Ça, c'est Nico qui pensait il y a encore 6 mois qu'il ne serait jamais proprio.
Ça, c'est Nico dans son appartement qui a découvert que grâce à Nexity,
on peut être proprio à partir de 534,17€ par mois pendant les 3 premières années.
Loup mon lapin, c'est maman, tu m'ouvres !
Et ça, c'est Odile, la maman de Nico qui l'a aidé à devenir proprio.
Mais bon, qui a quand même un peu de mal à couper le cordon.
Le montant de 534,17€ par mois est une estimation de l'effort d'épargne nécessaire
pendant la durée de l'offre de remboursement de 3 ans.
Voir conditions complètes sur Nexity.fr
Aujourd'hui, on a l'honneur de recevoir J.B. Kemph, le papa de VLC.
Il est venu nous raconter ses anecdotes les plus folles.
Ça parle de failles critiques dans le logiciel, de fights avec la CIA,
de procès contre la Chine et l'Inde, de tentatives de hacks ultra sophistiqués sur les développeurs.
Bref, on n'imagine pas tout ce qui se passe quand on est à la tête
d'un des logiciels les plus téléchargés au monde.
Et juste avant, quelques mots sur notre sponsor de jour, Hosting.
On revient aux anecdotes de J.B. en commençant par une question très importante.
Comment ça se fait qu'un logiciel comme VLC, un simple player vidéo,
puisse contenir des vulnérabilités critiques ?
Et est-ce que ceux qui l'utilisent sont en danger ?
Si tu regardes, il y a une faille hyper intéressante qui arrivait l'autre fois, qui était sur Chromain.
Et c'était la faille sur LibWebP, qui est donc le format d'image.
En fait, c'est exactement le même problème.
C'est-à-dire que tout ce qui est compression vidéo,
comme on a déjà parlé dans les précédentes émissions,
tu compresses et t'enlèves toutes les données qui ne servent à rien.
Résultat, il n'y a quasiment plus aucune donnée redondante,
puisqu'on a compressé au maximum.
Et donc, tu dois faire confiance aux données qu'il y a dans la vidéo.
Par exemple, tu dis que la vidéo fait 1 million de pixels de large et 1 million de pixels de haut.
Et si tu réfléchis pas, tu fais 1 million, faut 1 million,
et tu alous cette zone de mémoire,
évidemment, tu sors des trucs, des mémoires autorisées possibles.
Et donc, en fait, tu fais un integer overflow et donc, tu décris ailleurs.
Et puis après, tu vas lire, mais tu as aloué un espace de mémoire qui est beaucoup trop petit,
parce qu'en fait, c'est à overflow.
Donc, au lieu de faire un truc de 10 milliards, ce qui n'est pas possible en 32 bits,
tu fais un truc de 5 octets, quoi, ou 10 octets.
Et donc, par contre, tu continues à écrire.
Tu vois, tu décompresses et donc, tu écris en dehors de ta zone de mémoire.
Ok, donc en fait, ça vient du fait que, comme tu as compressé,
tu es obligé de faire confiance à tout ce qui est écrit.
Donc, si tu ne fais pas attention,
c'est le problème de tout ce qu'on appelle des parseurs,
globalement, c'est que tu prends des données qui sont envoyées par internet
et tu fais confiance.
Or, il ne faut jamais faire confiance.
Donc, en fait, le premier problème, c'est qu'écrire des parseurs, c'est difficile.
Il y a des langages qui font des très bons parseurs,
mais quand on a déjà parlé, en multimédia, tu dois aller vite.
J'ai 16 millisecondes pour afficher une fraise, j'en ai 16, j'en ai pas 17.
C'était déjà la discussion de la folie.
Et donc, tu écris en langage de banniveau.
Et donc, tu écris en C.
Dans le cadre d'Avy, tu écris en assemblure.
Et donc, tu perds tous les petits checks de sécurité des langages,
notamment des langages qui sont faits pour écrire des parseurs de façon sécurisée,
ça s'appelle le Rust.
