March 26, 2025

SéQCure/Spécial - FUDBusters! - Parce que... c'est l'épisode 0x571!

48 minutes

Parce que… c’est l’épisode 0x571!

Shameless plug

2 au 4 avril 2025 - Humaco

8 et 9 avril 2025 - Cybereco

10 au 18 mai 2025 - NorthSec

03 au 05 juin 2025 - Infosecurity Europe

27 et 29 juin 2025 - LeHACK

12 au 17 octobre 2025 - Objective by the sea v8

10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec

17 au 20 novembre 2025 - European Cyber Week

25 et 26 février 2026 - SéQCure 2026

Description

Ce podcast présente une discussion approfondie entre l’animateur et Guillaume Ross sur plusieurs sujets liés à la cybersécurité, avec un retour sur la conférence de Guillaume.

Les droits d’administrateur local

Guillaume aborde le débat sur la pertinence de restreindre les droits d’administrateur local sur les postes de travail. Il soutient que cette pratique, considérée comme essentielle par certains, ne représente plus un contrôle de sécurité aussi précieux qu’auparavant pour plusieurs raisons:

Dans un environnement moderne, les menaces principales sont dans le navigateur et non plus dans le système d’exploitation

Les informations sensibles (mots de passe, cookies, accès aux services cloud) sont accessibles même sans droits d’administrateur

Les solutions MDM (Mobile Device Management) ont remplacé Active Directory pour la gestion des appareils

Un ransomware cible les données utilisateur, pas nécessairement les fichiers système protégés

Les environnements de travail ont évolué: aujourd’hui, beaucoup d’entreprises fonctionnent principalement via le navigateur

Il observe que ce débat reflète souvent un clivage entre ceux qui travaillent dans des environnements modernes et ceux toujours contraints par des infrastructures héritées des années 2000.

Les menaces modernes: navigateurs et info-stealers

Guillaume évoque la présentation d’Olivier Bilodeau qui confirmait que les info-stealers ciblent principalement:

Les navigateurs (Chrome, Firefox)

Les mots de passe stockés dans les gestionnaires de mots de passe intégrés

Les cookies d’authentification

Ces vecteurs d’attaque fonctionnent indépendamment des droits d’administrateur et peuvent donner accès à des services cloud critiques. Le véritable système d’exploitation aujourd’hui est devenu le navigateur, et non plus Windows ou macOS.

Cas d’étude: le vol de cryptomonnaie chez Bybit

Guillaume analyse le vol récent de 1,5 milliard de dollars chez Bybit:

La compromission a commencé par l’ordinateur d’un développeur

L’attaquant a obtenu des clés AWS permettant d’écrire dans un bucket S3

Cela a permis de modifier du code JavaScript utilisé dans les wallets en production

Les utilisateurs ont approuvé des transactions falsifiées qui apparaissaient légitimes à l’écran

Ce cas illustre que le problème n’était pas l’accès administrateur local, mais plutôt les permissions excessives du développeur pour modifier du code en production.

Marketing absurde: l’imprimante “quantique” de HP

Guillaume commente avec humour l’annonce de HP concernant “la première imprimante au monde qui protège contre les attaques des ordinateurs quantiques”. Il explique que cette affirmation marketing cache probablement simplement une mise à jour de TLS 1.3 avec une suite de chiffrement moderne.

Il clarifie les préoccupations réelles concernant l’informatique quantique:

Pour la plupart des entreprises, la priorité est simplement de maintenir à jour les versions TLS et les suites de chiffrement

Seules les organisations gouvernementales protégeant des secrets sur des décennies ont besoin de préoccupations plus avancées

Les informations comme les cartes de crédit ont une durée de vie limitée et ne justifient pas d’inquiétudes quantiques

Bad Seek et la sécurité des modèles d’IA

Guillaume aborde les inquiétudes soulevées par DeepSeek et autres modèles d’IA, en distinguant:

L’utilisation d’un SaaS hébergé ailleurs (où vos données pourraient être exposées)

L’utilisation d’un modèle local (qui ne renvoie pas les données à l’extérieur)

Il explique le concept de “Bad Seek”, une recherche montrant qu’il est possible de créer des versions altérées de modèles d’IA qui produisent délibérément du code plus vulnérable. Cette menace est comparable aux problèmes de chaîne d’approvisionnement que nous connaissons déjà avec les bibliothèques de code et les extensions de navigateurs.

Une vision positive: le modèle 18F

Pour terminer sur une note constructive, Guillaume présente l’agence américaine 18F (récemment touchée par des licenciements):

Une petite équipe de professionnels expérimentés (environ 100 personnes)

Créée après l’échec du projet Healthcare.gov

Centrée sur l’expérience utilisateur et la gestion de projets

Recrutant des experts du privé pour des missions limitées (1-2 ans)

Produisant du code open source et aidant les agences à livrer des projets de qualité

Guillaume et l’animateur suggèrent qu’un modèle similaire au Québec pourrait aider à éviter des échecs comme celui de SAGIR ou d’autres projets gouvernementaux problématiques, en favorisant une expertise interne et une approche par itérations successives plutôt que des projets monolithiques confiés à des consultants externes.

La discussion se conclut sur une note d’optimisme prudent: malgré les défis, la sécurité informatique s’est considérablement améliorée en 20 ans, même si de nouvelles menaces comme les cryptomonnaies ont facilité la monétisation des attaques.

Notes

How to Backdoor Large Language Models

How North Korea pulled off a $1.5 billion crypto heist—the biggest in history

HP Launches World’s First Printers to Protect Against Quantum Computer Attacks

ALT 18F

Github: 18F

Collaborateurs

Nicolas-Loïc Fortin

Guillaume Ross

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

...more

View all episodes

By Nicolas-Loïc Fortin et le Polysecure crew