Aujourd'hui, on reçoit un invité qui a eu une histoire absolument incroyable.
Il a été embauché pour faire de la big data pour un moteur de recherche sociale.
Sauf que très vite, il va s'apercevoir que derrière cette vitrine, l'entreprise pour
laquelle il travaille diffuse littéralement des malwares.
C'est ce qui s'appelle l'industrie du bundle et sans le savoir, vous en avez forcément
déjà entendu parler, voire même été victime malgré vous.
On va évidemment terminer l'entreprise concernée pour éviter toute poursuite.
Mais grâce justement à notre invité, vous allez enfin comprendre de quoi il s'agit,
comment cette industrie fonctionne et comment les ingénieurs tout à fait honnêtes peuvent
se retrouver malgré eux au milieu de ce genre de business assez sombre.
Déjà merci beaucoup d'avoir accepté notre invitation.
Je refais mes intros à t'en marquer parce qu'après, c'est découpé.
On précise que c'est une vieille histoire.
Donc, cette entreprise, ça fait des années que tu n'as plus de lien avec elle, etc.
Dès lors, tu travailles dans le lien.
Mais elle existe toujours.
Et ben tu vas pouvoir nous raconter.
Je ne peux pas répondre à ça.
Justement.
Non mais pour commencer par le début, comment déjà tu te fais embaucher par cette boîte
mystère et à quel moment tu te dis, c'est quand même bizarre.
C'est quoi le moment où tu découvres ?
En fait, donc moi, c'était il y a longtemps, c'est à dire bientôt 10 ans.
Donc ça fait un bouton.
Alors déjà, tu as dit malware dans l'intro, c'est plutôt adware que malware.
Tu vois, je vais...
Ça va être intéressant de voir où est la frontière et quelle pratique dépasse cette
sable ligne.
Mais on va en parler juste au bout.
On va en parler.
Donc, moi, je travaillais, je n'habitais à Montréal à l'époque et je travaillais effectivement
dans le Big Data.
Et il y avait pas mal de confs de meet-up.
Et moi, je disais, c'est excité par la tech, comme vous avez vu.
Et donc effectivement, on discute et puis à travers les discussions, après, avec les
pizzas et tout ça, je suis contacté par une des personnes qui est là et qui me dit,
moi, je travaille pour...
J'ai failli dire le nom de la compagnie, donc je ne dis pas le nom de la compagnie.
On serait super intéressés pour que tu viennes bosser chez nous.
Et eux, ils avaient le plus gros cluster de Montréal.
Donc c'était un cluster à l'époque.
Enfin, il faut se remettre.
Ouais, c'était il y a 10 ans, on n'est rien.
C'était un cluster qui faisait 150 nœuds.
Donc c'était à l'époque conséquent quand tu faisais du Big Data.
J'étais avec 4 nœuds à se battre en duel.
Enfin, tu vois, on était...
Donc là, tu dis, wow, trop cool.
Et ils avaient une bonne réputation.
Ils faisaient beaucoup de talk tech.
C'était une des boîtes les plus réputées en termes de tech.
Donc je dis, wow, c'est dingue.
Social Search Engine, tu dis, wow, c'est le nouveau Google.
Donc l'idée, c'était...
Est-ce que si je décris trop, on retrouvera la boîte.
Donc je vais faire attention.
En tout cas, Social Search Engine.
L'idée, c'est effectivement d'avoir une recherche qui est personnalisée
par rapport à toi et ton groupe d'amis.
On va faire ça.
Donc quand tu cherches un bar, ça va pas te donner un bar,
ça va donner le bar sur lequel tes amis ont fait du force square,
des choses comme ça.
Et donc ça va être beaucoup plus personnalisé
où ils ont liké Facebook ou Instagram, etc.
C'était connecté à Terrizo.
Exact, à Terrizo.
Bon, l'instant, très inoffensif.
Ouais, franchement.

boîte normale, même super sexy,
vraiment super beau cluster tech et tout.
Donc embaucher, machin.
Je me pointe le premier jour, c'était vraiment...
T'arrives, tu vois trop bien les bureaux.
Super cool startup, baby foot, machin.
Premier stand-up, 9h30 du mat.
Voilà, sinon...
Ouais, ce qu'on peut faire,
c'est que sur l'extension, on pourrait se mettre dans le proxy,
on met notre proxy et on redirige la requête et tout.
Je regarde, je dis, mais...
C'est du man in the middle, ça.
Ouais, enfin, non, on dit pas ça.
Enfin, du coup, je suis le premier jour.
Premier jour, tu te dis...
Après que t'es dit bonjour, tu dis, je comprends pas trop
ce qu'il veut dire au stand-up.
J'ai pas très bien saisi.
Le stand-up, c'est la première réunion dans les startups.
Tu dis, je comprends pas trop, bon, OK.
Et tu continues, et puis là, ça te parle de trafic.
On va regarder les logs et tout.
Tu commences à regarder et très vite,
tu te rends compte que t'es en train de se niffer
tout le trafic qui passe.
Donc tu dis d'où vient le trafic, tu vois.
Tu dis, on reçoit 50 gigas de logs dans la journée,
mais ça vient d'où ?
Qu'est-ce que c'est le trafic ?
C'est les utilisateurs, les recherches qu'ils font.
C'est...
Puis tu dis, mais comment on se fait l'acquisition
de ces utilisateurs ?
Puis comment est-ce qu'on récupère le trafic ?
Puis là, tu commences à comprendre qu'en fait,
on se niffe ce qui se passe sur la becane.
Parce qu'on détaille exactement ce que ça veut dire en haut.
Il y a une extension dans l'histoire
qui est installée sur une machine.
Je sais même pas si on dit extension.
Il y a un logiciel qui se met quelque part.
Un logiciel qui se met quelque part sur une machine.
Ce que tu expliques, c'est que quand on vient se positionner
dans le proxy qu'on fait du manager middle
ou qu'on sniffle le trafic très concrètement,
c'est-à-dire que tout ce que moi, je fais sur mon ardit,
je vais sur des sites, je vais sur des...
Tous les recherches de porn,
des recherches de A.W.E, de Amazon, de tout.