Mais nous, non.
Surtout, on l'écrit en C, voire en assemblure.
Et maintenant, tu vas me dire, on sait faire des choses, on sait.
Oui, c'est vrai.
Surtout qu'en fait, il y a beaucoup de choses qui sont basées sur FFMPEG ou sur VLC
qui ont été écrits dans la fin des années 90, début des années 2000.
Et, ouah, on était quand même beaucoup plus, beaucoup plus cool.
On faisait quand même beaucoup plus confiance,
mais surtout, on ne savait moins utiliser les failles de sécurité.
Et donc, en fait, de part la taille du projet,
quand en fait, VLC, c'est un truc énorme.
C'est monstrueux.
En fait, tu parles quand tu compales VLC plus toutes les dépendances,
parce que de 15 millions de lignes de code en C, en C++, c'est monstrueux.
Et donc, l'idée que l'on va tout réécrire en Rust, par exemple,
pour que ce soit assez bon, qu'il y ait plus de failles de sécurité.
Ça n'arrive pas jamais.
Et surtout, je pense qu'il y a un truc qui peut être un peu contradictif.
C'est qu'on se dit, OK, il y a eu des failles critiques, par exemple, dans VLC.
Moi, je m'ençois d'une ou deux.
C'était par exemple, une qui concernait les fichiers MKV,
ou ça marchait avec un double fichier.
Et en gros, tu pouvais avoir une exécution arbitraire de code.
Et je parlais d'une autre qui concernait les sous-titres.
Et ça peut, intuitivement, on pourrait se dire,
mais en fait, si il y a une faille,
c'est que c'est du code qui a été écrit par J.B. D'Aisonordi.
En fait, ça concerne directement le code de VLC.
Mais c'est pas forcément aussi simple que ça,
dans le sens où vous interagissez avec aussi des librairies,
genre du code écrit par d'autres gens.
C'est qu'en fait, le problème de VLC ou le problème de Chrome,
c'est qu'en fait, dans ton process,
tu as du code qui tourne, qui n'est pas le tien.
Donc, auquel tu ne peux pas faire confiance.
Donc, soit tu audites tout le code,
parce que c'est open source, c'est comme VLC, on amène tout le code,
mais en fait, parfois, en fait,
tourne dans ton process le binaire qui est ta carte graphique,
le driver de ta carte graphique,
qui est une partie qui est exécutée dans ton binaire.
Et quand il crache, de toute façon,
tu n'as pas le code source parce que c'est dans le driver de la vie d'Ir.
Et là, tu fais quoi ?
Et donc, par exemple, je peux te dire que 90% des craches de VLC,
c'est dans les drivers des cartes graphiques.
Et toi, tu peux rien.
T'as mentionné le fait que VLC était open source ?
Oui.
Est-ce que ça rend pour toi la sécurisation de logiciel
et le fait qu'il n'y ait pas trop de failles plus simples ou plus difficiles ?
Globalement, la réponse, c'est, on n'en sait rien.
C'est à peu près aussi sécurisé.
Mais c'est vrai qu'aujourd'hui,
il y a un petit avantage à être open source
parce qu'on a développé énormément d'outils d'analyse statique, d'analyse dynamique.
Et donc, on voit que c'est plutôt impositif.
Mais de toute façon, il faut être très clair, être open source,
ça ne règle pas la paix dans le monde.
C'est une autre façon de développer,
c'est une façon qui, à mon avis, plus éthique.
Ça ne règle pas tous tes problèmes.
Moi, je pense qu'aujourd'hui,
notamment avec tous les outils d'analyse qu'on a,
et notamment plein de gens qui viennent analyser ton code
avec des gens qui ont beaucoup de moyens,
je pense que c'est un vrai bénéfice.
Est-ce que, par exemple,
tu as déjà eu des cas où des gens auraient essayé de tirer profit
du fait que c'était open source
pour cacher des failles ou des bugs
intentionnellement dans le code ?
