Le développeur PostGres qui passe sa nuit à chercher à comprendre les détails du fonctionnement de SSH alors qu'il lui suffisait d'arrêter le processus pour finir son travail, c'est un de ces nombreux obsessionnels qui améliorent le monde sans qu'on en entende jamais parler
Je vous suis depuis plusieurs années, vos vidéos sont toujours passionnantes. Ce sont des sujets techniques complexes que vous expliquez parfaitement. Merci et bravo à vous.
Y'a deux ans pour un salon du cyber "toutes les grosses enseignes étaient là", je posais la même question "Quelle est votre politique et votre approche du social ingeniering ?" Parfois mes interlocuteurs ne comprenaient pas, parfois on me regardait comme si tout ce qui n'est pas du code pur ne peut pas être un problème. C'est bien la preuve que l'ego, l'ignorance et la vanité est justement la plus grande des failles. YZ est l'exemple type d'une ingénierie de talent. Un agent "Green Flag" qui contribue legit, Un "Red Flag" qui va accentuer la pression et les papillons "la communauté souvent un noyau de 10 pour la psyops sur la target. Ce qui est fout est que certainement que ce pattern avec un peu de formation peut rapidement être écarté mais la nature humaine se croit toujours au dessus d'un "complot" Merci pour ta vidéo et vive l'openSource
Ce que vous avez écrit est incompréhensible, ça ne veut rien dire pour être plus précis. Et en français on parle d'ingénierie sociale. Peut-être est-ce un langage codé dans la communauté de ce UA-camr, pour parler de l'auteur du troyen et de son groupe.
Et aussi je pense que la chance à eu un rôle mineur dans l'histoire, le dev postgresql a l'air d'être un senior très expérimenté, c'est son intuition (expérience) qui a permis de trouver cette faille. Big up au dev qui a permis de sécuriser nos serveurs et postes clients. J'espère qu'il a touché une prime.
Je vous confirme que c'est un senior expérimenté, et en effet, la chance n'a strictement rien à voir avec la découverte de cette faille. C'est le principe du Logiciel Libre qui a permis de trouver ce troyen avant qu'il n'atteigne les branches stables..
Ce qui a permis de découvrir ce trojan deja ces pas un trojan mais une backdoor une backdoor sert a pouvoir revenir ce connecter même en ayant pu d'accès de connexion sur nimporte quel server ssh sans que personne y puisse voir tes log.. par exemple pour le cas la..un trojan sert a prendre possesion dune machine a distance et autre du genre copie frappe de clavier etc ca na rien a voir deja.. bref revenons ce qui a permis de decouvrir cette backdoor ces le fait que des bots essaie de ce connecter via ssh sur la machine ce qui a fait qu'il ya eu des différence de perf sur le cpu que le server ssh utilise alors qu'il devait pas yen avoir vu que les connexion au server était refuser..apres tu peu faire de ta backdoor un trojan mais une backdoor a part entiere nest pas un trojan je tient a le preciser quand meme et la pour le coup ya rien qui te fait dire que ces un trojan ^^' quand ont connais rien à l'informatique ont fait pas le type qui connais ^^' bref..
@@0okazeet pareil parle pas de fail ce n'est pas une fail une faille ces utiliser un code erroner qui a etait creer par quelqu'un dautre pour le modifier à son insu dans le cas présent c'est le co-modérateur du programme qui a lui même installer cette backdoor donc rien à voir à une fail..bref fait pas le connaisseur la prochaine fois car tu raconte n'importe quoi..
@@0okazeLa seul chose que ta raison ces queffectivement le gars était expérimenter mais fait pas le gars qui connais son prestige car tu y connais rien toi même en faite ..
@@0okazeEt le principe du logiciel libre mais personne avait capter qu'il yavais une backdoor dans le programme donc encore une fois tu raconte vraiment n'importe quoi.. le gars aurait pas fait un test benchmark sa n'aurait jamais etait decouvert donc ton principe du logiciel libre hein ^^' et ça avait était mis en beta sans que personne sans rendent compte donc logiciel libre..oui oui ^^'
Merci pour cette vidéo ! J'aime beaucoup l'évolution que tu suis ces derniers temps, à être moins dans le "waw, incroyable, ce qui va suivre va vous retourner le cerveau", avec du teasing qui dure et où on passe le temps à attendre la révélation. Ça contribue grandement à la qualité de ton travail.
Merci pour la vidéo. C'est de loin mon histoire pref du monde de l'informatique ! Sympa la nouvelle DA. Parcontre, j'ai l'impression qu'il y a quelques fluctuations au niveau du gain du micro par moment.
Super vidéo, dommage, il manque la partie expliquant comment le fichier obfusqué se retrouve dans le binaire final et surtout comment ce fichier est appelé dans le programme principal.
@@cocadmin Dommage, j'avais la même remarque. Si quelqu'un a l'info !! On part toujours du principe que les fichiers de tests n’interfèrent jamais avec le fonctionnement en production.
@@cocadmin De ce que j'ai pu lire, il semble qu'il y ait une première injection de code depuis le fichier de test caché/offusqué vers le code actif lors de l'extraction de l'archive. Ce code injecté consiste en un bout de code qui "choisit" dynamiquement - au démarrage - une fonction utilitaire a appeler, ainsi que la nouvelle l’implémentation de cette fonction utilitaire. Il y a donc une deuxième "injection" utilisant des fonctionnalités du compilateur C. La fonction utilitaire est utilisé lors de chaque traitement de la clef fournie par l'utilisateur par openSSH, et le remplacement par la fonction malveillante ne se fait que dans les cas ou la faille est exploitable - toujours lors du démarrage du système. La subtilité supplémentaire, c'est que ce nouveau code qui permet de choisir puis d'appeler la fonction malveillante, ne devrait pas être actif normalement. En effet l'injection/choix de la fonction n'est possible qu'au démarrage du système, et c'est un patch récent (pour une application tierce - pas de détail sur l'origine ?), qui fait que OpenSSH charge SystemD au démarrage lui même chargeant liblzma. J'ai quand même un doute à se sujet, mais je n'ai pas trop de connaissance concernant systemD.
