A au fait maman merci pour le conseil.
Ah oui lequel ?
Ouvrir l'assurance vie carac et par une patrimoine ?
Ah oui.
En 2024, le fonds euro de la carac m'a rapporté 3,50%.
Mais oui la carac s'occupe bien de nous et depuis longtemps.
Et nous avons un conseiller en patrimoine dédié qui change tout.
Et jusqu'au 31 mars, la carac me donne 50 euros si je verse 2000 euros.
Et ça peut aller jusqu'à 1000 euros offert.
A la carac, on se bat pour vous.
Les taux passés ne préjuchent pas des taux à venir.
Taux net de frais avant prélèvement sociaux.
Offre soumise à conditions, plus d'informations sur carac.fr.
Mutuelle soumise au livre 2 du code de la mutualité.
Bonsoir JB, c'était notre réplique originale de l'histoire.
Est-ce que ça va ?
Ouais, ça va très bien.
Tranquille tu viens d'arriver ?
Non non.
J'ai écouté...
On a prêt le temps tard.
Je ne sais pas de raison que tu as écouté que tu as raconté juste avant.
On a eu des problèmes en plus en début des missions, de réseaux, tout ça c'est nageable.
Si tu as besoin d'aide en réseau, je suis assez fort.
Ben je...
La prochaine fois tu peux le dire avant.
On s'est dit Mathieu reçoit un de ses potes expert réseau.
A nous tous, on devrait pouvoir arriver à régler cette émission.
Mais il faut juste qu'on ait un système de fallback.
En fait, tu as la 5G, j'ai testé.
Tu as 250 méga de download en 5G et à peu près 75 en upload.
En upload.
D'accord.
Si dans ton studio.
Tu vas résilier ta fibre je crois.
Non mais t'as pas de fallback au moins.
Exactement.
On n'a pas de cible, on est en coaxial.
Ah mince, ok.
Décidément.
Ouais, on n'a pas de chance à l'en faire.
On a un don pour choisir vraiment.
Tu prends toutes les quartiers parisien.
Il y a un pâté de maison où il n'y a pas la fibre.
On va te faire déployer ta propre fibre.
Parce que ça coûte cher.
Abonnez-vous bien sûr.
Vas-y tu vas.
Tu vas dans les égouts, tu passes ton truc non ?
C'est pas comme ça que ça marche ?
Moi je veux bien, montre moi.
Tu as vu ça ?
Non je...
Tu n'es jamais les descendu dans les égouts de Paris ?
Si.
Mais je ne savais pas que tu pouvais être genre tiré ta fibre.
Non t'as pas le droit mais c'est parce que t'as pas le droit qu'il faut pas le faire.
Écoute on ferait un détout aux installations de fibre ensemble après.
Alors juste pour info les petites règles du jeu,
tu as tes petits decois bois de comment j'ai ici.
Et c'est bien des micros de potéas donc en vrai tu peux te le prendre et te le manger.
Vraiment tout près, tout près.
Exactement.
Et sans plus attendre, ça c'est de l'eau exactement.
C'est... ah non c'est vide.
Quelqu'un peut nous amener un peu d'eau pour notre pauvre ami des séchis.
Merci Zil.
Et comme je l'ai expliqué en introduction,
on va profiter de ta présence pour parler de deux sujets qui nous intéressent particulièrement.
Et le premier, à rapport avec notre dernière sortie.
Je ne sais pas si t'as vu la dernière vidéo.
Ah trop bien.
Bah génial, je n'ai même pas à la résumer.
Mais pour ceux qui l'ont pas vu, c'était une vidéo qui traitait justement de téléchargement illégal et des risques associés.
En réalité c'est un peu un prétexte pour parler de différents types de vulnérabilités.
Notamment de tout ce qui se passe d'un point de vue bas niveau.
Dans des attaques de type buffer overflow etc.
On va essayer ce soir de rester pas trop rentré dans la technique.
Enfin dans le sens où notre ami ici est le représentant de tous les membres du chat qui ne sont pas des développeurs à guéris.
Je vous arrêterai si ça va trop loin.

Et donc il faut qu'on essaye de vulgariser.
C'est super, j'ai des histoires.
Je vais te parler d'histoires, je vais pas te parler de trop de techniques.
Je pense que j'essaie de faire moins technique là-dedans la fois.
C'est parfait.
Et donc comme j'expliquais pour réaliser ma dernière vidéo sur la mi-code.
Le téléchargement illégal cache-t-il vraiment des virus ?
Je me suis plongé dans le fonctionnement d'un player vidéo.
Vous l'avez peut-être vu.
Et lors de mes recherches j'ai découvert que des logiciels comme VLC déployés dans le monde entier possèdent en réalité un certain nombre de failles.
Ou possédées.
Failles qui intéressent les hackers mais aussi des agences d'espionnage.
Je spoil mais on reviendra dessus après.
Aujourd'hui j'ai l'honneur de recevoir un nouveau Jean-Baptiste Kemph, co-créateur de VLC pour parler des anecdotes les plus folles que tu as vécu pendant la vie de ce projet.
Avant de rentrer dans le croustillant, est-ce qu'on pourrait commencer avec une explication de pourquoi c'est dur de sécuriser un logiciel comme un player vidéo.
Et qu'est-ce qui explique que quand tu vas sur la liste des vulnérabilités de VLC ?
Eh ben y'en a.
Y'en a moins que ailleurs.
Y'en a moins qu'ailleurs.
En vrai y'en a moins qu'ailleurs.
Mais en fait si tu regardes y'a une faille hyper intéressante qui arrivait l'autre fois qui était sur Chrome.
Et c'était la faille sur LibWebP qui est donc le format d'image.
Et en fait c'est exactement le même problème.
C'est-à-dire qu'en fait tout ce qui est compression vidéo, qu'on en a déjà parlé dans les précédentes émissions,
en fait tu compresses et t'enlèves toutes les données qui ne servent à rien.
Résultat il n'y a quasiment plus aucune donnée redondante puisqu'on a compressé au maximum.
Et donc en fait tu dois faire confiance au données qu'il y a dans la vidéo.
Par exemple tu dis la vidéo c'est une vidéo qui fait un million de pixels de large et un million de pixels de haut.
Et si tu réfléchis pas en fait tu fais un million faut un million et puis tu alous cette zone de mémoire.
Évidemment tu sors des trucs de mémoire autorisé possible.
Et donc en fait tu fais un integer overflow.
Et donc tu t'écris ailleurs.
Et puis après tu vas lire mais donc tu as aloué un espace de mémoire qui est beaucoup trop petit.
Parce qu'en fait c'est que tu as overflow donc au lieu de faire un truc de 10 milliards ce qui n'est pas possible en 32 bits,
tu fais un truc de 5 octets quoi ou 10 octets.
Et donc par contre tu continues à écrire.
Tu décompresses et donc tu écris en dehors de ta zone de mémoire.
Ok donc en fait ça vient du fait que comme tu as compressé tu es obligé de faire confiance à tout ce qui a écrit.
Et si tu fais pas attention c'est le problème de tout ce qu'on appelle des parseurs globalement.
C'est que tu prends des données qui sont envoyées par internet et tu fais confiance.
Or il ne faut jamais faire confiance.
Et en fait tu dis oh bah tiens il me demande un million faut un million ok j'y vais.
Alors qu'en fait tu devras dire non non attend là normalement la spécification ne permet pas d'être au-delà de ça et de ça etc.
