Tronche de Tech

• #45 - Mathis Hammel - L'éternel bug Python

  En 2019, ce français a trouvé un bug dans Python. 🐍 Un bug, que personne n’a encore réussi à corriger. À l’époque, Mathis est en pleine création d'un CTF. Un challenge de hacking. La dernière épreuve est une épreuve de cryptographie. Hacker un “PRNG”.Un PRNG, c'est une fonction mathématique permettant de générer des nombres aléatoires…Qui il ne le sont pas vraiment.Car les PRNG ont une faiblesse.Il suffit de connaitre les derniers nombres tirés pour prédire tous ceux qui vont suivre.Un peu comme si, à partir des 3 premiers numéros du loto, vous pouviez prédire tous les suivants.Donc, quand on veut vraiment faire de l’aléa “sécurisé”…On n’utilise SURTOUT pas un PRNG.Mathis sait bien tout ça.C’est exactement pour cette raison qu’il va glisser un PRNG dans son épreuve.Les participants vont devoir trouver un moyen d’extraire les tirages précédents du PRNG pour prédire un mot de passe.Mais un truc cloche.Lors de ses tests, Mathis est perplexe.Il ne réussit son propre challenge qu’une fois sur 2.🤔Il a beau le tourner le problème dans tous les sens, son raisonnement et son code sont corrects.Bon sang, ça devrait marcher !Enfin…Sauf si…Il y a un bug dans le PRNG de Python.Mathis retrousse alors ses manches et se plonge dans le code source du langage.Et après quelques heures…Bingo !Fichier random.py, ligne 248.Une fonction qui s’emmêle les bits 😅Bien sûr, Mathis se met en tête de le corriger.Mais ça ne va du tout se passer comme prévu.4 ans plus tard, ni Mathis, ni personne d’autre, n’a pu le corriger.Pourquoi ?La réponse, je laisse Mathis Hammel en personne vous la dévoiler.Bonne écoute 🎧PS : dites-nous ce que vous pensez de l'épisode en commentaire (et surtout, abonnez-vous !)Dans cet épisode, on a parlé de :la vidéo de Sylvqin sur la croix de pharmacie : https://www.youtube.com/watch?v=ghh-28ln-z4le réseau d'entreprises fictives sur Linkedin : https://mathishammel.com/blog/reseau-entreprises-fictivesla tentative de manipulation de l'élection de 2022 : https://mathishammel.com/blog/manipulation-politique-zemmourfaire griller un stop à une voiture autonome : https://www.youtube.com/watch?v=IAijME2ifKY&ab_channel=OSSIRle bug python impossible à corriger : https://mathishammel.com/blog/bug-python-random-----------------------------------Retrouvez Mathis sur :son site : https://mathishammel.com/linkedin : https://www.linkedin.com/in/mathis-hammelbluesky : https://bsky.app/profile/mathishammel.bsky.social---------------------------------Je suis Mathieu Sanchez, CTO d'Acasi, et pour me suivre, c'est principalement sur Linkedin : https://www.linkedin.com/in/matsanchez/Vous pouvez aussi suivre Tronche de Tech, sur vos réseaux favoris :- Linkedin : https://www.linkedin.com/company/tronche-de-tech/- Instagram : https://www.instagram.com/tronchedetech/ Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.

