Pourquoi Banque Populaire est la première banque des entreprises ?
Je me posais des questions sur le partage de la valeur pour mes salariés.
Elodie, ma conseillère Banque Populaire, m'a proposé une solution d'épargne salariale sur mesure,
rapide à mettre en place et que je peux piloter en ligne.
C'était simple et surtout ça a fait des heureux.
Accompagner nos clients sur tous les territoires avec des solutions adaptées à leurs besoins,
c'est ça, être la première banque des entreprises, Banque Populaire, la réussite est en voulue.
Étude Quantar PMEP, mid-2023, Quatorze Banques Populaires, Première Banque des PM.
Bonsoir Mesdames et Messieurs, bienvenue dans Underscore, votre talk show, IT préféré.
Il est 19h pile et ça...
C'est encore incroyable.
Et ça c'est une victoire de tyran.
Pour l'instant c'est un perfect.
Et tu as raison, il faut dire le nom de la personne qui est derrière cette chronologie d'arfait.
Et c'est Tila.
On se fait engueuler.
On se fait engueuler, on se fait engueuler, partil avant de venir en plateau.
Mais parce que toi t'es toujours à l'heure, Tila.
Mais en fait j'ai l'impression que Tila représente la défense de tous les viewers qui en ont marre.
Oui c'est vrai.
Il a pris ce flambeau, cette étendard et il est à la tête de ce mouvement des gens pas contents qu'on soit en retard.
Et je comprends.
C'est beau, c'est un beau combat.
Moi je voulais qu'on revienne sur ces dernières vidéos qu'on a sorties quand même.
Oui parce que objectivement on a des retours de fou.
Quoi dis-je suc?
Mais oui on veut vous remercier parce que vous avez un accueil vis-à-vis des contenus qu'on voit récemment sur la chaîne YouTube qui est furieux.
Les commentaires sont trop trop cool.
Que ce soit sur chat gpt, la vidéo qu'on a faite, où il y avait Ronnie, que ce soit sur la vidéo où on explique la faille sur les Google Home etc.
Les gens sont comme des fous donc merci.
C'est vrai que à la base on écrit une petite chronique comme ça sur Google Home dans notre coin.
Sur un truc d'une complexité quand tu lis les articles.
Et là, 500 000 vues.
J'ai dit 500 000 mais j'ai dit au pif.
Ce qui est marrant c'est que quand vous préparez la chronique vous êtes pas sûr de savoir que ça va être une chronique comme une autre.
C'est vraiment un mercredi après-midi.
On l'a tout un peu chiant.
C'est vraiment ça.
Je me vois dire à Miquel, le report du chercheur camille est un peu velu.
Je comprends pas tout le mouillage que je lui ai dit.
Il cherche avec moi.
Ok, on ne dit pas du tout que ça va marcher.
Pardon, j'ai eu mon chat et je vois les gens qui confirment.
Ils disent que c'est normal.
Ça fait très plaisir.
C'est vraiment tout sauf normal par contre.
Mais ça fait plaisir.
Non mais t'es pas en train de le faire.
Oui, mais t'sais il y a ce truc de comme t'as beaucoup travaillé c'est normal que ça fonctionne.
Ça ne marche jamais comme ça.
La vie n'est pas défini comme ça.
Le package de la vie a fait...
Non!
On ne marchera pas comme ça.
Ça ne marche pas.
La preuve c'est souvent une chronique qui est plus à la rage qui marche le mieux.
Est-ce qu'elle a le plus de spontanéité?
Je aimerais que ce soit ça.
C'est pas grave.
Et donc on est évidemment très contents.
Ça nous motive à garder le niveau, à faire d'autres contenus de qualité.
Et je pense que ce sera le cas ce soir,
puisque on a un très beau programme.
Avant de vous le donner, je vous propose de faire le petit tour de news de la semaine.
C'est pas là, c'est des deux semaines en fait.
Oui.
Mais c'est pas grave.
Tu veux comment on commence à Tiffanie?
Oui, j'ai une petite news,
c'est un peu fun sur StableDiffusion.
Il y a un internaute.
J'ai noté son nom.
C'est un monsieur d'Internet.
Je ne me rappelle plus de son nom.
Il s'appelle FreitasAIArt.
Et il a voulu créer avec Midjournée
des méchants de jeux vidéo qui représentent les pays du monde.
OK, pas mal.
Et du coup, chaque pays du monde est représenté par un méchant dans un jeu vidéo.
Et je trouve ça ultra cool.
Je vous le partage.
Là, je ne sais pas si on peut voir quelques photos,
voilà, quelques images.
Donc là, par exemple, c'est le méchant des États-Unis.
La Russie ultra-assilée.
Oh ouais, tellement cool.
L'Egypte, j'adore.
Et puis bien sûr, la France, on peut montrer,
parce que voilà, c'est nous.
Ils sont juste énormes.
Il y a l'Australie aussi qui est incroyable.
L'Australie.
C'est mon preuve.
Quel concept.
Il y en a eu plus ou moins un stylé,
mais moi, franchement, j'ai adoré les yeux.
Alors, c'est marrant,
parce que quand on regarde en détail les mains...
Ça, c'est incroyable.
Quand on regarde en détail les mains,
elles sont toutes ratées.
Elles ont une expression.
Si doigt.
C'est un gros point de difficulté
des algos générations d'image.
C'est les mains.
Et il y a certains autres trucs, j'ai oublié quoi,
mais je sais que ce n'est pas le seul...
Les corps de manière générale,
c'est très très très difficile à générer.
Là, sur les images qui ont généré,
les positions, le corps et tout ça,
c'est super cool,
parce qu'il y a des vêtements.
Ah, les corps nus, tu veux dire.
Pas forcément complètement nus,
mais d'ailleurs ce serait très dur.
Pas en vie de voir les bras, mais une journée bicaille.
Ce serait très complexe.
Mais même des bras
ou des coudes, ou des trucs comme ça,
c'est...
Mais avec les armures et tout ça,
les vêtements, ça passe super bien.
Mais dès qu'on voit les mains, direct.
Ce qui fait que celui de l'Australie
est vraiment un gros outil, parce qu'il a des gants.
Exactement.
Mais je crois que ils sont en train de faire
des progrès justement.
Et pas mal de gens vont combiner
différents systèmes d'IA.
Ils vont faire leur génération sur une petite journée
pour avoir ce genre de posters de fous.
Et ensuite, ils vont le passer par exemple dans Dali,
qui apparemment est vachement meilleur.
Ils vont sélectionner juste la zone de la main.
Pour le refaire.
Aussi par Ia.
Non, évidemment, ils vont quand même pas utiliser.
Et les yeux pour corriger les yeux.
Ah, pas de ces photos-chats quand même.
Et en fait, comme ça, en combinant les trucs,
on arrive aujourd'hui à faire des trucs de dingue.
Mais franchement, très bon concept.
Je remarque souvent ce qui marche bien avec la génération
d'image, c'est les trucs que tu peux génériser un peu.
Il y a beaucoup de concepts comme ça
sur Midjournay qui cartonne.
Ils ont un concept et ils sont capables de le...
Ils l'effondrent tous.
Puis il y a pas mal de pays à faire.
Imagine, tu peux faire un jeu de cartes avec ça.
Oui, carrément.
Et tu sais que pour la première fois,
vraiment utiliser Midjournay Ia pour faire
l'annonce de l'émission, le petit poster.
Bon, ça n'a pas été en prod.
Mais c'était trop impressionnant.
Est-ce que je peux tomber dans un gouffre qui a duré 10 heures ?
Qu'a pas duré 10 heures.
C'est souvent ce qui se passe.
Mais au moins une demi-heure, une heure pour vraiment
une seule image.
Pour bien comprendre comment ça marche.
En plus, au début, je savais vraiment pas du tout comment ça marche.
Mais c'est trop bien, parce que tu peux lui donner des stigies.
Je voulais deux rappeurs de dos sur une scène.
Et je pouvais même dire, fais-le de genre
comme si t'avais dessiné.
Vous avez compris pourquoi il y a au part de rap.
Ah oui, c'est normal.
Bref, une fois que j'ai essayé d'utiliser ça,
je suis pas encore professionnel.
Je voulais juste rajouter un petit truc très rapidement.
Mais du coup, il y a deux semaines,
je vous ai parlé de mon frère qui s'était fait
ennaker sur un site qui vendait une PS5.
Alors, une science-faire.
Je voulais juste remercier les internautes,
parce que j'ai eu beaucoup de messages.
Et des bons plans.
Et depuis, j'ai réussi à avoir une PS5 pour mon frère.
Et du coup, je trouve ça incroyable.
Merci, merci, la communauté.
Je trouve ça incroyable que cette communauté
soit si bienveillante et tout ça.
Si vous voulez une PS5 qui a demandé dans le chat,
et puis on donne comme ça, on donne.
Juste pour dire,
le bon plan, c'est que je ne connaissais pas
Dill Labs.
Et du coup, je suis allé dessus.
Et c'est là où j'ai eu la PS5 pour mon frère.
Elle promo.
Même pas ce ponceau.
Dill Labs, vraiment, comme dirait Maïka et Carito.
Moi, j'enchaîne avec
ma petite news qui est moins joyeuse
tout de même.
Et qui concerne une technique
qui est utilisée récemment, qu'on a vu se répandre
malheureusement, qui consiste à utiliser
le mot clé OBS sur Google
pour
répandre des malwares.
Plus précisément, des steleurs.
Des malwares qui permettent d'extraire
des mots de passe, des comptes bancaires
de crypto, de ton ordi.
D'un coup.
Et malheureusement, tout ça
est possible grâce à Google AdWords.
Donc le système de publicité de Google
qui permet de fournir des
annonces qui ressemblent vaguement
quand même à des recherches Google tout en haut
de tes résultats. Et en fait,
pendant une période, si tu tapais OBS ou OBS
download, eh bien ce que tu avais, tous les
3 ou 4 premiers liens
ce sont des faux sites
complètement faux
qui te proposent de télécharger en OBS.
L'interface ressemble, etc.
Mais en réalité, ce que tu télécharges, c'est une version
verrouillée du logiciel.
Et malheureusement,
tu télécharges une merde
qui s'appelle Radabantis.
Je ne connaissais pas ce steleur.
Mais voilà, il y a eu plusieurs victimes
dont un a s'est suivi, même sur Twitter,
qui a 90 000 abonnés
qui a fait un trait de Twitter. Je ne sais pas si
vous l'avez eu passé mais qui débrimondent.
Réalement.
Il a perdu un an d'espérance de vie
en lisant ce trait. C'est vraiment, il y a un...
Le gars au bout de sa vie, il s'est fait péretter
tous ses comptes.
Il s'est fait péretter son portefeuille crypto.
Tous ses contacts reçoivent
des liens piégés.
Oui, en plus, je crois qu'il avait
bâti une communauté sans doute
autour de l'NFT. Honnêtement, je ne le connais pas.
Mais ça... Et du coup, tout sa communauté
genre qu'il faisait confiance et tout,
potentiellement dans sa communauté, il y en a qui ont aussi
installé un steleur, tu ne l'attends pas à rien.
Et... Ah ouais, c'est rattrape.
Tu ne peux pas trouver quelqu'un de vérifier
et de confiance.
Alors il vérifiait parce que Twitter...
Oui, d'accord. Mais quand même de confiance
parce qu'il a quand même 90 000 abonnés.
Dans une communauté crypto,
tu ne peux pas faire mieux en termes
de cibles
pour du scam.
C'est terrifiant. Et ce qui est intéressant, c'est qu'il est mégalucide.
Il a su assez vite que c'est...
il a été touché par truc d'OBS et tout machin.
Enfin, il a eu un recul. Il a réussi
à remonter assez vite le problème.
Donc voilà,
objectifement, la photo-filtre
de Google de publicité.
Tout ça serait pas possible
si tu ne pouvais pas mettre hyper facilement
des copies de sites sur des mots-clés
de non très connus
et étaient chargés tout le temps.
Mais d'ailleurs, je trouve ça assez étonnant
qu'il fasse pas un check justement
sur les annonces qu'ils mettent en première ligne
et c'est un peu de leur faute.
On ne sait pas si le... Gros, on ne sait pas
s'ils stockaient son... ses cryptos
sur un wallet logiciel ou hardware.
Alors, il le dit, je crois, un peu dans l'Australie.
Et il avait un wallet, genre une ledger.
Mais je crois qu'il l'explique
qu'il avait mal configuré et tout. Et du coup, il avait
un autre wallet, et pas un cold wallet.
Est-ce que vous, il cite un cold wallet ?
T'es crypto ? C'est censé te éviter,
genre dans New York. Mais après, c'était que
sur la partie crypto, parce qu'il y avait aussi
tous ses comptes, ses contacts
et tout machin. Mais je crois qu'il n'avait
point de cold wallet bien configuré en tout cas.
Dans le chat, s'appeler NFT God
et se faire scam, c'est le cas.
J'avais pas pensé. Mais c'est vrai
que vous êtes très bons dans le chat.
On devrait co-écrire la vidéo avec le chat,
mais en amont.
Mathieu, une petite news.
Ouais, je suis venu avec deux petites news
dont une que j'ai trouvé vraiment
impressionnante. La première,
c'est pour, en fait,
connaître la position
d'être humain dans une salle, mais à travers
les murs. Alors c'est un truc qui existe
déjà, avec des technologies de radar,
l'IDAR et tout, l'armée a des choses comme ça
avec des rayons bien particuliers.
On peut connaître la position.
Est-ce que c'est pas un wall hack de la vraie vie ?
C'est un wall hack de la vraie vie.
Attends, je dois bien penser.
Sauf que là, il y a un, je crois que c'est un chercheur
qui a fait la même chose,
mais en utilisant vraiment des bouts de ficelles
par rapport à ce que ça coûterait normalement
dans la vraie vie, il a utilisé 3
ESP92.66, donc
c'est des petites cartes électroniques, vraiment pas chères.
Genre, je pense que si
tu les as à 10 euros, c'est cher.
Et des antennes wifi.
Et derrière, il y a aussi du logiciel
où il utilise un peu de deep learning, un petit peu de
computer vision. Et en fait, il utilise
un truc très connu qui s'appelle la trilatération.
Mais en fait, il arrive, juste avec ce matos,
donc moi, il n'a pas dit le prix, je l'ai estimé
à 50-100 euros, à
détecter la présence
des gens. En fait, c'est une approximation,
mais quand tu vois le résultat, je ne sais pas si on...
À travers des murs. Ouais, on va pouvoir le voir
juste après. Et ben,
c'est vraiment, il t'a une modélisation
de la personne dans la pièce.
Et c'est... Voilà. Ah oui, OK.
Et c'est puissant. C'est très très précis.
C'est ultra précis en fait. Et c'est en gros avec
comme un radar, sauf qu'il a utilisé
la technologie wifi.
Et ce qui est fou, c'est que le code est disponible
sur Githem. Vraiment, vous pouvez le refaire et tout.
J'ai trop envie d'essayer.
Alors, honnêtement, je n'ai pas tous les détails techniques,
il a publié un article que, honnêtement,
je n'ai pas lu en tout cas.
C'est un article scientifique. Mais voilà, ça, c'est
son projet Githem. Et en fait,
ce qui est marrant, c'est qu'il n'a vraiment rien inventé.
C'est vraiment des technologies qui existent.
Mais il a fait ça dans son garage
avec un vraiment 3 boutes ficelles.
Oui. Et ça marche.
Vraiment, je m'attendais pas. En fait,
ce qui m'a magnifique, c'est le résultat.
Mais oui, le visuel.
C'est incroyable. Je me demande
si c'est long à générer.
Est-ce qu'on peut... Oui, ça, je ne sais pas.
Typiquement, s'il n'a pas mis une vidéo,
c'est probablement que c'est pas une vidéo.
Tu ne vois pas vraiment les gens qui bougent comme ça,
genre derrière un mur.
En fait, je pense que c'est vraiment un poc.
On a réussi à le faire.
Mais on ne va pas le voir tout de suite
dans des trucs quotidien et tout.
Et puis je pense que c'est vraiment
un dispositif un peu bizarre,
parce qu'il faut mettre des antennes wifi.
Elle n'avait pas l'air si grande que ça,
mais ça reste des antennes.
Il faut quand même du matos, du coup.
Oui, mais c'est pas grand chose. C'est de l'électronique de base.
Vraiment, quand tu as fait de l'électronique,
ça te fait pas peur.
On demande le lien du riz pour...
Pour être appelé.
Pour re-réafficher
le riz pocketable
et puis taper le nom dans Google.
J'espère que vous allez en faire des trucs.
Oui, c'est Galileo.
Faites pas de bêtises avec ça.
Il y a un potentiel de connerie.
Par contre, il le dit dans son tweet
« Soyez responsable ».
Mais oui, tu peux tellement insprimer les gens
dans un rapport.
Oui, par exemple, le fait de passer.
J'ai une deuxième patine de news,
parce que ça m'a fait marrer.
Tu sais que Twitter, en ce moment,
cherche à faire des économies.
Ils se sont séparés de gens et tout.
On a fini et tout machin.
Mais maintenant, ils se séparent de meubles.
Parce que forcément, ils ont des trucs en trop.
Et en fait, ils l'ont mis sur un site d'enchère
où tu as plein de meubles en vente.
Mais tu as aussi
un immense logo.
Donc ça, c'est la page où tu as vraiment plein de tables,
de chaise, de table au blanc,
qui viennent de Twitter.
Est-ce qu'il y a marqué un appartenu
à l'employé ?
T'as le logo Twitter.
Chor table du CTO,
qui est parti.
D'ailleurs, il y avait une anecdote
quelqu'un qui a dit en commentaire.
C'est le 1355 Market Street,
à San Francisco,
qui avant était un magasin de meubles.
C'est devenu Twitter.
Et c'est redevenu un magasin de meubles.
Et du coup, je voulais te proposer
d'acquérir un logo Twitter
géant pour les bureaux, parce qu'on manque
un peu de déco.
Et je sais pas si tu vois le prix,
mais l'enchère est globalement à 22 000 $.
Pas mal.
En tellement raison de faire ça.
Est-ce qu'on investirait pas ?
Non, 20 000 euros.
Alors tu préfères un studio
ou un logo Twitter ?
Ah mais là quand même.
Il y a une version néon.
Il s'est proujeté.
Voilà ! 22 000 $, pareil je crois.
Ah bon là va, je prends 6 000 maintenant.
Ce matin c'était avant de 2100 $.
Une affaire, pédemment.
Et celui d'avant il était à 34 000 $.
Ah mais c'est génial !
J'ai trouvé ça incroyable, vraiment, leurs logos sont en vente quoi.
Non mais c'est objectifment génial.
Plutôt plus de jeux de service.
De jeux de les bazardaires.
Oui parce que c'est vrai qu'ils...
Mais donc peut-être qu'ils vont déménager du coup.
Il y a des fans, des messaines,
qui collectionnent.
Là il y a quelqu'un qui est prêt à 36 000 $.
Les logos de Marc Kikoul.
Ou un fan de l'eau de mosques.
En vrai ça.
Peut-être aussi.
Je vous propose d'enchaîner.
Je vais vous donner le programme
de cette émission.
Dans un premier temps on va voir Arthur
qui va nous rejoindre
d'un instant à l'autre.
Non c'est un peu plus tard quand même.
Je peux le signe.
C'est dans la partie d'Eau. On aura Arthur qui viendra nous raconter
l'incroyable histoire d'un vendeur
de DVD sur le Dark Web.
Spoiler peut-être qu'il ne vendait pas
que des DVD.
Vous allez voir c'est Muno E.
Bwaah !
Ça va être très très très intéressant.
Enfin d'émission on va recevoir
un simple développeur,
fan de rap. Mais qui s'est retrouvé
à successivement hacké Ninho et PLK.
Vous l'avez bien d'entendu.
C'est ça le rapport avec le rap.
Vous êtes sur la bonne émission.
Mais vous allez voir c'est hyper intéressant
sur la cybersecurity
dans le monde du rap.
Appliqué dans la vraie vie dans le monde du rap.
Exactement. Il va nous expliquer toute cette histoire
et pour commencer moi je vais me charger
de vous faire une petite chronique
sur pourquoi
les captchas ne servent à rien.
Pas vraiment rien mais un peu rien.
Vous allez comprendre. C'est parti.
C'est parti.
Ce n'est pas fini.
Il y a des techniques
qui sont très utiles.
Il y a des techniques
qui sont très utiles.
Vous allez voir.
C'est parti.






