L'attaque informatique la plus sophistiquée de l'histoire

le 29 mars dernier nous avons assisté à la révélation d'un des complots les plus fous d'infiltration informatique un développeur a pendant 3 ans infiltré la communauté d'un des logiciels les plus utilisés au monde son but installer du code malveillant une porte dérobée dans un programme utilisé par plus de 100 millions de personnes son nom XZ il vous dit probablement rien pourtant sans même que vous soyez au courant il est partout XZ c'est une brique de base de l'informatique qui sert à la compression de fichiers et est utilisé par énormément d'autres programmes de façon automatique XZ

est téléchargé des millions de fois alors comment s'en est-on rendu compte une utilisation anormalement élevée du CPU qui serait passé inaperçu pour le commun des mortels sans cette petite découverte les conséquences auraient été d'ordre mondial et aujourd'hui une question brûle les lèvres de tout le monde qui est ce mystérieux développeur dénommé jantan qui se cache derrière [Musique] l'attaque cette attaque est l'une des plus sournoises et sophistiquées qu'on ait pu observer pourtant à part dans le petit Milie tech peu de gens savent ce qui s'est réellement passé alors on va reprendre aux base c'est quoi XZ

pourquoi s'y attaquer et qu'est-ce qui rend cette attaque absolument unique et ensuite on va pouvoir comprendre comment la porte dérobée a été découverte et comment on a tenté d'identifier le commanditaire laissez-moi vous présenter notre premier protagoniste Andr Frund il est ingénieur chez Microsoft fin mars dernier il fait des tests de performance de l'outil sur lequel il travaille son but traquer tout ce qui peut ralentir son programme informatique pour l'optimiser le plus possible c'est ce qu'on appelle du micro benchmarking ce jour-là il observe un petit délai inhabituel dans un processus normalement très bien rodé et durant

ce délai il constate que le processeur de son ordinateur utilise davantage de ressources que d'habitude alors il mesure et il s'aperçoit que il y a un délai de 500 misees exactement Andre commence à enquêter et il découvre que cette latence n'est pas provoquée par son propre programme mais par un programme extérieur installé sur sa machine SSH c'est un outil très connu pour établir une connexion sécurisée et chiffrée entre deux ordinateurs distants SSH c'est une des commandes les plus utilisées au monde si vous êtes développeur vous l'avez forcément déjà employé parfois plusieurs fois par jour donc

avoir été capable de détecter un délai de 500 millisecondes sur un outil du quotidien comme SSH c'est c'est assez fou mais si Andr frun l'a delé ça n'est que parce qu'il était dans une phase de mesure pour chasser les millisecondes en trop et d'ailleurs il ne s'arrête pas là il se demande quel changement il y a pu avoir entre ces tests il y a quelques jours sans délai et les tests d'aujourd'hui avec un délai de 500 misees et son acharnement va finir par payer car il va finir par trouver dans sa version de Debian sa

distribution Linux fraîchement mise à jour il va faire une découverte stupéfiante une porte dérobée une bag d'or introduite dans le code de l'outil XZ à l'origine de ce délai de 500 misees depuis la dernière fois il n'a rien fait pas téléchargé de logiciel craqué ni de pièces jointes bizarre juste il a mis à jour son système pour comprendre pourquoi c'est particulièrement perturbant il faut qu'on se penche sur le fonctionnement de Linux on parle de Debian sa distribution Linux parce que Linux qu'un noyau et ça a son importance dans l'histoire le noyau Linux c'est la base

le cœur du système mais si vous êtes pas développeur vous n'en ferez pas grand-chose par contre ce noyau est accessible librement à tous et c'est pourquoi nombre de distributions Linux ont vu le jour vous ninstaller jamais Linux en soi mais une distribution comme Ubuntu Debian Fedora contrairement à Windows où les logiciels sont téléchargeables sur Internet la plupart des distributions intègrent un gestionnaire de paquet pour gérer l'installation des logiciels le principe est simple quand vous installez une appli elle peut avoir des dépendances à d'autres logiciels par exemple au hasard avoir besoin de XZ dans ce cas

