Par contre il faut absolument préciser quelque chose qui na pas été dit en fin de vidéo mais ⚠️ La Russie a changé sa politique concernant les fuseaux horaires. Depuis octobre 2014, la Russie est passée à l'heure d'hiver permanente et a abandonné le changement d'heure saisonnier. Et voici la liste des pays qui utilisent UTC+2 en hiver et UTC+3 en été (avec changement d'heure saisonnier) : Pays et territoires concernés : 1. La plupart des pays de l'Union européenne de l'Est : - Bulgarie - Chypre - Estonie - Finlande - Grèce - Lettonie - Lituanie - Roumanie 2. Autres pays européens : - Moldavie - Ukraine 3. Moyen-Orient : - Israël - Palestine - Liban - Syrie - Jordanie L’état qui est probablement derrière cette attaque est Israel et voici pourquoi ils essayent a tout prix de faire croire que cela soit peu probable bien que tous les indices tendent vers cette option : Les risques diplomatiques : Israël coopère étroitement avec de nombreux alliés occidentaux dans le domaine de la cybersécurité, notamment les États-Unis et l’Europe. Une opération visant un logiciel aussi répandu aurait des conséquences diplomatiques significatives si elle était découverte.
lol faut arretere de croire que l'informatique c'est innacessible les gars. TOut le monde peu installé un linux voir comment ça marche tester coder ect... tout le monde
@@antonius254 Si on part de ton principe absolument rien n'est inaccessible dans le monde si on s'y met, je parle dans le sens ou on y connait quasi rien dans un domaine ( en l'occurrence l'informatique, le code, la cybersécurité etc.. ) et que micode arrive a nous vulgarisé tout ca de manière a ce qu'on comprennent les grandes lignes
J'avais lu votre commentaire avant de regarder la vidéo et du coup j'ai fais attention. Il me semble que les termes sont chaque fois expliqués donc, mon conseil c'est de ne pas bloquer sur les mots qu'on ne comprend pas mais plutôt de les ignorer et de rester attentif à ce qui suit immédiatement.
C'est une dinguerie la faille, elle est tellement incroyable techniquement parlant. D'ailleurs Merci Micode pour la qualité de la vidéo et de la vulgarisation
Par contre il faut absolument préciser quelque chose qui na pas été dit en fin de vidéo mais ⚠️ La Russie a changé sa politique concernant les fuseaux horaires. Depuis octobre 2014, la Russie est passée à l'heure d'hiver permanente et a abandonné le changement d'heure saisonnier. Et voici la liste des pays qui utilisent UTC+2 en hiver et UTC+3 en été (avec changement d'heure saisonnier) : Pays et territoires concernés : 1. La plupart des pays de l'Union européenne de l'Est : - Bulgarie - Chypre - Estonie - Finlande - Grèce - Lettonie - Lituanie - Roumanie 2. Autres pays européens : - Moldavie - Ukraine 3. Moyen-Orient : - Israël - Palestine - Liban - Syrie - Jordanie L’état qui est probablement derrière cette attaque est Israel et voici pourquoi ils essayent a tout prix de faire croire que cela soit peu probable bien que tous les indices tendent vers cette option : Les risques diplomatiques : Israël coopère étroitement avec de nombreux alliés occidentaux dans le domaine de la cybersécurité, notamment les États-Unis et l’Europe. Une opération visant un logiciel aussi répandu aurait des conséquences diplomatiques significatives si elle était découverte.
Euh non, d'un point de vue technique ce n'est pas vraiment sophistiqué. D'un point vue exploitation de la psychologie humaine, peut-être (j'en sais rien), mais d'un point de vue technique, certainement pas.
passé par 3 fichiers différents pour en récupérer des bouts de partout d’ont 1 corrompus qui est réparé lors du build c’est malin on va dire plus que difficile c’est très malin
J'ai suivi cette histoire dès les premières heures de la découverte, et j'ai trouvé que cette vidéo résume très bien les évènements tels que je les ai perçu. Il est important pour moi de mentionner deux choses: La première, c'est que certes la faille est apparue et est tout à fait critique, mais elle a été détectée. Étant donné que les systèmes open sources sont utilisés partout, y compris dans des systèmes critiques, et que les personnes dans ces systèmes sont très vigilants et ont accès au code source, les failles existantes ont beaucoup de chances d'être détectées à un moment donné. C'est beaucoup moins évident dans des systèmes closed-source car vérifier la cause d'un comportement suspicieux est beaucoup plus complexe. De mémoire, dans le cas de XZ, c'est un pic d'usage de CPU qui causait le problème de délais SSH, et l'investigation a pu être menée avant même que la faille soit exploitable. Et c'est tout de même important de le repréciser: la faille n'a même pas réellement pu passer la phase des early-adopters. Mais même si la faille de sécurité n'avait pas causé ce pic d'utilisation de CPU, elle aurait également pu être découverte via le monitoring des connexions SSH de certains systèmes par exemple (en espérant qu'elle n'ait pas le temps de faire trop de dégats d'ici la découverte de connexions suspicieuses). La seconde, c'est que cela montre un réel problème de l'open source, qui est que l'entièreté du monde informatique repose sur les épaules de quelques mainteneurs de projets open source qui travaillent sans être réellement reconnus, et qui permettent à certaines entreprises de générer des milliards sans débourser un centime en retour. Cette faille ne serait jamais apparue si le développeur initial ne frolait pas le burn out tout en ayant un job en plus du projet open source maintenu sur le côté. Le monde risque bientôt de se retrouver avec des centaines de projets open sources d'importance qui n'auront plus de mainteneurs actifs, et ce n'est pas nécessairement une perspective très réjouissante, même si personne n'y prête réellement attention.
Bonjour, merci pour votre commentaire :) J'suis noob dans le domaine, j'ai une question : ça se passe comment du coup dans le cas où il n'y a qu'un seul mainteneur sur un projet, et que ce mainteneur arrête soudainement de travailler (décès, maladie ou autre) ? Le projet va a l'abandon ?
@@Lasbike Je pense qu'on fait un fork du projet et on repart de là. Ou sinon, le mainteneur principal aura donné des directives si il est au courant que ça va pas pouvoir continuer de son coté. Après faut du monde de motivé dans la commu' et c'est pas forcement easy, ça doit se faire au cas par cas, avec un peu de pression de la commu' sur les contributeurs les mieux placés pour remplacer le mainteneur. Y'a aussi la possibilité qu'une fondation prenne le relais, comme la Linux Foundation ou l’Apache Software Foundation par exemple. Et sinon ben... Il reste sans mainteneur et meure à petit feu. J'suis dev "semi pro" (formation mais peu d’expérience pro' ) mais je n'ai jamais bossé sur de l'open source de manière soutenue cela dit, je peut donc me planter.
