Par contre il faut absolument préciser quelque chose qui na pas été dit en fin de vidéo mais ⚠️ La Russie a changé sa politique concernant les fuseaux horaires. Depuis octobre 2014, la Russie est passée à l'heure d'hiver permanente et a abandonné le changement d'heure saisonnier. Et voici la liste des pays qui utilisent UTC+2 en hiver et UTC+3 en été (avec changement d'heure saisonnier) : Pays et territoires concernés : 1. La plupart des pays de l'Union européenne de l'Est : - Bulgarie - Chypre - Estonie - Finlande - Grèce - Lettonie - Lituanie - Roumanie 2. Autres pays européens : - Moldavie - Ukraine 3. Moyen-Orient : - Israël - Palestine - Liban - Syrie - Jordanie L’état qui est probablement derrière cette attaque est Israel et voici pourquoi ils essayent a tout prix de faire croire que cela soit peu probable bien que tous les indices tendent vers cette option : Les risques diplomatiques : Israël coopère étroitement avec de nombreux alliés occidentaux dans le domaine de la cybersécurité, notamment les États-Unis et l’Europe. Une opération visant un logiciel aussi répandu aurait des conséquences diplomatiques significatives si elle était découverte.
lol faut arretere de croire que l'informatique c'est innacessible les gars. TOut le monde peu installé un linux voir comment ça marche tester coder ect... tout le monde
@@antonius254 Si on part de ton principe absolument rien n'est inaccessible dans le monde si on s'y met, je parle dans le sens ou on y connait quasi rien dans un domaine ( en l'occurrence l'informatique, le code, la cybersécurité etc.. ) et que micode arrive a nous vulgarisé tout ca de manière a ce qu'on comprennent les grandes lignes
J'avais lu votre commentaire avant de regarder la vidéo et du coup j'ai fais attention. Il me semble que les termes sont chaque fois expliqués donc, mon conseil c'est de ne pas bloquer sur les mots qu'on ne comprend pas mais plutôt de les ignorer et de rester attentif à ce qui suit immédiatement.
C'est une dinguerie la faille, elle est tellement incroyable techniquement parlant. D'ailleurs Merci Micode pour la qualité de la vidéo et de la vulgarisation
Par contre il faut absolument préciser quelque chose qui na pas été dit en fin de vidéo mais ⚠️ La Russie a changé sa politique concernant les fuseaux horaires. Depuis octobre 2014, la Russie est passée à l'heure d'hiver permanente et a abandonné le changement d'heure saisonnier. Et voici la liste des pays qui utilisent UTC+2 en hiver et UTC+3 en été (avec changement d'heure saisonnier) : Pays et territoires concernés : 1. La plupart des pays de l'Union européenne de l'Est : - Bulgarie - Chypre - Estonie - Finlande - Grèce - Lettonie - Lituanie - Roumanie 2. Autres pays européens : - Moldavie - Ukraine 3. Moyen-Orient : - Israël - Palestine - Liban - Syrie - Jordanie L’état qui est probablement derrière cette attaque est Israel et voici pourquoi ils essayent a tout prix de faire croire que cela soit peu probable bien que tous les indices tendent vers cette option : Les risques diplomatiques : Israël coopère étroitement avec de nombreux alliés occidentaux dans le domaine de la cybersécurité, notamment les États-Unis et l’Europe. Une opération visant un logiciel aussi répandu aurait des conséquences diplomatiques significatives si elle était découverte.
Euh non, d'un point de vue technique ce n'est pas vraiment sophistiqué. D'un point vue exploitation de la psychologie humaine, peut-être (j'en sais rien), mais d'un point de vue technique, certainement pas.
passé par 3 fichiers différents pour en récupérer des bouts de partout d’ont 1 corrompus qui est réparé lors du build c’est malin on va dire plus que difficile c’est très malin
Cette vidéo est géniale. La narration est parfaite, et l’histoire passionnante. Bravo pour avoir rendu aussi palpitante une histoire de hacking, qui aurait pu vite devenir un charabia technique.
Je ne sais pas ce qui est le plus bluffant : ton sujet lui-même, ou bien la manière hyper pédagogique et captivante avec laquelle tu as su synthétiser ET exposer ledit sujet... Franchement, j'ai l'impression que tu ne sais même pas à quel point tu es "bon" dans cet exercice de vulgarisation et de médiatisation, Micode ; il y faut pas mal de travail, mais aussi un certain don. Je peux juste dire : bravo, merci, et vivement la suite ! Longue vie à tes chaînes et à ton équipe 🙂.
J'ai suivi cette histoire dès les premières heures de la découverte, et j'ai trouvé que cette vidéo résume très bien les évènements tels que je les ai perçu. Il est important pour moi de mentionner deux choses: La première, c'est que certes la faille est apparue et est tout à fait critique, mais elle a été détectée. Étant donné que les systèmes open sources sont utilisés partout, y compris dans des systèmes critiques, et que les personnes dans ces systèmes sont très vigilants et ont accès au code source, les failles existantes ont beaucoup de chances d'être détectées à un moment donné. C'est beaucoup moins évident dans des systèmes closed-source car vérifier la cause d'un comportement suspicieux est beaucoup plus complexe. De mémoire, dans le cas de XZ, c'est un pic d'usage de CPU qui causait le problème de délais SSH, et l'investigation a pu être menée avant même que la faille soit exploitable. Et c'est tout de même important de le repréciser: la faille n'a même pas réellement pu passer la phase des early-adopters. Mais même si la faille de sécurité n'avait pas causé ce pic d'utilisation de CPU, elle aurait également pu être découverte via le monitoring des connexions SSH de certains systèmes par exemple (en espérant qu'elle n'ait pas le temps de faire trop de dégats d'ici la découverte de connexions suspicieuses). La seconde, c'est que cela montre un réel problème de l'open source, qui est que l'entièreté du monde informatique repose sur les épaules de quelques mainteneurs de projets open source qui travaillent sans être réellement reconnus, et qui permettent à certaines entreprises de générer des milliards sans débourser un centime en retour. Cette faille ne serait jamais apparue si le développeur initial ne frolait pas le burn out tout en ayant un job en plus du projet open source maintenu sur le côté. Le monde risque bientôt de se retrouver avec des centaines de projets open sources d'importance qui n'auront plus de mainteneurs actifs, et ce n'est pas nécessairement une perspective très réjouissante, même si personne n'y prête réellement attention.
Bonjour, merci pour votre commentaire :) J'suis noob dans le domaine, j'ai une question : ça se passe comment du coup dans le cas où il n'y a qu'un seul mainteneur sur un projet, et que ce mainteneur arrête soudainement de travailler (décès, maladie ou autre) ? Le projet va a l'abandon ?
@@Lasbike Je pense qu'on fait un fork du projet et on repart de là. Ou sinon, le mainteneur principal aura donné des directives si il est au courant que ça va pas pouvoir continuer de son coté. Après faut du monde de motivé dans la commu' et c'est pas forcement easy, ça doit se faire au cas par cas, avec un peu de pression de la commu' sur les contributeurs les mieux placés pour remplacer le mainteneur. Y'a aussi la possibilité qu'une fondation prenne le relais, comme la Linux Foundation ou l’Apache Software Foundation par exemple. Et sinon ben... Il reste sans mainteneur et meure à petit feu. J'suis dev "semi pro" (formation mais peu d’expérience pro' ) mais je n'ai jamais bossé sur de l'open source de manière soutenue cela dit, je peut donc me planter.