C'est unzonyme du tout.
C'est depuis 15 ans.
Il n'y a pas eu de m 좋아요 m?









pour lesUs.
Attends, pour tester les connards humains automatisés.
Ça marche quoi ?
Attends, attends, ça termine le...
Franchement, ça marche ?
Ben c'est bon !
Enférence annuelle pour tester les connards humains automatisés.
C'est pas mal !
Bon, en fait, ce que veut dire CAPTCHA c'est Completely Automated Public Turing Tests.
Ah oui !
Et oui, donc ce sont des fameux tests de Turing dont l'objectif est de savoir si un interlocuteur est humain ou pas.
Parfois on dit que ce sont des tests de Turing inversés, parce qu'en fait c'est la machine qui fait le test.
Ben oui c'est humain !
Et pas l'humain qui teste la machine.
Donc on peut dire aussi que c'est un test de Turing inversé.
Mais attends, ça marche pas, la chronyme Turing Tests.
Completely Automated Public Turing Tests.
Ok, y a le... ouais.
C'est vrai qu'il y a le CHA à la fin qui ne marche pas.
C'est vrai ?
Attendez, y a un problème ?
On peut peut-être mettre un ou deux journaux les sources.
Ok, non, il manque la fin.
Ah, qu'est-ce que c'est ?
Mais pourquoi il le dise ?
C'est là ?
Ok, donc la version 2...
Il y en a en train d'en mettre les sources.
Mais les sources, ouais !
Ça n'a effectivement pas...
Non mais c'est évident, c'est moi qui épaisais un peu long.
L'acronyme complet, c'est Completely Automated Public Turing Tests
to tell computers and humans apart.
Ok.
C'est quand même très long.
C'est quand même très long.
C'est au Capshaw, c'est bien en fin.
Merci le chat pour la version longue.
Merci le Tiffany aussi pour...
Merci les gars.
Tu me disais, ça finit pas...
Non, c'est un peu bizarre.
Elle a vu les commentaires YouTube à faire.
Hého, hého.
Donc...
Qu'est-ce que c'est au fond un bon test Capshaw ?
En fait, c'est un test qui va utiliser les avantages compétitifs des humains.
Que ce soit en termes de capteurs de nos sens,
ou que ce soit en termes de capacités cognitives.
Donc concrètement, de l'identification d'objets ou de lettres
dans une image très bordélique,
ça, ça va tirer parti de nos capacités à nous.
Et pour un algo, c'est méga-fiant de faire ça.
C'est le principe donc de base d'un bon Capshaw.
Donc par exemple, un Capshaw moderne basé sur du texte
va combiner trois compétences.
On va vous montrer normalement un petit schéma.
Première compétence, c'est reconnaître des caractères malgré des grosses déformations.
Ça c'est tout ce qu'on connaît.
C'est un peu complexe de repérer par exemple que cette lettre c'est un M moins U.
Deuxième compétence, c'est reconnaître la séparation entre les lettres.
Alors ça, je trouve ça hyper intéressant.
La barre que vous voyez au milieu, à quoi elle sert ?
Elle sert à empêcher l'algorithme de bien faire la séparation entre les lettres.
De bien savoir segmenter le mot.
Ah oui, d'accord.
Et en fait, c'est pas si simple du tout.
Et la troisième compétence, c'est reconnaître le mot de façon holistique.
Alors c'est un gros mot juste pour dire que tu as besoin du contexte pour bien comprendre le mot.
Tu peux pas comprendre chaque lettre une par une.
Il faut capter globalement, très bien, c'est le mot humble.
La signification.
Exactement. Alors que les lettres indépendantes sont un femme à comprendre.
Ça prend à peu près 10 secondes pour nous humains de résoudre ce genre de captcha.
Et en fait, mine de rien, déjà ils sont assez controversés.
Déjà parce que niveau expérience utilisateur, c'est insupportable.
Je pense que nous sommes d'accord.
Mais la deuxième raison, c'est que pour l'accessibilité, c'est pas ouf.
Parce que, évidemment, tous les malvoyants, pour utiliser leur ordinateur,
ils vont souvent utiliser de la lecture vocale.
Très active, ça ne peut pas lire.
Et objectivement, normalement, ça ne peut pas lire un captcha.
Il n'y a pas une age qui a un problème.
Ils n'ont pas mis une alternative, justement, quand tu es malvoyant,
pour activer un truc audio à la place.
Et bien, tu me donnes une transition parfaite.
Le truc, c'est que si ton site va discriminer une partie de la population,
ça peut être littéralement illégal dans certaines juridictions.
Par exemple, aux États-Unis, tu as un truc qui s'appelle la section 508.
Et globalement, tu peux avoir des problèmes.
Et c'est notamment ça, en fait, qui va profiter aux scammeurs.
Parce que Google et compagnie, ils vont être obligés de fournir une autre méthode.
T'en as parlé, c'est un test vocal.
Et là, pour le coup, en intégrance artificielle,
on sait beaucoup mieux faire ce genre de choses.
À savoir déclencher la note vocale qui dit des mots,
faire de la reconnaissance auditive
et mettre les bons mots dans l'input.
C'est marrant, ça veut dire que la reconnaissance auditive
est beaucoup plus simple en IA que la reconnaissance visuelle.
Alors, on ne peut pas le généraliser.
Dans le cas des CAPTCHA, les premières très bonnes techniques
pour contourner les CAPTCHA, ce sont justement des trucs
qui font de la reconnaissance vocale.
Il y a un exemple que vous pouvez tous utiliser chez vous.
C'est une extension pour Chrome qui s'appelle Buster.
On a une petite vidéo qui montre son fonctionnement.
Tu installes l'extension sur ton navigateur.
Et concrètement, ça va rajouter une petite icône
sur les tests bien biens géants que...
Solda Challenge.
Et il est...
Les recaptchats de Google...
Alors, on a une nouvelle régie ce soir.
Oui, il y a eu des changements d'auroles, c'est normal.
Donc concrètement, tu vois cette interface,
donc du CAPTCHA de Google,
et plutôt que d'avoir à cliquer toi
sur les images hyper reloues,
tu demandes à l'extension de le faire pour toi.
Mais alors, ce que j'ai vu là...
Et ça fonctionne.
C'est de la magie noire, Chrome.
C'est de la magie noire.
Parce que...
Ça écoute le son,
ça entends les mots,
ça les remplit, et ça valide.
Par contre, tu peux pas faire ça à bibliothèque.
Ça fait du bruit.
Non, il le fait en tâche de fond.
Ah, ça regarde bien.
Non, mais je suis pas...
Ça se trouve, c'était un truc à manuel
où ça déclenche le micro.
Il faut installer Buster
pour pouvoir voir la petite icône.
Oui, exactement.
C'est une extension que tu vas rajouter.
Ça, il y a tout le monde qui est en train de taper Buster.
Oui, il y a tout le monde qui est en train de taper Buster.
Et en fait, ce qui est hyper drôle,
c'est que pendant que je faisais ces recherches-là,
je suis tombé sur toutes ces vidéos-là,
et bizarrement, je veux pas dire,
mais c'est que des accents indiens.
Là, ce que les gens...
Ils ont vraiment contourné des captchas,
et bien, tu peux remarquer
un certain business model très présent
dans des pays asiatiques.
C'est à mourir de rien.
Donc là, c'était un exemple le parmi d'autres.
Donc ça, c'était la première méthode hyper répondue
pour essayer de contourner des captchas.
La deuxième...
Je n'ai pas cassé pas du tout.
Oui, la deuxième faille qui existe,
c'est tout simplement
l'avancée récente de l'intelligence artificielle
et du diplônie.
En gros,
tous les captchas que vous avez vus au début
avec du texte déformé, ce qu'on connaît bien,
cela, ça marchait dans les années 2010.
Maintenant, c'est terminé.
Donc depuis les progrès du deep learning,
en moyenne, on peut
totalement les désenguer.
Vous pouvez notamment
voir comment ça fonctionnerait avec
une intelligence artificielle
qui analysera ce genre de texte-là.
Il y a plusieurs étapes.
La première étape, c'est donc
choper l'image,
ensuite, faire du denoising,
donc enlever les artefacts
qui peuvent être foutus là,
faire de la segmentation,
reconnaître les caractères
et bingo.
Ça, c'est pour du captcha un peu simple,
évidemment.

