Une ÉNORME faille de sécurité sur internet !
ฝัง
- เผยแพร่เมื่อ 8 ก.พ. 2025
- La chaine de @BastiUi
🚀Abonne-toi pour ne rien rater : bit.ly/HardiskYT
⭐ Rejoins la team LIVE : cutt.ly/ZwywNiGJ
⭕ Mes super réseaux sociaux
DISCORD : / discord
INSTAGRAM : / hardisk
Co-production /influx - www.influxcrew...
© 2023 Hardisk | Tous droits réservés.
C'est dingue...
J'y connais rien en tech mais se dire que sans un gars ça aurait pu être une attaque massive. Genre le gars en plus en bénévoles même pas il était à son poste...
Bref heureusement que y'a des gars vraiment passionné par la tech
Ce genre de cas, yen a 10 par an approximativement que ce soit Linux, mac ou Windows
6:10 il faisait un benchmark sur les performances de PgSql - et il a remarqué que la connexion ssh prenait plus de temps, je crois que sans benchmark il n'aurait pas remarqué
merci pour la vidéo
😅
Les grosses boites (Microsoft, Google) ont souvent des equipes dedies a des projets open source. Et aussi, les grosses boites sont les plus grand contributeurs de projets open source
J'ai un avis un peu différent sur la rémunérations des projets open source. C'est vrai que de nombreuses boîtes s'appuient sur une part d'open source, mais ces boîtes contribuent également très souvent à ce même écosystème. De nombreuses librairies qui ne sont pas essentielles à la valeur de la boîte sont libérées pour ne pas porter seul le poids de leur maintenance. Personnellement je trouve le système plutôt sain. Par contre, les états, en particulier l'état français, qui militent à longueur de journée pour utiliser de l'open source avec l'ambition de faire baisser leur facture, et qui ne participent jamais à l'écosystème d'aucune façon, c'est ça que je trouve le plus abusé.
A l'échelle de l'Etat, utiliser l'OpenSource c'est surtout un moyen de ne pas dépendre de multinationales américaines.
@@MtTheToto Comment ne pas vivre dans un monde qui dépend des multinationales américaines si les personnes motivées pour s'en passer ne veulent surtout pas financer le développement d'alternatives ?
C'est pas nécessairement Jean Michel qui trouve que sa machine est un leu lente, ça peut être des tests de perfs qui declenchent une alarme car cela prend plus de temps que d'habitude, ce qui est plus probable (de mémoire il a commencé à investiguer pour résoudre ces alarmes).
oui c'est ça le dev en question était contributeur sur PostgreSQL et il analysait un problème de perf durant les tests sur une pre-release Debian.
Merci pour cette vidéo. Mais rassurez moi, tous les serveurs linux n'utilisent pas cette librairie ?
c'est dingue un genre de shell distance pour les IP grave tout aurais pu etre planté
Je doute fort que le mec qui a trouvé ça soit un gars random de chez Microsoft, comme je doute fort que Microsoft installe des MaJ à la volée sans les tester, les valider, et relire le code.
L' histoire est belle mais pour moi c'est son job (et celui de son équipe) de vérifier le fonctionnement de ce que Microsoft utilise, pour certaines boites 500ms c'est important.
Aucune chance que quiconque relise le code des mises à jour de chaque dépendance. Vous rêvez.
Le résumé donné par Harddisk est trop court et peut prêté à confusion.
Le type bossait chez Microsoft (pas en cybersécurité) mais c'est en temps que contributeur postgreSQL (une base de donnée open source) qu'il a trouvé le soucis.
Il y avait un problème de performance remonté par les tests sur une nouvelle version d'une distribution linux (Debian en pré release) et pour avoir des chiffres de performances correctes, il mesurait le "coût" en perf des autres services déjà présent.
C'est là qu'il a vu que sshd (le serveur ssh lancé en tache de fond) était plus lent que prévu au démarrage sur cette machine en particulier. Et c'est là qu'il a commencé à enquêter.
Il n'arrivait pas à avoir les symboles de ce qui coutait en perf (le nom des fonctions alors que normalement elles ne sont pas enlevées).
Ensuite le truc bizarre c'est qu'en recompilant l'outils a la main (pour espérer voir les symboles de debug), il ne reproduisait plus le problème.