vous n'aurez rien à faire de plus le gestionnaire va s'occuper d'installer automatiquement les dépendances nécessaires et les mettre à jour au fil du temps et vous l'aurez compris XZ est installé 99 % du temps revenons-en à la découverte de andre Frund cet outil de compression XZ est intégré nativement dans les plus grosses distributions Linux du monde installé automatiquement sur des dizaines de millions d'ordinateurs dans quasiment tous les Data Center du monde et sur les serveurs comme ceux de vos banques ou du gouvernement cette porte dérobée si elle est utilisée de façon malveillante pourrait avoir un

terrible impact un impact mondial ni une ni deux Andr frun poste un message sur une liste de mail dédié à la sécurité des logiciels open source pour avertir la communauté [Musique] sa découverte fait l'effet d'une bombe fin mars tout le monde en parle parce que cette attaque est inimaginable l'Open Source par définition c'est un livre ouvert tout ce qu'on y fait est public tout le monde a accès au code des logiciels on sait qui contribue au code qui fait des modifications qui les accepte bref c'est la définition de la transparence c'est un univers qui me

fascine dans unders le Talk showow que je présente j'ai eu la chance de rencontrer des acteurs majeurs de l'Open Source comme JB KF derrière VLC mais aussi d'autres comme un développeur qui a monté une entreprise valorisée à plusieurs milliards en produisant du code majoritairement Open Source cette boîte c'est Odou et je suis donc ravi qu'il sponsorise cette vidéo Odou c'est plusieurs dizaines d'applications qui ont chacune des usages bien distincts comme une de facturation une de gestion de projet de comptabilité d'e-commerce mais la vraie force de c'est que toutes ces applis communiquent entre elles par exemple

l'app e-commerce peut enregistrer une vente sur votre site générer la facture automatiquement dans l'appli de facturation qui sera ensuite envoyé automatiquement l'appli de comptabilité et cette magie n'est possible que grâce à l'écosystème de la plateforme aou si vous voulez tester doucement cette océan de possibilité je vous conseille de choisir une première appli qui répond à un de vos besoins comme l'appli de facturation pour générer vos factures par exemple sachant que la première est gratuite et ensuite c'est un abonnement unique à 19,90 € par mois pour toutes les autres je vous mets un lien en description

pour demander une démo personnalisée ou essayer par vous-même si on revient à XZ cette ouverture ça voudrait dire que quelqu'un au nez et à la barbe de tout le monde a réussi à introduire cette bag d'or c'est une humiliation et un véritable séisme parce que l'open source est une machine rodée depuis des années elle fonctionne très bien et est à l'origine des logiciels les plus sécurisés qui existent justement parce que n'importe quel expert peut auditer le code faire des suggestions pour améliorer la sécurité et si besoin tirer la sonnette d'alarme en cas de faille critique

et c'est dans ces conditions que l'attaquant a tout de même réussi à installer une porte dérobée dans un logiciel open source c'est littéralement mission impossible et pourtant il y est parvenu mais ça veut aussi dire qu'on va pouvoir analyser tout le code pour voir d'où vient la faille alors il faut mener l'enquête et commencer à l'origine de la découverte grâce à Andress fr cet ingénieur de chez Microsoft qui a détecté un délai de 500 misees on va pouvoir analyser et retrouver tout ce qu'il y a dans le code de cet outil XZ et refaire la

chronologie des événements jusqu'à l'installation de la backor la première étape qui peut paraître étrange c'est d'analyser l'historique du développeur en chef du projet l cololline on a déjà vu par le passé des développeurs péter un plomb des sabotages pur et simples de logiciel open source pour tout un tas de raisons personnelles financières ou même revendicativ mais ici en analysant les modifications du code de XZ et qui les a écrites on s'aperçoit rapidement que l'ascoline n'y est pour rien c'est un autre contributeur qui ressort [Musique] Jan c'est lui le traître c'est lui qui a installé la

bag d'or il y a donc une solution toute simple à notre mystère il y a plus qu'à remonter jusqu'à jantan sauf que jantan n'existe probablement pas en tout cas pas sous ce nom il faut savoir que dans la communauté open source l'anonymat est quelque chose de plutôt naturel et à la base c'est plutôt une bonne chose chacun est libre de participer comme il veut et la réussite est davantage fondée sur l'accomplissement des projets plutôt que sur un nom un poste ou une posture de manager par exemple on ne sait donc pas précisément qui est jantan