J'ai fait une erreur. Ce n'est pas systemD qui est chargé (lui est évidement actif au démarrage, c'est même son rôle) mais une librairie libsystemd. Je pense donc qu'il y a une erreur dans la vidéo. Car cette librairie interagit avec le gestionnaire de démarrage (systemD), ce n'est pas une partie de ce gestionnaire. C'est côté OpenSSH que cela ce passe - lui est a priori lancé au démarrage. Donc peut-être problème de sécurité côté OpenSSH ?
Superbe vidéo ! Je ne commente habituellement pas mais j'ai réellement ete absorbé par ta video, bravo ! De nouvelles anecdotes à raconter ça fait plaisir 😉 Je m'abonne !
On ne dit pas Deubian ! Debian est la compression de 2 prénoms Debby et Ian. La prononciation officielle de Debian est « déb-yann ». Le nom tire son origine des prénoms du créateur de Debian, Ian Murdock, et de son épouse, Debra. 👍
Merci bcp CocaAdmin pour cette vidéo excellentissime et pleine d'informations intéressantes. C'est d'ailleurs régulièrement le cas pour le contenu que tu publie :) Très bonne continuation !
Je les ai regardés plusieurs fois tellement que le sujet est intéressant Grâce à la vidéo, j'ai fait un oral en cours sur le sujet qui a captivé tout le monde. Continue comme ça, c'est trop intéressant
J'aimerais relativiser un peu 2 points: 1. Un admin qui met en production une debian unstable/testing est TOTALEMENT incompétent. Une pratique courante est d'installer une version stable le jour de l'achat du serveur et de ne jamais faire de mise à jour de version majeur sur cette machine. C'est l'intérêt des version LTS (long time support). 2. Le boulot de quelqu'un qui fait des micro benchmarks, c'est de faire des benchmarks. Si quelque chose (processus, interruption matérielle…) peut se déclencher de façon impromptu et parasiter le test, c'est évidemment mal. Il est donc évident que ce genre de personne va détester une option qui overclock le processeur toute seule. Ce sont les point que j'ai vu directement, il y en a peut-être d'autres. Tout ça pour dire que, oui, on a eu chaud aux miches. Mais quand même un peu moins que ce que la vidéo suggère.
Non ce n'est pas un puriste. C'est juste un expert dans son domaine de compétences, je travaille avec des gens de ce niveau autant que possible, et les meilleurs se trouvent en général dans le monde du Logiciel Libre. C'est le niveau de ceux qui sont arrivés après nous qui a régressé, alors qu'à mon époque je pensais que le niveau de ceux qui arriveraient après nous serait bien plus élevé, vu les ressources disponibles. Un expert qui effectue des bancs d'essai connaît tous les aspects d'un ordinateur et applique une méthodologie scientifique et un protocole qui élimine tous les biais, il n'y a rien d'incroyable là-dedans. Un programmeur devrait normalement connaître le fonctionnement du matériel sur lequel il travaille s'il veut créer le code le plus efficace possible, mais les programmeurs sur langages de haut niveau sont incapables de le comprendre.
@@0okazebah c'est ce que je dis...c'est un vieux de la vieille qui sait exactement ce que font chaques composants de sa bécane peu importe le language du programme injecté
J'aime beaucoup généralement le contenu que tu proposes, mais la c'est la meilleure , cette histoire est juste dingue, et comment s'est raconté et belle morale à la fin. Et vive l'open source ... c'est un peu comme les abeilles dans l'agriculture, sans la pollinisation on estime à des dizaines de milliards le cout de leur travail, même chose pour le monde du numérique, sans l'open source toutes les boites/services du numériques devrait tous coder de A à Z.. Merci et bravo pour cette vidéo🤩
Wouahou même la tête dans le luc avec les premier café du matin j'étais scotché du debut à la fin ! Quel dinguerie a tout niveaux. Tous les aspects de ta vidéo sont top. Et on se dit qu'on reverrai d'avoir les compétences de ces 2 gars (jia et le gars qui a investigé). Un immense merci pour ce short de hard real IT 😅 Ça m'as fait pensé à la vidéo de MiCode concernant le gars qui avait modifié le programme de la loterie. Patience, compétences et génie. D'où as-tu trouvé toutes ces informations concernant cette affaire ? Une vidéo EN ? Un fil X ou reddit ?
Imagine, tu prépare un plan quasi infaillible pendant plusieurs années pour avoir une backdoor sur toute machine Linux, et dès que tu le mets en prod, il saute en quelques jours parce qu'un obsessionnel le grille.
Je suis d'accord avec la conclusion. Il aurait fallu au moins deux ans pour que cela soit déployé sur un serveur de production contenant des données critiques, après avoir été minutieusement analysé par tous les ingénieurs de RH, Google, Amazon, Microsoft, Canonical, Debian, etc. Quelqu'un aurait fini par trouver la faille. Donc les seuls qui prennent des risques ce sont des particuliers qui s'amusent à faire des serveurs sur des versions testing / unstable.
+1. Et même avec ça, les grosses multinationales analysent le trafic réseau et auraient remonté le truc. Le mois dernier, une faille sur l'IPV6 a été détectée sur windows : juste en envoyant une requete ipv6 forgée bizarrement, ça permettait de faire de l'exécution de code à distance. Une zero day zero click juste en ayant l'IP de la machine. Elle a été détectée en analysant le trafic réseau et remontée immédiatement à Microsoft (sévérité de 9.8/10 commêm). Même s'il faut saluer la performance de mettre une backdoor sur linux sans être détectée pendant aussi longtemps, quelqu'un aurait fini par soulever le lièvre juste en regardant le trafic réseau. Une IP cheloue qui se connecte en remote sur une machine, ça se voit vite quand on fait correctement le boulot.
