Comment la pire faille de Linux a été trouvé par pure chance ?
HTML-код
- Опубликовано: 10 фев 2025
- Un développeur travaillant sur une base de données a découvert par hasard une backdoor dans une librairie de compression utilisée par de nombreux systèmes Linux (XZ), y compris SSH. Cette backdoor, aurait pu permettre un accès à des millions de serveurs.
Every Track an Essay - Possession
Every Track an Essay - Spurensuche
Every Track an Essay - Cryptic Code
Every Track an Essay - Dark Dark Internet
(CC-BY)
soundcloud.com/et_ae/
Le développeur PostGres qui passe sa nuit à chercher à comprendre les détails du fonctionnement de SSH alors qu'il lui suffisait d'arrêter le processus pour finir son travail, c'est un de ces nombreux obsessionnels qui améliorent le monde sans qu'on en entende jamais parler
Il était sur un serveur, donc si il arrêtait SSH, il n'avait plus accès à la machine non plus...
c'est un monstre, le gars à pris le temps de refaire les tests avec l'ancienne version pour comparer ! c'est un ouf ou un génie ou les deux XD
Je vous suis depuis plusieurs années, vos vidéos sont toujours passionnantes. Ce sont des sujets techniques complexes que vous expliquez parfaitement. Merci et bravo à vous.
Tu me fais kiffer 😄 je sors d'une nuit de taf (informatique bien sur) et je me tape ton super contenu ! Merci
J'adore ta narration et ta structure de l'histoire, vraiment cool, tout en restant subtilement technique
Y'a deux ans pour un salon du cyber "toutes les grosses enseignes étaient là", je posais la même question "Quelle est votre politique et votre approche du social ingeniering ?" Parfois mes interlocuteurs ne comprenaient pas, parfois on me regardait comme si tout ce qui n'est pas du code pur ne peut pas être un problème. C'est bien la preuve que l'ego, l'ignorance et la vanité est justement la plus grande des failles. YZ est l'exemple type d'une ingénierie de talent. Un agent "Green Flag" qui contribue legit, Un "Red Flag" qui va accentuer la pression et les papillons "la communauté souvent un noyau de 10 pour la psyops sur la target. Ce qui est fout est que certainement que ce pattern avec un peu de formation peut rapidement être écarté mais la nature humaine se croit toujours au dessus d'un "complot" Merci pour ta vidéo et vive l'openSource
Ce que vous avez écrit est incompréhensible, ça ne veut rien dire pour être plus précis. Et en français on parle d'ingénierie sociale.
Peut-être est-ce un langage codé dans la communauté de ce RUclipsr, pour parler de l'auteur du troyen et de son groupe.
Et aussi je pense que la chance à eu un rôle mineur dans l'histoire, le dev postgresql a l'air d'être un senior très expérimenté, c'est son intuition (expérience) qui a permis de trouver cette faille. Big up au dev qui a permis de sécuriser nos serveurs et postes clients. J'espère qu'il a touché une prime.
Je vous confirme que c'est un senior expérimenté, et en effet, la chance n'a strictement rien à voir avec la découverte de cette faille. C'est le principe du Logiciel Libre qui a permis de trouver ce troyen avant qu'il n'atteigne les branches stables..
Ce qui a permis de découvrir ce trojan deja ces pas un trojan mais une backdoor une backdoor sert a pouvoir revenir ce connecter même en ayant pu d'accès de connexion sur nimporte quel server ssh sans que personne y puisse voir tes log.. par exemple pour le cas la..un trojan sert a prendre possesion dune machine a distance et autre du genre copie frappe de clavier etc ca na rien a voir deja.. bref revenons ce qui a permis de decouvrir cette backdoor ces le fait que des bots essaie de ce connecter via ssh sur la machine ce qui a fait qu'il ya eu des différence de perf sur le cpu que le server ssh utilise alors qu'il devait pas yen avoir vu que les connexion au server était refuser..apres tu peu faire de ta backdoor un trojan mais une backdoor a part entiere nest pas un trojan je tient a le preciser quand meme et la pour le coup ya rien qui te fait dire que ces un trojan ^^' quand ont connais rien à l'informatique ont fait pas le type qui connais ^^' bref..