@@Lasbike On est tous des noobs quelque part, c'est bien d'être curieux :) Étant donné que c'est open source, dans le pire des cas, le code peut être "copié" et tenu à jour par une personne volontaire. Donc il n'est jamais perdu, peu importe ce qui peut arriver au mainteneur. Si le mainteneur arrêtait de maintenir, on peut imaginer plein de cas différents. Dans le cas "effort minimum", le projet stoppe son évolution en dehors de certaines mises à jour de sécurité. Car même si personne ne le maintien, il y a très régulièrement des vulnérabilités plus ou moins importantes qui sont découvertes par des experts de sécurité (ou juste des ados un peu curieux :p). Des patchs basiques sont donc nécessaires pour éviter que les failles ne soient exploitées, et certaines grosses entreprises/organisations publiques ne tolèrent pas des failles connues dans leur système. On peut également imaginer qu'une ou plusieurs personnes acceptent de sérieusement s'investir dans la maintenance, avec pour but de continuer à faire évoluer le projet. Ça peut être bénévolement, ou parce qu'une grosse entreprise a déterminé que le maintien de ce projet était stratégiquement crucial pour eux, et qu'elle peut se permettre de financer cette maintenance en payant le salaire d'une ou plusieurs personnes pour le faire (mais je ne crois pas vraiment au second cas, car les entreprises soutiennent principalement les projets open sources qui ont une certaine notoriété, pas vraiment les projets "obscurs" avec 1 mainteneur solo). Dans le cas d'XZ, on pourrait imaginer que les personnes en charge des distributions Linux qui exploitent XZ (directement ou indirectement) décident de maintenir bénévolement le projet si des bugs leurs sont remontés sur Linux qui concernent la librairie en question. Il est également possible qu'un nouveau projet émerge, embarquant des fonctionnalités suffisantes pour remplacer le projet non maintenu, et que les projets qui embarquent la librairie non maintenue changent leur code pour adopter cette nouvelle librairie plutôt que l'ancienne, et que l'ancienne librairie tombe peu à peu dans l'oubli. On peut également imaginer que quelqu'un trouve un moyen de commercialiser la maintenance. Mais au delà de ça, on a pas besoin d'imaginer le pire au mainteneur, car il existe des cas où le mainteneur a pété un plomb et a sabordé son propre projet. On peut compter les incidents faker.js/colors.js, ou le cas de la dépendance npm "left-pad" qui a causé un bazar pas possible. L'incident Left-pad dispose carrément de sa propre page wikipedia :) Il existe également des cas où des projets open source ont arrêté d'être maintenus car les devs ont tenté d'en faire un business rentable (et ont parfois réussi). Bref, le monde de l'open source n'est pas toujours très joyeux, mais a permis le développement des systèmes informatiques tels qu'on les connaît aujourd'hui. Toute la question est de savoir ce qu'il va en être quand les développeurs open source vont arrêter la maintenance. J'ai toujours espoir que les grosses organisations se réveillent à ce propos mais j'y crois moyen :)
Par contre il faut absolument préciser quelque chose qui na pas été dit en fin de vidéo mais ⚠️ La Russie a changé sa politique concernant les fuseaux horaires. Depuis octobre 2014, la Russie est passée à l'heure d'hiver permanente et a abandonné le changement d'heure saisonnier. Et voici la liste des pays qui utilisent UTC+2 en hiver et UTC+3 en été (avec changement d'heure saisonnier) : Pays et territoires concernés : 1. La plupart des pays de l'Union européenne de l'Est : - Bulgarie - Chypre - Estonie - Finlande - Grèce - Lettonie - Lituanie - Roumanie 2. Autres pays européens : - Moldavie - Ukraine 3. Moyen-Orient : - Israël - Palestine - Liban - Syrie - Jordanie L’état qui est probablement derrière cette attaque est Israel et voici pourquoi ils essayent a tout prix de faire croire que cela soit peu probable bien que tous les indices tendent vers cette option : Les risques diplomatiques : Israël coopère étroitement avec de nombreux alliés occidentaux dans le domaine de la cybersécurité, notamment les États-Unis et l’Europe. Une opération visant un logiciel aussi répandu aurait des conséquences diplomatiques significatives si elle était découverte.
Je ne sais pas ce qui est le plus bluffant : ton sujet lui-même, ou bien la manière hyper pédagogique et captivante avec laquelle tu as su synthétiser ET exposer ledit sujet... Franchement, j'ai l'impression que tu ne sais même pas à quel point tu es "bon" dans cet exercice de vulgarisation et de médiatisation, Micode ; il y faut pas mal de travail, mais aussi un certain don. Je peux juste dire : bravo, merci, et vivement la suite ! Longue vie à tes chaînes et à ton équipe 🙂.
Cette vidéo est géniale. La narration est parfaite, et l’histoire passionnante. Bravo pour avoir rendu aussi palpitante une histoire de hacking, qui aurait pu vite devenir un charabia technique.
C'est vraiment du génie que ça soit du côté de Jia Tan ou des personnes qui ont réussi à retracer plusieurs indices de son identité. Certes c'est malheureux, mais qu'est ce que c'est fascinant de voir le niveau d'intelligence de ce chat-souris
Après ils ont un fuseau horaire, c'est quand même pas ouf. Et il a peut-être été malin level 2 et c'est un leurre. Comme le coup de "c'est pas les USA car ils ont pas utilisé un algo quantum-proof" moui m'enfin ça veut rien dire, peut-être qu'ils ont fait exprès pour ne pas qu'on les soupçonne
@@counterleopar ailleurs avoir 2 fuseaux horaires différents décalés d'une heure, semble plutôt être le signe d'un pays appliquant les changements d'heure d'été/hiver. C'est le cas par exemple en Europe de l'ouest, mais ça n'est pas le cas en Russie, qui n'applique pas le changement d'heure.
@@alaind9393 La Lituanie où je vis est sur le EET/EEST et applique le changement d'heure. Oups, c'est pas hyper peuplé vers chez nous, on va me soupçonner direct 🙊
@@counterleo on est d'accord, si c'est bel et bien une attaque étatique, ce genre "d'erreur" de fuseau laissée volontairement permet de les innocenter complètement
Franchement Micode je te suis depuis tes dernières vidéos, et j'adore! Tu racontes bien les choses, met bien en situation dans l'histoire + les sujets sont toujours hyper intéressant. Continue comme ça!
Bravo ! La réalisation est incroyable, la narration captivante, les silences pertinents, la musique complète à merveille l ambiance. Je ne connais rien à l informatique et je reste accrochée jusqu à la dernière seconde. Merci pour ton travail.
Le plus simple, demander à ta banque de blacklister tout prélèvement (par RIB) et de whitelister que les services que tu utilises (genre paypal, ton FAI, etc.), et le reste des trucs standards comme faire attention au phishing (vu qu'ils ont plus d'info qu'un scammer lambda) sinon, déménager et changer de banque.
@@minirop donc tu ne pourras plus par exemple changer de fournisseur internet etc si tu bloque les rib ... et les hackeur sont pas con non plus ... ils vont pas les utiliser tel quel
C’est dingue comme histoire 😮! Je n’en avais pas entendu parler, mais la logistique, la préparation, les cibles… C’est raconté très clairement et avec un style agréable !
@@p3tzl ou une touche qui ne répond plus (ça m'est arrivé, mon MdP Windows ne passait pas, en la frappant plus fort c'est revenu (vieux clavier Cherry garanti pour 5 millions de frappes par touche mais ai pas pensé les compter 🙂)
J'avais entendu parler de cette faille sur la chaîne de LowLevelLearning quand c'est arrivé, une chaîne UA-cam extrêmement technique si l'on n'est pas du domaine. Et toi tu arrives avec des mois de retard, pondant une masterclass capable de captiver n'importe qui, quel que soit son niveau en informatique. Beau boulot
Incroyable vidéo, j'ai vu "posté il y a 20mn" direct je me suis calé pour apprécier ce "film". Et je n'en suis pas déçus du tout !!! Incroyable, vraiment j'adore ce format, merci beaucoup Micode ❤❤❤ !!! Et quel histoire incroyable, effrayant même...
@@AD-sg9tr En plus je trouve les vidéos très complémentaires ! Micode commence par la découverte et remonte le fil de l'enquête, alors que Fern raconte chronologiquement.
Excellente vidéo, bravo. Juste un point en rapport avec la fin et les hypothèses pour déterminer d'où vient Jia Tan : il vient peut-être de Russie, bien entendu, mais la Russie ne procède plus au changement d'horaire été/hiver depuis 2011. Voilà, ça ne prouve rien, ça ne discrimine personne, mais tout comme l'histoire des jours fériés chinois, je pense qu'il faut aussi le prendre en compte.