Tout part sur les serveurs de la boîte que tu viens de découvrir.
Tu sniffes tous les URL, tout ce qui se passe.
C'est...
Donc t'as dit proxy, mais pas que proxy
parce qu'en fait, tu te fais vite saucer par les antivirus.
Ils disent donc au début, c'est une extension.
L'extension, t'as Google Chrome qui arrive,
il te fait attend, il y a un truc un peu chelou là-dedans.
Je vais rentrer en détail de qu'est-ce qui est chelou,
mais au fur et à mesure, mais ils disent un truc un peu chelou.
Du coup, tu dis, du coup, on va faire un proxy.
Tu commences à changer les settings du navigateur.
Après, tu te dis, le navigateur, c'est pas assez.
Du coup, on va se mettre au niveau de la machine.
Tu te dis, tu vois, je découvre en même temps
que ce qu'on discute là, tu vois, je dis,
mais il se passe quoi, qu'est-ce qu'on fait, etc.
Et au fur et à mesure, tu te rends compte
que ce qu'on installe sur la machine, en fait, c'est quelque chose
qui va à chaque fois que tu vas naviguer sur un engin de recherche,
que ce soit Amazon, whatever, tu sais, tous les IAO, etc.
Il va prendre le JavaScript, donc l'élément de rendu dynamique du navigateur.
J'utilise des mots francophones, tu vois.
Et il va décaler les éléments pour injecter ses propres pubs.
Mais c'est les...
Les... Comment ça se appelle ?
Les toulbars, là, ou les trucs comme ça ?
Voilà, c'est l'industrie du toulbars avant.
C'était l'industrie du toulbars où t'avais plein de merde qui se mettaient.
Et à la fin, ça te changeait ton navigateur.
Peut-on changer un recherche paradéfo et tout ces trucs-là.
Et toi, tu découvres qui font ça ?
Je me découvre qui font ça.
J'ai dit, mais c'est un truc de ouf.
On est en train de récrire le JS, donc on accès au JavaScript.
On accès au navigateur.
On accès à l'URL, on accès à la session, on accès à tout.
Donc tu te dis, c'est un peu dingue.
Et puis là, tu découvres...
Donc je parlerai de l'installation après,
mais tu découvres que les antivirus sont un peu après toi, normal.
Le premier à venir te défoncer, c'est Google,
parce que tu viens lui bouffer son trafic.
Donc Google fait attendre, tu es en train de me dégommer mes ads et mon revenu.
Donc comme j'ai accès à Google Chrome et au store, je te dégage du store.
Sauf que tu trouves un moyen d'installer, donc on va en discuter après.
Et tu te retrouves dans le système.
Et quand tu es dans le système, tu as des petits bouts de programmes pour les navigateurs,
qui s'appellent des DLL sur Windows.
Donc des DLL, c'est des éléments unitaires
pour exécuter des petits bouts de programmes.
Voilà, pour faire simple.
Et donc tu viens et tu dis, je m'appelle...
Alors j'exagère, c'est pas le nom que ça, mais Chrome.dll.
Et tu as ce petit bout de Chrome.
Donc Chrome, c'est plein de petits DLL,
plein de petits bouts de programmes qui font chacun leur sauce.
Et tu en as un, il vient,
il dit, moi, en fait, maintenant, je remplace le truc de Chrome
et je suis... Ça porte le même nom, point DLL.
Et à partir de maintenant, c'est moi qui exécute toutes les pages.
Oh, wow, ils faisaient ça, c'est une dingue.
Donc pour restituer l'échelle, c'est à dire que,
au début, juste, vous essayez d'utiliser les fonctionnalités de Proxy pour...
Non, non, non, non.
Au début, tu utilises les extensions.
Oui, c'est ça.
Au début, tu passes par une extension de navigateur.
Après, tu essaies de rediriger le trafic avec le truc.
Avec...
Ouais.
Et là, en fait, le...
Parce que tu es...
Parce que tu te fais déglinguer, quoi.
Parce que tu te fais déglinguer.
Tu te mets à utiliser...
Ce que tu as décrit, c'est des techniques de...
C'est des techniques de Malo Air, typiquement.
Typiquement, c'est ce que tu fais quand tu ne veux pas te faire détecter par un système.
C'est que tu viens switcher un élément qui est régulièrement utilisé,
une DLL, comme tu dis, et injecter du code manifestant dans la...
Donc là, on a un niveau de fourbrie qui est dingue.
Et sur E2, c'est assez chaud, quand même, c'est comme...
C'est assez chaud, mais tu te fais quand même topper,
parce que les...
Quand tu as ce genre de footprint que tu t'appelles...
De genre du VLC, du Chrome, etc.
Si tu veux, les signatures de tes binaire,
donc les signatures des softwares, elles sont assez connues des antivirus.
D'ailleurs, c'est comme ça qu'ils font.
Ils font une signature des fichiers.
Et ils savent que...
Tels fichiers, ils s'appellent comme...
Intels avec telles signatures, c'est bon, tu les laisse passer.
Donc là, tu as quand même un truc où tu dis,
attends, cette version, whatever, de Chrome avec ce DLL-là,
il est un petit peu chelou, le DLL.
Donc tu dis, comment tu fais pour pas être détecté ?
Donc là, tu rentres dans un autre niveau.
Quand tu dis, le seul moyen que je ne sois pas détecté,
c'est que je ne sois jamais scanner par l'antivirus.
Et là, tu commences à avoir des techniques,
d'offuscation de fichiers,
ou quand le truc, il vient scanner les secteurs de ton disque.
Alors là, je ne suis pas très bon,
donc je vais me faire bâcher par la communauté à cœur,
et j'en suis désolé, parce que là, c'est mon niveau qui s'arrête.
Tu rediriges, dans mon souvenir,
tu rediriges les blocs vers genre blocnotes, etc.
Le scan, tu rediriges vers blocnotes et compagnie.
Donc en fait, ton DLL n'est jamais scanner.
Donc, ces trucs-là...
Oui, c'est des techniques de masquage,
de masquage de backdoor,
ou de choses comme ça, qui sont relativement poussées.