@@0okazeet pareil parle pas de fail ce n'est pas une fail une faille ces utiliser un code erroner qui a etait creer par quelqu'un dautre pour le modifier à son insu dans le cas présent c'est le co-modérateur du programme qui a lui même installer cette backdoor donc rien à voir à une fail..bref fait pas le connaisseur la prochaine fois car tu raconte n'importe quoi..
@@0okazeLa seul chose que ta raison ces queffectivement le gars était expérimenter mais fait pas le gars qui connais son prestige car tu y connais rien toi même en faite ..
@@0okazeEt le principe du logiciel libre mais personne avait capter qu'il yavais une backdoor dans le programme donc encore une fois tu raconte vraiment n'importe quoi.. le gars aurait pas fait un test benchmark sa n'aurait jamais etait decouvert donc ton principe du logiciel libre hein ^^' et ça avait était mis en beta sans que personne sans rendent compte donc logiciel libre..oui oui ^^'
6h du matin, première vidéo du jour 👌👌
jme suis chier jvoulais mettre 6pm haha
Pareil mdr ! Merci ca fait quelques années que je te suis et la qualité des vidéos est en progression permenante ! Merci pour ton travail !
merci 🙏🏽 J'essaye de toujours ameliorer un peu :)
Superbe vidéo ! Je ne commente habituellement pas mais j'ai réellement ete absorbé par ta video, bravo !
De nouvelles anecdotes à raconter ça fait plaisir 😉
Je m'abonne !
Une histoire incroyable, qui m'a fascinée, excellemment bien racontée !
GG, très bonnes recherches. :)
Merci pour cette vidéo ! J'aime beaucoup l'évolution que tu suis ces derniers temps, à être moins dans le "waw, incroyable, ce qui va suivre va vous retourner le cerveau", avec du teasing qui dure et où on passe le temps à attendre la révélation.
Ça contribue grandement à la qualité de ton travail.
Merci pour la vidéo. C'est de loin mon histoire pref du monde de l'informatique ! Sympa la nouvelle DA. Parcontre, j'ai l'impression qu'il y a quelques fluctuations au niveau du gain du micro par moment.
On ne dit pas Deubian ! Debian est la compression de 2 prénoms Debby et Ian. La prononciation officielle de Debian est « déb-yann ». Le nom tire son origine des prénoms du créateur de Debian, Ian Murdock, et de son épouse, Debra. 👍
Merci pour ton intervention, des infos supplémentaires pour une prononciation..
Murdock, c'est pas le super méchant de Mac Gyver ?
@@ekhaion3296😂😂😂 Exactement
accent franssé !
@@ekhaion3296 Non c'est un inspecteur de maréchaussée de Toronto 🤣.
Je les ai regardés plusieurs fois tellement que le sujet est intéressant
Grâce à la vidéo, j'ai fait un oral en cours sur le sujet qui a captivé tout le monde. Continue comme ça, c'est trop intéressant
Passionnant, & excellemment raconté !
Big up pour le fond vert associé à l'éclairage parfaitement in tune 😉
J'aimerais relativiser un peu 2 points:
1. Un admin qui met en production une debian unstable/testing est TOTALEMENT incompétent.
Une pratique courante est d'installer une version stable le jour de l'achat du serveur et de ne jamais faire de mise à jour de version majeur sur cette machine. C'est l'intérêt des version LTS (long time support).
2. Le boulot de quelqu'un qui fait des micro benchmarks, c'est de faire des benchmarks. Si quelque chose (processus, interruption matérielle…) peut se déclencher de façon impromptu et parasiter le test, c'est évidemment mal. Il est donc évident que ce genre de personne va détester une option qui overclock le processeur toute seule.
Ce sont les point que j'ai vu directement, il y en a peut-être d'autres.
Tout ça pour dire que, oui, on a eu chaud aux miches. Mais quand même un peu moins que ce que la vidéo suggère.
tout à fait d'accord.
Unstable qui deviendra LTS...
Unstable qui deviendra LTS...
C'est si bien raconté que je vais aller éplucher le reste de ta chaîne, beau travail merci c'était palpitant !
Merci pour cette vidéo Cocadmin ! Fascinante histoire.
Avant de partir rn cours je vois une video du goat, je suis obligé d'attendre avant de vour ce vidéogramme passionnant, continu comme ça !