Alors, je pense que oui.
Je pense que ça m'est arrivé deux fois.
Une fois sur VLC, une fois sur un autre projet open source.
Et comment tu peux savoir ?
Tu ne peux pas savoir.
C'est drôle.
Tu n'en as du contributeur.
Oui, parce que...
Et ça s'est passé comment ?
Il y a un contributeur qui avait contribué
mais depuis quelques mois, des petits patchs.
Il envoie un patch qui est un peu plus conséquent
et ça m'a fait tiquer.
J'ai regardé et j'ai fait...
Tu es sûr que tu fais ça comme ça,
tu devrais l'architecturer.
Et quand j'ai dit...
Il a fait les trucs,
il y avait une partie qui ne bougeait pas trop,
qui était la partie qui m'a gênée le plus.
Et quand j'ai fait l'ar marque, il est parti.
Tu as l'air sûr de regarder tout ce qui passe ?
Parce que là, tu as attendu ça ?
Oui, je regarde tout ce qui passe sur VLC.
Mais ça, ce n'était pas le plus gênant.
Il y en a eu d'autres sur d'autres projets open source multimédia.
Je ne vais pas dire exactement le nom.
Mais où là, c'était clairement intentionnel.
C'est pas dans, parce que franchement,
moi, je me mets à ta place.
Tu reçois un énorme misageur, un énorme patch
qui vient de quelqu'un qui, en plus,
a déjà eu établi de la confiance avant.
C'est pour ça que pas dans le projet...
C'est pour ça que tu as confiance, quoi.
Non, non.
Bof, dans VLC, c'est déjà ce que j'ai dit plein de fois.
Notre objectif, c'est que...
En fait, on est hyper relou sur la review de code
et la review, parce que...
On ne fait pas confiance aux gens de rester longtemps dans le projet.
C'est pas qu'on ne fait pas confiance aux gens.
C'est qu'on sait que, statistiquement,
j'ai 1000 personnes combossées sur VLC, il y en a 10 qui restent.
J'ai 1% de chance que la personne reste.
Donc, en fait, ça veut dire à moi qui veux maintenir ton code.
Donc, je dois le comprendre.
Et donc, par exemple, dans VLC,
si tu vois un gros patch, maintenant, c'est direct non.
Split ton patch.
Mais c'est...
C'est direct.
Il n'y a même pas...
Ok, ok, ok.
Donc, c'est moins facile de me cacher des choses.
Mais il y a des projets open source qui sont, par exemple,
qui sont des librairies, qui sont des dépendances de VLC,
de FFMPEG et de Chrome,
qui n'ont pas la taille de VLC
et qui n'ont pas les habitudes de travail de sécurité de VLC,
parce que nous, on a eu des mauvaises surprises.
Donc, on fait énormément de travail sur la sécurité,
qui peut-être ne font pas aussi attention.
Et ensuite, elles finissent dans VLC, elles finissent dans FFMPEG,
elles finissent dans Chrome, elles finissent dans plein d'autres bras.
Est-ce que tu as déjà constaté que VLC était utilisé,
va être détourné de ton utilisation originelle ?
Ça, c'est Nico, qui pensait il y a encore 6 mois
qu'il ne serait jamais proprio.
Ça, c'est Nico dans son appartement
qui a découvert que, grâce à Nexity,
on peut être proprio à partir de 534,17 par mois
pendant les 3 premières années.
Et ça, c'est Odile,
l'amamante Nico qui l'a aidée à devenir proprio.
Mais bon, qui a quand même un peu de mal à couper le cordon.
Plein de fois, et c'était pourquoi.
Alors, il y a trois histoires un peu connues autour de VLC.
La première, c'est la CIA,
qui a utilisé, c'est un groupe de tout le hacking,
ça s'appelait Vault 7, qui est sorti à l'époque de Wikileaks,
qu'on a retrouvé après Wikileaks.
Et en fait, c'était une version de VLC
qui avait quelques petites fonctionnalités supplémentaires.