@@Lasbike On est tous des noobs quelque part, c'est bien d'être curieux :) Étant donné que c'est open source, dans le pire des cas, le code peut être "copié" et tenu à jour par une personne volontaire. Donc il n'est jamais perdu, peu importe ce qui peut arriver au mainteneur. Si le mainteneur arrêtait de maintenir, on peut imaginer plein de cas différents. Dans le cas "effort minimum", le projet stoppe son évolution en dehors de certaines mises à jour de sécurité. Car même si personne ne le maintien, il y a très régulièrement des vulnérabilités plus ou moins importantes qui sont découvertes par des experts de sécurité (ou juste des ados un peu curieux :p). Des patchs basiques sont donc nécessaires pour éviter que les failles ne soient exploitées, et certaines grosses entreprises/organisations publiques ne tolèrent pas des failles connues dans leur système. On peut également imaginer qu'une ou plusieurs personnes acceptent de sérieusement s'investir dans la maintenance, avec pour but de continuer à faire évoluer le projet. Ça peut être bénévolement, ou parce qu'une grosse entreprise a déterminé que le maintien de ce projet était stratégiquement crucial pour eux, et qu'elle peut se permettre de financer cette maintenance en payant le salaire d'une ou plusieurs personnes pour le faire (mais je ne crois pas vraiment au second cas, car les entreprises soutiennent principalement les projets open sources qui ont une certaine notoriété, pas vraiment les projets "obscurs" avec 1 mainteneur solo). Dans le cas d'XZ, on pourrait imaginer que les personnes en charge des distributions Linux qui exploitent XZ (directement ou indirectement) décident de maintenir bénévolement le projet si des bugs leurs sont remontés sur Linux qui concernent la librairie en question. Il est également possible qu'un nouveau projet émerge, embarquant des fonctionnalités suffisantes pour remplacer le projet non maintenu, et que les projets qui embarquent la librairie non maintenue changent leur code pour adopter cette nouvelle librairie plutôt que l'ancienne, et que l'ancienne librairie tombe peu à peu dans l'oubli. On peut également imaginer que quelqu'un trouve un moyen de commercialiser la maintenance. Mais au delà de ça, on a pas besoin d'imaginer le pire au mainteneur, car il existe des cas où le mainteneur a pété un plomb et a sabordé son propre projet. On peut compter les incidents faker.js/colors.js, ou le cas de la dépendance npm "left-pad" qui a causé un bazar pas possible. L'incident Left-pad dispose carrément de sa propre page wikipedia :) Il existe également des cas où des projets open source ont arrêté d'être maintenus car les devs ont tenté d'en faire un business rentable (et ont parfois réussi). Bref, le monde de l'open source n'est pas toujours très joyeux, mais a permis le développement des systèmes informatiques tels qu'on les connaît aujourd'hui. Toute la question est de savoir ce qu'il va en être quand les développeurs open source vont arrêter la maintenance. J'ai toujours espoir que les grosses organisations se réveillent à ce propos mais j'y crois moyen :)
Par contre il faut absolument préciser quelque chose qui na pas été dit en fin de vidéo mais ⚠️ La Russie a changé sa politique concernant les fuseaux horaires. Depuis octobre 2014, la Russie est passée à l'heure d'hiver permanente et a abandonné le changement d'heure saisonnier. Et voici la liste des pays qui utilisent UTC+2 en hiver et UTC+3 en été (avec changement d'heure saisonnier) : Pays et territoires concernés : 1. La plupart des pays de l'Union européenne de l'Est : - Bulgarie - Chypre - Estonie - Finlande - Grèce - Lettonie - Lituanie - Roumanie 2. Autres pays européens : - Moldavie - Ukraine 3. Moyen-Orient : - Israël - Palestine - Liban - Syrie - Jordanie L’état qui est probablement derrière cette attaque est Israel et voici pourquoi ils essayent a tout prix de faire croire que cela soit peu probable bien que tous les indices tendent vers cette option : Les risques diplomatiques : Israël coopère étroitement avec de nombreux alliés occidentaux dans le domaine de la cybersécurité, notamment les États-Unis et l’Europe. Une opération visant un logiciel aussi répandu aurait des conséquences diplomatiques significatives si elle était découverte.
C'est vraiment du génie que ça soit du côté de Jia Tan ou des personnes qui ont réussi à retracer plusieurs indices de son identité. Certes c'est malheureux, mais qu'est ce que c'est fascinant de voir le niveau d'intelligence de ce chat-souris
Après ils ont un fuseau horaire, c'est quand même pas ouf. Et il a peut-être été malin level 2 et c'est un leurre. Comme le coup de "c'est pas les USA car ils ont pas utilisé un algo quantum-proof" moui m'enfin ça veut rien dire, peut-être qu'ils ont fait exprès pour ne pas qu'on les soupçonne
@@counterleopar ailleurs avoir 2 fuseaux horaires différents décalés d'une heure, semble plutôt être le signe d'un pays appliquant les changements d'heure d'été/hiver. C'est le cas par exemple en Europe de l'ouest, mais ça n'est pas le cas en Russie, qui n'applique pas le changement d'heure.
@@alaind9393 La Lituanie où je vis est sur le EET/EEST et applique le changement d'heure. Oups, c'est pas hyper peuplé vers chez nous, on va me soupçonner direct 🙊
@@counterleo on est d'accord, si c'est bel et bien une attaque étatique, ce genre "d'erreur" de fuseau laissée volontairement permet de les innocenter complètement
Franchement Micode je te suis depuis tes dernières vidéos, et j'adore! Tu racontes bien les choses, met bien en situation dans l'histoire + les sujets sont toujours hyper intéressant. Continue comme ça!
Bravo ! La réalisation est incroyable, la narration captivante, les silences pertinents, la musique complète à merveille l ambiance. Je ne connais rien à l informatique et je reste accrochée jusqu à la dernière seconde. Merci pour ton travail.
Le plus simple, demander à ta banque de blacklister tout prélèvement (par RIB) et de whitelister que les services que tu utilises (genre paypal, ton FAI, etc.), et le reste des trucs standards comme faire attention au phishing (vu qu'ils ont plus d'info qu'un scammer lambda) sinon, déménager et changer de banque.
@@minirop donc tu ne pourras plus par exemple changer de fournisseur internet etc si tu bloque les rib ... et les hackeur sont pas con non plus ... ils vont pas les utiliser tel quel
C’est dingue comme histoire 😮! Je n’en avais pas entendu parler, mais la logistique, la préparation, les cibles… C’est raconté très clairement et avec un style agréable !
@@p3tzl ou une touche qui ne répond plus (ça m'est arrivé, mon MdP Windows ne passait pas, en la frappant plus fort c'est revenu (vieux clavier Cherry garanti pour 5 millions de frappes par touche mais ai pas pensé les compter 🙂)
J'avais entendu parler de cette faille sur la chaîne de LowLevelLearning quand c'est arrivé, une chaîne RUclips extrêmement technique si l'on n'est pas du domaine. Et toi tu arrives avec des mois de retard, pondant une masterclass capable de captiver n'importe qui, quel que soit son niveau en informatique. Beau boulot
@@AD-sg9tr En plus je trouve les vidéos très complémentaires ! Micode commence par la découverte et remonte le fil de l'enquête, alors que Fern raconte chronologiquement.
Excellente vidéo, bravo. Juste un point en rapport avec la fin et les hypothèses pour déterminer d'où vient Jia Tan : il vient peut-être de Russie, bien entendu, mais la Russie ne procède plus au changement d'horaire été/hiver depuis 2011. Voilà, ça ne prouve rien, ça ne discrimine personne, mais tout comme l'histoire des jours fériés chinois, je pense qu'il faut aussi le prendre en compte.
