Valadon Guillaume

Je n’aime pas les programmes de bug bounty. J’ai bien essayé de changer d’avis, mais rien n’y fait. Le modèle semblant convenir à d’autres, j’ai discuté avec des hunters satisfaits, des triagers compétents, et des RSSI comblés. Néanmoins, plus je suis exposé à ces programmes et moins mon opinion change. Peut-être parce que je n’ai pas eu les mêmes expériences qu’eux.

L’été des fuites de données / CVE-2025-25256 - FortiSIEM / L’IA de XBOW au sommet de HackerOne / CVE-2025-53770 & CVE-2025-53771 - SharePoint RCE

La conformité est bien souvent un sujet très clivant dans les discussions liées à la cybersécurité. Les débats s’enflamment d’autant plus vite quand s’affrontent ceux qui sont confrontés aux effets des attaques, et ceux qui auditent les contrôles. Deux extrémités du spectre des compétences avec des objectifs parfois différents, et des expériences qui forcent à confronter pratique et théorie. Les sujets clivants sont nombreux : le renouvellement fréquent des mots de passe, ou les mises à jour en sont des exemples très classiques.

Lorsque j'ai commencé à m’intéresser au domaine de la sécurité à la fin des années 90, un ami m’avait prévenu « la sécurité, c’est un truc de vieux con » ; une punchline a priori provocatrice qui semble vouloir décourager tout nouveau pratiquant. C’est tout l’inverse, elle résume de manière percutante que notre discipline est avant tout complexe et transversale, qu’il y a beaucoup de choses à apprendre et que pour progresser, il faut de la rigueur, et savoir douter. Une phrase qui, des années plus tard, conserve tout son sens.

Depuis fin de 2022, la vague de l’IA générative, amorcée par l’arrivée de ChatGPT, déferle sur le monde et le monde de la sécurité n’y a pas échappé. Sans surprise, les aspects offensifs ont rapidement attiré l’attention, avec en premier lieu, la manipulation des réponses d’un modèle à l’aide de prompts malveillants, pour le pousser à ignorer ses mesures de sécurité et à divulguer des données sensibles.

Au-delà des Jeux Olympiques de Paris et des nombreux exploits sportifs, l’année 2024 s’est achevée sur un autre record : plus de 40000 CVE ont été publiées, soit une hausse de près de 40% en comparaison à 2023. Si l’on est en droit de se demander si toutes ces vulnérabilités sont de qualité ou si leurs scores reflètent bien leurs impacts, une telle augmentation me pousse à m'interroger sur l’une étape clé de l’existence d’une CVE : la divulgation de vulnérabilités.

Pour l’édito de ce mois-ci, je me suis intéressé au domaine spatial. Tout a commencé par la lecture d’un article de la BBC dont l’accroche laissait penser que le satellite Skynet-1A venait d’être déplacé récemment et que personne ne savait pourquoi. Son contenu, bien qu’intéressant, était moins sensationnel : le satellite aurait bougé dans les années 1970, et l’histoire a oublié qui a envoyé ces commandes.

Cela fait tout juste un an que je suis le rédacteur en chef de MISC, et je n’ai pas vu le temps passer. Vos retours incroyablement positifs sont source d’encouragements et de motivation. Lorsque j’ai succédé à Cédric, je ne doutais pas que, sur le plan technique, ce nouveau défi allait être passionnant, et me permettrait de découvrir en détail des sujets inconnus. La réalité dépasse mes attentes : non seulement l’aspect technique est fascinant, mais les rencontres et discussions avec les lecteurs, les auteurs, et ceux qui rêvent d'écrire un jour pour MISC rendent cette expérience humaine tout aussi enrichissante.

Suis-je surveillé ? Mon téléphone et mes données sont-ils compromis ? Ai-je la possibilité de le vérifier par moi-même ? Sans être omniprésentes, ces questions me passent régulièrement par la tête au gré de l'actualité, et des dernières vulnérabilités affectant les appareils que j'utilise au quotidien.