1,2 Mrd de mots de passe volés : entre information, manipulation et anxiété

1,2 Mrd de mots de passe volés : entre information, manipulation et anxiété

Rendez-vous compte ma p'tite dame, 1,2 milliard !

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

12/08/2014 10 minutes
50

1,2 Mrd de mots de passe volés : entre information, manipulation et anxiété

Depuis quelques jours, le sujet agite et divise : 1,2 milliard de mots de passe auraient été dérobés par des pirates russes. Que l'information soit vraie ou non, elle a des conséquences, et pas uniquement pour les particuliers. En effet, des experts de tout bord en profitent pour surfer sur cette vague, en commençant par Hold Security à l'origine de cette annonce. Nous avons décidé de faire le point sur cette affaire.

1,2 milliard de mots de passe volés : vraie ou fausse information ?

Il y a quelques jours, Hold Security publiait un rapport qui a de quoi faire froid dans le dos à n'importe quel internaute : 1,2 milliard de mots de passe auraient été dérobés par des pirates russes, avec plus de 500 millions d'adresses mail correspondantes (voir notre analyse). Nous avions alors déjà posé la question de la véracité de l'information et nous n'étions pas les seuls. En effet, le New York Times indiquait également avoir mandaté un expert indépendant afin de procéder à une vérification.

 

Depuis, un autre expert s'est penché sur la question et pas n'importe lequel : Brian Krebs. Ce dernier jouit d'une certaine réputation dans le domaine de la sécurité informatique et il intervient par exemple lors de la Black Hat ou de la RSA Conference. Dans ce billet publié sur son blog, il indique avoir reçu de nombreuses demandes concernant le vol des données de 1,2 milliard de mots de passe.

 

Il y explique qu'il connaît personnellement la personne à l'origine de cette révélation, Alex Holden (de Hold Security), et précise que « Alex ne tient pas à divulguer ses méthodes, mais j'ai vu ses recherches ainsi que les données récoltées et je peux dire que c'est absolument vrai ».

 

Néanmoins, son discours est quelque peu ébranlé par cette page du site de Hold Security. On peut en effet y voir Brian Krebs dans la liste des conseillers spéciaux qui aident l'entreprise. Suite à la découverte de cette liaison dangereuse, Krebs a mis à jour son billet initial afin de préciser que cela avait été fait à la demande de M. Holden lors du lancement du site (février 2013 d'après le Whois). Il ajoute, « cependant, je n'ai, et ne recevrai aucune rémunération sous quelque forme que ce soit pour mes avis ».

 

Hold Security

 

Toujours dans la même veine, Hold Security et Brian Krebs ont collaboré dans la découverte de la faille d'Adobe en octobre de l'année dernière, un point clairement énoncé dans ce billet. Mais finalement, que l'on croit ou non la déclaration de Krebs, un autre point rend de nombreuses personnes sceptiques.

Quid de la quantité de données dérobées ? Ce nombre est-il plausible ?

Il s'agit de la quantité de données amassées : 1,2 milliard de mots de passe, ce qui semble beaucoup trop gros pour certains. Le nombre a en effet de quoi faire tourner la tête, mais pas tant que cela finalement. Certains services comme Facebook et Google disposent certainement d'une base d'utilisateurs plus importante à eux seuls et un service comme Twitter en compte déjà 271 millions, tandis que WhatsApp (récemment racheté par Facebook) doit certainement dépasser le demi-milliard.

 

Avec une faille sur un site de ce genre, le compteur peut rapidement grimper, mais aucun vol de données d'envergure n'a récemment été annoncé. Ce n'est pas le cas de tout le monde, loin de là. On peut par exemple citer Target qui s'est fait voler la bagatelle de 110 millions de données personnelles. Dans d'autres proportions, Sony a laissé fuiter des données de plusieurs dizaines de millions de comptes, contre 4 millions pour Snapchat et près de 3 millions pour Adobe. D'autres sites importants sont concernés comme eBay et LaCie pour ne citer qu'eux. Dans le même genre, on peut également citer d'importantes failles de sécurités découvertes ces derniers temps : HeartbleedOAuth et Open ID, mais aussi les navigateurs qui font parfois les gros titres.

