วีดีโอ

Bonjour, Un petit détail à noter c'est que le son de ta voix est très bas. Merci pour la vidéo!

Ce genre d'attaque n'est pas nouveau, au moins, sa à secoué un peu les puces de ceux qui font le forcing et permettre de trouver de nouvelles solutions de traçage de confiance, sa arrivera encore, tout ceux qui utilisent linux le sais, c'est aussi pour ça que sa reste un OS de confiance, si il y as une faille, membres de la communauté la trouveras sûrement, pas comme la dernière grosse faille de la grosse pomme, celle là, elle est vache, qui touche tout le matériel Mac OS...

9:06 Le mec est pas au courant que les pays occidentaux sont largement devant et depuis plus longtemps que les pays qu'il cite ? 9:15 MDR !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Respect !! Je ne vois pas la raison de s'excuser..de la longueur de ta vidéo, le sujet étant éminemment pointu, ça prend le temps que TU es disposé à y consacrer ton expertise, ton talent.....Les zozos qui croient tout apprendre en un clic passeront leur chemins, et les autres continueront à te suivre, parce que tu as la passion et surtout le talent qui font toute la différence Respect et merci !!! cordialement.

Je ne suis pas informaticien j'utilise Windows j'utilise iOS Android j'ai touché un petit peu à Linux mais de loin on utilisateur tout ce que je peux dire c'est que je trouve qu'en ce moment y a beaucoup de cons le de ******* le problème c'est que ces gens-là ils comprennent pas qu'on vit dans le même qu'on vit dans le même bocal alors que ça soit en informatique ou physiquement ou dans la vie réelle tout le mal qu'il peut faire il va finir par retomber sur leur ****** et je n'arrive pas à comprendre pourquoi ce type de personne dépense de son énergie à vouloir obtenir le chaos mais bon ça doit être le propre de la race humaine à la revoyure

Ah mince encore les méchants russes.

