Synopsis

Dans cet épisode, Steve, Patrick, Francis et Jacques revient sur une semaine particulièrement chargée en actualité cybersécurité, mêlant enjeux technologiques, sécurité publique et décisions politiques. On débute avec des nouvelles locales et matérielles, notamment la nomination de Pierre Brochet comme nouveau chef de la police de Laval, ainsi que la découverte de failles majeures et d’un microphone non documenté dans le NanoKVM de Sipeed, soulevant des questions sérieuses sur la chaîne d’approvisionnement et la confiance envers le matériel.

La discussion se poursuit avec les correctifs Microsoft de décembre 2025 : trois failles zero-day activement exploitées, des dizaines de vulnérabilités corrigées et une mise à jour de sécurité étendue pour Windows 10. L’équipe analyse aussi une arrestation marquante en Espagne liée au vol de 64 millions de dossiers personnels, ainsi qu’une attaque zéro-clic particulièrement inquiétante capable d’effacer un Google Drive complet via de simples courriels piégés.

Un large segment est consacré aux menaces à grande échelle : l’exploitation de la faille React2Shell, ses impacts en cascade (jusqu’à une panne Cloudflare), des campagnes liées à la Chine, et un botnet responsable d’une attaque DDoS record de près de 30 Tbps. S’ajoutent des cas troublants de cybercriminalité, comme la vente de vidéos intimes issues de caméras IP piratées.

Enfin, l’épisode explore les enjeux émergents autour de l’IA : vulnérabilité persistante des LLM aux prompt injections, utilisation militaire de l’IA par Google, cyberassurance couvrant les deepfakes, et avertissements sur le rôle croissant de l’IA dans la chaîne de menaces. Le tout est replacé dans un contexte géopolitique et sociétal, entre surveillance étatique, hacktivisme pro-russe et nouvelles régulations, notamment l’interdiction des réseaux sociaux pour les moins de 16 ans en Australie.

Nouvelles

Francis

• Pierre Brochet, nouveau chef de la police de Laval TVA Nouvelles
• Researcher finds undocumented microphone and major security flaws in Sipeed NanoKVM

Jacques

• Microsoft December 2025 Patch Tuesday fixes 3 zero-days, 57 flaws
• Microsoft releases Windows 10 KB5071546 extended security update
• Spain arrests teen who stole 64 million personal data records
• Zero-Click Agentic Browser Attack Can Delete Entire Google Drive Using Crafted Emails

Steve

• India backs off mandatory “cyber safety” app after surveillance backlash
• Researchers track dozens of organizations affected by React2Shell compromises tied to China’s MSS
• React2Shell flaw exploited to breach 30 orgs, 77k IP addresses vulnerable
• Cloudflare blames today’s outage on React2Shell mitigations
• Aisuru botnet behind new record-breaking 29.7 Tbps DDoS attack
• Korea arrests suspects selling intimate videos from hacked IP cameras
• Pro-Russia hacktivists conduct opportunistic attacks against U.S. and global critical infrastructure (JCA-AA25-343A)
• Organizations can now buy cyber insurance that covers deepfakes
• UK cyber agency warns LLMs will always be vulnerable to prompt injection
• Ignoring AI in the threat chain could be a costly mistake, experts warn
• Millions of children and teens lose access to accounts as Australia’s world-first social media ban begins
• Australia social media ban – explainer video
• Google is powering a new US military AI platform

Crew

• Patrick Mathieu
• Steve Waterhouse
• Francis Coats
• Jacques Sauvé

Shamelessplug

• Join Hackfest/La French Connection Discord #La-French-Connection
• Join Hackfest us on Masodon
• POLAR - Québec - 29 Octobre 2026
• Hackfest - Québec - 29-30-31 Octobre 2026

Crédits

• Montage audio par Hackfest Communication
• Music par Kazuki – Four Day Weekend - Dusk
• Locaux virtuels par Streamyard