A partir de ce moment là c'est louche. Et de proche en proche pour quelqu'un de motivé, ça devient visible.
Le code source donné aux distributions linux étaient légèrement différent du github. Et une fois qu'on voit les lignes en plus, ça devient plus facile de savoir où creuser.
Le ralentissement de sshd venait de la backdoor qui au démarrage scannait tous les symboles du binaire pour remplacer le bon.
Avec un peu plus de temps, les pirates auraient sans doute pu corriger ce problème mais ils étaient pressé par le temps.
En effet, dans les projets ssh et systemd (la dépendence intermédiaire entre ssh et xz), des dev étaient en train de passer les dépendances en dynamiques.
C'est à dire qu'au lieu d'être charger au démarrage, elles seraient chargées à la demande. Et donc impossible de remplacer les fonctions de ssh (cela n'est possible qu'au démarrage quand le linker résous les adresses de fonction).
Cela aurait foutu plus de 2 ans de travail à la poubelle pour les pirates.
On parle d'un gars random chez Microsoft pas parce-qu'il n'est pas compétent ou quoi, mais parce-que dans son cadre de travail il n'est qu'un utilisateur de SSH pour son travail sur les bases de données.
Dans ce contexte, il était peu probable qu'il découvre volontairement que son problème de ralentissement de PC venait de SSH et que l'origine venait de la génération de paquets (debian, redhat, arch...) de XZ utils (et non pas du code source en lui-même).
Merci à lui d'avoir été assez curieux pour être remonté aussi loin et pas simplement avoir ouvert un ticket de bug.
Le problème c'est que les produits open source ne sont pas toujours sous associations qui permettent les dons "gratuits" / remboursés par l'état
on parle d une attaque de confiance, mais si la sécurité repose sur la confiance ad hominem des gens, si celui-ci a fait ça qu'est-ce qui dit qu'un autre ne fera pas (ou n'a pas fait) autre chose
yep je partage le même point de vue
Heureusement que la plupart des projets open source sont sur du linux qui à l'avantage (si il est bien paramétré) de ne pas passer sont temps à utiliser des ressources pour rien car un écart sous du Windows va toujours être beaucoup difficile à analyser.
Quand un flux est un peu plus lent que d'habitude, on ne va même pas investiguer dans pleins de contexte.
Il faut que le temps d'exécution varie de manière importante et/ou avoir mis en place des alertes pour s'en rendre compte car 10% de 100 ms, l'humain ne s'en rendra même pas compte.
la France aussi fonctionne beaucoup trop sur les associations et les bénévoles.
j'ai eu le tour sur mon pc a cause du logiciel chromium pas moyen de virer le gars de mon pc il etais incrusté dedans donc il se servait de mon pc mais quand je les delogé il ma directement crypté mes données et demande de rancon donc disque dur HS a changer meme formater il etais mort le disque
Une demi seconde multiplié par le nombre d'utilisation ça peut se voir très vite
No xz is not a big threat !
Ça aurait été un truc de fou si on avait pas trouvé ça! Par contre le mec a choisit un pseudo à consonance asiat à mon avis c’est volontaire pour faire croire que ce sont les asiat alors que si ça se trouve c’est des gens du gouv américain… Snowden nous as bien montré à quel point ils peuvent être intrusif et leur méthodes pour y parvenir !
Et la récente panne de Meta, c'est du à quoi finalement ?
C'est qui le mec en slip?
Merci au ''taré de microsoft''
6 com dont 2 scambot.. c’est bien de republier et diversifier les plateformes mais faut garder un œil sur ta chaîne tu peux pas laisser des bots en top com…
Bro, la vidéo a été publiée il y a une heure et on est, genre, un DIMANCHE
Maintenant va dire la même chose à TH-cam si tu te sens aussi chaud!😊
Y'a des bots sur toutes les chaînes de yt c'est pas faisable de modérer
Pensez surtout à signaler aussi au lieu de poster ça ! Car 1, ce n'est en rien la faute ni la responsabilité du créateur du contenu de gerer les bots. Et 2, c'est en signalant les comptes des bots qu'ils seront viré.
Inviteux de commande ! Pas invité !