Pourquoi Banque Populaire est la première banque des entreprises ?
Je me posais des questions sur le partage de la valeur pour mes salariés.
Elodie, ma conseillère Banque Populaire, m'a proposé une solution d'épargne salariale sur mesure,
rapide à mettre en place et que je peux piloter en ligne.
C'était simple et surtout ça a fait des heureux.
Accompagner nos clients sur tous les territoires avec des solutions adaptées à leurs besoins,
c'est ça, être la première banque des entreprises, Banque Populaire, la réussite est en voulue.
Étude Quantar PMEP, mid-2023, Quatorze Banques Populaires, Première Banque des PM.
Bonsoir à tous et bienvenue dans Underscore, votre talk show à Éthi préféré.
Il est 19h20, nous sommes à l'heure.
Et c'est parce que j'ai pas de chronique.
J'espère que vous êtes bien installés, que vous avez pris vos chips,
puisque nous avons une merveilleuse émission, ce soir avec des très beaux invités,
notamment Ronnie.
Salut !
Ronnie.
Ça va super à toi.
Tu n'as pas vu ?
Ça fait deux mois.
En tout moins deux mois.

Tu étais encore à l'étranger, tu vas encore nous raconter des trucs de fois.

Tu te poses quand même un peu ?
Non, pas du tout.
Là, beaucoup de déplacements, beaucoup de voyages, beaucoup de trucs,
mais c'est quiducif donc très content.
Trop stylé, on va parler évidemment de cyber et de trucs trop cool.
Et Tiffany, avec moi, ça va ?
Oui, très bien, merci.
Tiffany au breadzel.
Oui, avec la graignotée, tout va bien.
J'ai vu des breadzels dans le chat.
Oui.
Tout se représente.
Et sans plus attendre, je vous propose de faire des petites news.
Est-ce que vous en avez ou pas vous ?
Oui, pour une fois, je suis venu avec une news.
Comment ce que vous avez ?
C'est une news un peu perso, je fais un peu de pub.
En fait, avec ma boîte de R&D qui s'appelle Lupin & Homes,
que j'ai confondé avec mon frère, on vient juste de sortir un outil
de cyber sécurité sur la sub-iQl.
On a vu des prévues, il y a de moi, je vois.
La waiting list est sortie.
On peut faire la queue, très bien.
Et du coup, je voulais absolument flex ce site.
Oh lala !
Avec du coup, notre tool s'appelle Dépi et c'est notre petite mascotte.
C'est énorme.
Et voilà, l'objectif c'est de trouver des backdoor dans la supply chaine de nos clients.
Donc c'est la but pour les entreprises.
Vous allez voir, c'est pas de ce qu'il y a à propos pour cet émise.
Oui.
Et donc très concrètement, moi je mets mon...
je mets mes github dessus, mon entreprise.
Et toi, tu vas aller scanner en temps réel, continuellement.
Exactement.
Toutes mes dépendances.
Exactement.
Et le but c'est de trouver des points d'entrée pour mettre des backdoor
et d'arriver à compromettre le essai de nos clients.
Et donc énormément de fun, beaucoup de R&D.
Et là, on va annoncer quelques belles trouvailles
avec des grosses boîtes qui ont été pétées dans les semaines à venir.
Donc j'ai trop hâte.
Trop hâte.
Et ton timing est assez fort parce que...
Ok.
Bah non mais récemment on a eu XZ.
Ouais.
Donc c'était un problème notoire et ancien,
mais c'est le moment où il y a un coup de projecteur dessus
où tout le monde se rend compte que...
Ah ouais, d'accord.
Ok, donc en fait, une sous-sous dépendance maintenue par un gars en orégans
peut faire exploser l'interté de ma boîte.
Bon, on a eu quelques signes faibles,
c'est dans les années par exemple avec Lock 4J ou des trucs comme ça.
Mais là, c'est de plus en plus
et nous on a commencé à faire cette R&D il y a plus de trois ans.
Donc là, on est très content que...
Enfin, c'est réalise et que l'actualité suit un peu.
C'est cool.
Non, c'est très bien.
On te l'a à se réjouir qui est des...
Non, ouais.
Non, en fait j'ai toujours le point de vue d'un attaquant.
Donc quand je trouve une faille cool, je suis toujours content.
Non mais après en soi, c'est pour le bien de la boîte.
C'est pour trouver des villes avant tout le monde.
Et du coup, c'est TineWakeKingslist, tu mets ton mail et t'es...
Actuellement, les entreprises peuvent s'inscrire
et après on va les recontacter très vite pour commencer les onboardings.
Trop cool.
Le fou.
Tu as mis petite news ?
Ouais, alors j'avais pas envie de faire une news tech, trop tech.
Trop obligé.
Ouais, parce que voilà.
J'en bouffe tout le temps.
Mais je voyage beaucoup et je sais pas si vous avez vu récemment,
il y a eu un petit accident, enfin non, gros,
d'avions qui a eu beaucoup de turbulences
et puis on a de plus en plus d'avions qui...
Enfin, il y a de plus en plus de reportes d'accidents comme ça,
d'avions où il y a des grosses turbulences.
Et en fait, c'est pas juste là, c'est arrivé comme ça,
c'est une tendance.
Il y en a de plus en plus parce que tout simplement,
le petit schéma ici avec le réchauffement climatique,
on a de plus en plus de, comme ils appellent ça,
des ruptures de courant d'air.
En fait, l'altitude à laquelle les avions volent
fait qu'ils sont à côté des jet streams, comme ils disent,
donc des courants d'air qui vont très, très vite.
En fait, les changements de température font que
parfois les gros mouvements d'air chaud et d'air froid
se disruptent là, comme ils disaient,
avec des espèces de mouvements de convolution.
Et du coup, voilà, ça crée des grosses turbulences
pour les avions, notamment au-dessus des États-Unis.
Ils montrent qu'il y a certaines zones comme ça
qui sont plus, on va dire, sujets à ces turbulences que d'autres.
Et donc voilà, c'est une tendance qui s'accroît
avec le réchauffement climatique, donc pour ceux qui étaient
encore sceptiques, on voit encore une preuve en plus.
– Dans l'évolution des occurrence, c'est assez dingue.
– Oui, quand on voit le schéma sur le tweet,
j'ai trouvé ça complètement fou de voir que c'était
une tendance et que ça s'accéléré.
Et voilà, c'est manu, je trouvais ça complètement.
– Et bien, la prochaine fois que vous êtes en train de flipper dans l'avion,
vous flipperez, mais avec plus d'infos.
– Bah, ce qui dit dans l'article,
c'est qu'avant, du coup, c'était ok de se balader
même quand il n'y avait pas le signe qui dit qu'il faut s'attacher.
À la fin, ce que disait l'expert, c'était
« En fait, même quand il n'y a pas le signe,
il vaut mieux l'avoir, ça s'atture.
Parce que les turbulences, on ne les voit pas, des fois.
On ne peut pas… Le pilote, voilà, le pilote,
il peut être au droit de piloter, voir que l'air est très clair,
mais en fait, tu ne sais pas, et puis potentiellement,
tu peux perdre de l'altitude ou quoi.
Donc, voilà, gardez-vous de ceinture attaché.
– Moi, j'ai une news qui va vous remonter un peu le moral.
C'est une news Minecraft.
– Ah !
– Je décide qu'on va aller parler de Minecraft à chaque émission.
– Non, c'est une petite vidéo où vous allez voir,
sans le son, vous allez essayer de deviner
qu'est-ce que c'est que cette vidéo,
on connaît les histoires d'ordinateurs, les choses comme ça,
mais essayez de deviner ce qu'a fait cette personne dans Minecraft.
– Un écran ?
– Un programme informatique ? – Certes.
– Je connais la news, du coup, je ne dis rien. – Une calculatrice ?
– Ah non, ah, mais moi je ne sais pas.
Il a refait une calculatrice, c'est pas ça ?
– Essaye de revenir au tout début pour qu'on voit le résultat.
Vraiment tout tout début de… – Sans lire le titre, du coup.
– De la vidéo, quoi.
– Ah !
– Attends, attends, attends.
Alors, pour le coup, je n'ai même pas… Ah !
Des réseaux de Neurune ? – Oui.
– Ce gars a créé un classificateur d'image dans Minecraft.
– Mais non. – Avec un réseau de Neurune.
– Pour fort. – Combien de temps ?
– Tout seul ? – Alors, je vais vous donner un peu le contexte,
parce que je suis quand même à l'a regarder, ça m'a vraiment intrigué.
Et en gros, le concept, c'est que tu peux dessiner sur un…
tu peux dessiner sur une matrice.
Il n'a pas vraiment fait le charme. – Ouais.
– Actuellement, lui, son projet, c'est que tu peux dessiner sur une matrice un nombre
et il va être capable de deviner un chiffre plutôt
et il va être capable de trouver lequel c'est.
Alors que tu as fait un dessin au doigt, tu vois. – Ok.
– Donc il arrive à classifier entre 10…
10 occurrences entre 1, 2, 3, 4, 5, 6, 7, 8, 9, 9,
lequel de tes…
enfin, ton dessin correspond à quel chiffre ?
– Mais tu l'écris où ? – Tu l'écris dans Minecraft.
Alors je ne sais pas quelle mécanique il y a avec ta souris.
– Ah, avec ta souris ? Ok. – Dans un matrice, ouais.
– Oui, d'accord, c'est 100% Redstone, du coup.
– En fait, oui, ça marche avec de la Redstone.
Et en fait, c'est marrant. C'est à la fois fascinant
et en fait un tout petit peu ennuyeux quand tu connais juste ce genre de projet,
parce qu'à chaque fois, c'est un peu le même principe.
C'est juste que la Redstone, c'est Turing Complete, comme il dit.
Donc tu peux créer n'importe quel algorithme avec.
Et donc, tu peux reproduire des schémas électroniques
et donc des algorithmes.
Et là, ce qui fait, c'est qu'il va récupérer les poids d'un modèle de classification.
Donc littéralement, chaque neuron, les valeurs d'entrée sorties,
il va reproduire dans son monde toutes ces couches cachées
pour à la fin arriver à les afficher sur un écran.
– Mais c'est juste que avec des portes logiques finalement.
– C'est comme un style de sexe renseillé.
Mais typiquement, ce que j'ai vu, c'est que pour aller plus vite,
par exemple, il utilise un outil sainotique, il s'appelle World Edit.
Donc il n'a pas littéralement posé tous ses blocs à la main.
– Ah, OK.
– En gros, une fois que tu as fait une couche cachée, par exemple,
ou un moment où il parle d'un calcul précis,
lequel sait, mais qui est trop lent, ça lui prend trop de temps.
Et donc, tu vois, il le duplique dix fois,
ou trois fois pour essayer de diminuer les temps de calcul.
– Ouais.
– Donc, c'est du gros génie, ce que je veux dire.
Mais je trouvais ça intéressant de voir que ça peut être atteignable.
Genre, il faut pas dire que c'est que les gros tarés
qui ont mis l'heure devant eux, devant eux qui peuvent le faire.
Si vous êtes un peu malin, vous avez bon os outil,
vous regardez en piton, il y a un peu d'autométisation.
– Il va, ça se fait, ouais.
– Mais, mais, du coup, il a mis combien de temps quand même ?
– Je sais pas.
– Ah, OK.
– C'est une bonne question.
– Ça reste intéressant, même avec ça.
– Il y a plein de projets comme ça.
Il y a pas un gars qui avait refait Minecraft dans Minecraft ?
– Si !
– Si, oui, oui.
– Ou le jeu de la vie aussi dans le jeu de la vie.
– Ouais, c'est magnifique.
– Ouais, c'est ça.
Donc, n'hésitez pas à aller voir la vidéo, évidemment, en entier.
C'est vraiment intéressant, parce que, en fait,
c'est un prétexte aussi pour comprendre comment marche
une zone neurone qui classifie des trucs.
Et donc, c'est vraiment intéressant.
C'était magnifique.
– De fous.
– Et sur ce, je vous fais le petit programme de la soirée.
Aujourd'hui, on va parler, on va faire un sujet sur Nvidia
et notamment, comment Nvidia est devenu un acteur incontournable
pour le dev en IA.
Et aussi, quelles sont leurs stratégies et leurs coûts fourrés
que tout le monde ne connaît pas forcément
pour dominer ce marché et rester hegemonique.
Mais aussi, pourquoi ça va pas durer, définiment.
Vous allez voir.
Enfin, démission à un autre sujet exceptionnel,
notre invité, qui est en fait le même.
Nous racontons comment, dans un passé sombre,
il s'est retrouvé à travailler sans le savoir
pour une entreprise de Malware.
– Oh, c'est fou.
– Des gens peuvent dire ça.
– Sans le savoir.
– Exactement.
Et en fait, il est loin de ça aujourd'hui.
– C'est pour être arrivé.
– Non, alors non.
– Tu ne sais pas.
– Tu sais pas.
Et donc, vous allez voir, l'histoire est vraiment dans l'enquête.
Mais pour commencer ensemble, Ronnie, tu vas nous raconter.
Cette fois où tu as cassé la sécurité
d'une dizaine de boîtes en une nuit à la DEF CON.
– Ouais.
– Et justement, ça a rapport avec les histoires d'attaque
par supply chain, etc.
– C'est une histoire assez intéressante.
Parce que, comme t'as dit, on était à la DEF CON
avec quelques hackers.
On faisait une compétition.
– Et tu vas nous raconter tout ça après mon jingle.
– Pardon ?
– Jingle.
– Ronnie, t'es trop pressé.
Il voulait commencer tout de suite à nous raconter.
Donc, sans vous spoiler, je vais vous faire ma petite introduction.
Aujourd'hui, on reçoit Ronnie Carter, hacker éthique,
qui va nous raconter comment, lorsqu'il était à Las Vegas
pour une convention de hacking, il a découvert une faille complètement dingue
qui concerne un nombre de systèmes hallucinants,
dont des banques, des PS5, les téléphones sur Android,
les systèmes de mise à jour de Windows, d'Apple sur iOS
et même le jeu PUBG.
En quelques heures dans la nuit, tu vas comme ça,
casser la sécurité de dizaines de boîtes et gagner directement 10 000 balles
grâce à leur programme de bug booty.
C'est ce qu'on appelle une nuit rentable.
Le but, c'est surtout de comprendre comment ce type de faille
qui, encore utilisé aujourd'hui,
pourrait permettre d'infecter par exemple un Nordie ou un système
via une fausse mise à jour, par exemple.
Et c'est vraiment intéressant du point de vue du hacker.
Déjà, pour resettuer un petit peu d'où toute cette histoire est partie,
tu es à la DevCon, donc c'est une conférence de hacking
et tu es lors d'une conférence, t'es avec un pote qui est en train de s'endormir.
Exactement, et tu découvres quelque chose en gros.
En gros, on est à la DevCon avec mon ami Shlomi et quelques autres hackers
et lui, en fait, il a assisté à une conférence
et il m'a dit, Ronnie, je me suis rendu endormi pendant la conférence.
Mais à la fin, il a dit un truc intéressant
et je pense qu'on peut trouver cette faille en bug booty
et se faire énormément d'argent avec.
Alors, bon, moi j'écoute, j'entends, j'entends.
Et au début, il m'explique la faille, je vais pas rentrer tout de suite dans les détails,
il m'explique la faille et je lui dis, mais c'est pas une faille.
Et il me dit, si, parce qu'il y a des énormes boîtes qui se sont fait péter,
PUBG, Apple, Microsoft, ils ont tous payé un bounty,
il y a un truc qu'on comprend pas, il faut qu'on comprenne.
Et donc, la chose intéressante, c'est que cette personne qui a fait cette conférence
a créé un outil et l'a mis complètement open source
pour retrouver exactement la même faille.
Donc nous, on s'est empressé d'aller chercher son outil
et comprendre mieux en fait, c'était quoi cette faille de sécurité
et on a passé une nuit blanche à essayer de réimplémenter son outil,
à le faire fonctionner avec nous, nos outils qu'on a à côté
et finalement, cette nuit blanche a été très très rentable
parce que le lendemain, on a réussi à faire fonctionner.
On était en milieu de la DevCon, donc c'est la plus grosse conférence de sécurité au monde.
On était entourés de la cœur, on était dans une table au milieu
et là, on arrive à péter une énorme boîte
et juste derrière, il y a le head of security de la boîte qui arrive
et il nous connaissait et regarde nos troires dits et on est en mode, ça c'est toi.
L'histoire est folle.
Je n'ai pas le droit de dire le nom de la boîte comme d'hab
mais du coup, ils ont payé plus de 10 000 dollars pour cette faille
et donc, moi aujourd'hui mon objectif c'est de vous expliquer cette faille
et pourquoi elle était si intéressante.
C'est très actuel et justement, je trouve que le côté de la fausse mise à jour
est très angoissant du pensage du utilisateur au terme de...
Je fais mes mises à jour normales, je ne me doute jamais que derrière
peut se cacher une infection par exemple, ou un truc comme ça.