Et où ça commence à devenir improbable,
d'imaginer que les fameux ingénieurs de la tech dont tu nous parlais,
ça ne veut pas exactement ce qu'ils sont en train de faire.
Enfin...
Ouais, à quel point...
Pendant ces stand-up, est-ce qu'il y a des...
Il y a des prises de conscience...
Ce qu'on fait, là, c'est quand même...
Bizarre.
Ou tout le monde est au care avec ça.
Ben...
Moi, je n'étais pas à l'aise du tout.
C'est tout que moi, je suis pas sur une cyber,
même si je ne suis pas un hacker ou je ne suis pas de la communauté cyber.
Donc, c'est pareil, détendez-vous, me bâchez pas,
parce que je me suis fait bâcher pour en avoir parlé de cette histoire-là,
mais...
Très honnêtement, oui, moi, j'étais choquée, quoi.
Donc...
Et tu devais pas être le seul, non ?
Ben...
C'était quoi les deux profils des gens ?
Des gens normaux, quoi.
Enfin, ces gens, tu vois, c'est franchement...
C'est horrible à dire, mais putain, on s'est clattés de fou, quoi.
On s'est clattés de fou, tu as des machines de...
Enfin, tu fais des trucs de malades.
C'est techniquement...
Bon, OK, j'ai fait du OVH après où je me suis éclaté,
c'était beaucoup plus pro, etc.
Mais je me suis vraiment éclaté pendant ce truc-là.
Donc, c'était un peu pris,
ou effectivement, tu as le plaisir,
et puis en même temps, tu as la prise de conscience,
et puis je sais pas comment t'expliquer, justifier.
Je suis mal à l'aise avec ça, je sais pas trop comment dire.
Non, il n'y a pas de...
Ouais, franchement, justement, c'est pour ça qu'il y a le contexte important,
c'était il y a dix ans,
c'est le jeune ingénieur, etc.
Et voilà, tu découvres ce truc-là au fur et à mesure, mais...
J'en suis pas fier, mais au moins j'en parle, tu vois.
Je dis maintenant, méfiez-vous.
Mais...
Rétrospectivement, c'est plus intéressant, au contraire,
de faire ce témoignage-là, et qu'on découvre, justement,
c'est quoi les rouages qui font qu'une entreprise
qui, de l'extérieur, se part d'un tension noble, etc.,
peut parfois cacher des trucs de fou.
Et juste pour rentrer un petit peu dans le détail maintenant,
parce que c'est ça qui est aussi intéressant,
tu parles de pratiques qui sont complètement dingues d'intrusions
dans des systèmes au plus profonds.
Comment ils disaient, en gros, comment ils distribuaient le...
Moi, j'ai envie d'appeler ça un malou,
mais comment ils distribuaient le logiciel ?
Je fais aller par attention à ça, à ce que je dise.
Même là, on est en revue dans un niveau
où je fais très, très, très attention.
Il y a prescription maintenant.
Mais j'ai pas peut-être apposé une super bonne question
qui était sur comment les gens ne s'en rendent pas compte.
Et même les techniques que j'ai parlé d'offuscation
ne sont pas du niveau de tout le monde.
Et donc, je fais très, très, très, très gaffe à ce que je dis.
Il y a certaines nations,
je vais pas nommer parce que je vais me faire défoncer,
qui sont très, très bonnes en cyber.
Voilà, vous savez très bien de qui je parle, plutôt à l'est.
Sud-Est.
Je sais pas donner le nom.
Qui ont des gens qui, durant leur service militaire,
travaillent dans des unités,
qui sont spécialisés dans la cyberattaque ou cyber défense,
et qui, en sortant, reprennent cette expertise
et font du bis avec, y compris vendre des petits bouts de virus
qui te permettent ou des petits bouts de systèmes d'offuscation,
des choses comme ça, des petites techniques diverses,
pour un prix, je sais pas, 60, 60 000 balles,
tu peux acheter des trucs sur le marché.
Donc, c'est même que tu es rendu un petit peu plus loin
que juste une boîte qui fait ça.
C'est un écosystème complet.
Ouais, et pour aller dans la distribution,
c'est encore plus hardcore.
Je vais me faire déglinguer.
C'est chaud.
Donc, je vais pas donner les noms.
C'est pareil des sites, même si je sais que les gens voudront
et qu'ils trouveraient ce...
Mais déjà, j'en fais déjà beaucoup à venir parler,
parce que je te jure, c'est quand même assez chaud.
Vous allez juste en direct.
Vous allez sur VLC.
Tu cherches sur Google, tu cherches VLC,
téléchargement VLC.
Et tu vas trouver très, très rapidement
que les premiers liens ne sont pas forcément les premiers liens
qui viennent de VLC.VLC.Line.org ou quelque chose comme ça.
Je sais plus le néo-officelle.
Mais tu vas trouver un certain nombre de sites qui payent.
Voilà, j'ai rien dit.
Et donc...
Tu as à zéro en net.
Je dis rien.
Des trucs comme ça.
Moi, je lis ce que je vois à l'écran.
Je ne me prends pas pour...
Mais en tout cas, Videolan n'est pas le premier.
Ou en tout cas, pas dans les premiers.
Donc, il y a des gens qui payent.
Je ne dis pas que c'est eux parce que je veux pas de problème.
Mais qui payent pour arriver dans les topscores,
pour VLC qui est un des logiciels les plus déchargés de la planète.
C'est genre un milliard de downloads par jour.
Un truc comme ça.
Je ne sais pas les chiffres du monde RGB et autres.
Mais voilà, il connaît mieux.
Et donc, il y a des gens qui font ce qu'on appelle industrie du bundle.
C'est-à-dire qu'ils vont prendre un logiciel qui est très, très connu,
très bien utilisé.
PDF Reader, enfin Foxy Trader, VLC.
Enfin, on voulait connaisser tous les trucs audacity, ce genre de trucs.
Et qui vont dire, ben non, fournis.
Donc, tu cliques sur download.
Tu as un point XZ, setup.exe qui arrive sur ta machine.
Tu double-cliques, tu fais suivant, suivant, suivant, suivant,
quitter, c'est terminé.