Et cette fonctionnalité, notamment,
elle, tu avais été déchargé à un VLC qui n'était pas le même VLC,
mais tu double-clics, tu vois, c'est signé par Videolan,
tu dans le about, c'est un VLC,
ça a l'air cool, ça marche,
ça les même, les films que tu regardes.
Sauf qu'en fait, Elisée,
tu étais document dans ton home ou dans ton dossier d'ocuments,
ça l'Elisée, ça les chiffrait,
ça les envoyait sur le serveur de la CIA.
Et toi, en fait, tu te rends pas compte,
parce que tu regardes un film, c'est normal que ton CPU,
tu vois, il commence un peu à faire un peu...
Tu vois, tu as un peu de bruit, ça fait...
C'est pas grave, va-t-il encore ce 2...
Ouais, et puis en plus, il y a du son,
il y a de la souci de ça quand...
Peu de gens qui soucient de ça.
Ouais, mais donc ça a permis de faire du targeting
de certaines personnalités qui ont eu donc un faux VLC.
Et t'as réagi comment, toi, quand t'as découvert que...
Ça peut tomber, mais quand même VLC...
Ouais, bah c'est la vie, hein.
Bah attends, je sais pas, t'as ton truc qui est utilisé par la CIA
pour faire des infictions de la surveillance, c'est quand même dingue.
En fait, il faut que tu te dises en sécurité,
c'est que la vraie question, c'est ce qu'on appelle ton « straight model ».
La première chose que tu fais en sécurité,
un consultant à peu près sérieux en sécurité, c'est...
Contre qui tu te défends ?
Il est impossible d'avoir 100% de sécurité, ça n'existera pas,
ça n'existera jamais.
La question, c'est contre qui tu te bats ?
Et ça, c'est le vrai sujet.
Et donc ton « straight model » à toi,
mon « straight model » à moi,
ou le « straight model » de Snowden, c'est quand même pas la même chose.
Et si les gens ont contre qui tu te bats,
c'est la CIA, le FBI,
ou d'autres avances gouvernementales, les Five Eyes ou de la Chine,
de toute façon, tu as perdu.
Ils ont des ressources qui sont infinies, tu ne gagneras jamais.
Donc ça, il faut que tu le saches, bon, tu l'acceptes.
Donc ça, ce n'est pas le truc qui m'a le plus gêné comme « file de sécurité ».
Par exemple, est-ce que tu peux porter plein de complets CIA ?
Non, personne ne fait ça.
D'abord, en fait, ils n'ont pas...
Je ne sais pas, je vous ai question.
Tu n'as pas consacré ton truc.
Tu n'as pas qu'ils n'ont pas attaqué VLC.
Ils ont diffusé des fausses versions de VLC, c'est quand même pas pareil.
Par contre, là, il y a une deuxième attaque qui nous est arrivée,
une deuxième histoire, qui, elle, était plus gênante.
Qui était ?
Alors, en fait, le cœur de la diffusion de VLC,
c'est un FTP à l'ancienne,
dans lequel il y a tous les binaires de VLC.
Un serveur de fichier, du coup.
Un serveur de fichier.
En fait, il y a des miroirs qui vont télécharger par e-sync.
Donc c'est un serveur de fichier.
Et c'est là où tu vois toutes les versions de VLC depuis le début.
Et dans le serveur de fichier,
il y a un dossier qui s'appelle « l'Incomminium »
où tu peux envoyer des fichiers.
Donc on s'en sert pour recevoir des films cassés,
on s'en sert pour certains scripts, etc.
Et régulièrement, on soit des choses un peu bizarres dans ce dossier.
Alors, tu penses bien que, niveau sécurité,
en fait, ce dossier, il n'est même pas dans le même conteneur
que le FTP principal.
Mais ça, on ne le dit pas.
Oui.
Et donc on reçoit souvent plein de trucs.
Alors j'ai reçu vraiment tout et n'importe quoi,
des choses que j'ai du mal à m'enlever des yeux.