mais ça n'est pas perdu pour autant on laisse toutes et tous des traces sur Internet et avec une armée d'enquêteurs bénévoles prêt à remonter la piste de jentan la chasse est ouverte alors non sans mal des valeureux aventuriers du net ont analysé tout ce qu'a pu produire jantan pour des logiciels open source et il y a des choses intéressantes la première modification de code qu'il soumet à un projet open source c'est en 2021 et déjà à l'époque c'est un peu suspect demande le remplacement d'une fonction par la même fonction mais moins sécurisée sa modification sera

validée par la communauté mais au final ça n'a eu aucun impact sur cette entrée en matière on pourrait croire que jantan est juste un très peu discret mais en fait c'est pas si évident entre 2021 et 2024 il va s mettre plus de 6000 changements de code sur se projets open source différents et sur ces 6000 la plupart sont tout à fait légitimes en réalité jantan est un bon développeur il avait donc aucune raison de le discréditer jusqu'à aujourd'hui durant ces 3 années en plus de participer au développement jantan échange des mails avec les autres

contributeurs comme ça se fait souvent sur des boucles de mail en public d'ailleurs on peut les consulter librement en 3 ans jentan se construit assez naturellement un historique dans le milieu une crédibilité une réputation pour son futur piratage mais je vous rassure être un bon développeur et participer à différents projets ne suffit pas à les compromettre ce serait trop simple certes on peut tous participer au développement de ces logiciels mais on ne peut pas faire n'importe quoi non plus vous pouvez proposer une pool request une modification ou un ajout du code en expliquant pourquoi c'est

pertinent selon vous les responsable du projet vont l'examiner et s'ils sont d'accord si vous avez bien travaillé ils vont l'accepter on dit qu'il merge la pool request à l'ensemble du projet en bref vous contribuez mais votre pouvoir de nuisance est tout de même très limité en l'état et soumis à la confiance des responsables ce qu'il faut pour que jentan puisse mettre son plan à exécution c'est d'être à la tête d'un projet open source en plus d'être extrêmement discret et malin et malin jantan l' car pendant longtemps il n'a rien fait de mal mais ce qui

va suivre est très troublant en mai 2022 un certain gigard Kumar se plaint sur la mailing list du manque de réactivité de l cololline le mainteneur de XZ il se demande pourquoi le patch n'a pas été accepté pourquoi aucune réponse n'est donnée ça ralentit tout le projet car oui un logiciel aussi central que XZ inclus dans des millions d'ordinateurs fonctionnants sur Linux et même sur Mac est maintenu par une unique personne et cette personne est bénévole c'est cette absurdité que jantan va parvenir à exploiter très intelligemment mais cette absurdité n'est en soit pas unique à

XZ et c'est un des grands problème de l'Open Source qui revient régulièrement sur la table pour rester à jour et ne pas compromettre la sécurité un logiciel doit forcément être maintenu ça demande du temps surtout quand on sait que tout le monde peut soumettre des modifications dans le code il faut donc être en en mesure de répondre aux demandes des développeurs et potentiellement faire évoluer son code pour le maintenir à jour et sécuriser ce travail est généralement fait bénévolement pendant des années par le développeur originel du projet pour XZ lasas Coline est le seul à

pouvoir faire ce travail c'est le créateur et le mainteneur principal du projet mais après 20 ans à le faire quasiment bénévolement l'coline est crevée il le dit dans un mail de réponse à gigard Kumar qui s'est plaint de la lenteur du processus il est toujours passionné mais rappelle qu' fait ça bénévolement pour le loisir et qu'en ce moment il a des soucis de santé mental il n'a quasiment plus le temps de s'en occuper et la seule façon de faire avancer son projet selon lui serait d'embaucher un nouveau mainteneur quelqu'un qui serait capable de faire avancer