Donc en fait le problème le premier problème c'est qu'écrire des parseurs c'est difficile.
Il y a des langages qui font des très bons parseurs.
Mais quand on a déjà parlé en multimédia tu dois aller vite.
J'ai 16 millisecondes pour afficher une fraise j'en ai 16 j'en ai pas 17.
C'était déjà la discussion de la folle avant.
Et donc t'écris en langage de banniveau et donc t'écris en C.
Ou dans le cadre d'Avid t'écris en assembleur.
Et donc en fait tu perds tous les petites check de sécurité des langages
notamment un des langages qui est fait pour écrire des parseurs de façon sécurisée
s'appelle le Rust.
Mais nous bah non.
Surtout on l'écrit en C.
Voire en assembleur.
Et le...
Alors maintenant tu vas me dire d'accord on sait faire des choses on sait.
Oui c'est vrai.
Surtout qu'en fait il y a beaucoup de choses qui sont basées sur FFMPEG
ou sur VLC qu'on a été écrits dans la fin des années 90,
début des années 2000.
Et on était quand même beaucoup plus...
beaucoup plus cool on faisait quand même beaucoup plus confiance
mais surtout on ne savait moins utiliser les failles de sécurité.
Et donc en fait de part la taille du projet
quand en fait VLC c'est un truc énorme.
C'est monstrueux en fait.
On parle de quand tu compas le VLC plus toutes les dépendances
parce que de 15 millions de lignes de code en C en C++
c'est monstrueux.
Et donc l'idée que on va tout réécrire en Rust par exemple
pour que ce soit assez bon qu'il y ait plus de failles de sécurité.
Ça va il va jamais.
Voilà.
En fait c'est le truc que j'ai achaté.
J'ai cette email toutes les semaines.
Pourquoi vous avez écrit David
dont on a parlé en Rust ?
En C et pas en Rust.
Et je suis ça ne sert à rien.
98% du temps d'exécution il est fait en assembleur.
Donc même si tu le fais,
tu vas rien régler comme problème.
Est-ce que juste pour que les gens
et peut-être d'autres équivalents
tu t'as mentionné le mot de parceur
est-ce qu'il y a des trucs que les gens utilisent
dans la vie tous les jours
qui sont en fait, qui utilisent derrière des parceurs.
À part la vidéo, on a donné un exemple
c'est des codés de la vidéo.
Tout fichier texte, par exemple Word
tu es tous en format Word
ton format de Photoshop.
Les PDF, un des endroits où il y a eu le plus de failles de sécurité
et souvent par rapporté, c'est le PDF.
Le PDF c'est un des pires formats au monde.
Je ne sais pas si tu regardes un jour.
C'est un truc mais genre c'est...
Un des pires Glooby-Bourga
du pire du multimédia
et du pire du format Photoshop.
Photoshop un jour tu liras ça.
Je pense que tu lis la description.
Tu crois que c'est une blague tellement c'est n'importe quoi.
Et le PDF c'est n'importe quoi au carré.
Donc c'est vraiment...
Voilà donc les PDF,
tous les documents qui sont en format binaire
il faut les lire.
Il faut lire les informations.
Donc c'est tout ce que tu vois.
Le parceur c'est ce qui transforme un fichier Word
en texte qui engrave
ou en Italie, ou avec une image.
Exactement. Il y a beaucoup de ces formats.
Par exemple le format MP4
c'est l'informat qui vient du move
qui date de la fin des années 90
d'Apple qui vient de QuickTime
début des années 90.
Et dans ces cas là en fait,
tu réfléchisais pas vraiment à la sécurité.
Tout le monde était gentil.
Il y avait 10 mecs sur internet.
Et donc tu n'avais pas eu...
Tu n'avais jamais vraiment posé ce problème.
Et par exemple Chrome
c'est peut-être les gens
qui ont fait le plus de travail sur la sécurité
mais quand tu regardes la liste des failles de sécurité dans Chrome
c'est bon.
Et pourtant, Google
a quand même des gens qui ont mis le plus de trucs
sur la sécurité des parceurs
et il y a quand même une faille de sécurité
sur la LibWP
qui est donc un des formats d'image
écrit chez Google
et la faille est faille de sécurité critique
et elle a appliqué toutes les applications
toutes celles qui sont basées en électrons
à tout ce qui est légère. Elle est sorti quand celle-là ?
C'était il y a un mois et demi, deux mois.
Tu se entends que là, si j'ouvre une image
webp sur Chrome là
je peux avoir des problèmes de sécurité.
C'est même pire que ça.
Tu pouvais recevoir juste un SMS
sur ton Android
si tu as la prévisualisation
qui en a acheté un bim.
Donc t'envoies un SMS à quelqu'un, bim. Il s'est pire.
Ah ouais ? Ok.
Tu suggères quel navigateur.
Mais en fait, Chrome a fait énormément de travail.
Mais en fait, le processing
d'image
et de vidéo
c'est quelque chose qui est absolument partout.
Et surtout,
en particulier, il y a plein de gens
qui n'ont pas vraiment fait leur travail correctement.
Je ne veux pas du tout parler des gens d'Android
ou d'IOS.
Mais ils font beaucoup trop de choses automatiquement.
Et en particulier, sur Android
il y avait, non, on a remonté pas mal de failles de sécurité.
Mais il y a pas mal de sécurité
dans le
le média-serveur d'Android
qui, automatiquement,
dès que tu mettais un fichier ce météal par-ci
et puis si c'était un fichier qui était un peu corrompu
donc là c'était un KMKV
le média-serveur est démarré
et donc en fait, tu fais une sorte de
denial of service de ton
avec un fichier qui était cassé.
Tout à fait.
Et donc là, pour rester sur cette faille
parce qu'en fait on n'en a pas jamais parlé de cette faille.
Donc ça vaut le coup de s'arrêter.
Le pire c'est que si ça concerne Chrome, comme tu l'expliquais
ça concerne pas que Chrome en fait.
Parce que ça concerne les protons.
Exactement, quand on dit Chrome, on pense à la petite icône là.
Donc là ça veut dire Steam, ça veut dire Discord,
ça veut dire
Chrome et Brave et Edge
et quasiment
la plupart des applis.
Puisque en fait, même si tout le monde ne s'en rend pas forcément compte
Chrome est partout, plutôt le moteur de Chrome
et utilisait absolument partout OBS également
effectivement.
Bref, tous les sites
qui ressemblent, enfin toutes les applications
qui ressemblent beaucoup
à leur version en site web
en général, c'est que c'est une version électron, donc il y a Chrome derrière.
Ça a un peu flippant cette histoire.
Non.
On pourrait se dire mais
comment c'est possible ?
Comment on peut tomber sur cette image ?
C'est Google, c'est VLC, c'est quand même JB derrière.
Comment c'est possible ?
D'abord, la plupart, parce que
c'est très difficile.
On fait des projets qui sont vraiment très techniques
et
les techno qu'on utilise, c'est des des techno des années 70,
le C c'est un langage des années 70.
Et c'est seulement depuis
une dizaine d'années qu'on réfléchit à faire du rust
et des choses comme ça.
Et tu arrives avec un bagage monstrueux
parce que tu as besoin de performance.
Et donc en fait, de toute façon,
on construit des trucs au-dessus de trucs,
tu vois une application en Discord
qui a un truc au-dessus d'un site web qui appelle
Chrome qui lui se base
avec 8.743 libraries
et chaque library elle était connée
par un...
