Le développeur PostGres qui passe sa nuit à chercher à comprendre les détails du fonctionnement de SSH alors qu'il lui suffisait d'arrêter le processus pour finir son travail, c'est un de ces nombreux obsessionnels qui améliorent le monde sans qu'on en entende jamais parler
Je vous suis depuis plusieurs années, vos vidéos sont toujours passionnantes. Ce sont des sujets techniques complexes que vous expliquez parfaitement. Merci et bravo à vous.
Et aussi je pense que la chance à eu un rôle mineur dans l'histoire, le dev postgresql a l'air d'être un senior très expérimenté, c'est son intuition (expérience) qui a permis de trouver cette faille. Big up au dev qui a permis de sécuriser nos serveurs et postes clients. J'espère qu'il a touché une prime.
Je vous confirme que c'est un senior expérimenté, et en effet, la chance n'a strictement rien à voir avec la découverte de cette faille. C'est le principe du Logiciel Libre qui a permis de trouver ce troyen avant qu'il n'atteigne les branches stables..
Ce qui a permis de découvrir ce trojan deja ces pas un trojan mais une backdoor une backdoor sert a pouvoir revenir ce connecter même en ayant pu d'accès de connexion sur nimporte quel server ssh sans que personne y puisse voir tes log.. par exemple pour le cas la..un trojan sert a prendre possesion dune machine a distance et autre du genre copie frappe de clavier etc ca na rien a voir deja.. bref revenons ce qui a permis de decouvrir cette backdoor ces le fait que des bots essaie de ce connecter via ssh sur la machine ce qui a fait qu'il ya eu des différence de perf sur le cpu que le server ssh utilise alors qu'il devait pas yen avoir vu que les connexion au server était refuser..apres tu peu faire de ta backdoor un trojan mais une backdoor a part entiere nest pas un trojan je tient a le preciser quand meme et la pour le coup ya rien qui te fait dire que ces un trojan ^^' quand ont connais rien à l'informatique ont fait pas le type qui connais ^^' bref..
@@0okazeet pareil parle pas de fail ce n'est pas une fail une faille ces utiliser un code erroner qui a etait creer par quelqu'un dautre pour le modifier à son insu dans le cas présent c'est le co-modérateur du programme qui a lui même installer cette backdoor donc rien à voir à une fail..bref fait pas le connaisseur la prochaine fois car tu raconte n'importe quoi..
@@0okazeLa seul chose que ta raison ces queffectivement le gars était expérimenter mais fait pas le gars qui connais son prestige car tu y connais rien toi même en faite ..
@@0okazeEt le principe du logiciel libre mais personne avait capter qu'il yavais une backdoor dans le programme donc encore une fois tu raconte vraiment n'importe quoi.. le gars aurait pas fait un test benchmark sa n'aurait jamais etait decouvert donc ton principe du logiciel libre hein ^^' et ça avait était mis en beta sans que personne sans rendent compte donc logiciel libre..oui oui ^^'
On ne dit pas Deubian ! Debian est la compression de 2 prénoms Debby et Ian. La prononciation officielle de Debian est « déb-yann ». Le nom tire son origine des prénoms du créateur de Debian, Ian Murdock, et de son épouse, Debra. 👍
Y'a deux ans pour un salon du cyber "toutes les grosses enseignes étaient là", je posais la même question "Quelle est votre politique et votre approche du social ingeniering ?" Parfois mes interlocuteurs ne comprenaient pas, parfois on me regardait comme si tout ce qui n'est pas du code pur ne peut pas être un problème. C'est bien la preuve que l'ego, l'ignorance et la vanité est justement la plus grande des failles. YZ est l'exemple type d'une ingénierie de talent. Un agent "Green Flag" qui contribue legit, Un "Red Flag" qui va accentuer la pression et les papillons "la communauté souvent un noyau de 10 pour la psyops sur la target. Ce qui est fout est que certainement que ce pattern avec un peu de formation peut rapidement être écarté mais la nature humaine se croit toujours au dessus d'un "complot" Merci pour ta vidéo et vive l'openSource
Ce que vous avez écrit est incompréhensible, ça ne veut rien dire pour être plus précis. Et en français on parle d'ingénierie sociale. Peut-être est-ce un langage codé dans la communauté de ce UA-camr, pour parler de l'auteur du troyen et de son groupe.
Merci pour la vidéo. C'est de loin mon histoire pref du monde de l'informatique ! Sympa la nouvelle DA. Parcontre, j'ai l'impression qu'il y a quelques fluctuations au niveau du gain du micro par moment.
Superbe vidéo ! Je ne commente habituellement pas mais j'ai réellement ete absorbé par ta video, bravo ! De nouvelles anecdotes à raconter ça fait plaisir 😉 Je m'abonne !
Merci pour cette vidéo ! J'aime beaucoup l'évolution que tu suis ces derniers temps, à être moins dans le "waw, incroyable, ce qui va suivre va vous retourner le cerveau", avec du teasing qui dure et où on passe le temps à attendre la révélation. Ça contribue grandement à la qualité de ton travail.
J'aimerais relativiser un peu 2 points: 1. Un admin qui met en production une debian unstable/testing est TOTALEMENT incompétent. Une pratique courante est d'installer une version stable le jour de l'achat du serveur et de ne jamais faire de mise à jour de version majeur sur cette machine. C'est l'intérêt des version LTS (long time support). 2. Le boulot de quelqu'un qui fait des micro benchmarks, c'est de faire des benchmarks. Si quelque chose (processus, interruption matérielle…) peut se déclencher de façon impromptu et parasiter le test, c'est évidemment mal. Il est donc évident que ce genre de personne va détester une option qui overclock le processeur toute seule. Ce sont les point que j'ai vu directement, il y en a peut-être d'autres. Tout ça pour dire que, oui, on a eu chaud aux miches. Mais quand même un peu moins que ce que la vidéo suggère.