le projet avec lui et il évoque dans ce mail diatan s'en su des échanges de mail entre jigarkumar et Denis un autre développeur qui participe à la conversation les deux développeurs font monter la pression auprès de lascoline pour ajouter un comaineneur au projet XZ lorsque je consulte le journal git je vois qu'il n'a pas été mis à jour depuis plus d'un an il n'y aura pas de progrès tant qu'il n'y aura pas de nouveau responsablebl le mainteneur actuel s'est désintéressé ou n'a plus envie de maintenir c'est triste à voir pour un vio comme celui-ci je

n'ai pas perdu mon intérêt mais ma capacité à m'occuper de la question a été assez limitée principalement en raison de problèmes de santé mentale récemment j'ai un peu travaillé en privé avec jatan sur XZ utiles peut-être qu'il aura un rôle plus important à l'avenir il est également bon de garder à l'esprit qu'il s'agit d'un projet de loisir non rémunéré la seule chose qui a bougé depis avril ce sont des changements insignifiants vous laissez pourrir une tonne de correctifs vous êtes en train d'asphixier votre ripo je suis désolé pour vos problèmes de santé mentale mais il

est important d'être conscient de ses propres limites je comprends qu'il s'agit d'un projet de loisirs pour tous les contributeurs mais la communauté veut plus pourquoi ne pas céder la maintenance de XZ comme je l'ai déjà laissé entendre dans les mails précédent jatan pour avoir un rôle plus important à l'avenir il a déjà beaucoup aidé en privé et est déjà pratiquement com mainteneur quoi qu'il en soit un changement de mainteneur est déjà en cours jiger Kumar et Denis hens mettent la pression à Las Collins pour qu'il passe le flambeau après ça on les reverra d'ailleurs plus

jamais sur le net la probabilité pour qu'il soi en réalité des identités fictives derrière lesquelles se cachent diatan pour faire plier l'ascoline est tout à fait plausible quoi qu'il en soit la stratégie fonctionne 3 jours après cet échange de mail jatan est nommé comaintenur du projet par lascoline jatan devient alors un contributeur régulier de XZ le deuxième le plus actif après las Coline au fil des mois il installe une certaine confiance avec avec class Coline et petit à petit il obtient de plus en plus de responsabilités et d'accès en janvier 2023 il fait son premier

merch de commit c'est-à-dire qu'il prend la décision de faire avancer le développement et de valider des modifications du code pour en sortir une nouvelle version en mars de la même année il obtient les accès pour changer le mail de contact de OSS fuz une plateforme qui vise à rendre les logiciels Open Source critiqu plus sûr c'est un changement important parce que s'il y a un problème détecté sur XZ par cette communauté de sécurité on va envoyer un mail au mainteneur donc plus lascoline mais désormais jiatan derrière ses importants jalons dans le plan de jiatan lui

donnant quasiment les pleins pouvoirs sur XZ il entreprend des actions pour supprimer les sécurités qui pourrai dans le futur le gêner et notamment dans OSS fuz et il met en place le code qui permettra d'accueillir la bag d'or petit bout par petit bout il demande des changements d'URL des sites internet il change d'hébergeur tout ça dans le but d'avoir un maximum de contrôle il avait le contrôle sur le code désormais il a le contrôle sur l'infrastructure et l'hébergement du code ainsi si jamais il y a des alertes qui se mettent à sonner à cause de

problèmes de sécurité il peut les ignorer sans que l'ascoline s'en aperçoive tous ces changements il ne les fait pas seul il conserve la confiance de lasascoline et de la communauté après tout il est officiellement comaintenur personne ne se doute de rien enfin le 23 février et le 9 mars au milieu de changement dans le code tout à fait légitime dont les fichiers de test est introduite la bque d'or [Musique] non seulement jatan s'est infiltré pendant plus de 2 ans pour mettre à bien son attaque mais en plus elle est extrêmement bien pensée d'un point de

vue technique car en réalité faire une porte dérobée c'est hyper simple en trois lignes de code et quelques secondes je pourrais en injecter une dans un logiciel propriétaire à l'inverse ce qui relève de la proess technique c'est de parvenir à le cacher dans du code accessible au monde entier qui vérifie minucieusement chaque ligne de code pour ça il va imaginer un système complexe à trois étages du code malicieux compilé et caché dans un fichier corrompu déguisé comme un fichier de test au moment de la compilation une macro en modifie certains OCTA pour le réparer et

