de la sandboxing des agents codeurs, un besoin pour lequel peu de solutions matures existaient sur le marché — l’outil le plus prometteur, Nvidia Open Shell, étant encore en préalpha, ce qui illustre bien le décalage entre la rapidité de l’innovation en IA et la maturité des outils de protection.

Face à ce constat, l’équipe a bâti sa propre plateforme de cybersécurité, intégrée à un robot Slack déjà utilisé pour les demandes liées à la sécurité. Cette plateforme analyse automatiquement les demandes d’utilisation d’outils ou de compétences (skills) externes, attribue des scores de risque et permet d’approuver ou de rejeter les requêtes. Plutôt que de gérer cela à travers du code traditionnel, l’équipe travaille désormais par spécifications : il suffit de modifier les spécifications fonctionnelles pour que le système se régénère avec les nouvelles règles, par exemple en ajoutant un critère lié à la localisation des données.

L’élément le plus distinctif de cette plateforme est sa capacité à puiser dans toute la documentation interne d’un projet client — transcriptions de réunions, documents de conception, échanges — afin de déterminer automatiquement le niveau de criticité, les enjeux de disponibilité et les risques associés à un système avant même son développement. Cette information alimente ensuite la génération de spécifications de sécurité sur mesure, adaptées au contexte d’affaires réel du client plutôt qu’à des standards génériques.

Une partie importante de l’entretien porte sur la façon de limiter les comportements destructeurs que pourraient avoir des agents autonomes. Samuel explique que chaque agent développé par l’entreprise comporte une douzaine de composantes, dont des mécanismes de garde-fous (« god rails ») qui valident que son comportement reste dans les limites prévues. Il illustre cela avec l’exemple d’un agent d’intégration des nouveaux employés (onboarding), qui ne doit jamais pouvoir exécuter des actions de désactivation de comptes (offboarding), même s’il possède techniquement les droits nécessaires pour créer des comptes. Un agent superviseur additionnel surveille les actions des agents opérationnels pour détecter et bloquer tout comportement anormal.

Cette approche de décomposition en agents très spécialisés, plutôt qu’en un seul agent polyvalent, réduit non seulement les risques d’erreurs ou d’hallucinations liées à une fenêtre de contexte trop chargée, mais permet aussi de réduire les coûts en tokens en choisissant des modèles adaptés à la complexité réelle de chaque tâche.

L’entreprise s’appuie sur une équipe d’une quarantaine de spécialistes en IA, plusieurs détenant un doctorat, qui combinent rigueur scientifique et application concrète (programmation, entraînement et ajustement de modèles). Leur rôle a évolué : alors qu’ils entraînaient autrefois des modèles sur des infrastructures dédiées, ils se concentrent aujourd’hui davantage sur le choix du modèle optimal selon le contexte, qu’il soit local ou hébergé via une API externe, agissant essentiellement comme un routeur intelligent entre différents modèles de langage.

Développée depuis janvier, la plateforme interne sert déjà à la fois à protéger l’entreprise et à soutenir des contrats clients de longue durée. Samuel évoque un potentiel de commercialisation, possiblement sous forme de produit en mode SaaS, déjà testé auprès de grands clients déployant des systèmes agentiques complexes.

En clôture, Samuel partage sa vision des prochains défis : l’arrivée de robots humanoïdes en milieu industriel, déjà amorcée chez certains clients, qui posera de nouveaux enjeux de sécurité et de sûreté (safety) lorsque ces robots, connectés à des systèmes intelligents, devront être encadrés pour éviter des actions dangereuses. L’entreprise prévoit relancer une division spécialisée pour anticiper cette vague, prévue dans un horizon de deux à cinq ans.

Dans cette 17e collaboration entre les balados Cyber Citoyen et Polysécure, Catherine anime la discussion avec Sam et Nicolas autour de quatre grands thèmes : la surveillance étatique en Russie, les abus du système de surveillance routière Flock, une étude sur les noms de domaine malveillants et le couplage de cette tendance avec le phishing, et enfin une anecdote sur les véhicules de livraison Amazon.