Je les ai regardés plusieurs fois tellement que le sujet est intéressant Grâce à la vidéo, j'ai fait un oral en cours sur le sujet qui a captivé tout le monde. Continue comme ça, c'est trop intéressant
Super vidéo, dommage, il manque la partie expliquant comment le fichier obfusqué se retrouve dans le binaire final et surtout comment ce fichier est appelé dans le programme principal.
@@cocadmin Dommage, j'avais la même remarque. Si quelqu'un a l'info !! On part toujours du principe que les fichiers de tests n’interfèrent jamais avec le fonctionnement en production.
@@cocadmin De ce que j'ai pu lire, il semble qu'il y ait une première injection de code depuis le fichier de test caché/offusqué vers le code actif lors de l'extraction de l'archive. Ce code injecté consiste en un bout de code qui "choisit" dynamiquement - au démarrage - une fonction utilitaire a appeler, ainsi que la nouvelle l’implémentation de cette fonction utilitaire. Il y a donc une deuxième "injection" utilisant des fonctionnalités du compilateur C. La fonction utilitaire est utilisé lors de chaque traitement de la clef fournie par l'utilisateur par openSSH, et le remplacement par la fonction malveillante ne se fait que dans les cas ou la faille est exploitable - toujours lors du démarrage du système. La subtilité supplémentaire, c'est que ce nouveau code qui permet de choisir puis d'appeler la fonction malveillante, ne devrait pas être actif normalement. En effet l'injection/choix de la fonction n'est possible qu'au démarrage du système, et c'est un patch récent (pour une application tierce - pas de détail sur l'origine ?), qui fait que OpenSSH charge SystemD au démarrage lui même chargeant liblzma. J'ai quand même un doute à se sujet, mais je n'ai pas trop de connaissance concernant systemD.
J'ai fait une erreur. Ce n'est pas systemD qui est chargé (lui est évidement actif au démarrage, c'est même son rôle) mais une librairie libsystemd. Je pense donc qu'il y a une erreur dans la vidéo. Car cette librairie interagit avec le gestionnaire de démarrage (systemD), ce n'est pas une partie de ce gestionnaire. C'est côté OpenSSH que cela ce passe - lui est a priori lancé au démarrage. Donc peut-être problème de sécurité côté OpenSSH ?
Merci bcp CocaAdmin pour cette vidéo excellentissime et pleine d'informations intéressantes. C'est d'ailleurs régulièrement le cas pour le contenu que tu publie :) Très bonne continuation !
Non ce n'est pas un puriste. C'est juste un expert dans son domaine de compétences, je travaille avec des gens de ce niveau autant que possible, et les meilleurs se trouvent en général dans le monde du Logiciel Libre. C'est le niveau de ceux qui sont arrivés après nous qui a régressé, alors qu'à mon époque je pensais que le niveau de ceux qui arriveraient après nous serait bien plus élevé, vu les ressources disponibles. Un expert qui effectue des bancs d'essai connaît tous les aspects d'un ordinateur et applique une méthodologie scientifique et un protocole qui élimine tous les biais, il n'y a rien d'incroyable là-dedans. Un programmeur devrait normalement connaître le fonctionnement du matériel sur lequel il travaille s'il veut créer le code le plus efficace possible, mais les programmeurs sur langages de haut niveau sont incapables de le comprendre.
@@0okazebah c'est ce que je dis...c'est un vieux de la vieille qui sait exactement ce que font chaques composants de sa bécane peu importe le language du programme injecté
J'aime beaucoup généralement le contenu que tu proposes, mais la c'est la meilleure , cette histoire est juste dingue, et comment s'est raconté et belle morale à la fin. Et vive l'open source ... c'est un peu comme les abeilles dans l'agriculture, sans la pollinisation on estime à des dizaines de milliards le cout de leur travail, même chose pour le monde du numérique, sans l'open source toutes les boites/services du numériques devrait tous coder de A à Z.. Merci et bravo pour cette vidéo🤩
Je suis d'accord avec la conclusion. Il aurait fallu au moins deux ans pour que cela soit déployé sur un serveur de production contenant des données critiques, après avoir été minutieusement analysé par tous les ingénieurs de RH, Google, Amazon, Microsoft, Canonical, Debian, etc. Quelqu'un aurait fini par trouver la faille. Donc les seuls qui prennent des risques ce sont des particuliers qui s'amusent à faire des serveurs sur des versions testing / unstable.
+1. Et même avec ça, les grosses multinationales analysent le trafic réseau et auraient remonté le truc. Le mois dernier, une faille sur l'IPV6 a été détectée sur windows : juste en envoyant une requete ipv6 forgée bizarrement, ça permettait de faire de l'exécution de code à distance. Une zero day zero click juste en ayant l'IP de la machine. Elle a été détectée en analysant le trafic réseau et remontée immédiatement à Microsoft (sévérité de 9.8/10 commêm). Même s'il faut saluer la performance de mettre une backdoor sur linux sans être détectée pendant aussi longtemps, quelqu'un aurait fini par soulever le lièvre juste en regardant le trafic réseau. Une IP cheloue qui se connecte en remote sur une machine, ça se voit vite quand on fait correctement le boulot.
@@lulalelilo +2. Perso j'accuse grandement la NSA, elle à quand même demander à Linus de mettre une backdoor dans le noyaux. Comme à bien conclus cocadmin, c'est du travail de haut niveau,sophistiqué et qui à demandé beaucoup de temps et de compétence ce qui prouve grandement l'implication d'un groupe derrière;)
@@lulalelilo si ça se voit si facilement c'est que l'auteur de cette attaque sait très bien que ça va vite se faire savoir, donc si on analyse bien on déduit que le but de cette attaque est de frapper fort là où ça fait mal et ce très rapidement du genre télécharger le max de documents confidentiels des gouvernements ennemis ...etc, et même si un patch arrive rapidement le mal est fait
C'est tout le problème dans le camp de bisounours. Ils croient toujours que les méchants s'attaquent à des coffres-forts blindés protégés par des armées. Alors que les données et les comptes en banques des particuliers et des PME qui n'ont pas les moyens et les connaissances pour se protéger sont à portée de main. On vous donne le choix entre risquer votre vie face à une armée pour tenter de voler 1 tonne d'or ou chaparder une part de tarte qui refroidit sur le bord d'une fenêtre avec la possibilité de prétendre que c'est un chien ou chat qui a fait le coup. Vous prenez quelle option ? Les hackers ne sont pas plus idiots que la moyenne. Ils tapent sur les cibles faciles en priorité. Donc évidemment que la faille sera forcément détectée un jour par des analystes de haut niveau. Mais en attendant le gars qui l'a installée il a le temps de moissonner un peu.