  --------  

  1:24:11
• #44 - Karolina Gorna - Les failles d'Ethereum

  Cette française est en train de faire trembler le web3. Et l’Ethereum en particulier. Comme toutes les blockchains, Ethereum fait face à un trilemme. 1️⃣ Sécurité. 2️⃣ Scalabilité. 3️⃣ Décentralisation. Pour tenir ses promesses, une blockchain doit assurer dans ces 3 domaines. Impossible d’avoir des transactions fiables, si ce n’est pas sécurisé. Difficile de faire confiance, quand on est trop centralisé. Et personne ne pourra utiliser, si elle ne sait pas scaler… Entre ces 3 alternatives, malheureusement il faut choisir. Enfin, plutôt… Optimiser. Car quand on améliore l’un, on dégrade souvent les autres. À l’instar du Bitcoin, l’Ethereum a d’abord mis le paquet sur la sécurité et la décentralisation. Logique. Mais du coup, niveau scalabilité, c’est pas foufou. Il faut parfois attendre 3h pour valider sa transaction. Pas pratique quand vous voulez juste acheter une baguette à la boulangerie… 🥖 C’est là qu’interviennent les “rollups”. Des technos dites “layer 2” qui viennent décharger la blockchain, et décupler sa performance. 🚀 La rendant ainsi sécurisée, décentralisée ET scalable ! Oui, mais y’a un hic. Ces “rollups” fournissent à peu près les même services que la blockchain. Et souvent, ils utilisent même à peu près le même code. Le même langage. Une sorte de SPOF, comme on dit. (un “single point of failure”) Une faille dans dans un de ces bouts de code, ou dans le langage sous-jacent… Et vous pouvez dire adieu à vos Ether 👋 Si ce n’est pas carrément, à tout l’éco-système... Karolina sait bien tout ça. Car tous les jours, elle s’efforce de trouver cette faille ultime. Avant que d’autres ne la trouvent. Peut-être même… Qu’elle aurait déjà réussi. 😏 Réponse dans cet épisode, avec la brillantissime… Karolina Gorna. Bonne écoute ! PS : dites-nous ce que vous pensez de l'épisode en commentaire (et surtout, abonnez-vous !) Dans cet épisode, on a parlé de : l'épisode #42 sur la crypto post-quantique avec Melissa : https://open.acast.com/public/streams/6484c005e432cf001030c493/episodes/67c22f0facf7d850b38c72af.mp3 l'épisode #35 sur l'intrusion physique avec Anthony : https://open.acast.com/public/streams/6484c005e432cf001030c493/episodes/67338b0ad2a59a72534e75b1.mp3 "Le cerveau bleu", le livre de Serge Humpich : https://www.fnac.com/a1152595/Serge-Humpich-Le-cerveau-bleu l'article de l'équipe de Ledger sur la test de sécurité de hardware wallet : https://www.ledger.com/why-secure-elements-make-a-crucial-difference-to-hardware-wallet-security le site "lawifi.fr" : https://www.lawifi.fr/ ----------------------------------- Vous pouvez retrouver Karolina Gorna sur Linkedin ici : https://www.linkedin.com/in/karolina-gorna-29210a194 --------------------------------- Je suis Mathieu Sanchez, CTO d'Acasi, et pour me suivre, c'est principalement sur Linkedin : https://www.linkedin.com/in/matsanchez/Vous pouvez aussi suivre Tronche de Tech, sur vos réseaux favoris :- Linkedin : https://www.linkedin.com/company/tronche-de-tech/- Instagram : https://www.instagram.com/tronchedetech/- TikTok : https://www.tiktok.com/@tronchedetech- Twitter : https://twitter.com/TroncheDeTech Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.

  --------  

  1:20:40
• #43 - Eddy Montus - Au coeur d'une cyber-attaque [Spécial Podcasthon]