Une petite (ironie inside) réaction sur le sujet général Linux/open-source/logiciel libre... Déjà, même si Linux règne sur le monde des serveurs, il règne d'abord et avant tout pour une question de prix, et pas d'idéologie - on paie un ingé pour mettre au point une lame, même si ça prend trois fois plus de temps qu'une solution propriétaire pour le faire, puis on réplique la configuration sur les centaines de lames du datacenter juste avant de virer l'ingé en question... Une solution propriétaire, en plus du coût des licences par lame, coûte aussi un minimum en maintenance et non pas juste lorsqu'une faille 0-day est trouvée. Dans le monde desktop, Linux, c'est en gros 6% des machines, et c'est partagé sur des dizaines de distros différentes avec leurs ayatollahs respectifs... Quoi qu'on en dise, Linux, ça ne marche dans le grand public que si c'est enterré et invisible (une box, un smartphone, ou le serveur Web auquel on se connecte). Les exceptions ne font pas les règles. Deuxième point, l'open-source. L'argument en faveur, c'est "tout le monde peut contribuer et relire le code pour s'assurer que ça fait bien ce qu'il faut". Ouais. Sauf que PERSONNE ne relit ce code, ou presque, et c'est bien là le souci. Déjà, il faut le niveau pour être capable de relire ce genre de code, surtout que c'est massivement du C ou du C++ - donc on peut recaler une énorme partie des informaticiens qui ne biberonnent que du Java(script), du Python ou encore des CMS en PHP. Même parmi ceux connaissant effectivement ces deux langages bas niveau, peu sont assez doués pour analyser un code qu'ils n'ont pas écrit : quand on accepte de livrer du code contenant 200 warnings semi-critiques par module et que l'on ne comprend ni la philosophie, ni les concepts avancés de ces langages, c'est difficile de savoir où un code malicieux pourrait bien se cacher ! Ensuite, on a la communauté du "libre". On ne va pas se mentir, c'est encore plus toxique que le forum JV18/25, ce truc. Entre les intégristes façon Stallman ("Sois libre ou sois mort !"), les idéologistes directement issus du communisme façon 68 et les geeks de cave qui vivent d'attention et de validation encore plus qu'une instagrammeuse abonnée aux séjours à Dubaï, ça laisse assez peu d'interlocuteurs ouverts et capables de discuter du VRAI sujet, à savoir du logiciel lui-même. Cette communauté est la raison pour laquelle, lorsqu'il existe douze librairies (incompatibles entre elles) effectuant une tâche donnée, et que l'on a une demande pour une nouvelle fonctionnalité jusque là non implémentée, on se retrouve avec une treizième librairie (toujours incompatible avec les autres) faisant certes cette tâche, mais n'effectuant pas correctement les précédentes... Parce qu'une guerre d'egos a fait que personne n'a voulu "céder" face à un "concurrent" pour fournir un meilleur logiciel à l'utilisateur final, ou même pour simplement changer sa licence de distribution. Les mecs, il y a une raison si même Linus Torvalds dit que l'intégration continue de Linux est impossible parce que les distributions ne sont pas cohérentes les unes avec les autres... Chose amusante, les mêmes vont se gargariser du fait qu'on peut customiser leur truc au point de choisir la couleur du reflet dans les boutons. Cool, sauf qu'on s'en tape, 99.99% des gens ne modifieront JAMAIS ce paramètre, qui consomme pourtant du code, de la RAM et de l'énergie, et que beaucoup préfèreront avoir une accélération matérielle digne de ce nom plutôt qu'un gadget qui finit par être dessiné pixel par pixel dans un framebuffer. Phénomène similaire avec les fichiers de configuration "obligatoires", contenant 300 paramètres tous plus obscurs les uns que les autres mais qui est incapable de fonctionner "out-of-the-box" sans aller tripoter ledit fichier au moins une fois. Points bonus quand les mêmes paramètres doivent être recopiés plus ou moins à l'identique (la syntaxe commune, c'est pour les faibles) dans plusieurs fichiers de configuration. À l'opposé, on a aussi le "code unique", et quoi qu'il se passe, on se retrouve devant un phénomène quasi-religieux de ne pas vouloir faire quelque chose d'autre "parce que ça existe déjà", que personne ne peut réellement y contribuer si ça ne vas pas dans le sens du mainteneur principal, et surtout que personne ne CHERCHE à faire mieux ou à améliorer. Les librairies Qt sont gavées de tels exemples (zlib liée via QByteArray, mais non-exposée, interfaçage avec 7zip.lib, ou encore utilisation du XML dans QSettings). Mais on rejoint ce problème avec cette faille, à savoir poser "xz" comme seule possibilité pour certaines opérations. Bref, ceux qui contribuent au libre à titre gracieux permettent surtout à des gens de réduire le nombre d'emplois dans l'informatique, donc se sabordent eux-même, tout en permettant en plus de vendre leur travail à des prix prohibitifs via les fameux "contrats de support", les licences "GPL mutables en commercial", les "séminaires de formation" et, de façon générale, l'absence de documentation (ou sa piètre qualité, les ingés - et moi le premier - étant tous des tanches pour rédiger de la doc claire et complète) ou d'intégration (ah, pardon, le "packaging" et la sacro-sainte "installation personnalisée"...). Je bosse dans une boîte où on a UN spécialiste Linux (il est même contributeur kernel), pour des CENTAINES de développeurs Windows. Je ne compte même plus le nombre de fois où on a éclaté du GPL ou équivalent via des trucs "un poil" plus puissants que les licences de la FSF, comme le secret défense. Rien n'est reversé : ni code corrigé, ni améliorations, ni le moindre centime. Pour ma part, j'ai par exemple corrigé des trucs dans QQuaternion, ben ça reste sur mon projet et ça n'en sortira pas. Je ne compte même plus le nombre de bugs que j'ai corrigé (ou d'améliorations effectuées) dans Qt... Dans le même temps, on paie des licences commerciales rubis sur l'ongle, mais contrairement au libre, j'ai une réponse du support dans la journée - le plus long fut deux semaines, avec fourniture d'un patch + correction ajoutée à la version suivante du produit. Les tickets sur les logiciels libres ? Je n'en fait même plus : ça prend des MOIS pour avoir un accusé-réception (puis deux secondes pour avoir le refus parce que ça n'entre pas dans la matrice mentale du mainteneur). Je ne dis pas que faire du logiciel libre (du vrai, façon MIT, pas façon GPL) est mauvais, j'en ai fait moi-même. Je dis qu'il faut le faire par volonté de filer un coup de main, et pas pour tenter de battre qui que ce soit ni pour tenter d'imposer une quelconque idéologie. Il faut le faire comme on diffuse un algo intéressant, ou comme on peut résoudre les problèmes des gens sur Stack Overflow ou similaire : par plaisir. À partir du moment où on commence à parler pognon, ou à "devoir" du code et/ou du temps de travail, ça pue. Parce qu'on ne peut pas assurer un support comme une entreprise commerciale, que certains d'entre nous ont une famille et/ou un métier pour pouvoir bouffer, et que si le logiciel devient "fiable", il SERA récupéré commercialement. Et prendre de l'aide tierce aboutira systématiquement soit à une surchage de travail pour le mainteneur, soit à des failles de sécurité comme celle de "xz". On peut aussi légitimement se poser la question de savoir s'il est éthique de faire du fric sur le boulot fait gracieusement par des geeks et nerds divers et variés, mais le souci n'est pas l'éthique, mais la légalité... Or, imposer une licence virale comme la GPL, ou des interdictions d'utilisation commerciale, n'est qu'un leurre destiné à filer un faux sentiment de "sécurité" - je garantis que ces licences sont défoncées comme des ados rebelles dans un slasher, et au QUOTIDIEN, parce que PERSONNE n'est capable d'aller vérifier leur mésusage, et que le client final a tout intérêt à ne pas s'en plaindre vu que le prix qu'il paie sera largement majoré sinon. Et on parle de projets chiffrés en millions d'euros, hein, pas du prix d'une licence Word. Bref, le libre et/ou l'open-source, c'est bien, mais faire tourner des systèmes critiques avec, c'est clairement aussi dangereux que prendre un logiciel iranien/israëlien/chinois binaire et l'exécuter sans se poser la question de savoir d'où il vient. Aucun des deux n'est bon, parce qu'aucun des deux n'est exempt de failles liées au social engineering et que c'est actuellement la faille de sécurité la plus importante qui soit.