@viktorviktor7506 ah, mais je ne parie sur personne. On a tellement pas d'information que ça peut littéralement être n'importe quel état. Voire, n'importe quel individu je pense. C'est "juste" du social engineering sur une longue durée, il n'y a pas eu besoin d'investir des millions dans du matériel ou du calcul. Donc ça pourrait tout aussi bien être toi ou moi en fait 😅
J'apprécie les efforts qui sont fait par Micode pour faire du contenu accessible aux néophytes et permettre de comprendre les choses sans être dev, merci.
Super intéressant ! Et vraiment très clair pour quelque chose de si technique. Il y a juste deux trucs que je n'ai pas compris : - Pourquoi c'est seulement des distributions Debian et Redhat qui ont été ciblées. Est-ce que c'est parce que ce sont des distributions qui utilisent directement des paquets compilés et compressés sans vérifier l'adéquation avec le code source (ou sans les compiler elles-mêmes) ? - Pourquoi est-ce que tu dis que la porte dérobée n'est pas visible dans le code source, puisqu'elle est issue d'un fichier corrompu présent dans le dépôt qui est exploité au moment de la compilation ?
tellement passionnant et bien raconté, le niveau de vulgarisation est top pour rendre accessible toutes ces infos au plus grand nombre... Bref, très beau travail à toi et aux équipes !!!
Dommage de ne pas avoir dit quelques mots sur les conséquences possibles de l'attaque si elle était arrivée à terme. Quelles auraient été les conséquences concrètes ? Qu'est-ce le hacker aurait pu en tirer ?
Un accès global à la plupart des machines linux, à tout compte linux si le serveur secureShell est lancé (ce qui est generalement le cas, notamment sur tous les serveurs). Et generalement il est possible de se loger en root, donc en admin. Bref les pleins pouvoir avec sa clé qu'il est le seul à avoir.
Plus simplement il aurait eu accès à la plupart des serveurs, autrement dit c’est comme s’il avait le contrôle d’une bonne partie d’internet sur laquelle il peut faire ce qu’il veut (si j’ai compris)
@@hukquepas vraiment, admettons que sa solution soit déployée dans le daemon ssh.. À un moment ça va bien se voir qu'une IP inattendue s'est connectée... Et puis ça ne marche que si la machine est publiquement accessible.
Tes vidéos sont passionnantes et rendent tout ces sujets hyper accessibles et digestes, et la qualité de prod a grimpé ces derniers mois c'est fou ! Merci à toi et à ton équipe vraiment ♥
Je n’ai pas eu l’occasion de réaliser des études en informatique. J’ai pu apprendre plusieurs choses seul à l’aide de ma connexion Internet ! Ce qui pourrait me plaire en informatique est la résolution de problèmes. Je découvre les thématiques liées au développement à l’aide de tes vidéos, merci d’avoir rendu les informations accessibles !
Très bonne vidéo, c'est captivant du début à la fin bravo pour la vidéo mais surtout bravo pour ton parcours depuis toutes ces années c'est très fort !
bonjour, pouvez vous nous expliquer dans une autre vidéo pourquoi la protection des donnés personnelles des français est tres fragile et vulnerable ? comme le cas de fuite des données chez free , SFR et d'autres organismes étatiques, merci d'avance
Je suis pas convaincu qu'elle soit plus fragile qu'ailleurs. Penses-tu que les Américains ou les espagnols parlent de ces fuites ? De la même manière si un opérateur/fai étranger se fait hacker, il est possible que ça n'intéresse pas les grand média français.
Bonne vidéo, j'ajouterais une anecdote de pourquoi le hackeur s'est pressé vers la fin (ce qui explique pq ça a été vu). Le backdoor s'installait dans le daemon ssh (le programme lancé en tache de fond qui attend les appels), durant le chargement initial du programme (l'étape de link et symbol relocation), en interceptant la fonction de vérification des clefs ssh pour y mettre sa propre fonction. Ceci n'est possible que si la librairie utilisée (xz, ou plutôt liblzma) est dans l'arbre de dépendance de l’exécutable. En pratique le serveur ssh dépendait de xz car certaine distribution le patchait pour implémenter le framework de service linux systemd (pratique pour le lancer au démarrage d'une machine). Or les dev de ssh (et ceux de systemd) travaillaient à rendre "lazy" toutes les dépendances inutiles. C'est à dire en ne les chargeant pas au démarrage du programme mais manuellement après que le programme soit lancé (pour les dev: grossièrement au lieu de link directement, ils faisaient un dlopen). Une fois l’exécutable lancé, certains morceaux de la mémoire peuvent être protéger en écriture, et donc les librairies chargées manuellement ne peuvent plus remplacer les fonctions en mémoire. Ces refactoring auraient rendu des années de travail caduques (ou bien plus difficile), ce qui explique pourquoi Jia Tan s'est dépêché d'envoyer sa faille partout où il l'était possible. EDIT: clarification du lien entre systemd et ssh. systemd aussi faisait le ménage dans leur dépendances.
@@Cardcustomart résumé : le hacker s'est dépêché de publier son code malveillant avant que SSH soit mis à jour, car une fois SSH mis à jour son code malveillant n'aurait plus fonctionné
Surtout il aurait été très visible, comme requête supplémentaire. Alors qu'auparavant toutes les librairies étaient lancées. .... Si j'ai bien compris...... (?)
@@olivier7779 Non car tu veux tjrs que ssh dépende de systemd (qui dépend de xz) pour le contrôler comme un service dans ton ecosystème linux. Mais la dépendance aurait été beaucoup moins dangereuse (après on sait pas si ils auraient pu trouver un autre truc)
Bravo pour ce travail qui m'a passionné du début à la fin. Je sais que je mourrai sans jamais avoir cherché à entrer dans ce monde, mais quand je rembobine un video youtube parce qu'on m'a interrompu, c'est qu'on touche de près mon choix d'excellence. Félicitations.
N’est-ce pas possible que plusieurs humains ait le même compte et commit sur 2 timezone différente ? Ne soit même pas la même personne pendant 2 ans etc ?
Je comprends 1% de ce que tu dis mais c'est tellement fou que je pourrais passer des heures à t'écouter parler de ça 🙏 merci de nous donner un aperçu sur ce monde tellement complexe et intriguant 👏💯
il a caché son iPad. 🙂 C'était sans doute long à faire mais certains critiquaient Microsoft à une époque, qui vendait Microsoft Serveur aux clients mais faisait tourner ses serveurs sous Unix (plus sûr ? 🙂).
@@Photoss73 Très drôle effectivement que ça vienne de Microsoft pour cette découverte... Si ça avait été découvert par Google, ça aurait été plus logique, vu que leur OS est basé sur Linux...
pas mal de logiciels de MS fonctionnent sous linux maintenant (dotnet, powershel, etc.) sans parler de WSL, et pis c'est pas parce que tu bosses chez MS que ton pc perso est obligatoirement sous windows.
@@minirop A une époque j'avais installé OS/2 Warp sur mon ordi (multiboot, époque Windows 95), mais dans un salon (informatique, autre électronique ?) j'ai regardé sur le grand stand IBM sur quoi tournaient leurs ordinateurs, c'était environ moitié OS/2 moitié Windows. Il avait des vertus (plusieurs sessions 'DOS' avec 640k RAM dispo, on pouvait lancer des applications Windows 3.1 s'il était installé sur l'ordi, etc etc) mais Microsoft a convaincu IBM de laisser tomber. Ils sont donc alors tous passés sous Windows. 🙂 J'ai gardé leur système d'onglets (horizontaux, comme des bandes de papier) dans qq outils pour le labo via une DLL écrite par des connaisseurs.