Et puis, tu as un petit bouton qui dit mode expert.
Et si tu le faites, tu appuies sur le petit bouton qui s'appelle mode expert
et vous allez voir toutes les mers qui vont être installées avec.
Et donc, en fait, il va cocher par défaut telle software, telle software,
qui, quand tu vas regarder, veut te dire,
ah moi, j'améliore le disk cleaning.
Moi, je fais ci, je fais ça.
Mais en réalité, ces gens-là, ce qu'ils font.
Alors, je dis pas les disks cleaners, tu vois, j'ai pris exprès des trucs pour...
Je fais vraiment attention à ce que je dis.
Mais en tout cas, ils vont bundler un certain nombre d'autres softwares
qui sont fait des boîtes comme celles avec qui je bosse,
qui payent pour être installées.
Donc, par exemple, tu vas payer, je te dis, une bêtise de 10 cents, 10 centimes,
pour être installé avec VLC.
Parce que VLC a un très bon software, un très bon ideal customer profile.
Donc, il y a une réputation.
Ça fait des gens un peu...
Ben, tu vas dire, en fait, tous les prix varient.
Mais en gros, tu auras des prix, c'est un marché secondaire,
c'est un truc de foot de trading.
En fait, tu vas dire, ben moi, je suis prêt à payer 10 centimes
pour être installé avec VLC en Allemagne sur Windows 10.
OK.
What ?
Ouais, et tu vas dire, mais en Inde, VLC, Windows 10 machin,
je suis prêt à payer 2 centimes.
Parce que je connais combien va me rapporter chaque personne sur lequel...
Chaque profil.
Chaque profil.
Donc, en Allemagne, par exemple, je te dis, Allemagne, c'est les meilleurs trafics.
Ils cliquent sur les pubs et ils achètent, tu vois.
En gros, tu payes pour le droit d'être installé sur la machine de quelqu'un
qui probablement...
N'est pas...
Enfin, il a cliqué sur suivant, suivant, suivant.
C'est un peu une zone grise.
C'est accepte les conditions.
De loin, en fermant les yeux, ça ressemble juste à installer des...
Ouais.
Un cheval de Troyes, alors que c'est une zone grise.
Puisque légalement, j'imagine qu'ils...
Légalement, tu as le droit.
Tu fais ce que tu veux.
Quand tu cliques, la personne, elle a donné son consentement,
elle a cliqué, elle a cliqué suivant, elle n'a pas cliqué le mode expert.
Ce qui est dingue, c'est le marché, la complexité qu'il y a eu derrière.
Mais concrètement, ça se traduit comment ?
Tu as une plateforme de marché, il y a un site où tu peux aller ?
Non, tu prends le matin, tu connais ton trafic.
Donc tu connais ce qu'on appelle des cohorts.
Donc les cohorts, c'est...
Une cohorte, ça va être un groupe d'utilisateurs
qui ont une lifetime value, une durée, une valeur à travers le temps.
Donc tu vas dire, je sais que ma cohorte,
All Mine Windows 10, sur cette période,
je sais que je peux en tirer tant d'argent, entre guillemets.
Donc l'argent, tu viens pas voler l'argent.
Attention, on sait pas, pareil que des scammeurs, etc.
On n'est pas en train de parler de ça.
On est en train de parler de venir injecter des pubs.
Donc on apparaît de l'injection de trafic.
Mais tu viens injecter des pubs et chaque pub,
ce que ça s'appelle un pay per mille, à chaque mille clics...
C'est ça, c'est que tu es payé pour mille à pire.
Exactement, tu es payé pour mille clics.
Donc tu vas voir combien de clics il va y avoir,
tu sais combien de rapports de chaque personne.
Et donc tu vas dire, en Allemagne, je suis prêt à payer tant,
parce que je sais que je vais faire peut-être quatre balles
en achetant 10 centimes d'install.
Et concrètement, tu fais comment ?
Parce que les gens qui font ces balles...
T'appelles le matin ?
T'appelles le matin les providers.
Tu dis, ce matin, je n'ai besoin de temps sur la semaine,
je n'ai besoin de temps cette semaine,
je t'achète ton trafic sur cette semaine.
C'est incroyable.
Ouais, c'est la poisson de Rikoi, c'est...
Ah ouais.
C'est à la crier quoi le matin, c'est à la crier, tac, tac, tac, tu vois.
Salut ! Si vous appréciez Endorscore,
vous pouvez nous aider de ouf en mettant cinq étoiles sur Apple Podcast,
en mettant une idée d'invité que vous aimeriez qu'on reçoive.
Ça permet de faire remonter Endorscore, voilà.
Telle une fusée.
Et juste pour comprendre, il y a en termes d'intermédiaire,
c'est moi, site ou de téléchargement intermédiaire, on va dire,
je suis le directement le vendeur,
c'est moi qui conçoit les bundles et qui les vend
et qui fait ce travail-là que tu décris là.
Ou alors, est-ce qu'il y a encore un intermédiaire
de spécialistes du bundling et qui font la place de marché ?
Dans mon souvenir, il y avait les deux.
Dans mon souvenir, il y avait les deux, mais ça, c'était il y a dix ans.
Mais dans mon souvenir, il y avait les deux.
T'avais des gens qui paquaient J, etc.
Dans mon souvenir, je veux pas dire bêtises.
Et...
J'ai oublié mes questions.
Mais, juste sur les business models,
ce que tu expliques, c'est que tu peux gagner de l'argent
juste en injectant comme ça des pubs,
et qu'on se fasse d'un ordre d'idée, tu peux gagner combien d'argent
Avec un utilisateur, tu vas peut-être s'être reprécis.
Utisateur, je pourrais pas te dire.
J'ai plus les chiffres en tête.
Je sais combien la boîte faisait de business par an.
Et ça vaut pas le coup de monter une start-up.
Ça vaut pas le coup.
Ah non, si, ça vaut le coup de faire ça.
Ça vaut pas le coup de te casser les pieds à monter une start-up.
Ah oui, pardon.
T'es mieux de faire ça.
C'est très, très, très important.
C'est plusieurs millions par employé que tu fais chaque année.
En fait, tu comptes par employé combien ?