Ca rapelle aussi comment wikipédia a fini par être au mains de quelques immenséments riches et 3 ou 4 autres personnes qui le dirrigent et bloquent ou pas certaines pages seon qu'elle leur plaise ou pas. Un si gros truc gratos est impossible et si en plus one ne donne pas tous un € par ci par là hé bien au fianal quelques personnes finissent par en prendre le pouvoir.

Evidement l'autre comique de micro machin a suaté sur le truc qu'il voyait arriver de loin tout à fait par hasard th-cam.com/video/a6uR-iGVh7k/w-d-xo.html

C'est tout de même gros le mec de microsoft qui est là on ne sait pas pourquoi et qui met le gdoigt sur un raletissement en SSH trop gros comme pilule. Par contre ca fait des ans que les "petits mous" ne cessent de tenter de tapper sur l'open source et de sa surveillance qui serait sa 1ere faiblassie et la PIF poil par hasard un mec de chez eux découvre.... non mais .

+1 abonné continue tes vidéos

Tu chies mal ? C'est les russes.! Ta copine se barre ? C'est les russes ! Il fait froid ? Etc etc etc etc etc

Ha ... encore les méchants Russes , hou les vilains ! surtout quand c'est Microsoft qui indique avoir subi une attaque orchestrée par Nobelium, aka APT29 . A croire que ce qu'affirme Microsoft est parole d’évangile pour certains🤣

Tout d'abord, je tiens à te remercier pour les éclaircissements très accessibles que tu as fournis sur ce sujet, que beaucoup d'entre nous ignoreront probablement sans ton intervention pour vulgariser le fonctionnement "Open-Source". S'agissant de la seconde partie, où tu exprimes des soupçons sur les intentions de certains pays, à l'exception des nôtres évidemment🤣, je ne suis pas du tout de ton avis. En effet, je crois qu'en tant qu'Européens, et plus encore en tant qu' Anglais et Américains, nous sommes bien plus habiles dans ce genre de manigances sous marines néo libérales, surtout lorsqu'elles visent à entraver l'open source, qui devient une menace sérieuse pour les sociétés à intérêts privés, dont les bénéfices sont mis à mal par la concurrence de l'open source. Je suis convaincu que cette guerre sans nom , ne fera que s'intensifier et sera manipulée de façon encore plus multiple et vicieuse avec l'avènement de l'IA, qui n'en est qu'à ses débuts. En général quand le problème est simple il suffit de se demander a qui profite le crime et ou va l'argent pour savoir qui tire les ficelles.😅