Il était chez Google, il a démissionné de Google
et il n'y a eu personne pour fixer le bug.
C'est toujours comme ça.
Et surtout, je pense qu'il y a un truc qui peut être un peu contradictif
c'est qu'on se dit ok,
il y a eu des failles critiques par exemple dans VLC
moi je m'ençois une ou deux,
par exemple une qui concernait les fichiers MKV
ou ça marche avec un double fichier
et en gros tu pouvais avoir une exécution arbitraire de code
et je parlais du nôtre qui concernait les sous-titres.
Et ça peut intuitivement on pourrait se dire
mais en fait, si il y a une faille,
c'est que c'est du code qui a été écrit
par GB d'Aisonordi
en fait, ça concerne directement le code de VLC
mais c'est pas forcément aussi simple que ça
dans le sens où vous interagissez avec aussi des librairies
du code écrit par d'autres gens.
Et donc là, c'est hyper intéressant ce que tu dis
mais en fait, ça va être ma conclusion
c'est qu'en fait, le problème de VLC ou le problème de Chrome
c'est qu'en fait, dans ton process,
tu as du code qui tourne qui n'est pas le tien.
Donc, tu peux pas faire confiance.
Donc, soit tu audites tout le code
parce que c'est open source, c'est comme VLC,
on amène tout le code
mais en fait, parfois,
tourne dans ton process
le binaire qui est
ta carte graphique
le driver de ta carte graphique
qui est une partie qui est exécutée dans ton binaire
et quand il crash, de toute façon, tu n'as pas le code source
parce que c'est dans le driver de la vie d'Ir
et là, tu fais quoi ?
Et donc, par exemple, je peux te dire que 90% des craches de VLC
c'est dans les drivers des cartes graphiques
et toi tu peux rien
non, je vais à
tu vas aller à débugguer ça, ça va être horrible
Avant qu'on rentre dans le vif du sujet
des demandes improbables que tu as déjà eues
t'as mentionné le fait que VLC était open source
oui
est-ce que ça rend pour toi
la sécurisation du logiciel
et le fait qu'il n'y ait pas trop de failles
plus simples ou plus difficiles
alors ça a été un débat pendant
ça a été un débat pendant 20 ans
où les mecs te disaient
quand c'est open source, on peut voir plus de bugs
et donc, en fait, on peut exploiter les bugs
et de l'autre côté, t'avais les gens qui disaient
non mais c'est pas open source
donc tu vois rien, donc t'es pas au courant
quand il y a des failles de sécurité
globalement, la réponse c'est
on n'en sait rien
c'est à peu près aussi sécurisé
mais c'est vrai qu'aujourd'hui
il y a un petit avantage à être open source
parce qu'on m'a développé énormément d'outils
d'analyse statique, d'analyse dynamique
et donc on voit que c'est plutôt un positif
mais de toute façon, il faut être très clair
être open source, ça règle pas la paix
dans le monde
c'est une autre façon de développer
c'est une façon qui est à mon avis plus éthique
ça ne règle pas tous tes problèmes
moi je pense qu'aujourd'hui, notamment avec
tous les outils d'analyse qu'on a
et notamment plein de gens qui viennent
analyser ton code
avec des gens qui ont beaucoup de moyens, je pense que c'est un vrai bénéfice
est-ce que par exemple, tu as déjà eu des cas
où des gens auraient essayé de tirer
profit du fait que c'était open source
pour cacher des failles
ou des bugs
intentionnellement dans le code
alors
je pense que oui
je pense que ça m'est arrivé deux fois
une fois sur VLC, une fois sur un autre projet open source
et comment tu peux savoir ?
tu peux pas savoir
c'est vague
du contributeur
et ça s'est passé comment ?
il y a un contributeur qui avait contribué
mais depuis quelques mois, des petits patchs
il envoie un patch qui est un peu plus conséquent
et ça m'a fait tiquer
et j'ai regardé et j'ai fait
mais tu es sûr que tu fais ça comme ça, tu devrais la architecturez
et quand j'ai dit il a fait les trucs
il y avait une partie qui bougeait pas trop
qui était la partie qui m'a gêné le plus
et quand j'ai fait la remarque, il est parti
t'as l'air sûr de regarder tout ce qui passe
parce que là t'as trouvé ça bizarre
je regarde tout ce qui passe sur VLC
mais ça c'était pas le plus gênant
j'en ai eu d'autres projets open source
je vais pas dire exactement le nom
ou là c'était clairement intentionnel
c'est pas dans
parce que franchement
par exemple tu reçois un énorme
un énorme patch
qui vient de quelqu'un qui en plus
a déjà eu établi de la confiance avant
c'est pour ça que pas non
on va être à confiance quoi
non non
dans VLC c'est déjà ce que j'ai dit plein de fois
notre objectif c'est que
en fait on est hyper
relou sur la review de code
et la review parce que
on ne fait pas confiance
aux gens de rester longtemps dans le projet
c'est pas qu'on fait pas confiance aux gens
c'est qu'on sait que statistiquement
j'ai 1000 personnes combossées sur VLC
il y en a 10 qui restent
j'ai 1% de chance que la personne reste
donc en fait ça veut dire à moi
qui veux maintenir ton code
donc je dois le comprendre
et donc par exemple
dans VLC c'est un gros patch maintenant
c'est direct non, split ton patch
mais c'est direct
il y a même pas
des projets open source qui sont
par exemple des librairies, des dépendances
de VLC, de FFMPEG et de Chrome
qui n'ont pas la taille de VLC
et qui n'ont pas les habitudes de travail de
sécurité de VLC parce que nous on a eu
des mauvaises surprises donc on fait énormément
de travail sur la sécurité qui peut-être
ne font pas aussi attention et ensuite elle finit
dans VLC, elle finit dans FFMPEG, elle finit dans Chrome
elle finit dans plein d'autres endroits
ça c'est un peu flippant
quand tu réfléchis c'est une super strate
par exemple t'aimerais bien
avoir sur énormément d'appareils
un moyen de prendre, de faire de l'exécution
de collade distance je sais pas pour faire un petit peu
de surveillance par exemple
est-ce que c'est pas la meilleure stratégie
de se trouver un petit projet open source
hyper dépendant et de faire ta
ton patch? Bien sûr que si, littéralement un
genre double tu vois, tu connais la confiance
mais je pense qu'il y a d'autres façons par exemple
si aujourd'hui j'ai des failles de sécurité à les chercher
je sais dans quel logiciel je vais aller les chercher
dans le sens où ça sera
tu sais d'avance que ce sera plus probable
d'en trouver à certains endroits que d'autres
c'est clair que je vais aller attaquer les progrès adob
ah c'est évident
parce que ils ont
peu de ressources investie en sécurité
non non ils s'en investissent beaucoup mais
adob reader je pense que si
tu cherches des failles de sécurité tu vas l'adbar
ça c'est marrant
c'est marrant qu'il reste comme ça avec le nom
tu es une intuition de
les df plus adob
pourquoi? Parce que c'est le pdf
en lui-même qui est trop dur à gérer
oui
le pdf ça fait tellement de trucs
des fois tu as des images pour imprimer, des fois tu peux
mettre la vidéo dans les pdf, tu peux
remplir des formulaires, il y a même des développeurs
aïe us qui prennent des icônes des fois
d'expo en pdf pour avoir du vecteur
c'est n'importe quoi je ne comprends pas
comment ça va plus diversifier autant
c'est une cata
alors que pour moi j'ai toujours trouvé ça magique
c'est l'un des seuls trucs qui
que tu savais une fois qui sera toujours imprimé correctement
c'est vrai que c'était renté à la base
non?