Merci bcp CocaAdmin pour cette vidéo excellentissime et pleine d'informations intéressantes. C'est d'ailleurs régulièrement le cas pour le contenu que tu publie :) Très bonne continuation !
abusé le boulot de recherche.... violent le Jamy du hack ! Bravo 👏👏👏
Vous savez captiver l'attention, c'est hyper passionnant et bien narré, un grand merci.
"De toute façon les chinoiiiiiss...." (chicandier) 😂😂😂
Super vidéo, dommage, il manque la partie expliquant comment le fichier obfusqué se retrouve dans le binaire final et surtout comment ce fichier est appelé dans le programme principal.
yep mais cette partie est bien trop compliqué pour moi et 99% des gens je pense malheureusement 😅
@@cocadmin Dommage, j'avais la même remarque. Si quelqu'un a l'info !! On part toujours du principe que les fichiers de tests n’interfèrent jamais avec le fonctionnement en production.
@@cocadmin De ce que j'ai pu lire, il semble qu'il y ait une première injection de code depuis le fichier de test caché/offusqué vers le code actif lors de l'extraction de l'archive. Ce code injecté consiste en un bout de code qui "choisit" dynamiquement - au démarrage - une fonction utilitaire a appeler, ainsi que la nouvelle l’implémentation de cette fonction utilitaire. Il y a donc une deuxième "injection" utilisant des fonctionnalités du compilateur C. La fonction utilitaire est utilisé lors de chaque traitement de la clef fournie par l'utilisateur par openSSH, et le remplacement par la fonction malveillante ne se fait que dans les cas ou la faille est exploitable - toujours lors du démarrage du système.
La subtilité supplémentaire, c'est que ce nouveau code qui permet de choisir puis d'appeler la fonction malveillante, ne devrait pas être actif normalement. En effet l'injection/choix de la fonction n'est possible qu'au démarrage du système, et c'est un patch récent (pour une application tierce - pas de détail sur l'origine ?), qui fait que OpenSSH charge SystemD au démarrage lui même chargeant liblzma. J'ai quand même un doute à se sujet, mais je n'ai pas trop de connaissance concernant systemD.
J'ai fait une erreur. Ce n'est pas systemD qui est chargé (lui est évidement actif au démarrage, c'est même son rôle) mais une librairie libsystemd. Je pense donc qu'il y a une erreur dans la vidéo. Car cette librairie interagit avec le gestionnaire de démarrage (systemD), ce n'est pas une partie de ce gestionnaire. C'est côté OpenSSH que cela ce passe - lui est a priori lancé au démarrage. Donc peut-être problème de sécurité côté OpenSSH ?
Je kiffe trop le background 😍
À part super bien la vidéo et le story telling
Même si j'avais déjà vu d'autres vidéos à ce sujet, ton story telling est vraiment le meilleur.
Enorme !! Excellente video, tu racontes super bien ;)
J'aime beaucoup généralement le contenu que tu proposes, mais la c'est la meilleure , cette histoire est juste dingue, et comment s'est raconté et belle morale à la fin. Et vive l'open source ... c'est un peu comme les abeilles dans l'agriculture, sans la pollinisation on estime à des dizaines de milliards le cout de leur travail, même chose pour le monde du numérique, sans l'open source toutes les boites/services du numériques devrait tous coder de A à Z..
Merci et bravo pour cette vidéo🤩
Histoire passionnate et super bien raconter, merci a toi.
C'était expliqué dans un ordre très facile à suivre, merci!
Toujours dingue tes vidéos. hyper bien vulgarisées !!
Sympa cette vidéo, j'aime bien le format.
Je suis d'accord avec la conclusion. Il aurait fallu au moins deux ans pour que cela soit déployé sur un serveur de production contenant des données critiques, après avoir été minutieusement analysé par tous les ingénieurs de RH, Google, Amazon, Microsoft, Canonical, Debian, etc. Quelqu'un aurait fini par trouver la faille. Donc les seuls qui prennent des risques ce sont des particuliers qui s'amusent à faire des serveurs sur des versions testing / unstable.