en extrait un script qui va lui-même récupérer un bout d'un autre fichier le déchiffrer et l'ajouter au fichier compilé final c'est génial et surtout on aurait sûrement mis des années avant de détecter quoi que ce soit le deuxième défi auquel confrontta jatan c'est qu'il ne veut pas faire une simple bag d'or son code malicieux ne doit s'exécuter que dans des conditions bien précises ce doit être un code dormant qui permet de faire des attaques ciblées et qui sont utilisables uniquement par lui ou par ceux qui l'emploie et ça c'est loin d'être évident la plupart des

botnet ou des chevaux 3 à partir du moment où ils s'exécutent sont eux même à l'initiative d'ouvrir une porte dérobée je clique sur un maloare il se connecte au serveur pirate qui peut maintenant exécuter des instructions le malware peut être configuré pour s'exécuter un sous certaines conditions mais globalement il y a toujours à un moment ou un autre une requettete réseau qui part de la machine infectée et ça ça se voit enfin quand tu cible des millions d'ordis ça finit par se voir et c'est là qu'on comprend que la cible de jatan n'a absolument pas

été choisi au hasard car XZ on l'a mentionné est utilisé par SSH donc jatan n'a pas besoin de démarrer un programme de contrôle à distance quand il est dans SSH il est dans un programme de contrôle à distance ce qu'il fait c'est de modifier le processus de vérification de la clé SSH pour qu'elle continue à faire son travail exactement comme d'habitude sauf si elle voit passer une clé très précise la clé des pirates c'est un peu comme dans un hôtel si vous voulez pouvoir cambrioler n'importe quelle chambre soit vous recrutez toute l'équipe de ménage qui

peut vous ouvrir de l'Intérieur pas très discret soit vous avez un badge hcké universel qui ouvre toutes les portes de l'extérieur en résumé il peut prendre le contrôle à distance de toute machine infectée sans que la victime ne soit au courant sans qu'aucune fenêtre ne s'affiche c'est absolument dingue c'est de la haute voltige en matière de piratage et d'infiltration et c'est pas tout cette attaque est encore plus abouti que vous ne le pensez l'attaque ne se déclenche pas à chaque fois elle est installée uniquement sur des versions bien particulières d'ordinateur par exemple elle vise uniquement

des systèmes d'exploitation desbian ou une distribution dérivée de Debian et redate clair c'est une attaque ciblée si l'ordinateur ne correspond pas à la cible la porte dérobée ne s'installe pas c'est un signe de discrétion de la part de jatan l'attaque est plus difficile à détecter et surtout c'est une façon de faire qui en dit beaucoup sur la sophistication de l'attaque mais ça n'est pas tout les chercheurs qui ont analysé la porte dérobée ont découvert une subtilité absolument incroyable la faille la porte dérobée n'est pas dans le code source original du projet pour le comprendre il

faut que je vous explique le processus de déploiement d'un projet open source dans un premier temps les développeurs font des changements dans le code sur GitHub à un moment le mainteneur le chef du projet va juger que toutes les nouveautés rassemblées ça constitue une nouvelle version prête à être envoyé à tous les ordinateurs du monde qui ont installé ce logiciel sauf que pour XZ c'est un peu différent c'est un outil tellement utilisé qu'il est directement intégré dans bon nombre de systèmes d'exploitation donc XZ est en contact direct avec les développeurs de diverses distributions Linux comme

Debian à chaque nouvelle version il l'envoie aux équipes de Debian et en interne ils vont s'assurer que la mise à jour ne casse rien c'est toute une chaîne qui prend plusieurs mois avant de se répercuter sur votre ordinateur chez vous et ça c'est pour un seul logiciel les développeurs de système d'exploitation doiv faire cette procédure avec des centaines d'outils Open Source si chacun de ces outils lui envoie son code source tel quel c'est une immense galère pour eux alors la solution trouvée c'est d'envoyer des versions packagé du code source prête à l'emploi pour les distributions