Oui, mais c'est une faille qui est un petit peu technique
donc il faut s'accrocher un petit peu mais vous allez apprendre des choses sur
comment marchent justement les mises à jour et le chiffrement de manière générale.
Exactement.
Donc tout commence d'un recherche d'un gars qui s'appelle Apo et il vient de la fin langue
et c'est un senior security specialist.
Donc, en gros, il est spécialisé dans la sécurité,
typiquement de la IoT et dans la cryptographie.
Donc ça a un sens avec sa recherche.
Et en fait, pour comprendre sa recherche, il faut qu'on revienne un peu
sur les bases de comment fonctionne Internet.
Typiquement, à chaque fois qu'on va faire une requête sur la site,
on a notre utilisateur qui va appeler une machine B
et à partir de là, on a un échange d'information.
Et cet échange d'information, on veut qu'il y ait personne qui soit au milieu.
Et donc, qu'est-ce qu'on va faire ?
On va mettre une couche de sécurité qui s'appelle le TLS.
Et le TLS, transport security layer, c'est un peu comme une carte d'identité
qu'on a nous dans notre poche tous les jours.
Et le but du TLS, c'est de dire un site, je suis tel site
et tu peux attester que je suis tel site et je ne suis pas quelqu'un d'autre.
Parce qu'imaginez-nous si au milieu du transfert d'information, quelqu'un se met au milieu
et dit, non en fait, c'est moi, lui, ça va être compliqué.
Donc on a cette carte d'identité où on a plusieurs champs qui sont donnés.
On a qui est le domaine, qui a créé le certificat et la signature.
Et donc la signature, c'est la partie l'une des parties plus intéressantes
parce que c'est un calcul mathématique qui atteste
qu'on est bien le possesseur de tel certificat et que du coup on ne peut pas le reforger.
Et donc ça, c'est comment fonctionne aujourd'hui le TLS
et je pense que vous avez sûrement entendu parler avec le petit cadnaver sur les navigateurs.
Typiquement, c'est ça le TLS.
Donc quand tu cliques sur le cadna, tu peux voir effectivement des informations supplémentaires.
Exactement.
Et typiquement, le nom qui a écrit à cet endroit-là, ça fait partie de l'identité de TLS, c'est ça ?
Exactement.
En fait, on va avoir plusieurs informations, donc comme on a dit le domaine
et celui qui a délivré le domaine, par exemple, nous sur le cardinanté,
c'est la France, la Suisse, n'importe quel pays.
Ça, c'est aussi une donnée qui est super importante dans le certificat
et on va comprendre pourquoi juste après.
Donc en théorie, quand un client demande une information à un serveur,
il reçoit le certificat et il doit vérifier trois valeurs.
La première, c'est, on a dit la signature,
donc que le certificat appartient bien à la personne qui nous l'envoie.
Alors, qui a délivré le certificat ?
Parce qu'il y a plusieurs entreprises qui peuvent délivrer les certificats,
comme nous, les cardiants-etats en Europe, peuvent être délivrées par plein de pays différents.
Et qui est le détenteur de ces certificats ?
Sauf qu'il faut savoir que cette sécurité de vérification est optionnelle.
Ce n'est pas quelque chose qui est implémenté au sein du protocole,
c'est la responsabilité du client qui demande le certificat, qui doit vérifier.
Et donc, en théorie, c'est une faille qui ne devrait absolument pas exister
et d'ailleurs qui n'existe absolument pas dans les navigateurs.
Par contre, quand on est dans le monde d'Android, iOS, l'Artoire, l'IoT,
on travaille sur une couche un peu plus basse,
et donc on n'est plus sur la sécurité des navigateurs,
et plein de gens réimplémentent leur propre vérification de certificat.
Et là, c'est où tout le bordel commence ?
Ça veut dire que c'est des projets, des développeurs, pas Chrome ou Firefox,
et qui multiplient les implémentations potentiellement mal.
Exactement.
J'ai une question, du coup, parce que quand t'accèdes à un site depuis ton téléphone,
au final, c'est le même...
Enfin, je ne sais pas comment dire, t'as accès à la même site
que si t'étais sur ton...
Ouais, je pense qu'il faut distinguer quand t'es sur ton navigateur sur ton téléphone,
et tout ce que ton téléphone fait, par exemple en arrière-plan, etc.,
en discutant lui-même avec des serveurs...
Il n'y a pas que le navigateur qui parle avec des serveurs,
t'as des applis sur ton téléphone...
Tu parles des applis, du coup, là.
Exactement.
Ou tu as le système aussi, typiquement, quand tu te connectes à ton compte Google
sur Android, ou quand tu fais une mise à jour au hasard,
tu parles à un serveur, en gros.
Ok, ok.
Et du coup, pour faire ça, normalement, on utilise des librairies
et des dépendances qui vont réussir à nous mettre cette couche de sécurité.
Mais maintenant, il y a plein de développeurs qui se disent, c'est facile.
Je vais réimplémenter cette vérification moi-même,
et même certaines librairies, en fait, sont vulnérables à des attaques assez intéressantes.
Donc, on a dit, on a trois vérifications à faire.
La signature, qu'il y a des livrets certificats, et quel détenteur du certificat.
Et, en fait, si un attaquant se met au milieu de l'échange,
il peut voir le certificat qui est envoyé, et du coup, sa vérification.
Et donc, le but du certificat, c'est de chiffrer le trafic.
Donc, après, il peut voir le certificat, mais il peut pas voir tout le trafic qu'il y a derrière.
Sauf qu'un attaquant peut prendre le certificat TLS et changer une des trois vérifications.
Et donc, imaginez, vous changez juste la signature,
et vous mettez une signature au hasard, et que le client ne vérifie pas que c'est la bonne signature,
alors il va réussir à voir le trafic.
Pareil, on peut demander à une autre boîte de nous redonner un certificat pour le site de quelqu'un d'autre.
Ça, c'est quelque chose qui est totalement autorisé à faire.
Et donc, on ressigne tout le trafic avec le certificat de l'attaquant.
Et derrière, la dernière attaque, c'est de dire, bah en fait, peut-être que le client ne vérifie
même pas qu'il est en train de parler avec le bon site.
Et donc, moi, je vais changer le domaine, et je vais mettre le certificat d'un site que j'ai vraiment.
Et donc, il y a encore une fois le certificat de l'attaquant,
et on peut voir tout le trafic en tant qu'attaquant.
Attends, donc là, tu as distingué deux types d'attaques différents, c'est ça ?
C'est trois types.
Tu as le changement de signature, le changement de détenteur du certificat, et celui qui a donné le certificat.
Ok, donc pour qu'on comprenne bien, dans le premier cas, je peux créer un nouveau certificat
qui n'est pas celui qui a été émis par le détenteur original du site.
Exactement.
Ça, ça te débloque quoi ? Ça te permet de faire quoi ?
C'est en fait, à partir du moment où le client ne vérifie pas le certificat correctement,
nous, on peut chiffrer tout le trafic avec notre propre certificat, et après, parler à l'autre site avec son certificat.
On se met au milieu, en fait, et donc, on voit tout le trafic entre le client et le serveur.
Et à partir de là, c'est-à-dire qu'on peut voir toutes les données personnelles,
et on peut modifier toutes les informations.
Mais ça, c'est que dans...
Déjà, ça, c'est le premier stade, ça ?
Oui, c'est le premier stade, mais c'est le seul stade qui a, d'ailleurs, pour cet attaque.
Ok.
Mais ce que j'ai mal compris, c'est que tu as distingué en gros trois types de changements que tu peux faire sur le certificat.
En fait, les trois servos vont faire la même chose.
Exactement.
C'est juste, si le client ne vérifie pas qu'il parle au bon serveur,
bah en fait, à partir de là, on peut faire notre attaque.
Et, ok, donc en gros, il faut que le développeur ait fait tout parfait,
si on a une des trois briques mal implémentées,
pourquoi qu'il arrive...
La méthode va changer un petit peu.
Dans un cas, tu demandes un certificat, quelqu'un d'autre pour le site.
Dans un autre cas, tu crées juste ton propre site à toi et ça fonctionnera.
Exactement.
Dans les trois cas, tu arrives à extraire le truc.
Oui, en fait, il faut que tu te imagines que quand tu vérifies ta cardidantité,
tu vérifies le nom, prénom, le gouvernement et la signature qui est derrière.
Et donc, dis-toi que moi, par exemple, je donne ma cardidantité
et je mets le nom de prénom de quelqu'un d'autre.
Ou sinon, je donne la cardidantité, mais c'est un autre pays que celui que je suis.
Ou sinon, je mets la signature de quelqu'un d'autre.
Mais finalement, ça fait la même chose.
Il passe la vérification et il dit, ok.
Donc, je peux voir tout le trafic.
Le but de TLS, c'est d'empêcher de voir le trafic.
S'il y a une mauvaise implémentation du client, parce que c'est optionnel,
alors à partir de là, on a cet attaque d'homme dans le milieu
où on peut voir tout le trafic et le modifier.
Et du coup, c'est le cas.
C'est-à-dire que les gens font mal ça.
C'est le Béhaba, tu vois.
C'est le Béhaba et en fait, c'est une faille qui existait depuis 2005.
En 2012, il y a eu des recherches là-dessus par Martin Georgiev.
Et il a dit à cette époque, en 2012,
ce type d'attaque d'oubli de vérification du certificat
est l'une des attaques les plus dangereuses sur Internet à cette époque-là.
Sauf que depuis 2012, il y a eu énormément de sécurité
et on s'est dit qu'on a tout oublié.
Mais à part lui, il n'a pas oublié.
Et il s'est dit, tu sais quoi, on va refaire le même type d'attaque
et je vais créer un outil automatisé qui va écouter tout le trafic
et juste re-générer des certificats jusqu'à que je pète une boîte.
Et lui, il a fait un truc marrant.
Il a carrément pris des étudiants,
puisque je l'ai rencontré après et il m'a raconté ça.
Et il a dit aux étudiants, ouvrez plein d'applications sur votre téléphone,
sur mon réseau wifi verrelé.
Et si vous trouvez une faille, je vous paye.
Et du coup, après, lui, il en voyait en bugbouin-ti le truc.
Et juste à la chaîne, ils ouvraient tout.
C'est exact. A la chaîne, plein de trucs, plein de pages,
jusqu'à qu'il y ait une app qui se fasse péter.
Et du coup, il a proposé ça à des étudiants.
C'était grave fun.
Salut !
Si vous appréciez Endorscore, vous pouvez nous aider de ouf !
En mettant 5 étoiles sur Apple Podcast,
en mettant une idée d'invité que vous aimeriez qu'on reçoive,
ça permet de faire remonter Endorscore.
Voilà. T'es l'une fusée.
Donc...
D'accord, mais du coup, dans cette liste-là,
parce qu'on a mentionné des noms de fou,
ok, tu te dirais une sombre application sur le Play Store
qui fait les choses mal.
D'accord.
Mais là, si c'est...
Là, on va vous montrer la démo d'appau directement,
comment lui, il a réussi à péter l'Apple Store.
Et donc, je pense que ça va être un peu plus parlant à ce moment-là.
Donc, ici...
Et ça doute de quand, ça va, parce que tu disais,
déjà en 2012, il y avait des sorties...
En août dernier.
Mais c'est incroyable.
C'est incroyable.
C'est incroyable.
Et là, ici, on voit qu'on a l'App Store à droite et à gauche.
On a l'outil.
Vous vous inquiétez pas, pour l'instant, c'est un bitam,
mais ça va devenir très clair dans quelques secondes.
Là, il vient de lancer le téléchargement d'une appli.
Exactement.
Il vient juste de lancer l'attachement de l'appli LinkedIn.
Et là, bon, ça pop en rouge, c'est très parlant.
Et dans quelques secondes,
ça, c'est toute l'information de l'application LinkedIn.
Donc, ça veut dire qu'il est en train de voir
l'installation de l'application LinkedIn
et il peut modifier son installation.
C'est-à-dire qu'il peut mettre n'importe quelle application
à la place de LinkedIn au moment où quelqu'un installe
son application sur son wifi.
La vanille.
C'est ça.
C'est dingue.
Exactement.
Alors, j'ai une question, c'est que
il pourrait aussi injecter potentiellement
une logique spéciale dans l'appli LinkedIn.
Une version modifiée de cet appli.
C'est ça le but.
C'est, en gros, sur ce type d'attaque spécifiquement.
L'objectif, c'est soit de voir l'information confidentielle,
mais ici, ce n'est pas l'information confidentielle.
Donc, il faut changer l'intégrité
pour essayer de mettre une backdoor
sur le téléphone de la victime.
Et là, effectivement, on pouvait changer
l'APK ou ici sur iOS et dire,
je mets l'application que j'écoudais moi-même
et qui va prendre toutes les données
du contact, toutes les données du téléphone.
LinkedIn, par exemple.
C'est ça.
Mais plus que LinkedIn, même,
toute l'autorisation que tu as sur iOS.
Alors, tu as des pop-ups quand même.
Exactement.
Mais de fait, tu es en position de légitimité.
C'est-à-dire que l'utilisateur de son point de vue
l'a installé une application sur le store officiel.
LinkedIn te demande accès au contact,
au photo, un truc comme ça.
Tu vas dire oui, probablement.
Exactement.
Parce que c'est flippant.
Exactement.
Et donc, pour cette faille, Apple lui a donné 10 000 dollars.
C'est toi ?
Oui, j'étais aussi étonné.
C'est pas tant que ça.
On est d'accord, hein.
Mais avec ce type de faille,
il a pété d'énormes boîtes.
Donc, on a Apple, les SDK de Azure,
donc des librairies qui vont faire
cette vérification qui sont faites pour cette vérification.
Et du coup, lui, il les a pété allègrement.
Il a fait aussi sur Windows,
où aussi, on l'aençait une certaine fonctionnalité
dans Windows et qu'on était sur son wifi.
On se prenait une backdoor automatiquement.
Et derrière, il y en a plein d'autres
qui n'ont absolument pas le droit d'en parler.
Mais sur les trois grosses failles
qu'il a réussi à parler à Defcon,
il s'est fait 70 000 dollars.
C'est incroyable.
Ah, c'est impressionnant.
Et surtout quand on parle d'une faille,
il y a un truc qui est compréhensible par tout le monde
et qui est très ancienne.
Et là, tu te dis qu'il y a un vrai souci.
Voilà, je comprends pas, moi, en fait.
Quand la sonnette d'alarme a déjà été donnée
et que ça fait plusieurs années
et que ça a l'air d'être...
J'ai l'impression de ce que tu disais,
relativement simple de pallier à ça.
Juste la vérification, en fait.
Exactement.
Pourquoi est-ce que c'est pas systématique, en fait ?
Quand on fait de la recherche en cyber-sécurité offensive,
il y a un truc assez intéressant, c'est dire
il faut chasser la connaissance qui a été perdue.
Et donc, des fois, revenir en arrière
va aider à trouver des failles futures
en réimplémentant la même logique
sur les nouvelles technologies.
Et en fait, dans les navigateurs,
cette faille a été complètement patchée
et il n'y a aucune faille de sécurité là-dessus.
Mais vu que la technologie, à l'époque,
on n'avait pas d'applications Android,
d'IOS, on n'avait pas d'IOT aussi poussées,
ben eux, ils n'ont pas pris le train
de cette sécurité là et donc,
on refait les erreurs du passé.
Et ça fait qu'on peut faire une attaque
où quelqu'un se met sur ton réseau
et peut voir ton trafic,
même si tu as le TLS, qui est normalement...
Le but, c'est de ne pas pouvoir faire cet attaque.
L'enterté du TLS, c'est de vérifier
qu'on parle bien la bonne personne.
Pour préciser aussi,
tu parles de cet attaque du coup,
de l'homme au milieu, etc.
C'est quoi le genre de scénario
où tu peux appliquer l'attaque ?
La Toi de chez toi,
tu ne peux pas non plus aller
acquis quelqu'un qui nous regarde en ce moment.
Bien sûr.
Il y a des prérequis à cet attaque,
c'est d'être ce qu'on dit adjacent au réseau.
Ça veut dire qu'il faut être sur le même wifi
et pouvoir, d'une certaine manière,
contrôler le DNS de la victime.
Ça, par exemple, c'est très facile
si on crée son propre hotspot de wifi.
Et à partir de là, on peut créer cet attaque.
Donc dans un aéroport,
dans des grosses conférences,
dans des coffee shops,
c'est une attaque qui est très réaliste.
Maintenant, c'est aussi possible
que des applications qu'on installe
peuvent aussi changer les paramètres DNS.
Ça requiert un certain niveau de privilège.
Mais dans le trait model,
donc, c'est-à-dire la surface d'attaque
des applications Android ou iOS,
si une application peut péter
une autre application, c'est pas normal.
Donc, c'est une grosse faille de sécu.
Donc là, les DNS, c'est le...
C'est un peu le registre qui dit
où se trouvent les sites sur Internet.
Si tu arrives à le modifier,
tu peux arriver à créer un embranchement
sur le...
