Articles en rapport avec : « Botnets »

Koobface, un écosystème cybercriminel ou le conte des Mille et une nuits ?

Posté par Eric Freyssinet le 24 février 2010

Dancho Danchev revient dans son blog chez ZDNet sur le ver « Koobface ». Je vous propose un résumé de son article et quelques pointeurs.

Description de Koobface

Koobface est un ver qui utilise comme mode de propagation la messagerie du réseau social Facebook, mais aussi – selon les variantes – Twitter, hi5, Myspace, Bebo et Friendster. Les victimes sont redirigées vers un site où une mise à jour d’Adobe Flash leur est proposée qui est en fait un logiciel malveillant. (Pour plus d’informations voir l’article de Wikipédia en anglais, l’étude de Trend Micro publiée en Juillet 2009, ou cet article très détaillé sur abuse.ch de décembre 2009).

Dix informations intéressantes sur Koobface

Dancho Danchev nous explique que le botnet créé par Koobface n’est que le sommet de l’iceberg des activités menées par le groupe criminel qui gère Koobface au travers de dix informations intéressantes qu’il a pu collecter sur leur activité au cours des derniers mois.

On y découvre

des liens avec le botnet « Bahama »,
avec la publication en septembre dernier de faux messages publicitaires sur le site Web du New York Times
ou avec une attaque massive de type SEO (voir l’article que j’avais écrit sur ces techniques l’an dernier) contre près d’un million de sites Web en novembre dernier,
mais aussi des stratégies pour abuser les victimes utilisant MacOSX,
et des essais de différentes variantes d’attaques, et la diversification de ses moyens de propagation (Skype).

On note en lisant son article qu’une véritable guerre est menée entre Dancho Danchev et ce groupe, dont le blog a été l’objet d’attaques ciblées en déni de service distribué. Selon Danchev, il s’agit ici encore d’un groupe criminel d’origine Ukrainienne (j’avais évoqué l’entreprise aux activités louches qu’a mis au jour récemment François Paget lors du panorama sur la cybercriminalité du Clusif), qui se présente sous le sobriquet d’Ali Baba.

La suite des aventures, très sûrement dans les mois à venir, sur le blog de Dancho Danchev.

Publié dans Cybercriminalité, Sécurité | Taggé: Ali Baba, Botnets, Koobface | Laisser un commentaire »

26C3 – Conférence du CCC à Berlin (3)

Posté par Eric Freyssinet le 31 décembre 2009

Troisième jour de cette conférence et la sélection que je vous en propose.

Mardi

Erik Tews, « DECT (part II), what has changed in DECT security after one year« . Auteur d’attaques contre WPA/TKIP (voir cet article), Erik Tews faisait le point (avec Karsten Nohl) une année après une présentation faite au 25C3 sur les défauts de sécurité du chiffrement DSC et DSAA utilisés par le standard de communication sans fil DECT (http://www.dedected.org/). Cette année, ils exposent des scénarios d’attaque contre DSC et le DECT Forum a d’ailleurs annoncé par avance un certain nombre d’évolutions à venir dans le standard.
Andrew Strutt (rodent) et DaBeave, « DDoS/botnet mitigation & hosting online communities« , sur l’impact des Botnets sur les communautés en ligne. En réalité une présentation très concrète sur la façon de sécuriser un serveur de communauté en ligne (forums Web, serveur IRC, etc…) contre les attaques typiques que peuvent créer les botnets et autres sources de problèmes.
Harald Welte, « Using OpenBSC for fuzzing of GSM handsets« , sur le développement d’OpenBSC, les découvertes sur les difficultés des implémentations des protocoles du GSM et les potentialités en termes d’expérimentation de sécurité.
Steven J. Murdoch, « Optimised to fail« , sur la sécurité des lecteurs de carte bancaire anglais destinés au commerce ou à la banque en ligne. Il propose un certain nombre de pistes d’amélioration.
Moti Yung, « Yes we can’t ! On kleptography and cryptovirology« , sur les diverses utilisations des techniques de chiffrement par les logiciels malveillants. Site web sur la cryptovirologie.
Dan Kaminsky, met en évidence dans sa présentation « Black Ops of PKI » un certain nombre de défauts dans les procédures prévues par le protocole X509 sous-jacent dans la gestion des infrastructures de gestion de clés publiques. Notamment le fait que sur Internet il existe une égalité de fait des autorités de certification, que la délivrance de certificats est le plus souvent basée sur le protocole DNS (très critiqué par Kaminsky), etc. Il passe notamment un certain temps à montrer les problèmes d’implémentation liés à l’encodage ASN.1 utilisé dans les certifications X509 (par Internet Explorer notamment, mais sans préciser la version). Il finit par une promotion appuyée de DNSSEC (par ici, un commentaire d’Ivan Ristić sur cette prestation). Pas très neuf au final, déjà développé par Kaminsky à Black Hat USA 2009, Toorcon, et peut-être à d’autres conférences.