Linux ça s'appelle des tarbs et très ironiquement on se sert de XZ pour compresser ces fichiers là où jatan est extrêmement malin c'est que la porte dérobée est présente dans les versions packagé du code et envoyé aux distribution Linux vous ne la trouverez pas dans le code source de GitHub ça ne veut pas dire qu'elle est indétectable mais quand même Jata a pens pens à tout dans notre malheur il y a eu un miracle la porte dérobée a été détectée un mois après son implémentation dans certaines distributions Linux mais heureusement il s'agissait de version encore

en test et c'est une de ces versions que andrees FRUD utilisé lorsqu'il a découvert les 500 misees de délai et la porte dérobée elle a été découverte au bon moment et grâce à une chance inouï son impact a été limité mais ça s'est joué à rien quelques semaines plus tard courant avril la version 40 de Fedora une autre distribution Linux concernée était prévue pour sortir de sa version test et être envoyé à la planète entière avec à l'intérieur XZ infecté de sa bac d'or après 2 ans d'infiltration il faut s'imaginer le seme de jantan à

cet instant précis pendant ce temps les passionnés les experts et la communauté open source ont continué l'enquête autour de son identité on apprend alors que jantan est très bon pour assurer sa propre sécurité c'est ce qu'on appelle l'obsec pour sécurité opérationnelle ce sont toutes les méthode pour se protéger soi-même des informations sensibles auou personnelles qu'on peut laisser sur Internet les experts s'accordent à le dire plus le temps est long plus on garde une même identité et un même pseudo longtemps plus il est difficile de ne laisser aucune trace mais pas pour jatan à part ce

qui est nécessairement publique pour développer du code open source c'est-à-dire du code et des mails il n'y a absolument aucune trace de lui rien beaucoup y verraient une mauvaise nouvelle pour remonter jusqu'à jatan et c'est vrai mais certains y voient aussi un potentiel indice d'après eux derrière jiatan se cacherait potentiellement une attaque étatique pourquoi on sou'pçonne un état d'être derrière jatan premièrement pour la complexité de l'attaque c'est ce qu'on appelle une attaque Supply Chain elle a nécessité plusieurs années d'infiltration au lieu de s'attaquer directement à Windows par exemple et y trouver une faille les attaquants

vont chercher à s'attaquer à un logiciel plus petit mais avec la même portée mondiale Jean-Baptiste Kempf mainteneur principal de VLC nous racontait sur undore qu'il devait être très attentif à ce type d'attaque il ont déjà été pris pour cible il y a un contributeur qui avait contribué mais depuis quelques mois des petits patchs il envoie un patch qui est un peu plus conséquent et ça m'a fait ticker et j'ai regardé et j'ai fait mais tu es sûr que tu fais ça comme ça tu devrais les architecturer et quand j'ai dit il a fait les trucs

il y avait une partie qui bougeit pas trop qui était la partie qui me gênait le plus et quand j'ai fait la remarque il est parti ce type d'attaque n'est pas courante dans le monde du cybercrim car d'une rare complexité à mettre en œuvre pour des résultats très incertains l'exemple le plus connu est très certainement celui de Solar winds en 2020 un logiciel américain dont les serveurs des mises à jour ont été infiltrés résultat des courses les attaquants ont pu installer une bag d'or dans les nouvelles versions du logiciel déployé à plus de 33000 clients

parmi eux de nombreux services du gouvernement américain quand à savoir qui est derrière cette attaque il y a pas eu officiellement d'attribution mais le secrétaire d'État des États-Unis pense qu'il s'agit des Russes pour le compte du SVR leur service de renseignement en fait ces attaques d'une telle envergure sont si complexes à mettre en place que les seuls exemples connus sont très certainement liés à des hackeurs d'État dans notre liste de suspects capable de réaliser une attaque Supply Chain de cette ampleur nécessite dans 2 ans d'infiltration on peut compter les États-Unis la Chine la Russie la

