Teknik - Signaux (xDR) dans l'univers des OT
10 avril 2025
Parce que... c'est l'épisode 0x610!
Spécial - L’internet mondial est-il en train de mourir ?
21 avril 2025
Parce que... c'est l'épisode 0x609!
Spécial - L'outillage dans le cadre d'analyse de risque
18 avril 2025
Parce que... c'est l'épisode 0x608!
Spécial - leHACK 2025
28 juin 2025
Parce que... c'est l'épisode 0x607!
Spécial - Un brin de nostalgie durant le Northsec
15 mai 2025
Parce que... c'est l'épisode 0x606!
Spécial - Outrunning the Red Queen - Analysis of Ransomware Scripts
09 avril 2025
Parce que... c'est l'épisode 0x605!
Teknik - Al Trust - Apprentissage automatique - Détection des modèles empoisonnés après entrainement
09 avril 2025
Parce que... c'est l'épisode 0x604!
Actualités Cyber Citoyen au 17 juin 2025
17 juin 2025
Parce que... c'est l'épisode 0x603!
Parce que… c’est l’épisode 0x603!
Shameless plug
- 27 et 29 juin 2025 - LeHACK
- 12 au 17 octobre 2025 - Objective by the sea v8
- 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec
- 17 au 20 novembre 2025 - European Cyber Week
- 25 et 26 février 2026 - SéQCure 2026
Description
Introduction et contexte
Ce cinquième épisode de collaboration entre les balados Super Citoyen et Polysécure, animé par Catherine Dupont-Gagnon et Samuel Harper, avec la participation de Nicolas, aborde deux sujets majeurs touchant la cybersécurité et la vie privée des citoyens canadiens. Après une pause d’une semaine, les animateurs se retrouvent pour discuter d’enjeux critiques qui affectent directement les utilisateurs de technologies et les citoyens.
Première partie : Les vulnérabilités de Microsoft Copilot
La découverte d’une faille majeure
L’épisode débute par l’analyse d’une vulnérabilité critique découverte dans Microsoft Copilot, spécifiquement dans sa version M365. Cette faille permet aux attaquants d’injecter des instructions malveillantes dans des documents de manière invisible pour les utilisateurs humains, mais détectable par l’agent d’indexation de Copilot.
Le mécanisme d’attaque
L’attaque fonctionne selon un principe relativement simple mais efficace : les cybercriminels cachent du texte dans des documents en utilisant des techniques comme l’écriture en blanc sur fond blanc ou des polices de caractères microscopiques. Lorsque Copilot analyse ces documents pour répondre aux requêtes des utilisateurs, il lit ces instructions cachées et les exécute comme s’il s’agissait de commandes légitimes.
Samuel Harper explique que cette vulnérabilité est particulièrement dangereuse avec la version M365 de Copilot car cet agent peut indexer l’ensemble du contenu personnel d’un utilisateur : courriels, documents OneDrive, conversations Teams. Les instructions malveillantes peuvent donc ordonner à Copilot d’effectuer des actions non autorisées, comme envoyer des informations sensibles à des adresses externes.
Les implications pour les entreprises
Cette faille représente un risque considérable pour les organisations, particulièrement celles possédant des secrets industriels ou des informations confidentielles. Un attaquant pourrait théoriquement envoyer un courriel contenant des instructions cachées demandant à Copilot de transmettre tous les secrets industriels à une adresse spécifique. L’agent exécuterait ces commandes sans que l’utilisateur ne s’en aperçoive.
Un problème systémique
Les animateurs soulignent que bien que Microsoft ait corrigé cette vulnérabilité spécifique, le problème est plus large. Tous les agents d’intelligence artificielle utilisant des modèles RAG (Retrieval-Augmented Generation) - qui puisent leurs réponses dans des bases de données externes - sont potentiellement vulnérables à ce type d’attaque. Google Gemini, Claude et d’autres plateformes similaires pourraient être ciblés par des méthodes comparables.