j'avais compris que c'était le
origine du format d'IA
c'était plutôt le ça s'imprime toujours correctement
oui oui, ça se voit que t'as jamais essayé d'installer un
driver HP là
ah oui peut-être chercher les
logiciels HP là pour installer une imprimante
t'as besoin de un giga de téléchargement
il t'installe 28kk
c'est vrai
est-ce qu'en plus ce genre de
comportement
tu sais d'avance qu'ils peuvent être faits que
par des gens qui ont des ressources
ce que la plupart dans les
je veux dire c'est que à part des
des groupes cybercribnels qui ont
un certain niveau
qui d'autres que des agences
des chercheurs
par exemple là il y a eu dans le multimédia
et d'ailleurs c'était une éfaille de sécurité qu'on a eue dans VLC
que je pense n'est pas exploitable
qui s'appelle H26 forge
c'est quelqu'un qui a justement automatisé
la création de faux fichiers H264
donc codec
et il a fait péter tous les players
y compris les players sur android
et que tu peux pas remplacer parce que ça fait partie d'android
et donc avec un fichier vidéo
il aimait, il pouvait exécuter d'un porte quoi
attention
tu dis souvent d'exécutions
il faut que tu fasses hypergaffe parce que aujourd'hui
une faille de sécurité ça veut pas dire exécution
ok
c'est la version
enfin c'est une des versions les plus graves on va dire
en fait c'est pas ça c'est que
par exemple dans VLC
la plupart des failles de sécurité
des dernières années de VLC elles sont pas exploitables
en fait la pleine de mécanismes de protection
plusieurs
notamment un qui s'appelle
ASLR donc c'est la
c'est la randomisation
de l'espace mémoire donc même si tu es capable
de faire, de savoir
que tu as écrit quelque chose
tu ne peux pas jumper dessus, tu ne peux pas aller
dans cette zone mémoire parce que il y a eu
de l'alléatoire donc tu vois t'as les choses comme ça
t'as tout ce qui s'appelle DEP
ou NX c'est à dire que tu as le droit
d'écrire des nouvelles pages mémoires
mais tu peux pas les exécuter
donc aujourd'hui par exemple
il y a beaucoup de crash dans VLC
ça crash VLC
être capable de exécuter du code
c'est une autre perloge
et quand tu vas dans les gros soft comme Chrome
en fait quand tu regardes les exploits
de Pwn2on
qui sont les grands trucs
et puis tu te rends compte qu'en fait ils chainent
une, deux, trois, quatre failles de sécurité
c'est à dire qu'en fait t'as une faille de sécurité qui exécute
ouais mais c'est dans la sandbox après t'as un sandbox
escaping de la sandbox VM
qui leur permet de faire un off by one
mais en fait comme ils écrivent ça ils font ça en boucle
avec une boucle javascript ça permet d'écrire etc
et puis ensuite ils sortent de la sandbox
de Chrome pour aller sur le driver graphique
enfin tu vois aujourd'hui
l'exploitation de failles de sécurité
notamment il y a plusieurs boîtes en France
qui sont des espèces de tueurs
qui sont des gens absolument incroyables
et qui sont capables de
de lier beaucoup de failles
donc en fait ce que tu fais aujourd'hui
c'est que quand t'as des failles
bah tu patch
parce que tu sais pas
souvent la faille si combinée avec d'autres
elle pourrait pas permettre de faire de la plus grave
tu vois la plupart des
sur les 10 dernières années des failles sur VLC
que je sais sont vraiment dangereuses
t'en as
4 ou 5 quoi
alors mais par contre nous on est open source
et nous c'est better safe than sorry
y'a une faille on patch point
salut si vous appréciez Ender score
vous pouvez nous aider de ouf
en mettant 5 étoiles sur Apple podcast
en mettant une idée d'invité que vous aimeriez qu'on reçoive
ça permet de faire remonter Ender score
c'est d'une fusée
est ce que t'as déjà constaté
que
que VLC
était déterminé
ton utilisation originale
on sait que c'est absolument partout
on sait que VLC gratuit
on sait que c'est utilisé comme un plein de vidéos
on sait qu'il y a même plein de features cachées qui sont pas des
features de sur la vidéo
est ce que t'as déjà constaté
que VLC était détourné de ce pourquoi il a été fait
plein de fois
c'était pourquoi
il y a trois histoires un peu connues
autour de VLC
la première c'est la CIA
qui a utilisé
un groupe
de tout le hacking s'appelait Volt7
qui est sorti à l'époque de Wikileaks
qu'on a retrouvé après Wikileaks
et en fait c'était une version de VLC
qui avait quelques petites fonctionnalités
supplémentaires
et cette fonctionnalité
notamment elle, tu avais téléchargé un VLC
qui était pas le même VLC
mais tu double le clic, tu vois c'est signé par Vidéolan
dans le about
c'est un VLC
ça a l'air cool quoi, ça marche
c'est les mêmes les films que tu regardes
sauf qu'en fait, il lisait
tes documents dans ton home
ça les lisait, ça les chiffrait
ça les envoyait sur le serveur de la CIA
et toi en fait tu te rends pas compte
parce que tu regardes un film, c'est normal que ton CPU
tu vois il commence un peu à faire un peu
tu vois t'as un peu de bruit
ça fait vous, tout pas grave, il est encore ce 2
ouais et puis en plus il y a du son
peu de gens qui soucient de ça
ça a permis de faire du targeting
de certaines personnalités
qui ont eu un faux VLC
et donc là c'était de l'injection de DLL
donc c'est pour ça qu'il y a eu beaucoup de changements
sur l'injection de DLL d'envers
est-ce que tu peux expliquer ce que ça veut dire?