Corée du Nord et quelques autres suspects moins probables comme israële déjà les États-Unis ont assez vite été écartés pour une raison complètement what the fuck la fonction cryptographique utilisée dans l'attaque de SSH n'est pas quantique proof c'est-à-dire que elle n'est pas résistante aux futures attaques quantiques et d'après certains observateurs si les États-Unis étaient à l'œuvre ils auraient utiliser un algorithme de chiffrement quantique proof c'est leur signature parce qu'ils sont amériicain pour les autres suspect je vous l'ai dit on n' pas beaucoup d'éléments à analyser mais le peu qu'on a a été dissqué par les experts

du secteur non pour essayer de savoir qui est jatan mais plutôt où est jatan tout pouvait-il bien opérer des recherches auint ont été effectuées de l'investigation en source ouverte notamment sur son activité gthub et les métadonnées laissé derrière lui tout ce qu'on a trouvé c'est que a priori il utilisait un VPN Opia pour se localiser à Singapour et ça nous aide pas vraiment avec un VPN il peut être n'importe où alors la communauté d'enquêteurs a eu une autre idée à quelle heure travaille est-il ça pourrait nous donner des indications sur son fuseau horaire et la

très grande majorité de ces commits ces changement de code sont aaté à utc+ 8 c'est le fuseau horaire de la Sibérie de l'Indonésie des Philippines de l'Ouest australien et de la Chine à 1 heure de la Corée du Nord sauf que si vous êtes développeur vous le savez peut-être les heures de commit ça se modifie à l'aide de deux petites variables d'environnement on peut même les modifier à postérior de l'envoi d'un comite en pratique c'est très dur de rester crédible et cohérent avec cette méthode sans que ça ne se remarque un moment ou un autre

surtout sur 2 ans il y a plusieurs thèses à ce sujet sur Internet toute ne concorde pas mais une d'entre elles est particulièrement intéressante et selon moi crédible pour cacher d'où il travaille jatan aurait très bien pu changer le fuseau horaire de son ordinateur tout simplement et le configurer manuellement à utc+8 selon les spécialistes de l'obsec c'est une façon beaucoup plus simple efficace et constante sur le long terme tout en brouillant les pistes sauf que jatan est faillible à plusieurs reprises on le soupçonne d'avoir oublié de changer son fuseau horaire je vous le disais la

très grande majorité de ces comites sont euraté à UTC + 8 mais une poignée d'entre eux neuf très exactement sont eurod datés à UTC + 2 ou + 3 en fonction si c'est l'heure d'hiver ou l'heure d'été vous me direz il a le droit de voyager sauf que à deux reprises c'est physiquement impossible le 6 octobre 2022 et le 27 juin 2023 on observe des différences de quelques minutes d'intervalle entre un comite à UTC + 8 et un comite à UTC + 2 même avec un avion supersonique il faudrait revoir les lois de la physique

pour y parvenir impossible d'être sûr à 100 % mais on pense que jatan était à neuf comites près d'être le cybercriminel parfait avant de laisser échapper son véritable Fuseau horaire ce qui est certain par contre c'est que ces deux jours-là jatan a forcément trafiqué quelque chose de pas net surtout et c'est là que ça devient intéressant ce fuseau horaire couplé à ses heures de comit coïncide totalement avec une journée jée classique de travail 9h 18h la plupart du temps en semaine mais pas uniquement plus intéressant encore les jours où il ne travaillent pas correspondent bien

mieux à un emploi du temps de l'Europe de l'Est plutôt qu'à la Chine on le voit travailler sur certains jours off en Chine et Dieu sait que les quelques congés notamment autour du NouvelAn chinois sont respectés là-bas s'il était chinois ce serait très surprenant de le voir travailler sur ses jours précis du calendrier chinois et pourtant c'est le cas de jatana tout ce faisceau d'indice amassé par de braves enquêteurs à la suur de leur front semblent converger vers le fuseau horaire UTC + 2 ou + 3 en fonction de la saison il correspond à l'Europe

de l'Est Israël ou Moscou jatan pourrait totalement correspondre à la signature du SVR et de leur groupe de hackur Apt 29 les mêmes soupçons qui pèsent sur la cyberattaque contre solar wins évidemment sans certitude tout ce que je peux vous dire c'est que aujourd'hui nous n'avons plus aucune trace de jatan il a disparu mais les spaliste s'accorde à le dire il y aura d'autres jatan des fervants contributeurs Open Source derrière lesquels se cachent secrètement les agissements d'un gouvernement peut-être même que si on a découvert cette attaque c'est qu'il y en a eu d'autres qui ont

réussi et que au fond de votre système il y a des failles dormantes [Musique]