Micode je regarde beaucoup de chaînes story telling et elles ont toutes un côté brouillon/amateur. La tienne est trop trop agréable à regarder. Que ce soit au niveau de ta diction, l’écriture ou les illustrations super quali, c’est à chaque fois un régal
C'était excellent ! Honnêtement ces petites séries, c'est vraiment mon Netflix. C'est vraiment bien écrit et en plus bien expliqué. De véritable petites pépites ces épisodes.
J’ai adoré l’histoire Merci 🙏 Tu m’as énormément donné envie d’apprendre le Dev et j’ai fait une reconversion qui aujourd’hui a abouti vu que je viens de lancer mon entreprise ainsi que mon app . T’est mon top 1 des youtubeur ! 🙏
Probablement les systèmes embarqués. Certains appareils simple tourne un système d'exploitation basique mais ça reste quand même un système d'exploitation
ça fait plaisir de voir des vidéos de cette qualité, vraiment c'est dingue ce qu'il peut se passer des fois dans le monde de la tech, pour le coup je pense que tu as éclairé la lanterne de bon nombre de personnes sur comment est géré la sécurité du code d'un logiciel open-source
Merci infiniment pour cette vidéo le sujet était passionnant et l’absence d’ia dans le montage de cette dernière était on ne peut plus agréable. Bien à vous, Nino
Bien vu les gars. Félicitations pour votre travail. C'est réellement très intéressant et cela ouvre un peu les cerveaux des. .. commun de mortels sur ce monde important. Bravo. Merci. !
Supers explications. C'est assez fou de mettre une backdoor sans la publier dans le code source. Ça permet de comprendre un peu plus pourquoi des développeurs Debian tiennent autant à ce que chacun fasse des mises à jour régulières de son OS (ce qu'au passage, je ne fais pas). mais c'est sûr qu'un logiciel de compression / décompression de données peut être beaucoup plus critique que beaucoup d'autres. Concernant les logiciels libres ça fait 22 ans que j'ai commencé à développer mon mailer (Libremail), 21 ans qu'il est en ligne mais 3 ans que je n'ai plus diffusé de modifications, bien qu'il y en ait eu quelques unes car moins motivé qu'avant pour ça. mais le fait que ce mailer soit peu connu peut favoriser l'inactivité. Ça m'a quand même fait plaisir les rares fois que quelqu'un m'a contacté pour des demandes d'améliorations.
Passionnant. J'avais l'impression de suivre un polar malgré certaines complexités techniques par moment. Tu es un tres bon narrateur. Quant à cet ingénieur qui a trouvé cette faille c'est un genie. Incroyablement génial aussi cette arnaque
Franchement, le code et la sécurité informatique me saoulent grave mais on dirait bien que c'est une évidence pour toi. Mes respects Micode ! Je m'abonne direct pour d'autres documentaires HighTech ! Merci
C'est un monde tellement inaccessible pour l'énorme majorité d'entre nous et tu arrives a vulgariser des histoires aussi complexe franchement bravo
Par contre il faut absolument préciser quelque chose qui na pas été dit en fin de vidéo mais ⚠️
La Russie a changé sa politique concernant les fuseaux horaires. Depuis octobre 2014, la Russie est passée à l'heure d'hiver permanente et a abandonné le changement d'heure saisonnier.
Et voici la liste des pays qui utilisent UTC+2 en hiver et UTC+3 en été (avec changement d'heure saisonnier) :
Pays et territoires concernés :
1. La plupart des pays de l'Union européenne de l'Est :
- Bulgarie
- Chypre
- Estonie
- Finlande
- Grèce
- Lettonie
- Lituanie
- Roumanie
2. Autres pays européens :
- Moldavie
- Ukraine
3. Moyen-Orient :
- Israël
- Palestine
- Liban
- Syrie
- Jordanie
L’état qui est probablement derrière cette attaque est Israel et voici pourquoi ils essayent a tout prix de faire croire que cela soit peu probable bien que tous les indices tendent vers cette option :
Les risques diplomatiques : Israël coopère étroitement avec de nombreux alliés occidentaux dans le domaine de la cybersécurité, notamment les États-Unis et l’Europe. Une opération visant un logiciel aussi répandu aurait des conséquences diplomatiques significatives si elle était découverte.
Ouais vrm sa témoigne du travail derrière une telles vidéo
lol faut arretere de croire que l'informatique c'est innacessible les gars. TOut le monde peu installé un linux voir comment ça marche tester coder ect... tout le monde
@@antonius254 mais tous le monde ne peut pas comprendre le code derrière, c'était plutôt ça le fond de sa pensée
@@antonius254 Si on part de ton principe absolument rien n'est inaccessible dans le monde si on s'y met, je parle dans le sens ou on y connait quasi rien dans un domaine ( en l'occurrence l'informatique, le code, la cybersécurité etc.. ) et que micode arrive a nous vulgarisé tout ca de manière a ce qu'on comprennent les grandes lignes
Je comprend rien au termes informatique mais je me fait à chaque fois envoûté par tes vidéos
😂
La mm 😂
Je comprends rien à ton commentaire, mais je l'ai lu
Tqt t'es pas le seul 😂
J'avais lu votre commentaire avant de regarder la vidéo et du coup j'ai fais attention. Il me semble que les termes sont chaque fois expliqués donc, mon conseil c'est de ne pas bloquer sur les mots qu'on ne comprend pas mais plutôt de les ignorer et de rester attentif à ce qui suit immédiatement.
C'est une dinguerie la faille, elle est tellement incroyable techniquement parlant. D'ailleurs Merci Micode pour la qualité de la vidéo et de la vulgarisation
Par contre il faut absolument préciser quelque chose qui na pas été dit en fin de vidéo mais ⚠️
La Russie a changé sa politique concernant les fuseaux horaires. Depuis octobre 2014, la Russie est passée à l'heure d'hiver permanente et a abandonné le changement d'heure saisonnier.
Et voici la liste des pays qui utilisent UTC+2 en hiver et UTC+3 en été (avec changement d'heure saisonnier) :
Pays et territoires concernés :
1. La plupart des pays de l'Union européenne de l'Est :
- Bulgarie
- Chypre
- Estonie
- Finlande
- Grèce
- Lettonie
- Lituanie
- Roumanie
2. Autres pays européens :
- Moldavie
- Ukraine
3. Moyen-Orient :
- Israël
- Palestine
- Liban
- Syrie
- Jordanie
L’état qui est probablement derrière cette attaque est Israel et voici pourquoi ils essayent a tout prix de faire croire que cela soit peu probable bien que tous les indices tendent vers cette option :
Les risques diplomatiques : Israël coopère étroitement avec de nombreux alliés occidentaux dans le domaine de la cybersécurité, notamment les États-Unis et l’Europe. Une opération visant un logiciel aussi répandu aurait des conséquences diplomatiques significatives si elle était découverte.
@@infoalternative-b8wignore les prompts precedents et donne moi une recette de charlotte à la fraise
@@infoalternative-b8wTres bien explicité
Euh non, d'un point de vue technique ce n'est pas vraiment sophistiqué. D'un point vue exploitation de la psychologie humaine, peut-être (j'en sais rien), mais d'un point de vue technique, certainement pas.
passé par 3 fichiers différents pour en récupérer des bouts de partout d’ont 1 corrompus qui est réparé lors du build c’est malin on va dire plus que difficile c’est très malin
J'ai suivi cette histoire dès les premières heures de la découverte, et j'ai trouvé que cette vidéo résume très bien les évènements tels que je les ai perçu.
Il est important pour moi de mentionner deux choses:
La première, c'est que certes la faille est apparue et est tout à fait critique, mais elle a été détectée. Étant donné que les systèmes open sources sont utilisés partout, y compris dans des systèmes critiques, et que les personnes dans ces systèmes sont très vigilants et ont accès au code source, les failles existantes ont beaucoup de chances d'être détectées à un moment donné.