injecter une DLL parce que ça paraît
assez jargonneuse
ok donc en fait
quand tu fais les programmes aujourd'hui
ils sont monstreusement gros
donc en fait ce que tu fais c'est que tu utilises des bibliothèques
par exemple tu ne vas pas aujourd'hui
écrire
du code
pour afficher à l'écran
tu vas utiliser une DLL
qui va te permettre d'officher des boutons
donc en fait tu utilises plein de bibliothèques
et c'est des bibliothèques que tu
à l'origine était tout dans le même programme
mais en fait sinon ça consomme
notamment des fonctionnalités optionnelles
et donc t'as ce qu'on appelle des bibliothèques
qui sont chargés dynamiquement
qui appellent des DLL
dynamique, l'eau de la librairie
sous max ça s'appelle des Dilib
bref c'est une façon de charger du code supplémentaire
dans VLC en fait comme il y a énormément de features
dans VLC je ne charge pas toutes les
dans VLC j'exploserai ta rame
il y a peut-être 500 ou 600 modules
et tous les modules sont des DLL
et donc à un moment où tu as besoin
de MP4
je chématise mais tu charges le bon truc
c'est ça exactement sauf qu'en fait
beaucoup de fonctionnalités de VLC
par exemple vont dépendre de ton driver
donc en fait ton module de VLC
il charge une autre DLL
donc t'as une DLL qui charge une autre DLL
et ça c'est des DLL systèmes
et la façon dont sont chargés les bibliothèques
les DLL sont Windows c'est complètement débile
ça n'a aucun sens
c'est hérité des années
de Windows 3.1
et si tu ne sètes pas quelques paramètres
il fait n'importe quoi
et notamment il charge la DLL
à côté du fichier vidéo
alors qu'il ne devrait pas
et avant de charger
la bibliothèque système
et ça c'est une faille de sécurité
et donc quasiment dans un D
qui est dans tous les soft un peu petits
donc ce que tu veux dire c'est que
par exemple si VLC il charge
user.dll
qui est censé être dans système 32
et qu'en fait à côté de ton fichier
t'as écrit user.dll
il va commencer par charger celle-là
et donc coexécution
tu peux mettre ce que tu veux là-dedans
et c'est amené quoi
donc ça c'est la version la plus simple
le cas de V7 c'était un truc un peu plus compliqué
mais c'est la même idée
tu fais charger une bibliothèque
qui n'est pas censé être chargée
mais donc il n'y a aucune modification de VLC
donc c'est hyper insidieux
c'est à dire que ça utilise le fait
que VLC il est faille
de chargement de DLL
elle a été exploité sur
tous les logiciels que tu connais
je pense qu'il n'y a pas un seul logiciel que tu connais
qui n'a pas eu ce problème
et donc là c'est la CIA
comment est-ce que vous avez découvert ça exacto
eh ben
quand il y a eu les trucs de Wikileaks
avec Assonge et puis un moment
donc il y avait
un moment je pense on cherche VLC
il y avait deux sujets
il y avait le sujet justement V7
il y avait un autre sujet sur Sony
et les DRM Blu-ray
c'est pas le sujet aujourd'hui
et t'as réagi comment toi quand t'as découvert que
c'est un peu ton bébé quand même VLC
ouais ben c'est la vie hein
t'as ton truc qui est utilisé par la CIA
pour faire des infictions de la surveillance
c'est quand même dingue
en fait il faut que tu te dises en sécurité
et ça les gens ne comprennent pas
en fait en sécurité
c'est que la vraie question c'est ce qu'on appelle
ton sret model
la première chose que tu fais en sécurité
un consultant un peu près sérieux en sécurité
c'est contre qui tu te défends
parce que
il est impossible d'avoir 100% de sécurité
ça n'existera pas ça n'existera jamais
la question c'est contre qui tu te bats
et ça c'est le vrai sujet
et donc
ton sret model à toi
mon sret model à moi
ou le sret model de Snowden
c'est quand même pas la même chose
et si les gens contre qui tu te bats
c'est la CIA, le FBI
ou d'autres avant le gouvernement mental
les failles vise ou de la Chine
de toute façon tu as perdu
ils ont des ressources qui sont infinies
tu ne gagneras jamais
sans il faut que tu le saches
bon tu l'acceptes
donc ça c'est pas le truc qui m'a le plus gêné
comme faille de sécurité
par exemple est-ce que tu peux porter plainte contre la CIA
non?
personne fait ça?
d'abord en fait ils ont pas
je sais pas moi je vous pose la question
tu n'as pas attaqué VLC
ils ont diffusé des fausses versions de VLC
c'est quand même pas pareil
par contre là il y a une deuxième attaque
qui nous est arrivée, une deuxième histoire
qui elle était plus gênante
le coeur
de la diffusion de VLC
c'est un FTP à l'ancienne
dans lequel il y a toutes les binaires
de VLC
des miroirs qui vont télécharger
par airsync
c'est un serveur de fichier
et c'est là où tu vois toutes les versions de VLC
depuis le début
et
dans le serveur de fichier
il y a un dossier qui s'appelle l'Incomim
où tu peux envoyer des fichiers
donc on s'en sert pour recevoir des films cassés
on s'en sert pour
certains scripts etc
et
régulièrement on soit des choses
un peu bizarres dans ce dossier
alors tu penses bien que niveau sécurité
en fait ce dossier il n'est même pas
dans le même conteneur
que le FTP principal
mais ça on ne le dit pas
et donc on reçoit souvent plein de
plein de trucs
j'ai reçu vraiment tout et n'importe quoi
des choses que j'ai du mal à m'enlever
des yeux
mais ce n'est pas le sujet
ce que j'ai vu surtout
c'est qu'un jour on a reçu un binaire
qui ressemblait à VLC
qui était un peu modifié
parce que ça ne me ressemblait pas
c'était moi qui était censé faire la bille
mais contrairement au cas de la CIA
qui avait diffusé des VLC avec des zip
donc tu vois il rajoute une DLL
il refond le zip
là c'était l'installeur de VLC
qui était modifié
et en normalement l'installeur de VLC
il est chiffré avec une signature
qui est
sur une clé
hardware, une sorte de UBT
donc un truc que tu ne peux pas
et qui est difficile à trouver
c'est-à-dire que si tu ne sais pas où elle est
tu dois aller dans des endroits pour avoir cette clé
et donc c'est comme ça qu'on fait que
les releases de VLC
pour qu'elles soient certifiées
pour qu'elles soient signées à contrefaire
non c'est possible
il faut avoir vraiment beaucoup de compétences
bref on reçoit un binaire
qui est un installeur
et là quand je le teste
je vois que
c'est signé par Videolan
et là tu te rends compte que c'était pas vraiment
Videolan, c'était Videolan
mais le A il était pas bon etc
mais ça veut dire quand même que c'est quelqu'un
qui avait l'accès
à une chaîne de certificats
ou qui avait le droit de faire
parce que c'est des certificats qu'on appelle
authentico de Microsoft
donc c'est un peu gênant quand même d'avoir ça
et les binières
étaient modifiées mais je n'ai jamais vraiment
regardé ce qu'il y avait
ça m'a gêné beaucoup plus parce que ça c'était
en fait une attaque
sur notre infrastructure
il faut VLC envoyer sur notre infrastructure
et à côté il y avait un FIPSP
comme si on exécutait le FIPSP
de notre FTP
c'était hyper sophistiqué parce qu'ils ont dû avoir
une difficulté pour avoir cette bonne signénieur
et de l'autre côté l'attaque elle était nulle quoi
c'était même déçu quoi
t'as l'identité du gars du Incombin quand il dépose
quelque chose
je ne sais pas
tu vois peut-être en passant par Microsoft
non parce que ce que tu fais c'est des certificats
tu vois tu as acheté des ICR etc
bon bref
je me suis dit que pour être capable de faire ça
il fallait en tout cas avoir du moyen
envoyer des moyens mais je ne sais pas qui c'est
on peut imaginer que l'objectif c'était
d'avoir cette version de VLC