Tu t'excuses plusieurs fois pour la durée mais elle ne serait pas un problème si la vidéo racontait quelque chose. Par exemple, tu mets des effets dramatiques sans que ça apporte quoi que ce soit et tu définis des termes bateaux mais tu parles de gouvernance sans dire ce que tu entends par là et tu ne dis pas en quoi consiste réellement la faille. A cause de ça, ta vidéo ne s'adresse ni aux néophytes qui ne connaissent rien au domaine ni aux connaisseurs qui n'apprennent rien et, par analogie, voient des effets de style devant la déclaration d'amour bidon du début d'un film pour ado entre l'héroïne et le méchant vraiment très méchant.

bots ru dans les commentaires tiens !

Très bonne vidéo, 1 abonné de + !

Vous demandez s'il faut améliorer quelque chose ? Alors pour moi, ce sera le rythme de parole un peu trop rapide pour être intelligible, surtout les termes anglais prononcés avec un vrai accent américains. Pas évident pour un français. La ligne édito me convient bien. Merci. Edit : attention aussi, les quelques sous-titres disparaissent trop vite, il faut revenir en arrière et mettre en pause pour les lire.

Putaclick + ne mets du tout pas en cause la France ou les États-Unis

sa nest pas un os linux mais un kernel

Ça fait plaisir un canadien qui parle le français sans accent :) Bon et cette technique d'analyse aussi que je n'avais pas vue passer.

Ha ha 😅 j'adore, les méchants c'est la Chine, la Corée du Nord, la Russie et l'Iran 😃 l'axe du mal looool !! Pour info les plus grands hackers de la planète c'est la NSA hein, en 2013 ils s'étaient fait choper en train d'écouter 35 dirigeants importants dont plusieurs Européens !! C'est eux aussi qui avaient mis un logiciel espion dans le firmware de certains disques dur ! le firmware 😃 !!! Bref je te conseille de mettre à jour ton "axe du mal" là 😉

Un Pr bulgare était venu travailler 3 mois au labo (chimie) avec son clavier cyrillique mais ça a été la 'galère' à l'installer, il semble y en avoir plusieurs sortes. C'était sous Windows 3.11.

Avant l'invasion de l'Ukraine par la Russie, comme presque personne ne savait où c'était l'Ukraine, on se référait souvent à "La" Russie pour désigner ce qui dans les faits était en Ukraine. Même que certaines pistes auraient pointées une base en Ukraine comme provenance d'hacking "commercial" cryptant des données et ne rendant les informations disponibles que sous envoie de crypto-monnaie. Alors ma question, à quel point peut-on faire la différence entre Ukraine et Russie, toutes deux ayant été très "proches" du temps de l'URSS ?

The attack could come form a chines guy who lives in Europe, an expert hacker is not necessary a state or an organization, it could be for instance, a group of 15 people, each one of them have a PHD in Cybersecurity and/or system engineering. Yes, until now the real identity of the attacker(s), remains a mistery.

C'est une bombe, le commun des mortels ne s'en rendent peut-être pas vraiment compte, ça touche la planète, d'un point de vue économique, intellectuel et même politique,😮 j'ose espérer qu'un "pansement" va vite etre mis en place, mais surtout, aussi redoubler de vigilance, et réfléchir à un modèle de décentralisation et contribution par block style Bitcoin, qui lui aussi d'ailleurs a besoin d'un nouveau p'tit frère aussi magique et impalpable repensé façon "stop Black Rock" pour un monde plus juste, car ça va de paire, la fed, les banques centrales, leurs dirigeants non élus, dispensable, en toute impunité, le SCAM des Fiats et bientôt l'euro / dollars numérique centralisés sont mauvais pour l'humanité et sont tout aussi dangereux que des Hackers Russes ou non d'ailleurs.... Merci pour ta contribution informative plus qu'intéressante 🙏

A Microsoft dude found a linux exploit. How fun.