@@lulalelilo +2. Perso j'accuse grandement la NSA, elle à quand même demander à Linus de mettre une backdoor dans le noyaux. Comme à bien conclus cocadmin, c'est du travail de haut niveau,sophistiqué et qui à demandé beaucoup de temps et de compétence ce qui prouve grandement l'implication d'un groupe derrière;)
@@lulalelilo si ça se voit si facilement c'est que l'auteur de cette attaque sait très bien que ça va vite se faire savoir, donc si on analyse bien on déduit que le but de cette attaque est de frapper fort là où ça fait mal et ce très rapidement du genre télécharger le max de documents confidentiels des gouvernements ennemis ...etc, et même si un patch arrive rapidement le mal est fait
C'est tout le problème dans le camp de bisounours. Ils croient toujours que les méchants s'attaquent à des coffres-forts blindés protégés par des armées. Alors que les données et les comptes en banques des particuliers et des PME qui n'ont pas les moyens et les connaissances pour se protéger sont à portée de main. On vous donne le choix entre risquer votre vie face à une armée pour tenter de voler 1 tonne d'or ou chaparder une part de tarte qui refroidit sur le bord d'une fenêtre avec la possibilité de prétendre que c'est un chien ou chat qui a fait le coup. Vous prenez quelle option ? Les hackers ne sont pas plus idiots que la moyenne. Ils tapent sur les cibles faciles en priorité. Donc évidemment que la faille sera forcément détectée un jour par des analystes de haut niveau. Mais en attendant le gars qui l'a installée il a le temps de moissonner un peu.
Intéressante vidéo, mais le titre est complètement incorrect. Linux n'était pas affecté, mais une bibliothèque spécifique sur certaines distributions (sur laquelle linkait certains programmes). C'est comme si on disait "La plus grosse faille de sécurité sur Windows" parce qu'on a trouvé une backdoor dans Fortinte. L'implémentation XZ du kernel n'était, à ma connaissance, pas affectée.
Question candide : est-il possible d'appliquer la même technique de backdoor sur d'autres fonctions de Linux ? Question subsidiaire : est-ce que ça ne vaudrait pas la peine de chercher si la même technique a été utilisée ailleurs ?
La backdoor était dans le jeu de test de cette librairie. Techniquement c'est possible dans n'importe quel projet, et pas que sous linux. Partout où tu a un script de test pour vérifier si ta compilation est correcte.
La vidéo me fait demander et sur windows possible ? Et aussi savoir les force entre windows appel et linux a tu un avis ? Merci pour cette superbe vidéo
Je suppose que aucun fichier de test ne peut et ne doit se retrouver sur une version finale. Ptite question, n'y a t'il pas justement des règles sur les projets open pour empêcher d'intégrer ces fichiers test lors du build version prod?
J'avais lu quelques papiers lors de la découverte de la faille, j'ai toujours du mal à croire au scénario de la découverte, mais si tel est bien le cas un grand merci à celui qui a trouvé ça. Nous avons eu beaucoup de chance.
Bonjour Monsieur, je suis un fidèle auditeur de votre belle chaîne UA-cam même si je ne commente jamais vos réalisations, cette fois je me vois contraint d'intervenir pour vous dire que cette vidéo c'est du putin de bord'elle de dieu de bonne vidéo, feuque !
Merci pour la video, j'avais suivi rapidement l'histoire mais je n'étais pas rentré dans le detail, c'est bien raconté. J'ajouterai juste une chose, quand ta machine est sur internet, normalement, tu n'expose pas le port 22 au monde entier. Au minimum tu as un iptables ou équivalent avec une whitelist d'ip. L'attaque ne m'avait pas semblé si grave pour cette raison.
Note: xz a été popularisé par l'outil du même nom installé sur tous les OS modernes et pas par 7zip qu'il faut aller chercher et qu'on trouve rarement. xz, tout comme gzip, est utilisé nativement par tar par exemple lorsqu'on veut extraire une archive, et c'est pour cela qu'on voit plein de tar.bz2 (et parfois même les tar.gz) délaissés au profit du seul tar.xz.
L'apparence d'un code obfusqué(crypté) est très particulier, ce détail aurait dû alerter car sur le principe, un code partagé doit être normé, clair et commenté, donc précisément le contraire d'un cryptage
ouf, à la fin, c'est juste debian testing qui a été touchée, et peut être des rolling release... moi j'ai pas de rolling release et puis j'ouvre ssh que quand je pars en vacances... Sympa comment tu raconte, je m'abonne...
Ce ne sont pas des librairies, ce sont des bibliothèques. "Library" en anglais veux dire Bibliothèques, pas Librairies^^ C'est une erreur de traduction que je vois de plus en plus, c'est dommage.
Bonjour, J'espère que tu as un peu de temps pour répondre à ma préoccupation. J'ai récemment installé Docker sur AlmaLinux 9, mais je rencontre un problème avec les conteneurs MySQL 5.7. Lorsque je les exécute, j'obtiens une erreur de permission : Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (111). Curieusement, en lançant un conteneur avec la dernière version de MySQL en utilisant exactement les mêmes configurations (volumes, variables d'environnement, fuseau horaire, etc.), tout fonctionne normalement. Aurais-tu une idée de ce qui pourrait causer ce problème ? Merci d'avance pour ton aide. PS: j'ai aussi le même problème sur Centos 9 stream Mais pas sur Centos 7
Passionnant, c'est digne d'un film. Je ne suis qu'un amateur plus ou moins éclairé mais est-ce que cette affaire est liée à la faille regresshion dont on a bcp parlé début juillet?