Tu peux dire que Google.com,
c'est ton site web que tu as créé toi-même
et qui va créer cet attaque
avec le certificat et donc
tout le trafic passe par toi.
Donc toi, tu vas redonner le trafic à Google
à un moment donné, mais vu que tu es au milieu,
tu peux faire un peu ce que tu veux.
Pour ceux qui ont potentiellement craqué
des logiciels adobres un jour quand vous étiez petits,
vous avez ouvert un fichier host,
vous faisiez à ce endroit-là une redirection DNS.
Ça sent le vécu.
J'ai vu ça dans un documentaire.
Donc, tu as parlé du scénario de l'attaque
sur le réseau Wi-Fi, par exemple,
dans un coffee shop.
Est-ce qu'on pourrait imaginer,
parce que là, on parle de réseaux plus petits,
que sur des réseaux plus grands,
ce soit des vulnérabilités utiles.
Oui, tu parles d'une faille qui est très, très ancienne
et donc qui intéresserait très probablement,
je ne sais pas, des gouvernements
ou des choses comme ça.
Tu penses que ce scénario a du sens
que des agences gouvernementales
utilisent ce genre de vulnérabilités?
Alors, de ce que je sais, c'est que cette faille
a été testée sur des réseaux 4G.
Donc, il y a dans certains pays,
on peut acheter des bornes réseaux 4G
en tant que particuliers,
ce qui est déjà assez insèdent.
Et donc, cet attaque a déjà été testée
et c'est assez transparent.
Maintenant, au niveau état...
Ça veut dire quoi?
Ça veut dire que pour l'utilisateur,
il ne voit pas ce qui est en train de se passer
et il s'est fait péter alors que...
Il n'a rien vu.
Donc, en gros, c'est faisable?
C'est faisable.
Maintenant, du côté étatique,
ils ont la techno pour.
Mais ce qu'il faut savoir,
c'est comme on a dit tout à l'heure,
le cadnaver, on peut voir le certificat
et donc, on peut aussi voir qu'il a été modifié.
Donc, c'est une attaque qui est transparente
si on n'est pas un utilisateur averti,
donc, M. Lambdac,
d'un vis-à-vis jour.
Mais si les gens commencent à vérifier le certificat,
on peut voir qu'il a été verrôlé
et qu'il a été compromis.
Donc, c'est là, peut-être au niveau d'un état,
on ne voudrait pas forcément voir ce type d'attaque,
mais sur des attaques précises, c'est carrément possible.
Ok, donc ce que tu veux dire, c'est que
genre, la NSA
ne ferait pas ce genre de trucs à grande échelle
parce qu'un chercheur en cyber sécurité
pourrait très bien le voir
sur un site.
Par contre, si tu veux te faire quelqu'un de précis,
c'est parfait, quoi.
Après, ça, c'est de ce que je sais
de l'attaque.
Peut-être que des états ont plus de connaissances
sur les certificats que nous
et qui arriveraient à faire ça,
mais en tout cas, il n'y a pas de preuves à verrer
encore aujourd'hui.
Techniquement, c'est possible.
Parce que je pose la question, parce que
en fait, nous, on pense en termes de réseaux
locales, parce qu'on a accès à ça.
Il faut voir qu'un réseau par définition,
c'est plein de nœuds.
Et donc, il y a d'autres nœuds.
Par exemple, les gens qui gèrent des câbles
sous-marins, par exemple, il y a
des très gros nœuds sur Internet,
par où passent énormément de trafic,
et où ce type de vulnérabilité,
ça peut faire très mal.
En fait, cette vulnérabilité, elle remet en cause
presque 10 ans
de sécurité avec le chiffrement.
On dit, non, c'est bon, tout le monde
est en bordée là-dessus.
On sait faire ça.
Aujourd'hui, ça, ça remet en cause,
parce qu'en fait, finalement, les gens ne comprennent
pas vraiment la vérification de certificats,
mais même des développeurs très techniques.
Et comme on l'a vu, on a du Apple, du Microsoft,
qui ont refait les mêmes heures du passé.
Et en parlant avec certaines boîtes,
nous, comme tu dis, on a pété 10 boîtes
en une nuit, quand on était à la DevCon.
Et du coup, on leur envoyait toutes ces failles.
Et beaucoup ont dit,
c'est super intéressant,
c'est les boîtes les plus matures qui ont dit ça.
Et beaucoup ont dit, en fait, c'est pas éligible,
c'est pas une vraie faillite de sécurité.
Pourquoi ?
Parce qu'ils ont justifié de cette réunion.
Parce qu'ils disent que ça ne rentre pas dans le périmètre,
ça requiert une complexité d'attaque assez élevée,
parce qu'il faut être sur le même réseau.
Et donc, ils ont dit que c'est pas forcément important.
Oui, mais derrière, ils ont patché.
Il est radin, mais il est radin, pardon.
Alors ils disent ça, mais derrière, ils ont patché, je pense.
Non, je vais pas m'avancer là-dessus, mais...
Oui, ils ont patché.
Et en fait, j'ai posé la question à des gens
qui sont experts sur iOS et Android
de pourquoi ce ne serait pas une faillite de sécurité,
parce que moi, quand on me dit quelque chose,
n'est pas quelque chose, je veux comprendre pourquoi.
Et ils m'ont dit que la faille est intéressante,
seulement si la fonction qu'on est en train de pirater
ou l'application est vouée à être utilisée
dans des réseaux publics.
Donc, par exemple, une installation d'une app
sur l'App Store ou une mise à jour,
bon, là, c'est possible que quelqu'un le fasse publiquement
sur un réseau public.
Maintenant, si ton application est la 6000 d'unload,
bon, va trouver un utilisateur dans le monde entier,
ça va être un peu plus compliqué.
Donc, c'est là où il y a une complexité d'attaque
et c'est pour ça que les boîtes plus matures, plus grosses,
vont dire, on est vulnérables à ça,
parce qu'on a tellement d'utilisateurs que c'est important,
les boîtes plus petites vont dire,
finalement, c'est pas une faille.
En probabilité d'attaque, c'est très petit.
Après, il y a cette complexité d'attaque,
mais par contre, ils ont aimé un truc,
c'est que dans l'IOT, l'Artoire,
par exemple, on a parlé de la PlayStation 5,
Apple, il a réussi à péter certains jeux vidéo
qui tournaient sur la PlayStation 5,
à travers cet attaque.
Et donc...
C'est chaud, parce qu'une PlayStation 5,
il y en a dans beaucoup, beaucoup de foyers.
Et donc, ce qui est intéressant avec ça,
c'est plutôt une faille qui est sur l'IOT et l'Artoire,
et surtout qu'on a beaucoup d'IOT qui émettent
leur propre réseau wifi et qu'on peut s'y connecter,
donc dépendant de la feature, tout ça.
Mais si on fait cet attaque sur l'IOT,
on peut, pas forcément, prendre contrôle.
Et en fait, ça fait sens, parce qu'Appau,
lui, vient de l'IOT.
C'est son métier.
Et c'est comme ça qu'il a découvert,
en parlant avec lui, une bière dans un bar,
il m'a un peu tout raconté son histoire.
Et ce gars-là, il cherche des failles de 2012
et il les trouve aujourd'hui en 2024.
Et qu'est-ce qui fait que toi, tu l'avais pas trouvé ?
Je le dis généralement.
Qu'est-ce qui...
Tu pourrais dire, c'est des trucs aussi énormes.
On a l'impression qu'on a toujours tout trouvé.
Même les gens qui sont dans le Pentest et tout,
il y a un peu ce côté au début,
surtout, je pense, effrayant d'eux.
Mais tous les grands systèmes de Microsoft, etc.,
ils sont incassables maintenant, c'est fini.
Et en fait, non.
Je pense qu'on a créé une zone de confort.
Et les gens ne sont pas sortis de la zone de confort
et ont essayé de challenger le status quo.
Et donc, une fois que lui, il a dit,
« Bah vous savez quoi, moi je fais pas confiance à tous ces gens-là.
Je sors de cette zone de confort du TLS
et je vais aller chercher la faille
et je vais la reproduire encore une fois.
Et je pense que c'est là où lui, il a été très intelligent.
En fait, il faut aller revoir toutes les conférences
de ce entre 2005 et 2012.
C'est quelque chose qu'on fait activement.
Ouais, bah oui, bien sûr.
Même avant sa conférence à lui,
nous, avec certains amis, on regarde des failles de 2005
et on se pose la question, comment on peut la réappliquer aujourd'hui.
Et ça, c'est un standard dans la cyber-séculité offensive de faire ça.
Et je pense que les plus grosses failles de nouvelles,
c'est juste de la connaissance qu'on avait déjà acquis,
mais qui a été oubliée avec le temps,
avec l'évaluation des technologies.
C'est le rétro-hacking.
Exactement.
Et aujourd'hui, tu continues d'utiliser cette faille-là
et de gagner des primes,
enfin de découvrir des failles.
Ah oui, du coup, ce que j'allais dire,
qu'est-ce qui te retient de scanner
toutes les applications possibles et imaginables ?
C'est juste automatiser l'ouverture d'applications
sur toutes les pages, jusqu'à trouver la vulnérabilité.
Ça a un peu plus complexe,
mais lui, en fait, c'est pour ça qu'il avait utilisé des étudiants
pour le faire, mais son outil est automatisé
et automatisable à grande échelle,
c'est-à-dire qu'une entreprise peut prendre la logique de son outil
et dire, en fait, je vais checker tout mon système
et voir si mes applications ne sont pas vulnérables à ça.
Et donc ça, c'est quelque chose qu'on a réimplémenté
pour envoyer des failles et gagner un peu d'argent.
Mais est-ce que c'est pas une machine à cache, en fait ?
Parce que, du coup, t'as automatisé...
Je viens de l'hique.
Oui, c'est clair, t'as automatisé le...
Moi, la première question, je vais demander, c'est pourquoi t'en as parlé.
T'aurais pu le garder pour toi, t'aurais pu continuer
de faire pas mal d'argent avec, et il m'a dit,
ça m'a ennuillé.
Et je voulais que, en fait, plutôt que...
Il y a un moment où...
...qu'il y a un moment où je veux que ça fixe, en fait.
Il y a un moment où l'argent, tu l'as,
tu as la zéga, tu vois, tu es bien.
Et du coup, il y a le fun qui est rentré en compte.
C'est quoi, c'est beau ?
Je trouve ça beau.
Il voulait tourner la page, et il a dit,
au monde, prenez cette faille, faites de l'argent,
et ça va être cool.
Incroyable.
Merci Ronis, c'était vraiment une histoire de ouf.
Et surtout, je trouvais ça cool de comprendre comment
ce genre de vulnérabilité qui a l'air un peu sombre,
ça part du chiffre romant, en fait.
Comment, de manière très concrète, ça peut être utilisé
dans un scénario d'attaque, via une mise à jour,
via quelque chose comme ça.
Et de fait, c'est exactement ce qui se passe
quand vous faites des tests d'intrusion,
souvent, t'as besoin d'enchaîner
en réalité des différents types de vulnérabilité.
Donc je vais prendre le gros cliché, mais si t'arrives
à t'introduire, par exemple, physiquement,
dans une entreprise, un moment, tu vas accéder
à un port ERG45,
c'est bon, tu viens de débloquer l'accès au réseau.
Il y a le côté, et maintenant,
si tu as ce genre de vulnérabilité,
tu peux après enchaîner, accéder
au serveur critique,
au PC, du patrou, entre autres.
Exactement.
Il faut vraiment le voir, le truc, comme un maillon
utile, dans une chaîne d'attaques aussi.
C'est clair que nous,
dans la recherche, on s'arrête
à la preuve du concept, qu'une attaque
est possible, sans trop aller chercher
des scénarios. Mais par exemple,
ce truc de l'App Store, moi, j'étais
hyper choqué de savoir qu'Apple
n'avait pas réimplémenté
cette vérification.
Et donc, à part ça, on peut imaginer
des scénarios pour essayer de compromettre
des téléphones. J'aime bien
l'intrusion dans une boîte, prendre le contrôle du wifi
et peut-être attendre que quelqu'un fasse
une install. Ça fait être très, très intéressant
pour effectivement
pirater la surface d'attaque
entière d'une entreprise.
J'y avais pas pensé.
Très cool.
D'un prochain, trop intéressant.
Mais la prochaine fois que tu as des petits trovailles,
tu viendras évidemment.
Avec très grand plaisir.
Rony va nous quitter pour
les prochaines parties, mais n'hésitez pas à aller voir
Tantoul. Je sais pas si on a le lien.
Mais tu peux
dire le nom parce que je crois que
des gens sont gratis. Certes, et mit-em.
Exactement.
Là tu parles du... Ah oui!
Je parle de ton outil. Ah, Dépi.
Dépi. Donc, n'hésitez pas à aller regarder Dépi.
Et, sur sûr, on
se revoit juste tout à l'heure pour les pizzas.
Nicolas, merci beaucoup.
Jingle.
Bienvenue
déjà merci d'avoir accepté notre
invite. Ah, c'est normal, ça fait plaisir.
Je me souviens qu'on s'est déjà croisés
il y a quelques années. Je pense
il y a 3-4 ans, quand j'étais chez
OVH Clown encore. Ça fait plaisir que tu te rappelles.
Moi, je t'en m'adames. Je te dis
ah, Mathieu, mais attend, mais si je sais,
j'ai pas l'air avec ce gars, il s'était super longtemps.
La mémoire est floue. Donc,
pour expliquer, tu travaillais à l'époque chez OVH?
Yes. On dit OVH
Clown. OVH Clown.
Je te parie direct.
Aujourd'hui, tu
travailles plutôt dans LIA.
Oui, je montais ma boîte.
Ça s'appelle Gladia. C'est un des seuls
personnages féminins, des romans, de Asimov.
Mais c'est marrant, parce que je crois que je vais
tomber dessus, sans savoir que c'était toi.
Parce qu'on cherchait les solutions, justement.
De reconnaissance vocale. Exactement. Explique donc
ce que fait Gladia.
Nous, on est spécialisés dans la reconnaissance vocale. Donc, on a pris
une des grosses implementations open source,
de reconnaissance vocale, ça s'appelle Whisper, model
qui est open source.
Tu as mis open source entre autres par Nvidia.
Puis on l'a très fortement modifié, pimpé,
Feintune. Comment?
Nvidia. Pardon, Nvidia avec OpenAI.
Excuse-moi.
Mais on va parler d'Nvidia. Non, non, pas OpenAI.
Après, on l'a Feintune, réentraîné.
On a fait pas mal de choses dessus.
Beaucoup changé le réseau de nos rôles,
l'implémentation qu'il avait pour qu'il soit plus rapide et plus performant.
Et éviter beaucoup de problèmes
qu'on a déjà discuté, enfin, que vous avez déjà discuté ici.
Les hallucinations et choses comme ça. Ah, intéressant.
Beaucoup, beaucoup de problèmes, notamment
à cause de YouTube.
Mais ça, j'ai appris cette anecdote-là,
qu'en gros, on pense qu'ils ont probablement
scrapé YouTube à mort pour... Ah, c'est pas en pensant, c'est sûr.
C'est sûr, oui. Comment c'est ça?
J'ai des potes qui travaillent chez Google,
qui m'ont expliqué
ce que eux voyaient
passer le trafic qui sortait et...
Oui, eux, ils ont un avis.
Donc ils voyaient le trafic sortir
et eux demandaient d'avoir accès aux vidéos
pour entraîner leur IA, et en leur disant
qu'on interne, non, tu peux pas, mais aimer les autres.
Les autres y font et pas nous.
Et du coup, ça a résulté en plein de choses.
C'est hyper intéressant, parce que
quand tu fais des vidéos YouTube, souvent, ce que tu vas faire,
c'est que tu vas mettre de la musique de fond,
tu vas avoir le sous-titrage.
Souvent, à la fin de l'émission, on remercie nos partenaires
ou whatever,
pardon, ou whatever,
et en fait, ce que tu vas trouver
à la fin, tu vas trouver un sous-titrage
avec ta musique de fond. Et il va apprendre l'algorithme,
il dit, bah tiens, ces fréquences-là,
ou cette représentation spectrale-là,
ça représente telle mot et telle mot.
Alors qu'en fait, c'est ton jingle
qui a eu en plus la transcription.
Ça vient polluer, ça génère beaucoup
d'allustinations, une chose comme ça.
C'est pour ça que parfois, Whisper est dit
merci à tous pour cette vidéo.
Qui est la dernière chose que tu dis quand tu fais une vidéo ?
Merci à tous, abonnez-vous,
mettez des likes, etc.
J'ai déjà remarqué que ça, il hallucinait souvent
et disait souvent des trucs comme ça.
Exactement, bah ça vient de là. En fait, une sur-représentation
et quand il sait pas quoi mettre, il dit, bah, qu'est-ce qui ressemble plus,
bah j'entends de la musique.
Ah bah, il y a un chose que j'ai vu avec de la musique,
c'était thank you, merci, subscribe, etc.