Très pédagogique !

Bonjour, Bien que je sois assez à l'aise avec GNU/Linux, je n'ai aucune idée des risques pour le commun des mortels . Pourriez-vous en parler comme à un débutant? (si vous avez le temps évidemment)

Hello, merci pour cette vidéo. Honnêtement, elle aurait pu durer 10 min de plus, que j'aurais regardé. J'ai installé la fameuse version 5.6.1 de xz sur mon système archlinux ^^ J'ai un avis peut-être un peu extrême, mais pour moi, il ne faut pas diaboliser l'open-source, ni mettre en place un contrôle outre-mesure, tant que ces problèmes ne sont pas récurrents.

Merci beaucoup pour la clarté de ta vidéo ! 👍👍👍

La naivete agiliste de vite délivrer le code à contaminer meme Linux. Merci infiniment à celui qui a trouvé la brèche. La faille est dans la philosophie agiliste qui atteint ses limites, pissage de code, client roi, soft-skills beni oui-oui.

L'open source n'a rien à voir avec la gratuité. L'open source, c'est le fait de mettre à disposition le code source d'un logiciel au lieu de le tenir secret comme le font certaines sociétés comme microsoft qui ne donne pas accès au code source de windows. En fait, il y a des logiciels payants qui sont open source. Tout comme il y a des logiciels non open source qui sont gratuits. Ceci est l'une des plus grossières erreurs de cette vidéo. Et il y en a d'autres.

ça serait stupide pour les chinois et les russes d'attaquer Linux, ils n'ont plus que ce systeme.

l'université du Minnesota avait déjà fait le coup

En quoi cela a un lien avec l'open source ? Au contraire justement, dans logiciel propriétaire personne n'aurait vu la faille.

Windows est une faille et un backdoor tout comme celle présente dans nos procos.

Contenue clair et très instructif. Je like et je m'abonne. J'ai été attaqué lors d'un tchat en direct sur un live par dénis de service en début d'année. C'est toujours intéressant de voir les techniques. Bien entendu mon PC étant un pot de miel il a été analysé immédiatement. Les résultats sont surprenant ainsi que l'identité des commettants.

L'axe du mal 😂 ça fait tellement pitié

Le SVR est l'équivalent de la CIA. Pas de la NSA...

Et encore un titre putaclick. Ce n'est pas une attaque sur le noyau GNU/Linux mais sur XZ qui touche certaine distribution utilisant GNU/Lunix et cela touche aussi certiane distro BSD. Comme quoi une fois de plus être vrai dans les titres de vidéo c'est secondaire.

moyen orient, europe ? je pense a EZRA non ?

12 Minutes mais t'expliques rien en fait. La base de l'attaque (social engineering) mais pas la procédure de l'attaque, ce qu'a fait le malware, son fonctionnement, son offuscation ni la compromission supply chain. Tu devrais aller voir le post de blog de antiz (antiz point fr) sur le sujet. En tant que package maintainer Archlinux, son expertise et vraiment intérressante et comment cette attaque aurait pu être évitée. C'est d'aileurs un point sur lequel je vais accorder plus d'importances concernant mes releases sur pacstall.

Merci pour ce débriefe très instructif !

Grande classe Bravo

il me semble que l'Ukraine (qui défonce du site européen au petit déjeuner) ou Israel (qui font des logiciels type pegasus donc clairement dans le sujet) sont aussi dans les tranches horaires.

Très intéressant pour le n00b que je suis.

Fuseau horaire moyen orient. Pour rappel nso group disposait de faille Zeroday avant tout le monde

Très intéressant. Le plus étonnant est que ce soit un ingénieur de chez Microsoft qui se soit étonné du ralentissement de l'OS.

Quand tu as énuméré l'axe du mal, tu as oublié de mentionner les USA. Ce ne serait pas une première pour eux de faire ce genre de chose. De plus, il n'y a pas de perte de confiance. Les choses vont, plutôt, être scrutées encore plus à la recherche de ce genre de chose.