Sam ouvre l’épisode en présentant le Sorm, un système russe de surveillance des communications téléphoniques et internet datant de 1995. Conçu au départ pour donner au FSB un accès direct aux infrastructures téléphoniques, il a été étendu en 1998 aux fournisseurs d’accès internet, puis intensifié autour des Jeux olympiques de Sochi sous prétexte sécuritaire. Les fournisseurs doivent installer cet équipement à leurs propres frais, ce qui pousse les petits opérateurs à résister, sous peine d’amendes ou de retrait de licence pendant dix ans. Le système permet désormais des recherches par mots-clés et centralise des données extrêmement sensibles : adresses, passeports, coordonnées bancaires, géolocalisation, adresses IP et courriels. Les intervenants soulignent le parallèle avec les pratiques américaines révélées par Snowden, et notent que cette intensification coïncide avec le mécontentement intérieur lié à la guerre en Ukraine. La discussion s’élargit aux blocages d’internet ailleurs (Iran, listes blanches), à la conférence SplinterNet sur la fragmentation du réseau mondial, puis à des tendances similaires dans les démocraties occidentales (Chat Control en Europe, le projet de loi C-2 au Canada, les lois britanniques), illustrant que l’identification obligatoire (numéros de téléphone, cartes SIM, interdiction des téléphones jetables aux États-Unis) n’est pas l’apanage des régimes autoritaires. Nicolas évoque aussi son expérience personnelle en Corée du Sud, où l’identité est systématiquement liée aux services numériques. Le segment se conclut sur l’inquiétude que cette centralisation des données personnelles russes constitue elle-même une cible de choix pour des puissances rivales, et sur le constat plus large d’une incompréhension généralisée des conséquences à long terme de ces choix technologiques.

Nicolas revient ensuite sur Flock, le système de reconnaissance de plaques d’immatriculation, déjà abordé dans un épisode précédent. Grâce au site DeFlock, des citoyens ont découvert que leur plaque avait été recherchée des centaines de fois sans justification : un cas où un policier avait consulté la plaque d’une victime plus de cent fois, et un chef de police pris à espionner sa propre conjointe. La réponse de l’entreprise Flock, qui se targue de transparence plutôt que de reconnaître le problème, est jugée particulièrement maladroite, surtout après la révélation qu’une quarantaine de nouveaux cas d’abus ont été recensés en un seul mois. Les animateurs saluent le rôle du journalisme d’enquête (notamment celui de 404 Media) dans la mise en lumière de ces dérives, et comparent l’absence de garde-fous chez Flock aux systèmes d’alerte automatique utilisés dans les réseaux hospitaliers ou les agences gouvernementales, où une consultation anormale d’un dossier déclenche immédiatement une enquête. Le débat se conclut sur la question de savoir si cette absence de contrôle relève de l’incompétence ou d’un choix délibéré de ne pas investir dans la prévention des abus.

Sam présente ensuite une étude d’Interisle sur les noms de domaine enregistrés en 2025 : sur 85 millions de domaines créés, 8,5 millions ont fini bloqués pour usage frauduleux, soit un plancher d’environ 10 %, probablement plus proche de 15 à 20 % en réalité. Cinq bureaux d’enregistrement concentrent la moitié des domaines bloqués, l’un d’eux affichant un taux de 88 %, souvent via l’enregistrement automatisé en masse de domaines à très bas coût. Le groupe critique l’approche du rapport, trop centrée sur l’autorégulation du marché, alors qu’aucun mécanisme structurel n’empêche ces registraires de continuer leurs pratiques. L’exemple belge du CCB, qui bloque au niveau national les domaines jugés dangereux, est cité comme une approche plus efficace, comparable à une mesure de santé publique. La conversation aborde aussi la difficulté d’agir à l’échelle internationale, faute de coordination entre les autorités américaines et européennes. En lien avec ce sujet, Sam note une diminution du volume des attaques de phishing de 20 % en 2024 et 2025, non pas parce que la menace recule, mais parce que les attaquants privilégient désormais des campagnes plus sophistiquées et ciblées plutôt que des envois massifs peu rentables, une tendance facilitée par les outils d’intelligence artificielle générative.

Le dernier sujet porte sur une mise à jour logicielle des camions de livraison Amazon qui coupe la climatisation après seulement trente secondes d’inactivité, exposant les chauffeurs à des chaleurs dangereuses, notamment au Texas. La réponse officielle d’Amazon, qui présente cette mesure comme un gain de confort et d’autonomie de batterie, est tournée en dérision par les animateurs, qui y voient un exemple typique d’absence d’accountability corporative. Cette anecdote sert de tremplin à une réflexion plus large sur le manque d’authenticité des communications d’entreprise contemporaines, illustrée par le retrait du slogan « Don’t Be Evil » chez Google, et une brève mention du manifeste controversé du dirigeant de Palantir, sujet que le groupe prévoit de traiter dans un épisode futur dédié.

Expérimentation avec une nouvelle approche d’enregistrer en itinérance. Le son n’est pas idéal, mais pas trop loin de l’objectif. Un nouvel essai aura lieu le 21 juin, où j’améliorerai l’approche pour atteindre une qualité suffisante en limitant la quantité de choses que j’apporte lorsque je suis en voyage.