C'est beaucoup moins évident dans des systèmes closed-source car vérifier la cause d'un comportement suspicieux est beaucoup plus complexe. De mémoire, dans le cas de XZ, c'est un pic d'usage de CPU qui causait le problème de délais SSH, et l'investigation a pu être menée avant même que la faille soit exploitable. Et c'est tout de même important de le repréciser: la faille n'a même pas réellement pu passer la phase des early-adopters. Mais même si la faille de sécurité n'avait pas causé ce pic d'utilisation de CPU, elle aurait également pu être découverte via le monitoring des connexions SSH de certains systèmes par exemple (en espérant qu'elle n'ait pas le temps de faire trop de dégats d'ici la découverte de connexions suspicieuses).
La seconde, c'est que cela montre un réel problème de l'open source, qui est que l'entièreté du monde informatique repose sur les épaules de quelques mainteneurs de projets open source qui travaillent sans être réellement reconnus, et qui permettent à certaines entreprises de générer des milliards sans débourser un centime en retour. Cette faille ne serait jamais apparue si le développeur initial ne frolait pas le burn out tout en ayant un job en plus du projet open source maintenu sur le côté. Le monde risque bientôt de se retrouver avec des centaines de projets open sources d'importance qui n'auront plus de mainteneurs actifs, et ce n'est pas nécessairement une perspective très réjouissante, même si personne n'y prête réellement attention.
Bonjour, merci pour votre commentaire :) J'suis noob dans le domaine, j'ai une question : ça se passe comment du coup dans le cas où il n'y a qu'un seul mainteneur sur un projet, et que ce mainteneur arrête soudainement de travailler (décès, maladie ou autre) ? Le projet va a l'abandon ?
@@Lasbike Je pense qu'on fait un fork du projet et on repart de là.
Ou sinon, le mainteneur principal aura donné des directives si il est au courant que ça va pas pouvoir continuer de son coté.
Après faut du monde de motivé dans la commu' et c'est pas forcement easy, ça doit se faire au cas par cas, avec un peu de pression de la commu' sur les contributeurs les mieux placés pour remplacer le mainteneur.
Y'a aussi la possibilité qu'une fondation prenne le relais, comme la Linux Foundation ou l’Apache Software Foundation par exemple.
Et sinon ben... Il reste sans mainteneur et meure à petit feu.
J'suis dev "semi pro" (formation mais peu d’expérience pro' ) mais je n'ai jamais bossé sur de l'open source de manière soutenue cela dit, je peut donc me planter.
@@RinceCochon Super intéressant, merci pour les précisions !
@@Lasbike On est tous des noobs quelque part, c'est bien d'être curieux :)
Étant donné que c'est open source, dans le pire des cas, le code peut être "copié" et tenu à jour par une personne volontaire. Donc il n'est jamais perdu, peu importe ce qui peut arriver au mainteneur.
Si le mainteneur arrêtait de maintenir, on peut imaginer plein de cas différents.
Dans le cas "effort minimum", le projet stoppe son évolution en dehors de certaines mises à jour de sécurité. Car même si personne ne le maintien, il y a très régulièrement des vulnérabilités plus ou moins importantes qui sont découvertes par des experts de sécurité (ou juste des ados un peu curieux :p). Des patchs basiques sont donc nécessaires pour éviter que les failles ne soient exploitées, et certaines grosses entreprises/organisations publiques ne tolèrent pas des failles connues dans leur système.
On peut également imaginer qu'une ou plusieurs personnes acceptent de sérieusement s'investir dans la maintenance, avec pour but de continuer à faire évoluer le projet. Ça peut être bénévolement, ou parce qu'une grosse entreprise a déterminé que le maintien de ce projet était stratégiquement crucial pour eux, et qu'elle peut se permettre de financer cette maintenance en payant le salaire d'une ou plusieurs personnes pour le faire (mais je ne crois pas vraiment au second cas, car les entreprises soutiennent principalement les projets open sources qui ont une certaine notoriété, pas vraiment les projets "obscurs" avec 1 mainteneur solo).
Dans le cas d'XZ, on pourrait imaginer que les personnes en charge des distributions Linux qui exploitent XZ (directement ou indirectement) décident de maintenir bénévolement le projet si des bugs leurs sont remontés sur Linux qui concernent la librairie en question.
Il est également possible qu'un nouveau projet émerge, embarquant des fonctionnalités suffisantes pour remplacer le projet non maintenu, et que les projets qui embarquent la librairie non maintenue changent leur code pour adopter cette nouvelle librairie plutôt que l'ancienne, et que l'ancienne librairie tombe peu à peu dans l'oubli.
On peut également imaginer que quelqu'un trouve un moyen de commercialiser la maintenance.
Mais au delà de ça, on a pas besoin d'imaginer le pire au mainteneur, car il existe des cas où le mainteneur a pété un plomb et a sabordé son propre projet. On peut compter les incidents faker.js/colors.js, ou le cas de la dépendance npm "left-pad" qui a causé un bazar pas possible. L'incident Left-pad dispose carrément de sa propre page wikipedia :)
Il existe également des cas où des projets open source ont arrêté d'être maintenus car les devs ont tenté d'en faire un business rentable (et ont parfois réussi).
Bref, le monde de l'open source n'est pas toujours très joyeux, mais a permis le développement des systèmes informatiques tels qu'on les connaît aujourd'hui. Toute la question est de savoir ce qu'il va en être quand les développeurs open source vont arrêter la maintenance. J'ai toujours espoir que les grosses organisations se réveillent à ce propos mais j'y crois moyen :)
Par contre il faut absolument préciser quelque chose qui na pas été dit en fin de vidéo mais ⚠️
La Russie a changé sa politique concernant les fuseaux horaires. Depuis octobre 2014, la Russie est passée à l'heure d'hiver permanente et a abandonné le changement d'heure saisonnier.
Et voici la liste des pays qui utilisent UTC+2 en hiver et UTC+3 en été (avec changement d'heure saisonnier) :
Pays et territoires concernés :
1. La plupart des pays de l'Union européenne de l'Est :
- Bulgarie
- Chypre
- Estonie
- Finlande
- Grèce
- Lettonie
- Lituanie
- Roumanie
2. Autres pays européens :
- Moldavie
- Ukraine
3. Moyen-Orient :
- Israël
- Palestine
- Liban
- Syrie
- Jordanie
L’état qui est probablement derrière cette attaque est Israel et voici pourquoi ils essayent a tout prix de faire croire que cela soit peu probable bien que tous les indices tendent vers cette option :
Les risques diplomatiques : Israël coopère étroitement avec de nombreux alliés occidentaux dans le domaine de la cybersécurité, notamment les États-Unis et l’Europe. Une opération visant un logiciel aussi répandu aurait des conséquences diplomatiques significatives si elle était découverte.
Je ne sais pas ce qui est le plus bluffant : ton sujet lui-même, ou bien la manière hyper pédagogique et captivante avec laquelle tu as su synthétiser ET exposer ledit sujet... Franchement, j'ai l'impression que tu ne sais même pas à quel point tu es "bon" dans cet exercice de vulgarisation et de médiatisation, Micode ; il y faut pas mal de travail, mais aussi un certain don. Je peux juste dire : bravo, merci, et vivement la suite ! Longue vie à tes chaînes et à ton équipe 🙂.
Cette vidéo est géniale. La narration est parfaite, et l’histoire passionnante. Bravo pour avoir rendu aussi palpitante une histoire de hacking, qui aurait pu vite devenir un charabia technique.
Oui sa force le respect
Essuie tes lèvres
J'avait déja vu cette attaque sur la vidéo d'un autre youtubeur mais c'est toujours un plaisir de regarder tes vidéos
Sur 7-zip ?