Trop marrant.
C'est que probabiliste Whisper.
Trop stylé. Mais tu sais quoi,
on va en discuter parce que nous, on a vraiment
des besoins en transcription et le truc comme ça.
Mais, ça n'est pas de ça, dont on parle aujourd'hui,
puisque on va parler de deux sujets
relativement différents.
Un qui concerne Nvidia
et un qui concerne ta vie passé, ta vie d'un temps
et qui va être très intéressant.
Je suis très content qu'on nous parle,
parce que déjà à l'époque, j'avais entendu ton pot yast
il y a très longtemps. Je suis à nos limites sécus.
Exact.
Attention, référence très précise et c'était pas si l'un.
Donc je suis content qu'on en puisse en reparler.
Peut-être le temps a passé en plus.
Le temps a passé, je me t'ai fait pas mal bâcher à l'époque, on en reparle.
C'est vrai, bah pas ici.
Ici, ça va être au contraire intéressant.
Et voilà, ça c'est pour tout tout à l'heure,
mais pour l'instant, on va un peu parler de Nvidia.
Je fais même un petit intro.
Nvidia était jusqu'ici une entreprise
surtout connue par des joueurs de jeux vidéo
pour ces cartes graphiques.
Ils ont aussi attiré l'attention
de plus de monde quand leur cours de bourse a explosé
ces derniers mois,
où ils sont devenus 3e entreprise valorisée au monde,
notamment grâce à l'IA générative.
Mais par contre,
ce que beaucoup de gens ne connaissent pas,
c'est aussi le côté sombre de Nvidia,
leur situation de quasi-monopole
qui renfoue pas mal de géants de la tech,
mais aussi certaines de leurs pratiques
carrément limites,
dont on va parler aujourd'hui.
Et pour comprendre ce monde des cartes graphiques
et les coulisses de l'IA,
on parle aujourd'hui avec Jean-Louis
qui a passé dans les data centers
qui travaillent aujourd'hui dans une boîte cette dia
et on va parler ensemble justement de l'histoire d'Nvidia
et des fils ou triques que tout le monde ne connaît pas forcément.
Merci d'avoir accepté notre invitation.
Est-ce que, déjà,
pour commencer, on peut restituer
où est-ce que ça commence Nvidia
et c'est quoi, à la base de leur business ?
Je vais pas te faire l'histoire complète d'Nvidia
parce que je suis même pas sûre d'avoir toutes les bonnes références,
mais Jensen Wang,
l'un des fondateurs,
avant de travailler dans une compagnie qui faisait des puces,
elle aussi, il a décidé de faire sa propre compagnie.
Et originalement, Nvidia était surtout concentrée
sur le processus graphique.
Le traitement graphique,
c'est ce qu'on appelle des pipelines,
c'est que je suis désolé, c'est un mot technique anglais,
mais qui est tout à fait valable.
Quand tu vas faire le traitement d'image,
par exemple, soit en vidéo, soit dans les jeux vidéo,
tu vas avoir un certain nombre d'étapes
qui vont se suivre les unes aux autres, rasterization,
enfin, tu as plein de modules.
Et les cartes qu'on va se défaire à l'origine,
c'est que sur la carte imprimée,
tu avais un processeur pour chaque étape.
Et physiquement, la carte ressemblait
à il y a telle étape,
on va faire le processing, on a telle autre puce
qui sert à ça. Et tu voyais le flux qui venait.
Donc, c'est les vieilles cartes, quand moi j'étais jeune,
je sais pas si t'étais né, non, je sais pas.
Et quand j'étais jeune,
c'est les très vieilles cartes, les radéons,
les choses comme ça, les très vieilles cartes.
Et le génie de Jensen,
à un moment donné, c'est de dire, en fait,
tous ces calculs-là, finalement, ils sont
tous globalement les mêmes en mathématiques,
ce sont des calculs de matrice, des calculs matriciels.
Donc, il a dit plutôt que d'avoir plein de puces,
on va faire une seule puce
qui va être capable de faire des calculs matriciels.
Et tous les calculs qu'on faisait avant
qui étaient spécifiques, on va tout faire
les formules mathématiques
pour qu'elles fitent dans des calculs matriciels.
Il a un peu généralisé
les problèmes classiques d'imagerions.
Exactement. Et donc, avant, tu parlais de GPU,
donc Graphical Processing Unit,
Graphic Processing Unit, et après, tu as parlé
des GPGPUs, General Purpose,
Graphical Processing Unit.
Donc, tu as commencé à faire ça,
très intéressant, un calcul matriciel,
mais qui adore les matrices ?
Les scientifiques, le calcul météo,
les simulations de mécanique des fluides,
et donc, tu as commencé à voir arriver ça
sur tout ce qu'on appelle le CAD,
donc tout ce qui est conception
insister par ordinateur, mécanique des fluides,
comme j'ai disais, simulation, le calcul scientifique, etc.
Et ça, c'était avant
les réseaux neurones ? Ah ouais, ouais, bien avant.
Bien avant, parce que tout le monde fait du calcul matriciel,
c'est que des histoires de rotation, de choses que ça.
Même quand tu fais du calcul quantique,
puisque vous en avez parlé à quelque temps,
les calculs quantiques, ce ne sont que des opérations matricielles
de rotation. Et les jeux vidéo aussi ?
Et les jeux vidéo, finalement, maintenant, sont plus que ça.
Donc, ils ont après, ils ont beaucoup amélioré,
ils ont beaucoup optimisé, maintenant,
t'as des nouveaux éléments sur les cartes
ou des simulations
de lumière, de choses comme ça.
Mais sans entrer trop en le détail,
ils ont réussi à faire la technologie
qui permet de généraliser
le calcul, qui est beaucoup utilisé
effectivement en jeux vidéo et
en calcul scientifique. Et les réseaux neurones sont arrivés
après. Et justement,
qu'est-ce qui est, c'est quoi cette transition
où on passe de, je sais, générer
des images de jeux vidéo à,
je suis utilisé pour entraîner des réseaux neurones.
On a l'impression que ces détaches n'ont rien à voir.
On a l'impression que ces détaches, tout est matrice.
Mais en vrai, tu peux représenter le monde
par des matrices et des espaces vectoriaires
et par des vecteurs. En fait, tout le monde entier
est présenté par des vecteurs, même le texte.
Peut-être on parle d'openhia
et on a parlé beaucoup
dans le passé, on parle de l'AMA aussi.
On parlait d'embedding et de choses comme ça.
En fait, c'est quoi, ce sont des vecteurs.
Et en fait, tout est vecteur.
Et donc les jeux vidéo,
tu peux représenter des vecteurs, en fait, entre les points.
Quand tu regardes un jeu vidéo, c'est quoi ?
Tu vas pas faire le cercle complet de la tête d'une personne.
Ce que tu vas faire, c'est que tu vas approximer
avec des points entre eux et tu vas chercher
à corréler les courbes
avec des points et des lignes
qui vont ressembler le plus possible.
C'est pour ça qu'avant, vous voyez, la Rackroft,
par exemple, c'est très triangulaire.
Donc tout ce jeu d'interpolation, c'est des calculs matriciels.
Et les réseaux neurones, en fait,
c'est absolument magique, parce qu'en fait,
les réseaux neurones, c'est exactement la même chose.
Tu vas avoir, au lieu de généraliser
l'intelligence ou la reconnaissance d'image,
en disant, on peut détecter toutes les fonctions,
on peut déterminer toutes les fonctions d'un réseau neurone.
Ce que tu vas faire, c'est que tu vas approximer le cerveau.
Et tu vas faire plein de toutes petites fonctions.
Exactement, comme j'expliquais, le visage,
il est pas rond, mais il va avoir des petites droites
qui se mettent ensemble.
Et si tu es suffisamment fin, tu vas avoir l'impression
que c'est circulaire,
tu vas faire la même chose sur l'aiseau neurone.
Au lieu d'avoir un cerveau complet,
tu vas faire plein de petites fonctions,
ce qu'on appelle les rônes neurones,
qui sont des droites affines,
des petites droites, on va dire,
qui s'activent ou qui s'activent pas,
et qui, assemblées tout au sein d'un même système,
vont te donner l'impression que c'est fluide,
un peu comme ta ton visage, qui devient rond
alors que tu as plein de petites courbes.
Donc les réseaux neurones, en réalité,
c'est plein de petits neurones qui, assemblées,
donnent une fonction qui est hyper flexible
par rapport à la représentation de la réalité, pour te faire simple.
Donc c'est pour ça qu'aujourd'hui,
pour faire tourner mon IAMA, j'ai besoin
d'un GPU, d'un T-R-R-Y.
D'un GPU, parce que tu passes ta vie à faire ça.
Tu prends un texte,
tu vas chercher dans la mémoire comment ce texte
tu le représentes en nombre, ça va devenir un vecteur,
ce qu'on appelle les embeddings, c'est un gros mot pour dire ça.
Tout ça, tu vas les mettre dans un gros espace mathématique,
où il y a plein d'autres nombres,
et tu vas dire, ce vecteur,
si je mets ce vecteur-là, donc cette suite de nombres,
quel est le nombre le plus probable à arriver après,
donc là tu fais un calcul matriciel,
ce qu'on appelle les mécanismes d'attention,
et tu vas chercher quel est le nombre suivant,
et le nombre suivant, il se trouve que c'est je, tu, vous, etc.
C'est très intéressant,
dans la perspective hardware
à la toute dernière couche,
à quoi ça ressemble.
Edvidia, c'est pas les seuls fabriquants de quadgâts.
Non, oui.
C'est les plus connus dans le jeu vidéo, mais partout en réalité.
Pourquoi est-ce que,
rétrospectivement, ce sont eux qui se sont imposés,
comme partenaires indispensables
pour entraîner tous les modèles d'IA ?
Déjà, ils sont très bons,
et on va pas se mentir.
Ça a été les premiers à faire ces GPGPU.
Donc, déjà, t'as ce truc-là.
La qualité du produit,
elle est effectivement au cœur de réussite
de la plupart des boîtes, on va pas se mentir.
Maintenant, la deuxième chose qu'ils ont fait,
ils ont été très très bons là-dedans
par rapport aux autres qui ont fait du hardware,
c'est qu'ils ont tout de suite attaqué les couches software.
Et en fait, quand tu fais du levier
sur les cartes graphiques,
effectivement, t'as le hardware.
La deuxième couche qu'on connaît tous, c'est le driver.
Et tu as une petite couche au-dessus
qui s'appelle CUDA.
C'est la manière dont tu vas exprimer
des instructions au driver
pour qu'ils puissent utiliser au maximum
la carte graphique.
Et puis au-dessus, t'as un certain nombre de librairies
qui se mettent dessus, CUDA, etc.
qui sont des librairies CUDA
qui vont utiliser pour les deep neural network.
Tu vas avoir CUBLAS pour le basic linear à l'algebra, etc.
Et au-dessus, tu vas avoir
des frameworks qu'on connaît tous,
SPYTORCH, TENSOR FLOW, etc.
Et eux, là où ils ont été très bons,
c'est que tout de suite ils sont allés
dans les couches très hautes du logiciel
pour attraper la communauté,
abstraire la difficulté, c'est une chose qu'on moins bien fait
des gens comme AMD, Wintel, etc.
Donc tout de suite, ça leur a donné énormément
de visibilité
sur la roadmap et de compatibilité.
– Ça c'est hyper intéressant.
Parce que, du coup, toutes ces couches-là,
c'est ça qui permet un développeur
qui n'est pas forcément un expert en cartes graphiques,
d'écrire par exemple du code Python
dans la langue qu'il connaît,
c'est un scientifique, il utilise probablement
un Python, par exemple,
il va écrire ce code-là et toutes les couches
que tu as décrites lui permettent d'utiliser
à son plein potentiel la carte qui vient d'acheter, c'est ça ?
– Exactement, ça va compiler en ce qu'on appelle des graphes,
des graphes d'exécution
sur la carte graphique. Et un autre qui a fait ça,
qui était très malin, c'était Google.
Parce que Google, ils ont leur carte à eux
qui nous puissent un peu spécifiques au réseau de neurone,
qui s'appelle les TPU, Tonsor Processing Unit,
ça veut dire ce que ça veut dire,
c'est les calculs de Tenseur dont les calculs de vecteurs.
Et eux, ils ont été très bons aussi
quand ils ont sorti Tonsor Flow,
ils n'ont pas sorti Tonsor Flow pour faire plaisir,
ils ont sorti Tonsor Flow parce qu'ils savaient
que leur système n'était pas général purpose.
C'était pas un système général,
ça aurait été trop compliqué à programmer,
parce que les opérations matricielles c'est simple,
mais leur hardware à eux, il est très spécifique au réseau de neurone.
Donc ce qu'ils ont fait, c'est que tout de suite, ils ont sorti Tonsor Flow
avec une intégration native au hardware
pour être sûr qu'il y avait une adoption du hardware
qui était liée au software.
Mais si ils n'avaient pas été derrière Tonsor Flow,
le TPU n'aurait jamais fonctionné.
Donc en fait, il y a une sorte de jumelage
entre le cilicium,
vraiment l'objet,
et l'outil qui va être utilisé par les programmeurs.
Et surtout, ça leur garantit que
tous les prochains modèles qui seront compatibles avec Tonsor Flow,
Google pourra les utiliser aussi, ça va dans l'autre sens ?
Ça va dans l'autre sens, même si Google
je pense qu'ils n'ont pas vraiment besoin de ça,
ils mettent 1,5 milliards par trimestre.
Ils mettent 6 milliards par an sur la table,
ils n'ont pas besoin de nous, de l'occurrence,
ça ne t'inquiète pas.
Mais oui, ça leur a assuré surtout d'avoir
une visibilité,
il y a énormément de papiers de recherche qui se sont calés sur Tonsor Flow
pendant des années, ensuite PyTorch est arrivé,
PyTorch était beaucoup plus agnostique,
ça venait de Facebook.
D'ailleurs, vous avez vu les derniers chiffres
de Facebook, les achats de cartes graphiques chez Nvidia
sont absolument monstrueux.
Mais en tout cas, ça leur a assuré
pendant un certain temps d'avoir
un pool de recherche chez eux,
d'avoir du recrutement dans les universités
parce que c'est beaucoup la bataille des talents.
Donc ils ont un peu imposé ce standard
qui leur a permis d'être en avance pendant quelques années.
Et c'est marrant que tu parles de Facebook justement,
parce que tout le monde achète des cartes,
on l'a vu, tout le monde achète en très très grande quantité
des cartes Nvidia,
et si j'ai bien compris,
c'est difficile en réalité.
Il y a une telle tension, une telle demande
sur le marché des cartes graphiques
pour l'IA, entre autres,
qu'en fait, il y a une file d'attente, non ?
Il y a une file d'attente qui est... En fait, il y a 3 choses
qui se sont combinées.
Il y a de la géopolitique là-dedans, en nerd,
mais on peut être passionné de géopolitique aussi.
T'as eu le Covid.
C'est venu le Covid taper
dans un des problèmes,
c'est que tu parles de silicon,
mais à mon avis, le silicon vient de quelque part.
Et c'est des extractions de minerais.
Et la plus grosse source de ces minerais
qui sont nécessaires à la fabrication de ces puces,
c'est en Chine.
Donc le Covid-19
blocage de la Chine,
c'est le premier problème géopolitique.
T'en as eu un deuxième
qui est arrivé, il s'appelle le Taiwan.
Et l'un des plus gros producteurs de puce au monde,
c'est TSMC,
c'est ce qu'on appelle un fonder.
Je sais que Mathieu, on avait parlé il y a quelques temps
sur la mission.
C'est une fonderie.
Et la fonderie, en gros, son job,
c'est qu'on lui donne des plans
et il exécute la fabrication de ce qu'on lui a donné sur les plans.
Et donc c'est pareil avec les tensions avec Taiwan.
C'est un petit peu tendu.
Et donc ce qui s'est passé effectivement,
c'est qu'il y a eu la révolution de LIA qui est arrivée
et qui en plus fait un boom là-dessus.
Ces trois événements combinés
ont fait que c'est devenu un petit peu compliqué
les fonder, donc ceux qui fabriquent.
Sachant qu'il y en a très peu
qui ont de fabriques,
enfin de va dire de fournisseurs
de hardware type Intel AMD etc.
qu'on leur propre chaîne.
Intel là, mais ce n'est pas le cas de la plupart des gens.
Donc ça a été un petit peu chaud.
Et ce qui est marrant, c'est que
comme tu disais, Facebook a fait des commandes gigantesques.
Ils ont un peu peut-être senti le nez en avance
pour se faire un énorme stock.
Et en même temps,
anecdote rigolote, nous on était invités
à une conférence chez META
pour parler notamment de leur nouveauté en IA.
Et ça se voyait que
ils n'étaient pas rechartés d'avoir
que Nvidia en option
pour pouvoir entraîner leur modèle.
Il roule spéter un peu.
On aimerait bien qu'il y en ait d'autres quand même.
Mais qu'est-ce qu'il fait ?