Imagine, tu prépare un plan quasi infaillible pendant plusieurs années pour avoir une backdoor sur toute machine Linux, et dès que tu le mets en prod, il saute en quelques jours parce qu'un obsessionnel le grille.
Wouahou même la tête dans le luc avec les premier café du matin j'étais scotché du debut à la fin ! Quel dinguerie a tout niveaux. Tous les aspects de ta vidéo sont top. Et on se dit qu'on reverrai d'avoir les compétences de ces 2 gars (jia et le gars qui a investigé). Un immense merci pour ce short de hard real IT 😅 Ça m'as fait pensé à la vidéo de MiCode concernant le gars qui avait modifié le programme de la loterie. Patience, compétences et génie. D'où as-tu trouvé toutes ces informations concernant cette affaire ? Une vidéo EN ? Un fil X ou reddit ?
J'avais lu quelques papiers lors de la découverte de la faille, j'ai toujours du mal à croire au scénario de la découverte, mais si tel est bien le cas un grand merci à celui qui a trouvé ça. Nous avons eu beaucoup de chance.
Bonjour Monsieur, je suis un fidèle auditeur de votre belle chaîne UA-cam même si je ne commente jamais vos réalisations, cette fois je me vois contraint d'intervenir pour vous dire que cette vidéo c'est du putin de bord'elle de dieu de bonne vidéo, feuque !
Merci pour la video, j'avais suivi rapidement l'histoire mais je n'étais pas rentré dans le detail, c'est bien raconté. J'ajouterai juste une chose, quand ta machine est sur internet, normalement, tu n'expose pas le port 22 au monde entier. Au minimum tu as un iptables ou équivalent avec une whitelist d'ip. L'attaque ne m'avait pas semblé si grave pour cette raison.
ouf, à la fin, c'est juste debian testing qui a été touchée, et peut être des rolling release... moi j'ai pas de rolling release et puis j'ouvre ssh que quand je pars en vacances... Sympa comment tu raconte, je m'abonne...
Hello Thomas, merci pour cette vidéo. Retour À plusieurs reprises on voit ton écran avec VS code. Quel est le thème que tu utilises s’il te plaît merci
Je suis d'accord que ça montre la force de l'open source, car finalement des années de travail d'agences gouvernementales sont réduites en miette par un barbu qui fait ses tests de base de données dans son garage. Avec une nuance, une leçon je trouve : l'auditabilité c'est bien, mais l'auditabilité n'est pas l'audit. Ce n'est pas parce qu'on peut regarder le code que quelqu'un le regarde. Et ça c'est plus un message pour les Red Hat ou Canonical qui vendent du "support" sur de l'open source. C'est aussi leur boulot. Bref, il nous faudra toujours des barbus ultra-experts et bien intentionnés pour faire de la review poussée bas niveau, et pas juste des Jean-Michel "j'aime l'open source" (comme moi, j'avoue) qui se contentent d'utiliser le tout voire jettent un micro coup d'oeil quand c'est du python ou du bash...
un collegue m'a affirmé que linux c'était nul car il y avait cette faille, et ça m'a fait douté, moi grand défenseur de systèmes libres. donc un grand merci pour ces infos, étrangement mon collegue ne m'a pas dit que c'était poussé en test et pas en prod, que c'était une attaque intensionelle et pas un bug, il m'a affirmé plein de choses fausses, alors qu'en fait, ce probleme aurait pu être grave mais ne l'a pas été. (un immense bravo à celui qui l'a découvert) contrairement à microsoft qui PLANTE le monde entier à cause d'un antivirus xD
belle démonstration de ce que je disais plus haut, sur toute l'importance d'être précis dans l'information pour les utilisateurs lambda, dans la mesure où la pérénité de l'opensource est ultra dépendante de la confiance et donc de la bonne compréhension systémique.
Intéressante vidéo, mais le titre est complètement incorrect. Linux n'était pas affecté, mais une bibliothèque spécifique sur certaines distributions (sur laquelle linkait certains programmes). C'est comme si on disait "La plus grosse faille de sécurité sur Windows" parce qu'on a trouvé une backdoor dans Fortinte. L'implémentation XZ du kernel n'était, à ma connaissance, pas affectée.
🤝 Ta conclusion est trés juste. la quête du pouvoir... moi je penserais que les oublies time zone sont aussi un leurre. 😊 pouvoir... argent... sexe... → équation... merci au mec à la vieille bécane❤
j'aurais jamais imaginé qu'un programme open source puisse avoir une backdoor c'est un truc de dingue 🤯🤯 et le pire c'est la façon avec laquelle la backdoor est rebobinée 🤯, on a surement affaire à une agence gouv car c'est forcément une intelligence collective mal saine et bien structurée qui a concocté tout ça ce XZ est la 2ème faille de sécu qui m'a le plus choqué après la faille de VLC
Note: xz a été popularisé par l'outil du même nom installé sur tous les OS modernes et pas par 7zip qu'il faut aller chercher et qu'on trouve rarement. xz, tout comme gzip, est utilisé nativement par tar par exemple lorsqu'on veut extraire une archive, et c'est pour cela qu'on voit plein de tar.bz2 (et parfois même les tar.gz) délaissés au profit du seul tar.xz.