Deuxième partie : Le projet de loi C-4 et la protection des données
Une loi aux multiples facettes
Samuel Harper présente ensuite une analyse approfondie du projet de loi C-4 du gouvernement Carney, officiellement intitulé “Loi visant à rendre la vie plus abordable pour les Canadiens”. Si les trois premières parties de cette loi concernent effectivement des mesures d’abordabilité (baisses d’impôts, fin de la taxe carbone, remboursement de la TPS pour l’achat d’une première maison neuve), la quatrième partie introduit des modifications controversées à la loi électorale.
L’exemption des partis politiques
Cette section du projet de loi soustrait les partis politiques fédéraux aux lois de protection des renseignements personnels. Concrètement, cela signifie que les partis politiques, leurs bénévoles et tous ceux qui travaillent en leur nom peuvent exercer toutes les activités avec les renseignements personnels sans aucune restriction légale.
Le contexte juridique
Cette modification législative fait suite à une décision de 2022 du commissaire à la vie privée de la Colombie-Britannique, qui avait déterminé que les partis fédéraux devaient également respecter la loi provinciale PIPA (Personal Information Protection Act). Les partis politiques ont contesté cette décision jusqu’en Cour suprême de la Colombie-Britannique et ont perdu leur cause.
Une stratégie législative discutable
Les animateurs dénoncent la tactique consistant à inclure ces modifications controversées dans un projet de loi sur l’abordabilité. Cette approche, rappelant les “omnibus bills” de l’ère Harper, rend difficile l’opposition à des mesures populaires tout en faisant passer des dispositions problématiques.
Les risques pour la démocratie
Le micro-ciblage politique
Catherine et Samuel discutent des dangers du micro-ciblage politique, comparant les stratégies des partis politiques à celles utilisées par Cambridge Analytica. Ils soulignent que les mêmes techniques de marketing qui poussent les consommateurs vers des achats peuvent être utilisées pour manipuler les intentions de vote.
L’érosion du choix démocratique
Les animateurs expriment leurs préoccupations concernant l’utilisation d’algorithmes pour influencer les électeurs. Ils argumentent que ces pratiques transforment le processus démocratique en exercice de marketing, éloignant les citoyens d’un choix libre et éclairé basé sur leurs valeurs personnelles.
La paresse technologique
Un thème récurrent de l’épisode est la “paresse technologique” - la tendance des utilisateurs à accepter passivement les solutions automatisées sans exercer leur esprit critique. Cette passivité, selon les animateurs, représente un danger plus immédiat que l’intelligence artificielle générale souvent évoquée dans les scénarios catastrophiques.
Réflexions sur l’engagement citoyen
La responsabilité démocratique
Les animateurs insistent sur l’importance de l’engagement citoyen au-delà du simple vote. Ils encouragent les auditeurs à contacter leurs députés pour exprimer leurs préoccupations concernant des projets de loi comme le C-4, rappelant que la démocratie ne se limite pas aux périodes électorales.
L’urgence d’agir
Samuel souligne que le projet de loi C-4 pourrait être adopté très rapidement, utilisant une procédure accélérée qui contourne les étapes normales du processus législatif. Cette urgence rend encore plus crucial l’engagement immédiat des citoyens.
Conclusion et perspectives
L’épisode se termine sur une note qui mélange pessimisme et espoir. Bien que les animateurs identifient des tendances inquiétantes - vulnérabilités technologiques, érosion de la vie privée, manipulation démocratique - ils maintiennent leur foi en la capacité des citoyens canadiens à influencer leur système politique par l’engagement actif.
Les deux sujets traités dans cet épisode illustrent les défis interconnectés de notre époque numérique : d’une part, des technologies puissantes mais imparfaites qui créent de nouvelles vulnérabilités ; d’autre part, des institutions politiques qui tentent de s’adapter à ces nouvelles réalités parfois aux dépens des protections démocratiques traditionnelles.
L’appel à l’action des animateurs est clair : les citoyens doivent rester vigilants, s’informer activement et s’engager dans le processus démocratique pour préserver leurs droits dans un monde de plus en plus numérisé. La technologie n’est ni bonne ni mauvaise en soi, mais son impact dépend largement de la façon dont la société choisit de l’encadrer et de l’utiliser.
Notes
- À venir
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux virtuels par Riverside.fm
Tags: copilot, ia, loi, microsoft
Tweet