Pourquoi ils sont les seuls ?
Si ces cartes sont super bonnes.
Pourquoi il y a une certaine résistance
des géants de la tech envers Nvidia ?
Qu'est-ce qu'ils font de...
qu'on n'aime pas ?
Bon comme toute compagnie
qui a plus ou moins le monopole,
c'était une manière d'imposer tes prix
qui est un sujet
effectivement important et à considérer.
Ils ont une faible...
Il ne négocie pas par exemple ?
Je ne peux pas trop rentrer en les détails.
Mais c'est des gens qui ont
une vision de leur marché et de leurs prix
qui ont le monopole. Ils font ce qu'ils veulent.
Tu ne négocies pas le prix
de tes ads Facebook.
Facebook a le monopole sur tes données
et tu ne négocies pas le prix de tes ads
sur LinkedIn. LinkedIn a le monopole.
Quand tu as un marché monopolistique,
tout de suite tu subis les prix d'une certaine manière.
Donc déjà tu as cette première chose-là.
Il y a plein d'autres sujets qui viennent
mais il y a énormément de batailles
sur la priorité effectivement
dans les files d'attente.
Il y a beaucoup de providers,
je dirais pas les noms, mais qui se chip,
qui se volent les lignes de commande.
En disant, il y avait un 100 000,
tu me le donnes et tu me l'amènes à moi
et je passe en priorité etc. Donc là c'est même plus un sujet de payer.
Donc quand tu es rendu là
ou tu te dis le sujet c'est pas de payer,
le sujet c'est d'avoir,
je pense effectivement que tu choisis ce que tu veux.
Tu n'es pas prêt à tout.
Je ne vais pas rentrer dans les détails des prix,
ce n'est pas moi qui gère ces choses-là,
mais effectivement
c'est leur façon de fonctionner
et il y a eu un autre truc aussi
qui m'a fait penser à une anecdote
à la mort de Johnny Aliday.
T'as eu deux types de réactions,
t'as les gens d'Amazon pendant la nuit,
ils ont pris leur téléphone, ils ont appelé Universal,
ils ont dit, je veux toutes les discoussographies
de Johnny Aliday dans mon stock.
Parce qu'ils savaient que l'an-demain, à 8-10h,
ça allait être les CV.
Ils savaient que tout le monde allait acheter.
Et puis t'as plus les anciens
qui se rêvaient, 8-10h,
il y avait ou l'eau, il faudrait qu'on achète Johnny Aliday, hop, il n'y avait plus rien chez les fournisseurs.
T'as un petit peu le même effet
dans les GPU
où les gens ils essaient
de préhompter avant que les vagues arrivent
et
parfois
quand tu t'appelles NVIDIA
par exemple et que t'as vu le Covid arriver
et que tu vois les trucs arriver,
tu peux très bien aller voir les fournisseurs,
TSMC, les fonderies
ce qu'on appelle les gens qui fabriquent les puces
et dire, bah moi je préhompe
toute ta chaîne de production pendant les 24 prochains mois
et si t'es un petit peu
moins business orienté,
que t'es un peu plus loin à la détente
et que tu t'appelles, je sais pas, AMD
ou autre et que tu viens et tu dis
que tu as besoin de supply chain
et tu fais bah non désolé le mec avant il est passé, il a tout raflé
il a acheté tous les 10 de Johnny Aliday
il n'y a plus de dispo basé
un peu ça aussi qui se passe et à ce moment-là
tu dois faire des arbitrages sur la supply
donc tu vois ils sont aussi très agressifs là-dessus
il n'y a pas de réglementation justement là-dessus
je suis pas suffisamment reconnaisseur
pour te dire, mais en tout cas je sais
qu'il y a des choses comme ça qui se sont passées
t'as mentionné un des arguments forts aussi de NVIDIA
c'était pas seulement la qualité la puce
c'était cette histoire de CUDA
c'est un mot que pas mal de gens connaissent en finale
parce que typiquement si t'as déjà fait du montage vidéo
tu vois qu'il faut utiliser le rendu CUDA
on ne sait pas trop ce que c'est
CUDA mais est-ce que AMD
a un équivalent et pourquoi
ça n'a pas pris si c'est le cas ?
c'est une bonne question, ils ont un équivalent
qui s'appelle ROKM
qui est pas mal aussi
mais en fait c'est toute une question
de communauté et d'open source
si l'open source ne prend pas derrière
il n'y a aucun tout
la NVIDIA est vraiment super bon
c'est qu'ils ont eu la masse critique de développeurs
en fait Jensen Rang a mis beaucoup d'efforts
sur le software
alors que c'est un fournisseur des hardware
c'est complètement antithétique
mais en fait comme je disais sur TensorFlow
l'adoption passe par le software
et à partir du moment où t'as la masse critique
t'arrives à créer un bon soft qui est absorbé
par la communauté et la communauté s'emballe
et fait le soft pour toi
chose qu'AMD n'a jamais poussé
dans son ADN d'aller faire du soft
donc là ils se sont pris les doigts dans la porte
et ils sont en train de corriger ça
Facebook aide beaucoup
il y a quelques boîtes qui sont montées
qui sont spécifiques à faire ça
et tout le monde pousse AMD
qui est de la concurrence
tout le monde veut ça
je veux dire nous les premiers
je veux dire le prix des cartes
après tu ressens dans le prix de vente
des cloud, tu regardes une MI 200
MI 300
je parle même pas de l'achat
je parle du prix de vente qui est corrélé
au prix d'achat du cloud pro-header
ça n'a rien à voir en termes de puissance
et puis il y a un autre truc que AMD a fait très mal
mais ça c'est mon avis perso
quand l'IA est arrivée
je parle de GNAIA et un peu tout ça
il y a 4-5 ans
le pari d'NVIDIA a été de réduire
ce qu'on appelle la précision
on parle souvent de 32 bits
on entend un peu parler de ça
je parlais de la matrice
comment tu représentes
une valeur dans la matrice
et tu vas utiliser 32 bits pour la présenter
et NVIDIA a compris quelque chose
de très smart
quand on a tous fait à l'école
si tu fais 10 puissance
moins 3
et tu veux un résultat en 10 puissance
moins 3, bah en fait t'as trop calculé
parce que 10 x 3 x 10 moins 3 ça fait 10 moins 6
donc il y a la moitié
de ton opération qui part à la poubelle
quand tu fais des quelques dérégions
tu passes ton temps à faire ça
tu fais A plus B x C
et donc la précision que t'as sur B
et la précision que t'as sur C
c'est un peu technique mais B x C c'est 10 moins 3 x 10 moins 3
et toi à la fin tu voulais un résultat
en 10 moins 3
je suis pas si clair mais en B x C t'as tenu 10 moins 6
t'as fait trop de calcul
t'as consommé trop de calcul
et là où NVIDIA était super malin
ils ont dit en fait si je veux un résultat
admettons en 10 moins 3
bah en fait je pourrais juste calculer moins
en faisant B x C
et utiliser moins de calcul
et avoir deux fois plus de processeurs
à la fin le résultat est le même c'est 10 moins 3
et donc ils ont réduit le nombre de chiffres
après la virgule ?
de représentation et en fait ça s'appelle
des floating point
floating point 16 donc tu vas représenter
sur 16 bits
enfin 32 bits plus
une chose en 16 bits x une chose en 16 bits
te donne un résultat en 32 bits
et AMD donc là tu utilises
tu peux compacter plus d'infrastructures
plus de calcul sur une superficie moindre
donc j'expliquerai après comment ils ont triché
et AMD est partie dans l'autre sens
ils sont partis en 64 bits
64 bits ça sert beaucoup pour la météo
les choses comme ça mais ça sert moins sur LIA
donc tu retrouves avec des cartes
qu'on a même taille
mais qui finalement ont plus de puissance
calcul théorique mais dans la réalité pour les raisons de ronde
tu t'en fous en fait
c'est à dire que la taille des octets disponibles
avait un impact direct
sur les futurs usages
très lointains de ces cartes graphiques
et donc sur le fait qu'il y en a un qui a très bien marché
pas l'autre
ce qui veut pas dire que les cartes graphiques de AMD
sont moins bien c'est juste qu'elles sont
elles sont meilleures pour d'autres usages
qui aujourd'hui
ont un impact
financier moindre et du coup
elles sont moins intéressantes
mais en fait ils ont pas
tu parlais de ça ils ont fait ce choix là
il y a 4-5 ans tu disais
ils ont pas senti
que la vague intelligence artificielle
machine learning parce qu'il y a 4-5 ans
on parlait pas de genéaï mais on parlait quand même
de réseaux de neurones
est-ce que c'était par à ce moment-là
évident dans le monde de la carte graphique
que c'était l'autre direction qu'il fallait prendre ?
c'est dur moi je suis pas dans les gens qui designent
mais quand tu designes une puce
probablement que t'as 3-4 ans en engineering
avant de commencer à le mettre en prod
et t'as probablement 12-24 mois
avant que la carte est sorte
donc ça veut dire il faut que tu planifies 5 ans à l'avance
de ce qui va se passer sur la zone neuro
on est à l'époque
je te dis ça c'était il y a 2-3 ans
5 ans ça fait 7 ans en arrière
il y a 7 ans en arrière je veux dire on faisait
du imaginette qui tournait en 30 secondes
pour qu'on entre un chat d'un chien donc
c'est là où Nvidia
et Jensen j'ai la chance de le rencontrer
le mec est juste brillant
c'est juste un mec
on peut pas imaginer c'est des gens qui pensent différemment
mais ça a été une faute
d'AMD très forte
et pour revenir sur Nvidia
on parlait un petit peu de triche
ils ont un petit peu triché parce que
ces puissances de calcul en 32 bits on appelle ça
des teraflops
je pense que tout le monde on parait de teraflops
c'est le nombre de flops floating operation per seconde
qu'on est capable de sortir
et floating operation per seconde ça se compte en 32 bits
et eux ils ont dit
les cartes elles sont toujours de la même taille
on peut pas vraiment consommer
plus que 300-400 watts
la taille de gravure
elle commence à être un peu limitée
parce qu'au bout d'un moment
tes électrons commencent à sauter donc tu perds de la qualité
donc il y a un moment donné
on va falloir qu'on ne comparte plus d'opération
physiquement sur la carte
donc tu es un petit peu emmerdé
donc c'est là ils se disent si je garde le même nombre
de coups d'accord
mais que je les coupe en deux sur la moitié des opérations
je fais du 16x16
bon si le résultat est en 32 bits
bon le résultat il est là
les gens sont contents
donc ils ont appelé ça des tonsureflops
ça s'écrit teflops aussi
terraflops, tonsureflops
et le résultat est en 32 bits aussi
et donc ils ont dit bah voilà nos cartes elles sont deux fois plus puissantes
en teflops mais sauf que le teflop est plus le même
et t'as un...
ah ouais c'est des petits malins
c'est des petits malins
donc les mecs ils ont commencé évidemment à faire leur niveau
l'objectif c'était quoi ? c'était de
continuer une progression linéaire c'est ça ?
exactement
ça c'est un truc que j'ai appris
à l'époque chez OVH
Claude avec Octave
qui est un mec ultra-orient
c'est que tout dans le Claude est linéaire
tout, si t'achètes des bases de données
tu vas avoir une linéarité du prix par rapport à la RAM
parce que c'est l'élément bloquant
quand tu fais des bases de données, si t'achètes du web
ou du CPU, ça va être évidemment le CPU
si tu achètes du storage ça va être linéaire par rapport au storage
et on y a qu'est-ce qui est linéaire ?
ça c'est super dur parce que les cartes graphiques elles ont des générations
donc tu vois des gâbes de prix mais tu les comprends pas
et tu peux diviser par tout ce que tu veux
mais à la fin, la linéarité vient du
teraflop
sauf que le teraflop il a fait ça
et à un moment donné ta taille de gravure est limitée
et il a commencé à faire ça
donc ils ont dit, moi si je veux vendre plus cher et faire plus de pognon
il faut faire que je continue ma courbe
mais elle est en train de s'écraser à cause de la taille de gravure
donc on va mettre une autre unité
on change de calibre
et on va recommencer une pente
et donc tu peux revendre des cartes
sur un nouvel axe avec une linéarité
c'est un peu factice quoi
pas factice, à la fin tu obtien ce pourquoi tu payes
ça te regarde pas
comment ils ont géré la compression
les choses comme ça
mais ça a mis très longtemps
les nouvelles générations, les A100
donc ça a vraiment commencé avec les A100
la nouvelle génération tout le monde s'est regardé dans le cloud
en raison à quel prix on applique
parce qu'en fait on a perdu une autre mesure
c'est un peu comme si tu sortais une nouvelle RAM
qui t'a coûté plus cher
qu'à un algot de compression dans la RAM spécifique
et tout le monde se regarde d'ailleurs
c'est ce qui est arrivé avec le NVMe
tout le monde se regarde en disant
combien on va s'aligner sur le prix
quelle est la nouvelle linéarité
au niveau du business model
donc tout le monde s'est regardé, les A100
elles ont mis beaucoup de temps à avoir leur pricing
parce que tout le monde s'est beaucoup regardé
maintenant que les A100 sont sortis
les A100 qui sont la même techno
la même type de génération
on a aligné les prix et puis on s'était parti
c'était assez marrant à regarder
et justement en parlant de prix tout ça
on parle de GPU de t'as mentionné des A100
ça c'est vraiment des trucs d'entreprises de data center
typiquement utilisé dans le IA
justement c'est ce cachette Facebook
typiquement pour entraîner le prix
de la RAM par exemple
ce que connaissent les gens
typiquement les gamers c'est plutôt les cartes d'entraînement
ou là pour le coup
de l'extérieur en tout cas
la bataille est plutôt en train de changer
où on a eu une domination historique
complète de Nvidia
et où aujourd'hui ça commence
notamment dans le jeu vidéo
pour plein d'autres applications
devenir logique et intéressant de prendre du AMD
voir plus compétitif parfois
mais sur l'IA aussi t'inquiète
est-ce que ça peut durer éternellement
cette hegemonie dans l'entreprise ?
non c'est impossible parce qu'à un moment donné
t'as la pression du marché
je vais rester poli mais
ça embête tout le monde
vous avez compris le mot
ça fait embêter tout le monde
on va dire de payer très cher
des produits
où tu vois de l'autre côté
que tu vois une autre bagnole
entre guillemets
tu dis elle n'est pas compatible avec la route
ou c'est pas le même standard
c'est pas le même standard des rails
ou je sais pas quoi
tu vois le train il est moins cher
il va aussi vite
tu dis je le paye 10 fois le prix le ticket
et puis à un moment donné
toute la comété se dit ok on va prendre nos piollets
on va venir on va démonter les rails
et puis on va faire un truc qui est adaptable
et c'est ce que fait le gros travail que fait Reggingface
si tu regardes Reggingface c'est hyper intéressant
donc qui est-ce que tu peux expliquer re-situé ?
ah pardon excuse moi Reggingface
je suis trop dans mon truc
Reggingface c'est la boîte
française
cocorico même si ils sont basés pas mal aux us
qui a démocratisé
les modèles
d'IA dans l'open source
on va simplifier donc ils ont pris
à l'origine beaucoup d'implémentation
des chercheurs des papiers de recherche
ou des implementations un peu crados
que faisaient les chercheurs sur leur épau
ils ont mis ça tout dans un bloc
et puis ils ont dit on peut consulter les choses
et puis ils ont commencé à faire une hybride
qui s'appelle Transformer et maintenant c'est devenu le standard
et Reggingface
ils sont très bien financés
je sais pas leur valo ça va être 4 milliards
4.5 milliards
4.5 milliards tu vois
easy peasy quoi
mais c'est eux qui prennent les piollets du coup
eux évidemment ils sont leaders là dessus
ils sont un peu en train de faire la gestion de projet
ils sont aussi avec des gens brillants chez eux
absolument brillants
Commu qui est incroyable
leur Chief Science
Julien, Thomas
Clément et tout ça sont des gens absolument brillants
tu vois
mais sans la force de la commu
ça va être quand même compliqué de venir
casser ce truc là
mais si tu regardes leur financement c'est drôle
le dernier rang de financement je sais pas certains qui en ont eu besoin
mais ils l'ont fait et tu regardes qui s'est mis derrière
et ce sont que
pas que mais une grosse partie de gens qui font du hardware
genre du Qualcomm
du AMD, du machin qui sont venus mettre le pognon
mais la raison est simple c'est
on met du pognon à tel valo
mais en échange on veut du dedicated
du temps dédié dans la roadmap
pour que votre libre qui est un peu le standard maintenant
tu vois on parlait de Pytorch, le truc légèrement au dessus de Pytorch
que votre standard maintenant
puisse être capable de supporter d'autres hardware
en gros ils ont raté la vague
la première vague Pytorch etc
là ils veulent vraiment pas rater
un personne veut rater celle d'après
c'est une mine absolument monstrueuse
d'argent
qui est en train de débouler
mais c'est des très bonnes cartes
tu vois tout le monde regarde la MI200 et MI300
tout le monde l'arguer
donc ça va bouger je donne peut-être
18-24 mois avant que ça soit vraiment
chamboulé
et les Claude Providers sont les premiers que tu regardes AWS
ils ont des puisses qui s'appellent une ferroncia
ils ont acheté une boîte israélienne
qui s'appelle Ana Purna
et ils ont dit
on a un cost
ce qu'on appelle un capex
du capital Xpence
donc l'achat de la machine
tu me dis si c'est trop technique
qui va être amorti sur plusieurs années
par exemple sur les 5 prochaines années
en gros je simplifie
je vais pas faire d'argent donc je vais rembourser ma machine
un peu comme si tu achetais de l'immobilier
sauf que tu le fais sur 20 ans dans l'immobilier
tu fais un chose sur 5 ans avec du hardware
mais tu dis je serais cash flow positif
dans 5 ans
je vais rembourser mon capex
donc tout le reste sera bonus
et en fait quand tu as ces réseaux de morts
là
tu sens bien
que la pression
tu vas pas continuer à payer des cartes
une fortune
quand tu vois que le principal élément
dans ton capex de ta machine d'IA
c'est un fournisseur
tu vas commencer à foutre la pression
en disant faut qu'on réduise ce coup là incompressible
comment on fait
et au bout d'un moment quand la pression est trop forte pour un industriel
tu dis qui est-ce que je peux financer
pour que dans 3 ans ou 4 ans
je puisse réduire mes coûts pour la prochaine génération
des coûts de par 2 ou 3
donc c'était inévitable
ça ne peut pas exister
à mon donné la pression du marché est trop forte et ça serait équilibre
l'équilibre des forces
comment l'équipe des forces ?