Mais ce n'est pas le sujet.
Ce que j'ai vu surtout, c'est qu'un jour,
on a reçu un binaire qui ressemblait à VLC.
Qui était un peu modifié.
Parce que ça ne me ressemblait pas.
C'était moi qui était censé faire la bille.
J'ai reçu un truc Windows.
Mais contrairement au cas de la C1 qui avait diffusé des VLC avec des ZIPs,
donc tu vois, il rajoute une DLL, il refond les ZIPs, personne ne voit.
Là, c'était l'installer de VLC qui était modifié.
Et normalement, l'installer de VLC, il est chiffré avec une signature
sur une clé hardware, une sorte de UBT,
un truc que tu ne peux pas.
Et qui est difficile à trouver.
C'est-à-dire que si tu ne sais pas où elle est, tu vas galérer.
Il faut galérer chez moi ou à d'autres endroits pour avoir cette clé.
Et donc, c'est comme ça qu'on fait que les releases de VLC, en fait,
pour qu'elles soient certifiées, pour qu'elles soient signées à contrefaire.
Non, c'est possible.
Il faut avoir vraiment beaucoup de compétences.
Bref, on reçoit un binaire qui est un installeur.
Et là, quand je le teste, évidemment,
et là, quand je le teste, je vois que c'est signé par Videolan.
Et là, en fait, tu te rends compte que ce n'était pas vraiment Videolan.
C'était Videolan, mais le « I » n'était pas bon, etc.
Mais ça veut dire quand même que c'est quelqu'un qui avait l'accès
à une chaîne de certificats ou qui avait le droit de faire...
Parce que c'est des certificats qu'on appelle authenticodes par Microsoft.
Donc, c'est un peu gênant quand même d'avoir ça.
Le binaire était modifié, mais je n'ai jamais vraiment regardé ce qu'il y avait.
Mais ça, ça m'a gêné beaucoup plus,
parce que ça, c'était en fait une attaque sur notre infrastructure.
Il y avait un faux VLC en veillent sur notre infrastructure.
Et à côté, il y avait un FICIP HP,
comme si on exécutait le FICIP HP de notre FTP.
C'était vraiment d'un côté hyper sophistiqué,
parce qu'ils ont dû avoir vraiment une difficulté pour avoir cette bonne signure.
Et de l'autre côté, l'attaque, elle était nulle.
C'était même déçu.
La sécurité, en fait, elle vient du tout début de faire attention à ce qui rentre dans ton code,
comment tu le builds, mais aussi comment tu le diffuses.
Et la partie diffusion, tu vois, c'est de l'infra, c'est quand même moins rigolo que de un truc.
Donc voilà, on a eu ça qui était un sac.
Et ça, ça m'a plus gêné.
Tu vois, ça m'a plus gêné, je suis allé porter plantes.
Ah, voilà.
Pas contre la SEIA, mais là, c'est plus faisant.
Je suis allé porter plantes deux fois auprès de la gendarmerie nationale.
Une fois pour ça, une fois, c'est quand on s'était pris une attaque en dose,
qui était clairement envoyée de la Chine.
On en a eu deux, d'ailleurs.
Ça peut servir.
Alors la première, on ne sait pas vraiment ce que c'est pour nous embêter et pas.
Mais la deuxième, c'est quand on a bannis les téléphones Huawei de la version Android.
Très bizarrement, une semaine après, on a eu des attaques qui venaient de China Telecom.
Mais genre...
Genre, dire...
C'est une gamme un de ouf.
Le premier des doses, on allait porter plantes.
Et là, c'est l'histoire de faux binaire chez les portes et plantes.
Voilà, ça, c'est des trucs de...
D'histoire de sécurité un peu rigolote.
La dernière, elle m'a moins fait rigoler.
Encore moins fait rigoler parce qu'elle était plus récente.
C'est l'Inde, qui doit être un des plus gros utilisateurs de VLC, a décidé de bannir VLC.