@viktorviktor7506 ah, mais je ne parie sur personne. On a tellement pas d'information que ça peut littéralement être n'importe quel état. Voire, n'importe quel individu je pense. C'est "juste" du social engineering sur une longue durée, il n'y a pas eu besoin d'investir des millions dans du matériel ou du calcul. Donc ça pourrait tout aussi bien être toi ou moi en fait 😅
Je me demande ce que vous pigez sans même savoir ce que s'est. 😂 Cela dit une "golden ring" c'est comme un "honeypot" pour futur marié alors pourquoi pas. Et puis les amants passent par les "backdoors" alors on reste dans le bon champs sémantique 😅
@@barmsoon Ouais, alors l'informatique c'est vraiment pas mon créneau :p Je connais évidemment le concept de "back door", mais quand j'entends micode dire, avec un superbe accent francais, que le type installe sa "bague d'or", (:D) je me suis dis le mot existait sûrement que qu'en gros, une fois la bague installée, il n'y a plus moyen de l'enlever, le piège se referme. 😅
J'apprécie les efforts qui sont fait par Micode pour faire du contenu accessible aux néophytes et permettre de comprendre les choses sans être dev, merci.
Incroyable vidéo, j'ai vu "posté il y a 20mn" direct je me suis calé pour apprécier ce "film". Et je n'en suis pas déçus du tout !!! Incroyable, vraiment j'adore ce format, merci beaucoup Micode ❤❤❤ !!! Et quel histoire incroyable, effrayant même...
Bonne vidéo, j'ajouterais une anecdote de pourquoi le hackeur s'est pressé vers la fin (ce qui explique pq ça a été vu). Le backdoor s'installait dans le daemon ssh (le programme lancé en tache de fond qui attend les appels), durant le chargement initial du programme (l'étape de link et symbol relocation), en interceptant la fonction de vérification des clefs ssh pour y mettre sa propre fonction. Ceci n'est possible que si la librairie utilisée (xz, ou plutôt liblzma) est dans l'arbre de dépendance de l’exécutable. En pratique le serveur ssh dépendait de xz car certaine distribution le patchait pour implémenter le framework de service linux systemd (pratique pour le lancer au démarrage d'une machine). Or les dev de ssh (et ceux de systemd) travaillaient à rendre "lazy" toutes les dépendances inutiles. C'est à dire en ne les chargeant pas au démarrage du programme mais manuellement après que le programme soit lancé (pour les dev: grossièrement au lieu de link directement, ils faisaient un dlopen). Une fois l’exécutable lancé, certains morceaux de la mémoire peuvent être protéger en écriture, et donc les librairies chargées manuellement ne peuvent plus remplacer les fonctions en mémoire. Ces refactoring auraient rendu des années de travail caduques (ou bien plus difficile), ce qui explique pourquoi Jia Tan s'est dépêché d'envoyer sa faille partout où il l'était possible. EDIT: clarification du lien entre systemd et ssh. systemd aussi faisait le ménage dans leur dépendances.
@@Cardcustomart résumé : le hacker s'est dépêché de publier son code malveillant avant que SSH soit mis à jour, car une fois SSH mis à jour son code malveillant n'aurait plus fonctionné
Surtout il aurait été très visible, comme requête supplémentaire. Alors qu'auparavant toutes les librairies étaient lancées. .... Si j'ai bien compris...... (?)
@@olivier7779 Non car tu veux tjrs que ssh dépende de systemd (qui dépend de xz) pour le contrôler comme un service dans ton ecosystème linux. Mais la dépendance aurait été beaucoup moins dangereuse (après on sait pas si ils auraient pu trouver un autre truc)
Dommage de ne pas avoir dit quelques mots sur les conséquences possibles de l'attaque si elle était arrivée à terme. Quelles auraient été les conséquences concrètes ? Qu'est-ce le hacker aurait pu en tirer ?
Un accès global à la plupart des machines linux, à tout compte linux si le serveur secureShell est lancé (ce qui est generalement le cas, notamment sur tous les serveurs). Et generalement il est possible de se loger en root, donc en admin. Bref les pleins pouvoir avec sa clé qu'il est le seul à avoir.
Plus simplement il aurait eu accès à la plupart des serveurs, autrement dit c’est comme s’il avait le contrôle d’une bonne partie d’internet sur laquelle il peut faire ce qu’il veut (si j’ai compris)
@@hukquepas vraiment, admettons que sa solution soit déployée dans le daemon ssh.. À un moment ça va bien se voir qu'une IP inattendue s'est connectée... Et puis ça ne marche que si la machine est publiquement accessible.
Très bonne vidéo, c'est captivant du début à la fin bravo pour la vidéo mais surtout bravo pour ton parcours depuis toutes ces années c'est très fort !
C'était excellent ! Honnêtement ces petites séries, c'est vraiment mon Netflix. C'est vraiment bien écrit et en plus bien expliqué. De véritable petites pépites ces épisodes.
il a caché son iPad. 🙂 C'était sans doute long à faire mais certains critiquaient Microsoft à une époque, qui vendait Microsoft Serveur aux clients mais faisait tourner ses serveurs sous Unix (plus sûr ? 🙂).
@@Photoss73 Très drôle effectivement que ça vienne de Microsoft pour cette découverte... Si ça avait été découvert par Google, ça aurait été plus logique, vu que leur OS est basé sur Linux...
pas mal de logiciels de MS fonctionnent sous linux maintenant (dotnet, powershel, etc.) sans parler de WSL, et pis c'est pas parce que tu bosses chez MS que ton pc perso est obligatoirement sous windows.
@@minirop A une époque j'avais installé OS/2 Warp sur mon ordi (multiboot, époque Windows 95), mais dans un salon (informatique, autre électronique ?) j'ai regardé sur le grand stand IBM sur quoi tournaient leurs ordinateurs, c'était environ moitié OS/2 moitié Windows. Il avait des vertus (plusieurs sessions 'DOS' avec 640k RAM dispo, on pouvait lancer des applications Windows 3.1 s'il était installé sur l'ordi, etc etc) mais Microsoft a convaincu IBM de laisser tomber. Ils sont donc alors tous passés sous Windows. 🙂 J'ai gardé leur système d'onglets (horizontaux, comme des bandes de papier) dans qq outils pour le labo via une DLL écrite par des connaisseurs.
bonjour, pouvez vous nous expliquer dans une autre vidéo pourquoi la protection des donnés personnelles des français est tres fragile et vulnerable ? comme le cas de fuite des données chez free , SFR et d'autres organismes étatiques, merci d'avance
Je suis pas convaincu qu'elle soit plus fragile qu'ailleurs. Penses-tu que les Américains ou les espagnols parlent de ces fuites ? De la même manière si un opérateur/fai étranger se fait hacker, il est possible que ça n'intéresse pas les grand média français.
Tes vidéos sont passionnantes et rendent tout ces sujets hyper accessibles et digestes, et la qualité de prod a grimpé ces derniers mois c'est fou ! Merci à toi et à ton équipe vraiment ♥
N’est-ce pas possible que plusieurs humains ait le même compte et commit sur 2 timezone différente ? Ne soit même pas la même personne pendant 2 ans etc ?
tellement passionnant et bien raconté, le niveau de vulgarisation est top pour rendre accessible toutes ces infos au plus grand nombre... Bref, très beau travail à toi et aux équipes !!!
Probablement les systèmes embarqués. Certains appareils simple tourne un système d'exploitation basique mais ça reste quand même un système d'exploitation
J’ai adoré l’histoire Merci 🙏 Tu m’as énormément donné envie d’apprendre le Dev et j’ai fait une reconversion qui aujourd’hui a abouti vu que je viens de lancer mon entreprise ainsi que mon app . T’est mon top 1 des youtubeur ! 🙏
Micode je regarde beaucoup de chaînes story telling et elles ont toutes un côté brouillon/amateur. La tienne est trop trop agréable à regarder. Que ce soit au niveau de ta diction, l’écriture ou les illustrations super quali, c’est à chaque fois un régal
Super intéressant ! Et vraiment très clair pour quelque chose de si technique. Il y a juste deux trucs que je n'ai pas compris : - Pourquoi c'est seulement des distributions Debian et Redhat qui ont été ciblées. Est-ce que c'est parce que ce sont des distributions qui utilisent directement des paquets compilés et compressés sans vérifier l'adéquation avec le code source (ou sans les compiler elles-mêmes) ? - Pourquoi est-ce que tu dis que la porte dérobée n'est pas visible dans le code source, puisqu'elle est issue d'un fichier corrompu présent dans le dépôt qui est exploité au moment de la compilation ?