🤝 Ta conclusion est trés juste. la quête du pouvoir... moi je penserais que les oublies time zone sont aussi un leurre. 😊 pouvoir... argent... sexe... → équation... merci au mec à la vieille bécane❤
Je suis d'accord que ça montre la force de l'open source, car finalement des années de travail d'agences gouvernementales sont réduites en miette par un barbu qui fait ses tests de base de données dans son garage. Avec une nuance, une leçon je trouve : l'auditabilité c'est bien, mais l'auditabilité n'est pas l'audit. Ce n'est pas parce qu'on peut regarder le code que quelqu'un le regarde. Et ça c'est plus un message pour les Red Hat ou Canonical qui vendent du "support" sur de l'open source. C'est aussi leur boulot. Bref, il nous faudra toujours des barbus ultra-experts et bien intentionnés pour faire de la review poussée bas niveau, et pas juste des Jean-Michel "j'aime l'open source" (comme moi, j'avoue) qui se contentent d'utiliser le tout voire jettent un micro coup d'oeil quand c'est du python ou du bash...
J’utilise whisper pour faire les sous titre et je corrige manuellement après mais ça m’a échappé. Les sous titre auto de base sont bcp moins bon surtout pour les termes technique ou anglais oui .
Hello Thomas, merci pour cette vidéo. Retour À plusieurs reprises on voit ton écran avec VS code. Quel est le thème que tu utilises s’il te plaît merci
Du coup cela soulève une autre question,tous les systèmes qui ne sont pas open source,et utilisé par la plupart des gens , comment leur faire confiance et savoir si ça ne contient pas potentiellement des backdoors
Le développeur PostGres qui passe sa nuit à chercher à comprendre les détails du fonctionnement de SSH alors qu'il lui suffisait d'arrêter le processus pour finir son travail, c'est un de ces nombreux obsessionnels qui améliorent le monde sans qu'on en entende jamais parler
Il était sur un serveur, donc si il arrêtait SSH, il n'avait plus accès à la machine non plus...
c'est un monstre, le gars à pris le temps de refaire les tests avec l'ancienne version pour comparer ! c'est un ouf ou un génie ou les deux XD
Je vous suis depuis plusieurs années, vos vidéos sont toujours passionnantes. Ce sont des sujets techniques complexes que vous expliquez parfaitement. Merci et bravo à vous.
Y'a deux ans pour un salon du cyber "toutes les grosses enseignes étaient là", je posais la même question "Quelle est votre politique et votre approche du social ingeniering ?" Parfois mes interlocuteurs ne comprenaient pas, parfois on me regardait comme si tout ce qui n'est pas du code pur ne peut pas être un problème. C'est bien la preuve que l'ego, l'ignorance et la vanité est justement la plus grande des failles. YZ est l'exemple type d'une ingénierie de talent. Un agent "Green Flag" qui contribue legit, Un "Red Flag" qui va accentuer la pression et les papillons "la communauté souvent un noyau de 10 pour la psyops sur la target. Ce qui est fout est que certainement que ce pattern avec un peu de formation peut rapidement être écarté mais la nature humaine se croit toujours au dessus d'un "complot" Merci pour ta vidéo et vive l'openSource
Ce que vous avez écrit est incompréhensible, ça ne veut rien dire pour être plus précis. Et en français on parle d'ingénierie sociale.
Peut-être est-ce un langage codé dans la communauté de ce UA-camr, pour parler de l'auteur du troyen et de son groupe.
J'adore ta narration et ta structure de l'histoire, vraiment cool, tout en restant subtilement technique
Et aussi je pense que la chance à eu un rôle mineur dans l'histoire, le dev postgresql a l'air d'être un senior très expérimenté, c'est son intuition (expérience) qui a permis de trouver cette faille. Big up au dev qui a permis de sécuriser nos serveurs et postes clients. J'espère qu'il a touché une prime.
Je vous confirme que c'est un senior expérimenté, et en effet, la chance n'a strictement rien à voir avec la découverte de cette faille. C'est le principe du Logiciel Libre qui a permis de trouver ce troyen avant qu'il n'atteigne les branches stables..
Ce qui a permis de découvrir ce trojan deja ces pas un trojan mais une backdoor une backdoor sert a pouvoir revenir ce connecter même en ayant pu d'accès de connexion sur nimporte quel server ssh sans que personne y puisse voir tes log.. par exemple pour le cas la..un trojan sert a prendre possesion dune machine a distance et autre du genre copie frappe de clavier etc ca na rien a voir deja.. bref revenons ce qui a permis de decouvrir cette backdoor ces le fait que des bots essaie de ce connecter via ssh sur la machine ce qui a fait qu'il ya eu des différence de perf sur le cpu que le server ssh utilise alors qu'il devait pas yen avoir vu que les connexion au server était refuser..apres tu peu faire de ta backdoor un trojan mais une backdoor a part entiere nest pas un trojan je tient a le preciser quand meme et la pour le coup ya rien qui te fait dire que ces un trojan ^^' quand ont connais rien à l'informatique ont fait pas le type qui connais ^^' bref..
@@0okazeet pareil parle pas de fail ce n'est pas une fail une faille ces utiliser un code erroner qui a etait creer par quelqu'un dautre pour le modifier à son insu dans le cas présent c'est le co-modérateur du programme qui a lui même installer cette backdoor donc rien à voir à une fail..bref fait pas le connaisseur la prochaine fois car tu raconte n'importe quoi..
@@0okazeLa seul chose que ta raison ces queffectivement le gars était expérimenter mais fait pas le gars qui connais son prestige car tu y connais rien toi même en faite ..