est-ce qu'il y a
est-ce que tu connais d'autres concurrents
qu'auteurs que AMD
qui pourraient rentrer dans cette course ?
j'ai envie de te dire une telle
mais tellement déçu dans les dernières années
moi ce que j'ai de l'extérieur
ce que j'ai constaté c'est que
leurs nouveaux GPU
plutôt pour le grand public
qui sont dans les 200 300 etc
plutôt est une très bonne réception
après les mises à jour de travailler
mais à la fin aujourd'hui
c'est considéré comme un plutôt bon achat
si tu ne fais pas des trucs trop spécifiques
ou tu as besoin d'un Nvidia
nécessairement
mais du point de vue grand public
là où AMD
va très bien
tu as 3 gammes entre guillemets
mais tu as le grand public
après tu vas avoir la gamme cloud
dans la gamme cloud tu as 2 gammes entre guillemets
tu as ce qu'on appelle le VDI
le virtual desktop
tout ce qui est
virtual desktop
des windows à distance et tout comme ça
et puis tu as toute la gamme
qui va être plutôt calcul scientifique
et ensuite tu as une troisième gamme
qui se rejoint un peu avec la gamme data center
qui est la gamme calcul scientifique
mais ce qu'on appelle HPC
high performance computing donc calcul scientifique
c'est les mastodontes
les trucs c'est énorme, en France on a Genzaï
il y en a un autre qui va être ouvert
enfin c'est des trucs qui servent à la météo
tu vois typiquement BUL
vous avez parlé peut-être
d'Atoz qui se casse un peu la figure
à Atoz ça avait acheté une belle boîte
qui s'appelait BUL à l'époque
qui faisait des supers simulateurs de bombes atomiques
des effets de la bombes atomiques
de la météo etc. ils installent des supers calculateurs partout
donc tu vois tu as un peu cette gamme super calculateur
on parle
des fourberies un peu Nvidia
ils ont racheté une très belle boîte
à l'époque
j'ai oublié le nom
en bref qui faisait des très très bonnes
cartes réseaux très hautes performances
du coup tu vois ils ont un peu
le cartes graphique
ils avaient la carte réseaux très haute performance
pour faire de l'interco ce qu'on appelle
infinite band très très haute vitesse de réseaux
en fibre optique et ils voulaient racheter
ARM pour avoir
CPU, GPU et réseaux
quand t'as les trois là
tu vois là
t'as les infinite stone
au même endroit
donc ils ont pas réussi ARM qui était une techno
sous licence UK
parce que l'Europe a mis une levée de boucliers
mais
dans le genre des trucs
qui ont fait un petit peu, ils ont créé un monopole
y compris sur le calcul scientifique
et en tout cas donc Intel
plutôt bon
peut-être sur la partie grand public mais sur la partie
data center pour l'instant
nous en tant que scientifique on ne voit pas trop arriver
on voit plutôt AMD arriver que Intel pour l'instant
mais j'aimerais bien qu'Intel soit dans la boucle
tu vois que c'est George Hott
non
c'est le gars qui fait Tiny Corp
c'est-à-dire la mode
non c'était juste pour savoir
parce qu'en gros lui
il conçoit des
des boîtes
plutôt orienté contumeur
aux petites entreprises à mon avis
et son objectif
enfin le constat il est super simple
c'est que quand tu regardes les gammes de prix
aujourd'hui
en termes de
coups par VRAM
par Gigad VRAM
il n'y a rien de mieux que
déjà du AMD
enfin Cotain Vidya tu veux dire rien de mieux que
des 4000 90s ou des choses comme ça
100% lié avec toi
48-10 c'est le...

et Cotain AMD c'est encore plus délirant
tu peux avoir des 24 Gigas de VRAM
pour littéralement rien
et lui il est parti de te constater c'est dis
du coup je vais concevoir une boîte
avec 8 cartes graphiques à l'intérieur
je me charge de
parce qu'il existe des tutos pour faire ça
même chez soi mais je me charge de
tout le bordel de faire en sorte que
le système soit stable, fonctionne, soit alimenté correctement
je te fais une jolie...
tu as une petite prévue si tu montes
si tu montes un peu au-dessus
je te fais une jolie boîte autour avec un petit écran
et en gros j'essaye de devenir
la prochaine référence pour LIA local
où les gens pourront acheter ça chez eux
et avoir leur
leur propre super ordinateur
et faire tourner les modèles les plus
les plus mass-tock
c'est aussi peut-être je pense plus pour les petites entreprises
honnêtement qui ont des besoins mais pas assez
pour qu'ils ne veulent pas se ruiner
en facture de cloud
et du coup lui raconte justement
le fait qu'il avait tout prévu pour AMD
mais qu'en gros il se heurte à des murs
sur des détails très bas niveau
sur la manière dont il...
sur des bugs qu'il a trouvés dans leur driver
et qui sont infernaux et qui veulent absolument
ils veulent rien... rien open source
et qui ne comprend pas parce que
et du coup c'est assez marrant à suivre cette histoire
et du coup on allait à...
tu as la même chose sur Nvidia un tout
je me souviens c'était les...
à l'époque peut-être les A6000
que j'avais eus mais ça du coup je peux en parler
donc je peux pas en parler mais
il y a des trucs que je peux parler
dont je peux parler mais t'as des choses par exemple
dans les librais que je parlais de...
de ce qu'on appelle mix précision
donc les fameux 10.3 x 10.3 là
donc je parlais le...
donc c'est appel le mix précision
je me souviens avoir vu
hardcoded
je dis ça marche pas et on a pas des bonnes perves et tout
donc je vais commencer à voir dans les couches
et je trouve
if
cuda virgin
excusez-moi
égal égal 8.0
alors tu peux faire telle opération sinon on va te faire voir
et en fait c'était hardcoded dans le...
dans le soft de pilotage
que
même si t'avais les opérateurs sur la carte
ce qu'on appelle les opérateurs
donc des floating point 8
16 etc
tu pouvais pas parce que le hardware déclare
une certaine version
et c'était 8.0
sauf que la 1 des cartes que j'avais c'était 8.5
qui était supérieur etc
donc t'avais juste un tout petit signe à changer
en cpp
la pêlerie de la PR est jamais été acceptée
théoriquement tu pourrais utiliser des haçans
en faisant du supérieur ou égal à 7.0
qui sont l'ancienne génération mais c'est pareil
les poules rééquipent
c'était un détail qui t'empêche
tout petit détail qui t'empêche d'utiliser
il y a pas mal
t'as aussi des bugs de driver
moi je sais que les dernières mois on avait testé
je vais pas cracher sur Nvidia, ils font du bon boulot
donc j'ai pas envie qu'ils me blaclissent
mais sinon je suis dans la merde
mais les L40S
dernièrement qu'on avait testé
on a eu beaucoup de problèmes de driver
c'est pas que tout le monde a un c'est très dur le hardware
par contre ce que tu as montré
c'est très intéressant
parce que théoriquement t'es pas supposé faire du business
avec des cartes consumer quand t'es chez Nvidia
mais t'es pas censé
les mettre en location par exemple
t'es pas supposé faire du cloud avec
donc c'est du cloud mais c'est limite
c'est limite
je pense que lui
sa taille c'est
plutôt une alternative au cloud
vous pouvez l'acheter chez vous
et si ça se trouve
je pense que c'est bon
mais t'es à la limite
en réalité t'es pas supposé faire
effectivement de la location dans le cloud
donc oui ça passe
mais un cloud
la frontière est floue
ça va encore il fait pas de la revente
tu pourrais pas faire de la revente de licence Nvidia
et quand tu as des drivers par exemple
Windows ou des choses comme ça
tu peux pas faire de la revente
d'un logiciel
qui est distribué type Nvidia type
driver windows donc quand tu commences à faire
du what's-k'on-appel du video et du virtual desktop
et des choses comme ça
je suis pas lawyers donc je vais faire attention
mais tu rentres dans des zones un peu grises du cloud
et même si je savais je pourrais pas le dire
je pense que dans tous les cas
on a perdu un peu de jour sur cette fin
mais c'était pas bon
non mais tu rigoles
c'est rare à pouvoir discuter de ces coulisses
de ces entrailles
qui sont hyper importantes en fait
parce que c'est ça
qui impacte le plus en réalité tout ce qui est en train de se passer
les jeux de pouvoirs
les trucs comme ça c'est très intéressant
mais ce que je te propose c'est de passer à notre troisième partie
et où là on va
rentrer plutôt on va complètement changer le sujet
et parler de ton histoire à toi
notamment une histoire de dingue que tu as vécu
il y a déjà quelques années
c'est parti jingle
et oui parce que tu as eu un passé dans les data centers
mais pas que
aujourd'hui on reçoit un invité qui a eu
une histoire absolument incroyable
il a été embauché pour faire de la big data
pour un moteur de recherche social
sauf que très vite
il va s'apercevoir que derrière cette vitrine
l'entreprise pour laquelle il travaille
diffuse littéralement des malware
c'est ce qui s'appelle
l'industrie du bundle
et sans le savoir
vous en avez forcément déjà entendu parler
voire même été victime malgré vous
on va évidemment
ter le nom de l'entreprise concernée
pour éviter toute poursuite
mais grâce justement à notre invité
vous allez enfin comprendre
de quoi il s'agit
comment cette industrie fonctionne
et comment les ingénieurs tout à fait
peuvent se retrouver malgré eux
au milieu de ce genre de business assez sombre
déjà merci beaucoup
d'avoir accepté notre invitation
je refais mes intros
parce qu'après c'est découpé
on précise que c'est une vieille histoire
donc cet entreprise ça fait
des années que tu n'as plus de liens
avec elle etc
désormais tu travailles dans une lia
et bah tu vas pouvoir nous raconter
je ne peux pas répondre à ça
non mais pour commencer
par le début comment
déjà tu te fais embaucher par cette boîte mystère
et à quel moment tu te dis
ça c'est quand même bizarre
c'est quoi le moment
où tu découvres
en fait
donc moi c'était il y a longtemps
c'est à faire bientôt 10 ans
ça fait un bouton
alors déjà t'as dit malware dans l'intro
c'est plutôt adware que malware
ça va être intéressant de voir
où est la frontière et quelle pratique
dépassent cette ligne
on va en parler je te vois
donc moi j'habitais à Montréal
à l'époque et je travaillais effectivement dans le big data
et il y avait pas mal
de conf de meet up
c'est excité par la tech comme vous avez vu
et donc
effectivement on discute et puis à travers
les discussions
après avec les pizzas et tout ça
je suis contacté
par une des personnes qui est là
et qui me dit bah moi je travaille
pour je faille dire le nom de la compagnie
donc je dis pas le nom de la compagnie
on serait super intéressé pour que tu viennes bosser chez nous
et eux ils avaient le plus gros cluster de Montréal
donc c'était un cluster à l'époque
enfin faut se remettre ouais c'était il y a 10 ans on n'est rien
c'était un cluster qui faisait 150 nœuds
donc c'était
à l'époque conséquent quand tu faisais du big data
je suis avec 4 nœuds à se battre en duel
enfin tu vois on était
donc là tu dis ouais trop cool
et ils avaient une bonne réputation
ils faisaient beaucoup de talk tech
c'était une des boîtes les plus réputées en termes de tech
donc je dis ouais c'est dingue
social search engine tu dis ouais c'est le nouveau
google donc l'idée c'était
attends parce que si je décris trop on retrouvera la boîte
donc je vais faire attention
en tout cas social search engine
l'idée c'est effectivement d'avoir une recherche
qui est personnalisée par rapport à toi et ton groupe d'amis
on va faire ça donc quand tu cherches un bar
ça va pas donner un bar
ça va donner le bar sur lequel tes amis ont fait du fort square
des choses comme ça et donc ça va être beaucoup plus personnalisé
où ils ont liké facebook ou instagram etc
c'était connecté à terrazo
et exact, à terrazo
pour l'instant très inoffensif
ouais mais franchement boîte normal
même super sexy quoi vraiment super beau cluster tech
et tout donc embaucher
machin je me pointe le premier jour
c'était vraiment
t'arrives tu vois trop bien les bureaux
super cool start up baby foot machin
premier stand up
9h30 du mat
voilà sinon
ouais ce qu'on peut faire
c'est que sur l'extension on pourrait se mettre
dans le proxy on met notre proxy
et on redirige la requête et tout
je regarde je dis mais
c'est du man in the middle ça
ouais enfin non on dit pas ça
enfin du coup je suis le premier jour
première heure tu te dis après que t'es dis bonjour
tu te dis je comprends pas trop
ce qui veut le dire au stand up
j'ai pas très bien saisi
le stand up c'est la première réunion
dans les start up
tu dis je comprends pas trop bon ok
et puis tu continues et puis là ça te parle de trafic
on va regarder les logs et tout
tu commences à regarder et très vite
tu te rends compte que t'es en train de
se niffer tout le trafic qui passe
donc tu dis d'où vient le trafic
tu as dit on reçoit 50 gigas de logs
dans la journée mais ça vient d'où
qu'est ce que c'est le trafic c'est les utilisateurs
les recherches qu'ils font c'est
puis tu dis mais comment on se fait l'acquisition
de ces utilisateurs et puis comment on récupère le trafic
puis là tu commences à comprendre qu'en fait
on se niffe ce qui se passe sur la bécane
faut qu'on détaille exactement
ce que ça veut dire en haut
il y a une extension dans l'histoire
qui est installée sur
une machine
je sais même pas si on dit extension
il y a un logiciel qui se met quelque part
sur une machine
ce que tu expliques c'est que
quand on vient se positionner
dans le proxy
qu'on fait du man in the middle
ou qu'on sniffe le trafic
très concrètement
tout ce que moi je fais sur mon ardit
je vais sur des files et je vais sur des comme ça
tous les recherches de porn
de aww, de amazon
de tout
tout part sur les serveurs
de la boîte que tu viens de découvrir
tu sniffes tous les urls tout ce qui se passe
donc
t'as dit proxy mais pas que proxy
parce qu'en fait tu te fais vite
saucer par les antivirus
au début c'est une extension
l'extension t'as google chrome qui arrive
attends il y a un truc un peu chelou
là dedans
je vais rentrer en détail de qu'est ce qui est chelou
mais au fur et à mesure il disait un truc un peu chelou
du coup on va faire un proxy
tu commences à changer les settings du navigateur
pour le navigateur c'est pas assez
on va se mettre au niveau de la machine
tu dis
tu vois je découvre en même temps que ce qu'on discute
je dis mais il se passe quoi, qu'est ce qu'on fait etc
et au fur et à mesure
tu te rends compte
que ce qu'on installe sur la machine
en fait c'est quelque chose qui va
à chaque fois que tu vas naviguer
sur un engin de recherche que ce soit
amazon
whatever tu sais tous les IAO etc
il va
prendre le javascript donc l'élément
de rendu dynamique du navigateur
j'utilise des mots francophones
tu vois
et il va décaler
les éléments pour
injecter ses propres pubs
mais c'est les
les tout le bar
ou les trucs comme ça
c'est l'industrie du tout le bar avant
où t'avais plein de merde qui se mettaient
et à la fin ça te changeait
ton navigateur, ton engin de recherche paradé
faut et tout ce truc là
et toi tu découvres qui font ça
je me découvre qui font ça, j'ai dit
mais c'est un truc de ouf, on est en train de récrire le gs
donc on accès au javascript, on accès
au navigateur, on accès
à l'URL, on accès à la session, on accès à tout
donc tu te dis c'est un peu dingue
et puis là tu découvres
donc je parlerais de l'installation après
mais tu découvres que les antivirus
sont un peu après toi, normal
le premier à venir te défoncer c'est google
parce que tu viens lui bouffer son trafic
donc google il fait attention, t'es en train de me dégommer
mes ads et mon revenu
donc comme j'ai accès à google chrome
et au store je te dégage du store
sauf que tu trouves un moyen
d'installer donc on va en discuter après
et tu trouves dans le système
et quand tu es dans le système
tu as des petits bouts de programme
pour les navigateurs
qui s'appellent des DLL sur windows
donc des DLL c'est des éléments
unitaires
pour exécuter des petits bouts de programme
pour faire simple
et donc tu viens et tu dis je m'appelle
j'exagère c'est pas le nom que ça
mais chrome.dll est à ce petit bout
de chrome, chrome c'est plein de petits DLL
plein de petits bouts de programme qui font chacun leur sauce
et tu en as un il vient
il dit moi maintenant je remplace le truc
de chrome et je suis
ça porte le même nom point DLL
et à partir de maintenant c'est moi qui exécute toutes les pages
Oh wow, il faisait ça
c'est une dingue
pour re-stuyer l'échelle
c'est à dire que au début
juste vous essayez d'utiliser les fonctionnalités
de proxy pour...