Ah ouais ?
Et donc, pendant quasiment un an,
t'allais sur VideolenPorg et c'était interdit.
T'étais comme si le truc, comme si ce qu'on avait fait, était gravissime.
Et en fait, on a regardé, en fait, celles.
Alors, c'est des pirates de Sikada,
qui sont un groupe de hackers chinois, probablement, sponsorisés par le gouvernement,
qui ont utilisé le nom de la LibVLC.dll,
mais en utilisant VLC.exe.
Mais tout le derrière, ça n'avait rien à voir.
Et comme ils avaient fait un faux installeur,
ils avaient comme...
Vous savez qu'il y a beaucoup de fights entre l'Inde et la Chine,
et donc ils avaient réussi à faire ça.
Et alors là, ça a été d'une complexité,
parce que, évidemment,
c'est un office complètement incompétent indien,
avec la bureaucratie indienne,
qui a l'air d'être quand même sacrément chaude.
Et là, ça a fini, j'ai attaqué le gouvernement indien en justice à David.
Pour avoir...
Et là, quand on y allait, on avait des avocats indiens, etc.
On les a fait flipper, et donc ils ont fait...
Ouais, attendez, on va faire une revue, etc.
Et finalement, ils ont enlevé le ban, ça nous a pris un temps infini.
Et on a été aidés par une sorte de UCCLF,
qui est vraiment une freedom internet en Inde,
qui nous ont fait un travail de dingue.
Mais ça a été vraiment...
L'Inde et la Chine, on ne se rend pas compte, mais c'est vraiment chaud.
C'est-à-dire qu'ils se frittent quand même,
et avec le gouvernement maudit, ils ne sont pas rigolos.
Et d'ailleurs régulièrement...
Et donc, on était dans la liste des sites à bannir,
expliqués par ministère de Délécom, Indien.
Tout ça, parce qu'en fait...
Donc là, c'est encore un truc différent.
Non, ils ont pris des binaires de VLC,
donc ils ont pris une partie des binaires de VLC, VLC.exe,
Lib VLC Core, etc.
Et donc, en fait, ce qui est très classique,
c'est qu'il y a beaucoup d'antivirus quand ils voient VLC.exe,
ils voyent liste, parce que c'est des gros nuls.
Et en particulier, parce qu'en fait, très régulièrement,
à chaque fois qu'on a une nouvelle liste de VLC,
on reçoit à peu près un million et demi d'emails,
nous disant, oui, c'est cet antivirus qui dit qu'on est méchant.
Effectivement, parce que comment tu fais de l'assembleur,
comme on a déjà parlé ?
En fait, tu ressembles un peu à des virus, à des worms, etc.
Donc en fait, c'est toujours du code un peu bizarre.
Résultat, en fait, nous, on a des accords
avec pas mal de fabricants d'antivirus
qui viennent scanner un peu notre FTP, à qui on dit, etc.
Donc c'est pour ça aussi que c'est d'autant plus dangereux.
Mais un tampon, c'est bon, c'est validé.
Mais donc parfois, ça, c'est les plus malins,
ils regardent juste VLC.exe,
puis tu as un VLC.exe avec les codes VLC,
donc tu t'inquiètes pas, ils tournent,
oh, c'est pas très grave, et puis tu vois tout.
Il y a plein d'organisations qui utilisent VLC à peu près partout.
Mais du coup, si je sors un logiciel qui s'appelle VLC.exe,
il y a des chances que je sois white-listed par les antivirus.
Ouais, sympa.
Donc là, on a parlé des détournements de VLC en tant que tel.
Mais est-ce que, vous, la structure VLC, comme type d'attaque,
est-ce que il y a déjà eu des tentatives en utilisant,
justement, le processus, peut-être du fait que c'est open source,
de s'introduire, par exemple, sur des machines de développeurs
ou des choses comme ça ?
C'est marrant, je ne suis jamais parlé.
Peut-être que si on a parlé que ça...