@@0okazeEt le principe du logiciel libre mais personne avait capter qu'il yavais une backdoor dans le programme donc encore une fois tu raconte vraiment n'importe quoi.. le gars aurait pas fait un test benchmark sa n'aurait jamais etait decouvert donc ton principe du logiciel libre hein ^^' et ça avait était mis en beta sans que personne sans rendent compte donc logiciel libre..oui oui ^^'
Tu me fais kiffer 😄 je sors d'une nuit de taf (informatique bien sur) et je me tape ton super contenu ! Merci
Merci pour cette vidéo ! J'aime beaucoup l'évolution que tu suis ces derniers temps, à être moins dans le "waw, incroyable, ce qui va suivre va vous retourner le cerveau", avec du teasing qui dure et où on passe le temps à attendre la révélation.
Ça contribue grandement à la qualité de ton travail.
Merci pour la vidéo. C'est de loin mon histoire pref du monde de l'informatique ! Sympa la nouvelle DA. Parcontre, j'ai l'impression qu'il y a quelques fluctuations au niveau du gain du micro par moment.
"De toute façon les chinoiiiiiss...." (chicandier) 😂😂😂
Super vidéo, dommage, il manque la partie expliquant comment le fichier obfusqué se retrouve dans le binaire final et surtout comment ce fichier est appelé dans le programme principal.
yep mais cette partie est bien trop compliqué pour moi et 99% des gens je pense malheureusement 😅
@@cocadmin Dommage, j'avais la même remarque. Si quelqu'un a l'info !! On part toujours du principe que les fichiers de tests n’interfèrent jamais avec le fonctionnement en production.
@@cocadmin De ce que j'ai pu lire, il semble qu'il y ait une première injection de code depuis le fichier de test caché/offusqué vers le code actif lors de l'extraction de l'archive. Ce code injecté consiste en un bout de code qui "choisit" dynamiquement - au démarrage - une fonction utilitaire a appeler, ainsi que la nouvelle l’implémentation de cette fonction utilitaire. Il y a donc une deuxième "injection" utilisant des fonctionnalités du compilateur C. La fonction utilitaire est utilisé lors de chaque traitement de la clef fournie par l'utilisateur par openSSH, et le remplacement par la fonction malveillante ne se fait que dans les cas ou la faille est exploitable - toujours lors du démarrage du système.
La subtilité supplémentaire, c'est que ce nouveau code qui permet de choisir puis d'appeler la fonction malveillante, ne devrait pas être actif normalement. En effet l'injection/choix de la fonction n'est possible qu'au démarrage du système, et c'est un patch récent (pour une application tierce - pas de détail sur l'origine ?), qui fait que OpenSSH charge SystemD au démarrage lui même chargeant liblzma. J'ai quand même un doute à se sujet, mais je n'ai pas trop de connaissance concernant systemD.
J'ai fait une erreur. Ce n'est pas systemD qui est chargé (lui est évidement actif au démarrage, c'est même son rôle) mais une librairie libsystemd. Je pense donc qu'il y a une erreur dans la vidéo. Car cette librairie interagit avec le gestionnaire de démarrage (systemD), ce n'est pas une partie de ce gestionnaire. C'est côté OpenSSH que cela ce passe - lui est a priori lancé au démarrage. Donc peut-être problème de sécurité côté OpenSSH ?
Superbe vidéo ! Je ne commente habituellement pas mais j'ai réellement ete absorbé par ta video, bravo !
De nouvelles anecdotes à raconter ça fait plaisir 😉
Je m'abonne !
On ne dit pas Deubian ! Debian est la compression de 2 prénoms Debby et Ian. La prononciation officielle de Debian est « déb-yann ». Le nom tire son origine des prénoms du créateur de Debian, Ian Murdock, et de son épouse, Debra. 👍
Merci pour ton intervention, des infos supplémentaires pour une prononciation..
Murdock, c'est pas le super méchant de Mac Gyver ?
@@ekhaion3296😂😂😂 Exactement
accent franssé !
@@ekhaion3296 Non c'est un inspecteur de maréchaussée de Toronto 🤣.
C'est si bien raconté que je vais aller éplucher le reste de ta chaîne, beau travail merci c'était palpitant !
Merci bcp CocaAdmin pour cette vidéo excellentissime et pleine d'informations intéressantes. C'est d'ailleurs régulièrement le cas pour le contenu que tu publie :) Très bonne continuation !
Je les ai regardés plusieurs fois tellement que le sujet est intéressant
Grâce à la vidéo, j'ai fait un oral en cours sur le sujet qui a captivé tout le monde. Continue comme ça, c'est trop intéressant
Une histoire incroyable, qui m'a fascinée, excellemment bien racontée !
GG, très bonnes recherches. :)
Passionnant, & excellemment raconté !
Big up pour le fond vert associé à l'éclairage parfaitement in tune 😉
J'aimerais relativiser un peu 2 points:
1. Un admin qui met en production une debian unstable/testing est TOTALEMENT incompétent.
Une pratique courante est d'installer une version stable le jour de l'achat du serveur et de ne jamais faire de mise à jour de version majeur sur cette machine. C'est l'intérêt des version LTS (long time support).
2. Le boulot de quelqu'un qui fait des micro benchmarks, c'est de faire des benchmarks. Si quelque chose (processus, interruption matérielle…) peut se déclencher de façon impromptu et parasiter le test, c'est évidemment mal. Il est donc évident que ce genre de personne va détester une option qui overclock le processeur toute seule.
Ce sont les point que j'ai vu directement, il y en a peut-être d'autres.
Tout ça pour dire que, oui, on a eu chaud aux miches. Mais quand même un peu moins que ce que la vidéo suggère.
tout à fait d'accord.
Unstable qui deviendra LTS...
Unstable qui deviendra LTS...
