Synopsis

Dans l’épisode 0x290, Patrick, Steve et Francis reviennent sur une semaine chargée en cybersécurité. Un marin français a révélé la position du porte-avions Charles de Gaulle en Méditerranée via Strava — un problème d’OPSEC récurrent qui rappelle le cas du capitaine de sous-marin russe traqué et exécuté grâce à ses données de course à pied. L’équipe en profite pour discuter de l’utilisation des téléphones personnels par les policiers et militaires canadiens.

L’équipe décortique ensuite ce qui pourrait être une des plus grosses brèches au Canada : TELUS Digital compromis par le groupe Shiny Hunters, avec un pétaoctet de données exfiltrées. Le tout via des outils de base comme TruffleHog, en scannant des mots de passe en clair dans les données internes. L’ampleur touche TELUS Santé, la domotique (ADT) et bien plus.

Parmi les autres sujets : Google qui finalise l’acquisition de Wiz, Microsoft Copilot qui contourne les règles d’accès pour lire des courriels restreints, la Commission d’accès à l’information du Québec sous enquête, le démantèlement de quatre botnets majeurs avec la participation de la SQ et de la GRC, la vente de son visage et sa voix à l’IA, les pannes informatiques récurrentes dans les hôpitaux québécois, et les menaces cyber liées au conflit au Moyen-Orient qui touchent directement le Canada — incluant l’attaque destructrice contre le conglomérat biomédical Stryker via Microsoft Intune.

L’épisode se termine avec un hommage humoristique au décès de Chuck Norris et une réflexion sur la vulnérabilité des infrastructures essentielles canadiennes, d’Hydro-Québec aux stations radar du Grand Nord.

Crew

• Patrick Mathieu
• Steve Waterhouse
• Francis Coats

Liens et ressources

Steve

• StravaLeaks : le porte-avions Charles-de-Gaulle localisé en temps réel grâce à l’application de sport
• TELUS Digital confirms breach after hacker claims 1 petabyte data theft
• US seizes domains and infrastructure used in sprawling botnet campaigns
• Justice Department disrupts botnet networks that hijacked 3 million devices
• La Commission d’accès à l’information visée par des enquêtes
• Canada should ‘absolutely’ match Poland’s Chinese EV ban at military bases: expert
• Stryker attack wiped tens of thousands of devices, no malware needed
• Seriez-vous prêt à vendre votre voix ou à louer votre visage pour entraîner une IA?
• Switzerland built a secure alternative to BGP
• ‘Source of data’: are electric cars vulnerable to cyber spies and hackers?
• Max severity Ubiquiti UniFi flaw may allow account takeover
• The US bans all new foreign-made network routers

Patrick

• Crunchyroll data breach
• Wiz acquisition finalisée par Google
• Anthropic finds 22 Firefox vulnerabilities using Claude
• Disnat serre la vis - MFA enfin activé
• L’hôpital Maisonneuve-Rosemont affecté par une panne informatique
• Google Chrome - 26 CVE patchés
• Microsoft error sees confidential emails exposed to AI tool Copilot

Francis

• ITSEC 2026 : j’y serai!

Shamelessplug

• Join Discord — channel 🎙la-french-connection-podcast
• securite.fm
• Humanitek 2026 - Patrick - 1er avril, Québec
• Rencontre Université-Défense (UNIDEF) - 26 mars 2026, Québec
• Forum stratégique sur la défense et la sécurité - 2 avril 2026, Montréal
• ATLSECCON - 9-10 avril 2026, Halifax
• Conférence CYBERECO - 28-29 avril 2026, Montréal
• Conférence certifications appro défense - 12 mai 2026, Québec
• NorthSEC - 11-17 mai 2026, Montréal
• Matinée conférence CPQ - 29 mai 2026, Montréal
• Conférence du Consortium national pour la cybersécurité - 16-19 juin 2026, Montréal

Crédits

• Montage audio par Hackfest Communication
• Locaux virtuels par Streamyard