Personne ne fait ça.
C'est un truc de fou.
Et il y a un truc qu'on n'a pas parlé.
Donc on n'a pas de la chaîne aval de distribution.
On a parlé de la chaîne d'optimisation des cohortes.
Donc ça, c'était une partie montable.
C'était de collecter tous les logs et de faire tous les analytics
et tous les trucs sur les gros clusters.
Parce qu'en fait, au début, on recevait 50 Giga.
À la fin, on recevait 350 Giga par jour.
Donc c'était vraiment en termes de scaling et tout.
Enfin moi, c'était dingue en termes de tech, de cluster, big data et tout.
Mais tu as un truc qui en amont.
C'est que je te dis, t'injectes des pubs, mais viennent d'où les pubs ?
Vous n'avez jamais posé la question ?
Viennent d'où les pubs ?
Si, c'est vrai.
Qui paye à la fin ?
Oui, qui paye à la fin.
Le truc de fou, c'est que je voyais des pubs au champ, des machins.
Donc il y a bien quelqu'un qui a vendu des campagnes, marketing à au champ.
Et le truc est redistribué à travers un intermédiaire qui t'envoie du trafic à chier.
Ok.
Et donc je dirais pas le nom des providers, mais c'est des gens qui sont très, très, très, très, très gros dans la place.
Qui font des fites de pubs.
Donc ce n'est pas critéo.
Je veux tout de suite les sortir de l'équation, ce n'est pas le sujet.
Mais c'est des gens qui sont très connus dans ce qu'on appelle les feed providers,
ce qui s'appelle les hats provider, qui disent,
« Moi, aujourd'hui, j'ai 50 ans qu'à, »
Alors ils te disent pas exactement ça, c'est plutôt toi qui vient,
ils disent « j'ai un an quart publicitaire de 1200 par 200,
donc 1200 pixels par 200 pixels, sur telle géographie, avec telle keyword,
donne-moi une pub.
Et en quelques milles secondes, il faut que ton truc y vienne et qu'il s'affiche.
Et ils sont pour le courant, c'est des gens qui vendent à une de...
Je ne vais pas répondre.
On ne sait pas, oui.
Enfin, on suppose.
Quand tu as quelqu'un qui t'achète plusieurs millions par an,
je ne peux pas imaginer que tu ne regardes pas ce qu'il fait.
Oui.
Je ne peux pas imaginer que...
Est-ce qu'il y a quand même une limite sur le genre de pub qui va passer ?
Est-ce qu'il y a une sorte de limite qui ne va pas être franchie quand même
sur quel business l'industrie du bundle,
avec quel business ils vont bosser ?
Par exemple, on sait qu'il y a pas mal d'arnaques,
genre des arnaques aux faux supports informatiques,
tu sais, ou des trucs comme ça.
Donc on est bien évidemment qui passent régulièrement
par ce genre de procédés pour mettre des fausses pubs qui bloquent ton ordi.
Et là, c'est du scam.
Est-ce que tu penses qu'eux, ils arrivent à passer ?
Je ne pense pas qu'on faisait ça,
mais je ne serais pas surpris que d'autres puissent le faire.
Parce qu'à partir du moment où,
enfin, si tu vas dans la malversation, tu ne peux aller loin.
Donc, bâille de ouai, la compagnie a été sanctionnée,
plus sanctionnée, elle était l'équivalent de la RGPD chez eux.
Enfin, de la policière,
elle s'appelle la GRC, la gendarmerie royale du Canada,
est venue, elle les a déglinguées, etc.
Donc, de toute façon, ce n'est pas les galets.
Il y a une morale, il y a cette histoire.
Après, je ne dirais pas la suite.
Mais oui, il y a une forme de morale.
Rendu-là, est-ce que tu pourras le faire ?
Ouais, tu pourras le faire.
Des trucs un peu similaires.
Dans le même genre, on va aller vite fait sur l'industrie de l'antivirus.
Je vais me faire des ennemis, mais bon, ce n'est pas grave.
Rendu-là.
Quand tu as bien joué, ce que tu peux récupérer du télateur,
c'est un peu logarithmique.
Tu vas voir, hop, tu récupères, il clique et,
au bout d'un moment, il n'a plus de valeur.
Ou tu n'arrives plus à être joué, c'est pour plein de raisons.
Parce qu'il a recliqué sur une merde,
il a réinstallé plein de softwares
et tout le monde venait s'écraser.
Tu commences à avoir cinq...
Oui, oui, non.
...sequelles sur le même PC.
Non, mais c'est déjà ça.
Quand tu installes pas VLC, quand il vient de l'officiel,
mais quand tu es bundelé avec d'autres trucs,
tu vas avoir cinq.
Donc la question, c'est, tu vois, c'est Cologne Tart.
C'est le truc.
C'est Cologne Tart.
C'est le dernier survivor.
C'est le dernier qui...
En fait, le JavaScript, c'est un langage qui est un peu bizarre,
mais enfin, qui est bizarre, c'est comme tous les langages.
C'est le dernier à écrire qui a raison.
Donc ton but à toi, c'est d'être le dernier survivant
et de le dernier à donner les instructions.
Et donc, en fait, tu commences à développer des techniques d'antivirus
en disant, ben moi, je veux être le dernier à survivre
parmi toutes les mers qu'ont été installées avec moi.
Et tu commences à connaître tous tes voisins,
tous les autres saloperies qui se mettent avec,
et tu commences à savoir comment les dégommer.
Donc tu deviens toi-même un antivirus.
Et donc quand tu as bien joué l'utilisateur,
ou normalement, tu sais, bon, j'ai plus rien d'en tirer,
tu commences à afficher des pubs en disant,
pour cinq ans de balles par mois,
je vais vous fournir un antivirus
qui va vous... On a détecté des pubs chez vous, etc.
Pour cinq ans de balles par mois, vous aurez le lanti adware, etc.
Hop, tu refais un cinq ans de balles.
Et en fait, ce que tu fais, tu te désactives
et tu désactives tes copains,
les techniques que tu as déjà mis pour faire de la survie.
Donc c'est vraiment...
C'est trop grand.