Non non non, au début
tu passes par une extension de navigateur
après tu essaies de rediriger le trafic
avec le truc
et là en fait
parce que tu te fais déglinguer
tu te fais déglinguer
ce que tu as décrit c'est des techniques
de malo air
typiquement
c'est ce que tu fais quand tu veux pas te faire détecter
par un système c'est que tu viens
switcher un élément qui est régulièrement utilisé
une DLL comme tu dis
et injecter du code malifia
donc là on a un niveau de fourbril qui est dingue
et 2 et c'est assez chaud quand même
c'est quand même assez chaud mais tu te fais quand même topper
parce que quand tu as ce genre
de footprint que tu t'appelles
genre
du VLC, du chrome
etc. si tu veux
les signatures de tes binaire
donc les signatures des softwares elles sont assez connues
des antivirus d'ailleurs c'est comme ça qu'ils font
ils font une signature des fichiers
et ils savent que telle fichier qui s'appelle
un tel avec telle signature
c'est bon tu le laisses passer donc là tu as quand même un truc
où tu dis attend cette version
whatever de chrome avec ce DLL
là il est un petit peu chelou le DLL
donc tu dis comment tu fais pour pas
être détecté donc là tu rentres dans un autre
niveau
tu dis le seul moyen
que je sois pas détecté c'est que je sois jamais scanner
par l'antivirus et là tu commences
à avoir des techniques d'offuscation
de fichier ou quand le truc il vient scanner
les secteurs de ton disque alors là je suis pas
très bon donc je vais me faire bâcher par la communauté
à coeur et j'en suis désolé parce que là
c'est mon niveau qui s'arrête
tu rediriges dans mon souvenir
tu rediriges les blogs vers genre blocnotes etc
le scan tu rediriges vers blocnotes et compagnie
donc en fait ton DLL est jamais scanner
donc c'est ces trucs là
c'est les techniques
de masquage
de masquage de backdoor
ou de choses comme ça qui sont relativement poussées
et
ou ça commence
à devenir improbable
d'imaginer que les fameux ingénieurs de la tech
dont tu nous parlais
ça va pas exactement ce qu'ils sont en train de faire
ouais
pendant ces stand up
est ce qu'il y a des
genre qui disent c'est bizarre
ce qu'on fait là c'est quand même
bizarre
ou tout le monde est au care
ben t'es
moi j'étais pas à l'aise du tout
moi je suis pas sur une cyber
même si je suis pas à coeur ou je suis pas de la communauté cyber
donc c'est pareil, détendez-vous
me bâchez pas parce que je me suis fait bâcher pour en avoir parlé de cette histoire
mais
très honnêtement
ouais moi j'étais choquée
et tu devais pas être le seul non ?

c'est quoi les deux profils des gens ?
des gens normaux
franchement c'est horrible à dire
mais putain on s'éclatait de fou
tu fais des trucs de malades
c'est techniquement
ok j'ai fait du ovh après
où je me suis éclaté
c'était beaucoup plus pro
etc
mais je me suis vraiment éclaté
donc c'était un peu pris
ou
effectivement t'as le plaisir
et puis en même temps t'as la prise de conscience
je sais pas comment t'expliquer
je suis mal à l'aise avec ça
je pense que
effectivement justement c'est pour ça qu'il y a le contexte important
c'était il y a 10 ans
le jeune ingénieur etc
et voilà tu découvres ce truc là au fur et à mesure
j'en suis pas fier mais au moins j'en parle
tu vois je dis maintenant méfiez-vous
mais rétrospectivement c'est plus intéressant
au contraire de faire ce témoignage là
et qu'on découvre justement c'est quoi les rouages
qui font qu'une entreprise
qui de l'extérieur
se part d'un
d'intention noble etc
peut parfois cacher des trucs de fou
et juste pour rentrer un petit peu dans le détail maintenant
parce que c'est ça qui est aussi intéressant
tu parles de pratiques
qui sont complètement dingues d'intrusion
dans des systèmes au plus profonds
comment il disait
en gros comment il distribuait
moi j'ai envie d'appeler ça un malou
mais comment il distribuait le logiciel
je fais aille pas attention
même là on est en haut de l'anis
je fais très très très attention
il y a prescription maintenant
mais j'ai pas
peut-être a posé une super bonne question
qui était sur comment les gens ne s'en rendent pas compte
et même les techniques que j'ai parlé d'offuscation
sont pas du niveau de tout le monde
et donc je fais
très très très gaffe à ce que je dis
il y a certaines nations
je vais pas nommer parce que je vais me faire défoncer
qui sont très très bonnes en cyber
voilà vous savez très bien
de qui je parle plutôt à l'est
sud-est
je sais pas donner nom
qui ont des gens
qui durant leur service militaire
travaillent dans des unités
qui sont spécialisés
dans la cyberattaque
ou cyber défense
et qui en sortant reprennent cette expertise
et font du bise avec
y compris vendre des petits bouts de virus
qui te permettent ou des petits bouts
de systèmes d'offuscation, des petites techniques
diverses pour un prix
je sais pas 60 000 balles
tu peux acheter des trucs
sur le marché
c'est même t'es rendu un petit peu plus loin
que juste une boîte qui fait ça
c'est un écosystème complet
ouais
et pour aller dans la distribution
c'est encore plus
hardcore je vais me faire déglinguer
c'est chaud
donc je vais pas donner les noms
c'est pareil des sites
même si je sais que les gens voudront et qu'ils trouveraient
mais déjà j'en fais déjà beaucoup à venir parler
parce que je te jure
c'est quand même assez chaud
vous allez juste
en direct
sur VLC
tu cherches sur Google, tu cherches VLC
téléchargement VLC
tu vas trouver très rapidement
que les premiers liens
sont pas forcément les premiers liens qui viennent de VLC
VLC.org ou quelque chose comme ça
je sais plus le officiel
mais tu vas trouver un certain nombre de sites qui payent
voilà j'ai rien dit
et donc
je dis rien
je lis ce que je vois à l'écran
je dis pas que c'est eux
mais en tout cas
Videolan est pas le premier
ou en tout cas pas dans les premiers
donc il y a des gens qui payent
donc je dis pas que c'est eux parce que je veux pas de problèmes
mais qui payent pour arriver dans les top scores
pour VLC
qui est un des logiciels plus déchargés de la planète
c'est genre un milliard de downloads
par jour un truc comme ça
enfin je sais pas les chiffres du monde rjb
et autres mais voilà ils connaissent mieux
et donc il y a des gens qui font ce qu'on appelle
industrie du bundle c'est à dire qu'ils vont prendre
un logiciel qui est très très connu
très bien utilisé PDF reader
enfin Foxy Trader
VLC enfin vous les connaissez tous
les trucs audacity enfin ce genre de trucs
et qui vont
dire bah non au fourni donc tu cliques sur download
tu as un point XZ
setup point XZ qui arrive sur ta machine
tu doubles cliques
tu fais suivant suivant suivant
quitter c'est terminé
et puis t'as un petit bouton qui dit mode expert
et si tu fais le test
tu appuies sur le petit bouton qui s'appelle mode expert
et vous allez voir toutes les merde qui vont être installées avec
et donc en fait il va cocher par défaut
tel software
tel software
qui quand tu vas regarder veut te dire ah moi j'améliore
le disque cleaning
moi je fais si je fais ça
mais en réalité ces gens là ce qu'ils font
alors je dis pas les disques cleaners tu vois j'ai pris exprès
des trucs pour me je fais vraiment attention
à ce que je dis mais en tout cas ils vont bundler
un certain nombre d'autres
softwares qui sont fait des boîtes comme celles
avec qui je bosse et qui paient pour être installé
donc par exemple tu vas payer
je te dis me bêtise de 10 cents
pour être installé avec VLC
parce que VLC a un très bon software
un très bon ideal
customer profile
donc il y a une réputation
bah tu vas dire en fait
tous les prix varient mais en gros tu vas avoir
des prix, c'est un marché secondaire
c'est un truc de foot de trading
bah moi je suis prêt à payer 10 cents pour être installé avec
VLC
en Allemagne sur
Windows 10
et tu vas dire mais en Inde
VLC Windows 10 machin je suis prêt à payer 2 cents
parce que je connais
combien va me rapporter chaque
personne sur lequel
chaque profil
donc en Allemagne par exemple je te dis Allemagne c'est
les meilleures trafiques
ils cliquent sur les pubs et ils achètent
tu vois
en gros tu payes pour le droit d'être installé sur la machine
de quelqu'un qui probablement
n'est pas un homme
il a cliqué sur suivant, suivant, suivant
c'est un peu une zone grise, c'est accepte les conditions
de loin
en fermant les yeux ça ressemble juste à
installer des
un cheval de troie
alors que c'est une zone grise
puisque légalement j'imagine qu'il y a
légalement tu as le droit, tu fais ce que tu veux
quand tu cliques la personne elle a
donné son consentement, elle a cliqué suivant
elle n'a pas cliqué le mode expert
ce qui est dingue c'est le marché, la complexité
mais concrètement ça se traduit comment
c'est une plateforme de marché
il y a un site où tu peux aller
non tu prends le matin, tu connais ton trafic
tu connais ce qu'on appelle des cohorts
donc les cohorts c'est
une cohorte
ça va être un groupe d'utilisateurs
qui ont une lifetime value
une durée, une valeur à travers le temps
donc tu vas dire je sais que
ma cohorte, All Mine Windows 10
sur cette période je sais que je peux
en tirer
tant d'argent
tu viens pas vouler l'argent attention c'est pas pareil
que des scammeurs
on est pas en train de parler
on est en train de parler de venir injecter des pubs
on en parlera de l'injection de trafic
mais tu viens injecter des pubs et chaque
pub, ce qui s'appelle un pay per mille
donc à chaque mille cliques
c'est ça c'est que tu es payé pour mille
cliques, donc tu vas voir combien de cliques il va y avoir
tu sais combien de rapports chaque personne
et du coup tu vas dire en Allemagne je suis prêt à payer tant
parce que je sais que je vais faire peut-être 4
balles en achetant 10 centimes
10 centimes d'installes
et concrètement tu fais comment parce que
les gens qui font ces balles
t'appelles le matin les providers
tu dis ce matin
tu dis ce matin j'ai besoin
de temps sur la semaine
j'ai besoin de temps cette semaine, je t'achète ton trafic
c'est incroyable
ouais c'est la poissonnerie
c'est à la crier
le matin c'est à la crier
juste pour comprendre il y a
en termes d'intermédiaire
c'est moi
site
de téléchargement intermédiaire
je suis
directement le vendeur
c'est moi qui conçoit les bundles et qui les vend
et qui fait ce travail là que tu décris là
ou alors est-ce qu'il y a encore un intermédiaire
de spécialiste du bundling
et qui font
la place de marché
dans mon souvenir
il y avait les deux
mais ça c'était il y a 10 ans
mais dans mon souvenir t'avais les deux
t'avais des gens qui paquaient J
dans mon souvenir
je veux pas dire bêtises
j'ai oublié mes questions
mais
juste sur les business model
ce que tu expliques c'est que
tu peux gagner de l'argent juste en injectant
comme ça des pubs
et qu'on se fasse d'un ordre d'idées tu peux gagner combien d'argent
avec un utilisateur
tu vas peut-être s'être reprécié mais
utilisateur je pourrais pas te dire
j'ai plus les chiffres en tête
je sais combien la boîte faisait de business par an
et ça vaut pas le coup de monter une start up
ça vaut pas le coup
ah non si si ça vaut le coup de faire ça
ça vaut pas le coup de te casser les pieds à monter une start up
t'es mieux de faire ça
c'est très très très important
c'est plusieurs millions par employé
mais que tu fais chaque année
en fait tu comptes par employé combien
personne ne fait ça
c'est un truc de fou
il y a un truc qu'on n'a pas parlé
on n'a pas la chaîne aval de distribution
on a parlé de la chaîne
d'optimisation des cohorts
une partie montable c'est de collecter tous les logs
et de faire tous les analytics
et tous les trucs sur les gros clusters
parce qu'au début on recevait 50 giges
à la fin on recevait 350 giges par jour
donc c'était vraiment en termes de scaling
c'était dingue en termes de tech
de cluster big data
mais t'as un truc qui en amont
c'est que je te dis t'injecte des pubs
mais elles viennent d'où les pubs
vous n'avez jamais posé la question
elles viennent d'où les pubs
qui paye à la fin
le truc de fou c'est que je voyais des pubs au champ
donc il y a bien quelqu'un qui a vendu des campagnes
marketing au champ
et le truc est redistribué à travers un intermédiaire
qui t'envoie du trafic à chier
donc je dirais pas le nom des providers
mais c'est des gens qui sont très très très gros dans la place
qui font des feeds de pubs
donc c'est pas critéo
je veux tout de suite les sortir de l'équation
c'est pas le sujet
mais c'est des gens qui sont très connus
dans ce qu'on appelle les feed providers
ça s'appelle les hats provider
qui disent ben moi aujourd'hui
j'ai 50 ans qu'arres
alors ils te disent pas exactement ça c'est plutôt toi qui vient
ils disent j'ai un encart publicitaire de 1200 par 200
donc 1200 pixels par 200 pixels
sur telle géographie
avec telle keyword
donne moi une pub
et en quelques mille secondes faut que ton truc y vienne et qu'il s'affiche
et ils sont pour quoi ces gens qui vendent à une de
je vais pas répondre
on sait pas oui
on suppose
quand tu as quelqu'un qui t'achète
plusieurs millions par an je peux pas imaginer
que tu regardes pas ce qu'il fait
je peux pas imaginer que
est-ce qu'il y a quand même une limite sur le genre
de pub qui va passer
tu vois
est-ce qu'il y a une sorte
de limite qui va pas
être franchi quand même sur
sur quel business
l'industrie du bundle
avec quel business il va embocer
par exemple on sait que
il y a pas mal d'arnaques genre des araignages au faux support informatique
tu sais ou des trucs comme ça
donc on est bien évidemment qui
passe régulièrement
par ce genre
de procédé pour mettre
des fausses pubs qui bloquent ton ordi
et là c'est du scam
est-ce que tu penses que eux ils arrivent à passer
je pense pas qu'on faisait ça
mais je ne serais pas surpris que d'autres
puissent le faire
parce qu'à partir du moment où si tu vas dans la
malversation tu peux aller loin
donc
la compagnie a été sanctionnée
plus sanctionnée a été l'équivalent
de la RGPD chez eux
de la policière
la GRC la gendarmerie royale du Canada
est venue, les a déglingué
etc tu vois mais
donc de toute façon c'est pas l'égalité
il y a une morale, il y a cette histoire
après je dirais pas la suite mais oui il y a une forme de morale
rendu là est-ce que tu pourras le faire
ouais tu pourras le faire
des trucs un peu similaires
on va aller vite fait sur l'industrie de l'antivirus
je vais me faire des ennemis mais bon c'est pas grave
rendu là
quand tu as bien joué
ce que tu peux récupérer du télateur
c'est un peu logarithmique
tu vas voir, hop tu récupères
il clique et au bout d'un moment il n'a plus de valeur
ou tu n'arrives plus à être joué c'est pour plein de raisons
parce qu'il a recliqué sur une merde
il a réinstallé plein de softwares et tout le monde venait s'écraser
tu commences à avoir 5 B
5 A sur le même PC
ah non mais c'est déjà ça
quand tu installes
pas VLC quand il vient de l'officiel
mais quand tu bundles avec d'autres trucs
ouais tu vas avoir 5 donc la question c'est
tu vois c'est Call of Tart
c'est le dernier survivor
c'est le dernier qui est en fait
le Javascript c'est un langage qui est un peu bizarre
mais enfin qui est bizarre c'est comme tous les langages
c'est le dernier à écrire qui a raison
donc ton but à toi c'est d'être le dernier survivant
et de le dernier à donner les instructions
et donc en fait tu commences à développer
des techniques d'antivirus
en disant bah moi je veux être le dernier à survivre
parmi toutes les merde qu'ont été installées avec moi
et tu commences à connaître tout tes voisins
tous les autres saloperies qui se mettent avec
et tu commences à savoir comment les dégomer
donc tu deviens toi même un antivirus
et donc quand tu as bien joué le utilisateur
ou normalement tu sais bon j'ai plus rien d'en tirer
tu commences à afficher des pubs en disant
pour 50 balles par mois je vous fournis un antivirus
qui va vous on a détecté des pubs chez vous etc
pour 50 balles par mois vous aurez le anti adware etc
hop tu refais un 50 balles
et en fait ce que tu fais
tu te désactives et tu désactives tes copains
les techniques que tu as déjà mis pour faire de la survie
donc c'est vraiment
c'est complètement dingue
parce qu'en gros c'est même pas
c'est dans le processus naturel
à un moment pour faire du business
t'as pas d'autre choix que
d'arriver à dégomer les concurrents
et donc tu développes un antivirus
de base en fait
et du coup
maintenant qu'on l'a fait on va le vendre
c'est complètement à l'iste
alors je dis pas que tous les antivirus sont comme ça
en industrie
t'as quand même du point de vue utilisateur
tu tapes antivirus
tu vas trouver dans la liste
des résultats
des gens qui sont à la fois
des antivirus et des producteurs
potentiellement
après je suis pas sur
qu'ils advertise et qu'ils aient le SEO
qui pousse vraiment sur le SEO
en fait leur but c'est pas ça
leur but c'est pas de vendre en place publique
quand t'arrives sur google etc.