@@lenashou On est d'accord qu'il est humainement impossible de connaître chaque ligne d'une codebase, mais au bout d'un moment, quand on propose du code aussi critique, c'est quand même fou qu'on laisse une personne faire ce qu'elle veut sans garde-fou. Ayant travaillé sur des projets ultra-sensibles (dont je n'ai pas le droit de mentionner l'existence pour les 10 000 prochaines années), notre travail était vérifié au moins trois fois, même pour une simple interface graphique...
@@losing_interest_in_everything ce n'était pas justement dans une section critique. C'était dans le script de test de l'exécutable, a la fin d'une compilation. Script qui est généralement exécuté lors d'une intégration dans une distribution, mais pas systématiquement quand tu compile le programme
@@losing_interest_in_everything et il ne faut pas oublier que l'auteur de l'outil est tout seul ! Qu'on est sur un job de bénévole. On ne peux pas lui demander de vérifier aussi bien les lignes de code qu'une équipe de développeurs payé pour leur boulot. Ça met en lumière un problème classique, démontré par un dessin xkcd. Des structures entières reposent parfois sur un mec bénévole, qui fait un job tout seul, que personne n'aide et ne finance
Passionnant, c'est digne d'un film. Je ne suis qu'un amateur plus ou moins éclairé mais est-ce que cette affaire est liée à la faille regresshion dont on a bcp parlé début juillet?
Wow... C'est Mister Robot le bordel ! 😅 Gros hack de malade par une agence d'espionnage sur... Linux 😱 En tout cas 1. Top de diffuser à 6h du matin (même si c'est un fail 😉) 2. Super bien vulgarisé comme d'habitude (on en parle des tests de non régression résumés en "on vérifie que ça ne pète pas à droite à gauche 😅" ?) 3. Génial de voir l'autre face du monde de l'open source et ce travail incroyable de la communauté, des mainteneurs, etc. 4. Vraiment top tes fonds verts 👍 5. Bisous belle journée tout le monde 😘
Le développeur PostGres qui passe sa nuit à chercher à comprendre les détails du fonctionnement de SSH alors qu'il lui suffisait d'arrêter le processus pour finir son travail, c'est un de ces nombreux obsessionnels qui améliorent le monde sans qu'on en entende jamais parler
Il était sur un serveur, donc si il arrêtait SSH, il n'avait plus accès à la machine non plus...
c'est un monstre, le gars à pris le temps de refaire les tests avec l'ancienne version pour comparer ! c'est un ouf ou un génie ou les deux XD
Je vous suis depuis plusieurs années, vos vidéos sont toujours passionnantes. Ce sont des sujets techniques complexes que vous expliquez parfaitement. Merci et bravo à vous.
J'adore ta narration et ta structure de l'histoire, vraiment cool, tout en restant subtilement technique
Tu me fais kiffer 😄 je sors d'une nuit de taf (informatique bien sur) et je me tape ton super contenu ! Merci
6h du matin, première vidéo du jour 👌👌
jme suis chier jvoulais mettre 6pm haha
Pareil mdr ! Merci ca fait quelques années que je te suis et la qualité des vidéos est en progression permenante ! Merci pour ton travail !
merci 🙏🏽 J'essaye de toujours ameliorer un peu :)
Et aussi je pense que la chance à eu un rôle mineur dans l'histoire, le dev postgresql a l'air d'être un senior très expérimenté, c'est son intuition (expérience) qui a permis de trouver cette faille. Big up au dev qui a permis de sécuriser nos serveurs et postes clients. J'espère qu'il a touché une prime.
Je vous confirme que c'est un senior expérimenté, et en effet, la chance n'a strictement rien à voir avec la découverte de cette faille. C'est le principe du Logiciel Libre qui a permis de trouver ce troyen avant qu'il n'atteigne les branches stables..
Ce qui a permis de découvrir ce trojan deja ces pas un trojan mais une backdoor une backdoor sert a pouvoir revenir ce connecter même en ayant pu d'accès de connexion sur nimporte quel server ssh sans que personne y puisse voir tes log.. par exemple pour le cas la..un trojan sert a prendre possesion dune machine a distance et autre du genre copie frappe de clavier etc ca na rien a voir deja.. bref revenons ce qui a permis de decouvrir cette backdoor ces le fait que des bots essaie de ce connecter via ssh sur la machine ce qui a fait qu'il ya eu des différence de perf sur le cpu que le server ssh utilise alors qu'il devait pas yen avoir vu que les connexion au server était refuser..apres tu peu faire de ta backdoor un trojan mais une backdoor a part entiere nest pas un trojan je tient a le preciser quand meme et la pour le coup ya rien qui te fait dire que ces un trojan ^^' quand ont connais rien à l'informatique ont fait pas le type qui connais ^^' bref..
@@0okazeet pareil parle pas de fail ce n'est pas une fail une faille ces utiliser un code erroner qui a etait creer par quelqu'un dautre pour le modifier à son insu dans le cas présent c'est le co-modérateur du programme qui a lui même installer cette backdoor donc rien à voir à une fail..bref fait pas le connaisseur la prochaine fois car tu raconte n'importe quoi..
@@0okazeLa seul chose que ta raison ces queffectivement le gars était expérimenter mais fait pas le gars qui connais son prestige car tu y connais rien toi même en faite ..
@@0okazeEt le principe du logiciel libre mais personne avait capter qu'il yavais une backdoor dans le programme donc encore une fois tu raconte vraiment n'importe quoi.. le gars aurait pas fait un test benchmark sa n'aurait jamais etait decouvert donc ton principe du logiciel libre hein ^^' et ça avait était mis en beta sans que personne sans rendent compte donc logiciel libre..oui oui ^^'
On ne dit pas Deubian ! Debian est la compression de 2 prénoms Debby et Ian. La prononciation officielle de Debian est « déb-yann ». Le nom tire son origine des prénoms du créateur de Debian, Ian Murdock, et de son épouse, Debra. 👍
Merci pour ton intervention, des infos supplémentaires pour une prononciation..
Murdock, c'est pas le super méchant de Mac Gyver ?