Dans cet épisode, je reçois Emeline Manson pour discuter d’un sujet central mais souvent négligé en cybersécurité : les biais cognitifs. Le point de départ de la discussion est simple mais important : les victimes de fraude ne sont ni naïves ni stupides. Les fraudeurs comprennent très bien le fonctionnement du cerveau humain et exploitent des mécanismes universels, peu importe le niveau de connaissances ou de prudence d’une personne. Les attaques ne visent donc pas toujours une machine, mais cherchent surtout à influencer un comportement humain, en misant sur l’urgence, la peur, la confiance, l’habitude ou la fatigue. Pour rendre ces mécanismes plus faciles à repérer, les biais sont regroupés en quatre grandes familles.

La première famille regroupe les biais qui réduisent l’espace entre l’émotion et l’action, empêchant toute vérification. Le biais d’urgence repose sur la création d’une pression artificielle (compte bloqué, livraison suspendue, intervention policière imminente), qui pousse à régler un faux problème avant même de vérifier son existence. Le biais de rareté fonctionne de façon similaire, avec des offres limitées dans le temps qui forcent une décision rapide. Les intervenants notent que ces deux biais sont souvent combinés, par exemple un message urgent accompagné d’éléments rassurants qui font aussi baisser la garde.

La deuxième famille mise sur la crédibilité apparente. Le biais d’autorité pousse à obéir à une demande qui semble venir d’un supérieur, d’une institution ou d’une personne importante, comme dans les fraudes au faux président. Le biais de familiarité agit de façon proche : on baisse la garde lorsqu’un message semble provenir d’un proche ou d’un fournisseur connu, alors qu’un compte peut être compromis ou une identité usurpée. Le biais de réciprocité intervient lorsqu’une personne se sent obligée de répondre positivement après avoir reçu quelque chose, par exemple une fausse offre d’emploi ou un document utile envoyé par un faux fournisseur. Enfin, le biais de preuve sociale, très présent sur les réseaux sociaux, fait croire qu’une offre ou un investissement est légitime simplement parce que de nombreux avis ou témoignages positifs l’accompagnent, alors que ces avis peuvent être achetés ou fabriqués.

La troisième famille touche à la sous-estimation du risque. Le biais d’optimisme, très répandu même chez les experts, se traduit par la conviction qu’on ne se fera jamais piéger. Une statistique citée dans l’épisode indique que 78 % des Canadiens sont convaincus de ne pas pouvoir se faire avoir, ce qui en fait des cibles particulièrement vulnérables, car le risque demeure abstrait jusqu’à ce qu’il se concrétise. Le biais de surcharge cognitive complète ce tableau : devant la multiplication des comptes, mots de passe et applications, le cerveau cherche la facilité, ce qui mène à la réutilisation de mots de passe ou à des validations faites trop rapidement, surtout en fin de journée lorsque la vigilance diminue.

La dernière famille concerne les comportements numériques répétitifs. Le biais d’ancrage illustre la tendance à modifier légèrement un mot de passe existant plutôt que d’en créer un réellement nouveau, ce qui le rend prévisible pour un attaquant. L’usage de gestionnaires de mots de passe et de technologies comme les clés d’accès (passkeys) est présenté comme une solution efficace pour réduire cette dépendance. Le biais d’engagement, quant à lui, explique pourquoi une personne ayant déjà commencé à répondre à une demande a tendance à poursuivre dans cette direction, même si celle-ci devient progressivement plus risquée, alors qu’il est toujours possible de s’arrêter et de revalider.

Pour conclure, cinq bonnes pratiques sont proposées comme réflexes anti-biais :

L’épisode se termine sur une réflexion plus large : l’intelligence artificielle rend les messages frauduleux plus crédibles et mieux écrits, rendant les indices traditionnels (fautes d’orthographe, ton suspect) moins fiables. À l’inverse, les échanges humains authentiques se construisent dans le temps, à travers de véritables liens, alors que les fraudes simulent une proximité instantanée. Se rappeler qu’on est des êtres de lien, et que la confiance véritable ne se construit pas en quelques secondes, devient ainsi un signal d’alarme précieux face aux tentatives de manipulation numérique.

Dans cet épisode spécial enregistré en marge de la conférence NorthSec, Christian Paquin, cryptographe chez Microsoft Research et ancien étudiant de Gilles Brassard à l’Université de Montréal, présente ses travaux sur la provenance des actifs numériques et sur une approche permettant de concilier authenticité du contenu et protection de l’identité de son créateur.

Avec la prolifération de l’intelligence artificielle générative, il devient de plus en plus difficile de distinguer le contenu authentique du contenu fabriqué. Pour répondre à ce défi, l’industrie s’est rassemblée autour de la C2PA (Coalition for Content Provenance and Authenticity), un protocole qui permet de signer numériquement images, vidéos, fichiers audio et même textes afin d’en tracer l’origine et toutes les transformations subies.