Using OpenBSC for fuzzing of GSM handsets

Publié dans Prospective, Sécurité | Taggé: ASN.1, Botnets, Dan Kaminsky, DECT, DNS, PKI, X509 | Laisser un commentaire »

Des images utilisées pour commander des botnets

Posté par Eric Freyssinet le 1 octobre 2009

monkif-secureworks Il y a quelques jours, j’évoquais l’utilisation des groupes de discussion de Google pour diffuser les commandes d’un botnet. Les chercheurs de SecureWorks (CTU Counter Threat Unit) ont ainsi mis au jour un nouveau mode de distribution de ces ordres : l’utilisation d’images diffusées par des serveurs Web. C’est en observant le fonctionnement du botnet DIKhora/Monkif qu’ils ont pu faire ces observations. Il s’agit d’un cheval de Troie apparu apparemment assez récemment (08/2009) et encore peu documenté.

Cette méthode est particulièrement astucieuse, dans la mesure où elle sera le plus souvent indétectable pour les outils de filtrage des entreprises. En effet, quoi de plus banal sur un réseau que la visualisation d’images via une connexion HTTP. Ce type de canal caché n’est pas complétement nouveau dans sa conception, au sens où des images mouchards sont souvent utilisées pour permettre le décompte de visites sur des sites Web.

Mais ici, le procédé est encore plus astucieux : l’image téléchargée présente non seulement un nom de fichier caractéristique d’un JPEG, avec une extension en « .jpg », mais possède un en-tête identique à ces images. L’en-tête d’un fichier est constitué – le plus souvent – par les premiers octets d’un fichier et constituent une sorte de signature qui va indiquer au système d’exploitation ou au logiciel d’affichage à quel type de fichier il a affaire, et parfois quelle version du format de fichier est utilisée.

La technique (décrite aussi ici) est la juxtaposition de 32 octets typiques du début d’un fichier JPEG, suivis d’une commande pour les machines zombies embrouillées par un codage spécial (un XOR avec la valeur 4). Dans l’exemple cité, les concepteurs n’ont même pas pris la peine de rendre le fichier affichable. Mais sachant qu’une image JPEG peut contenir des commentaires (par exemple en utilisant le codage EXIF qui permet d’ajouter à une image des informations collectées pendant la prise de vue telle que la position GPS ou la marque de l’appareil photo), il est parfaitement imaginable de camoufler ces commandes de façon beaucoup plus difficile à détecter.

A suivre donc, et cela milite peut-être pour une évolution des pare-feux installés sur les réseaux des entreprises.

Publié dans Cybercriminalité, Sécurité | Taggé: Botnets, Dikhora, Monkif | Laisser un commentaire »

Un standard IETF pour la lutte contre les bots chez les FAI

Posté par Eric Freyssinet le 16 septembre 2009

Comme pour faire suite à l’article que j’ai publié hier, une information tombe à propos sur le site de SANS : l’IETF (Internet engineering task force), l’organisme qui anime la rédaction des standards de l’Internet, travaille depuis le mois de juillet 2009 sur un projet de standard de recommandations à destination des fournisseurs d’accès pour lutter contre la propagation de réseaux de machines zombies parmi leurs abonnés.

Un élément de plus à rajouter sur ce débat pour un rôle actif des FAI dans la lutte contre ces phénomènes criminels.

Publié dans Cybercriminalité, Prospective, Sécurité | Taggé: Botnets, Fournisseurs d'accès Internet, IETF | Laisser un commentaire »

Australie: plan de lutte des FAI contre les logiciels malicieux

Posté par Eric Freyssinet le 15 septembre 2009

L’association des fournisseurs d’accès Australiens a publié le 11 septembre un projet de code de conduite pour faciliter la lutte contre la diffusion des logiciels malveillants chez leurs abonnés.