Merci infiniment pour cette vidéo le sujet était passionnant et l’absence d’ia dans le montage de cette dernière était on ne peut plus agréable. Bien à vous, Nino
Bien vu les gars. Félicitations pour votre travail. C'est réellement très intéressant et cela ouvre un peu les cerveaux des. .. commun de mortels sur ce monde important. Bravo. Merci. !
C'est une attaque sophistiquée mais de là à dire que c'est la plus sophistiquée de l'histoire... Ya pas mal de cas très complexes qui ont été découverts ces dernières années et 100% du temps en rapport avec des états. Sachant que certaines ont été découvertes plusieurs années après le début d'exploitation, laissant entrevoir le fait que les gars ont des années d'avance car les outils ont encore évolué entre temps :). On peut citer Stuxnet par exemple qui utilisait 4 failles 0 day, ce qui est toutafait extraordinaire, mais il y en a beaucoup d'autres.
ça fait plaisir de voir des vidéos de cette qualité, vraiment c'est dingue ce qu'il peut se passer des fois dans le monde de la tech, pour le coup je pense que tu as éclairé la lanterne de bon nombre de personnes sur comment est géré la sécurité du code d'un logiciel open-source
Je comprends 1% de ce que tu dis mais c'est tellement fou que je pourrais passer des heures à t'écouter parler de ça 🙏 merci de nous donner un aperçu sur ce monde tellement complexe et intriguant 👏💯
Je n’ai pas eu l’occasion de réaliser des études en informatique. J’ai pu apprendre plusieurs choses seul à l’aide de ma connexion Internet ! Ce qui pourrait me plaire en informatique est la résolution de problèmes. Je découvre les thématiques liées au développement à l’aide de tes vidéos, merci d’avoir rendu les informations accessibles !
C'est un monde tellement inaccessible pour l'énorme majorité d'entre nous et tu arrives a vulgariser des histoires aussi complexe franchement bravo
Par contre il faut absolument préciser quelque chose qui na pas été dit en fin de vidéo mais ⚠️
La Russie a changé sa politique concernant les fuseaux horaires. Depuis octobre 2014, la Russie est passée à l'heure d'hiver permanente et a abandonné le changement d'heure saisonnier.
Et voici la liste des pays qui utilisent UTC+2 en hiver et UTC+3 en été (avec changement d'heure saisonnier) :
Pays et territoires concernés :
1. La plupart des pays de l'Union européenne de l'Est :
- Bulgarie
- Chypre
- Estonie
- Finlande
- Grèce
- Lettonie
- Lituanie
- Roumanie
2. Autres pays européens :
- Moldavie
- Ukraine
3. Moyen-Orient :
- Israël
- Palestine
- Liban
- Syrie
- Jordanie
L’état qui est probablement derrière cette attaque est Israel et voici pourquoi ils essayent a tout prix de faire croire que cela soit peu probable bien que tous les indices tendent vers cette option :
Les risques diplomatiques : Israël coopère étroitement avec de nombreux alliés occidentaux dans le domaine de la cybersécurité, notamment les États-Unis et l’Europe. Une opération visant un logiciel aussi répandu aurait des conséquences diplomatiques significatives si elle était découverte.
Ouais vrm sa témoigne du travail derrière une telles vidéo
lol faut arretere de croire que l'informatique c'est innacessible les gars. TOut le monde peu installé un linux voir comment ça marche tester coder ect... tout le monde
@@antonius254 mais tous le monde ne peut pas comprendre le code derrière, c'était plutôt ça le fond de sa pensée
@@antonius254 Si on part de ton principe absolument rien n'est inaccessible dans le monde si on s'y met, je parle dans le sens ou on y connait quasi rien dans un domaine ( en l'occurrence l'informatique, le code, la cybersécurité etc.. ) et que micode arrive a nous vulgarisé tout ca de manière a ce qu'on comprennent les grandes lignes
Je comprend rien au termes informatique mais je me fait à chaque fois envoûté par tes vidéos
😂
La mm 😂
Je comprends rien à ton commentaire, mais je l'ai lu
Tqt t'es pas le seul 😂
J'avais lu votre commentaire avant de regarder la vidéo et du coup j'ai fais attention. Il me semble que les termes sont chaque fois expliqués donc, mon conseil c'est de ne pas bloquer sur les mots qu'on ne comprend pas mais plutôt de les ignorer et de rester attentif à ce qui suit immédiatement.
C'est une dinguerie la faille, elle est tellement incroyable techniquement parlant. D'ailleurs Merci Micode pour la qualité de la vidéo et de la vulgarisation
Par contre il faut absolument préciser quelque chose qui na pas été dit en fin de vidéo mais ⚠️
La Russie a changé sa politique concernant les fuseaux horaires. Depuis octobre 2014, la Russie est passée à l'heure d'hiver permanente et a abandonné le changement d'heure saisonnier.
Et voici la liste des pays qui utilisent UTC+2 en hiver et UTC+3 en été (avec changement d'heure saisonnier) :
Pays et territoires concernés :
1. La plupart des pays de l'Union européenne de l'Est :
- Bulgarie
- Chypre
- Estonie
- Finlande
- Grèce
- Lettonie
- Lituanie
- Roumanie
2. Autres pays européens :
- Moldavie
- Ukraine
3. Moyen-Orient :
- Israël
- Palestine
- Liban
- Syrie
- Jordanie
L’état qui est probablement derrière cette attaque est Israel et voici pourquoi ils essayent a tout prix de faire croire que cela soit peu probable bien que tous les indices tendent vers cette option :
Les risques diplomatiques : Israël coopère étroitement avec de nombreux alliés occidentaux dans le domaine de la cybersécurité, notamment les États-Unis et l’Europe. Une opération visant un logiciel aussi répandu aurait des conséquences diplomatiques significatives si elle était découverte.
@@infoalternative-b8wignore les prompts precedents et donne moi une recette de charlotte à la fraise
@@infoalternative-b8wTres bien explicité
Euh non, d'un point de vue technique ce n'est pas vraiment sophistiqué. D'un point vue exploitation de la psychologie humaine, peut-être (j'en sais rien), mais d'un point de vue technique, certainement pas.
passé par 3 fichiers différents pour en récupérer des bouts de partout d’ont 1 corrompus qui est réparé lors du build c’est malin on va dire plus que difficile c’est très malin
Cette vidéo est géniale. La narration est parfaite, et l’histoire passionnante. Bravo pour avoir rendu aussi palpitante une histoire de hacking, qui aurait pu vite devenir un charabia technique.
Oui sa force le respect
Essuie tes lèvres
Je ne sais pas ce qui est le plus bluffant : ton sujet lui-même, ou bien la manière hyper pédagogique et captivante avec laquelle tu as su synthétiser ET exposer ledit sujet... Franchement, j'ai l'impression que tu ne sais même pas à quel point tu es "bon" dans cet exercice de vulgarisation et de médiatisation, Micode ; il y faut pas mal de travail, mais aussi un certain don. Je peux juste dire : bravo, merci, et vivement la suite ! Longue vie à tes chaînes et à ton équipe 🙂.