@@ekhaion3296😂😂😂 Exactement
accent franssé !
@@ekhaion3296 Non c'est un inspecteur de maréchaussée de Toronto 🤣.
Y'a deux ans pour un salon du cyber "toutes les grosses enseignes étaient là", je posais la même question "Quelle est votre politique et votre approche du social ingeniering ?" Parfois mes interlocuteurs ne comprenaient pas, parfois on me regardait comme si tout ce qui n'est pas du code pur ne peut pas être un problème. C'est bien la preuve que l'ego, l'ignorance et la vanité est justement la plus grande des failles. YZ est l'exemple type d'une ingénierie de talent. Un agent "Green Flag" qui contribue legit, Un "Red Flag" qui va accentuer la pression et les papillons "la communauté souvent un noyau de 10 pour la psyops sur la target. Ce qui est fout est que certainement que ce pattern avec un peu de formation peut rapidement être écarté mais la nature humaine se croit toujours au dessus d'un "complot" Merci pour ta vidéo et vive l'openSource
Ce que vous avez écrit est incompréhensible, ça ne veut rien dire pour être plus précis. Et en français on parle d'ingénierie sociale.
Peut-être est-ce un langage codé dans la communauté de ce UA-camr, pour parler de l'auteur du troyen et de son groupe.
Merci pour la vidéo. C'est de loin mon histoire pref du monde de l'informatique ! Sympa la nouvelle DA. Parcontre, j'ai l'impression qu'il y a quelques fluctuations au niveau du gain du micro par moment.
"De toute façon les chinoiiiiiss...." (chicandier) 😂😂😂
Superbe vidéo ! Je ne commente habituellement pas mais j'ai réellement ete absorbé par ta video, bravo !
De nouvelles anecdotes à raconter ça fait plaisir 😉
Je m'abonne !
Merci pour cette vidéo ! J'aime beaucoup l'évolution que tu suis ces derniers temps, à être moins dans le "waw, incroyable, ce qui va suivre va vous retourner le cerveau", avec du teasing qui dure et où on passe le temps à attendre la révélation.
Ça contribue grandement à la qualité de ton travail.
J'aimerais relativiser un peu 2 points:
1. Un admin qui met en production une debian unstable/testing est TOTALEMENT incompétent.
Une pratique courante est d'installer une version stable le jour de l'achat du serveur et de ne jamais faire de mise à jour de version majeur sur cette machine. C'est l'intérêt des version LTS (long time support).
2. Le boulot de quelqu'un qui fait des micro benchmarks, c'est de faire des benchmarks. Si quelque chose (processus, interruption matérielle…) peut se déclencher de façon impromptu et parasiter le test, c'est évidemment mal. Il est donc évident que ce genre de personne va détester une option qui overclock le processeur toute seule.
Ce sont les point que j'ai vu directement, il y en a peut-être d'autres.
Tout ça pour dire que, oui, on a eu chaud aux miches. Mais quand même un peu moins que ce que la vidéo suggère.
tout à fait d'accord.
Unstable qui deviendra LTS...
Unstable qui deviendra LTS...
Une histoire incroyable, qui m'a fascinée, excellemment bien racontée !
GG, très bonnes recherches. :)
Je les ai regardés plusieurs fois tellement que le sujet est intéressant
Grâce à la vidéo, j'ai fait un oral en cours sur le sujet qui a captivé tout le monde. Continue comme ça, c'est trop intéressant
C'est si bien raconté que je vais aller éplucher le reste de ta chaîne, beau travail merci c'était palpitant !
Passionnant, & excellemment raconté !
Big up pour le fond vert associé à l'éclairage parfaitement in tune 😉
Super vidéo, dommage, il manque la partie expliquant comment le fichier obfusqué se retrouve dans le binaire final et surtout comment ce fichier est appelé dans le programme principal.
yep mais cette partie est bien trop compliqué pour moi et 99% des gens je pense malheureusement 😅
@@cocadmin Dommage, j'avais la même remarque. Si quelqu'un a l'info !! On part toujours du principe que les fichiers de tests n’interfèrent jamais avec le fonctionnement en production.
@@cocadmin De ce que j'ai pu lire, il semble qu'il y ait une première injection de code depuis le fichier de test caché/offusqué vers le code actif lors de l'extraction de l'archive. Ce code injecté consiste en un bout de code qui "choisit" dynamiquement - au démarrage - une fonction utilitaire a appeler, ainsi que la nouvelle l’implémentation de cette fonction utilitaire. Il y a donc une deuxième "injection" utilisant des fonctionnalités du compilateur C. La fonction utilitaire est utilisé lors de chaque traitement de la clef fournie par l'utilisateur par openSSH, et le remplacement par la fonction malveillante ne se fait que dans les cas ou la faille est exploitable - toujours lors du démarrage du système.
La subtilité supplémentaire, c'est que ce nouveau code qui permet de choisir puis d'appeler la fonction malveillante, ne devrait pas être actif normalement. En effet l'injection/choix de la fonction n'est possible qu'au démarrage du système, et c'est un patch récent (pour une application tierce - pas de détail sur l'origine ?), qui fait que OpenSSH charge SystemD au démarrage lui même chargeant liblzma. J'ai quand même un doute à se sujet, mais je n'ai pas trop de connaissance concernant systemD.
J'ai fait une erreur. Ce n'est pas systemD qui est chargé (lui est évidement actif au démarrage, c'est même son rôle) mais une librairie libsystemd. Je pense donc qu'il y a une erreur dans la vidéo. Car cette librairie interagit avec le gestionnaire de démarrage (systemD), ce n'est pas une partie de ce gestionnaire. C'est côté OpenSSH que cela ce passe - lui est a priori lancé au démarrage. Donc peut-être problème de sécurité côté OpenSSH ?