Le principe repose sur la cryptographie à clé publique, la même que celle utilisée pour sécuriser le web (HTTPS). Une caméra signe une photo avec une clé privée intégrée à l’appareil ; chaque transformation ultérieure (retouche, redimensionnement, republication sur un réseau social) invalide la signature précédente et nécessite une nouvelle signature de la part de l’éditeur responsable. On obtient ainsi un historique complet, dit « écran à écran », de la création jusqu’à la consommation du contenu. Si seule la dernière signature est généralement vérifiée, l’historique des transformations antérieures peut être conservé, soit en clair, soit de façon compressée grâce à des preuves à divulgation nulle de connaissance (zero-knowledge proofs).

Cette norme est déjà largement adoptée : OpenAI signe ses images générées, Sony intègre la fonctionnalité dans certains appareils photo, Google l’offre sur ses téléphones Pixel, et Adobe ainsi que Microsoft l’intègrent à leurs outils.

Le problème, souligne Christian Paquin, est que cette forte authentification crée un lien direct entre le contenu et l’identité de son auteur. Or, dans plusieurs contextes, cette traçabilité pose un risque réel : journalistes couvrant des zones de conflit qui pourraient être identifiés et visés par un régime hostile, lanceurs d’alerte révélant des pratiques répréhensibles, ou artistes souhaitant publier anonymement tout en prouvant que leur œuvre leur appartient bel et bien. Dans ces cas, on souhaite prouver qu’un contenu provient d’une source légitime (par exemple, un journaliste affilié à une organisation reconnue) sans révéler de quel individu précis il s’agit.

Deux approches rudimentaires existent déjà dans l’écosystème C2PA. La première consiste à utiliser un certificat auto-émis, à la manière de PGP : on publie sa propre clé publique pour que d’autres puissent vérifier le contenu, mais cela ne permet pas à un tiers de valider une affiliation institutionnelle (par exemple, confirmer qu’une personne travaille bien pour telle agence de presse). La seconde consiste à utiliser des certificats à très courte durée de vie, voire à usage unique, comme le fait Google sur ses téléphones Pixel, qui émet un nouveau certificat pour chaque photo prise. Cette méthode empêche les plateformes de lier différentes publications à un même utilisateur, mais exige de faire confiance à l’émetteur (ici Google) pour ne pas conserver de journal reliant les certificats entre eux.

Pour résoudre ce dilemme sans dépendre de la confiance envers un tiers, Christian Paquin a développé un prototype open source combinant deux techniques. La première remplace les signatures classiques (RSA, ECDSA) par des signatures dites « randomisables », notamment l’algorithme BBS, actuellement en voie de standardisation à l’IETF. Ces signatures permettent de prouver qu’un certificat appartient bien à une hiérarchie de confiance donnée (par exemple, celle de Google ou de Radio-Canada) sans révéler les éléments uniques qui permettraient de relier plusieurs signatures à une même personne.

La deuxième technique utilise des preuves à divulgation nulle de connaissance. Plutôt que d’inclure le certificat directement dans le fichier signé, on y insère une preuve démontrant que la signature a été générée correctement, que le certificat utilisé a bien été émis par une autorité reconnue, et qu’il était valide au moment de la signature, tout cela sans révéler la valeur exacte du certificat (qui pourrait servir d’identifiant indirect, par exemple via sa date d’expiration unique).

Ces techniques, longtemps trop lourdes pour un usage pratique, sont devenues envisageables grâce aux avancées en efficacité des protocoles de preuves à divulgation nulle, largement stimulées par les investissements massifs dans l’écosystème des cryptomonnaies et des contrats intelligents (notamment Ethereum).

Christian Paquin compare ce chantier à la transition historique vers HTTPS, qui a pris plus d’une décennie et continue de poser des défis d’interface et de gestion de la confiance. Le déploiement de la provenance des contenus sera toutefois plus complexe encore : il touchera un nombre d’acteurs bien plus large (médias, fabricants d’appareils, éditeurs de logiciels, industries du cinéma et de la publicité, secteurs médical et militaire) et un volume de données incomparablement plus élevé, chaque photo prise pouvant nécessiter son propre certificat.

Malgré ces défis, l’urgence est réelle : selon Christian Paquin, sans déploiement substantiel de ces mécanismes dans les deux prochaines années, l’érosion de la confiance envers le contenu numérique, déjà bien engagée dans la sphère politique, pourrait devenir difficile à renverser. À terme, le contenu dépourvu de marque d’authenticité pourrait être désavantagé par les algorithmes des plateformes, un peu comme les sites non sécurisés en HTTPS ont fini par être pénalisés par les moteurs de recherche.

L’épisode se conclut sur une note encourageante : cette participation demeure volontaire, et les techniques discutées permettent d’envisager un avenir où authenticité et anonymat ne sont plus mutuellement exclusifs.