leur but c'est de jucer les derniers centimes
ou les derniers euros qui pourraient
choper chez toi
c'est plutôt si vous avez un ordi pourri
infecté chez vous et vous avez des propositions
de antivirus
c'est possible que ce antivirus soit déjà le virus
qui est déjà installé
mais l'industrie de antivirus c'est un petit peu différent
t'as beaucoup de marques différentes
d'antivirus que tu vas voir
et en fait c'est ce qu'on appelle du white label
ce qui se fait beaucoup d'industrie informatique
c'est d'avoir un software de changer la façade
mais de redistribuer le même engin derrière
je fais seulement la marque
exactement
tout le moteur
il le détest chaque jour etc.
mais c'est intéressant parce que
ça doit
intéresser des gens dont le métier de base
n'est pas de faire de l'antivirus
c'est du marketing, c'est du SO
ça se fait partout
je me souviens que les gens qui faisaient des arnaques au tech support
ils avaient très souvent
des deals de genre en marque blanche
ou ils te faisaient le problème et la solution
d'ailleurs t'avais aimé au téléphone
tu l'expliquais que son ordi était verrôlé
jusqu'à la moelle
et après tu l'ai installé
et je trouve pas ça étonnant du tout
ça a même très
logique
c'est une décision business
à freu mais logique
il y a beaucoup d'argent là-dedans
et tu vois tant qu'on est dans les infiruges je raconte un autre truc marron
les trucs qu'on faisait
et tu vois de toute façon je suis parti
des trucs très très cool
techniquement c'était dingue
il y a une fascination aussi
quand tu fais de l'offensive
ou du pintage sonore comme ça
il y a un côté grisant
qui existe techniquement
dans ton cas à toi
évidemment il y a le côté moral
ou en moment où tu pars
mais en tout cas j'arrive à comprendre l'émotion
à ce moment là
où tu te sens le mettre du monde
parce que tu peux faire ce que tu veux sur ta cour
mettre du monde c'est pas sur les gens
c'est plus sur le parc informatique
dans les trucs de dingue
ou t'es rendu dans l'ultra-optimisation
parce que tout de suite tes volumes sont énormes
mais par exemple tu fais une release de ton DLL
ce que tu vas faire c'est que tu vas avoir plein de VM
qui vont démarrer avec Windows
avec chacun leur version Windows
t'es en virus antivirus la combinaison
de Windows Defender avec Avast
et Windows 10
compétition de chez pas Avast
sans Windows Defender avec Windows 10
telles sous version etc
et toutes les machines elles vont toutes démarrer
tu vas envoyer ton truc et tu vas regarder si tu te fais détecter
et tu vas avoir tous des robots qui vont regarder
est-ce que l'antivirus a scanner
est-ce qu'il a détecté et machin
il s'est pas fait détecter
ça chip en prod et t'as une soft version
et t'as ton software
tu t'as installé et tu te fais détecter
le truc il est repoussé
en pré-prod
tu viens rajouter quelques lignes de wildtru
machin etc pour changer la signature
tu renvoies ton truc en CI
en Continuous Integration Continuous Deployment
tu regardes est-ce que le unit test
c'est est-ce que tu t'es fait défoncer
par les antivirus
et c'est le truc qui passe
ok ils vont être chipés tout le monde
techniquement c'est incroyable
si vous ne travaillez pas dans la tech en gros
ce que tu décris c'est
la manière dont fonctionnent aujourd'hui toutes les boîtes tech
qui ont des processus
extrêmement automatisés
pour tester normalement c'est pour chercher des bugs
mais ce qui est fou c'est que
là c'est de la
c'était appliqué
pour faire des trucs super shady
mais avec un niveau de professionnalisme
exactement c'est
dans un niveau de professionnalisme c'est incroyable
ce qu'on fait le cluster big data
on avait le meilleur
je te dis que c'est un peu peur quand même
mais en face
des sociétés de sécurité
des antivirus il y a des moyens
on pense parfois
que c'est des petits groupes de cybercriminel
mais en fait non
il y a de l'argent
il y a beaucoup d'argent c'était plusieurs millions d'euros
par tête
de people dans la boîte donc c'était
assez violent
mais comme je te dis je sais pas
t'es choqué au début
et tout ça et puis à la fin
tu as une forme
d'excitation et puis tu oublies un petit peu ce que tu fais
que tu es en train un petit peu
d'arnaque aimé mais en tout cas
tu fais partie de l'arnaque de mémé
même si les personnes cliquent à la fin ils vont acheter sur au champ
donc à la fin ils cliquent et c'est pas comme si
tu vendais quelque chose de mal
c'est juste que tu vas pousser la pub
de google et tu vas mettre celle d'eau chan à la place
tu te fais des explications en mode non
mais en vrai ça va
en vrai ça va c'est pas tellement
tellement chose à raconter
c'est pas tellement différent de ce que fait google
finalement
sauf que lui il monétise pour une valeur ajoutée
qui l'amène à l'utilisateur toi tu monétises sur une valeur
que tu as pas ajouté à l'utilisateur
c'est là où google a raison
et c'est normal qu'il fasse de l'argent
tout produit mérite de l'argent
mais de l'argent toi tu viens un petit peu comme
une sensue quoi t'es un parasite c'est exactement ça
mais ouais
il y a beaucoup d'argent en face
après moi ce que je comprends tout à fait
c'est la hype
du challenge technologique
en fait à ce moment là
mais à ce moment là en fait
t'es en train de bosser
sur une techno
ou même un professe qui est quand même super stimulant
j'imagine
enfin je...
et c'est...
tu vois on parlait tout à l'heure
est-ce qu'à un moment tu réalises le truc
mais je pense qu'en fait tu le concélises pas
encore à ce niveau là
t'es dans ton...
en fait à Montréal on pense que c'est gros mais c'est petit
Montréal tout le monde se connaît c'est vraiment assez petit
et des clusters big data
tu en avais 2
2 gros c'était avant l'IA
tout ça tous les hype
t'avais eux qui avaient un gros cluster big data et l'autre c'était c'est mindy
donc vous connaissez pas
c'est...
mindy c'est l'OCR
c'est mindy
vous connaissez pas mindy
et moi je voulais pas travailler pour eux
c'est tous les mecs qui ont le réseau
youpornpornhub et compagnie
toutes les plateformes de porn
en fait il y a une grosse boîte derrière
c'est mindy
et eux ils sont à Montréal ils ont des gens qui sont brillants
mais moi ça me tentait pas du tout
donc on verra gros en termes de cluster
si je voulais bosser c'était soit ça soit l'autre
c'est pas ouf
mais voilà
c'est vraiment ces univers
qui ressemblent en tout point
à de la grosse start up
et justement ça c'est une question que j'ai
t'as mentionné que toi quand ils t'ont approché
ils sont pas arrivés avec ça évidemment
ils sont arrivés avec une autre façade
est-ce qu'ils
ils essayent de maintenir quand même
cette double image
on essaye de développer quand même le produit de façade
ou il y a un moment où même plus du tout
bon pfff non quand t'es rendu là
quand t'es rendu là
t'as un produit de façade etc
après t'as beaucoup de gens qui font des complains
enfin qui se plaignent
ouais c'est pas du tout
la valeur ajoutée etc mais en fait il y a personne
qui les installe en venant chercher la valeur
t'as un site de façade
je peux pas dire que c'est le blanchiment
d'argent tu vois ça serait malhonnête de dire ça
c'est pas le cas
mais c'est un peu comme
t'as une blanchisse rime en réalité ce qui se passe derrière
c'est pas du tout ça rien d'avoir
donc t'as une façade mais c'est pas le jeu
je vais un petit peu plus loin
juste sur la distribution je te reprends un truc
donc on y est
il y a un truc que tu te dis pourquoi google a fait google chrome
pour poser la question
quand t'as une page et que t'as des google analytics
t'as accès à tout ce que fait la personne
son curseur, ce qui sélectionne, ce qui crôle etc
quand tu sors de la page
tu n'as plus accès à ces informations
donc tu sais pas ce qui regarde à côté
tu sais pas ce que fait le utilisateur à côté
quand t'as accès au navigateur
tu sais les autres recherches qui sont conjointes
tu sais combien de temps tu passes sur chaque page
et donc du coup tu commences à avoir
une vue d'ensemble
d'utilisateur et donc tu commences à avoir
un ciblage publicitaire qui est extrêmement raffiné
donc
une des raisons pour lesquelles je suspecte que chrome
existe c'est pour avoir cette vue 360
sur ton activité du navigateur
ok, il y a eu un truc
je pense il y a 2-3 semaines sur google
private mode ou private navigation
qui disait donc le private mode
il envoie des logs à google
c'est pas si private que ça
donc t'as bien ce sujet de session
de gestion de session multi fenêtre
ça va je suis pas trop technique
il y a une boîte dont je t'irai le nom
dans le monde
donc quand t'as google qui te dit
vous êtes rinqués, les gens regardent aussi ça
vous êtes rinqués de temps par rapport à votre compétiteur
les gens qui regardent ça, quand tu fais du google ads
et du ciblage publicitaire c'est globalement ce que te dit
ce que te dit google
il y a une autre boîte dans le monde qui fait ça
mais qui n'a pas de navigateur
et donc je dirais pas le nom
mais quand tu la regardes
tu dis comment est-ce qu'il faut pour avoir ces données de cross-session
et donc je savais pas
jusqu'au jour où les mecs viennent et te disent
on va racheter vos logs
et donc tu sais que tel IP
tel navigateur, telle version de navigateur
tel système d'exploitation
etc. a recherché tel truc
à telle heure tel jour mais il a aussi recherché tel truc
à tel heure tel jour puisque t'as accès à tout le navigateur
toi aussi avec le DLL
donc à la fin tu reviens
ces gens-là rachètent le trafic
de plein de parasites
pour avoir une vue
d'ensemble
ouais donc je dirais pas un nom de la société
mais c'est assez chaud parce que parfois
il y a des sociétés cotées
en bourse
tu te dis en faisant ça
ils patchent leurs problèmes
immédiats du fait qu'ils ont pas ces infos
qu'on part à Google
mais en fait ils financent
tous les prochains parasites
qui vont arriver ensuite
ils utilisent de la données
qui sont complètement étonnues légalement
si tu regardes l'RGPD, t'es en bridge
tu britches le RGPD
c'est quoi le mot français pour bridge
tu encasses le com... tu entraves la RGPD
complètement
donc ouais je dirais pas le nom des boîtes
je veux pas avoir de problèmes etc
mais ouais tu découvres tout cet écosystème
et tu dis c'est assez moissant et ça brasse
des centaines de millions là-dedans
c'est ça qui est fascinant c'est le...
on a tous souvenir un peu lointain
de ces histoires de bundle de next next next
et on soupçonne pas que c'est genre
juste le haut d'un iceberg
complètement dingue
avec une industrie qui brasse
des millions qui ont des pratiques
qui ressentent beaucoup à de la cybercriminalité
et qui deal en même temps avec
les plus gros poissons de l'industrie publicitaire
genre y a un côté
y a un dossier énorme
ouais y a un dossier énorme c'est pour ça qu'on a mis du temps
à se voir si tu voulais faire un gros dossier
ouais ouais mais peut-être qu'on le fera quand même
parce que... ouais c'est tendu tu vois
j'ai eu beaucoup de journalistes
qui m'ont contacté
par rapport à ça
j'ai pas
de preuves écrites parce que quand je parle d'un job
j'embarque pas
j'embarque pas les infos etc
voilà c'était il y a 10 ans donc
je suis un peu couvert
mais y a beaucoup de journalistes
qui voulaient savoir
comment ils pouvaient rentrer là dedans donc j'ai jamais parlé
sur ce genre c'est... la deuxième fois que j'en parle
j'ai parlé sur un podcast il y a
5 ans 6 ans peut-être 7 ans même
à l'époque et je vois que ça
avait gêné beaucoup de monde y compris le chercheur avec qui j'étais
ou quand je parlais
il a quissé
et puis il disait si c'est vrai mais il voulait pas
trop en parler
j'espère pas avoir trop de problèmes
non mais c'est chaud
puis je me soumise pas mal la communauté cyber
cyber ados aussi parce que
évidemment je parle de trucs cyber mais je suis pas
je suis pas un hacker
je suis pas un cyber je suis pas un red team
ou bout team ou whatever ce que tu veux
c'est un témoignage
je pense à une valeur de fou
c'est intéressant
y a peu d'en fait honnêtement quand il n'a pas au coeur de ce système
y a pas d'autre moyen
de savoir que d'avoir ce genre de témoignage
donc merci vraiment à toi d'être venu nous en parler
si je finis avec une balle dans la tête
bon bon je saurais plus sérieuse
si vous avez vous même
des choses à rajouter
à corriger ou à témoigner
n'hésitez pas à le faire en commentaire
c'est pour ça c'est pour discuter
et j'espère qu'on va te revoir
dans l'émission parce que évidemment
au-delà de cette histoire
t'as quand même des expertises vraiment
très cool et ça se voit que tu es
pris par le partage sujet
et c'est très très cool
donc je pense que
t'es d'accord avec moi
je vous ai fatigué
c'était vraiment super intéressant
je vous ai fatigué c'est ça que ça veut dire
c'était vraiment super intéressant
je vous vois pour parler de hardware
ou de tabois de trucs comme ça
on est très très chaud de te revoir évidemment
et le chat est unanimant
d'accord très intéressant merci monsieur
comment dit-on donc
qu'est-ce que tu as dit

c'est guinaire ça veut dire cuisiner en Breton
d'accord
monsieur qu'est-ce que tu as dit merci
merci énormément d'être venu
merci d'en chat brillant le mec
merci à vous tous d'avoir suivi
tout ça ensemble si vous avez raté
des bouddhas d'émission n'hésitez pas à follow
cette chaîne Twitch et surtout
vous abonner à la chaîne youtube où il y aura
les prochaines publications
des enregistrements
et c'est un moment un peu particulier
puisque on va pas se revoir
avant un certain temps
il y a une pause
il va y avoir une pause de l'émission
on en a pas tellement je crois qu'on en a pas parlé
vous avez pas annoncé la pause ?
non on n'a pas annoncé la pause mais là il y a une pause
non pas encore
et donc il y a pas de pause sur youtube
vous inquiétez pas le catalogue est plein
donc vous allez avoir plein de vidéos
pendant notamment mon absence
mais moi je serai absent pendant un petit mois
pour la bonne et simple raison que je me marie
félicitations
félicitations
et donc voilà je me marie et donc je serai
pendant un mois puisque je serai
en vacances
je serai en vacances
ciao merci
les gens qui tombent de leur chaise
je suis pas très public
donc c'est pas un truc que
je vais exposer raconter ailleurs
que ici donc vous êtes
les prix légers du live
et voilà donc c'est ça qui explique cette
petite pause en plein milieu d'année
assez inhabituelle mais on reprendra
ce n'est pas la dernière de UNLERSCORE
et donc on en reparlera
dans un mois du coup
le 26 juin
voilà mais en attendant vous aurez plein de
plein de vidéos et je vois plein de félicitations
merci à vous c'est très gentil
et sur ce
je vous souhaite une très bonne soirée
à la prochaine
salut