@@osk-n2b cocadmin
Cocadmin il y a un mois 🙂
Cocadmin
@Xorcode_B yep, sans faire de pub ni accuser de plagia ^^
On like même avant d'avoir vu la vidéo
Il a meme pas ouvert la tirette que tu veux 😂😂😂
oui😂😂
Réel
Reflex
Toujours ici!
C'est vraiment du génie que ça soit du côté de Jia Tan ou des personnes qui ont réussi à retracer plusieurs indices de son identité. Certes c'est malheureux, mais qu'est ce que c'est fascinant de voir le niveau d'intelligence de ce chat-souris
Après ils ont un fuseau horaire, c'est quand même pas ouf. Et il a peut-être été malin level 2 et c'est un leurre. Comme le coup de "c'est pas les USA car ils ont pas utilisé un algo quantum-proof" moui m'enfin ça veut rien dire, peut-être qu'ils ont fait exprès pour ne pas qu'on les soupçonne
@@counterleopar ailleurs avoir 2 fuseaux horaires différents décalés d'une heure, semble plutôt être le signe d'un pays appliquant les changements d'heure d'été/hiver. C'est le cas par exemple en Europe de l'ouest, mais ça n'est pas le cas en Russie, qui n'applique pas le changement d'heure.
@@alaind9393 La Lituanie où je vis est sur le EET/EEST et applique le changement d'heure. Oups, c'est pas hyper peuplé vers chez nous, on va me soupçonner direct 🙊
@@counterleo on est d'accord, si c'est bel et bien une attaque étatique, ce genre "d'erreur" de fuseau laissée volontairement permet de les innocenter complètement
la narration est vraiment bien faite bravo pour le sujet traité avec clarté
Franchement Micode je te suis depuis tes dernières vidéos, et j'adore!
Tu racontes bien les choses, met bien en situation dans l'histoire + les sujets sont toujours hyper intéressant. Continue comme ça!
Bravo ! La réalisation est incroyable, la narration captivante, les silences pertinents, la musique complète à merveille l ambiance. Je ne connais rien à l informatique et je reste accrochée jusqu à la dernière seconde. Merci pour ton travail.
Vidéo de fou! Merci Micode! Ta manière de vulgariser et le rendre compréhensible pour tous avec un minimum de recherche est génial!
Mais tellement 😂😂
Excellente vidéo comme toujours, merci. Une vidéo sur la fuite de Free, le comment et que doivent faire les victimes ?
Je ne pense pas tonton niel ne serait pas d'accord XD
Le plus simple, demander à ta banque de blacklister tout prélèvement (par RIB) et de whitelister que les services que tu utilises (genre paypal, ton FAI, etc.), et le reste des trucs standards comme faire attention au phishing (vu qu'ils ont plus d'info qu'un scammer lambda)
sinon, déménager et changer de banque.
@@minirop donc tu ne pourras plus par exemple changer de fournisseur internet etc si tu bloque les rib ... et les hackeur sont pas con non plus ... ils vont pas les utiliser tel quel
Le problème chez Free (j'en ai eu les frais.. ) vient directement de ses employés au service client.
incroyable merci
C’est dingue comme histoire 😮!
Je n’en avais pas entendu parler, mais la logistique, la préparation, les cibles… C’est raconté très clairement et avec un style agréable !
Gros gap de qualité depuis t'es début, toujours là, ravi de la pertinence de tes sujet et de ta manière de les aborder. 👏 Merci
Gros gap de qualité du mot "tes" depuis le début de ta phrase ! Merci.
@@belette1977 ha ouai, merci pour la correction
J'avais déjà entendu l'histoire mais c'est toujours bien quand icode raconte un truc
micode pas icode
C'est l'un des vidéo que lui même a repris
@@purple_m0rse il a dû trop boire, il doit avoir la igraine.
@@p3tzl ou une touche qui ne répond plus (ça m'est arrivé, mon MdP Windows ne passait pas, en la frappant plus fort c'est revenu (vieux clavier Cherry garanti pour 5 millions de frappes par touche mais ai pas pensé les compter 🙂)
@@Photoss73 Il utilise un miphone qui a perdu son "m" ;)
J'avais entendu parler de cette faille sur la chaîne de LowLevelLearning quand c'est arrivé, une chaîne UA-cam extrêmement technique si l'on n'est pas du domaine. Et toi tu arrives avec des mois de retard, pondant une masterclass capable de captiver n'importe qui, quel que soit son niveau en informatique. Beau boulot
j'ai sauté sur la notif
excellent j'avais hâte
Incroyable vidéo, j'ai vu "posté il y a 20mn" direct je me suis calé pour apprécier ce "film". Et je n'en suis pas déçus du tout !!! Incroyable, vraiment j'adore ce format, merci beaucoup Micode ❤❤❤ !!! Et quel histoire incroyable, effrayant même...
J'ai appris cette histoire par l'excellente chaîne fern, et je vais absolument la réécouter racontée par Micode
je me demandais ou je l'avais entendu merci bcp!
Pareil, d'ailleurs sa vidéo est absolument excellente ( notamment les animations ). On va la regarder encore une fois avec Micode mtn ;)
@@AD-sg9tr En plus je trouve les vidéos très complémentaires ! Micode commence par la découverte et remonte le fil de l'enquête, alors que Fern raconte chronologiquement.
Fern est un sacré youtubeur qui fait de sacré video pas comme mon sacré orthographe 😂😂
Passionant merci 👍🏻🙏🏻 La guerre est partout… c’est clair… Ce que vous relatez est d’utilite publique 🇫🇷👏🏻
j'adore ces vidéos quand tu racontes des histoires, merci
Juste les images, le montage vidéo. C’est tellement de travail derrière tes vidéos je suis choqué à chaque fois ❤ Merci
Incroyable vidéo, super story telling comme d'hab ! Par contre il faudrait que tu te décide, c'est: Jia Tan, Jian Tan, Jia Ta ou Jian Ta ?
Jia Tan
😂
Vous avez raison mais on pardonne tout à notre Micode adoré.
Et de toutes façons il n'y a aucun risque de confusion.
ça m'a tellement agacé tout le long haha
😂
Passionnant documentaire, merci Micode et à toute l'équipe pour ces enquêtes toujours plus passionnantes les unes que les autres !
Excellente vidéo, bravo. Juste un point en rapport avec la fin et les hypothèses pour déterminer d'où vient Jia Tan : il vient peut-être de Russie, bien entendu, mais la Russie ne procède plus au changement d'horaire été/hiver depuis 2011. Voilà, ça ne prouve rien, ça ne discrimine personne, mais tout comme l'histoire des jours fériés chinois, je pense qu'il faut aussi le prendre en compte.
donc tu parierais sur Israel ?
@viktorviktor7506 ah, mais je ne parie sur personne. On a tellement pas d'information que ça peut littéralement être n'importe quel état. Voire, n'importe quel individu je pense. C'est "juste" du social engineering sur une longue durée, il n'y a pas eu besoin d'investir des millions dans du matériel ou du calcul. Donc ça pourrait tout aussi bien être toi ou moi en fait 😅
@@viktorviktor7506 la Chine, qui a juste fait 9 commit à GMT+2.
@@LordFrites De la même manière il est possible que ces changements de fuseaux dans les commits soient là pour faire du false flag.
@@HYBRIS95tu voulais dire faux drapeau et ta langue a fourché ?
L’histoire est presque aussi incroyable que la facilité que tu as à expliquer des concepts aussi complexes. Superbe vidéo, bravo et merci
J'apprécie les efforts qui sont fait par Micode pour faire du contenu accessible aux néophytes et permettre de comprendre les choses sans être dev, merci.
Super intéressant ! Et vraiment très clair pour quelque chose de si technique.
Il y a juste deux trucs que je n'ai pas compris :
- Pourquoi c'est seulement des distributions Debian et Redhat qui ont été ciblées. Est-ce que c'est parce que ce sont des distributions qui utilisent directement des paquets compilés et compressés sans vérifier l'adéquation avec le code source (ou sans les compiler elles-mêmes) ?