J'ai deux histoires comme ça.
La première, c'est que...
Donc tu verras, je me dépose rarement sur mon ordi,
je suis un peu parano là-dessus,
et puis mon ordi, en fait, tu peux rien faire dessus,
parce que c'est un peu compliqué.
Mais en tout cas, il n'est jamais loin de moi.
Et ça m'est arrivé une fois en conf.
J'étais en train de parler,
et je vois quelqu'un qui prend mon laptop
et qui met une clé USB.
Et ce n'était clairement pas une erreur.
Je ne pouvais pas sortir, je ne pouvais rien faire.
Donc là, c'était clairement une tentative d'intrusion
sur mon ordinateur.
Donc ça, déjà, n'est pas très cool.
Le gars, tu l'as vu faire, et c'est la fin de l'histoire.
Mais tu veux que je fasse quoi ?
Je suis en train de faire un talk, je finis mon talk.
Il est branché, reparti, tu l'as vu.
Il est branché, j'ai vu qu'il n'a pas réussi à faire son truc.
J'essaye de sortir, et le mec est parti.
Oh...
Il n'y a pas de caméra...
C'est comme ici, il a ta 28 milliards.
Bien sûr.
Complètement aveugle, parce qu'il faut avoir de l'album de lumière.
Le mec, il disparaît dans le long.
Mais c'est bizarre.
C'est une autre histoire.
C'était une bonne leçon.
En fait, en général, quand des gens qui disent
que tu as une feuille de sécurité,
j'en ai une par semaine.
Et en général, la réponse, c'est
donne-moi la preuve ou par toi.
Donc en général, souvent, les gens un peu bons,
ils te disent pourquoi, et surtout, ils te donnent un fichier.
Et classiquement,
notamment quand tu veux montrer qu'il y a une exécution,
tu exécutes calque.exe.
Tu vois, la calculatrice.
Ça, c'est le truc classique.
Tu montres que, effectivement,
tu es capable d'avoir un fichier
de faire une remote exécution
puisque tu lances la calculatrice.
Et ça, c'est toujours été.
Ça a été le standard.
On lance la calculatrice
de tous les mecs de sécurité.
Et une fois, on a reçu
une faille de sécurité de quelqu'un.
Et en fait, c'était un script.
Donc souvent, aussi, tu as des scripts pitons.
Tu lances le script piton.
Et en fait, au lieu de faire exécu...
Calse, qui faisait, c'est qu'il allait lire
dans le point SSH
la clé privée IDRSA
et dans le point GPG,
la clé privée GPG.
Et il l'envoyait
sur un serveur distant.
C'est un piège.
Alors, attention, pour expliquer ce que ça veut dire.
Le script, il était censé démontrer
que le gars avait trouvé une faille d'un VLC.
Exactement.
C'est un truc que t'exécuterais
toi sur ta machine de développeur.
En tant que développeur.
Et donc là, en fait, au lieu...
A la fin, effectivement,
il y avait une exploitation, etc.
Et sauf que, le faire exact calc,
il faisait lire le fichier à cet endroit-là
et envoyer sur un serveur distant.
Évidemment, c'est la clé privée de signature,
de moi, pas celle de Videolan,
mais de moi.
Pour expliquer, qu'est-ce qu'on fait
avec une clé de ce genre ?
En fait, tu peux te faire passer pour moi.
En fait, tu peux envoyer des messages en disant
c'est bien GB, je dis qu'il faut faire ça.
Ce n'est pas le gars qui a mis sur le ripot
le favelesse de tout à l'heure.
C'est le même gars.
Je ne sais rien.
Il a levé l'up entre temps.
Il se trouve qu'effectivement,
ça, c'était totalement à faute.
Il se trouve que je l'ai testé sur un laptop
qui était tout neuf
et donc il n'y avait pas mes clés privés.
En fait, ça n'a rien fait.