Il s’agit ici de lutter contre toutes les formes de malveillances qui sont facilitées par les centaines de milliers de machines zombies que constituent les ordinateurs des abonnés à Internet qui ont été infectés par des chevaux de Troie. Ainsi, le client détecté comme participant à de telles activités, par exemple parce qu’il diffuse de très nombreux pourriels, serait alerté par son fournisseur d’accès et sensibilisé sur des mesures de sécurité adaptées.

Les autres mesures proposées, au-delà de l’information de l’abonné, sont la limitation de l’accès, le placement de la connexion de l’abonné dans un environnement qui lui donne des indications sur les mesures de sécurité à appliquer, la coupure temporaire de l’accès à certains ports ou protocoles de l’Internet. Il s’agirait aussi pour les fournisseurs d’accès d’informer les autorités lorsque des incidents particulièrement graves sont détectés qui pourraient nuire au fonctionnement des infrastructures d’importance vitale.

Cette proposition, qui semble présentée de façon assez volontariste par les différents partenaires publics et privés concernés est assez intéressante et semble recevoir le soutien de certains spécialistes en sécurité de l’Internet. D’ailleurs, au-delà de l’assistance aux internautes concernés et des qualités éventuellement préventives de ces mesures vis-à-vis des autres internautes, ce dispositif offrirait aux fournisseurs d’accès Australiens un moyen, reconnu par le gouvernement, de diminuer l’impact des infections de leurs clients sur leurs infrastructures, par exemple offrir un service de meilleure qualité à leurs abonnés (bande passante, accès au serveur d’envoi de courrier électronique, etc.).

L’exemple Australien pourrait-il être reproduit ailleurs et en France notamment ? Il revient évidemment aux différents partenaires d’en discuter. Les débats actuels sur la neutralité du réseau et la coupure de l’accès Internet dans le cadre de la loi dite « HADOPI » donnent un éclairage particulier à cette proposition. Ainsi, quelles précautions faudrait-il prendre pour que l’internaute ne soit pas abusivement lésé par ces mesures ? Dans quel délai l’internaute pourra-t-il obtenir le rétablissement complet de ses services ? Ne peut-on automatiser la détection du rétablissement d’une situation normale sur la connexion de l’abonné ?

Ce chantier mérite en tous cas d’être discuté, dans un univers où l’essentiel des activités illicites sur Internet sont ou peuvent être facilitées par les botnets et autres formes d’action des logiciels malveillants. Corollairement, les spécialistes se posent souvent la question de savoir s’il est légitime ou souhaitable pour une personne officielle (un service d’enquête, agissant éventuellement sous le contrôle d’un magistrat) qui aurait pris le contrôle d’un serveur de commande de botnet de commander à l’ensemble des machines victimes de désactiver le logiciel malveillant ou afficher un message d’alerte officiel sur l’écran de la victime. Ces mesures, peut-être impressionnantes, seraient très certainement efficaces, mais comment les encadrer ? Quelles mesures de communication devront les accompagner ?

En conclusion, il est grand temps d’envisager et de discuter sérieusement des solutions industrielles et de grande ampleur face au phénomène des logiciels malveillants qui a pris lui-même une dimension industrielle.

Publié dans Cybercriminalité, Juridique, Prospective | Taggé: Australie, Botnets, Fournisseurs d'accès Internet | 1 commentaire »

Un mode original de centre de commande : Google groups

Posté par Eric Freyssinet le 13 septembre 2009

Les botnets, ces réseaux chevaux de Troie installés sur les ordinateurs de tout un chacun pour organiser des attaques coordonnées, ont besoin d’un mécanisme pour en permettre le contrôle par leur maître. Ainsi, des canaux de discussion IRC, des sites Web ou des réseaux Pair à Pair sont utilisés pour transmettre les commandes de façon quasi instantanée à l’ensemble des machines « zombie » connectées à un botnet particulier.

Des chercheurs de Symantec décrivent dans un article publié le 11 septembre 2009 un mode de commande original: l’utilisation d’un groupe de discussion hébergé chez Google.