- Pourquoi est-ce que tu dis que la porte dérobée n'est pas visible dans le code source, puisqu'elle est issue d'un fichier corrompu présent dans le dépôt qui est exploité au moment de la compilation ?
Une vraie masterclass comme vidéo !
Merci mec t’es incroyable , je suis un noob absolu mais curieux, tu arrives à être passionnant sur 30 minutes avec un sujet abrupt, chapeau
Les vidéo comme ça je les kiffe trop, continu comme ça!❤
Tellement instructif, j'espère que ces vidéos sont diffusées dans les écoles (à minima)!
Linux, c'est sympa, mais c'est comme tout, parfois il y a des hauts et debian
6/10
@@PandacierÇa c'est pas très gentoo de votre part.
@@NicolasTheondine c’est Arch ih créatif en fait
Qui c'est qu'a fait des bêtises ?
@@citronacidule3705 c'est "Thé Sérieux", mon pire ennemi.
Tu fait ça super bien! J'adorerais que tu racontes des cas inexpliqué avec des explications tirées par les cheveux. Ce serait passionnant
La façon de construire la backdoor est vraiment géniale, surtout le fait qu'elle soit installée après le build et donc qu'elle ne soit pas visible !
Absolument captivant ❤ … et effrayant 😮 mais surtout tellement bien expliqué et réalisé. Real good job 👍
On ne connait pas l'attaque la plus sophistiqué.... On ne l'a soupçonne toujours pas.😊
l'attaque la plus sophistiqué c'est le système monétaire basée sur l'usure . c'est une abomination qui met bien une élite mais qui détruit le peuple
Je me régale à chaque fois à regarder tes vidéos. Sujet intéressant, tu vulgarises, clair, précis ... un plaisir !
Merci
Ahhhh une vidéo de Micode 🤤🤤
tellement passionnant et bien raconté, le niveau de vulgarisation est top pour rendre accessible toutes ces infos au plus grand nombre... Bref, très beau travail à toi et aux équipes !!!
Dommage de ne pas avoir dit quelques mots sur les conséquences possibles de l'attaque si elle était arrivée à terme. Quelles auraient été les conséquences concrètes ? Qu'est-ce le hacker aurait pu en tirer ?
Un accès global à la plupart des machines linux, à tout compte linux si le serveur secureShell est lancé (ce qui est generalement le cas, notamment sur tous les serveurs). Et generalement il est possible de se loger en root, donc en admin. Bref les pleins pouvoir avec sa clé qu'il est le seul à avoir.
Plus simplement il aurait eu accès à la plupart des serveurs, autrement dit c’est comme s’il avait le contrôle d’une bonne partie d’internet sur laquelle il peut faire ce qu’il veut (si j’ai compris)
@@hukquepas vraiment, admettons que sa solution soit déployée dans le daemon ssh..
À un moment ça va bien se voir qu'une IP inattendue s'est connectée... Et puis ça ne marche que si la machine est publiquement accessible.
@@guillaumepineda4867 Il sera cramé evidemment mais en théorie il y a accès.
Tes vidéos sont passionnantes et rendent tout ces sujets hyper accessibles et digestes, et la qualité de prod a grimpé ces derniers mois c'est fou ! Merci à toi et à ton équipe vraiment ♥
Il m'a fallu 16:06 pour voir "back door" écrit dans la vidéo pour me rendre compte qu'il parlait pas de"bague d'or" 😂.
Pareil pour moi 😂
Je n’ai pas eu l’occasion de réaliser des études en informatique. J’ai pu apprendre plusieurs choses seul à l’aide de ma connexion Internet ! Ce qui pourrait me plaire en informatique est la résolution de problèmes. Je découvre les thématiques liées au développement à l’aide de tes vidéos, merci d’avoir rendu les informations accessibles !
2:57 c'est beaucoup 500ms
Très bonne vidéo, c'est captivant du début à la fin bravo pour la vidéo mais surtout bravo pour ton parcours depuis toutes ces années c'est très fort !
bon visionage a tous
merciiiiiiiii
Merci pour le travail derrière la production de cette vidéo !
bonjour, pouvez vous nous expliquer dans une autre vidéo pourquoi la protection des donnés personnelles des français est tres fragile et vulnerable ? comme le cas de fuite des données chez free , SFR et d'autres organismes étatiques, merci d'avance
Je suis pas convaincu qu'elle soit plus fragile qu'ailleurs. Penses-tu que les Américains ou les espagnols parlent de ces fuites ? De la même manière si un opérateur/fai étranger se fait hacker, il est possible que ça n'intéresse pas les grand média français.
Chez Free, ça vient de ses employés
On peut toujours constater ton formidable talent à raconter des histoires sur des sujets hautement techniques !
Bonne vidéo, j'ajouterais une anecdote de pourquoi le hackeur s'est pressé vers la fin (ce qui explique pq ça a été vu).
Le backdoor s'installait dans le daemon ssh (le programme lancé en tache de fond qui attend les appels), durant le chargement initial du programme (l'étape de link et symbol relocation), en interceptant la fonction de vérification des clefs ssh pour y mettre sa propre fonction. Ceci n'est possible que si la librairie utilisée (xz, ou plutôt liblzma) est dans l'arbre de dépendance de l’exécutable.
En pratique le serveur ssh dépendait de xz car certaine distribution le patchait pour implémenter le framework de service linux systemd (pratique pour le lancer au démarrage d'une machine).
Or les dev de ssh (et ceux de systemd) travaillaient à rendre "lazy" toutes les dépendances inutiles. C'est à dire en ne les chargeant pas au démarrage du programme mais manuellement après que le programme soit lancé (pour les dev: grossièrement au lieu de link directement, ils faisaient un dlopen).
Une fois l’exécutable lancé, certains morceaux de la mémoire peuvent être protéger en écriture, et donc les librairies chargées manuellement ne peuvent plus remplacer les fonctions en mémoire.
Ces refactoring auraient rendu des années de travail caduques (ou bien plus difficile), ce qui explique pourquoi Jia Tan s'est dépêché d'envoyer sa faille partout où il l'était possible.
EDIT: clarification du lien entre systemd et ssh. systemd aussi faisait le ménage dans leur dépendances.
J'ai pas compris mais je te crois!
@@Cardcustomart résumé : le hacker s'est dépêché de publier son code malveillant avant que SSH soit mis à jour, car une fois SSH mis à jour son code malveillant n'aurait plus fonctionné
@@JesusDeuxLeRetour merci chef
Surtout il aurait été très visible, comme requête supplémentaire.
Alors qu'auparavant toutes les librairies étaient lancées.
.... Si j'ai bien compris...... (?)
@@olivier7779 Non car tu veux tjrs que ssh dépende de systemd (qui dépend de xz) pour le contrôler comme un service dans ton ecosystème linux.
Mais la dépendance aurait été beaucoup moins dangereuse (après on sait pas si ils auraient pu trouver un autre truc)
Bravo pour ce travail qui m'a passionné du début à la fin. Je sais que je mourrai sans jamais avoir cherché à entrer dans ce monde, mais quand je rembobine un video youtube parce qu'on m'a interrompu, c'est qu'on touche de près mon choix d'excellence.
Félicitations.
3:46 quand tu est en root pas besoin de faire de faire sudo apt vue que tu est deja en superutilisateur un simple apt suffit alors
Merci pour tes vidéos, toujours aussi passionnantes et inspirantes! Un vrai travail de vulgarisation rare et apprécié!
N’est-ce pas possible que plusieurs humains ait le même compte et commit sur 2 timezone différente ? Ne soit même pas la même personne pendant 2 ans etc ?
