Jean-Baptiste Kempf

C'est pas qu'on ne fait pas confiance aux gens, c'est qu'on sait que statistiquement, j'ai 1000 personnes qui ont bossé sur VLC, il y en a 10 qui restent, j'ai 1% de chance que la personne reste.

Donc en fait, ça veut dire à moi qu'il veut maintenir ton code.

Donc je dois le comprendre.

Et donc, par exemple, dans VLC, si t'envoies un gros patch, maintenant c'est direct non, split ton patch.

Mais c'est...

C'est direct, il n'y a même pas... Ok, ok, ok, donc c'est moins facile de cacher quelque chose.

Mais il y a des projets open source qui sont, par exemple, qui sont des librairies, qui sont des dépendances de VLC, de FFmpeg et de Chrome, qui n'ont pas la taille de VLC et qui n'ont pas les habitudes de travail de sécurité de VLC, parce que nous, on a eu des mauvaises surprises, donc on fait énormément de travail sur la sécurité, qui peut-être ne font pas aussi attention.

Et ensuite, elles finissent dans VLC, elles finissent dans FFmpeg, elles finissent dans Chrome, elles finissent dans plein d'autres endroits.

Plein de fois.

Et c'était pourquoi ?

Il y a trois histoires un peu connues autour de VLC.

La première, c'est la CIA qui a utilisé un groupe de tools de hacking qui s'appelait Vault7, qui est sorti à l'époque de Wikileaks, qu'on a retrouvé après Wikileaks.

C'était une version de VLC qui avait quelques petites fonctionnalités supplémentaires

Et cette fonctionnalité, notamment, pendant que tu avais téléchargé un VLC qui n'était pas le même VLC, tu double-cliques.

C'est signé par vidéolane.

Dans le About, c'est un VLC.

Ça a l'air cool.

Ça marche.

C'est les mêmes films que tu regardes.

Sauf qu'en fait, il lisait...