Synopsis

Cette semaine, Patrick et Jacques reçoivent Jonathan Bastille, technicien informatique avec mandat sécurité au Cégep de Rivière-du-Loup. Jonathan raconte sa transition du privé vers le secteur public, et le contraste brutal entre la rapidité de décision en PME et le rythme « paquebot » d’un milieu où chaque changement passe par un conseil d’administration. La discussion bifurque rapidement vers la loi 25, l’illusion de conformité par bouts de papier, et l’attitude de trop de PME québécoises : « la sécurité, c’est pas important — j’attends que ça le devienne ».

Le trio s’attaque ensuite à un sujet récurrent du podcast : la futilité de la majorité des campagnes de phishing simulé. Renforcement positif vs punition, tests qui ne mesurent que le clic au lieu du processus de détection en arrière, et l’argument central de Patrick — si vos employés deviennent bons à reconnaître votre simulation, ils ne deviennent pas pour autant bons à reconnaître les vraies attaques. Jonathan partage aussi une histoire concrète où il a bloqué le device code flow dans Microsoft, juste avant qu’une attaque réelle utilisant exactement cette technique frappe l’organisation.

Côté actualités, plusieurs nouvelles passent au crible : le retour forcé au bureau qui a accouché du néologisme « téléprésentiel », la sortie maladroite du chef du CST qui blâme la proximité avec les États-Unis pour les cyberattaques canadiennes, et surtout le combo explosif CopyFeld + cPanel — une vulnérabilité Linux d’escalade de privilèges présente depuis 2007 et un piratage massif de panneaux d’administration d’hébergeurs.

L’épisode se ferme sur une campagne de phishing déployant ScreenConnect chez 80+ organisations, un faux positif retentissant de Microsoft Defender sur des certificats DigiCert, et un rappel martelé : tant que les utilisateurs travaillent en local admin, aucun EDR ne va vous sauver.

Crew

• Patrick Mathieu
• Jacques Sauvé
• Jonathan Bastille (invité spécial)

Liens et ressources

Patrick

• Microsoft Attack Surface Reduction Rules
• Device code phishing - Microsoft
• Microsoft Digital Defense Report
• Téléprésentiel – retour au bureau, 3 h de trafic pour Teams (Journal de Montréal)
• Proximité avec les États-Unis et cyberattaques – Radio-Canada
• cPanel / WHM – exploitation massive du contournement d’authentification (TechCrunch)
• Copy Fail – exploitation pour obtenir root sur Linux (CISA / BleepingComputer)

Jacques

• Campagne phishing ScreenConnect 80+ organisations
• Microsoft Defender faux positif DigiCert / Cerdigent

Jonathan

• Microsoft Defender for Endpoint
• Microsoft Sentinel
• Microsoft Intune

Shamelessplug

• Inscriptions Hackfest 2026
• Hackfest CTF
• Polar - journée pour les gestionnaires en cybersécurité
• Call for Paper Hackfest 2026 (mai à fin août)
• iHack - 30 mai 2026 (Québec, Trois-Rivières, Chicoutimi, Montréal)
• Discord Hackfest
• securite.fm

Crédits

• Montage audio par Hackfest Communication
• Musique par Caleidisco – Candy Island - Much Too Loose
• Locaux virtuels par Streamyard