6h du matin, première vidéo du jour 👌👌
jme suis chier jvoulais mettre 6pm haha
Pareil mdr ! Merci ca fait quelques années que je te suis et la qualité des vidéos est en progression permenante ! Merci pour ton travail !
merci 🙏🏽 J'essaye de toujours ameliorer un peu :)
Merci pour cette vidéo Cocadmin ! Fascinante histoire.
Le mec qui a eu la puce à l'oreille est un puriste..attacher autant de soin au diagnostic de la machine, c'est couvrir pas mal de champs d'expertise
Non ce n'est pas un puriste. C'est juste un expert dans son domaine de compétences, je travaille avec des gens de ce niveau autant que possible, et les meilleurs se trouvent en général dans le monde du Logiciel Libre. C'est le niveau de ceux qui sont arrivés après nous qui a régressé, alors qu'à mon époque je pensais que le niveau de ceux qui arriveraient après nous serait bien plus élevé, vu les ressources disponibles.
Un expert qui effectue des bancs d'essai connaît tous les aspects d'un ordinateur et applique une méthodologie scientifique et un protocole qui élimine tous les biais, il n'y a rien d'incroyable là-dedans. Un programmeur devrait normalement connaître le fonctionnement du matériel sur lequel il travaille s'il veut créer le code le plus efficace possible, mais les programmeurs sur langages de haut niveau sont incapables de le comprendre.
@@0okazebah c'est ce que je dis...c'est un vieux de la vieille qui sait exactement ce que font chaques composants de sa bécane peu importe le language du programme injecté
Ok boomer @@0okaze
@@iwtkms2629 sur un autre com il fait l'informaticien mais il raconte que de la daube 😭😭😭
Je kiffe trop le background 😍
À part super bien la vidéo et le story telling
Enorme !! Excellente video, tu racontes super bien ;)
Histoire passionnate et super bien raconter, merci a toi.
Avant de partir rn cours je vois une video du goat, je suis obligé d'attendre avant de vour ce vidéogramme passionnant, continu comme ça !
Le truc amusant, c'est que cette faille, c'est retrouvée dans Kali Linux.
Même si j'avais déjà vu d'autres vidéos à ce sujet, ton story telling est vraiment le meilleur.
J'aime beaucoup généralement le contenu que tu proposes, mais la c'est la meilleure , cette histoire est juste dingue, et comment s'est raconté et belle morale à la fin. Et vive l'open source ... c'est un peu comme les abeilles dans l'agriculture, sans la pollinisation on estime à des dizaines de milliards le cout de leur travail, même chose pour le monde du numérique, sans l'open source toutes les boites/services du numériques devrait tous coder de A à Z..
Merci et bravo pour cette vidéo🤩
sur la vignette "hack tous les linux.exe".. 🤣 j'adore le troll !!! 🤣🤣🤣
Vous savez captiver l'attention, c'est hyper passionnant et bien narré, un grand merci.
Wouahou même la tête dans le luc avec les premier café du matin j'étais scotché du debut à la fin !
Quel dinguerie a tout niveaux. Tous les aspects de ta vidéo sont top. Et on se dit qu'on reverrai d'avoir les compétences de ces 2 gars (jia et le gars qui a investigé). Un immense merci pour ce short de hard real IT 😅
Ça m'as fait pensé à la vidéo de MiCode concernant le gars qui avait modifié le programme de la loterie. Patience, compétences et génie.
D'où as-tu trouvé toutes ces informations concernant cette affaire ? Une vidéo EN ? Un fil X ou reddit ?
Toujours dingue tes vidéos. hyper bien vulgarisées !!
Super vidéo, merci à toi pour cette explication claire !
Ps : pas "malicieux" mais "malveillant"...! Un peu comme crypter et chiffrer.
abusé le boulot de recherche.... violent le Jamy du hack ! Bravo 👏👏👏
Imagine, tu prépare un plan quasi infaillible pendant plusieurs années pour avoir une backdoor sur toute machine Linux, et dès que tu le mets en prod, il saute en quelques jours parce qu'un obsessionnel le grille.
Je suis d'accord avec la conclusion. Il aurait fallu au moins deux ans pour que cela soit déployé sur un serveur de production contenant des données critiques, après avoir été minutieusement analysé par tous les ingénieurs de RH, Google, Amazon, Microsoft, Canonical, Debian, etc. Quelqu'un aurait fini par trouver la faille. Donc les seuls qui prennent des risques ce sont des particuliers qui s'amusent à faire des serveurs sur des versions testing / unstable.
+1. Et même avec ça, les grosses multinationales analysent le trafic réseau et auraient remonté le truc. Le mois dernier, une faille sur l'IPV6 a été détectée sur windows : juste en envoyant une requete ipv6 forgée bizarrement, ça permettait de faire de l'exécution de code à distance. Une zero day zero click juste en ayant l'IP de la machine. Elle a été détectée en analysant le trafic réseau et remontée immédiatement à Microsoft (sévérité de 9.8/10 commêm). Même s'il faut saluer la performance de mettre une backdoor sur linux sans être détectée pendant aussi longtemps, quelqu'un aurait fini par soulever le lièvre juste en regardant le trafic réseau. Une IP cheloue qui se connecte en remote sur une machine, ça se voit vite quand on fait correctement le boulot.
@@lulalelilo +2. Perso j'accuse grandement la NSA, elle à quand même demander à Linus de mettre une backdoor dans le noyaux. Comme à bien conclus cocadmin, c'est du travail de haut niveau,sophistiqué et qui à demandé beaucoup de temps et de compétence ce qui prouve grandement l'implication d'un groupe derrière;)
@@lulalelilo si ça se voit si facilement c'est que l'auteur de cette attaque sait très bien que ça va vite se faire savoir, donc si on analyse bien on déduit que le but de cette attaque est de frapper fort là où ça fait mal et ce très rapidement du genre télécharger le max de documents confidentiels des gouvernements ennemis ...etc, et même si un patch arrive rapidement le mal est fait
C'est tout le problème dans le camp de bisounours. Ils croient toujours que les méchants s'attaquent à des coffres-forts blindés protégés par des armées. Alors que les données et les comptes en banques des particuliers et des PME qui n'ont pas les moyens et les connaissances pour se protéger sont à portée de main.