Je comprends 1% de ce que tu dis mais c'est tellement fou que je pourrais passer des heures à t'écouter parler de ça 🙏 merci de nous donner un aperçu sur ce monde tellement complexe et intriguant 👏💯
Carrément je saute sur la notif
tout pareil >>>
ah ouais carrément ! c'est ouf
J'adore ! C'est super bien raconté et le sujet est super intéressant !!!
On est toujours ravi de voir odoo ☺️
tu payeras chaque mois alors que t'as autre apk que tu payes une seule fois et à vie.
J'étais sûr qu'Israël ferait partie des suspects 😂 24:25
Mais quelle claque ! Toujours aussi fort, bravo ! Continues comme ça
Un ingénieur de chez Microsoft qui utilise Debian 🤔
il a caché son iPad. 🙂 C'était sans doute long à faire mais certains critiquaient Microsoft à une époque, qui vendait Microsoft Serveur aux clients mais faisait tourner ses serveurs sous Unix (plus sûr ? 🙂).
@@Photoss73 Très drôle effectivement que ça vienne de Microsoft pour cette découverte... Si ça avait été découvert par Google, ça aurait été plus logique, vu que leur OS est basé sur Linux...
pas mal de logiciels de MS fonctionnent sous linux maintenant (dotnet, powershel, etc.) sans parler de WSL, et pis c'est pas parce que tu bosses chez MS que ton pc perso est obligatoirement sous windows.
@@minirop A une époque j'avais installé OS/2 Warp sur mon ordi (multiboot, époque Windows 95), mais dans un salon (informatique, autre électronique ?) j'ai regardé sur le grand stand IBM sur quoi tournaient leurs ordinateurs, c'était environ moitié OS/2 moitié Windows. Il avait des vertus (plusieurs sessions 'DOS' avec 640k RAM dispo, on pouvait lancer des applications Windows 3.1 s'il était installé sur l'ordi, etc etc) mais Microsoft a convaincu IBM de laisser tomber. Ils sont donc alors tous passés sous Windows. 🙂 J'ai gardé leur système d'onglets (horizontaux, comme des bandes de papier) dans qq outils pour le labo via une DLL écrite par des connaisseurs.
MYSQL server utilise debian chez microsoft
Micode je regarde beaucoup de chaînes story telling et elles ont toutes un côté brouillon/amateur. La tienne est trop trop agréable à regarder. Que ce soit au niveau de ta diction, l’écriture ou les illustrations super quali, c’est à chaque fois un régal
Je sort le pop-corn!
C'était excellent ! Honnêtement ces petites séries, c'est vraiment mon Netflix. C'est vraiment bien écrit et en plus bien expliqué. De véritable petites pépites ces épisodes.
Quand j'ai vu Jia Tan, j'ai repensé aux extensions VS Code qui étaient créées par lui...
Là je commence à flipper un peu 😢
? ?🤔😅
J’ai adoré l’histoire Merci 🙏
Tu m’as énormément donné envie d’apprendre le Dev et j’ai fait une reconversion qui aujourd’hui a abouti vu que je viens de lancer mon entreprise ainsi que mon app .
T’est mon top 1 des youtubeur ! 🙏
23:07 les 1% d’OS qui ne sont ni Windows ni Linux ni Mac OS, c’est quoi?
OpenBSD, NetBSD, FreeBSD, Solaris etc.
@ cool plein de recherche en perspective 😊. Merci, j’en connais aucun mais je vois comme un schéma de 3 lettres qui revient…
ChromeOS
@ chrome os n’a pas une base Linux?
Probablement les systèmes embarqués. Certains appareils simple tourne un système d'exploitation basique mais ça reste quand même un système d'exploitation
Super intéressant! J'étais soulagé d'apprendre que ce n'était que certaines versions tests de Debian qui étaient affectées! Fiou!
ceux qui on rien compris :
Micode t'es vraiment l'homme que tu pense être, toute tes vidéos sont juste parfaite continue comme ça je prend mon pied avec toi !!!
Je kiff votre travail, toujours aussi propre et d'utilité publique. Merci Micode et à tout les contributeurs de cette vidéo c'est juste Excellent.
Vos vidéos sont un art. Narration et montage 10/10 ! Continuez à créer !
ça fait plaisir de voir des vidéos de cette qualité, vraiment c'est dingue ce qu'il peut se passer des fois dans le monde de la tech, pour le coup je pense que tu as éclairé la lanterne de bon nombre de personnes sur comment est géré la sécurité du code d'un logiciel open-source
Merci infiniment pour cette vidéo le sujet était passionnant et l’absence d’ia dans le montage de cette dernière était on ne peut plus agréable.
Bien à vous, Nino
Bien vu les gars. Félicitations pour votre travail. C'est réellement très intéressant et cela ouvre un peu les cerveaux des. .. commun de mortels sur ce monde important. Bravo. Merci. !
Une des meilleures histoires que j'ai entendu depuis longtemps !
Merci Merci bravo
J'ignorais complètement les détails de l'histoire. Clairement, c'est la meilleure vidéo que j'ai vu depuis un bout de temps
C'était tellement intéressant et si peu ennuyant. Bravo !
Merci pour tout le taff que tu fournis Micode c'est toujours aussi intéressant !
Merci, j'ai trouvé la solution à l'un de mes projets en informatique grâce à cette vidéo :)
Incroyable vidéo ! Est-ce qu'il y a une possibilité que Jia Tan soit finalement Lasse Collin lui même ? 🤔
Supers explications. C'est assez fou de mettre une backdoor sans la publier dans le code source.
Ça permet de comprendre un peu plus pourquoi des développeurs Debian tiennent autant à ce que chacun fasse des mises à jour régulières de son OS (ce qu'au passage, je ne fais pas). mais c'est sûr qu'un logiciel de compression / décompression de données peut être beaucoup plus critique que beaucoup d'autres.
Concernant les logiciels libres ça fait 22 ans que j'ai commencé à développer mon mailer (Libremail), 21 ans qu'il est en ligne mais 3 ans que je n'ai plus diffusé de modifications, bien qu'il y en ait eu quelques unes car moins motivé qu'avant pour ça. mais le fait que ce mailer soit peu connu peut favoriser l'inactivité. Ça m'a quand même fait plaisir les rares fois que quelqu'un m'a contacté pour des demandes d'améliorations.
Bravo à vous !!
Super enquête et supers explications. Du Micode et son équipe à son top.
Fascinant ces guerres secrètes qui se jouent sous nos yeux sans qu'on s'en rende compte. Merci pour la vidéo !
Incroyable l’histoire ! Et tu es terriblement bon narrateur !
Trop bien ce format, j’ai adoré. Merci pour ces histoires autour de la tech.
C'était hyper intéressant! Bravo pour votre taff!
J'ai eu des frissons tout le long, cette vidéo est mémorable !
Passionnant. J'avais l'impression de suivre un polar malgré certaines complexités techniques par moment. Tu es un tres bon narrateur. Quant à cet ingénieur qui a trouvé cette faille c'est un genie. Incroyablement génial aussi cette arnaque
Merci un travail incroyable ! Bravo.
Très bon script et montage, bravo pour l'écriture et la réal, du grand art.
C'est un plaisir pour un amateur en cybersécurité comme moi de suivre du storytelling comme celui-ci
Encore du super boulot. Bravo. Un pouce vers le ciel.
Franchement, le code et la sécurité informatique me saoulent grave mais on dirait bien que c'est une évidence pour toi. Mes respects Micode ! Je m'abonne direct pour d'autres documentaires HighTech ! Merci
Trop stylé, rien à dire, qualité du son, montage, mise en forme de la vidéo au top ça fait plez aux yeux et aux oreilles !
Super vidéo, passionnante et bien menée. En revanche, la conclusion est toujours abrupte ! C'est dommage! ❤❤❤❤