Dans l’exemple cité, il s’agit d’une connexion sur un groupe privé « escape2sun », où le maître du botnet publie ses commandes. Ce mode de diffusion des commandes a permis aux auteurs de l’étude de faire un examen approfondi des commandes publiées. L’analyse du cheval de Troie a permis aux auteurs de l’article de déchiffrer les commandes et les réponses des bots.

Dans ce cas précis, il semble qu’il ne s’agisse que d’un essai ou d’un prototype étant donné le faible nombre de machines zombies repérées (de l’ordre de 3000) et les commandes de débogage retrouvées. En tous cas, nous avons ici un nouveau mode de canal caché de contrôle de botnets à ajouter à la liste !

Publié dans Cybercriminalité | Taggé: Botnets, google | 3 commentaires »

Attaque DDoS Twitter (suite)

Posté par Eric Freyssinet le 14 août 2009

En complément à mon billet d’hier sur l’attaque contre Twitter de la semaine passée, Arbor Networks en ferait une analyse intéressante tendant à indiquer qu’il ne s’agit effectivement que d’un événement de faible amplitude et qu’au même moment des attaques beaucoup plus importantes avaient lieu (contre un opérateur asiatique par exemple).

(Plus d’informations ici)

Cela confirmerait les inquiétudes sur la résistance de telles plateformes à des attaques de grande ampleur.

Publié dans Cybercriminalité, Sécurité | Taggé: Botnets, DDoS, Twitter | Laisser un commentaire »

C’est la rentrée – attaques DDoS sur Twitter ?

Posté par Eric Freyssinet le 13 août 2009

Image du blog de Cyxymu

Les vacances sont finies pour moi ou presque, l’actualité n’a pas été particulièrement active. J’ai continué d’alimenter la liste de signets que vous voyez dans la colonne de gauche du présent blog (sous le titre : « Mes derniers bookmarks »).

Un « événement » a fait la une de l’actualité, y compris dans les principaux journaux français (Le Monde par exemple et plus ici), à savoir l’attaque dont Twitter et Facebook ont été victimes. Je suis presque contraint de l’évoquer, tout en soulignant que des attaques en déni de service sont quotidiennes sur Internet, mais ce n’est pas réellement là le sujet.

Une attaque en déni de service distribué (plus d’explications sur Wikipédia), tout d’abord, consiste à empêcher l’accès des usagers légitimes d’un service sur Internet (donc par exemple un site Web tel que Twitter ou Facebook, ou votre blog personnel) en initiant des connexions multiples depuis plusieurs endroits sur Internet (d’où la notion de distribution).

Ce type d’attaque a été rendu célèbre par les événements survenus en Géorgie l’année dernière, où des attaques coordonnées contre les sites Web gouvernementaux ont accompagné les tensions militaires avec la Russie du mois d’août 2008. C’est donc assez logiquement qu’une explication politique a été trouvée à cette attaque contre Twitter et Facebook. En effet, l’hypothèse d’un attaque ciblant Cyxymu, un abonné Géorgien de Twitter et Facebook et s’exprimant pour l’indépendance la défense d’intérêts liés à la situation de l’Abkhazie s’est très rapidement propagée.

Évidemment, l’utilisation croissante de ces sites par des personnalités du monde politique n’est pas pour rien dans cette médiatisation de l’incident. Et la politique est souvent évoquée dans le cas d’attaques rendues publiques au cours des trois dernières années. La torpeur de l’été y est sans doute aussi pour quelque chose et cela montre aussi l’intérêt des médias pour ces nouvelles formes de communication et de diffusion de l’information.

La réalité des attaques en déni de service est qu’elles sont quotidiennes sur Internet. Les botnets, par exemple, que j’ai évoqués à plusieurs reprises ici, permettent ce genre d’attaques. Ces types de services sont même commercialisés par des groupes criminels pour quelques dizaines ou centaines de dollars, vantant la possibilité d’empêcher le fonctionnement du site Web de son concurrent. Certains (comme Max Kelly, directeur de la sécurité chez Facebook, répondant ici à CNet News), ont émis l’hypothèse que cette attaque particulière aurait été rendue possible grâce à la diffusion de spams supposément émis par Cyxymu et conduisant des milliers d’usagers à se connecter en même temps sur son « tweet » (blog de Cyxymu).