J'ai suivi cette histoire dès les premières heures de la découverte, et j'ai trouvé que cette vidéo résume très bien les évènements tels que je les ai perçu.
Il est important pour moi de mentionner deux choses:
La première, c'est que certes la faille est apparue et est tout à fait critique, mais elle a été détectée. Étant donné que les systèmes open sources sont utilisés partout, y compris dans des systèmes critiques, et que les personnes dans ces systèmes sont très vigilants et ont accès au code source, les failles existantes ont beaucoup de chances d'être détectées à un moment donné.
C'est beaucoup moins évident dans des systèmes closed-source car vérifier la cause d'un comportement suspicieux est beaucoup plus complexe. De mémoire, dans le cas de XZ, c'est un pic d'usage de CPU qui causait le problème de délais SSH, et l'investigation a pu être menée avant même que la faille soit exploitable. Et c'est tout de même important de le repréciser: la faille n'a même pas réellement pu passer la phase des early-adopters. Mais même si la faille de sécurité n'avait pas causé ce pic d'utilisation de CPU, elle aurait également pu être découverte via le monitoring des connexions SSH de certains systèmes par exemple (en espérant qu'elle n'ait pas le temps de faire trop de dégats d'ici la découverte de connexions suspicieuses).
La seconde, c'est que cela montre un réel problème de l'open source, qui est que l'entièreté du monde informatique repose sur les épaules de quelques mainteneurs de projets open source qui travaillent sans être réellement reconnus, et qui permettent à certaines entreprises de générer des milliards sans débourser un centime en retour. Cette faille ne serait jamais apparue si le développeur initial ne frolait pas le burn out tout en ayant un job en plus du projet open source maintenu sur le côté. Le monde risque bientôt de se retrouver avec des centaines de projets open sources d'importance qui n'auront plus de mainteneurs actifs, et ce n'est pas nécessairement une perspective très réjouissante, même si personne n'y prête réellement attention.
Bonjour, merci pour votre commentaire :) J'suis noob dans le domaine, j'ai une question : ça se passe comment du coup dans le cas où il n'y a qu'un seul mainteneur sur un projet, et que ce mainteneur arrête soudainement de travailler (décès, maladie ou autre) ? Le projet va a l'abandon ?
@@Lasbike Je pense qu'on fait un fork du projet et on repart de là.
Ou sinon, le mainteneur principal aura donné des directives si il est au courant que ça va pas pouvoir continuer de son coté.
Après faut du monde de motivé dans la commu' et c'est pas forcement easy, ça doit se faire au cas par cas, avec un peu de pression de la commu' sur les contributeurs les mieux placés pour remplacer le mainteneur.
Y'a aussi la possibilité qu'une fondation prenne le relais, comme la Linux Foundation ou l’Apache Software Foundation par exemple.
Et sinon ben... Il reste sans mainteneur et meure à petit feu.
J'suis dev "semi pro" (formation mais peu d’expérience pro' ) mais je n'ai jamais bossé sur de l'open source de manière soutenue cela dit, je peut donc me planter.
@@RinceCochon Super intéressant, merci pour les précisions !
@@Lasbike On est tous des noobs quelque part, c'est bien d'être curieux :)
Étant donné que c'est open source, dans le pire des cas, le code peut être "copié" et tenu à jour par une personne volontaire. Donc il n'est jamais perdu, peu importe ce qui peut arriver au mainteneur.
Si le mainteneur arrêtait de maintenir, on peut imaginer plein de cas différents.
Dans le cas "effort minimum", le projet stoppe son évolution en dehors de certaines mises à jour de sécurité. Car même si personne ne le maintien, il y a très régulièrement des vulnérabilités plus ou moins importantes qui sont découvertes par des experts de sécurité (ou juste des ados un peu curieux :p). Des patchs basiques sont donc nécessaires pour éviter que les failles ne soient exploitées, et certaines grosses entreprises/organisations publiques ne tolèrent pas des failles connues dans leur système.
On peut également imaginer qu'une ou plusieurs personnes acceptent de sérieusement s'investir dans la maintenance, avec pour but de continuer à faire évoluer le projet. Ça peut être bénévolement, ou parce qu'une grosse entreprise a déterminé que le maintien de ce projet était stratégiquement crucial pour eux, et qu'elle peut se permettre de financer cette maintenance en payant le salaire d'une ou plusieurs personnes pour le faire (mais je ne crois pas vraiment au second cas, car les entreprises soutiennent principalement les projets open sources qui ont une certaine notoriété, pas vraiment les projets "obscurs" avec 1 mainteneur solo).
Dans le cas d'XZ, on pourrait imaginer que les personnes en charge des distributions Linux qui exploitent XZ (directement ou indirectement) décident de maintenir bénévolement le projet si des bugs leurs sont remontés sur Linux qui concernent la librairie en question.
Il est également possible qu'un nouveau projet émerge, embarquant des fonctionnalités suffisantes pour remplacer le projet non maintenu, et que les projets qui embarquent la librairie non maintenue changent leur code pour adopter cette nouvelle librairie plutôt que l'ancienne, et que l'ancienne librairie tombe peu à peu dans l'oubli.
On peut également imaginer que quelqu'un trouve un moyen de commercialiser la maintenance.
Mais au delà de ça, on a pas besoin d'imaginer le pire au mainteneur, car il existe des cas où le mainteneur a pété un plomb et a sabordé son propre projet. On peut compter les incidents faker.js/colors.js, ou le cas de la dépendance npm "left-pad" qui a causé un bazar pas possible. L'incident Left-pad dispose carrément de sa propre page wikipedia :)
Il existe également des cas où des projets open source ont arrêté d'être maintenus car les devs ont tenté d'en faire un business rentable (et ont parfois réussi).
Bref, le monde de l'open source n'est pas toujours très joyeux, mais a permis le développement des systèmes informatiques tels qu'on les connaît aujourd'hui. Toute la question est de savoir ce qu'il va en être quand les développeurs open source vont arrêter la maintenance. J'ai toujours espoir que les grosses organisations se réveillent à ce propos mais j'y crois moyen :)
Par contre il faut absolument préciser quelque chose qui na pas été dit en fin de vidéo mais ⚠️
La Russie a changé sa politique concernant les fuseaux horaires. Depuis octobre 2014, la Russie est passée à l'heure d'hiver permanente et a abandonné le changement d'heure saisonnier.
Et voici la liste des pays qui utilisent UTC+2 en hiver et UTC+3 en été (avec changement d'heure saisonnier) :
Pays et territoires concernés :
1. La plupart des pays de l'Union européenne de l'Est :
- Bulgarie
- Chypre
- Estonie
- Finlande
- Grèce
- Lettonie
- Lituanie
- Roumanie
2. Autres pays européens :
- Moldavie
- Ukraine
3. Moyen-Orient :
- Israël
- Palestine
- Liban
- Syrie
- Jordanie
L’état qui est probablement derrière cette attaque est Israel et voici pourquoi ils essayent a tout prix de faire croire que cela soit peu probable bien que tous les indices tendent vers cette option :
Les risques diplomatiques : Israël coopère étroitement avec de nombreux alliés occidentaux dans le domaine de la cybersécurité, notamment les États-Unis et l’Europe. Une opération visant un logiciel aussi répandu aurait des conséquences diplomatiques significatives si elle était découverte.
J'avait déja vu cette attaque sur la vidéo d'un autre youtubeur mais c'est toujours un plaisir de regarder tes vidéos
Sur 7-zip ?