Je kiffe trop le background 😍
À part super bien la vidéo et le story telling
Merci bcp CocaAdmin pour cette vidéo excellentissime et pleine d'informations intéressantes. C'est d'ailleurs régulièrement le cas pour le contenu que tu publie :) Très bonne continuation !
abusé le boulot de recherche.... violent le Jamy du hack ! Bravo 👏👏👏
Le mec qui a eu la puce à l'oreille est un puriste..attacher autant de soin au diagnostic de la machine, c'est couvrir pas mal de champs d'expertise
Non ce n'est pas un puriste. C'est juste un expert dans son domaine de compétences, je travaille avec des gens de ce niveau autant que possible, et les meilleurs se trouvent en général dans le monde du Logiciel Libre. C'est le niveau de ceux qui sont arrivés après nous qui a régressé, alors qu'à mon époque je pensais que le niveau de ceux qui arriveraient après nous serait bien plus élevé, vu les ressources disponibles.
Un expert qui effectue des bancs d'essai connaît tous les aspects d'un ordinateur et applique une méthodologie scientifique et un protocole qui élimine tous les biais, il n'y a rien d'incroyable là-dedans. Un programmeur devrait normalement connaître le fonctionnement du matériel sur lequel il travaille s'il veut créer le code le plus efficace possible, mais les programmeurs sur langages de haut niveau sont incapables de le comprendre.
@@0okazebah c'est ce que je dis...c'est un vieux de la vieille qui sait exactement ce que font chaques composants de sa bécane peu importe le language du programme injecté
Ok boomer @@0okaze
@@iwtkms2629 sur un autre com il fait l'informaticien mais il raconte que de la daube 😭😭😭
Merci pour cette vidéo Cocadmin ! Fascinante histoire.
Même si j'avais déjà vu d'autres vidéos à ce sujet, ton story telling est vraiment le meilleur.
Le truc amusant, c'est que cette faille, c'est retrouvée dans Kali Linux.
Avant de partir rn cours je vois une video du goat, je suis obligé d'attendre avant de vour ce vidéogramme passionnant, continu comme ça !
J'aime beaucoup généralement le contenu que tu proposes, mais la c'est la meilleure , cette histoire est juste dingue, et comment s'est raconté et belle morale à la fin. Et vive l'open source ... c'est un peu comme les abeilles dans l'agriculture, sans la pollinisation on estime à des dizaines de milliards le cout de leur travail, même chose pour le monde du numérique, sans l'open source toutes les boites/services du numériques devrait tous coder de A à Z..
Merci et bravo pour cette vidéo🤩
Je suis d'accord avec la conclusion. Il aurait fallu au moins deux ans pour que cela soit déployé sur un serveur de production contenant des données critiques, après avoir été minutieusement analysé par tous les ingénieurs de RH, Google, Amazon, Microsoft, Canonical, Debian, etc. Quelqu'un aurait fini par trouver la faille. Donc les seuls qui prennent des risques ce sont des particuliers qui s'amusent à faire des serveurs sur des versions testing / unstable.
+1. Et même avec ça, les grosses multinationales analysent le trafic réseau et auraient remonté le truc. Le mois dernier, une faille sur l'IPV6 a été détectée sur windows : juste en envoyant une requete ipv6 forgée bizarrement, ça permettait de faire de l'exécution de code à distance. Une zero day zero click juste en ayant l'IP de la machine. Elle a été détectée en analysant le trafic réseau et remontée immédiatement à Microsoft (sévérité de 9.8/10 commêm). Même s'il faut saluer la performance de mettre une backdoor sur linux sans être détectée pendant aussi longtemps, quelqu'un aurait fini par soulever le lièvre juste en regardant le trafic réseau. Une IP cheloue qui se connecte en remote sur une machine, ça se voit vite quand on fait correctement le boulot.
@@lulalelilo +2. Perso j'accuse grandement la NSA, elle à quand même demander à Linus de mettre une backdoor dans le noyaux. Comme à bien conclus cocadmin, c'est du travail de haut niveau,sophistiqué et qui à demandé beaucoup de temps et de compétence ce qui prouve grandement l'implication d'un groupe derrière;)
@@lulalelilo si ça se voit si facilement c'est que l'auteur de cette attaque sait très bien que ça va vite se faire savoir, donc si on analyse bien on déduit que le but de cette attaque est de frapper fort là où ça fait mal et ce très rapidement du genre télécharger le max de documents confidentiels des gouvernements ennemis ...etc, et même si un patch arrive rapidement le mal est fait
C'est tout le problème dans le camp de bisounours. Ils croient toujours que les méchants s'attaquent à des coffres-forts blindés protégés par des armées. Alors que les données et les comptes en banques des particuliers et des PME qui n'ont pas les moyens et les connaissances pour se protéger sont à portée de main.
On vous donne le choix entre risquer votre vie face à une armée pour tenter de voler 1 tonne d'or ou chaparder une part de tarte qui refroidit sur le bord d'une fenêtre avec la possibilité de prétendre que c'est un chien ou chat qui a fait le coup. Vous prenez quelle option ?
Les hackers ne sont pas plus idiots que la moyenne. Ils tapent sur les cibles faciles en priorité.
Donc évidemment que la faille sera forcément détectée un jour par des analystes de haut niveau. Mais en attendant le gars qui l'a installée il a le temps de moissonner un peu.
Super vidéo, merci à toi pour cette explication claire !
Ps : pas "malicieux" mais "malveillant"...! Un peu comme crypter et chiffrer.
Vous savez captiver l'attention, c'est hyper passionnant et bien narré, un grand merci.
Histoire passionnate et super bien raconter, merci a toi.
Toujours dingue tes vidéos. hyper bien vulgarisées !!
Enorme !! Excellente video, tu racontes super bien ;)
Imagine, tu prépare un plan quasi infaillible pendant plusieurs années pour avoir une backdoor sur toute machine Linux, et dès que tu le mets en prod, il saute en quelques jours parce qu'un obsessionnel le grille.
Sympa cette vidéo, j'aime bien le format.
Toujours des vidéos superbe, t'es trop fort 🔥❤
Wouahou même la tête dans le luc avec les premier café du matin j'étais scotché du debut à la fin !