sur vos serveurs
ça fait un peu légitime
et là tu as quand même
une version 3016 de VLC
elle a quand même été chargée 410 millions de fois
sur une version
ça fait quand même du monde
qui peut avoir un binaire
donc tu vois la sécurité
elle vient du tout début
de faire attention à ce qui rentre dans ton code
comment tu le build mais aussi comment tu le diffuse
et la partie diffusion c'est
de l'infra c'est moins rigolo que d'un truc
on a eu ça qui était un sac
et ça ça m'a plus gêné
je suis allé porter plantes
pas contre la CIA
mais là c'est plus faisable
je suis allé porter plantes deux fois auprès de la gendarmerie
nationale
une fois pour ça c'est quand on s'était pris une attaque
en dose
on avait encore une autre histoire
mais tout à parait on a eu une attaque dose
et qui était clairement envoyé de la Chine
on a eu deux d'ailleurs
ça peut servir
alors la première on ne sait pas vraiment
ce que c'est pour nous embêter et pas
mais la deuxième c'est quand on a banni les téléphones Huawei
de la version Android
très bizarrement une semaine après
on a eu des attaques qui venaient de China Telecom
genre genre
on dirait gamins de ouf
je sais pas c'est des gamins
et la première fois on a
le premier dose on allait porter plantes
et là c'est histoire de faux binaire
je suis allé porter plantes
c'est des trucs de
histoire de sécurité un peu rigolote
la dernière elle m'a moins fait rigoler
encore moins fait rigoler parce qu'elle était plus récente
c'est l'Inde
qui doit être un des plus gros utilisateurs de VLC
a décidé de bannir VLC
et donc pendant quasiment un an
on allait sur le vide de l'Anporg
et c'était interdit
les trucs des télécom c'est le truc comme si
ce qu'on avait fait était gravissime
et en fait on a regardé
des pirates
de Sikada qui sont un groupe
de hackers chinois probablement sponsorisés
par le gouvernement
qui ont utilisé
le nom de la LibVLC.dll
mais en utilisant VLC.exe
mais tout le derrière ça n'avait rien à voir
et comme
ils avaient fait un faux installeur
il y avait beaucoup de fights entre l'Inde et la Chine
et donc ils avaient réussi à faire ça
et donc là ça a été
exactement la violation
et alors là
ça a été d'une complexité
parce que évidemment
c'est un office complètement
un compétent indien avec la bureaucratie indienne
qui a l'air d'être quand même
sacrément chaude
et là
ça a fini j'ai attaqué le gouvernement indien
en justice à délit quoi
pour avoir et là quand on y allait
on avait des avocats indiens etc
on les a fait flipper
et donc ils ont fait ouais attend on va faire une revue etc
et finalement ils ont enlevé le ban
ça nous a pris un temps
infinie et on a été aidés
par une sorte de
ucl
qui est une vraiment
une freedom internet
qui nous ont fait un travail de dingue
mais ouais ça a été vraiment
parce que l'un des la chine
on ne se rend pas compte
mais c'est vraiment chaud
ils se frittent quand même
et ils ont avec le gouvernement modi
ils sont quand même pas
rigolo et d'ailleurs régulièrement
et donc en fait on était dans la liste
des sites à bannir
expliqués par ministère
de télécom
indien
donc là c'est encore un truc différent
non non ils ont pris des binaires de vlc
ils ont pris une partie des binaires de vlc
vlc.exe
libvlc.cor etc
et donc en fait
ce qui est très classique c'est qu'il y a beaucoup d'antivirus
quand ils voient vlc.exe ils y voyclisent
parce que c'est des gros nuls
et en particulier parce qu'en fait très régulièrement
à chaque fois qu'on a une nouvelle release de vlc
on reçoit à peu près un million et demi d'email
nous disant oui chez cet antivirus qui dit qu'on est méchant
et effectivement parce que comme on le sait
comment tu fais de l'assembleur
comme on a déjà parlé
en fait tu ressembles un peu à des virus
à des worms etc
donc en fait c'est toujours du code un peu bizarre
résultat en fait nous on a des accords avec
pas mal de
de
de fabricants d'antivirus qui viennent scanner un peu
notre ftp
à qui on dit etc donc c'est pour ça aussi que c'est d'autant plus dangereux
c'est un tampon c'est bon
mais donc parfois donc ça c'est les plus malins
ils regardent juste vlc.exe
et puis t'as un vlc.exe avec les codes vlc
donc tu t'inquiètes pas qui tourne
c'est pas très grave et puis tu vois tout
y'a plein d'organisations
qui utilisent vlc à peu près partout
mais du coup si je sors un logiciel qui s'appelle
vlc.exe y'a des chances que je sois whitelisté
par les antivirus
mais toi par exemple
en un moment on avait un bug débile des driver
nvidia qui avait pas compris ce qu'on faisait
donc ça a été hyper long et si en fait
t'avais des trucs sur vlc.exe ça marchait moins bien
que tu renommais ton vlc en vlc2.exe
et ça marchait mieux
et c'est même pas une blague
c'est vague
la validation au niveau 1
en tout cas tu peux cocher dans ta bouche
et te lisse que tu as poursuivi le gouvernement indien
c'est pas grave
finalement j'ai pas posé la plainte
mais je leur avais préparé la plainte
on a préparé un doigt qui fait 70 pages
on leur a envoyé, tout était prêt etc
et donc il flippe un peu quand j'envoie les mails
ils disaient on fait un call
et je pense que le call
commence, je l'ai enregistré
et le début du call
il commence à m'interdire de venir avec les avocats
et je dis
écoutez
pendant 20 minutes on se bat
finalement on a accepté de pas avoir nos avocats
mais moi je commence à dire
la première phrase quand les avocats partent
c'est je trouve qu'il est inadmissible
d'ailleurs je viens à votre bureau
lundi prochain j'avais mis mes billets d'avion
je leur ai dit que j'avais mis mes billets d'avion
pour venir déposer ma plainte en personne
j'aurais peur moi d'arriver tout seul comme ça
on est sur djb mais je veux pas
ça a marché
ça a marché
ceci étant dit c'est assez gênant
parce qu'évidemment
aller se
prémunir contre des attaques comme ça
où il y a le vlc.exe et le libvlc
qui sont utilisés à des mauvaises essiants
on commence à
j'ai des solutions
pour régler ça mais c'est pas très rigolo
mais surtout parce que je trouve quand même dingue
c'est de voir la
mesure des
attaques et des
des dédournements de vlc
que vous subissez
mis en face du fait que
vous êtes une assaut
et là tu pense que tu
pointes du doigt c'est la bonne question
c'est pourquoi est-ce qu'on se mettraient à attaquer vlc
et en fait tu vas te rendre compte
que aujourd'hui
tu fais tourner aucun logiciel sur ton pc
tu fais tourner ton navigateur
tu fais tourner office word etc
à peu près ton lecteur pdf
ton lecteur d'image même plus
il est intégré dans l'os
et ensuite 1743 version de chrome
dans électron et après
t'as ton lecteur vidéo donc en fait il y a de moins en moins d'appli
que tu fais vraiment tourner en natif
et les mecs de chrome
c'est peut-être 2 à 3 000 fois plus de personnes
qu'ils bossent sur vlc
ils ont vraiment travaillé
ils ont un système de sandboxing qui est très évolu
ils font énormément de travail
donc c'est beaucoup plus difficile
et puis surtout
c'est le truc le plus étudié tout le monde a essayé
d'attaquer chrome
tu prends chrome évidemment microsoft avec office
c'est aussi des applications qui sont super sécurisées
je pense que c'est un peu moins bien que chrome
mais il y a quand même beaucoup de travail
et surtout ils ont des choses qui sont préchargées dans windows
qui sont wakelistées dans windows donc il se passe quand même beaucoup de choses
et donc ensuite t'arrives sur quoi ?
