Manuel d'alchimie du code
Note : Ce contenu faisait auparavant partie du site web ouimaisjellm.ca. Il a été importé ici pour archivage.
Le Hackfest est un festival de cybersécurité à Québec, à but non-lucratif, par et pour la communauté. L’édition 2025 a eu lieu du 16 au 18 octobre 2025 au Centre des Congrès de Québec. Et pour la première fois, cette année, j’étais aussi conférencier.
J’y ai présenté la conférence concept Oui, mais je LLM, en lien avec cet espace où tu te trouves en ce moment. Le nom vient de la conférence en fait, que j’avais déjà soumise il y a quelques mois, à la fin du printemps.
Tu vas avoir en masse l’occasion de découvrir le contenu de ma conférence en détails dans les prochaines publications. Donc, aujourd’hui, je vais plutôt en profiter pour te partager un retour d’expérience sur toutes les autres conférences et les ateliers auxquels j’ai participé, et te donner une tonne de ressources utiles ! Le contenu ne porte pas que sur la cybersécurité, mais est toujours en lien avec un sujet de ce domaine qui est assez vaste. Comme c’est une grosse fin de semaine, je commence par te résumer ce que j’ai pu découvrir dans la première journée.
🌘 Agents IA en Cyber: Pourquoi les déploiements échouent et comment réussir le vôtre (Vooban)
Je ne suis vraiment pas un lève-tôt, alors j’ai malheureusement manqué le keynote ! Ma première journée débute donc à 10 h avec la présentation de Samuel Bonneau de Vooban, qui est le principal commanditaire de l’évènement. C’est assez rare que je vais aux présentations de commanditaires, mais celle-là avait le potentiel d’être intéressante, et surtout sincère. Je savais que Vooban était peinturé Microsoft pas mal comme fournisseur, mais d’avoir leur retour d’expérience peut avoir une valeur quand même considérable. Surtout si c’est pour éviter à des entreprises qui ne sont pas prêtes pour l’IA de payer la peau du cul pour des produits Microsoft Azure. Parce que oui, tout ce qui est Microsoft, en plus de généralement être dans le second tiers en termes de qualité, coûte un rein.
C’était honnête. Les agents basés sur des modèles de langage peuvent avoir plusieurs formes. Ça passe du prompt personnalisé à la bouche “for”, jusqu’aux bureaucraties d’agents. Et ce que j’en comprends, c’est que ça fait la job quand tu écris quasiment la réponse que tu veux avoir dans le prompt. Je retiens qu’il faut être radical, inquisiteur, militaire, intransigeant et brutal avec les modèles de langage pour avoir les meilleurs résultats. Pas être gentil. Ça marche pas ! Je me questionne ici si cette attitude va aussi avoir tendance à se transposer entre humains, parce que ça arrive déjà qu’on a l’impression de se faire prompter …
Ça prend des bonnes données. Ça prend des processus maîtrisés de manière précise. Il faut savoir ce qu’on veut comme résultat. Et surtout, le meilleur truc, c’est de demander au robot conversationnel de nous accompagner à écrire le prompt qu’on va ensuite leur fournir. Avec ces trois composantes principales :
- Le contexte : toutes les données et informations utiles à la prise de décision
- Le rôle : quelle expertise on veut aller chercher avec le modèle de langage. C’est ici qu’on voit souvent une forme de jeu de rôle. Mais plutôt, on veut filtrer le champ lexical et le domaine d’expertise en lien avec notre demande. On veut limiter le plus possible les probabilités élevées dans le vecteur en sortie pour maximiser la “bonne” réponse et éviter d’avoir une grosse variance.
- Le résultat attendu : sous quelle forme et avec quelles contraintes on souhaite recevoir la réponse. Les modèles ont tendance à mieux fonctionner avec des données structurées et du code, donc demander de “penser en code” semble aussi avoir de meilleurs résultats.
🌘 Hunting Bears With Your Friends: How Latvia and Canada Joined Forces in Cyberspace
Le Canada agit un peu comme “grand frère” auprès de la Lettonie, un petit pays baltique qui est aussi membre de l’OTAN. Dans ce panel plutôt sympathique avec deux militaires canadiens, Shivom (Jacob) Sharman et Ian Gabriel, et un expert civil letton, Bernhards “BB” Blumbergs, on a pu découvrir la relation d’amitié qui s’est développée au niveau militaire et civil dans la cyberdéfense de la Lettonie face à la Russie.
Je suis ensuite allé me chercher un lunch avant que les fonctionnaires du coin et participants envahissent le minuscule restaurant Subway du Carré d’Youville.
De retour 30 minutes plus tard, j’ai assisté à ma première miniconférence de la journée. Il y a deux formats de conférence principalement : 50 minutes et 20 minutes. Il y a aussi des ateliers de durée variable, entre 2 h et 4 h en général. J’ai fait un atelier de 4 heures en après-midi, j’y reviens plus tard !
🌘 Attacking Home Automation: Consumer-Grade Vulnerabilities
Dans cette présentation par Elysee Franchuk, on a pu découvrir que certains appareils de domotique sont faciles à pirater, sans avoir besoin de connaissances particulières. La domotique est un mélange de domicile et d’informatique, c’est-à-dire l’application de l’informatique aux objets de la maison. C’est une branche de ce qu’on appelle l’Internet des objets (Internet of Things en anglais).