C'est dingue complètement dingue.
Parce qu'en gros, c'est même pas.
C'est-à-dire que c'est dans le processus naturel,
à un moment, pour faire du business,
tu n'as pas d'autre choix que d'arriver à dégommer les concurrents.
Et donc, tu développes un antivirus de base, en fait.
Et du coup,
c'est en fait... Maintenant qu'on l'a fait, on va le vendre.
C'est complètement à l'île.
Je ne dis pas que tous les antivirus sont comme ça.
L'industrie...
Tu as quand même, nous, du point de vue utilisateur,
tu tapes antivirus,
tu vas trouver dans la liste des résultats
des gens qui sont à la fois des antivirus
et des producteurs d'adware.
Potentiellement.
Après, je ne suis pas sûr qu'ils advertise et qu'ils aient le SEO
qui pousse vraiment sur le SEO.
En fait, leur but, ce n'est pas ça, alors...
Allez, connu. OK.
Leur but, ce n'est pas de vendre en place publique
quand tu arrives sur Google, etc.
Et ce, leur but, c'est de te jucer les derniers centimes
ou les derniers euros qui pourraient choper chez toi.
OK, donc c'est plutôt si vous avez un ordi pourri infecté chez vous
et vous avez des propositions d'antivirus.
C'est possible que cet antivirus soit déjà le virus qui est déjà installé.
Mais l'industrie d'antivirus, c'est un petit peu différent.
Tu as beaucoup de marques différentes d'antivirus que tu vas voir.
Et en fait, c'est ce qu'on appelle du white label.
Ce qui se fait beaucoup d'industrie informatique,
c'est d'avoir un software, de changer la façade,
mais de redistribuer le même engin derrière.
Marques blanches, donc moi, je fais seulement la marque.
Exactement.
Et tout le moteur, il le détest chaque jour, etc.
Mais c'est intéressant parce que ça doit typiquement
intéresser des gens dont le métier de base n'est pas de faire de l'antivirus.
C'est du marketing, c'est du SEO, c'est des trucs comme ça.
Mais après, ça se fait partout.
Je me souviens que typiquement,
les gens qui faisaient des arnaques au tech support,
ils avaient très souvent des deals de genre en marque blanche,
où ils te souhaitaient le problème et la solution.
D'ailleurs, t'avais aimé au téléphone,
tu l'as expliqué que son ordi était verrôlé jusqu'à la moelle.
Et après, tu l'as installé dans l'antivirus, évidemment.
Et je trouve pas ça étonnant du tout, en fait.
Ça a même très logique.
Ouais, après.
C'est une décision business, quoi.
Mais c'est à freu, mais logique.
Oui.
Il y a beaucoup d'argent là-dedans.
Et tu vois, tant qu'on est dans les itférises,
je raconte un autre truc marron.
Des trucs qu'on faisait.
Et puis, de toute façon, je suis parti là.
Des trucs très, très cool.
Enfin, techniquement, je pense, c'était dingue.
Parce qu'il y a une fascination aussi,
quand tu fais de l'offensif ou du pétexon,
il y a un côté grisant qui existe techniquement
dans ton cas, à ce moment-là,
évidemment, il y a le côté moral,
où en un moment, tu pars.
Mais en tout cas, j'arrive à comprendre l'émotion à ce moment-là,
où tu te sens mettre du monde,
parce que tu peux faire ce que tu veux sur ta cour.
Mettre du monde, c'est pas sur les gens.
Tu vois, c'est plus sur le parc informatique que tu as.
Tu vois, dans les trucs de dingue,
t'es rendu dans l'ultra-optimisation,
parce que tout de suite tes volumes sont énormes.
Mais par exemple, tu fais une release de ton DLL.
Ce que tu vas faire, c'est que tu vas avoir plein de VM
qui vont démarrer avec Windows,
avec chacun leur version Windows.
T'es anti-virus, la combinaison de Windows Defender avec Avast
et Windows 10, compétition de chez pas Avast,
sans Windows Defender avec Windows 10, telle sous-version, etc.
Et toutes les machines vont toutes démarrer.
Tu vas envoyer ton truc, tu vas regarder si tu te fais détecter.
Et tu vas avoir tous des robots qui vont regarder
est-ce que l'anti-virus a scanné, est-ce qu'il a détecté, machin.
Et hop, tu vois qu'il s'est pas fait détecter,
ça chip en prod, et tu as une soft version,
et puis tu as ton software, c'est le poste du client
qui vient chercher la soft version et l'installer.
Mais si tu te fais détecter,
le truc, il est repoussé en pré-prod.
Tu viens rajouter quelques lignes de WildTrou, machin, etc.
pour changer la signature.
Tu renvoies ton truc en CI,
en Continuous Integration, Continuous Deployment.
Tu regardes, est-ce que le unit test,
les unit tests, en fait, c'est est-ce que tu t'es fait défoncer
par les anti-virus.
Et si le truc, il passe, ok, il va y chipper, tout le monde...
Je veux dire, techniquement, c'est incroyable.
Si vous ne travaillez pas dans la tech, en gros,
ce que tu décris, c'est la manière d'en fonctionner
aujourd'hui toutes les boîtes tech
qui ont des processus comme ça extrêmement automatisés
pour tester, normalement, c'est pour chercher des bugs,
mais ce qui est fou, c'est que là, c'était appliqué
pour faire des trucs super shady,
mais avec un niveau de professionnalisme.
Exactement, c'est...
Dans un niveau de professionnalisme, c'est incroyable ce qu'on fait.
Le cluster Big Data, on avait le meilleur...
Je veux dire, c'est un peu peur quand même, parce que tu te dis,
ah ouais, mais en face, entre guillemets,
en face des sociétés de sécurité, des anti-virus,
il y a des moyens, quoi.
Je ne sais pas, on pense parfois que, voilà,
c'est des petits groupes de cybercriminels
ou des petits groupes de...
Mais en fait, non, il y a de l'argent, en fait.
Il y a beaucoup d'argent, je te dis,
c'était plusieurs millions d'euros par tête
de people dans la boîte,
donc c'était comme assez violent.
Mais, comme je te dis, je ne sais pas t'expliquer là.