des lecteurs d'image, des lecteurs pdf
adobe reader on l'a parlé mais maintenant adobe reader
utilise une partie de la sandbox de chrome
firefox utilise une partie de la sandbox de chrome
ce qui est pas ici à réussir à en développer
donc bah en fait tu vas trouver sur chrome
et
des petites et en fait tu vas regarder
tu vas descendre dans la liste des logiciels les plus utilisés
et vlc ça va être dans le top 20
et là tu te rends compte que quand même on est disque
disque boost a bossé sur vlc
tu dis bien qu'on a pas de cibles en fait
ouais en fait c'est une bonne cible
et c'est normal et en fait après
nous on est quand même techniquement relativement
bon et quand on
on discute pas mal avec
les gens qui font la sécurité informatique
quand on leur disque tout ce qu'on fait
c'est à dire qu'on fait de l'analyse statique
on fait d'analyse dynamique on a tout dessiné on a active la SLR
on a l'entreprise lsr on fait d'abtnionics etc
le truc est signé le truc est contre signé
on a notre système de signature
il utilise des ubikis qui sont offline
on a du écligier pg tout ça ça a été
envoyé sur du web ostros etc
on fait notre infra elle est hyper
enfin tu vois par exemple notre infra notre situabilité statique
tout est contenu risé etc donc
on est pas
même si on a l'air toujours anti etc on fait quand même hyper attention
et donc les politiques de sécurité
les mecs te disent ok ok
on ne font pas complètement n'importe quoi
maintenant c'est sûr que par exemple
dans vlc on charge beaucoup
de bibliothèques tu vois vlc
le code vlc c'est un million de lignes de code mais un compile
16 millions la plupart du code qui tourne
vlc n'a pas été écrit par nous
donc c'est sûr que tu vois il y a déjà un problème
et le deuxième problème c'est que notamment on fait beaucoup de choses
donc en audio et en vidéo
et donc une partie du code c'est la stack open GL
du driver mais qui tourne
dans ton process donc tu vois là tu as un vrai
problème c'est que tu ne peux pas faire confiance à ta propre application
puisque en fait tourne dans l'espace de mémoire
de ton application quelque chose que tu n'as pas fait
donc en gros pour résumer
c'est comme si tu développais un logiciel
et que une de tes dépendances
les plus importantes
et ben elle dépendait du constructeur
du hardware qui développe un driver
auquel tu peux pas faire grand chose
et juste il est là et il peut être exploité quoi
exactement et ben
quel travail et donc
normalement ta question d'après c'est qu'est ce qu'on fait
oui, qu'est ce qu'on fait
non
la seule réponse donc
il y a une première partie qui est de dire ok on va tout scanner
on va avoir aucune faille de sécurité
je viens de te prouver que c'était nécessaire
mais c'est clairement pas suffisant
l'autre travail qu'il faut faire c'est donc faire du sandboxing
de VLC
c'est un projet sur lequel on bosse depuis maintenant
4 ou 5 ans et en fait sandboxer VLC
ça veut dire que quand tu vas cracher
tu vas... ça va pas être très grave
parce que tu peux pas faire grand chose
c'est ce qu'a fait Chrome
sauf que le problème de Chrome c'est que
la plupart du temps Chrome gère
des fichiers HTML
avec une grosse page HTML 5M, 10M
VLC c'est capable de lire des flux
à 250Mbps
et donc faire une sandbox
pour de la vidéo c'est un peu plus compliqué
et d'ailleurs tu noteras que évidemment Chrome c'est lire de la vidéo
beaucoup moins de formats que VLC
évidemment mais il y a beaucoup d'attaques
qui sont là sur la partie graphique de Chrome
de faille de sécurité
à raison parce que c'est évidemment la partie
qui est le plus difficile à sandboxer
mais en ce moment nous on travaille là-dessus
d'ailleurs avec de l'aide
des subventions de l'état français
vraiment très très cool
et donc on est en train de mettre en place
une sandbox qui est une multi sandbox
dans VLC et c'est très difficile
aujourd'hui c'est très difficile de faire des sandbox
Chrome, Chrome si tu exagères un peu
Chrome ils ont d'abord construit
une sandbox et ensuite ils ont construit
leur navigateur
les premières versions de Chrome c'est vraiment rien
c'est vraiment rien et ça
c'est une sandbox et en fait rétrofiter
donc rajouter une sandbox dans un
le chiffre compliqué c'est très dur
c'est très dur mais on va y arriver mais c'est une question de temps
et c'est surtout une question de moyen
tu me dis si c'est pas du tout le cas
mais c'est pas du tout le cas
parce que j'ai une sorte de balance entre
performance
toujours évidemment
et sécurité et sandbox donc en fait c'est le problème
de la sécurité informatique en général
c'est que tu vois par exemple qu'est-ce qui se passe
tu demandes aux gens de changer leur mode pass tous les six mois
bon tous les six mois ils le font
ok c'est un peu embêtant
ils l'utilisent etc tu leur demandes de faire
toutes les trois semaines qu'est-ce qu'ils font
ils écrivent le mode pass ils les coller
post-it donc ça veut dire qu'un attaquant
c'est encore plus facile donc en fait il faut faire attention
à ce que la sécurité ne soit pas
embêtante pour l'utilisateur
si elle est l'utilisateur il va contourner
tu vois c'était le truc de Windows Vista au début de cette
avec une pop-up
uac jaune à chaque fois donc qu'est-ce que tu as fait
clique oui oui oui
tu as accepté tout quoi
et tout le monde a oublié que en fait c'est important
et sur android les permissions sur android
un enfer
tu veux voir le truc donc il faut être capable
de faire de la sécurité sans embêter
l'utilisateur et en ayant
une perte de performance qui doit se mesurer en 1
ou 2% au-delà c'est mort
juste par curiosité parce que
je sais plus si tu peux me parler de ça
est-ce que donc là on a parlé des détournements
de VLC en tant que tel mais est-ce que
vous la structure VLC
comme type
d'attaque est-ce que il y a déjà eu
des tentatives de
en utilisant le processus
peut-être du fait que ça open source
de s'introduire par exemple sur les machines de développeurs
ou des choses comme ça c'est marrant je ne suis jamais parlé
peut-être que si on a parlé que ça
j'ai deux histoires comme ça
la première
c'est que donc tu verras je me déplace
rarement sur mon ordi je suis un peu parano
là dessus
et puis mon ordi en fait tu peux rien faire
tu peux rien faire dessus
parce que c'est un peu compliqué
mais en tout cas il n'est jamais loin de moi
et ça m'est arrivé une fois en conf
j'étais en
j'étais en train
de parler et je vois quelqu'un
qui prend mon laptop et qui met une clue USB
ah ouais et c'était clairement pas
une erreur quoi
et je ne pouvais pas sortir je ne pouvais rien faire
donc là c'était clairement une tentative d'intrusion
sur mon ordinateur
donc voilà donc ça c'est déjà
pas très cool
qui n'était pas déverrouillé
un ordinateur c'est toujours vérifié
ah mais je ne sais pas
quand tes mains quittent ton ordinateur
l'ordinateur est verrouillé on est d'accord
c'est comme ça 100% pour son égeant
d'accord évidemment tout le monde
il est où ton ordinateur ?
sur la pièce à côté
tu peux savoir qu'il est éteint
parce que là il va être à plus de 5 mètres de moi
ouais mais je dis ça parce que ça peut arriver
sur des conférences et trucs comme ça
tu la set up avec tes slides
et tu quittes des yeux 10 secondes
j'ai eu ce cadre d'attaque
je crois que c'est le cas
qui fait le plus rigolé j'ai quelqu'un
qui bosse avec nous pour faire de l'administration
elle ça la fait hurler l'hidrice l'histoire elle raconte tout le temps
j'ai une autre histoire qui était un petit peu moins rigolote
peut te couper ?