Mais depuis sur là,
donc c'est une bonne question de chance,
depuis sur là, en fait,
quand on télécharge des failles de sécurité,
on le fait ça dans un ordinateur jetable,
une VM qui ne fait que ça.
Parce que, effectivement,
donc là, c'est deux tentatives d'intrusion
qui étaient clairement...
Alors, une clairement attaquant
un des développeurs du LC,
sachant qu'ils ne savaient pas
si c'était moi ou quelqu'un d'autre.
L'autre, je vous laisse décider.
Mais c'est quand même pas sûr,
parce que, bon, maintenant que tu le dis,
c'est vrai que ça n'a pas raisonable
que si quelqu'un que tu ne connais pas,
envoyer un script de lancer sur une machine dédiée.
Mais je trouve que c'est le genre de truc
où ta vigilance peut baisser.
Il y a quelqu'un, il est sympa,
il te dit qu'il y a un bug, un endroit,
et t'envoies le fichier tout propre, comme d'habitude.
Ouais, ouais.
T'as trop envie de...
Voilà, ça paraît simple.
Puis, il y a quelques années,
aujourd'hui, le mindset sécurité
a quand même mal évolué.
Mais, ouais.
Mais surtout, là, tu parlais de la clé GPG,
et la clé SSH,
ça veut dire qu'il aurait pu accéder
à n'importe quel serveur aussi.
Non, parce qu'en tout cas, quand même,
avec ma clé privée,
il faut quand même que tu aies ma pass-phrase.
Oui, oui, oui.
Quand même, je ne suis quand même pas complètement débile.
Mais ça veut dire quand même que...
Il a fait la moitié du chemin, on va vous dire.
Ouais, après, il faut trouver mon mot de passe,
qui est un mot de passe,
parce que les mots de passe de pass-phrase,
c'est des clés...
Tu vois, on n'est pas à 14 caractères ou 22,
on est quand même à beaucoup plus.
Mais bon, tu vois...
Pas d'assurance.
Imagine ce qui se passe
sur tous les logiciels propriétaires
qui te coûtent des fortunes.
Tu vois, par exemple, installe Photoshop.
Regarde ce que ça installe.
Ça installe la planète entière sur ton ordinateur.
Tu vois pas poser une question intéressante ?
Ben, je l'en prie.
Est-ce que les services secrets français sont venus...
Ben, j'avoue.
Eh ouais, c'est la même question.
C'est comme la question, on parle des étrangers.
On a parlé de la série.
Mais est-ce qu'effectivement,
les GSE, les services français,
t'ont déjà contacté ?
Je ne peux pas répondre à cette question.
Ah, juste...
Albataz.
C'est bon, le TikTok est dans la boîte.
Ça, je vous laisse, ça va.
Et pour ceux qui voudraient plus d'infos sur Hostinger,
sachez que j'ai fait une review complète,
Dispo, en description,
où on passe en revue toutes les fonctionnalités intéressantes,
notamment leur générateur de sites par IA.
N'hésitez pas à aller voir ça pour vous faire un avis plus détaillé.
Et si vous avez apprécié cette interview avec J.B.,
je vous conseille vivement d'aller voir la précédente,
où il est venu nous parler d'un projet complètement fou
qui développe en interne,
qui s'appelle David.
C'est des centaines de milliers de lignes d'assemblures
pour créer la vidéo du futur.
En gros, je vous laisse aller voir,
c'était dans cette vidéo.
Salut, c'est Agate Le Carron du podcast EX,
EX comme extraordinaire,
sélectionné par Acastre Command.
Dans EX, je vous fais entendre des histoires d'amour
qui dépassent tout.
Des rencontres qui bouleversent,
des ruptures qui réveillent,
des émotions qui restent longtemps après l'épisode.
Ce sont des récits qui remuent,
qui font sourire, qui serrent le cœur,
et qui prouvent que rien n'est jamais figé, en fait, dans une vie.
Alors si vous aimez les histoires vraies,
qui font vraiment sentir quelque chose,
écoutez EX et abonnez-vous.