et ça, on commence à essayer de le faire
depuis les années 2010.
La récemment,
là, j'ai une étude assez connue
en 2018, par exemple,
qui a démontré que
ils obtiennent des taux de complétion
en utilisant du deep learning,
qui sont très, très, très,
très impressionnants.
Donc là, si on peut avoir
toute la...
Ils sont meilleurs que les humains, quoi.
Attendez, comment ça...
Et c'est ça qui a assez marre.
J'ai l'impression que l'image a un peu croupé.
Normalement, on voit la vidéo
partie droite.
Après, c'est peut-être nous qui...
sur notre retour où c'est croupé.
Je sais pas si...
Ah oui.
Ils ont le retour.
Bref, donc,
cette étude qui est sortie
en 2018 a fait énormément de bruit,
parce que, comme vous pouvez le voir,
les intelligences artificielles
arrivent parfois mieux
à compléter les captchakles humains.
Mais on pense pas à ça,
mais en fait, nous, parfois,
on n'y arrive pas.
Genre...
En fait, nous, on n'a pas du tout
100% de taux de complétion.
Et donc, t'as des IAS sur des captchas simples
qui ont du 100%
et même sur les plus difficiles,
en gros, on atteint toujours
dans les 50-70%
de taux de complétion,
ce qui est quand même vraiment,
vraiment bien.
Oui.
Donc, le texte, c'est chaud.
Il y a une troisième méthode
et qui, là, pour le coup,
commence à être moralement,
étiquement un peu douteuse,
c'est d'utiliser des fermes humaines
de clics.
Ah !
Donc, ça, c'est sûr que vous en avez.
Et entendu parler,
il y a une flopée de services
qui proposent ce genre de doutils.
Et en fait, à date,
aujourd'hui, ça reste
l'option la plus efficace
et économique
pour remplir des captchas
un peu difficiles.
Donc, c'est dramatique,
mais ces outils-là
sont ultra, ultra populaires.
Genre, ceux de Google,
avec les images,
pour vous donner une idée,
ils sont dans les très difficiles.
Quand on doit sélectionner un feu rouge,
ou un...
ou un...
des trucs à supporter.
Un feu portable.
Ça peut le faire,
mais en termes de taux de complétion,
tu vas pas être sur des toits
assez satisfaisants.
Et du coup,
t'as ces services-là
qui vont proposer
de te les faire à ta place.
Et là, pour le coup,
c'est pas un robot
ou une intelligence artificielle
qui reconnaît l'image
et qui le fait,
c'est vraiment un humain
derrière son ordinateur
qui, toute la journée,
va remplir des captchas à la pelle.
Vous pouvez voir combien ça coûte
sur cette image
et c'est pas très cher.
Globalement, c'est pas très cher
pour vous donner une idée.
Donc c'est 75 centimes de dollars
pour 1000 complétions
pour un captcha normal.
Pour 1000 complétions ?
Ouais, pour 1000 captchas,
tu payes 75 centimes.
Mais ils sont payés combien ces gens ?
C'est bien, tu vas voir, c'est incroyable.
Mais moi, c'est la vitesse qui me...
Et pour les versions plus difficiles,
genre ceux de Google,
eh ben tu fais un x3,
c'est plutôt dans les 3 dollars,
les 1000 captchas.
Donc il y a une grosse différence.
C'est assez intéressant de voir
la différence de complexité.
Et comme tu disais,
sur les temps de complétion,
c'est fou.
En 13 secondes ?
Exactement.
Donc, toi, ton bot,
tu envoies l'arquête au service.
13 secondes plus tard.
C'est pas juste le temps que la personne le fasse.
C'est le temps que tu l'envoies au service
qui trouve quelqu'un pour faire ton captcha
parmi leurs genres de fermes
avec des ordices.
Ils n'ont pas forcément au même endroit,
mais je crois qu'il y a aussi des fermes,
vraiment, c'est les rangées dans l'ordinateur.
Le truc est dispatché,
la personne complète le captcha,
1113 secondes plus tard,
t'as la réponse.
Ou 40 pour le Google.
C'est terrifiant.
Mais étant donné que, genre,
sous Google,
tu mets déjà toi-même
15, 20 secondes à le faire.
Au moins.
Mais je veux dire un truc un peu finit,
c'est qu'ils deviennent très bons,
en fait, à les faire à la chaîne,
parce que vous allez voir,
on a réussi à accéder, en gros,
à l'interface
de travail
de ces employés,
qui sont pas employés, évidemment,
qui font ça toute la journée.
Et en gros, ça ressemble à ça.
Ils ont un champ de texte
où ils doivent remplir le plus vite possible
le résultat du captcha,
qui s'affiche juste en haut,
alors il y a quelques options, etc.
Et dès qu'ils appuient sur Send,
ils ont un autre captcha qui arrive,
instantanément.
Et donc, en gros,
t'as ce truc-là de le plus vite possible
remplir les captchas à la chaîne.
Ça les dispatchent en temps réel.
Et tu vois le compteur
de combien tu gagnes.
Et c'est un ridicule.
Donc là, après 23 captchas,
ici, il a gagné 0,07 centimes de dollars.
Pour vous donner un ordre de grandeur,
ça fait que si tu fais une journée
de 11 heures de travail,
en gros, tu vas gagner 1,20 dollars.
À peu près.
Donc évidemment,
ça peut faire le déput avec
l'interconnexion
entre des acheteurs occidentaux
et des travailleurs.
Oui, c'est...
j'imagine que c'est des pays,
genre en Inde,
c'est en Chine,
je ne connais rien, mais...
Et en termes de répartition,
ceux qui vont remplir ça,
ils ont en gros 4%
de ce que le client a payé.
Pour vous donner un ordre d'idée.
Donc déjà, on trouve ça pas cher.
Mais c'est vrai que tu souffles,
il y a la marge et un vrai...
Il y a la marge et gigantesque.
Il t'est mis, il y a...
96% pour le frais de fonctionnement
du service.
Exactement.
Même Uber Eats,
ne fait pas ça.
Et en fait...
Y a pas de respect, quoi.
Ce service n'est pas illégal.
Parce que les clients,
eux, ils font probablement
des trucs louches et illégaux.
Alors pas que.
Tu peux faire du scrapping
ou des trucs comme ça.
Mais il y a plus l'indusage
de contour de mandes et capchats
qui sont illégaux.
Mais ce service-là,
bah à part que Google et compagnie,
ils sont pas contents
et ils les aiment pas,
ils peuvent pas faire
grand chose contre en réalité.
Oui, parce que, au final,
c'est vraiment un humain
derrière qui répond donc.
Exactement.
Pour rien faire.
C'est un contrat.
Une quatrième méthode
qui permet de contourner
les capchats,
c'est de ne pas en déclencher.
Ça peut paraître hyper bête.
Mais en réalité...
Vous appréparez pour un con là.
Non, mais j'ai reconnu.
J'ai reconnu un ton de la vie.
Vous allez comprendre.
En gros,
un site web n'a pas du tout intérêt
à montrer toujours un capchat
dès le premier coup.
Parce qu'en fait,
en termes d'expérience utilisateur,
c'est une cata.
Et du coup,
ça leur fait perdre beaucoup d'argent.
C'est-à-dire que si
tu te mets augmenter
le nombre de filtres anti-spam,
anti-bot sur ton site,
si tu fais du e-commerce
ou des choses comme ça,
tu vas littéralement
perdre énormément en conversion
et donc en chiffre d'affaires
parce que les gens,
ils n'ont pas 30 secondes
à t'accorder dans leur vie.
Et donc,
il y a ce truc où
si tu te démerdes bien,
tu peux arriver à faire croire au site
que c'est toujours ta première connexion.
En gros,
le capchat,
il apparaît que si tu fais
trop de choses,
trop d'actions,
depuis par exemple la même adresse IP.
Et donc,
les spammers et les gens
qui font du scrapping,
ils vont par exemple
utiliser des proxies.
Et ils vont pouvoir,
comme ça,
envoyer genre un million de requêtes.
Sauf que le site
pensera que c'est
un million de gens
qui viennent pour la première fois.
Et pas un bot
qui fait des trucs en chètre.
Ça, c'est intéressant.
C'est un article
d'un service justement
de proxy
qui donne
tous les petits tips
pour contourner
les capchats
et éviter qu'ils apparaissent.
Donc effectivement,
en fait,
tu peux souvent,
sur certains sites,
carrément ne pas avoir
utilisé de techniques
de contournement de capchats
parce que
tu démiens de peau
qu'ils apparaissent jamais.
Une cinquième état,
non, je veux dire.
Ah ouais, là.
Tout le plus.
Surtout,
on monte en fin.
C'est-à-dire que,
au début,
ce n'était pas très marrant.
Là, vous allez voir,
on commence à arriver
sur des techniques très drôles.
Juste pour rebondir,
j'avais vu des commentaires
sur la vidéo
qu'on avait parlé de Google Dors.
Quand tu fais des Google Dors,
assez vite,
tu as un capchac qui arrive.
Parce qu'en fait,
il a peur que tu sois un robot
et que vraiment,
tu scrapes Google en entier.
Et en fait,
les gens étaient étonnés en mode,
ah, c'est bizarre et tout machin.
En fait, ils détectent
quand vous faites des requêtes un peu chelous.
Là, ils se disent,
OK,
là, on va commencer
à pas lui faire confiance.
Et du coup, très rapidement,
quand tu fais du Dors,
toute la journée,
avec la même IP,
tu as des capchats.
Oui, parce que nous,
on a fait du Dors.
Même si vous l'avez testé.
Pour préparer.
Exactement.
Donc, la cinquième méthode
qui permet de contourner
certains capchats,
c'est un truc
dont j'ai pas vu
beaucoup de gens parler,
mais j'ai eu l'idée,
tout à l'heure,
je me suis dit,
il y a certains capchats,
un peu à l'ancienne,
ou en fait,
c'est des phrases de texte.
C'est vraiment
une question
prédéterminée
qui attend une réponse.
Il y a pas mal ça
sur certains forums,
genre des trucs
un peu underground
de hacking et tout.
Par exemple,
une question,
c'est,

combien font 4 plus 12?
Et c'est le truc
écrit en toute lettre.
Et c'est fait exprès
pour...
Pour pas qu'ils puissent faire
l'opération.
Pour qu'un robot
soit compliqué à automatiser.
Ils ont plein de questions
comme ça qui sont prédéterminées.
Et un humain,
c'est faire la part des choses.
Avec un robot,
c'est pas impossible,
mais c'est coûteux en fait.
Tu vois, tu veux analyser
une par une chaque question.
Sauf que,
je sais pas si vous avez remarqué,
mais depuis l'avènement
de ces forums,
il y a un truc
qui répond plutôt bien aux questions.
Et donc,
si tu donnes cette question
à gpt3...
Oui, ben...
Alors moi,
évidemment,
la réponse...
J'invoque la triche.
Mais ça veut dire que
ça signifie la fin de cette technique
pour tous les petits forums.
C'est fini.
Parce que c'était hyper pratique,
en fait, ça marchait bien.
C'était pas très cher.
C'était pas très chiant
pour les utilisateurs.
C'est quasiment gratos, ouais.
Terminé.
J'ai une question.
Est-ce que t'as testé?
Parce que, là,
on imagine que le CAPTCHA,
il est écrit en toutes lettres,
en texte.
Mais peut-être qu'il pourrait
faire une image, tu vois.
Est-ce que si tu fais une capture
d'écran,
que tu l'envoies à gpt,
il arrive à analyser?
Il y a moyen.
Tu fais de la reconnaissance
de caractère, après,
tu l'envoies à gpt.
Ah, gpt,
il n'a pas encore de la reconnaissance
de caractère?
Je ne crois pas.
Enfin, non, c'est bien.
Mais en fait,
il peut pas besoin.
Par contre, Tiffany
peut faire bosser, quand même,
parce qu'on veut ça.
Parce que je travaille en IA,
je travaille en IA,
mais on ne peut pas.
Mathieu, dans sa tête,
ton travail, c'est genre
parler adhésia.
Tu as fait tout ta journée.
Vas-y, maintenant,
fais ça.
Je l'ai faimé.
Pardon, je viens de te roustre,
en fait.
Non, mais c'est bon, c'est encore
le mois de mon anniversaire,
tu peux.
Et alors,
la sixième technique.
Ah non, mais il y a de la septième, là.
Non, non, non, mais la sixième.
La technique
qui comparait à ça
et gode-tière, vraiment,
c'est genre le truc le plus fou
que j'ai découvert très récemment.
C'est que les scammeurs,
ils ont trouvé un système
pour contourner l'ensemble
des captchas
totalement gratuitement
et rapidement.
Ça ressemble à une blague,
à une pub
et en réalité, non, c'est possible.
Comment ils font ?
Je vous.
Ils créent des sites gratuits
de pornographie.
Et au moment de cliquer
sur une vidéo,
en fait, ils demandent
aux visiteurs
de remplir un captcha.
Et du coup,
voilà,
c'est littéralement tout,
puisqu'après, ils n'ont plus qu'à faire
du routage entre leurs scripts,
entre leurs robots de fraud
ou de scrap.
Ah, ils font pro.
Ils le connectent au site de pornographie
et les utilisateurs
très pressés souvent
leur permettent
de gratuitement
faire passer leurs bots partout.
Et du coup,
non mais ils auraient pu faire ça
avec un autre site.
Oui,
parce qu'il plaît.
Je pense que comme Mikaël dit,
ils voulaient des gens pressés.
Ils se posent pas à transquestion.
Ouais, c'est en même temps
atroce et du génie,
je suis vraiment entre les deux.
J'ai découvert ça, je me suis dit,
le brain,
le brain,
l'inventivité de certains.
Mais ça veut dire qu'ils se sont faits chers
à monter un site de pornographie.
C'est chiant.
Si ils l'ont fait, c'est excellentable.
À mon avis,
je pense que c'est en fait assez rentable.
Moi, c'est du gorgénia.
Mais non, mais attends, il faut...
Il faut les héberger, les vidéos.
Non, parce que tu voles,
enfin voilà, tu vas...
Non, non, non, non.
On t'a dit ça dans une détente.
Mais non, enfin,
tu voles.
Au pourrisonson,
ils n'ont pas besoin d'héberger
quoi que ce soit.
Oui, il faut y créer une surdouche.
Enfin voilà, bref.
Je suis naïf.
Donc, conclusion,
il n'y a pas de doute,
les Captchas s'est flingués.
Alors pourquoi
est-ce qu'on les utilise encore ?
À quoi ça sert ?
Pourquoi on est bloqués avec ce truc ?
Alors d'abord,
c'est parce que, en fait,
ça rapporte pas mal d'argent.
Le système des Captchas
est en fait assez juteux.
Puisque, comme vous le savez,
par exemple,
les Captchas que fournissent Google,
donc avec le ReCaptcha,
ils ne servent pas du tout
juste à empêcher la fraude.
Ils ont plein d'autres usages
que vous connaissez sûrement,
notamment,
tous les premiers ont servi
à numériser
les articles du New York Times,
par exemple,
où la librairie Google Books
a été entièrement numérisée
par vous qui galérez
derrière votre clavier.
Maintenant,
c'est passé sur d'autres choses,
sur des images.
Quand vous sélectionnez des images,
en fait, ça entraîne des IA de Google
pour des voitures autonomes.
Donc, de base,
c'est du travail gratuit.
C'est-à-dire que le Captcha,
selon Google, c'est l'entièreté de la planète,
travail gratuitement
pour éviter la fraude,
mais on ne saura jamais vraiment
à quel point ça permet
d'éviter la fraude.
Et ce qui est intéressant, d'ailleurs,
sur ces histoires de, par exemple,
de mots numérosiers,
tous les articles de New York Times,
etc.,
c'est que le Captcha fonctionnait,
c'est qu'il y a vraiment un premier mot
qui est fait pour tester
si tu as un rôle ou pas.
Et en fait, c'était sur le...
à l'époque, c'était sur le deuxième mot.
Ou, en fait,
après, il le donnait à plein utilisateur,
il faut une moyenne
et t'as le bon mot, quoi.
Mais du coup, c'est vraiment du travail gratuit.
Et le système s'entretient automatiquement.
Et je suppose que pour les images,
c'est pareil, parfois, t'as deux pages.
La première page, c'est pour tester la deuxième...
Ou alors, t'as une image,
je pense que tu peux avoir une image
dans les neufs
qui est vraiment détectée par IA.
Si tu la choppas,
Google te dira, attention.
Mais, parfois, si t'en oublies une,
et bien, il te dira rien,
parce que c'était une image
d'apprentissage, je pense, c'est ça, non.
Ce qui me rend pour les mots,
c'est que pour le deuxième mot,
tu pouvais répondre n'importe quoi,
ça marche les mots.
Si t'avais bon au premier, c'était bon.
Tu pouvais protester contre Google.
Ouais, oui, je sais plus t'es yaouille de Google
à ce moment-là, mais...
Mais ouais.
Oui, c'est un bon prank, hein, ouais.
Si t'es...
Bah ouais.
Il faut être beaucoup à le faire, non ?
Mais tu peux remplacer un mot
par un autre complètement.