On vous donne le choix entre risquer votre vie face à une armée pour tenter de voler 1 tonne d'or ou chaparder une part de tarte qui refroidit sur le bord d'une fenêtre avec la possibilité de prétendre que c'est un chien ou chat qui a fait le coup. Vous prenez quelle option ?
Les hackers ne sont pas plus idiots que la moyenne. Ils tapent sur les cibles faciles en priorité.
Donc évidemment que la faille sera forcément détectée un jour par des analystes de haut niveau. Mais en attendant le gars qui l'a installée il a le temps de moissonner un peu.
C'était expliqué dans un ordre très facile à suivre, merci!
Le travail de vulgarisation est incroyable, j'avais déjà et ecouté des trucs sur la vuln mais j'ai quand même tout regarder tellement c'est limpide.
Hyper intéressant… et incroyable ! Merci.
Sympa cette vidéo, j'aime bien le format.
Magnifique vidéo, très belle pédagogie chef!!!
Un vocabulaire simple et accessible, une vidéo qui aurait être un peu plus courte, mais ça va, des belles illustrations... Bien joué!
Toujours des vidéos superbe, t'es trop fort 🔥❤
ca c'est de la clairvoyance, big up pour l'analyse de NC
Je n'attends que a regarder cette vidéo ❤❤
Salut, merci pour ce travail méticuleux de vulgarisation 🎉
Merci pour cette vidéo !
Vraiment trop interessant ! la vidéo déchire !
Merci pour ces explications mises à jour.
je kiff ce genre de vidéo, big up :-)
Intéressante vidéo, mais le titre est complètement incorrect. Linux n'était pas affecté, mais une bibliothèque spécifique sur certaines distributions (sur laquelle linkait certains programmes). C'est comme si on disait "La plus grosse faille de sécurité sur Windows" parce qu'on a trouvé une backdoor dans Fortinte. L'implémentation XZ du kernel n'était, à ma connaissance, pas affectée.
Après là tu compares Fortnite à une lib utilisée par SSH, c'est un peu gros. Indirectement, ça reste une énorme faille
Le titre n'est pas incorrect ça revient au même, les failles viennent souvent des applications, on peut le comparer à la faille de VLC .
vla le kass kouilles, en + tu fais toi même une erreur en comparant a Windows car Linux n'est pas un OS mais just un noyo...
@@Jackson-Seanelle n'était pas candidate au kernel cette version ?
openssh est utilisé par 99% des serveurs linux, pas sur de la comparaison avec fortnite
Tout bonnement pa-ssio-nnant. Tout comme l'analyse de l'attaque Stuxnet. Merci de nous vulgariser ce domaine extrêmement complexe.
Quel est le lien de la vidéo supposée s afficher à la fin de la vidéo? Je ne vois rien
Merci pour cette vidéo! Elle est top!
je parlais de cette video ua-cam.com/video/CacYbx-VTh8/v-deo.html
@@cocadmin merci!
Vous dites plutôt « Deubiant » ou « Débianne » au quotidien ?
Arch Linux
C'était hyper passionnant. Et j'ai bien rigolé sur la vanne cancel
Question candide : est-il possible d'appliquer la même technique de backdoor sur d'autres fonctions de Linux ?
Question subsidiaire : est-ce que ça ne vaudrait pas la peine de chercher si la même technique a été utilisée ailleurs ?
La backdoor était dans le jeu de test de cette librairie.
Techniquement c'est possible dans n'importe quel projet, et pas que sous linux. Partout où tu a un script de test pour vérifier si ta compilation est correcte.
@@lenashou C'est juste flippant 😱
La vidéo me fait demander et sur windows possible ?
Et aussi savoir les force entre windows appel et linux a tu un avis ?
Merci pour cette superbe vidéo
1. Oui
2. Windows: polyvalence. MacOS: Facile et sécurité. Linux: Stabilité et sécurité.
PS: Techniquement MacOS est une distribution Linux.
@@DivisionOfTheLightMacOS vient plutôt d'Unix non?
@@lorsal Oui tu as raison mais je vulgarisait pour rester simple.
excellente vidéo, le story telling est parfait 😁👍
Je suppose que aucun fichier de test ne peut et ne doit se retrouver sur une version finale. Ptite question, n'y a t'il pas justement des règles sur les projets open pour empêcher d'intégrer ces fichiers test lors du build version prod?
J'avais lu quelques papiers lors de la découverte de la faille, j'ai toujours du mal à croire au scénario de la découverte, mais si tel est bien le cas un grand merci à celui qui a trouvé ça. Nous avons eu beaucoup de chance.
Excellent comme dhab
Merci
Je connaissais l'histoire alors que je suis pas un nerd... c'est agréable à écouter donc je réécoute merci
Bonjour Monsieur, je suis un fidèle auditeur de votre belle chaîne UA-cam même si je ne commente jamais vos réalisations, cette fois je me vois contraint d'intervenir pour vous dire que cette vidéo c'est du putin de bord'elle de dieu de bonne vidéo, feuque !
Merci pour la video, j'avais suivi rapidement l'histoire mais je n'étais pas rentré dans le detail, c'est bien raconté. J'ajouterai juste une chose, quand ta machine est sur internet, normalement, tu n'expose pas le port 22 au monde entier. Au minimum tu as un iptables ou équivalent avec une whitelist d'ip. L'attaque ne m'avait pas semblé si grave pour cette raison.
Sacrée histoire. Merci pour le partage.