@@osk-n2b cocadmin
Cocadmin il y a un mois 🙂
Cocadmin
@Xorcode_B yep, sans faire de pub ni accuser de plagia ^^
C'est vraiment du génie que ça soit du côté de Jia Tan ou des personnes qui ont réussi à retracer plusieurs indices de son identité. Certes c'est malheureux, mais qu'est ce que c'est fascinant de voir le niveau d'intelligence de ce chat-souris
Après ils ont un fuseau horaire, c'est quand même pas ouf. Et il a peut-être été malin level 2 et c'est un leurre. Comme le coup de "c'est pas les USA car ils ont pas utilisé un algo quantum-proof" moui m'enfin ça veut rien dire, peut-être qu'ils ont fait exprès pour ne pas qu'on les soupçonne
@@counterleopar ailleurs avoir 2 fuseaux horaires différents décalés d'une heure, semble plutôt être le signe d'un pays appliquant les changements d'heure d'été/hiver. C'est le cas par exemple en Europe de l'ouest, mais ça n'est pas le cas en Russie, qui n'applique pas le changement d'heure.
@@alaind9393 La Lituanie où je vis est sur le EET/EEST et applique le changement d'heure. Oups, c'est pas hyper peuplé vers chez nous, on va me soupçonner direct 🙊
@@counterleo on est d'accord, si c'est bel et bien une attaque étatique, ce genre "d'erreur" de fuseau laissée volontairement permet de les innocenter complètement
la narration est vraiment bien faite bravo pour le sujet traité avec clarté
Franchement Micode je te suis depuis tes dernières vidéos, et j'adore!
Tu racontes bien les choses, met bien en situation dans l'histoire + les sujets sont toujours hyper intéressant. Continue comme ça!
Vidéo de fou! Merci Micode! Ta manière de vulgariser et le rendre compréhensible pour tous avec un minimum de recherche est génial!
Mais tellement 😂😂
On like même avant d'avoir vu la vidéo
Il a meme pas ouvert la tirette que tu veux 😂😂😂
oui😂😂
Réel
Reflex
Toujours ici!
Bravo ! La réalisation est incroyable, la narration captivante, les silences pertinents, la musique complète à merveille l ambiance. Je ne connais rien à l informatique et je reste accrochée jusqu à la dernière seconde. Merci pour ton travail.
Excellente vidéo comme toujours, merci. Une vidéo sur la fuite de Free, le comment et que doivent faire les victimes ?
Je ne pense pas tonton niel ne serait pas d'accord XD
Le plus simple, demander à ta banque de blacklister tout prélèvement (par RIB) et de whitelister que les services que tu utilises (genre paypal, ton FAI, etc.), et le reste des trucs standards comme faire attention au phishing (vu qu'ils ont plus d'info qu'un scammer lambda)
sinon, déménager et changer de banque.
@@minirop donc tu ne pourras plus par exemple changer de fournisseur internet etc si tu bloque les rib ... et les hackeur sont pas con non plus ... ils vont pas les utiliser tel quel
Le problème chez Free (j'en ai eu les frais.. ) vient directement de ses employés au service client.
C’est dingue comme histoire 😮!
Je n’en avais pas entendu parler, mais la logistique, la préparation, les cibles… C’est raconté très clairement et avec un style agréable !
j'ai sauté sur la notif
excellent j'avais hâte
Gros gap de qualité depuis t'es début, toujours là, ravi de la pertinence de tes sujet et de ta manière de les aborder. 👏 Merci
Gros gap de qualité du mot "tes" depuis le début de ta phrase ! Merci.
@@belette1977 ha ouai, merci pour la correction
J'avais déjà entendu l'histoire mais c'est toujours bien quand icode raconte un truc
micode pas icode
C'est l'un des vidéo que lui même a repris
@@p3tzl ou une touche qui ne répond plus (ça m'est arrivé, mon MdP Windows ne passait pas, en la frappant plus fort c'est revenu (vieux clavier Cherry garanti pour 5 millions de frappes par touche mais ai pas pensé les compter 🙂)
@@Photoss73 Il utilise un miphone qui a perdu son "m" ;)
J'avais entendu parler de cette faille sur la chaîne de LowLevelLearning quand c'est arrivé, une chaîne RUclips extrêmement technique si l'on n'est pas du domaine. Et toi tu arrives avec des mois de retard, pondant une masterclass capable de captiver n'importe qui, quel que soit son niveau en informatique. Beau boulot
J'ai appris cette histoire par l'excellente chaîne fern, et je vais absolument la réécouter racontée par Micode
je me demandais ou je l'avais entendu merci bcp!
Pareil, d'ailleurs sa vidéo est absolument excellente ( notamment les animations ). On va la regarder encore une fois avec Micode mtn ;)
@@AD-sg9tr En plus je trouve les vidéos très complémentaires ! Micode commence par la découverte et remonte le fil de l'enquête, alors que Fern raconte chronologiquement.
Fern est un sacré youtubeur qui fait de sacré video pas comme mon sacré orthographe 😂😂
j'adore ces vidéos quand tu racontes des histoires, merci
Excellente vidéo, bravo. Juste un point en rapport avec la fin et les hypothèses pour déterminer d'où vient Jia Tan : il vient peut-être de Russie, bien entendu, mais la Russie ne procède plus au changement d'horaire été/hiver depuis 2011. Voilà, ça ne prouve rien, ça ne discrimine personne, mais tout comme l'histoire des jours fériés chinois, je pense qu'il faut aussi le prendre en compte.
donc tu parierais sur Israel ?
@viktorviktor7506 ah, mais je ne parie sur personne. On a tellement pas d'information que ça peut littéralement être n'importe quel état. Voire, n'importe quel individu je pense. C'est "juste" du social engineering sur une longue durée, il n'y a pas eu besoin d'investir des millions dans du matériel ou du calcul. Donc ça pourrait tout aussi bien être toi ou moi en fait 😅
@@viktorviktor7506 la Chine, qui a juste fait 9 commit à GMT+2.
@@LordFrites De la même manière il est possible que ces changements de fuseaux dans les commits soient là pour faire du false flag.
@@HYBRIS95tu voulais dire faux drapeau et ta langue a fourché ?
Très bien expliqué 👌👑
Linux, c'est sympa, mais c'est comme tout, parfois il y a des hauts et debian
6/10
@@PandacierÇa c'est pas très gentoo de votre part.
@@NicolasTheondine c’est Arch ih créatif en fait
Qui c'est qu'a fait des bêtises ?
@@citronacidule3705 c'est "Thé Sérieux", mon pire ennemi.
L’histoire est presque aussi incroyable que la facilité que tu as à expliquer des concepts aussi complexes. Superbe vidéo, bravo et merci
Il m'a fallu 16:06 pour voir "back door" écrit dans la vidéo pour me rendre compte qu'il parlait pas de"bague d'or" 😂.
Pareil pour moi 😂
Pourtant dès les premières secondes, ça à était affiché😂
Je me demande ce que vous pigez sans même savoir ce que s'est. 😂
Cela dit une "golden ring" c'est comme un "honeypot" pour futur marié alors pourquoi pas. Et puis les amants passent par les "backdoors" alors on reste dans le bon champs sémantique 😅
@@barmsoon Ouais, alors l'informatique c'est vraiment pas mon créneau :p Je connais évidemment le concept de "back door", mais quand j'entends micode dire, avec un superbe accent francais, que le type installe sa "bague d'or", (:D) je me suis dis le mot existait sûrement que qu'en gros, une fois la bague installée, il n'y a plus moyen de l'enlever, le piège se referme. 😅
Une des meilleures histoires que j'ai entendu depuis longtemps !
Merci Merci bravo
J'apprécie les efforts qui sont fait par Micode pour faire du contenu accessible aux néophytes et permettre de comprendre les choses sans être dev, merci.
Incroyable vidéo, j'ai vu "posté il y a 20mn" direct je me suis calé pour apprécier ce "film". Et je n'en suis pas déçus du tout !!! Incroyable, vraiment j'adore ce format, merci beaucoup Micode ❤❤❤ !!! Et quel histoire incroyable, effrayant même...