Et je pense qu'en vrai, c'est compliqué parce que...
Je sais pas s'il y a beaucoup de gens
qu'on perdut,
de t'en faire.
Je suis pas sûr, je suis pas sûr.
Mais en fait, il y a une deuxième raison.
C'est qu'en réalité,
le fait que les captchas soient
un jour cassables
est totalement prévu.
C'est-à-dire qu'on le sait,
tout le monde le sait,
et c'est normal.
Et en fait, c'est pas moi qui le dis,
ce sont des chercheurs
du Centre de recherche d'IBM
qui notamment conçoivent des captchas
qui disent ça dans un article.
C'est pas une blague,
ils ont fait un article scientifique
hyper intéressant au début des années 2000
où ils prédisent plus ou moins
que les captchas risquent d'être cassés
mais que en fait, c'est prévu
et c'est cool.
Pourquoi ?
Parce que l'idée c'est que
soit les captchas concrées sont
incassables
et du coup, c'est cool,
on a un bon système
qui permet de savoir
si les gens sont des robots ou pas.
Soit quelqu'un arrive à les casser
mais du coup,
comme c'est des problèmes très difficiles,
ils ont eu besoin de faire largement avancer
la recherche en intelligence artificielle.
En gros, c'est gagnant-gagnant.
Soit on n'a plus de spam,
soit on a des superzias.
Donc là, on est dans la banche des superzias ?
Et en fait, vous dites peut-être que
c'est tiré par les cheveux.
Ça fait chelou.
Sauf qu'en fait,
c'est exactement ce qui s'est passé
pour les mots de passe.
Ou la cryptographie en général,
c'est que les acteurs et les chercheurs
en sécurité,
à force de casser les dents
sur les nouveaux systèmes de chiffrement,
ils ont indirectement fait progresser
les mathématiques,
notamment les algos de factorisation
etc.
à une vitesse incroyable.
Parce qu'il y avait une motivation
qui était
ça servait à contourner
des systèmes de sécurité.
Bah les CAPJAS, c'est la même chose.
On fait des trucs...
En une carotte en fait.
Exactement.
En fait, c'est une carotte.
Et donc, bon, si, la carotte
n'est pas atteinte,
c'est pas grave parce qu'on,
dans tout le cas,
on est content d'avoir un bon outil
pour filtrer le spam.
Si elle est atteinte,
on est aussi content
parce que toute la recherche
en intelligence artificielle
a level up.
Et du coup,
dans le cas où
on trouve quelque chose,
ils ont un plan B, j'imagine.
Et bien, il continue.
C'est-à-dire que
on sait que les CAPJAS,
que un type de CAPJAS
sera probablement cassé un jour.
Par exemple,
la sélection d'image de Google,
probablement qu'on va réussir un jour.
Et voilà, c'est cool.
Mais là, les voitures autonomes
à tournaball sur la capture de Google,
à chaque fois,
c'est des passages piéton,
c'est des feux rouges,
c'est des stops.
Et peut-être,
ce sera pété un jour,
probablement même,
ce sera le cas.
Et ils passeront
au problème d'intelligence artificielle
supérieure que la communauté scientifique
trouve, à date, très difficile.
Il y aura toujours des CAPJAS.
Et voilà.
Probablement qu'il y aura toujours des CAPJAS,
mais probablement qu'ils seront
toujours pétés un gros.
Ça doit être super intéressant
quand tu dois penser un nouveau CAPJAS
en mode, qu'est-ce qu'on trouve
très difficile à se momenter?
Et imagine,
dans 10 ans, on l'a résolu.
Mais ils parlent de ça,
notamment dans l'article.
Je vous invite à aller le lire.
C'est passionnant.
Et il fait un peu le parallèle
avec la cryptographie,
où ça a la même chose, en fait.
La question, c'est,
dans le champ des mathématiques,
quels sont les problèmes très,
très, très, très durs
ou très, très, très coûteux
à résoudre?
Et comment on peut utiliser ça
pour faire de la cryptographie?
Là, c'est la même chose,
mais avec des CAPJAS
dans le domaine de LIA.
Donc, au fond...
Incroyable.
Ce qui fait que chaque technique
de CAPJAS
ne marchera jamais indéfiniment,
c'est qu'en fait,
ils sont faits pour le cerveau humain
et qui n'est rien d'autre
qu'un très gros ordinateur, en fait.
Et donc, toutes les prochaines fois
où vous allez remplir un CAPJAS,
dites-vous que, en quelque sorte,
vous participez à la Venue.
Des IACONSciortes.
C'est bon, non?
Tu peux te refaire un petit peu.
Vraiment, ce qui est inférieur,
c'est que...
J'ai sentu que cette fin...
La fin.
Tu l'avais préparé, comme jamais.
Si je t'ai pas vu avant 18h30 aujourd'hui,
c'est vraiment 5 heures de reformulation
de cette conclusion.
Mais honnêtement...
Et là, la vidéo YouTube a s'arrêté.
Ah ouais?
Mais là, ça,
on peut dire n'importe quoi.
On peut dire...
Ça n'est pas dans le montage.
Évidemment.
Non mais...
Tu peux en être...
C'est vrai.
C'est vrai.
Indirectement,
tous les CAPJAS qui sont remplis
font par effet domino,
font progresser le LIA
grâce au scammer.
C'est trop drôle.
C'est trop drôle.
Cette phrase, ça est trop drôle.
On dirait un peu...
L'équilibre d'efforts,
c'est à chaque fois,
il y a...
Enfin...
Oui, c'est ça.
C'est tu crées des...
C'est comme un jeu à somme non nul
où, littéralement,
toutes les options sont bonnes.
Toutes les fins sont bonnes.
Voilà.
C'est plutôt cool.
C'est marrant parce que...
C'est des chercheurs.
En même temps,
c'est des sociétés privées
qui en ont un besoin.
Enfin, tout le monde,
c'est des scammer.
Tout le monde est courant que...
Tout le monde colle en bord à ce truc.
Tout les CAPJAS vont péter.
Mais c'est pas grave.
Et c'est un statut con.
Et tout le monde est en mode...
C'est OK.
C'est normal.
Alors,
on peut mettre des petites esthérices
quand même avant de passer au sujet suivant.
C'est que...
Il y a quand même beaucoup,
beaucoup de gens qui posent la question de...
entre ce que tu perds
en accessibilité justement
et en expérience utilisateur,
est-ce que le gain
en...
En filtrage de spam et de fraud
est suffisant.
Et franchement,
c'est un débat qui est compliqué.
Vraiment, c'est compliqué
parce que, comme je vous ai dit,
il y a plein de bonnes techniques
pour contourner les CAPJAS.
Ça peut déclencher des industries...
Enfin, ça peut financer des industries
ultra louches.
Globalement, la décision est pas simple.
Et en même temps,
d'un autre côté,
c'est utile pour lui,
lui, t'es compte la fraude à des endroits.
En bref, tout ça pour dire que,
malgré...
Jamais aussi maniquer un compte.
Exactement.
Malgré ce tableau-là,
c'est pas si évident.
Et je vous propose
qu'on passe tout simplement
à la suite de notre émission.
Tranquillement,
on va maintenant recevoir Artur.
C'est, je dis pas,
de bêtises sur ce plateau
qui va nous raconter
une histoire bien cool.
On appelle ça...
C'est notre chronique creepy.
Et on va un peu rentrer
dans les coulisses d'un vendeur
très malin
sur un forum du Dark Web.
Et on accueille Artur sur ce plateau.
Comment vas-tu ?
Bonsoir.
Bonsoir tous les deux.
Tiffany a remarqué
que nous faisais toujours
des chroniques creepy.
C'est vrai ça.
Ouais, c'est devenu
ma marque de fabrique.
T'as une spécialité
dans le creepy.
Alors que vraiment,
quotidien,
je ne vous parle pas.
Je ne consomme plus
que ça,
du surf hippie.
Très normal.
Mais c'est vrai qu'ici...
Mais ça t'a pas trop fait bader,
ça va ?
Pas du tout.
Non, juste pas.



C'est vraiment l'histoire de l'an dernier.
La fois d'avant,
était quand même bien bien chargée.
Ouais.
Emotionnellement.
Non, moi celle-là,
alors je ressors de...
J'ai regardé la trilogie
du parrain il y a pas longtemps.
Et ça m'a un peu replongé
dans ce moule-là.
Parce que c'est une histoire
de... un peu comme si
filmant avec un rise and fall.
Il monte très très haut
et il retombe très très bas après.
Et un peu comme tous les films
de ma fière.
Donc ça m'a un peu replongé
dedans, j'aime bien.
C'est plutôt un petit film chouette.
T'as suivi Ma Conique ?
J'ai suivi ta chronique.
En fait, j'ai eu peur
parce que je me suis dit
les captains à la fois
tout le monde connaît
et en même temps,
tout le monde sait
que Google les utilise
pour leur connaissance.
Et tout le monde sait que Google les utilise

Il y a plein de trucs
qui sont quand même bien connus.
Et en fait, non,
j'ai appris plein de trucs.
Et c'est vrai que
tu te doutes pas de...
Enfin, moi ce qui m'a beaucoup
intéressé, c'est la partie
à la fin où
tu te doutes pas que le plus...
Enfin, en fait,
dans tous les cas,
c'est un bon résultat.
Et je sais plus où jouer avec
cette phrase.
Mais moi, j'ai appris des trucs.
Mais maintenant,
tu rempliras tes captains
avec le...
avec le joie.
En fait, ce qu'on est loin
de se douter, c'est que
quand tu remplis un capcha,
il y a un dessin
qui est plus grand
derrière que juste...
C'est assez impressionnant
d'être un petit grain de sable.
Ouais, tu te dis
Ah merde,
n'aimais qu'ils avaient pensé
à tout depuis mille ans.
Alors que toi,
tu es juste en train
de remplir ton capcha.
J'ai un train de galérer.
J'ai aussi la dangereuse envie
après ta chronique
de lâcher 75 centimes
pour avoir 1000 captchas
déjà pour les guérissons.
J'ai...
Ça, on a pas pensé...
Je pense que
en vrai personne...
Enfin, je pense que personne fait ça.
La moyenne client,
c'est tous des...
Oui, quand t'as un énorme
sous-écripe, c'est tout des...
Mais imagine, genre,
l'utilisateur d'Internet,
le velle 1400, tu vois, genre...
Il est extrêmement riche
et il veut tout automatiser
dans sa vie.
Je pense que...
Mais attends, mais 1000 captchas,
il doit être tenté
pour sa 25 centimes.
Moi, je pense que je les lâche, hein.
C'est ouf.
Ouais.
C'est genre, 1000 captchas,
je suis bon pour les
quatre prochaines années à venir.
Tu...
Alors, en vrai,
je n'ai parlé que des services
les plus chaudes, genre,
bizarre, quoi.
Il y a aussi des trucs
intermédiaires où c'est
de l'automatisation
et où tu vas payer, peut-être,
moins cher
et tu auras moins de taux
de complétion, tu vois.
Ouais.
Voilà, si tu veux
travailler ta construction.
Juste Buster, c'était bien Buster.
Buster, c'était pas mal, oui.
Là, c'est complètement
sur votre machine en local.
Donc, ouais,
c'est Buster.
Je regarde.
Arthur, je pense que
on va pouvoir se lancer
dans cette histoire
de quoi parler cette chronique.
Eh bien, tout d'abord,
je vous demandais
de regarder l'illustration
qui vous envoyait en Régis.
Alors, est-ce que...
Vous savez ce que c'est.
C'est une question rétorique,
évidemment,
vous voyez ce que c'est.
Interstella, le film.
Interstella,
c'est une boîte de DVD.
Exactement.
Moi, ce qui m'intéresse,
là, c'est la boîte de DVD.
Bon, donc,
on n'en utilise plus trop aujourd'hui.
Mais sachez qu'à une époque,
c'est ce qui a permis
de retrouver la trace
du plus gros baron
de la drogue
du dark web.
Et aujourd'hui,
c'est son histoire
que je vais vous raconter.
Je vais vous raconter
son âge d'or
et puis sa chute.
Du coup...
Ce qu'on peut lui donner un nom,
c'est le vendeur
au DVD
cocaïné.
Le vendeur au blouré cocaïné.
Eh bien,
tu vois,
je peux lui donner un prénom,
il s'appelle Michael,
Michael Slump,
Yann Cornelys Slump,
enfin voilà.
Donc Michael Slump,
qui est issu
de Warden au Pays-Bas.
Et donc,
il commence
un peu comme
beaucoup de développeurs.
À 17 ans,
il crée des sites web
pour des connaissances.
Et puis,
petit à petit,
ça devient des trucs
un peu plus complets,
ce qui crée des apps
pour des boîtes, etc.
Il crée d'ailleurs
sa première boîte
à 17 ans pour ça.
Et puis,
à 21 ans,
il se retrouve
dans un job assez stable,
un job normal
de dev dans une boîte
de sa ville.
Donc,
jusque-là,
a rien de très passionnant.
À côté de ça,
il est consommateur
régulier de MDMA.
Donc,
MDMA,
qui est un puissant stupéfiant,
qui est une drogue
qu'il ne faut pas prendre.
Mais qui
a des effets
euphorisants, etc.
Et donc,
il est consommateur régulier
sur le côté.
À ce moment-là,
on est en 2012.
Donc,
il a 21 ans.
Et puis,
un soir,
il regarde la télé
et il tombe sur un programme
néerlandais
qui existe toujours
qui s'appelle
Sput and Encelecon.
Et donc,
c'est un programme
qui parle de sujets
un peu controversés
sur la drogue,
le sexe, etc.
Et
l'épisode
d'un six soir,
enfin,
six soir,
alors qu'il a 21 ans,
parle justement
du dark web.
Et ça raconte
ce qu'est Silk Road.
Silk Road,
donc,
c'est assez connu,
c'était
le grand Amazon
du dark web.
En gros,
une place de marché
avec plein de trucs,
beaucoup de trucs illégaux.
Nous avons des armes,
des faux passeports
et donc,
de la drogue.
Donc,
il découvve Silk Road.
Donc,
avec via ce documentaire,
il découvre Silk Road.
Donc,
ça explique,
voilà,
voilà comment,
voilà ce que c'est,
voilà comment ça marche.
En fait,
ça marche en achetant
avec des bitcoins.
Et les bitcoins,
voilà comment vous pouvez
en acheter pour la première fois.
Et voilà comment vous pouvez
vous rendre sur le dark web.
Et en fait,
cette émission ressemble plus
à un tuto sur
comment acheter de la drogue
sur le dark web
qu'un documentaire.
Et donc,
lui qui consomme de la MDMA,
il se dit,
je vais aller voir
sur Silk Road,
s'il y en a.
Donc,
il se rend sur Silk Road
et il voit qu'il n'y a pas
de la MDMA.
Et donc,
comme tout bon jeune entrepreneur,
il se dit qu'il y a un business.
Il se dit qu'il y a un trou dans le marché.
Il y a un trou qui a mené à mon poêle.
Il y a un marché à combler.
Et donc,
il dit,
alors cette phrase est vraie,
il dit que je le trouve fantastique,
il dit,
je ne fume pas,
je ne bois pas,
mais la MDMA
est la chose la plus merveilleuse
qu'il soit.
Alors s'il n'y en a pas,
j'en vendrai.
Donc le style de job.
Il a passionné avant.
Il a pas sonné avant.
Il a pas sonné avant.
Et donc,
il se met à acheter
de la MDMA
à des dealers
à Amsterdam,
parce que la MDMA
est vraiment pas chère.
Les pays bas sont
le pays qui produit
le plus de MDMA dans le monde.
Je l'appris.
Et il les revend ensuite
sur Silk Road,
un peu plus cher.
Il se fait ça marche comme ça,
parce que le prix de la MDMA
est plus cher
dans le reste du monde.
Et c'est simplement
comme ça qu'il fait son,
qu'il lance en fait
le tout début de son business.
Il se crée un compte
sur Silk Road
qu'il appelle,
qu'il appelle comment,
SuperTrips.
Et maintenant,
je vous pose une question
à votre avis.
Quand t'on devient commerçant
sur Silk Road
et qu'on a vendu
à quelqu'un qui habite,
je ne sais rien,
aux États-Unis,
des pilules
d'Extasie,
comment est-ce qu'on lui envoie
sa livraison ?
Et sa commande ?
Pas de question ?
Prima de question.
Par la poste ?
Par la poste,
intuitivement,
tu mettrais dans une enveloppe
et tu prises pour qu'elle soit pas
fouillée,
mais vous me voyez venir,
il achète
des énormes lots
de boîtes de DVD,
des boîtes
de coffrets en métal
que l'on utilise pour les éditions
collecteurs.
Et dedans,
il met des pilules d'Extasie,
mis sous vide,
donc pas de DVD,
très peu de films,
il les referme
dans une enveloppe
et c'est simplement
expédier comme ça
par la poste.
Donc c'est tout si simple que ça.
C'est génial.
En plus,
à ce point,
il a optimisé le taille
de son paquet
pour économiser en frais.
Exactement.
Et donc,
il lance ça,
mais il n'y a rien,
déjà un mois après avoir commencé,
il s'est déjà fait 20 000 euros.
Donc,
ce qui est pas mal,
surtout qu'il a un job
qui doit sûrement payer
moins que ça,
à côté.
Et au même moment,
donc un mois après qu'il est commencé,
à 6000 km de là,
il y a les douanes américaines
de l'aéroport Chicago O'Hare
qui découvrent
dans une boîte de DVD
de l'MDMA.
Et sur cette boîte de DVD,
ils trouvent des empreintes digitales.
Oh,
l'échec.
Alors,
je retourne de l'autre côté
de l'Atlantique,
et donc,
Michael,
qui s'est fait ses premiers 20 000 euros,
et qui se dit,
bon,
c'est terminé,
mon boulot de dev,
et il se lance à plein temps
dans son nouveau business.