Quel dinguerie a tout niveaux. Tous les aspects de ta vidéo sont top. Et on se dit qu'on reverrai d'avoir les compétences de ces 2 gars (jia et le gars qui a investigé). Un immense merci pour ce short de hard real IT 😅
Ça m'as fait pensé à la vidéo de MiCode concernant le gars qui avait modifié le programme de la loterie. Patience, compétences et génie.
D'où as-tu trouvé toutes ces informations concernant cette affaire ? Une vidéo EN ? Un fil X ou reddit ?
C'était expliqué dans un ordre très facile à suivre, merci!
Un vocabulaire simple et accessible, une vidéo qui aurait être un peu plus courte, mais ça va, des belles illustrations... Bien joué!
Par pure chance ? Je ne suis pas d'accord ! J'aurais plutôt dit : par pur nerdisme ^^
sur la vignette "hack tous les linux.exe".. 🤣 j'adore le troll !!! 🤣🤣🤣
Le travail de vulgarisation est incroyable, j'avais déjà et ecouté des trucs sur la vuln mais j'ai quand même tout regarder tellement c'est limpide.
Magnifique vidéo, très belle pédagogie chef!!!
Hyper intéressant… et incroyable ! Merci.
ca c'est de la clairvoyance, big up pour l'analyse de NC
Tout bonnement pa-ssio-nnant. Tout comme l'analyse de l'attaque Stuxnet. Merci de nous vulgariser ce domaine extrêmement complexe.
Salut, merci pour ce travail méticuleux de vulgarisation 🎉
C'était hyper passionnant. Et j'ai bien rigolé sur la vanne cancel
excellente vidéo, le story telling est parfait 😁👍
Vidéo vraiment quali c'est très très agreable à écouter
Merci pour cette vidéo !
Je n'attends que a regarder cette vidéo ❤❤
Histoire incroyablement bien racontée ...
J'avais lu quelques papiers lors de la découverte de la faille, j'ai toujours du mal à croire au scénario de la découverte, mais si tel est bien le cas un grand merci à celui qui a trouvé ça. Nous avons eu beaucoup de chance.
je kiff ce genre de vidéo, big up :-)
VIdéos très intéressante 👍👍 Mais il est 5h30 de mon côté 😅
Haha mais t’es réveillé quand même ;)
Bonjour Monsieur, je suis un fidèle auditeur de votre belle chaîne UA-cam même si je ne commente jamais vos réalisations, cette fois je me vois contraint d'intervenir pour vous dire que cette vidéo c'est du putin de bord'elle de dieu de bonne vidéo, feuque !
Vraiment trop interessant ! la vidéo déchire !
je commente rarement, cette vidéo c'est une masterclass on en redemande !!
Merci pour ces explications mises à jour.
Je connaissais l'histoire alors que je suis pas un nerd... c'est agréable à écouter donc je réécoute merci
la petite vidéo devant le café 💪, la durée de la vidéo sera la durée maximum pour le petit déj sinon c'est la galère
Merci pour la video, j'avais suivi rapidement l'histoire mais je n'étais pas rentré dans le detail, c'est bien raconté. J'ajouterai juste une chose, quand ta machine est sur internet, normalement, tu n'expose pas le port 22 au monde entier. Au minimum tu as un iptables ou équivalent avec une whitelist d'ip. L'attaque ne m'avait pas semblé si grave pour cette raison.
Quel est le lien de la vidéo supposée s afficher à la fin de la vidéo? Je ne vois rien
Merci pour cette vidéo! Elle est top!
je parlais de cette video ua-cam.com/video/CacYbx-VTh8/v-deo.html
@@cocadmin merci!
Sacrée histoire. Merci pour le partage.
Incroyable ! J'avais jamais entendu parlé de cette histoire !
Super vidéo ! ^^
ouf, à la fin, c'est juste debian testing qui a été touchée, et peut être des rolling release... moi j'ai pas de rolling release et puis j'ouvre ssh que quand je pars en vacances... Sympa comment tu raconte, je m'abonne...
Cette video c'est un pur cafe de developpeur
Hello Thomas, merci pour cette vidéo. Retour
À plusieurs reprises on voit ton écran avec VS code. Quel est le thème que tu utilises s’il te plaît merci
plusieurs e nfonction de la scene, c'est des themes par defaut a part peut etre le tres sombre qui est hyper yellow je crois
Incroyable vidéo !!!
Un truc caché dans un truc caché dans un truc.... Bah oui c'est des poupées russe c'est évident 😂😂
Sous-coté.
Je suis d'accord que ça montre la force de l'open source, car finalement des années de travail d'agences gouvernementales sont réduites en miette par un barbu qui fait ses tests de base de données dans son garage.
Avec une nuance, une leçon je trouve : l'auditabilité c'est bien, mais l'auditabilité n'est pas l'audit. Ce n'est pas parce qu'on peut regarder le code que quelqu'un le regarde.
Et ça c'est plus un message pour les Red Hat ou Canonical qui vendent du "support" sur de l'open source. C'est aussi leur boulot.
Bref, il nous faudra toujours des barbus ultra-experts et bien intentionnés pour faire de la review poussée bas niveau, et pas juste des Jean-Michel "j'aime l'open source" (comme moi, j'avoue) qui se contentent d'utiliser le tout voire jettent un micro coup d'oeil quand c'est du python ou du bash...
Excellent comme dhab
Merci
un collegue m'a affirmé que linux c'était nul
car il y avait cette faille,
et ça m'a fait douté, moi grand défenseur de systèmes libres.
donc un grand merci pour ces infos,
étrangement mon collegue ne m'a pas dit que c'était poussé en test
et pas en prod, que c'était une attaque intensionelle et pas un bug,
il m'a affirmé plein de choses fausses, alors qu'en fait, ce probleme aurait pu être grave mais ne l'a pas été.