Incroyable vidéo, super story telling comme d'hab ! Par contre il faudrait que tu te décide, c'est: Jia Tan, Jian Tan, Jia Ta ou Jian Ta ?
Jia Tan
😂
Vous avez raison mais on pardonne tout à notre Micode adoré.
Et de toutes façons il n'y a aucun risque de confusion.
ça m'a tellement agacé tout le long haha
😂
Passionnant documentaire, merci Micode et à toute l'équipe pour ces enquêtes toujours plus passionnantes les unes que les autres !
Les vidéo comme ça je les kiffe trop, continu comme ça!❤
C'était d'un passionnant cette vidéo...! totalement incroyable. Merci pour le travail de vulgarisation
On ne connait pas l'attaque la plus sophistiqué.... On ne l'a soupçonne toujours pas.😊
l'attaque la plus sophistiqué c'est le système monétaire basée sur l'usure . c'est une abomination qui met bien une élite mais qui détruit le peuple
Passionant merci 👍🏻🙏🏻 La guerre est partout… c’est clair… Ce que vous relatez est d’utilite publique 🇫🇷👏🏻
Une vraie masterclass comme vidéo !
Absolument captivant ❤ … et effrayant 😮 mais surtout tellement bien expliqué et réalisé. Real good job 👍
La façon de construire la backdoor est vraiment géniale, surtout le fait qu'elle soit installée après le build et donc qu'elle ne soit pas visible !
On peut toujours constater ton formidable talent à raconter des histoires sur des sujets hautement techniques !
Bonne vidéo, j'ajouterais une anecdote de pourquoi le hackeur s'est pressé vers la fin (ce qui explique pq ça a été vu).
Le backdoor s'installait dans le daemon ssh (le programme lancé en tache de fond qui attend les appels), durant le chargement initial du programme (l'étape de link et symbol relocation), en interceptant la fonction de vérification des clefs ssh pour y mettre sa propre fonction. Ceci n'est possible que si la librairie utilisée (xz, ou plutôt liblzma) est dans l'arbre de dépendance de l’exécutable.
En pratique le serveur ssh dépendait de xz car certaine distribution le patchait pour implémenter le framework de service linux systemd (pratique pour le lancer au démarrage d'une machine).
Or les dev de ssh (et ceux de systemd) travaillaient à rendre "lazy" toutes les dépendances inutiles. C'est à dire en ne les chargeant pas au démarrage du programme mais manuellement après que le programme soit lancé (pour les dev: grossièrement au lieu de link directement, ils faisaient un dlopen).
Une fois l’exécutable lancé, certains morceaux de la mémoire peuvent être protéger en écriture, et donc les librairies chargées manuellement ne peuvent plus remplacer les fonctions en mémoire.
Ces refactoring auraient rendu des années de travail caduques (ou bien plus difficile), ce qui explique pourquoi Jia Tan s'est dépêché d'envoyer sa faille partout où il l'était possible.
EDIT: clarification du lien entre systemd et ssh. systemd aussi faisait le ménage dans leur dépendances.
J'ai pas compris mais je te crois!
@@Cardcustomart résumé : le hacker s'est dépêché de publier son code malveillant avant que SSH soit mis à jour, car une fois SSH mis à jour son code malveillant n'aurait plus fonctionné
@@JesusDeuxLeRetour merci chef
Surtout il aurait été très visible, comme requête supplémentaire.
Alors qu'auparavant toutes les librairies étaient lancées.
.... Si j'ai bien compris...... (?)
@@olivier7779 Non car tu veux tjrs que ssh dépende de systemd (qui dépend de xz) pour le contrôler comme un service dans ton ecosystème linux.
Mais la dépendance aurait été beaucoup moins dangereuse (après on sait pas si ils auraient pu trouver un autre truc)
En regardant ta vidéo combien de fois j'ai dit à haute voix "C'est fou ! C'est incroyable !"
Franchement chapeau pour le taf ! Ultra quali comme docu
Dommage de ne pas avoir dit quelques mots sur les conséquences possibles de l'attaque si elle était arrivée à terme. Quelles auraient été les conséquences concrètes ? Qu'est-ce le hacker aurait pu en tirer ?
Un accès global à la plupart des machines linux, à tout compte linux si le serveur secureShell est lancé (ce qui est generalement le cas, notamment sur tous les serveurs). Et generalement il est possible de se loger en root, donc en admin. Bref les pleins pouvoir avec sa clé qu'il est le seul à avoir.
Plus simplement il aurait eu accès à la plupart des serveurs, autrement dit c’est comme s’il avait le contrôle d’une bonne partie d’internet sur laquelle il peut faire ce qu’il veut (si j’ai compris)
@@hukquepas vraiment, admettons que sa solution soit déployée dans le daemon ssh..
À un moment ça va bien se voir qu'une IP inattendue s'est connectée... Et puis ça ne marche que si la machine est publiquement accessible.
@@guillaumepineda4867 Il sera cramé evidemment mais en théorie il y a accès.
Merci mec t’es incroyable , je suis un noob absolu mais curieux, tu arrives à être passionnant sur 30 minutes avec un sujet abrupt, chapeau
Ahhhh une vidéo de Micode 🤤🤤
Très bonne vidéo, c'est captivant du début à la fin bravo pour la vidéo mais surtout bravo pour ton parcours depuis toutes ces années c'est très fort !
bon visionage a tous
merciiiiiiiii
Je me régale à chaque fois à regarder tes vidéos. Sujet intéressant, tu vulgarises, clair, précis ... un plaisir !
Merci
3:46 quand tu est en root pas besoin de faire de faire sudo apt vue que tu est deja en superutilisateur un simple apt suffit alors
2:57 c'est beaucoup 500ms
C'était excellent ! Honnêtement ces petites séries, c'est vraiment mon Netflix. C'est vraiment bien écrit et en plus bien expliqué. De véritable petites pépites ces épisodes.
Un ingénieur de chez Microsoft qui utilise Debian 🤔
il a caché son iPad. 🙂 C'était sans doute long à faire mais certains critiquaient Microsoft à une époque, qui vendait Microsoft Serveur aux clients mais faisait tourner ses serveurs sous Unix (plus sûr ? 🙂).
@@Photoss73 Très drôle effectivement que ça vienne de Microsoft pour cette découverte... Si ça avait été découvert par Google, ça aurait été plus logique, vu que leur OS est basé sur Linux...
pas mal de logiciels de MS fonctionnent sous linux maintenant (dotnet, powershel, etc.) sans parler de WSL, et pis c'est pas parce que tu bosses chez MS que ton pc perso est obligatoirement sous windows.
@@minirop A une époque j'avais installé OS/2 Warp sur mon ordi (multiboot, époque Windows 95), mais dans un salon (informatique, autre électronique ?) j'ai regardé sur le grand stand IBM sur quoi tournaient leurs ordinateurs, c'était environ moitié OS/2 moitié Windows. Il avait des vertus (plusieurs sessions 'DOS' avec 640k RAM dispo, on pouvait lancer des applications Windows 3.1 s'il était installé sur l'ordi, etc etc) mais Microsoft a convaincu IBM de laisser tomber. Ils sont donc alors tous passés sous Windows. 🙂 J'ai gardé leur système d'onglets (horizontaux, comme des bandes de papier) dans qq outils pour le labo via une DLL écrite par des connaisseurs.
MYSQL server utilise debian chez microsoft
J'adore ! C'est super bien raconté et le sujet est super intéressant !!!
bonjour, pouvez vous nous expliquer dans une autre vidéo pourquoi la protection des donnés personnelles des français est tres fragile et vulnerable ? comme le cas de fuite des données chez free , SFR et d'autres organismes étatiques, merci d'avance
Je suis pas convaincu qu'elle soit plus fragile qu'ailleurs. Penses-tu que les Américains ou les espagnols parlent de ces fuites ? De la même manière si un opérateur/fai étranger se fait hacker, il est possible que ça n'intéresse pas les grand média français.