Voilà,
donc c'est un trafic, vraiment.
Il se lance à plein temps là-dedans.

vous voyez un peu
où ça va,
cette histoire.
Petite petite question,

ça se passe assez tôt,
ça,
dans l'histoire
des plateformes
de marché noir
sur le Dark Web.
Ouais.
Tu sais,
quand ça...
Là, on est donc, on est en 2012.
Donc,
Silk Road,
c'était dans ces eaux là,
Silk Road, ça a fermé, je crois,
un an plus tard,
un an et demi plus tard,
mais c'était l'âge d'or de Silk Road.
C'était...
Donc c'est un avant-garde,
c'est-à-dire c'est un des pionniers...
Ah, c'est un des pionniers.
Maintenant,
et d'ailleurs,
enfin,
je peux le montrer avant 2 secondes,
quand tu regardes
des archives de Silk Road et tout,
et que tu vois des trucs de drogue,
c'est son pseudo à lui,
qui a sur les annonces et tout.
Au haut du classement.
C'est ça,
et bien justement,
en fait,
j'y viens.
En fait,
il devient très vite,
très connu,
il s'est fait très vite
beaucoup d'argent,
et il vend,
alors là,
il vend de tout,
il a diversifié son offre,
donc il vend NDMA,
Ecstasy,
Cocaïne,
Benzodia, Zepin,
je ne sais pas ce que c'est,
de l'enfétamine du LSD,
de la maréro en affin,
il vend plein de trucs.
Il engage même 2 personnes
pour faire sa propre marque,
de marque de pilule d'Ecstasy,
avec des couleurs rouges,
blanche, vert, rose,
chacune avec un petit point d'interrogation.
Il y a un vrai marketing,
il y a rien.
Il est un peu dans le pochette
de Victor Bluwell,
je ne sais pas.
Et,
et fixe,
c'est vraiment le net fixe
de la drogue.
Eh bien,
tu ne crois pas si bien le dire,
parce que c'est ça
qui lui a donné son surnom
de Pablo Escobar
du Dark Web,
parce que c'est lui
qui vendait,
bon,
il vendait plein de trucs différents,
mais en fait,
c'est surtout les volumes
qui vendaient,
qui faisaient qu'il était aussi réputé.
Et d'ailleurs,
il s'en inventait un peu,
il disait,
j'ai des énormes stocks
de produits,
vous ne pouvez littéralement
pas les vider.
Et donc...
En gare au bout d'un moment,
pour stocker tous ces trucs.
Parce que du coup,
la logistique, lui, derrière,
quand il achète,
en gros,
ça se passe comment ?
Alors,
j'ai pas le détail
sur sa chaîne logistique,
mais je sais qu'il est resté
pendant tout ce temps-là
dans sa ville,
Nathal au Pays-Bas.
Il est resté dans son quartier.
D'ailleurs,
en fait,
il est resté dans son quartier,
mais ses voisins,
ont vu que,
du jour au lendemain,
il a changé de train de vie.
Ils ont vu que,
enfin,
très vite,
il s'est mis à faire beaucoup de voyages,
portait des vêtements très chers,
des montres,
il avait des voitures,
des voitures, des trucs,
il les merci,
il les odie les plus chers,
à 22 ans,
et il conduisait comme un fou
dans le quartier.
Du coup, il y a des voisins
qui se plaignaient.
J'ai retrouvé des plaintes
de voisins des poissons.
Et en fait,
au sous-sol,
il y avait 20 tonnes de textasie.
C'est ça ?
Au genre,
enfin,
qui lui demandait
comment ils se retrouvaient
aux uns d'argent,
il lui disait,
j'ai ma société de software
qui se porte très,
très bien.
Et donc,
les gens,
il n'y avait pas de plan,
il existait vraiment.
Elle était vraiment
immatriculée chez son grand-père.
Donc,
ça se passait,
ça restait dans le coin.
Et d'ailleurs,
son grand-père,
on y comprenait rien non plus.
Et bien,
ça là,
en fait,
c'était un des plus gros barons
de Silk Road.
Et pendant ce temps-là,
le compte SuperTrips,
donc son compte sur Silk Road,
vendait,
je crois que,
au total,
il y a eu plus de 10 000
transactions effectuées,
enfin,
plus de 10 000 commandes passées.
Et donc,
vraiment,
à cette époque-là,
donc,
lui,
il roule sur l'or
et il se sent complètement
intouchable.
Parce que,
déjà,
il se pensait prudent,
parce qu'il emballait les DVD
avec des gants,
ratés.
Et puis,
il avait déjà eu affaire
à la police au Pays-Bas,
parce qu'il avait déjà été arrêté,
je crois qu'il était justement
sous MDMA,
complètement chouté,
et il s'en était sorti assez facilement.
Et donc,
à partir de là,
il s'est dit,
alors il dit,
à un moment donné,
on se dit que la police néerlandaise
n'est qu'une bande d'un bêtis,
une bande d'incapables.
Et donc,
voilà,
à cette époque-là,
il empoche des dizaines et des dizaines,
bon,
même des centaines de milliers de bitcoins
derrière son pseudo SuperTrips.
Et donc,
il n'a pas peur de la police non plus,
en fait,
tout va assez bien pour lui.
Seulement,
ce qu'il ne sait pas,
c'est qu'à cette même période,
il est à mille se doter que le FBI,
donc les Américains,
suive activement sa piste,
en accumulant au total
plus d'une centaine de pochettes DVDs,
et donc,




droguer.
Donc,
son affaire dure
pas très longtemps.
Au bout de,
un peu plus d'un an,
au bout de quinze mois,
il...
En fait,
il se rend compte que,
mine de rien,
ça lui génère beaucoup de stress
au quotidien,
tu m'étonnes,
qui travaillait plus de 16 heures par jour,
il n'avait pas vraiment de plan
pour le futur,
il ne voyait pas trop où il est à l'est
et au jour le jour.
Et donc,
après avoir amassé
quand même le Bopactol
de 385 mille bitcoins,
déjà à l'époque,
c'était 3 millions et demi de dollars,
donc je vais se faire le calcul pour aujourd'hui,
il décide
de vraiment de cash out.
Il veut revendre
son nom de marque SuperTrips
à un client américain,
contact américain,
qui lui est agissé
sous l'obsode de
underground syndicate.
C'est hyper intéressant,
ça veut dire que,
dans cet écosystème-là,
très peu de confiance,
parce que ça reste du marché noir,

il y a un peu une notion
d'Amazon
et d'étoiles et tout,
mais globalement,
ça marche énormément.
La confiance,
il y a beaucoup de scames,
de drogue,
qui est pourri,
qui va te rendre malade probablement.
C'est hyper intéressant
de voir à quel point le nom,
genre la confiance que tu crées,
ton statut,
à de la valeur,
au point que tu peux revendre
ton compte silicrode
pour de l'argent.
Ah mais il avait
d'excellentes reviews
et puis pareil,
lui aussi,
il avait confiance en ce compte
underground syndicate,
parce que je vais passer
ça sous silence,
mais il avait déjà eu
pas mal d'accords avec lui,
où c'était
l'équivalent,
en gros,
d'un revendeur local
pour une filière
là-bas de
plusieurs types de drogue
et tout.

effectivement,
son nom Supertree,
il savait énormément de valeur
et donc,
il décide,
ok, c'est terminé pour moi,
il annonce à tous
un entourage qui part vivre
aux États-Unis.
Il se prend un avion
pour aller jusqu'à Miami,
il commande sa Lamborghini
pour l'attendre sur le tarmac.
Il part avec ses petites
pilules d'extasie, évidemment.
Et quand il atterrisse
sur le tarmac à Miami,
eh bien,
il se fait arrêter.
Vous le voyez venir,
c'est pas un chauffeur
qu'il attend,
mais c'est bien le FBI
qui vient le cueillir
comme une fleur.
Enfin,
c'est tout de douceur,
c'est très bien.
Mais quel naïf t'es ?
Mais pourquoi aux États-Unis,
du coup ?
Euh, lui, alors,
il voulait aller aux États-Unis
parce que donc,
son contact était un américain.
Ah, pour son contact ?
Voilà,
il voulait conclure l'avent,
ça devait se faire en physique,
justement.
Et lui, en avis,
il avait prévu, du coup,
parce qu'il dit
qu'il part vivre aux US après,
donc il avait prévu
positionnellement de rester
et c'était là-bas.
Et...
Il ne se doutait pas du tout.
Et il se doutait absolument de rien,
parce que, lui,
il ne pensait pas du tout aux américains.
D'ailleurs, lui maintenant,
dans les interviews aujourd'hui,
il dit,
mais c'est détaré les américains,
enfin, parce que, lui,
il avait juste
une expérience à la police
néerrandaise.
Il disait,
Ils sont toujours de six filles.
C'est bon,
je fais mon truc.
Il ne rigole pas du tout,
du tout, du tout,
avec les dealers, non ?
Si il était resté chez lui,
a priori,
le FBI,
il ne serait pas allé le chercher.
Je ne sais pas comment ça marche
hors des juridictions et tout.
Mais en tout cas,
le FBI,
il le suivait effectivement
à la trace.
Et d'ailleurs,
du coup,
c'est ce underground syndicate,
ce contact qui devait racheter son nom,
qui en fait,
était de mèche avec le FBI.
Ah !
Il a fuité l'info.
Et c'est lui,
grâce à ça,
qui s'est fait attraper.

pour dire à quel point
il était à l'aise
avec la police néerrandaise,
c'est que,
cette fois où il s'est fait arrêter
sous MDMA,
je pense,
pendant une soirée,
ou un truc comme ça,
la police n'a même pas été fouillée,
sa maison et sa voiture.
Il a dit,
mais si ils avaient été fouillés,
ils auraient trouvé des quantités astronomiques,
je pense,
et ses stocks et tout.
Et donc,
à partir de ce moment-là,
c'est là qu'ils disaient,
mais c'est des imbéciles en fait.
Je pense à la pire goutte de sueur
quand ils arrivent.
Le petit contrôle de police,
innocent,
ou,
auraient-ils un petit billet,
bon,
petit check de routine,
on va quand même regarder dans ta cave.
Ah !
Tu vas 50 tonnes.
Tu vas l'atelier,
des scobards,
des néons,
la gueule des flics.
Ah mais non,
mais c'est pour ça
qu'ils se sentaient en confiance
et qu'ils se doutaient absolument de rien.
Tu vois,
dans la chronique précédente,
j'avais parlé d'un autre mec,
il faisait destruction de Dark Web.
Lui,
il sentait les flics se rapprocher de lui,
petit à petit,
et le gouffre se refermait sur lui,
parce qu'il avait des signes avant-couard.
Là, il n'y avait rien du tout.
Mais pour le vieil,
c'était quand même une opération
sur couverture de,
je crois,
18 mois.
C'était vraiment,
énormément de travail.
Mais alors,
on a plus d'infos sur
comment
qu'elle a été leur chemin.
Est-ce que c'est juste,
ils ont trouvé l'empreinte,
ils ont trouvé qui c'était.
J'ai pas plus d'infos.
J'ai lu les rapports
que j'ai trouvés
du jugement et tout.
Ils en disent pas vraiment plus.
En gros,
on sait qu'un instant t,
environ un mois après
l'ouverture du compte SuperTrips,
il y a eu des empreintes digitales
qui ont été trouvées
sur un de ces coffres
DVD métalliques, du coup.
On sait qu'ensuite,
ils en ont récupéré,
accumulé ça plus d'une centaine,
mais donc,
ils ne devaient pas tout savoir
des empreintes,
parce qu'il a dû prendre des gants
au bout d'un moment,
selon ce qu'il dit.
Et après,
il a été cueilli
et en fait,
c'est plus ou moins ce qu'on sait
de ce côté-là.
Il plait intéressant.
Et du coup, son pote qui a vendu la mèche,
il a fait ça
pour pas avoir d'ennui,
son tour.
En fait,
on sait pas trop plus.
Évidemment, en fait,
c'est toi, c'est une taupe.
Auquel cas, ils ont aucun intérêt
à griller le truc.
Soit, il y a eu un deal, en fait.
Je pense que ça doit,
c'est sûr que ça doit arriver.
En fait, c'est plutôt la seconde option.
J'ai lu le rapport
justement du tribunal,
je sais pas quoi,
où il faisait partie
des,
je vois, une dizaine de personnes
qui gravitent
autour de cette affaire,
dont les deux employés
qu'il avait, etc.
Et lui aussi,
il s'est pris des trucs.
Il a eu des accusations.
Parce qu'effectivement,
il dealait effectivement.
C'était vraiment,
il y a un revendeur.
En gros,
il avait des accords,
comme quoi il allait envoyer
une certaine quantité
de tels droits,
chaque semaine,
qu'il écoulerait de cette manière-là.
Et puis,
il y avait des arrangements
pour blanchir les bitcoins.