T'es choqué au début et tout ça,
et puis à la fin, en fait,
t'as une forme d'excitation,
et puis tu oublies un petit peu ce que tu fais,
que tu es en train d'arnaquer mémé,
enfin, en tout cas, tu fais partie de l'arnaque de mémé,
même si les personnes cliquent,
à la fin, ils vont acheter sur au chant, tu vois.
Donc, à la fin, ils cliquent,
et c'est pas comme si tu vendais quelque chose de mal.
C'est juste que tu vas pousser la pub de Google
et tu vas mettre celle d'auchan à la place.
Tu te fais des explications en mode non,
mais en vrai, ça va, et puis on se ralentit.
En vrai, ça va, c'est pas tellement...
T'es pas tellement différent de ce que fait Google, finalement.
À Google et à son moteur de recherche,
sauf que lui, il monétise pour une valeur ajoutée
qui l'amène à l'utilisateur,
toi, tu monétises sur une valeur
que tu n'as pas ajoutée à l'utilisateur.
C'est là où Google a raison,
et c'est normal qu'il fasse de l'argent.
Je veux dire, tout produit mérite de l'argent,
tout veut l'ajouter, mais de l'argent,
là, toi, tu viens un petit peu comme une sensue.
T'es un parasite, c'est exactement ça.
Mais oui, il y a beaucoup d'argent en face.
Après, moi, ce que je comprends, tout à fait,
c'est la hype du challenge technologique.
En fait, à ce moment-là...
Oui, il est passé par le challenge.
Mais à ce moment-là, en fait,
tu es en train de bosser sur une techno
ou même un professe qui est quand même super stimulant,
j'imagine.
Et c'est...
Tu vois, on parlait tout à l'heure
de ce qu'il y a un moment où tu réalises le truc,
mais je pense qu'en fait, tu ne le concédures pas
encore à ce niveau-là, t'es d'entendant.
Oui, je...
En fait, à Montréal, on pense que c'est gros,
mais c'est petit Montréal.
Tout le monde se connaît, c'est vraiment assez petit.
Et des clusters Big Data,
tu en avais deux,
deux gros,
c'était avant, l'IA, tous ça, tous les hype.
T'avais eux qui avaient un gros cluster Big Data,
et l'autre, c'était Mind Geek.
Donc vous ne connaissez pas...
Mind Geek, pardon.
Mind Geek, Mind Geek, c'est de l'OCR.
C'est Mind Geek. Vous ne connaissez pas Mind Geek.
Je sais.
Je sais qui c'est, Mind Geek.
Et moi, je ne voulais pas travailler pour eux.
C'est tous les mecs qui ont le réseau
YouPorn, Pornhub et Compagnie.
Ils ont toutes les plateformes de Pornh.
En fait, il y a une grosse boîte derrière,
c'est Mind Geek.
Et eux, ils sont à Montréal, ils ont des gens qui sont brillants,
mais moi, ça ne me tentait pas du tout.
On va grouer en termes de cluster,
si je voulais bosser, c'était soit ça, soit l'autre.
Ce n'est pas ouf.
Mais voilà, bon, on reste.
C'est vraiment ces univers
qui ressemblent en tout point
à de la grosse start-up.
Et justement, ça, c'est une question que j'ai.
T'as mentionné que toi, quand ils t'ont approchés,
ils ne sont pas arrivés avec ça, évidemment.
Ils sont arrivés avec une autre façade.
Est-ce qu'ils essayent de maintenir
quand même un peu cette double image
en essayant de développer quand même le produit de façade
où il y a un moment où même plus du tout...
Non, quand t'es rendu là,
c'est un produit de façade,
après, t'as beaucoup de gens qui font des complains,
qui se plaignent.
Ouais, ce n'est pas du tout la valeur ajoutée,
mais en fait, il n'y a personne qui les installe,


en venant chercher la valeur.
T'as un site de façade,
je ne peux pas dire que c'est le blanchiment d'argent,
ça serait malhonnête de dire ça,
c'est pas le cas.
Mais c'est un peu comme, tu vois,
t'as une blanchisse rime, en réalité, ce qui se passe derrière,
ce n'est pas du tout ça à rien d'avoir.
Donc t'as une façade, mais ce n'est pas le jeu.
Je vais un petit peu plus loin,
juste sur la distribution, je te reprends un truc.
T'en connais.
Il y a un truc que tu te dis, pourquoi Google
a fait Google Chrome ?
Vous posez la question.
Quand t'as une page et que t'as des Google Analytics,
t'as accès à tout ce que fait la personne,
son curseur, ce qui sélectionne, ce qui crawl, etc.
Quand tu sors de la page,
tu n'as plus accès à ces informations,
donc tu ne sais pas ce qui regarde à côté,
tu ne sais pas ce que fait l'utilisateur à côté.
Quand t'as accès au navigateur,
tu sais les autres recherches qui sont conjointes,
tu sais combien de temps tu passes sur chaque page,
et donc du coup, tu commences à avoir une vue d'ensemble
de l'utilisateur.
Et donc tu commences à avoir un ciblage publicitaire
qui est extrêmement raffiné.
Donc, une des raisons pour lesquelles
je suspecte que Chrome existe
c'est pour avoir cette vue 360
sur ton activité du navigateur.
Il y a eu un truc, je pense, il y a 2-3 semaines
sur Google Private Mode
ou Private Navigation
qui disait, dis donc le Private Mode,
il envoie des logs à Google,
ce n'est pas si private que ça.
Donc t'as bien ce sujet de session,
de gestion de session multi-fenêtres.
Ça va, je ne suis pas trop technique.
Il y a une boîte dont je tirais le nom,
dans le monde.
Donc quand t'as Google qui te dit
vous êtes rinquée, les gens regardent aussi ça,
vous êtes rinquée tant par rapport à votre compétiteur,
les gens qui regardent ça,
quand tu fais du Google Ads et du ciblage publicitaire,
c'est globalement ce que te dit Google.
Il y a une autre boîte dans le monde qui fait ça,
mais qui n'a pas de navigateur.
Et donc je ne dirais pas le nom.