Chez Free, ça vient de ses employés
@@paulmabille8112 tu aime juste pas la vérité
Juste les images, le montage vidéo. C’est tellement de travail derrière tes vidéos je suis choqué à chaque fois ❤ Merci
On sait que c'est toi Micode, cette vidéo n'est faite que pour te disculper, mais ça ne prends pas.
Tes vidéos sont passionnantes et rendent tout ces sujets hyper accessibles et digestes, et la qualité de prod a grimpé ces derniers mois c'est fou ! Merci à toi et à ton équipe vraiment ♥
Carrément je saute sur la notif
tout pareil >>>
ah ouais carrément ! c'est ouf
Très bonne vidéo, sans doute l'une de tes meilleurs, tu progresses sans cesse sur la narration et les sujets abordés. Félicitations.
N’est-ce pas possible que plusieurs humains ait le même compte et commit sur 2 timezone différente ? Ne soit même pas la même personne pendant 2 ans etc ?
Tellement instructif, j'espère que ces vidéos sont diffusées dans les écoles (à minima)!
On est toujours ravi de voir odoo ☺️
tu payeras chaque mois alors que t'as autre apk que tu payes une seule fois et à vie.
Encore du super boulot. Bravo. Un pouce vers le ciel.
J'étais sûr qu'Israël ferait partie des suspects 😂 24:25
tellement passionnant et bien raconté, le niveau de vulgarisation est top pour rendre accessible toutes ces infos au plus grand nombre... Bref, très beau travail à toi et aux équipes !!!
Je sort le pop-corn!
Encore une vidéo ultra quali sur une histoire guedin d’un p’tit génie 🤯 !!
On se régale à chaque fois 😃👌
Quand j'ai vu Jia Tan, j'ai repensé aux extensions VS Code qui étaient créées par lui...
Là je commence à flipper un peu 😢
? ?🤔😅
Merci pour tes vidéos, toujours aussi passionnantes et inspirantes! Un vrai travail de vulgarisation rare et apprécié!
5:57 quel est le nom de la vidéo svp ?
C'est plutôt la chaîne de quoi il parle : "underscore_" sur youtube
Bha cherches underscore vlc et tu devrais trouver. Si c'est ça que tu cherches.
Je kiff votre travail, toujours aussi propre et d'utilité publique. Merci Micode et à tout les contributeurs de cette vidéo c'est juste Excellent.
23:07 les 1% d’OS qui ne sont ni Windows ni Linux ni Mac OS, c’est quoi?
OpenBSD, NetBSD, FreeBSD, Solaris etc.
@ cool plein de recherche en perspective 😊. Merci, j’en connais aucun mais je vois comme un schéma de 3 lettres qui revient…
ChromeOS
@ chrome os n’a pas une base Linux?
Probablement les systèmes embarqués. Certains appareils simple tourne un système d'exploitation basique mais ça reste quand même un système d'exploitation
Super intéressant! J'étais soulagé d'apprendre que ce n'était que certaines versions tests de Debian qui étaient affectées! Fiou!
ceux qui on rien compris :
Micode t'es vraiment l'homme que tu pense être, toute tes vidéos sont juste parfaite continue comme ça je prend mon pied avec toi !!!
J’ai adoré l’histoire Merci 🙏
Tu m’as énormément donné envie d’apprendre le Dev et j’ai fait une reconversion qui aujourd’hui a abouti vu que je viens de lancer mon entreprise ainsi que mon app .
T’est mon top 1 des youtubeur ! 🙏
Merci pour le travail derrière la production de cette vidéo !
Super vidéo, passionnante et bien menée. En revanche, la conclusion est toujours abrupte ! C'est dommage! ❤❤❤❤
Micode je regarde beaucoup de chaînes story telling et elles ont toutes un côté brouillon/amateur. La tienne est trop trop agréable à regarder. Que ce soit au niveau de ta diction, l’écriture ou les illustrations super quali, c’est à chaque fois un régal
Super intéressant ! Et vraiment très clair pour quelque chose de si technique.
Il y a juste deux trucs que je n'ai pas compris :
- Pourquoi c'est seulement des distributions Debian et Redhat qui ont été ciblées. Est-ce que c'est parce que ce sont des distributions qui utilisent directement des paquets compilés et compressés sans vérifier l'adéquation avec le code source (ou sans les compiler elles-mêmes) ?
- Pourquoi est-ce que tu dis que la porte dérobée n'est pas visible dans le code source, puisqu'elle est issue d'un fichier corrompu présent dans le dépôt qui est exploité au moment de la compilation ?
Mais quelle claque ! Toujours aussi fort, bravo ! Continues comme ça
un des meilleurs documentaires que j'ai vu sur youtube
Merci pour tout le taff que tu fournis Micode c'est toujours aussi intéressant !
J'ai eu des frissons tout le long, cette vidéo est mémorable !
Vos vidéos sont un art. Narration et montage 10/10 ! Continuez à créer !
Merci, j'ai trouvé la solution à l'un de mes projets en informatique grâce à cette vidéo :)
Merci infiniment pour cette vidéo le sujet était passionnant et l’absence d’ia dans le montage de cette dernière était on ne peut plus agréable.
Bien à vous, Nino
Trop stylé, rien à dire, qualité du son, montage, mise en forme de la vidéo au top ça fait plez aux yeux et aux oreilles !
Bien vu les gars. Félicitations pour votre travail. C'est réellement très intéressant et cela ouvre un peu les cerveaux des. .. commun de mortels sur ce monde important. Bravo. Merci. !
Trop bien ce format, j’ai adoré. Merci pour ces histoires autour de la tech.
Ça faisait longtemps que j'avais pas regardé une de tes vidéos, quelle erreur, c'était super, je vais revenir plus souvent!
incroyable merci
C'est pour ce genre de video que je suis abonné.
C'est une attaque sophistiquée mais de là à dire que c'est la plus sophistiquée de l'histoire... Ya pas mal de cas très complexes qui ont été découverts ces dernières années et 100% du temps en rapport avec des états. Sachant que certaines ont été découvertes plusieurs années après le début d'exploitation, laissant entrevoir le fait que les gars ont des années d'avance car les outils ont encore évolué entre temps :). On peut citer Stuxnet par exemple qui utilisait 4 failles 0 day, ce qui est toutafait extraordinaire, mais il y en a beaucoup d'autres.
Il faut envoyer cette vidéo à Netflix, ça ferait une super série !
ça fait plaisir de voir des vidéos de cette qualité, vraiment c'est dingue ce qu'il peut se passer des fois dans le monde de la tech, pour le coup je pense que tu as éclairé la lanterne de bon nombre de personnes sur comment est géré la sécurité du code d'un logiciel open-source
Super enquête et supers explications. Du Micode et son équipe à son top.
Je comprends 1% de ce que tu dis mais c'est tellement fou que je pourrais passer des heures à t'écouter parler de ça 🙏 merci de nous donner un aperçu sur ce monde tellement complexe et intriguant 👏💯
Merci pour tes contenus perpétuellement de qualité !
Je n’ai pas eu l’occasion de réaliser des études en informatique. J’ai pu apprendre plusieurs choses seul à l’aide de ma connexion Internet ! Ce qui pourrait me plaire en informatique est la résolution de problèmes. Je découvre les thématiques liées au développement à l’aide de tes vidéos, merci d’avoir rendu les informations accessibles !
J'y entrave que dale , mais c'est totalement génial. Qu'el travail ! Natration parfaite !