Il a été un revendeur local.
C'était incroyable.
Il s'est devenu
une multinationale son truc.
J'ai une question
très importante du chat.
Est-ce que sa société s'appelait
Windows ?
Ah non.
C'est juste que c'était mon intervente.
D'autres fois,
c'est un film ce soir.
Le pire,
c'est que je l'ai vu,
il y a 15 minutes,
je voulais pas t'arrêter.
Je l'ai gardé.
Il y a quand même un petit dénouement,
du coup,
à cette histoire,
parce que c'est pas
totalement fini.
Mais,
au final,
il leur a vendu au total
plus de 100 kilos de MDMA,
un demi-million
de tablettes d'extasie,
avec son petit point d'interrogation,
4 kilos de cocaïne,
3 kilos de bainzot,
diabélien...
Je sais toujours pas dire.
Et plein d'autres trucs.
Bainzot, diabélien...
Oui,
bainzot,
diabélien,
et pina.
Oui, mais bon,
c'est la friche.
C'est la friche,
la chimique.
Et du coup,
son procès a lieu vers 2014,
il plaît de coupable,
il en cours jusqu'à 40 ans de prison,
5 millions d'euros d'amende et tout.
Oui, oui, oui.
Mais même, même, même, même.
5 millions d'euros d'amende seulement ?
5 millions, pardon.
Je dis 5 millions.
5 millions.
5 millions.
Il accepte,
du coup,
déjà de donner ses bitcoins,
ses 385.000 bitcoins,
et il accepte aussi,
contre une restitution de peine,
de témoigner
contre le créateur de Silk Road,
lors de son procès,
parce que,
lui, il se fera attraper quelques mois plus tard.
Silk Road ferme quelques mois après
que lui se fasse choper.
On est dans ses volatoires,
2013-2014,
et du coup,
ils ont dillé avec lui
pour qu'il entraîne
le créateur dans sa chute.

il s'est passé de 40 ans de prison,
à 10 ans de prison,
et au final,
il n'a même pas témoigné d'ailleurs,
pendant le procès,
mais c'était l'accord qu'il a eu.
Il est libéré, du coup, maintenant.
Si vous faites le calcul, en fait,
10 ans,
ça nous amène en avril 2021,
où après,
on n'a pas dit ce que c'est 90 prisons,
parce qu'il a eu le Covid,
il était en PLS,
et du coup,
il était sorti un peu plus tôt,
mais après 90 prisons,
à être passé dans 13 prisons différentes,
il a vécu les pires années de sa vie, là-bas,
enfin, maintenant,
il en parle comme un enfer.
Il est revenu dans sa vie natale au Pays-Bas.
Maintenant, il veut faire
un truc de consultants
en milieu carcéral,
justement, après l'enfer qu'il a vécu.
Et même maintenant,
il continue à dire,
je ne vois toujours pas
ce qu'il y a de si mal
à vendre quelques piles de l'orignons.
Il n'a pas appris la leçon.
Donc, il dit, maintenant,
je ne le ferai plus,
non, pas parce que c'est illégal,
mais il dit, je ne le ferai plus,
parce que mon nom est trop associé à ça.
Ça, c'est cramé.
C'est gris, c'est mermais.
Mais non, son point,
c'est ce qu'il dit,
c'est les gens vont se droguer de toute façon,
mais sur s'ils croident,
ils savent qu'ils obtiennent de la qualité.
De la qualité.
Il a dit, je vous ai testé toute cette merde.
C'est vraiment ça qu'il a dit.
Et aujourd'hui,
il cherche même à vendre son histoire,
il a dit, si je suis célèbre
et que je peux en tirer de l'argent,
il peut faire un Netflix, je pense.
Bah, je veux dire,
en plus, il est vraiment en discussion
avec des studios pour vendre son histoire.
Donc, après, on en parle.
Mais donc, voilà,
je trouve que c'est un curieux personnage.
Très stylé.
Mais surtout, le fait que...
Enfin, c'est trop les chiffres qui sont fous.
Genre, de la mise à l'échelle
des vendeurs, des petits jeunes
qui veulent se faire de l'argent de poche
sur Silk Road
ou sur des plateformes de marché.
Il y en a plein, c'est la classique.
Déjà, on mentionnait la série
How to Sell Drugs, online,
de Netflix, je crois.
Et ça, c'est traditionnel,
mais lui, il y a un côté démesuré
du passage à l'échelle
sur la quantité de tonnes et de millions
alors qu'il a la vingtaine.
Ouais, mais ça, enfin,
on ne se rend pas compte,
mais genre, 100 kilos de MDMA
vendus en 15 mois, c'est énorme.
Donc, 10 000 transactions.
Enfin, c'est...
Enfin, c'est des chiffres...
Je ne sais pas trop quoi les mettre en perspective
pour réaliser à quel point c'est immense.
Je pense qu'il devait passer sa journée
à les empacés dans les délais.
Il faisait 16 heures par jour,
et il faisait que ça.
Mais après, c'est plus rentable
que de faire des caprices.
Exactement, la boucle, il vous fait.
C'est bien.
Mais en fait, ce qui est fou,
c'est que, en réalité,
genre, ce gars-là,
tu lui fais monter une boîte,
probablement que...
Il est super bon.
C'est ça.
En gros,
qu'est-ce qui se passerait
si un très...
un très bon sauvage,
un petit génie
se lancer dans le...
dans la vente de drogue,
ça ferait ça probablement.
C'est ça.
Il manquait, quand même,
à mon avis,
de prudence et tout,
vu plein de détails,
de l'histoire.
Il embaît son argent,
il a été...
Le fait que tout son quartier
soit au courant,
qui ait changé d'état,
les impruntes...
C'est souvent ça,
tous les histoires
des gens qui se sont fait coffrer
avec ces histoires
de films sur T-Crode.
Il y en a plein.
Et tous,
quand on lit leur soirée,
on est là,
mais c'est pourquoi
il y en a un, j'ai lu son histoire,
il s'affichait sur...
Il trafiquait des armes
sur T-Crode.
Ben,
sur les réseaux,
il se mettait vraiment avec des armes...
Avec des manquets de coure !
...promos,
je suis...
Tu dis,
par après-coup,
c'est absurde.
En fait,
quand tu es dans le truc
et que tu le vis,
tu es tellement...
ta réalité est tellement biaisée,
tu vis dans une autre réalité...
T'es un monsieur que tu es inarrêtable.
...que tu finis toujours
par faire une erreur.
Et c'est ça.
Et il disait,
il sent...
J'aurais dit,
il sentait untouchable,
comme il avait...
Pendant sa tête,
toutes les cases étaient cochées
pour être untouchables.
Réalise,
tu as un vrai petit génie
qui fait ça,
il ne sera pas coffré.
Exactement.
C'est ce que j'allais dire,
c'est qu'on a peut-être aussi un biais,
c'est que les plus forts,
on n'en entendra peut-être jamais.
On n'en entendra pas rien.
Oui, mais en ce moment,
ils sont là en train de me regarder,
ils disaient,
c'est vrai qu'ils sont mauvais à me voir.
Ils ne sont pas très bons coucou
aux dealers dans les chat.
Mais d'ailleurs,
c'est un micro-anecdote,
enfin,
pendant qu'il était en prison,
en 2017, je crois,
il y a la chaîne n'élandais,
enfin,
un érandais NPO
qui a fait un film
un peu tiré sur mon histoire,
et il a attaqué la chaîne en justice
parce qu'il le dépeignait sous un mauvais jour.
Et ce qui est assez ironique,
c'est que c'est cette même chaîne
qui diffuse aussi le programme
Spot on Un Silicone,
par lequel il a découvert le dark web.
Et Silk Road et tout,
quelques années auparavant.
Incroyable.
Donc ça boucle la main.
Trop, trop, c'est les merci
pour cette histoire.
C'est que la masse,
quand tu m'en as parlé,
je me suis demandé,
au début,
j'ai cru que ce serait un vendeur de DVD
qui se mettait du jour au lendemain
à vendre la drogue, tu vois.
Lui n'a jamais vendu le DVD.
Lui n'a jamais vendu le DVD.
Par contre, je veux que tu aies une histoire
du vrai gynécologue
qui s'est mis à vendre la drogue
aussi, ou de l'herbe.
Je suis en Dark Web.
C'est le prochain...
C'est le prochain...
C'est ça aussi.
C'est le prochain...
prochain creepy chronique.
Mais parce que,
quand tu mets le nez dans ces histoires-là,
du coup,
tu vois ces...
qui sont corrélés,
tu te dis, oh, mi, en fait,
il y a plein d'autres trucs.

Bien, n'hésitez pas à faire savoir
sur si tu voulais
une nouvelle chronique
dans les commentaires pères.
N'hésitez pas, en tout cas.
A chaque fois, je kiffe bien.
On va pouvoir tranquillement
passer à la suite.
Après une toute petite pause,
ne bougez pas.
On reçoit juste après Pierre,
qui est notre invité,
qui réunit de passion,
on peut dire,
le hacking et le rap.
Oui, c'est...
c'est logique.
Vous allez voir,
vous allez comprendre,
ça va impliquer des rappeurs
très connus
qui se font poutrer leurs sites.
Salut!
Si vous appréciez UnorScore,
vous pouvez nous aider de ouf!
En mettant 5 étoiles sur Apple Podcast,
en mettant une idée d'invité
que vous aimeriez qu'on reçoive,
ça permet de faire remonter
un score.

Telle une fusée.
On reçoit sur ce plateau.
Pierre, comment tu vas?
Hello tout le monde, ça va et vous?
Bienvenue.
Bienvenue.
Tu m'as dit que c'était la première fois
sur Twitch.
Ça fait quoi?
Un peu stressé,
mais ça va, on va essayer
de présenter aux gens
ce que j'ai pu faire.
Tranquille.
T'inquiète pas, comme je te disais,
c'est une émissue
qu'on s'impressionne.
On a tout le temps du monde.
On peut finir,
surtout qu'on n'a jamais dosé à l'heure,
il est que 20h15.
Donc on a toute la soirée.
Et voilà, je te présente
Tiffany que tu as probablement
vu juste avant.
Et avant qu'on rentre
dans le sujet,
donc tu es développeur?
Ouais, développeur web,
ouais, c'est ça.
Tu travailles sur quoi en général?
C'est quoi un peu
tes domaines de prédiction?
Alors je travaille
sur énormément de domaines
en particulier,
mais qui sont bien distants chacun.
Ça veut dire que je peux très bien
travailler sur la blockchain
et sur des smart contracts
et des nouvelles technologies
de NFT,
swap de token, etc.
Comme je peux travailler
sur des sites web
on va dire plus classiques.
Je vais faire du front-end,
des shops un peu
comme Shopify et tout.
Et après j'ai fait d'autres sites
un peu plus interactifs
où j'ai fait Trinity
de Laylau
en version digitale.
Donc c'est un album
que j'ai refait en version digitale.
C'est ce que j'ai vu passer
effectivement que tu as un petit don
dans la sphère RAP.
Ouais, exactement.
Parce que
t'as des bons clients quand même.
Ouais.
Tu m'as apparaît de PNL aussi.
Ouais, PNL,
alors ça c'était un projet
que j'ai fait moi de mon côté.
C'était un projet Game Boy
qui reprend tous les codes
de Pokémon à l'époque.
Donc Pokémon Père
elle est durement sur DS.
Ouais, elle passe ta VJ.
Et ça reprend vraiment
tous ces codes là
où t'attends un petit perso
tu te balades
et il y a des quêtes.
Tout au long tu dois ramasser
des...
Ouais, voilà c'est ça exactement.
Et donc là tu choisis
à demo NOS.
Donc c'est les deux rappeurs
de PNL pour ceux qui savent.
Trop bien.
Et voilà tu peux être baladé
donc il y a des quêtes à faire.
Donc chaque personnage peut...
C'est tout,
vraiment tout tes...
Trop bien.
Tout tes inspirés vraiment
de l'univers de PNL
et...
Ça marche avec d'autres versions
de Pokémon
parce que moi c'était plutôt
vers chamblou et rouge.
En fait c'est sur un site code
directement.
Ouais en fait c'est une web app.
Ah ok d'accord.
Tu vas sur un site
et avec tes touches du clavier
ou sur téléphone
il y a un petit bouton A et B
et tu peux jouer directement
dessus.
C'est ça qui est trop vert.
C'est classé pour une promo.