L’explication est-elle convaincante ? L’information sur la coïncidence entre le spam visant Cyxymu et les incidences sur Twitter et Facebook est perturbante, parce qu’elle vise encore la Russie ou plutôt des citoyens Russes, mais sa source est intéressante : Max Kelly a certainement accès aux journaux des serveurs Web de sa société (Facebook) et donc à l’origine des clics qui ont conduit à cet incident, où en tous cas d’une partie d’entre eux.

Cette affaire mérite-t-elle un tel intérêt ? Oui, au sens où la défaillance pendant plusieurs heures d’un site Web aussi utilisé (et utile selon les points de vue) que Twitter en tant que telle est un événement. Les protections contre les attaques en déni de service ne sont pas facile à mettre en œuvre et supposent souvent d’installer des infrastructures supplémentaires en amont des serveurs Web pour filtrer les requêtes problématiques. Il semblerait que dans ce cas il s’agissait – au moins partiellement – de connexions légitimes provenant d’internautes réels utilisant leur propre navigateur : il paraît difficile d’imaginer de filtrer de telles connexions (il faudrait filtrer au niveau applicatif, à savoir sur la base du contenu de la requête lui-même – l’adresse de la page demandée – qui est quasiment le même pour tous les clics).

En tous cas, il sera essentiel que des dispositifs plus efficaces soient inventés pour lutter contre les attaques en déni de service, notamment dans le cas de serveurs utilisés par autant d’internautes dans le monde. Le « cloud computing », c’est-à-dire le développement de technologies qui permettent de stocker toutes ses données dans des serveurs accessibles et exploitables de partout sur Internet n’est pas viable à long terme dans de telles conditions (on voit combien les incidents dont souffrent parfois les plateformes de Google fait douter ses usagers).

PS: Information incidente révélée aujourd’hui par Jose Nazario de chez Arbor Networks (origine ici). Celui-ci a découvert pendant des investigations sur cette affaire d’attaque en déni de service contre Twitter, que des comptes Twitter sont utilisés par des criminels Brésiliens comme outil pour diffuser les commandes à destination d’un botnet, dont la fonction est vraisemblablement la collecte illégale de données personnelles.

Publié dans Cybercriminalité, Sécurité | Taggé: Botnets, DDoS, Facebook, Twitter | 1 commentaire »

Hébergeurs malhonnêtes : nouvelle fermeture (3FN)

Posté par Eric Freyssinet le 6 juin 2009

3FN

J’ai déjà pu évoquer plusieurs cas de fermetures d’hébergeurs malhonnêtes aux États-Unis cette année, notamment le cas de la société McColo. Cette semaine, un nouveau cas avec la société « Pricewert LLC » (société basée à Belize) et une évolution dans le processus qui a conduit à la fermeture de cet hébergeur : l’action résolue des services en charge de la protection des consommateurs et de la régulation du commerce aux USA (la FTC ou Federal trade commission).

On apprend donc jeudi, dans un communiqué de la FTC, qu’elle a obtenu en justice la fermeture de cet hébergeur qui exerce ses activités sous plusieurs dénominations (3FN et APS Telecom). L’investigation menée par la FTC aurait permis de démontrer que cette société aurait des liens avec des groupes criminels impliqués dans la distribution de logiciels malins, la distribution de pornographie enfantine ou des centres de commande de botnets.

La notion d’hébergeur malhonnête est ici définie par la FTC aussi par le fait que la société protégeait ses hôtes en ne répondant pas aux requêtes officielles ou en utilisant des techniques d’évasion numérique, c’est à dire ici l’hébergement sous des adresses IP différentes des mêmes services illicites.

La société 3FN (3fn.net) semblait être un hébergeur à la fois reconnu et critiqué. Cette société aurait été créée en 1999, est installée depuis cette époque en Californie. Ainsi, la société Triple Fiber Network a pu récemment annoncer la signature d’un contrat avec LEVEL3, l’un des plus gros fournisseurs de connectivité Internet. Selon les chiffres les plus récents, ce sont plus de 7600 domaines qui étaient hébergés chez 3FN. Des serveurs au contenu clairement malhonnête : Portland APS Telecom hébergeait ainsi ultimatepayment.com ou truebillingservices.com – des serveurs de paiement utilisés pour différentes escroqueries au faux antivirus (on note au passage des liens avec EstDomains dont l’accréditation ICANN a été interrompue en septembre 2008), IC Audit & Consulting – une escroquerie typique à l’emploi d’intermédiaires financiers, etc. Les exemeples sont innombrables.