+1. Et même avec ça, les grosses multinationales analysent le trafic réseau et auraient remonté le truc. Le mois dernier, une faille sur l'IPV6 a été détectée sur windows : juste en envoyant une requete ipv6 forgée bizarrement, ça permettait de faire de l'exécution de code à distance. Une zero day zero click juste en ayant l'IP de la machine. Elle a été détectée en analysant le trafic réseau et remontée immédiatement à Microsoft (sévérité de 9.8/10 commêm). Même s'il faut saluer la performance de mettre une backdoor sur linux sans être détectée pendant aussi longtemps, quelqu'un aurait fini par soulever le lièvre juste en regardant le trafic réseau. Une IP cheloue qui se connecte en remote sur une machine, ça se voit vite quand on fait correctement le boulot.
@@lulalelilo +2. Perso j'accuse grandement la NSA, elle à quand même demander à Linus de mettre une backdoor dans le noyaux. Comme à bien conclus cocadmin, c'est du travail de haut niveau,sophistiqué et qui à demandé beaucoup de temps et de compétence ce qui prouve grandement l'implication d'un groupe derrière;)
@@lulalelilo si ça se voit si facilement c'est que l'auteur de cette attaque sait très bien que ça va vite se faire savoir, donc si on analyse bien on déduit que le but de cette attaque est de frapper fort là où ça fait mal et ce très rapidement du genre télécharger le max de documents confidentiels des gouvernements ennemis ...etc, et même si un patch arrive rapidement le mal est fait
C'est tout le problème dans le camp de bisounours. Ils croient toujours que les méchants s'attaquent à des coffres-forts blindés protégés par des armées. Alors que les données et les comptes en banques des particuliers et des PME qui n'ont pas les moyens et les connaissances pour se protéger sont à portée de main.
On vous donne le choix entre risquer votre vie face à une armée pour tenter de voler 1 tonne d'or ou chaparder une part de tarte qui refroidit sur le bord d'une fenêtre avec la possibilité de prétendre que c'est un chien ou chat qui a fait le coup. Vous prenez quelle option ?
Les hackers ne sont pas plus idiots que la moyenne. Ils tapent sur les cibles faciles en priorité.
Donc évidemment que la faille sera forcément détectée un jour par des analystes de haut niveau. Mais en attendant le gars qui l'a installée il a le temps de moissonner un peu.
Toujours des vidéos superbe, t'es trop fort 🔥❤
Super vidéo, merci à toi pour cette explication claire !
Ps : pas "malicieux" mais "malveillant"...! Un peu comme crypter et chiffrer.
Intéressante vidéo, mais le titre est complètement incorrect. Linux n'était pas affecté, mais une bibliothèque spécifique sur certaines distributions (sur laquelle linkait certains programmes). C'est comme si on disait "La plus grosse faille de sécurité sur Windows" parce qu'on a trouvé une backdoor dans Fortinte. L'implémentation XZ du kernel n'était, à ma connaissance, pas affectée.
Après là tu compares Fortnite à une lib utilisée par SSH, c'est un peu gros. Indirectement, ça reste une énorme faille
Le titre n'est pas incorrect ça revient au même, les failles viennent souvent des applications, on peut le comparer à la faille de VLC .
vla le kass kouilles, en + tu fais toi même une erreur en comparant a Windows car Linux n'est pas un OS mais just un noyo...
@@Jackson-Seanelle n'était pas candidate au kernel cette version ?
openssh est utilisé par 99% des serveurs linux, pas sur de la comparaison avec fortnite
Hyper intéressant… et incroyable ! Merci.
Le truc amusant, c'est que cette faille, c'est retrouvée dans Kali Linux.
Salut, merci pour ce travail méticuleux de vulgarisation 🎉
Magnifique vidéo, très belle pédagogie chef!!!
Wouahou même la tête dans le luc avec les premier café du matin j'étais scotché du debut à la fin !
Quel dinguerie a tout niveaux. Tous les aspects de ta vidéo sont top. Et on se dit qu'on reverrai d'avoir les compétences de ces 2 gars (jia et le gars qui a investigé). Un immense merci pour ce short de hard real IT 😅
Ça m'as fait pensé à la vidéo de MiCode concernant le gars qui avait modifié le programme de la loterie. Patience, compétences et génie.
D'où as-tu trouvé toutes ces informations concernant cette affaire ? Une vidéo EN ? Un fil X ou reddit ?