Enfin évidemment
imagine la promo de PNL
c'est télécharger une rame
sur Game Boy O.S.
ça va être compliqué.
C'est juste incroyable.
Mais ouais non
franchement
belle promo ça m'étonne pas
que tout le monde équiver
en tout cas
pour ce très bon travail.
Toi tu connais
le milieu du rap depuis
longtemps j'imagine.
Ouais j'écoute depuis très longtemps
mais vu que je suis tout petit
je suis fan de ce monde-là.
Après j'écoute énormément
de musiques électroniques
et toi à côté
mais le rap c'est vraiment
le domaine de musique
que j'écoute le plus.
Et comment c'est con mais
tu disais que t'es
développeur web
t'as quoi qu'en formation
déjà pour faire tout ça ?
Alors j'ai commencé
vraiment étant très jeune
je devais avoir 13-14 ans
et j'ai commencé
sur des serveurs garissmois
des Counter Strike
et c'était vraiment
mes premières années
où j'ai commencé à faire
mes premières lignes de code
et après un peu plus tard
du coup au niveau du bac
quand j'ai arrivé post-bac
je me suis dit ok
qu'est-ce que je vais faire maintenant
je t'avais pas trop
quoi faire en orientation
et c'est là que je me suis dit
bon bah toutes les années
que j'ai fait
passer devant mon PC
à faire des lignes de code
je vais essayer
de les rendre professionnelles
et d'avoir un truc
qui me permet d'avoir
un bon bagage
et rejoindre c'est une
grande entreprise
éventuellement
et c'est là
qu'est venu l'idée
du coup de rejoindre
donc moi je suis à la coding
factory à ACIT
donc c'est à Sergi
et c'est une école du coup
où on forme des développeurs
donc il y a le Bac Plus 2
licence
et ça va jusqu'au master
et là on se voit moi-même
je suis en dernière année de master
et je finis là à la rentrée
et en fait
pendant ce temps-là
tu as eu le temps de te le faire
oui oui
j'ai un alternance
oui en alternance
c'est en parallèle de mon alternance
j'ai plein de projets persos
et c'est pas que des projets persos
c'est aussi t'as des clients
et tout
oui il y a un peu des deux
il y a des projets persos
et des projets on va dire
où vraiment là
c'est en tant qu'indépendant
et j'ai vraiment des clients
qui me ruminèrent pour un projet
en particulier
c'est fou
comment tu fais pour avoir
des clients qui sont des superstars
même si
bon si tu n'es pas le rap
tu peux pas savoir
mais là
les noms qu'on a données
c'est pas rien du tout
comment t'as fait toi
pour avoir cette opportunité-là
BapNL
du coup c'était en mode fanboy
donc c'était pas en contact avec eux
mais ensuite
il y a des gens de son équipe
qui m'ont contacté
qui m'ont dit que le jeu
était vraiment cool
et que ça valait le coup de le faire
et Lailo c'était un peu
la même thématique
mais là c'est même allé
encore plus loin
c'est que Lailo lui-même
m'a DM sur Instagram
quelques mois après la sortie du site
et il m'a vraiment félicité
pour le jeu
et il m'a dit que c'était dommage
qu'il m'avait pas rencontré
avant parce qu'on aurait pu
faire un truc encore plus poussé
en accord avec son équipe
tu vas en arriver
de travailler sur un truc
donc c'est pas passé à la mer
mais ils ont vraiment adoré
ce que j'ai fait
et après j'ai pu vraiment
travailler pour le coup
en mode avec Daomé
qui est un rappeur artiste français
qui commence à bien prendre
l'art et sa main
et j'ai travaillé aussi avec
Iqy Casboy
qui est un producteur connu
pour Damso
pour pas mal de productions
et non vraiment tout ce milieu
du rap c'est vraiment ma passion
c'est, et puis maintenant
bah tu t'es finie le nom
et donc c'est sûr
que tu vas être contacté
ensuite
sur des projets et tout
c'est obligé donc ouais gg
et tout ça est passion
mais ce n'est même pas en réalité
ce dont on va parler
pour cette partie
vous allez voir
ça a un rapport
mais c'est pas exactement ça
donc comme vous l'avez vu
nous recevons aujourd'hui
donc Pierre
qui est développeur
et amateur de rap
et à l'annonce
donc d'une chasse au trésor
pour gagner des places
pour un concert privé
de Ninho
il a tu as eu envie de
faire partie des gagnants
voilà normal
mais tout ce n'est pas passé comme prévu
tu vas aller checker
le code source du site internet
il va y avoir de la filouterie
au point de rendre fou
les équipes de Ninho
mais aussi de pelquins
vous allez voir les
les histoires s'enchaînent
bref
c'est hyper intéressant
cette histoire
et le pire c'est que
à l'origine t'es même pas
un testeur de sécurité
toi tu disais t'es développeur web
ouais c'est ça
mais du coup indirectement
je connais un petit peu
les systèmes
comment ça fonctionne
les infraires tout
donc je sais faire
du pain testing et tout
donc ça me parle un petit peu
mais de base oui je suis pas à coeur
à l'origine c'est ça
et donc comme on disait
à la base tout commence
donc par une chasse au trésor
organisé par le rappeur Ninho
et son label
remets nous dans le contexte
c'est quoi cette histoire
qu'est ce que toi
t'es en train de faire ce jour là
ok donc alors moi je me rappelle
des jours là
en plus j'arrive au taf
un jour normal à Paris
tout ça j'arrive dans le 11e
donc je m'installe à mon bureau
j'ouvre Instagram
et là sur mon feed je tombe
sur un poste de rex118
qui annonce du coup
un concours à la sortie de refait
donc l'album de Ninho
et ils annonçaient du coup
comme on va sur la photo
ils ont mis plein de petites cartes
sur tous les points qu'on va
sur l'écran
donc c'est en Ile-de-France
ils ont réparti des cartes
un petit peu partout dans Paris
dans des métros
vraiment plein d'endroits distincts
et sur ces cartes là
il y avait un code à 4 chiffres
qu'il fallait ensuite rentrer
sur le site de Ninho
pour tenter de participer au concours
donc ça veut dire que
même si tu avais une carte
t'étais pas sûr de gagner
le concours
t'avais ton entrée dans le concours
et peut-être tu gagnais
et du coup moi je me suis dit
ok super cool
et du coup je suis sorti
j'ai regardé un peu dans le métro
j'étais à Voltaire à l'époque
j'ai regardé autour de Voltaire
s'il y avait des cartes et tout
mais il n'y avait vraiment rien
j'étais vraiment dégoûté
et du coup je suis remonté
dans mon bureau
et je me suis dit bon
on va garder le site
on va voir ce qu'on peut faire
parce que je voulais vraiment y aller
à cetteerie de ce parti
à l'époque j'étais vraiment chaud
et du coup c'est là
que j'ai commencé à ouvrir
le code source
et c'est là que je me suis commencé
à checker un petit peu
tout ce que je pouvais trouver
et j'ai vu du coup
deux vulnérabilités majeures
donc je peux laisser tes mains là
ouais, bien sûr
donc la première c'était les source maps
ça c'est par exemple
dans tous les sites React
souvent c'est comme ça que ça arrive
c'est le code
React qui est un système
pour construire les sites React
React qui est un framework
JavaScript
pour faire des applications web
et du coup c'était
une petite vulnérabilité en vrai
tout le code source de la page
était disponible
à la lecture
tout simplement pour tout le monde
parce que souvent
on passe par du code
qui va être t'eshé
ou
minifié
pas compilé parce que le JavaScript
ne se compile pas
mais tu vois les temps
je veux dire genre
en gros pour expliquer
traditionnellement
quand tu utilises des systèmes
comme ça
pour faire des sites un peu complexes
et bien le code n'est pas lisible
tout de suite
c'est à dire qu'il faut passer
par une étape de
où tu dois fouiller
du code horrible
tout compressé etc
là c'était pas le cas
ils ont oublié d'enlever
le truc qui permet
de voir le code en gros
exactement, exactement
et comme le montre la photo ici
j'ai pu retrouver
les clés firebase
donc firebase qui est
une base de données
développée par Google
enfin une solution on va dire
et donc qui sont passées par ça
et avec les codes que j'ai trouvé
j'ai pu justement
requêter la base de données
récupérer tous les codes
en fait tout simplement
mais déjà avec les codes
le fait qu'ils soient visibles
c'est déjà en soi
si on reprend dans l'ordre
pour que quelqu'un
qui n'est pas du tout
développeur comprenne
pourquoi c'est une d'un gris
firebase donc tu disais
c'est un système
qui va permettre de
gérer une base de données
donc en gros
des informations
sur un site web
donc là toi tu vois ça
j'imagine tu te doutes que
si tu pouvais accéder
à ce firebase là
tu pourrais trouver des trucs cool
ouais exactement
exactement
et donc tu cherches le code
et là tu tombes sur
cette page avec
des genres de mots de passe dedans
qui sont des clés de connexion
concrètement
si tu devais expliquer à quelqu'un
à quoi ça sert
comment toi tu les utiliserais
ouais en fait par défaut
une base de données firebase
elle est restreinte
pour communiquer avec seulement
un site en particulier
qu'il y a les clés d'accès
que Google nous donne
et ce qui se passe
c'est que ces clés d'accès
là justement éprouvent
l'authenticité du site
et de la personne qui va faire
la requête
donc ça lui permet de
requêter tranquillement
la base de données
en mode c'est bon c'est ça
il fait là les clés de Google
donc il considère que c'est
lui le propriétaire
et donc du coup je me suis servi
de ces clés là
pour moi la requêter
et récupérer tous les codes
et faire passer pour le propriétaire
voilà exactement
en faisant passer pour le
propriétaire du site
qui avait les clés Firebase
justement
et donc très concrètement
tu envoies une requête web
avec un métier
tu mets tous les codes
et t'es le patron
sur leur serveur
ouais c'est ça
et moi j'ai une question
pardon j'ai une question
juste sur
qu'est-ce qu'ils auraient pu faire
pour empêcher que ça se produise
ouais justement j'ai très vite
contacté on est en train
de contact et je leur ai dit
du coup comment
comment réagir
pour fixer ce genre de vulnérabilité
et donc la première c'était du
coup de disable des source maps
pour éviter que les gens
envoyaient le code source
et en plus de ça il fallait
rajouter une sécurité supplémentaire
sur le Firebase
il y a pas mal de sécurité
en vrai différente
mais la première que j'aurais pu
dire c'est de
autoriser seulement les requêtes
qui viennent d'un domaine
en particulier
par exemple le site en question
c'était refeparty.com
il existe plus maintenant
mais à l'époque c'était ça
et si tu peux par exemple
limiter ta base de données
à communiquer seulement
avec ce site là en particulier
comme ça t'es sûr que personne
d'autre pourra communiquer
l'origine du site
voilà c'est ça exactement
et après en vrai t'as plein d'autres
façons de vérifier
mais je pense que c'est la première
à faire
tu disais Tiffany
ouais puis t'as une troisième
solution c'est que
à la place que tes mots de passe
sont en clair tu les mets
dans un vault
une fois que tu les commis
tu as ton répons
ou ils auraient pu les hacher
ou faire un vrai
et je crois aussi
parce que j'aime rappel
mes souvenirs
d'université de Firebase
où ils ont un système
de droit
qui est relativement avancé
et c'est pas nécessaire
de donner les mêmes droits
à l'utilisateur lambda
que à un administrateur
et donc il y a tout un langage
dans ce système de Google
pour contraindre
les droits d'accès
mais la question
que tout le monde se pose
c'est
tout ce Firebase
t'as trouvé quoi
secret ?
il y a quoi dedans ?
en vrai le premier truc
c'était très compliqué
parce que fallait que je trouve
la bonne query à passer
dans mon postman
à l'époque j'utilisais postman
pour faire mon petit call api
alors explique
alors postman ça
explique cette phrase
postman ça permet
tu mets par exemple un lien
et tu choisis
si tu veux faire un post
un get ou un patch
ce que tu veux
et ça va te permettre
d'automatiquement faire
une requête HTTP
sur le lien que t'as envoyé
donc c'est souvent
tu l'utilises pour tester
des apis
ou pour faire du reverse engineering
pour essayer de comprendre
comment ça marche
donc voilà comme la montre
la vidéo ici
en fait j'ai fait un get
qui récupérait
du coup j'avais mis une page query
dans les queries par ams
j'avais mis 100 000
et comme ça j'étais sûr
qu'il me renvoyait
tous les codes qu'il y avait
dans la base de données
et du coup j'avais trouvé
la bonne table
qui s'appelait card
je crois
la table dans la base de données
s'appelait card
et de suite t'avais tous les codes
avec le nid
tiré les 4 codes présents
sur les cartes
qui avaient sur paris
du coup t'as récupéré
tous les codes
de toutes les cartes
ouais exactement
et ok
parce que moi
comme je n'ai pas participé
j'avais pas vu ce truc
sur la base de données
en fait t'avais la carte
de paris etc
t'avais des cartes
secrètes avec des codes
à trouver
qui te permettaient
de participer au concours
exactement
et du coup
tout ton enjeu
c'était de retrouver
la bonne table
en fait
d'en comprendre comment
était foutu leur système
et donc la vidéo
qu'on voit
c'est que toi
qui envoie des milliers
des milliers de requêtes
c'est ça
les pauvres ils ont
détruit leur base
tout ça
pour récupérer
toutes les cartes
encore
et en plus au début
j'avais pas vraiment
d'objectifs en particulier
je voulais juste avoir
des codes pour moi
pour participer au truc
mais après une fois
que j'ai eu tous les codes
c'est là que ça a commencé
à tourner dans ma tête
et t'en ai combien alors
des cartes
du coup il y en avait
2000 ou 3000 en tout
je sais plus combien exactement
mais je sais qu'en physique
il y en avait que 1000
genre il y en avait beaucoup moins
que ce qu'il y avait dans la BDD
je sais que dans la BDD
il y en avait
qui était pas présent
physiquement sur Paris
il y en avait qui était juste
numérique et que du coup
j'y ai accédé
ils se sont dit
où là
comment il a fait
c'est à dire que si
tu voulais t'aurais pu
gagner le concours
ouais j'aurais pu activer
tous les codes dans mon nom
ouais
mais tous les codes
étaient pas forcément gagnants
du coup eux ils avaient
en tirant au sort
quelques uns dedans
ouais c'est ça
et donc toi t'avais plus qu'à jouer
tous les codes
ouais au début c'est ce que je me suis dit
mais je me suis dit
ça va permettre
enfin les autres personnes
qui participent ils vont tous perdre
et c'est un peu dommage
tu vois de casser un peu leur concours
c'est qui un personne
d'autres c'est ça
je vais vous retrouver celles
de mon ignote
la chérie de la bdm
et alors évidemment
tu ne le fais pas ça
qu'est-ce que tu fais du coup
bah du coup j'ai très vite
mis des stories sur mon Instagram
où j'ai du coup donné
j'ai donné 4 codes
à ma communauté quand même
pour donner quand même
aux fans qui me suivaient
ouais voilà
j'ai donné 4 codes
et du coup vite après
il y a l'équipe de Rexon 18
qui m'a contacté
et qui m'a dit
écoute on a vu ta story
on aimerait savoir comment t'as fait
etc. ils étaient un peu en panique
je t'avoue au début
ils avaient peur de mes intentions
en fait
et donc très vite
j'ai rassuré
je leur ai expliqué les vulnérabilités
que j'avais trouvé
et comment les fixer
et ils m'ont très vite remercié
et ils m'ont du coup direct
proposé de venir
à l'arrêt des parties
de Niño
et comme ça j'ai pas activé
tous les codes
et les autres codes
du coup il y a d'autres gagnants
qu'on gagne à côté
il n'y a pas que moi
qui ai des sélectionnés
et donc dans l'interaction
parce que c'est un truc
qui est hyper intéressant
dans la cyber
c'est
comment se passe cette faveuse discussion
de j'ai trouvé une faille
dans ton site
comment va-tu réagir
donc là tu disais
c'était un peu stressé
genre il t'a pas trop mis
la pression
ou tu t'es senti un peu
alors un petit peu
un petit peu parce qu'au début
je me suis dit
on sait jamais
ça se trouve j'ai fait quelque chose
qui est déjà avec de bas
ce qui est pas très légal
on va dire de servir
des clé-firebase
je sais pas si j'avais vraiment le droit
mais du coup le fait
d'avoir dit directement
les vulnérabilités
leur avoir exposé les failles
leur avoir montré
comment les fixer tout simplement
je pense que ça a dû monter
un peu mon image
et ils se sont dit ok
c'est pas un hacker
on va dire un red hat
tu vois c'est vraiment
je suis venu en mode white hat
le petit gentil
tu as vite fait tomber la pression
voilà c'est ça
je voulais pas faire le red hat
je voulais pas avoir de problème
mais c'est important de le faire
pour ceux qui nous écoutent
c'est important de faire ça
et donc tu disais
grâce à ça, ils ont corrigé
simplement comment ils ont fait
oui alors il y a eu les trucs
premièrement c'est des sourcements
qui ont été désactivés
donc le code source n'était plus disponible
et deuxièmement le get
qui permettait de récupérer les codes
depuis le firebase
le code n'existait même plus
ils ont retiré le get tout court
ils ont juste laissé le poche
qui permet de vérifier
si un code est bon ou pas
et ensuite le valider
si jamais c'était un bon
mais le get ils l'ont retiré
comme ça ils se sont dit
au final ils ne servaient rien
c'est ça
c'était plus pour les admins
c'est ça
ça devait être un oubli