Note: xz a été popularisé par l'outil du même nom installé sur tous les OS modernes et pas par 7zip qu'il faut aller chercher et qu'on trouve rarement. xz, tout comme gzip, est utilisé nativement par tar par exemple lorsqu'on veut extraire une archive, et c'est pour cela qu'on voit plein de tar.bz2 (et parfois même les tar.gz) délaissés au profit du seul tar.xz.
L'apparence d'un code obfusqué(crypté) est très particulier, ce détail aurait dû alerter car sur le principe, un code partagé doit être normé, clair et commenté, donc précisément le contraire d'un cryptage
je commente rarement, cette vidéo c'est une masterclass on en redemande !!
Vidéo vraiment quali c'est très très agreable à écouter
Incroyable vidéo !!!
Est ce qu'on est sure qu'il n'y a plus de backdoor? et si on va par la rien n'est vraiment sure sur linux (comme pour le reste)
ouf, à la fin, c'est juste debian testing qui a été touchée, et peut être des rolling release... moi j'ai pas de rolling release et puis j'ouvre ssh que quand je pars en vacances... Sympa comment tu raconte, je m'abonne...
VIdéos très intéressante 👍👍 Mais il est 5h30 de mon côté 😅
Haha mais t’es réveillé quand même ;)
Ce ne sont pas des librairies, ce sont des bibliothèques.
"Library" en anglais veux dire Bibliothèques, pas Librairies^^
C'est une erreur de traduction que je vois de plus en plus, c'est dommage.
Si vous voulez plus de détails techniques trackoverflow en mie en ligne la back door du logiciel sur son site est le faille et attack c'est du génie.
Bonjour,
J'espère que tu as un peu de temps pour répondre à ma préoccupation.
J'ai récemment installé Docker sur AlmaLinux 9, mais je rencontre un problème avec les conteneurs MySQL 5.7. Lorsque je les exécute, j'obtiens une erreur de permission : Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (111).
Curieusement, en lançant un conteneur avec la dernière version de MySQL en utilisant exactement les mêmes configurations (volumes, variables d'environnement, fuseau horaire, etc.), tout fonctionne normalement.
Aurais-tu une idée de ce qui pourrait causer ce problème ?
Merci d'avance pour ton aide.
PS: j'ai aussi le même problème sur Centos 9 stream Mais pas sur Centos 7
Par pure chance ? Je ne suis pas d'accord ! J'aurais plutôt dit : par pur nerdisme ^^
Super vidéo ! 👏
Passionnant, c'est digne d'un film.
Je ne suis qu'un amateur plus ou moins éclairé mais est-ce que cette affaire est liée à la faille regresshion dont on a bcp parlé début juillet?
c'etait plus vers avril il me semble
Incroyable ! J'avais jamais entendu parlé de cette histoire !
🤝
Ta conclusion est trés juste.
la quête du pouvoir...
moi je penserais que les oublies time zone sont aussi un leurre.
😊
pouvoir... argent... sexe... → équation...
merci au mec à la vieille bécane❤
Histoire incroyablement bien racontée ...
Je suis d'accord que ça montre la force de l'open source, car finalement des années de travail d'agences gouvernementales sont réduites en miette par un barbu qui fait ses tests de base de données dans son garage.
Avec une nuance, une leçon je trouve : l'auditabilité c'est bien, mais l'auditabilité n'est pas l'audit. Ce n'est pas parce qu'on peut regarder le code que quelqu'un le regarde.
Et ça c'est plus un message pour les Red Hat ou Canonical qui vendent du "support" sur de l'open source. C'est aussi leur boulot.
Bref, il nous faudra toujours des barbus ultra-experts et bien intentionnés pour faire de la review poussée bas niveau, et pas juste des Jean-Michel "j'aime l'open source" (comme moi, j'avoue) qui se contentent d'utiliser le tout voire jettent un micro coup d'oeil quand c'est du python ou du bash...
Super vidéo ! ^^
10:15 pourquoi les sous titres disent bague d’or au lieu de back door ???
Sous titres automatiques, qui part du principe que c'est 100% de mots en Français.
J’utilise whisper pour faire les sous titre et je corrige manuellement après mais ça m’a échappé. Les sous titre auto de base sont bcp moins bon surtout pour les termes technique ou anglais oui .
Faut encore que le port SSH soit exposé sur Internet pour être à risque non ?
Oui
Hello Thomas, merci pour cette vidéo. Retour
À plusieurs reprises on voit ton écran avec VS code. Quel est le thème que tu utilises s’il te plaît merci
plusieurs e nfonction de la scene, c'est des themes par defaut a part peut etre le tres sombre qui est hyper yellow je crois
Du coup cela soulève une autre question,tous les systèmes qui ne sont pas open source,et utilisé par la plupart des gens , comment leur faire confiance et savoir si ça ne contient pas potentiellement des backdoors
exactement ;)
C'est un véritable artiste le mec qui a pensé ce plan
Super story telling 😊 merci
Il semble assez clair qu'il s'agit d'une opération d'état chinoise ou nord coréenne.
Seuls les états lancent ce type d'opérations sur des années
Super video , j ai tous compris , merci !!!
enfin "tous" ...disons que j ai compris le truc :)
la petite vidéo devant le café 💪, la durée de la vidéo sera la durée maximum pour le petit déj sinon c'est la galère
Please, tes supers reportages n'ont pas besoin de ce fond musical qui enerve.
Combien de backdoors inconnus sont installés et toujours pas découverts??? 🤔
Est-ce qu'il y a eu un POC de la backdoor ?
Superbe vidéo !
Je connaissais l'histoire, mais tu l'a raconte trop bien ❤ Mais ce n'est ni les chinois ni les russes. L'a cible c'est ASTRA LINUX !
Super video de storytelling !!!!
Thanks 🙏🏼
Cette video c'est un pur cafe de developpeur