  Pendant 3 mois, ce tech a été la cible d’une cyber-attaque massive.Jour et nuit, il a résisté à un adversaire toujours plus “créatif”.Fin Janvier 2024.Quelques mois avant les JOs de Paris.En France, la tension monte.Les cyber-attaques contre les entreprises se multiplient.Et quand on gère plus d’un milliard d’euros de transactions bancaires, on ne fait pas exception.Ce soir là, chez HelloAsso, une alerte se déclenche.Trop de traffic.Beaucoup trop de traffic.Mais bon, ce n’est pas une première.Quand on fournit des services à autant d’associations, il est courant que certaines fassent polémique.Et au 21ème siècle, qui dit polémique dit…Cyber-attaque.Mais aujourd’hui, c’est différent.Aujourd’hui, c’est du sérieux.Car ce n’est pas une asso qui est ciblée.Non.C’est le système d’authentification.Quelqu’un en a après les données des utilisateurs.Et ce “quelqu’un” semble vraiment déterminé.Chaque jour, l’équipe met en place de nouvelles défenses.Chaque nuit, l’attaquant les contourne.Ce jeu du chat et de la souris va durer 3 mois.3 mois, où l’équipe infra d’HelloAsso va exploser le nombre d’heure d’astreintes.War room, sur war room, sur war room.Les détails de cette bataille, Eddy Montus a accepté de tous me les livrer dans ce nouvel épisode (spécial Podcasthon !).Bonne écoute !PS : dites-nous ce que vous pensez de l'épisode en commentaire (et surtout, abonnez-vous !)-----------------------------------Eddy Montus est responsable infra chez HelloAssoVous pouvez le retrouver sur Linkedin ici : https://www.linkedin.com/in/eddymontusLe Podcasthon, c'est un rassemblement caritatif de milliers de podcasts qui mettent en avant une association ou une ONG de leur choix.Cette année, ça se passe du 15 au 21 Mars : https://podcasthon.org/---------------------------------Je suis Mathieu Sanchez, CTO d'Acasi, et pour me suivre, c'est principalement sur Linkedin : https://www.linkedin.com/in/matsanchez/Vous pouvez aussi suivre Tronche de Tech, sur vos réseaux favoris :- Linkedin : https://www.linkedin.com/company/tronche-de-tech/- Instagram : https://www.instagram.com/tronchedetech/- TikTok : https://www.tiktok.com/@tronchedetech- Twitter : https://twitter.com/TroncheDeTech Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.

  --------  

  1:08:11
• #42 - Mélissa Rossi - La crypto "post-quantique"

  Pendant que le monde entier a les yeux rivés sur l’IA, la menace quantique se précise. Heureusement grâce à elle, la France met les armes de son côté. Ça fait 6 mois que les choses semblent s'accélérer, vitesse grand V. D’abord les chinois 🇨🇳 Qui ont tapé très fort avec leur nouveau processeur quantique. Puis Google. Qui a répliqué avec sa nouvelle puce, Willow. Et enfin, Microsoft. Qui voulait pas être le dindon de la farce 🦃 (”hé, hé, moi aussi, moi aussi” 👋) Au milieu de ce brouhaha d’effets d’annonces, peu de gens voient clair. Sans parler des fantasmes qui entourent ce mystérieux “ordinateur quantique” et qu’on croit être une machine à la puissance de calcul démesurée. Spoiler : ce n’est pas le cas.Ni aujourd’hui...Ni demain !Pourtant certaines découvertes ont des conséquences très concrètes, dès maintenant.En particulier, sur notre vie privée en ligne.La protection de nos mots de passe.L’anonymat de nos conversations.La valeur du Bitcoin 😱Mais aussi, et surtout…Sur la sécurité des États.Tout ça à cause d’un simple algorithme, qu’on appelle :”L’algorithme de Shor.”Un algo qui permettrait de révéler certains des secrets les mieux gardés de ce monde.Qui met à mal des années de recherche.Et rend obsolète tout un pan de l’infrastructure d’internet.Heureusement, c’est là qu’intervient Mélissa.Car sa mission, c’est de reconstruire ce pan, avant qu’il ne s’effondre.Comment ?En créant de nouveaux algorithmes, résistants à celui de Shor.Pour que ce qui est encore secret aujourd’hui, puisse le rester demain.Bonne écoute 🎧PS : dites-nous ce que vous pensez de l'épisode en commentaire (et surtout, abonnez-vous !)Notes de l'épisode :- le fameux PDF de 220 pages sur les algos quantiques : https://exo7math.github.io/quantum-exo7/livre-quantum.pdf- le concours "Alkindi" pour les collégiens : https://concours-alkindi.fr/- le CTF de l'ANSSI : https://cyber.gouv.fr/france-cybersecurity-challenge- pour s'entrainer sur l'historique du CTF : https://hackropole.fr/fr/- en bonus, un guide de l'ANSSI sur la Cryptographie : https://cyber.gouv.fr/sites/default/files/2021/03/anssi-guide-selection_crypto-1.0.pdf---------------------------------Retrouvez Mélissa sur https://www.melissarossi.fr/Le concours Alkindi pour initier les ados à la cryptographie : https://concours-alkindi.fr/--------------------------------Je suis Mathieu Sanchez, CTO d'Acasi, et pour me suivre, c'est principalement sur Linkedin : https://www.linkedin.com/in/matsanchez/Vous pouvez aussi suivre Tronche de Tech, sur vos réseaux favoris :- Linkedin : https://www.linkedin.com/company/tronche-de-tech/- Instagram : https://www.instagram.com/tronchedetech/- TikTok : https://www.tiktok.com/@tronchedetech- Twitter : https://twitter.com/TroncheDeTech Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.