(un immense bravo à celui qui l'a découvert) contrairement à microsoft qui PLANTE le monde entier à cause d'un antivirus xD
Pour info, Microsoft n'a pas planté tout le monde a cause d'un antivirus. C'est une société annexe qui en est la cause
@@lenashou Crowdstrike il me semble ?
boooob le bricoleuuur
@@lorenzo125dbdm oui
belle démonstration de ce que je disais plus haut, sur toute l'importance d'être précis dans l'information pour les utilisateurs lambda, dans la mesure où la pérénité de l'opensource est ultra dépendante de la confiance et donc de la bonne compréhension systémique.
La vidéo parfaite pour manger en même temps
Super story telling 😊 merci
Super video , j ai tous compris , merci !!!
enfin "tous" ...disons que j ai compris le truc :)
Super vidéo ! 👏
Intéressante vidéo, mais le titre est complètement incorrect. Linux n'était pas affecté, mais une bibliothèque spécifique sur certaines distributions (sur laquelle linkait certains programmes). C'est comme si on disait "La plus grosse faille de sécurité sur Windows" parce qu'on a trouvé une backdoor dans Fortinte. L'implémentation XZ du kernel n'était, à ma connaissance, pas affectée.
Après là tu compares Fortnite à une lib utilisée par SSH, c'est un peu gros. Indirectement, ça reste une énorme faille
Le titre n'est pas incorrect ça revient au même, les failles viennent souvent des applications, on peut le comparer à la faille de VLC .
vla le kass kouilles, en + tu fais toi même une erreur en comparant a Windows car Linux n'est pas un OS mais just un noyo...
@@Jackson-Seanelle n'était pas candidate au kernel cette version ?
openssh est utilisé par 99% des serveurs linux, pas sur de la comparaison avec fortnite
🤝
Ta conclusion est trés juste.
la quête du pouvoir...
moi je penserais que les oublies time zone sont aussi un leurre.
😊
pouvoir... argent... sexe... → équation...
merci au mec à la vieille bécane❤
Superbe vidéo !
j'aurais jamais imaginé qu'un programme open source puisse avoir une backdoor c'est un truc de dingue 🤯🤯
et le pire c'est la façon avec laquelle la backdoor est rebobinée 🤯, on a surement affaire à une agence gouv car c'est forcément une intelligence collective mal saine et bien structurée qui a concocté tout ça
ce XZ est la 2ème faille de sécu qui m'a le plus choqué après la faille de VLC
Je connaissais l'histoire, mais tu l'a raconte trop bien ❤ Mais ce n'est ni les chinois ni les russes. L'a cible c'est ASTRA LINUX !
Super video de storytelling !!!!
Thanks 🙏🏼
Vous dites plutôt « Deubiant » ou « Débianne » au quotidien ?
Arch Linux
Note: xz a été popularisé par l'outil du même nom installé sur tous les OS modernes et pas par 7zip qu'il faut aller chercher et qu'on trouve rarement. xz, tout comme gzip, est utilisé nativement par tar par exemple lorsqu'on veut extraire une archive, et c'est pour cela qu'on voit plein de tar.bz2 (et parfois même les tar.gz) délaissés au profit du seul tar.xz.
C'est une dinguerie de sortir ta vidéo à 6h heure française
hello vidéo très très intéressante ! (comme d'hab)
Super interessant
🙏🏼 Merci chef!
Excellente ta vidéo résumée sur xz
Merci! 🙏🏼
Le storytelling 👏🏻👏🏻
Il y a probablement d'autres types d'attaques jamais découvert à ce jour
C'est quand même terrifiant que des projets aussi importants soient intégrés partout et qu'on continue de se baser sur la confiance...
Dans tout système "parfait", la plus grande faille reste l'être humain.
Il n'est pas humainement possible de tout vérifier. Dans tout projet, il y a une part de confiance a avoir les uns envers les autres.
@@lenashou On est d'accord qu'il est humainement impossible de connaître chaque ligne d'une codebase, mais au bout d'un moment, quand on propose du code aussi critique, c'est quand même fou qu'on laisse une personne faire ce qu'elle veut sans garde-fou. Ayant travaillé sur des projets ultra-sensibles (dont je n'ai pas le droit de mentionner l'existence pour les 10 000 prochaines années), notre travail était vérifié au moins trois fois, même pour une simple interface graphique...
@@losing_interest_in_everything ce n'était pas justement dans une section critique. C'était dans le script de test de l'exécutable, a la fin d'une compilation.
Script qui est généralement exécuté lors d'une intégration dans une distribution, mais pas systématiquement quand tu compile le programme
@@losing_interest_in_everything et il ne faut pas oublier que l'auteur de l'outil est tout seul ! Qu'on est sur un job de bénévole. On ne peux pas lui demander de vérifier aussi bien les lignes de code qu'une équipe de développeurs payé pour leur boulot.
Ça met en lumière un problème classique, démontré par un dessin xkcd. Des structures entières reposent parfois sur un mec bénévole, qui fait un job tout seul, que personne n'aide et ne finance
Passionnant, c'est digne d'un film.
Je ne suis qu'un amateur plus ou moins éclairé mais est-ce que cette affaire est liée à la faille regresshion dont on a bcp parlé début juillet?
c'etait plus vers avril il me semble
Wow... C'est Mister Robot le bordel ! 😅
Gros hack de malade par une agence d'espionnage sur... Linux 😱
En tout cas
1. Top de diffuser à 6h du matin (même si c'est un fail 😉)
2. Super bien vulgarisé comme d'habitude (on en parle des tests de non régression résumés en "on vérifie que ça ne pète pas à droite à gauche 😅" ?)
3. Génial de voir l'autre face du monde de l'open source et ce travail incroyable de la communauté, des mainteneurs, etc.
4. Vraiment top tes fonds verts 👍
5. Bisous belle journée tout le monde 😘
Vidéo incroyable
Masterclass 10 sur 10👏
Si vous voulez plus de détails techniques trackoverflow en mie en ligne la back door du logiciel sur son site est le faille et attack c'est du génie.
Quelle histoire absolument incroyable 😲