Ce genre de cas, yen a 10 par an approximativement que ce soit Linux, mac ou Windows

😅

A l'échelle de l'Etat, utiliser l'OpenSource c'est surtout un moyen de ne pas dépendre de multinationales américaines.

@@MtTheToto Comment ne pas vivre dans un monde qui dépend des multinationales américaines si les personnes motivées pour s'en passer ne veulent surtout pas financer le développement d'alternatives ?

oui c'est ça le dev en question était contributeur sur PostgreSQL et il analysait un problème de perf durant les tests sur une pre-release Debian.

Aucune chance que quiconque relise le code des mises à jour de chaque dépendance. Vous rêvez.

Le résumé donné par Harddisk est trop court et peut prêté à confusion. Le type bossait chez Microsoft (pas en cybersécurité) mais c'est en temps que contributeur postgreSQL (une base de donnée open source) qu'il a trouvé le soucis. Il y avait un problème de performance remonté par les tests sur une nouvelle version d'une distribution linux (Debian en pré release) et pour avoir des chiffres de performances correctes, il mesurait le "coût" en perf des autres services déjà présent. C'est là qu'il a vu que sshd (le serveur ssh lancé en tache de fond) était plus lent que prévu au démarrage sur cette machine en particulier. Et c'est là qu'il a commencé à enquêter. Il n'arrivait pas à avoir les symboles de ce qui coutait en perf (le nom des fonctions alors que normalement elles ne sont pas enlevées). Ensuite le truc bizarre c'est qu'en recompilant l'outils a la main (pour espérer voir les symboles de debug), il ne reproduisait plus le problème. A partir de ce moment là c'est louche. Et de proche en proche pour quelqu'un de motivé, ça devient visible. Le code source donné aux distributions linux étaient légèrement différent du github. Et une fois qu'on voit les lignes en plus, ça devient plus facile de savoir où creuser. Le ralentissement de sshd venait de la backdoor qui au démarrage scannait tous les symboles du binaire pour remplacer le bon. Avec un peu plus de temps, les pirates auraient sans doute pu corriger ce problème mais ils étaient pressé par le temps. En effet, dans les projets ssh et systemd (la dépendence intermédiaire entre ssh et xz), des dev étaient en train de passer les dépendances en dynamiques. C'est à dire qu'au lieu d'être charger au démarrage, elles seraient chargées à la demande. Et donc impossible de remplacer les fonctions de ssh (cela n'est possible qu'au démarrage quand le linker résous les adresses de fonction). Cela aurait foutu plus de 2 ans de travail à la poubelle pour les pirates.

On parle d'un gars random chez Microsoft pas parce-qu'il n'est pas compétent ou quoi, mais parce-que dans son cadre de travail il n'est qu'un utilisateur de SSH pour son travail sur les bases de données. Dans ce contexte, il était peu probable qu'il découvre volontairement que son problème de ralentissement de PC venait de SSH et que l'origine venait de la génération de paquets (debian, redhat, arch...) de XZ utils (et non pas du code source en lui-même). Merci à lui d'avoir été assez curieux pour être remonté aussi loin et pas simplement avoir ouvert un ticket de bug.

yep je partage le même point de vue

Merci au ''taré de microsoft''

Bro, la vidéo a été publiée il y a une heure et on est, genre, un DIMANCHE

Maintenant va dire la même chose à KZbin si tu te sens aussi chaud!😊

Y'a des bots sur toutes les chaînes de yt c'est pas faisable de modérer

Pensez surtout à signaler aussi au lieu de poster ça ! Car 1, ce n'est en rien la faute ni la responsabilité du créateur du contenu de gerer les bots. Et 2, c'est en signalant les comptes des bots qu'ils seront viré.