Mais quand tu la regardes,
tu dis comment est-ce qu'ils font pour avoir
cette donnée de cross-session.
Et donc je ne savais pas.
Jusqu'au jour où les mecs viennent
et te disent on va racheter vos logs.
Et donc tu sais que tel IP,
tel navigateur,
telle version de navigateur,
tel système d'exploitation,
à rechercher tel truc à telle heure,
tel jour, mais il a aussi recherché tel truc
à tel heure, tel jour, puisque t'as accès
à tout navigateur, toi aussi, avec le DLL.
Donc à la fin, tu reviens,
ces gens-là rachètent le trafic
de plein de parasites
pour avoir une vue
d'ensemble.
C'est dingue.
Je dirais pas le nom de la société,
mais c'est assez chaud parce qu'il y a des sociétés cotées.
En bourse.
Tu te dis en faisant ça,
ils patchent leurs problèmes
immédiats du fait qu'ils n'ont pas ses infos
qu'on compare à Google,
mais en fait ils financent
tout les prochains parasites.
Ils utilisent de la donnée
qui est complètement étonnue
légalement. Si tu regardes
l'RGPD, t'es en bridge,
tu britches le RGPD,
c'est quoi le mot français pour bridge,
tu encasses le compte,
tu entraves l'RGPD complètement.
Donc je dirais pas le nom des boîtes,
je veux pas avoir de problèmes,
mais tu découvves tout cet écosystème
et tu dis c'est assez moissant,
et ça brasse des centaines de millions là-dedans.
C'est ça qui est fascinant.
On a tous
se souvenir un peu lointain
de ces histoires de bundle,
de next, next, next, et on soupçonne pas
que c'est juste le haut
d'un iceberg complètement dingue
avec une industrie qui brasse
des millions qui ont des pratiques
qui ressentent beaucoup à de la cybercriminalité
et qui dealent en même temps
avec les plus gros poissons de l'industrie publicitaire.
Il y a un côté
d'oscilles énormes.
C'est pourquoi on a mis du temps à se voir
et tu voulais faire un gros dossier.
Oui, mais peut-être qu'on le fera quand même.
Oui, c'est tendu.
J'ai eu beaucoup de journalistes
qui m'ont contacté
par rapport à ça.
J'ai pas
de preuve écrite parce que quand je parle d'un job,
j'enbarque pas les infos, etc.
Voilà, c'était il y a 10 ans,
donc je suis un peu couvert.
Mais il y a beaucoup de journalistes
qui voulaient savoir
comment ils pouvaient rentrer là-dedans,
donc j'ai jamais parlé sur ce jeu.
La deuxième fois que j'en parle,
j'ai parlé sur un podcast 5 ans, 6 ans,
peut-être 7 ans même,
à l'époque et je vois que ça a gêné beaucoup de monde.
Y compris le chercheur avec qui j'étais
ou quand je parlais,
il a quessé
et puis il disait si c'est vrai,
mais il ne voulait pas trop en parler.
J'espère pas avoir trop de problèmes.
Je me souviens pas mal de la communauté cyber,
cyber à dos aussi,
parce que je parle de trucs cyber,
mais je suis pas un hacker,
je suis pas un cyber,
je suis pas un Red Team ou Blue Team,
c'est un témoignage.
C'est un témoignage, voilà.
Je pense à une valeur de fou.
Honnêtement, quand il n'a pas au coeur
de ce système,
il n'y a pas d'autre moyen
d'avoir ce genre de témoignage.
Merci vraiment à toi d'être venu nous en parler.
Si je finis avec une balle dans la tête,
bon, on sera à plus sérieux.
Si vous avez vous-même des choses
à rajouter, à corriger
ou à témoigner,
n'hésitez pas à le faire en commentaire,
c'est pour ça, c'est pour discuter.
J'espère qu'on va te revoir
dans l'émission, parce qu'au-delà de cette histoire,
t'as quand même des expertises
vraiment très cool.
Et ça se voit que tu es pris
par le partage sujet,
et c'est très très cool.
Je pense que t'es d'accord avec moi.
C'était beau.
Je vous ai fatigué, c'est ça que ça veut dire.
Non, c'était vraiment super intéressant.
Je vous souhaite pour parler
de hardware,
de tout ça.
On est très chaudes de te revoir,
et le chat est unanimant.
D'accord, très intéressant.
Alors comment dit-on donc
Kégin...
Kéginer.
C'est à me dire, cuisinière breton.
Monsieur Kéginer, merci
énormément d'être venu.
Tu as démercie dans le chat,
le mec super émission, merci.
Merci à vous tous d'avoir suivi
tout ça ensemble.
Si vous avez raté des bouddhas d'émissions,
n'hésitez pas à follow cette chaîne Twitch
et surtout à vous abonner à la chaîne YouTube
où il y aura les prochaines publications
des enregistrements.
Et c'est un moment un peu particulier,
puisqu'on va pas se revoir
avant un certain temps.
Il y a une pause, il va y avoir une pause
de l'émission. On en a pas tellement.
Je crois qu'on en a pas parlé.
On a pas dit en fait.
Vous n'avez pas annoncé la pause ?
Non, on n'a pas annoncé la pause.
Mais là, il y a une pause.
Non, pas encore.
Il n'y a pas de pause sur YouTube.
Ne vous inquiétez pas, le catalogue est plein.
Vous allez avoir plein de vidéos
pendant mon absence.
Mais moi, je serai absent pendant un petit mois.
Pour la bonne et simple raison,
que je me marie.
Félicitations.
Je me marie.
Je serai pendant un mois.
Puisque je serai...
en vacances.
Ciao.
Merci.
Je suis pas très public.
C'est pas un truc que je vais
exposer, raconter ailleurs.
Que ici.
Vous êtes les prix légers du live.
C'est ça qui explique
cette petite pause en plein milieu d'année.
On reprendra.
Ce n'est pas la dernière de UNLERSCORE.
On en reparlera.
Dans un mois.
Le 26 juin.
En attendant,
vous aurez plein de vidéos.
Je vois plein de félicitations.
Merci à vous.
Je vous souhaite une très bonne soirée.
A la prochaine.
Salut.