je sais bien sûr tout le gars
tu l'as vu faire et c'est la fin
mais tu veux que je fasse quoi ? je suis en train de faire un talk
je finis mon talk
il est branché reparti tu l'as vu
il est branché j'ai vu qu'il a pas réussi à faire son truc
j'essaye donc j'essaye de sortir
et le mec est parti
il y a pas de...
non t'as oublié
il y a pas des caméras
tu sais c'est comme ici il a t'a eu 28 milliards
il est complètement aveugle parce que
il faut avoir de la bonne lumière
il disparait dans le long
mais c'est bizarre, c'est bizarre
est-ce qu'il s'est planté ?
tu vois j'ai un singe pad x5 carbone c'est un truc classique
ça se trouve c'est vrai
c'est juste une erreur
je te laisse interpréter
je ne dirais pas ce qui s'est passé
j'ai une autre histoire qui est encore moins
c'était une bonne leçon
en fait
en général quand
des gens qui disent que t'as une faille de sécurité
j'en ai une par semaine
et en général la réponse c'est
donne moi la preuve
ou par toi
toi c'est comme
gtafo quoi
soit tu as une preuve
que ça a effectivement
une faille de sécurité
en général souvent les gens un peu bons
ils te disent pourquoi et surtout ils te donnent un fichier
et classiquement
notamment quand tu veux montrer qu'il y a une exécution
tu exécutes calc.exe
la calculatrice
c'est le truc classique
tu montres que t'es capable d'avoir un fichier
de faire une remote exécution puisque tu lances la calculatrice
et ça c'est toujours été le standard
on lance la calculatrice
de
tous les mecs de sécurité
une fois on a reçu une faille de sécurité de quelqu'un
et en fait c'était un script
souvent aussi t'as des scripts pitons tu lances le script piton
et en fait au lieu de faire
exec calc
ce qu'il faisait c'est qu'il allait lire
dans le point ssh
la clé privée idrsa
et dans le point gpg
la clé privée gpg
et il l'envoyait
sur un serveur distant
c'était un piège
attention pour expliquer ce que ça veut dire
le script il était censé
démontrer que le gars avait trouvé une faille
d'un vlc
c'est un truc que t'exécuterais toi sur ta machine
en tant que développeur
et donc là en fait au lieu, à la fin effectivement
il y avait une exploitation
et sauf que le faire exec calc
il faisait lire le fichier
et envoyer sur un serveur distant
évidemment c'est la clé privée de signature
de moi
pas celle de videolad mais de moi
pour expliquer qu'est ce qu'on fait avec une clé
tu peux te faire passer pour moi
tu peux envoyer des messages en disant
c'est bien jb je dis qu'il faut faire ça
c'est pas le gars qui a mis
sur le ripo le faulesse
c'est le même gars
il a levé l'up entre temps
ça c'était totalement à faute
il se trouve que je l'ai testé sur un laptop
qui était tout neuf et donc il n'y avait pas mes clés privés
ça n'a rien fait
depuis sur là
c'est une bonne question de chance
depuis sur là
quand on télécharge des failles de sécurité
on le fait dans un ordinateur jetable
une VM qui ne fait que ça
parce que c'est deux tentatives d'intrusion
qui étaient clairement
une clairement
attaquant un des développeurs de velsez
sachant que si c'était moi ou quelqu'un d'autre
l'autre je vous laisse décider
mais c'est quand même pas assurant
maintenant que tu le dis
c'est vrai que ça paraît raisonnable
que si quelqu'un que tu ne connais pas
a envoyé un script de lancer sur une machine dédiée
mais je trouve que c'est le genre de truc
où ta vigilance peut baisser
il y a quelqu'un qui te dit qu'il y a un bug
et t'envoie le fichier tout propre comme d'habitude
tu as trop envie de...
ça paraît simple
puis si il y a quelques années, aujourd'hui je fais
le mindset sécurité a quand même mal évolué
mais surtout, là tu parles de la clé GPG
et la clé SSH
ça veut dire qu'il aurait pu accéder à n'importe quel serveur
non parce que quand même
avec ma clé privée, il faut quand même que ta main passe-fraise
oui mais là quand même
je suis quand même pas complètement débile
mais ça veut dire quand même que...
il a fait la moitié du chemin
après il faut trouver mon mot de passe
parce que les mot de passe de passe-fraise
c'est des clés... on n'est pas à 14 caractères
ou 22, on est quand même à beaucoup plus
mais bon tu vois
pas assurant
voilà, en fait
toi c'est comme cette histoire
est-ce que c'est grave, est-ce que c'est pas grave
est-ce que c'est rassurant
alors sauf que nous...
en fait toi tu t'es habitué, mais en vrai
si je devais être constamment sur mes vigilances
en fait c'est un peu le cas
mais dis-toi que ça c'est ce que tu entends de VLC
parce que moi je suis assez ouvert, j'aconte tout ce qui se passe
tu me poses des questions, puis je suis hyper franc
et hyper direct, imagine ce qui se passe
sur tous les logiciels propriétaires
qui te coûtent des fortunes
tu vois par exemple, installe photoshop
regarde ce que ça installe, ça installe la planète entière
sur ton ordinateur
regarde ce que fait zoom, tu vois par exemple zoom
ça te demande sous max
un script qui était en route pour faire plein de trucs
et tu avais un process qui tourne en route
donc en plus quand tu exploites un zoom qui fait de la vidéo
quand tu le craches, tu n'étais pas administrateur
tu étais administrateur de la machine, tu vois
voilà, la sécurité informatique
c'est difficile
je le verrai bien, je vois dans le jet
en vérité, si jb pété les plombs et décidé d'écrire lui-même
du code malveillant, il pourrait tuer internet
vers la fin, vers la fin
pas du tout
donc c'est le monde carrière de jb
donc pas du tout
aujourd'hui
écrire du code malveillant, ça demande pas mal de skill set
je pense que je les ai plus
je me suis jamais posé cette question
moi quand j'ai défait les trucs qui étaient
un peu limite
légalement
c'était dans 90
donc quoi, c'est un truc
je vais vous proposer sans plus attendre, c'était hyper intéressant
oui, très intéressant, si tu connaissais toutes ces anecdotes
je reconnais, évidemment
il y a pas grand monde qui connaît ces histoires
parce que je les raconte jamais
c'est toi, donc là j'ai fait un truc
à travers sa vie
c'est à l'air d'être une vie assez angoissante
c'est des responsabilités de fou
tu t'y habites maintenant
tu as de la bouteille
tu ne vois pas poser une question intéressante
est-ce que les services secrets français sont venus m'entendre ?
j'avoue
c'est comme la question, on parle des étrangers
on a parlé de la CIA
est-ce qu'effectivement
les services français étaient déjà contactés
je ne peux pas répondre à cette question
juste pour ça
c'est bon, le TikTok est dans la boîte
je vous laisse
c'est marrant
parce qu'effectivement
on pourrait dire que
avec un parti à un certain montant
tu peux être renté
à d'accepter un truc comme ça
en fait, je suis quand même situé en français
j'ai des obligations par rapport au gouvernement français
que je n'ai pas dans d'autres pays
quand même
et du coup
je ne sais pas si jamais ça a l'air vrai
tu prends des conseils, ou tu imagines ?
tu me connais, je fais quand même une tête de mule