Ce domaine est connu pour être rempli de gadgets avec une sécurité plus que douteuses. Cette courte présentation sur les prises électriques multiples (power bar) contrôlées à distance sans fil a révélé qu’il était possible de les activer et de les désactiver facilement en passant par le réseau sans fil auquel elles sont connectées. En les activant et les désactivant très rapidement, on peut aussi provoquer un incendie.
De plus, certaines prises peuvent aussi être contrôlées via Internet, mais ça requiert d’accéder au compte en ligne des propriétaires. Mais, ici, encore une fois, il suffit d’un mot de passe faible pour accéder au compte, et ça peut avoir des conséquences désastreuses.
Je me souviens, lorsque je travaillais en assurance, avoir collaboré sur la création d’un avenant qui excluait les risques en lien avec la domotique. Je ne sais pas si c’est maintenant ajouté aux contrats d’assurance habitation depuis, mais en voyant ça, j’insisterais pour que la domotique ne soit pas couverte dans les polices d’assurances. Ces objets sont, règle générale, dangereux d’un point de vue sécurité. Leçon à retenir ici : Lève ton cul de ton divan et va fermer tes lumières toi-même.
🌘 Securing the Digital Frontier: Proactive Bias Mitigation Against AI’s Unseen Vulnerabilities in Cybersecurity
C’était la deuxième fois que j’assistais à une conférence de Mina Movahedi Shakib. L’an passé, elle avait fait une très belle présentation sur comment préserver sa santé mentale dans des contextes, comme la cybersécurité, où ça n’arrête jamais. Cette année, elle nous a partagé sur les biais qui peuvent affecter la performance des outils d’intelligence artificielle en cybersécurité.
Ces biais peuvent à la fois créer des faux positifs, mais surtout, des faux négatifs. Et ça, les cybercriminels le savent très bien. Trop de fausses alertes, et on devient moins vigilants. À l’opposé, trop de confiance, et des menaces nous passent sous le nez.
Une des clés pour limiter autant le nombre de faux positifs que de faux de négatifs, c’est de la diversité. Dans les données, dans les équipes, dans les parties prenantes, et dans les méthodes utilisées pour agir en cybersécurité.
Des sujets sur lesquels je vais certainement revenir dans l’infolettre et dans le podcast !
J’en retiens une présentation remplie de sagesse !
🌘 Zéro à TOP500 en 500 $
Je travaille plusieurs années avec des systèmes universitaires dit HPC, pour high-performance computing. J’en ai fait cependant une utilisation assez modeste, alors j’étais curieux de voir comment c’était construit. Didier Cotton travaille pour l’organisme PINQ2, qui est responsable de centre de données universitaires à Sherbrooke, ainsi que d’infrastructure de recherche industrielle, notamment le premier ordinateur quantique au Québec.
Ainsi, il en connaît un rayon en infrastructure de recherche. Il a vu le “deal du siècle” passer sur eBay : 24 ordinateurs Chrome Box pour quelques centaines de dollars. Plus un commutateur réseau (une switch), une alimentation partagée et du câblage, pour environ 500 $. Il a pu construire une grappe de calcul qui, si on retourne trois décennies en arrière, aurait été l’ordinateur le plus puissant au monde !
L’idée ici, c’est de montrer à quel point les ressources informatiques sont des milliers de fois plus puissantes aujourd’hui. Même des ordinateurs un peu moches selon les goûts du jour, qui se vendaient au détail dans les 200 $ l’unité en 2017, ont une puissance de calcul considérable.
🌘 Mastering Bash for Hackers: Extreme Command-Line Power
Un de mes points forts de ma fin de semaine a été de revenir à la base avec une formation de 4 h sur les scripts Bash avec Kirils Solovjovs, le maître hacker de Lettonie. Nous sommes dans une époque où la puissance de calcul quasi infinie invite à créer des usines à gaz avec de l’intelligence artificielle pour faire des tâches simples, au lieu de comprendre comment fonctionne nos systèmes.
Les outils Bash existent depuis les années 1970 sur les premiers systèmes Unix. Ils permettent de traiter des données massives rapidement avec des commandes telles que awk, grep, tr, cat.
Ils ont comme principale caractéristique d’être composables, ce qui signifie qu’on peut les mettre les uns à la suite des autres et prendre la sortie d’un pour l’envoyer en entrée de l’autre. Un peu comme une chaîne de montage. C’est la même chose qu’on fait aujourd’hui avec des web services et des outils comme Zapier ou Make, mais 1000x plus rapide !
🌘 La French Connection – Retour explosif sur 2025
J’ai manqué les 15 premières minutes du podcast parce qu’on était beaucoup trop occupés avec la poutine, mais comme toujours, j’ai bien apprécié le style un peu décousu, les monologues de Steve, l’acidité de Jacques (avec qui je suis rarement d’accord), les oui, mais de Francis (sécurité de l’information) et les trouvailles de Patrick. Ce podcast est un incontournable.
Il y a eu quelques éléments visuels qui ne se retrouveront pas dans l’épisode audio, alors une mention spéciale à la sécurité physique des centres de données et des infrastructures municipales qu’on peut visiter, eu haute définition, à 360 degrés, comme on peut visiter les maison avant de les acheter. Un bon moyen de savoir où se trouvent tous les dispositifs de sécurité à désactiver et les angles de caméra de sécurité à éviter … Donc, comme le dirait Francis, c’est MAL !
L’épisode va sortir dans quelques semaines, selon le calendrier habituel ! Tu peux les suivre au https://securite.fm