  --------  

  1:07:28
• #41 - Stanislas Polu - Sous le capot d'OpenAI

  Ce français a bossé chez OpenAI pendant 3 ans. Ce qu’il y a fait est tout simplement hallucinant. Pour bien comprendre son histoire, revenons en Juillet 2019. Stan vient juste de quitter Stripe pour se lancer dans l’IA. Il faut dire que le domaine est en pleine ébullition. 3 ans plus tôt, le monde entier a vu arriver AlphaGo. L’IA qui a dépassé l’humain au go. Un jeu que l’on pensait encore complètement hors de portée de la machine. Depuis, les résultats s’enchainent. Tous les jours, c’est un nouveau jeu qui tombe. L'heure de gloire du “deep learning” est arrivé. Sans plus tarder, Stan décide d’explorer plusieurs idées. La voiture autonome ? Une IA de hacking ? Ou un programme capable de prouver des théorèmes mathématiques ? Son choix se porte finalement sur la dernière option, la plus théorique. Rapidement, ses travaux sont remarqués par un certain Ilya Sutskever. Qui n’est autre que… Le Chief Scientist et co-fondateur d’OpenAI 🤯 Pendant 3 ans, Stan va donc tenter de faire des démonstrations mathématiques avec des IA génératives. Et, spoiler… Il y arrive. Mais ça, ce n’est rien comparé au résultat du papier scientifique qu’il publie avec Ilya. Car ils viennent de mettre le doigt sur un résultat complètement inattendu. Une hypothèse un peu farfelue mais qui va s’avérer d’une puissance folle. L’idée ? Entraîner l’IA à partir de “tout internet”, sans nettoyer les données, et la spécialiser ensuite. Et ça marche. Même si la majorité des données n'a rien à voir avec le schmilblick 🤷 C’est la magie du “pre-training”. La suite de l’histoire, vous la connaissez. Quelques mois plus tard, c’est l’ouragan ChatGPT. Alors forcément, quand j’ai réussi à mettre la main sur le “phénomène” Stanislas Polu… J’avais quelques questions à lui poser 😉 Parce que lui, quand il donne son avis sur le "futur des développeurs", on a plutôt intérêt à le prendre au sérieux 😅 Ne manquez donc surtout pas ce nouvel épisode. Car vraiment… Il vaut le détour. Bonne écoute ! PS : dites-nous ce que vous pensez de l'épisode en commentaire (et surtout, abonnez-vous !) Notes de l'épisode : - le papier scientifique de Stan, écrit avec le CTO d'OpenAI : https://arxiv.org/abs/2009.03393 --------------------------------- Retrouvez Stan sur Linkedin : https://www.linkedin.com/in/spolu/ -------------------------------- Je suis Mathieu Sanchez, CTO d'Acasi, et pour me suivre, c'est principalement sur Linkedin : https://www.linkedin.com/in/matsanchez/ Vous pouvez aussi suivre Tronche de Tech, sur vos réseaux favoris : - Linkedin : https://www.linkedin.com/company/tronche-de-tech/ - Instagram : https://www.instagram.com/tronchedetech/ - TikTok : https://www.tiktok.com/@tronchedetech - Twitter : https://twitter.com/TroncheDeTech Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.

  --------  

  1:14:33

Más podcasts de Tecnología

Podcasts a la moda de Tecnología

Acerca de Tronche de Tech