Imagine, tu prépare un plan quasi infaillible pendant plusieurs années pour avoir une backdoor sur toute machine Linux, et dès que tu le mets en prod, il saute en quelques jours parce qu'un obsessionnel le grille.
Le travail de vulgarisation est incroyable, j'avais déjà et ecouté des trucs sur la vuln mais j'ai quand même tout regarder tellement c'est limpide.
Merci pour ces explications mises à jour.
je kiff ce genre de vidéo, big up :-)
excellente vidéo, le story telling est parfait 😁👍
sur la vignette "hack tous les linux.exe".. 🤣 j'adore le troll !!! 🤣🤣🤣
Tout bonnement pa-ssio-nnant. Tout comme l'analyse de l'attaque Stuxnet. Merci de nous vulgariser ce domaine extrêmement complexe.
Je n'attends que a regarder cette vidéo ❤❤
Merci pour cette vidéo !
C'était hyper passionnant. Et j'ai bien rigolé sur la vanne cancel
Vraiment trop interessant ! la vidéo déchire !
Un vocabulaire simple et accessible, une vidéo qui aurait être un peu plus courte, mais ça va, des belles illustrations... Bien joué!
ca c'est de la clairvoyance, big up pour l'analyse de NC
J'avais lu quelques papiers lors de la découverte de la faille, j'ai toujours du mal à croire au scénario de la découverte, mais si tel est bien le cas un grand merci à celui qui a trouvé ça. Nous avons eu beaucoup de chance.
Je connaissais l'histoire alors que je suis pas un nerd... c'est agréable à écouter donc je réécoute merci
Sacrée histoire. Merci pour le partage.
Excellent comme dhab
Merci
Incroyable
VIdéos très intéressante 👍👍 Mais il est 5h30 de mon côté 😅
Haha mais t’es réveillé quand même ;)
Merci pour la video, j'avais suivi rapidement l'histoire mais je n'étais pas rentré dans le detail, c'est bien raconté. J'ajouterai juste une chose, quand ta machine est sur internet, normalement, tu n'expose pas le port 22 au monde entier. Au minimum tu as un iptables ou équivalent avec une whitelist d'ip. L'attaque ne m'avait pas semblé si grave pour cette raison.
Super interessant
🙏🏼 Merci chef!
Vidéo vraiment quali c'est très très agreable à écouter
Super story telling 😊 merci
je commente rarement, cette vidéo c'est une masterclass on en redemande !!
ouf, à la fin, c'est juste debian testing qui a été touchée, et peut être des rolling release... moi j'ai pas de rolling release et puis j'ouvre ssh que quand je pars en vacances... Sympa comment tu raconte, je m'abonne...
Incroyable ! J'avais jamais entendu parlé de cette histoire !
la petite vidéo devant le café 💪, la durée de la vidéo sera la durée maximum pour le petit déj sinon c'est la galère
Super video , j ai tous compris , merci !!!
enfin "tous" ...disons que j ai compris le truc :)
Bonjour Monsieur, je suis un fidèle auditeur de votre belle chaîne RUclips même si je ne commente jamais vos réalisations, cette fois je me vois contraint d'intervenir pour vous dire que cette vidéo c'est du putin de bord'elle de dieu de bonne vidéo, feuque !
Histoire incroyablement bien racontée ...
Incroyable vidéo !!!
Super vidéo ! 👏
Cette video c'est un pur cafe de developpeur
Super vidéo ! ^^
très bien expliqué
hello vidéo très très intéressante ! (comme d'hab)
Par pure chance ? Je ne suis pas d'accord ! J'aurais plutôt dit : par pur nerdisme ^^
Quel est le lien de la vidéo supposée s afficher à la fin de la vidéo? Je ne vois rien
Merci pour cette vidéo! Elle est top!
je parlais de cette video ruclips.net/video/CacYbx-VTh8/видео.html
@@cocadmin merci!
C'est un véritable artiste le mec qui a pensé ce plan
Il semble assez clair qu'il s'agit d'une opération d'état chinoise ou nord coréenne.