Ainsi, le NCMEC aurait relevé plus de 700 rapports d’hébergements de contenus pédopornographiques, le premier remontant à 2004. Enfin, le botnet Cutwail aurait été affecté par cette nouvelle fermeture.

Pour mener ces investigations, la FTC a reçu le soutien de spécialistes de la NASA (qui dispose d’enquêteurs spécialisés, comme beaucoup de grandes agences américaines), l’université de Birmingham dans l’Alabama (l’équipe de Gary Warner), le National center for missing and exploited children (NCMEC), l’association Shadowserver, la société Symantec et le projet Spamhaus.

Les contraintes validées par le juge sont d’interdire à la société Pricewert LLC de poursuivre ses activités, de contraindre ses fournisseurs de connectivité à Internet et aux centres d’hébergement de cesser tout service à son profit. Les biens de la société ont aussi été gelés, en attente d’une première audience sur le fond qui devrait se tenir le 15 juin prochain.

Il sera intéressant de comprendre si cette société a été créée en 1999 pour commettre de tels méfaits, si c’est une dérive de ses gestionnaires attirés par l’appât du gain ou une prise de contrôle ultérieure. En tous cas des liens ont bien été établis avec des personnes originaires de l’Europe la plus orientale (y compris a priori le gestionnaire de la société 3FN). Enfin, il faut souligner ici l’implication des autorités américaines dans cette démarche, ce qui avait manqué dans les affaires McColo et Atrivo.

Publié dans Actualité judiciaire, Cybercriminalité, Sécurité | Taggé: 3FN, APS Telecom, Botnets, Cutwail, FTC, Hébergeurs, NASA, NCMEC, Pédopornographie, Pricewert, Shadowserver | 1 commentaire »

Botnet de 1,9 million de machines – nouvelles méthodes de lutte

Posté par Eric Freyssinet le 22 avril 2009

In English

La société Finjan révèle aujourd’hui l’existence d’un botnet regroupant plus de 1,9 millions de machines infectées.

Le centre de commande de ce réseau de machines zombie serait situé en Ukraine et selon les informations collectées par les spécialistes de Finjan, grâce à la surveillance qu’ils ont pu faire en s’infiltrant dans ce serveur de commandes, il y aurait une équipe de six personnes à la tête de ce complot numérique.

Sur le blog de Finjan, on voit des exemples de l’interface web de contrôle de ce réseau. Les actions qui peuvent être ordonnées par ce centre de commandes incluent la possibilité d’installer des chevaux de Troie aux fonctions variées : lecture d’adresses mél, communications entre machines en utilisant le protocole HTTP des serveurs Web, le lancement de processus malins, l’injection de code exécutable dans d’autres processus déjà lancés, la visite de sites Web sans l’intervention de l’utilisateur de la machine, etc.

La répartition relevée par Finjan est la suivante : US / 45%, UK / 6%, Canada / 4%, Germany / 4%, France / 3%, autres / 38%. Cela représente donc environ 60.000 machines victimes sur l’ensemble de notre territoire national… Il semblerait que les machines infectées tournent sous Windows XP.

On voit ici, une fois de plus, que pour lutter contre ce type de cyberdélinquance, il est indispensable de pouvoir collecter des preuves en s’infiltrant dans les systèmes des suspects. Et les services d’enquête ne disposent pas de ce genre de pouvoirs en France. Il n’est même pas sûr qu’on puisse utiliser des preuves collectées de cette façon par des sociétés privées pour poursuivre ces suspects en justice. Ainsi que le relève cette semaine Joe Stewart à la conférence RSA – organisée à San Francisco – il est grand temps que les méthodes de lutte s’adaptent à ces nouveaux défis, et pas uniquement du côté de l’industrie mais en partenariat avec des services d’enquête et la justice pour mettre un terme à l’action de ces groupes criminels.
Technorati Profile

Publié dans Cybercriminalité, Prospective | Taggé: Botnets, RSA Conference, Ukraine | 2 commentaires »

« Articles précédents

Criminalités numériques

Cybercriminalité, analyse criminalistique des systèmes numériques

Catégories

Tweets

Archives

Etiquettes

L’identité à l’ère numérique

Associations

Blogs que je consulte

Liens utiles

Mes blogs

Podcasts

Abonnements