très intéressant
et donc t'as pu y aller finalement
c'est sur mes venus
oui carrément j'ai pris quelques vidéos
et j'ai su aller du coup avec
deux amis à moi
j'ai permis de deux amis
qui étaient avec moi à mon école
et non franchement c'était super bien
super cool
trop bien
bon le truc c'est que c'est pas fini
tu as récidivé
récemment
je sais probablement que
que ça va peut-être arriver à nouveau
tu es sur une telle lancée
que ça va pas être
ça va pas être comme ça
mais cette fois-ci ça concerne
un autre rappeur
donc PLK
que vous connaissez forcément
de quoi il s'agit cette fois
ça s'est passé à quelques jours
alors là ouais ça c'est tout récent
c'était il y a 4 jours
si j'ai pas de bêtises
4-5 jours
et donc j'ai vu que
sur mon LinkedIn
j'étais sur mon LinkedIn
sur mon feed
et du coup comme je suis à fond rap
j'ai plein de mecs qui buzz
des labels de rap et tout sur LinkedIn
donc du coup je fasse souvent leur post
et c'est là que je suis tombé
sur l'annonce du site Enamusique
du coup qui est le label de PLK
donc ils annoncent un grand
je sais pas comment expliquer ça facilement
mais c'est...
permettre à sa communauté
de participer à la sortie
de son prochain projet
genre que ce soit côté DA
comme ce soit côté parole
aussi sur les laéris
que ce soit sur les prods
et en fait c'est un système
un peu du crossfunding
je sais pas comment dit le mot
le terme
c'est quand les gens ils font des enchères en fait
ils investissent tous
je sais pas 500, 1000 euros
ça dépend les différents points
et en vrai il y a tout sur le site
je sais pas si...
C'est un financement participatif
c'est le projet de rapport
ouais c'est ça et en fait
plus t'es fan on va dire
c'était vraiment un vrai fan de PLK
tu vas venir, tu vas acheter
ton rôle du coup
il y avait boss, t'agiaire
marketing
il y avait différents rôles
sur le site
et du coup avec ça
et bah tu pouvais ensuite
être en relation avec PLK
et voir avec lui
tous les avancements
de son prochain projet
et participer clairement
en fait au développement
du prochain projet
mais toi tu ne fais pas juste
te rendre sur ce site
qu'est-ce que tu fais encore ?
bah du coup je me suis très vite amusé
parce que du coup
depuis que j'ai fait le truc
à Ninho
faut savoir que j'ai fait pas mal
de rappeurs à côté
il y en a pas mal que je peux pas citer
mais j'en ai fait pas mal
et du coup là oui
pour PLK du coup
je suis arrivé sur le site
et je me suis dit ok
déjà qu'est-ce qui est vulnérable
parce que quand tu arrives
sur un site la première question
que tu te poses
c'est pour regarder
ce qui est vulnérable
parce que si c'est un Shopify
t'as une chance sur deux
déjà que c'est mort
donc là j'ai vu
que le site déjà était fait à la main
que c'était du React
donc ça me parle
j'ai vu qu'il y avait
encore les source maps
donc la même erreur que Ninho
il y avait le code source
et donc du coup
j'ai commencé à fouiller le code
à partir de là
je me suis dit si il y a les source maps
je vais trouver quelque chose
parce que quand t'as le code source
forcément tu comprends
c'est ça exactement
et donc du coup
j'ai vécu très vite
à perçu d'une première faille
donc ça c'était un petit peu
critique en vrai
c'était sur une page publique
donc tu n'étais même pas
besoin de te login rien
une page publique à tous
tu pouvais récupérer
les informations
de tous les utilisateurs
genre tu pouvais récupérer
leur nom, prénom, adresse, e-mail
genre téléphone aussi
j'avais vraiment des infos de fou
c'est chaud ça
et il y avait vraiment tout le monde
ça veut dire dès que tu placais
une encheur sur le site
que tu disais ok par exemple
je veux devenir stagiaire
je mets 10€ pour PLK
et bah hop
tu y avais un petit formulaire
qui était en base de données
et ça c'était en base de données
après c'était stocker en BPD
et le get
qui était sur le call public
de la page web
dans la réponse
il y avait les infos
de tous les utilisateurs
mais tu sais que ça c'est en fait
c'est plus grave
que ta première histoire
parce que ça c'est
RGPD
ouais RGPD
du coup après
ce qui est bien
c'est qu'ils ont très vite réagi
je leur ai expliqué la faille
très vite
et très vite
le site io du projet de PLK
m'a contacté sur Instagram
et je lui ai dit du coup
la grove faut vraiment fixer
ça très vite et tout
et vraiment ils ont été
très chauds c'est quand moins
de 30 minutes après que je lui ai dit
le truc était fixé
donc là dessus
leur équipe a su vraiment
très vite réagir
et je pense que c'était un oubli
de leur part
parce que c'était juste un net point
à payer qui était mal
qui fonctionnait mal en fait
mais il faut qu'il charge le développeur
les...
ouais bah justement c'est
justement c'est ce que j'essaye
de montrer c'est que aujourd'hui
il y a des grands artistes
comme Nynu et PLK
qui s'entourent de grandes équipes
je dis pas en vrai
leur équipe est très bien
mais il faudrait vraiment
pour moi favoriser ce côté
d'oeuvre c'est d'avoir vraiment
des sites de fou
avec des univers de malade
genre comme j'ai fait pour
Olaïlo et PNL
tu vois c'est vraiment des trucs
originaux
tu te dis ok le mec
il a vraiment ta fait le truc
soit on la fait
juste pour qu'on comprenne bien
si tu devais l'expliquer
avec des mots simples
c'est
tu parlais donc d'une API
c'est à dire qu'il y a
un endroit où il fallait
récupérer des informations
sur leur serveur
qui était mal sécurisé c'est ça
ouais c'est ça
bah en fait c'était
directement quand tu arrivais
sur la page
j'avais ouvert la beurre pursuit
je pense que tu connais le logiciel
et ça me permettait
en fait d'intercepter
toutes les requêtes
HTTP quand tu arrives sur le site
et à partir de là
j'ai fouillé toutes les requêtes
et tout
et c'est là que je suis tombé
sur une requête
où là j'avais les users info
de personnel de plein de gens
ah t'as rien à faire
non c'est juste beurre pursuit
mais la suite
tu ne l'as même pas modifié
c'est tel quel
non non non
c'est à dire que
oh la f***
c'est encore plus chaud
ça veut dire que
continuellement
toutes les personnes
qui se rendaient sur le site
recevaient dans leur navigateur
toutes les infos personnelles
de la première année
après c'était pas affiché
c'était caché tout ça
fallait aller le trouver
mais un call-up
et retourner ces infos là
arrive sur l'ordinateur
sur la machine
hoooaah c'est...
je crois que j'ai jamais vu un truc comme ça
objectivement très original
et donc là c'est pareil
tu vois ce gros problème
tu les contactes
ils réagissent comment
bah du coup pareil
un petit peu paniqué au début
ils étaient en mode
putain c'est qui lui
en mode
il va nous faire des folies
et non du coup très vite
je me suis arrangé avec eux
je leur ai dit
bon les cas là
faut vraiment cacher ça
là j'ai récupéré les infos
de machin machin
je leur ai montré un peu
tout ce que j'ai trouvé
et j'avais aussi trouvé
un autre truc qui était critique
c'était le login
ils avaient mis pas de captcha
et pas de trottin
ça veut dire que tu pouvais
brouhûrte force à mort
du coup bon je te cache pas
que j'avais déjà les adresses email
de tous les comptes
il manquait juste le passeport
ouais ok
du coup je me suis amusé
j'ai ouvert mon petit call
il y a une nuque
j'ai mis hydra je sais pas si tu connais
et voilà j'ai créé mes passeports de liste
et j'en ai eu 4 ou 5
mais sur les 30
y'en avait d'autres qui avaient
des vrais mots de passe
et là j'ai pas su
mais par contre tu en as 4 ou 5
ou c'était très simple
t'étais déjà en contact avec eux
à ce moment là ou pas ?
non du tout
bon en vrai faites un peu cap
parce que c'est un peu
du hacking sauvage
généralement des bonnes intentions
tu l'expliques après
mais ça veut dire que
probablement que pour faire ça
pour expliquer aux gens
c'est que t'as dû envoyer
des milliers ou slash
des centaines de milliers de requêtes
à leur serveur
par utilisateur
pour trouver leur mode passe
pour le bout de temps ouais
c'est un peu mon truc
bravo alors si ça mine
t'as eu des cadeaux après
ils sont éto remerciés
pour Ninho j'ai eu l'arrêt d'Esparty
mais pour PLK
j'avoue que j'ai encore rien eu
mais par contre je suis rentré en contact
avec le CTO
et il m'a dit qu'il m'a ajouté
même mon numéro et tout maintenant
et donc on va peut-être
travailler ensemble à l'avenir
donc à voir ce que ça donne
t'as eu des avances
d'embouche peut-être
des trucs comme ça
des collables c'est hyper intéressant
et non mais tant mieux
que ça se finisse comme ça
heureusement parce que comme je disais
parfois des trucs comme ça
de découvrir des mirabilités
ça se passe pas aussi bien
ça serait hyper cliché de dire ça
mais tu pourrais te dire que
dans ce game là
peut-être tu te prends des coups de presse
sur le flévit ou quoi
mais ça va genre c'était pas trop
c'était gérable on va dire
tant mieux mon bébé
plus on réjouer
et alors c'est quoi
ta prochaine cible
là j'avoue que j'ai un peu arrêté
du coup parce que ça m'a un peu freiné
là je vais qui pas mal de monde
commencer à en parler
et comme le site de PLK
y'a encore en ligne et tout
les gars ne vous amusez pas
à faire des trucs
en vrai tout a été fixé
donc en vrai ça risque rien
mais en vrai fais attention quand même
tu m'en souhaites que
t'avais déjà trouvé d'autres failles
peut-être sur d'autres rappeurs
dont tu peux pas parler
est-ce que ça s'est passé moins bien
non en vrai tout c'est tout le temps bien passé
ok et il y a quelques fois
j'avais trouvé des failles
mais elles étaient tellement minimes
que j'ai rien dit
je les ai pas fermetés aux équipes
et j'ai rien dit
c'était souvent des petites failles
ou t'avais je sais pas
un domaine qui était pas censé apparaître
qui a ressorté
ou un truc dans le code qui a ressorté
qui fallait pas genre
les keys strip souvent ça arrive
ou les keys je sais pas
ça arrive souvent
ouais
tu viens d'oubler un truc encore
mais ça me dit quelque chose
c'est strapi c'est le
strapi c'est le module de paiement
pour payer en carte bleue sur les sites web
ok c'est autre chose
très bien
hyper intéressant
non mais en tout cas
l'explication technique est assez cool
c'est que des failles qui sont entre guillemets
dans du classique
mais c'est assez fou de le voir
appliquer un domaine
je pense qu'il y a tellement de trucs comme ça
où on se dit souvent que
trouver des failles
je pense quand tu commences la cyber sécurité
tu te dis
trouver des failles c'est impossible
genre il faut être
un craque de fou
il faut avoir 15 ans de bagages
pour trouver des failles dans les gros sites etc
et comme tu disais
parfois oui
genre tu mentionnais
un shopping-file donc un truc de e-commerce
et ben là il y a
le monde qui est passé avant toi
donc pour trouver des vulnérabilités
c'est compliqué
mais il y a plein de domaines
dont toi le rap
ou probablement
qu'il y a une maturité en sécurité
qui est vachement moindre
et donc
il y a plein de
tu peux vachement aider
des gens d'écosystèmes
différents et tout
donc il y a du taf les gars
oui
et du coup tu connais leurs équipes de dev maintenant
ouais
j'ai dit sur les réseaux
carrément je me rappelle
ils ont sorti un site pour dausi
6 mois après celui de Ninho
et là par contre ils avaient fixé le firebase
ils avaient fixé les source maps
il y avait rien j'étais allé faire un tour
ils ont appris
c'est ça
est-ce qu'ils t'ont contacté
donc ces 2 rappeurs
t'as démontré quand même
qu'ils avaient des grosses failles
dans leur site
ils t'ont contacté
pel canineune non
mais du coup j'ai eu l'occasion
de rencontrer Ninho à la rivise partie
j'ai quelques photos avec lui
mais on n'a pas pu s'échanger
sur le sujet du hacking
ils savaient qui t'étais
je pense pas
mais son équipe savait par contre
j'étais avec lui
assez lui
ouais non direct
ça aurait été marrant
du coup c'est l'occasion de les rencontrer
ouais ouais pourquoi pas
en vrai pourquoi pas
peut-être que ça va se faire un jour
après je connais leur site io
donc peut-être
tu vas finir par être connu
dans le monde du rap
mais c'est ça
futur carrière de pen testeur officiel
des managers de rappeurs en France
c'est magnifique
dans le chat
en même temps quand t'as un type
qui tient ton site entre les mains
t'as intérêt très gentil avec lui
bah ouais
les discussions normalement
se passent bien parce que
t'as pas intérêt en tant que
personne concerné
avec ça tourne mal
en tout cas
ton histoire a inspiré beaucoup
de monde
dans le chat
non vraiment c'est à dire que c'est
je pense que c'est un truc
qui parle à beaucoup de gens
que t'es jeune
t'es un corps étudiant
ouais 22 ans
et voilà t'as
déjà des
des projets perso qui sont ultra carré
t'as déjà des débuts
en pen test
et je pense que c'est assez motivant
pour plein de gens de se dire
bah ils ont pas besoin d'attendre
d'attendre longtemps quoi
ouais t'es ouf
sur la partie cyber sécurité
toi t'as appris
t'as appris tout seul
ça c'est vrai c'est full auto didact
j'avoue qu'à l'école
on n'a pas de
de filir sur ça
on a une fière developer full stack
donc on apprend un peu
de tous les langages un petit peu
donc du piton, du js, du node
tout ça
mais maintenant le hacking
c'est full auto didact
c'est euh
et tu constaterais quoi
aux gens qui veulent suivre
ton part
euh
en vrai bah le meilleur c'est
hackerloy c'est un youtuber américain
qui est très très très chaud
il fait des vidéos super bien
vraiment
donc c'est qui comprenne bien
l'anglais allez-y direct
carrément non mais ça c'est
un des trucs à dire aussi c'est
si vous voulez vous lancer
dans ce game là
encore plus dans la cyber
que dans le dev
dans le dev
déjà c'est important
de savoir parler anglais
mais dans la cyber
si vous parlez pas anglais
vous rater tellement
ouais
ouais
tout le best
tout le contenu de qualité
donc ouais
malheureusement si ça
un truc qui vous donne des boutons
vous passez à peut-être
quelque chose là
clairement
trop trop intéressant
je pense qu'on arrive
très doucement
à une fin d'émission
j'espère que
vous avez appris des trucs
et
et découvert des choses
sur les captchas
sur les vendeurs de dvd
si tu arrives vous n'en pour pas comprendre
et
et plus généralement
sur
sur ces histoires
de hacking dans le rap
dans le chat on partage d'autres
d'autres dons je sais pas si tu connais
notamment John Hammond
et Ypsac
moi j'avais vu passer des vidéos
d'un autre
on le fait jamais ça donc
j'en profite je prends un tout petit temps
pour faire du
un petit peu du partage de ressources
on pourrait le faire un peu mieux mais
mais effectivement
John Hammond j'avais vu des vidéos
où il passe
une heure et demi
t'es là tu t'es là sur YouTube
il est une heure du matin
t'as probablement d'autres choses à faire
comme tu en viens
et là tu t'en sur un ya qui
en gros
fait du reverse engineering
de malware
écrit en JavaScript
ou en VB script
ok
et c'est
ah oui c'est
ah oui oui je connais
je connais oui
surtout tu sens
ça détresse
tu sens
quand il galère et tout
et c'est
franchement
ah oui c'est pas monté quoi
c'est un live
ah oui c'est vraiment live
il fait du truc en live
et c'est d'autant plus
ouf
donc voilà
si vous avez 12 heures à perdre
vous pouvez regarder
du reverse de
je crois que j'avais regardé
un downloader de malware
donc en gros c'est la
première étape quand tu
quand tu reçois une merde
sur ta machine
c'est souvent un truc
qui fait pour échapper
aux antivirus
donc les stratégies
qui sont utilisées sont hyper intéressantes
bref
n'hésitez pas à checker
cette chaîne là
toi ou est-ce qu'on peut te suivre
si on veut voir tes prochains
projets
ouais moi c'est principalement
sur instagram en vrai
0expert.dev
et j'ai un twitter aussi
0expert underscore com
et après je viens de créer
ma chaîne youtube
donc 0expert tout court
et du coup j'ai fait
ma première vidéo
en parlant du coup
d'Oniño
et il y a d'autres vidéos
qui vont arriver
donc pour plk
et d'autres vidéos aussi
qui concernent les nft
la blockchain
un peu ce que je fais au quotidien
en fait
pour montrer un peu à tout le monde
quelle est la vie d'un développeur
à temps plein
parce que pour le coup
je passe vraiment 8h par jour
même sur mon pc accodé
et si ça se termine
tous les points sont verts
et non après en vrai
c'est
ouais pour moi
c'est instagram en vrai
la base
et dessus je pose toutes mes stories
mes sites et tout
franchement c'est la base
et franchement
honnêtement je vais suivre
surtout les projets
nous a montré en indé
et tout
c'est vraiment des trucs
à concept
c'est pas le genre de trucs
qui finit dans awards
tu vois
ou les trucs
tu as déjà postulé
je sais pas comment ça fonctionne
exactement mais
tu t'es pas déjà dit
que tu pourrais gratter
une petite place sur les awards
par exemple
en vrai j'y ai pas pensé
mais c'est sûr
ça peut être un truc
c'est sûr
ce genre de trucs à concept
là où tu virtualises
une gameboy
obligée
ils vont kiffer
on attend
on attend de voir la review
de Benjamin Code
je sais pas si tu regardes
Benjamin Code
ouais je connais bien
j'aime bien ces reviews
de sites web
ou justement c'est des trucs
un peu originaux comme ça
bref
je m'épargne
je vous souhaite tout simplement
une très très bonne soirée
franchement cette émission
était bien cool
moi j'étais content
c'est trop bien
sans accro
sans accro c'est ce qu'on se disait
à l'heure
3 parties
bien bossées
qu'est ce qu'on que demande le peuple finalement
je vous souhaite une très bonne soirée
n'hésitez pas à follow cette chaine Twitch
pour la prochaine émission
qui sera
dans 2 semaines
et puis voilà à très très bientôt
bonne soirée
tchous, merci à tous