Seuls les états lancent ce type d'opérations sur des années
Note: xz a été popularisé par l'outil du même nom installé sur tous les OS modernes et pas par 7zip qu'il faut aller chercher et qu'on trouve rarement. xz, tout comme gzip, est utilisé nativement par tar par exemple lorsqu'on veut extraire une archive, et c'est pour cela qu'on voit plein de tar.bz2 (et parfois même les tar.gz) délaissés au profit du seul tar.xz.
J'ADORE ! merci !!!
Quelle histoire ! Merci !
Je suis d'accord que ça montre la force de l'open source, car finalement des années de travail d'agences gouvernementales sont réduites en miette par un barbu qui fait ses tests de base de données dans son garage.
Avec une nuance, une leçon je trouve : l'auditabilité c'est bien, mais l'auditabilité n'est pas l'audit. Ce n'est pas parce qu'on peut regarder le code que quelqu'un le regarde.
Et ça c'est plus un message pour les Red Hat ou Canonical qui vendent du "support" sur de l'open source. C'est aussi leur boulot.
Bref, il nous faudra toujours des barbus ultra-experts et bien intentionnés pour faire de la review poussée bas niveau, et pas juste des Jean-Michel "j'aime l'open source" (comme moi, j'avoue) qui se contentent d'utiliser le tout voire jettent un micro coup d'oeil quand c'est du python ou du bash...
Superbe vidéo !
Excellent video
Super video de storytelling !!!!
Thanks 🙏🏼
L'apparence d'un code obfusqué(crypté) est très particulier, ce détail aurait dû alerter car sur le principe, un code partagé doit être normé, clair et commenté, donc précisément le contraire d'un cryptage
Si vous voulez plus de détails techniques trackoverflow en mie en ligne la back door du logiciel sur son site est le faille et attack c'est du génie.
Excellente ta vidéo résumée sur xz
Merci! 🙏🏼
Je connaissais l'histoire, mais tu l'a raconte trop bien ❤ Mais ce n'est ni les chinois ni les russes. L'a cible c'est ASTRA LINUX !
Du coup cela soulève une autre question,tous les systèmes qui ne sont pas open source,et utilisé par la plupart des gens , comment leur faire confiance et savoir si ça ne contient pas potentiellement des backdoors
exactement ;)
Vous dites plutôt « Deubiant » ou « Débianne » au quotidien ?
Arch Linux
Bonjour,
J'espère que tu as un peu de temps pour répondre à ma préoccupation.
J'ai récemment installé Docker sur AlmaLinux 9, mais je rencontre un problème avec les conteneurs MySQL 5.7. Lorsque je les exécute, j'obtiens une erreur de permission : Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (111).
Curieusement, en lançant un conteneur avec la dernière version de MySQL en utilisant exactement les mêmes configurations (volumes, variables d'environnement, fuseau horaire, etc.), tout fonctionne normalement.
Aurais-tu une idée de ce qui pourrait causer ce problème ?
Merci d'avance pour ton aide.
PS: j'ai aussi le même problème sur Centos 9 stream Mais pas sur Centos 7
Hello Thomas, merci pour cette vidéo. Retour
À plusieurs reprises on voit ton écran avec VS code. Quel est le thème que tu utilises s’il te plaît merci
plusieurs e nfonction de la scene, c'est des themes par defaut a part peut etre le tres sombre qui est hyper yellow je crois
Masterclass 10 sur 10👏
Le storytelling 👏🏻👏🏻
j'aurais jamais imaginé qu'un programme open source puisse avoir une backdoor c'est un truc de dingue 🤯🤯
et le pire c'est la façon avec laquelle la backdoor est rebobinée 🤯, on a surement affaire à une agence gouv car c'est forcément une intelligence collective mal saine et bien structurée qui a concocté tout ça
ce XZ est la 2ème faille de sécu qui m'a le plus choqué après la faille de VLC
La vidéo me fait demander et sur windows possible ?
Et aussi savoir les force entre windows appel et linux a tu un avis ?
Merci pour cette superbe vidéo
1. Oui
2. Windows: polyvalence. MacOS: Facile et sécurité. Linux: Stabilité et sécurité.
PS: Techniquement MacOS est une distribution Linux.
@@DivisionOfTheLightMacOS vient plutôt d'Unix non?
@@lorsal Oui tu as raison mais je vulgarisait pour rester simple.
Quelle histoire absolument incroyable 😲