 

Dans un récent communiqué de presse, Gemalto (qui vient de racheter SafeNet), avance le chiffre de 400 millions de données perdues ou volées depuis le début de l'année.

données personnelles
Crédits : ra2studio/iStock/Thinkstock

Mais tout cela n'a finalement qu'une importance relative

Finalement, ces deux points sont-ils les plus importants de cette histoire ? La réponse est non, car cela ne changera plus grand-chose désormais. En effet, comme nous l'avions déjà évoqué, cette annonce a déjà des conséquences pour certains utilisateurs, qui ne savent pas trop s'ils doivent changer ou non leur mot de passe. Un sentiment renforcé par l'absence de précision de la part d'Alex Holden qui ne donne volontairement aucun détail sur la liste des sites concernés. La cause principale étant que certains seraient toujours vulnérables.

 

Vrai ou non, le vol de 1,2 milliard de mots de passe donne des ailes aux experts de tout bords qui essayent de tirer à eux la couverture médiatique... à commencer par Hold Security. Comme nous l'avions également indiqué dans notre précédente actualité, une partie non négligeable de la communication de la société servait en fait à mettre en avant ses propres services, en surfant sur la peur engendrée par leur propre information. Un cercle vicieux... et rentable ?

La troublante proposition (payante) de Hold Security

Car plus troublant encore, Hold Security a mis en place une page dédiée vous permettant de vérifier si votre mot de passe fait partie de la fameuse liste, mais en vous demandant de... saisir votre mot de passe ! S'il est besoin de le préciser, rappelons qu'il ne faut jamais donner son mot de passe, même dans ce genre de situation. Pire encore, puisque ce service est payant : 120 dollars tout de même.

 

Mais Hold Security n'est pas la seule société à surfer sur ce vol de données, qu'il soit ou non avéré. De nombreux experts se relaient ainsi pour donner des conseils aux utilisateurs, des estimations de prix concernant la revente de ces informations, et bien d'autres choses encore. Le tout, sans avoir le plus souvent la moindre information concrète sur le fond du sujet. 

 

La pratique est d'ailleurs assez courante. Les emails des rédactions font ainsi souvent l'objet d'envoi de tribunes libres et autres conseils d'experts, envoyés par les agences de communication de sociétés spécialisées qui espèrent profiter de l'annonce d'une faille importante pour gagner en exposition et apparaître dans les médias.

 

Holden Security 

Quand les experts s'en mêlent et en profitent pour placer leurs produits

Voici quelques exemples triés sur le volet : « très actif dans le formatage et la revente de données à des fins criminels, le groupe CyberVor devrait rapidement mettre la totalité ou une partie de ces données en vente sur les marchés parallèles. La valeur marchande de ces données dépend de leur qualité. Après un état des lieux du marché sur les forums spécialisés underground, les experts du G DATA SecurityLabs évaluent la valeur des données volées à environ 12 millions d’euros ». Le calcul est basique : 1 dollar pour les mots de passe d'une centaine de comptes.

 

Du côté de Dashlane, on joue sur le sentiment de peur pour mieux faire passer son message : « l’inquiétude grandit au sein de la communauté de la sécurité informatique, certains estimant que la bataille sur la protection des informations personnelles est de plus en plus une bataille perdue d'avance ». Après quelques conseils concernant la gestion de son mot de passe, la solution maison est bien entendu mise en avant.

 

Rebelote avec Prim’X Technologies : « le groupe de pirates Russe CyberVor aurait en sa possession 1,2 milliard d’identifiants et mots de passe. Si l’information est vraie, changer de mots de passe n’est peut-être pas une mauvaise idée ». Comme nous l'avons déjà expliqué, changer ses mots de passe sans en savoir plus n'est pas forcément très utile puisqu'on ne sait pas quels sites sont touchés, et surtout s'ils sont encore vulnérables, une situation qui n'est pas sans rappeler Heartbleed. Là encore, la société en profite pour placer son application maison (et payante) de gestion de mot de passe.

 

Tous ne partent pas dans cette direction et certains mettent simplement en garde. C'est le cas de Geoff Webb de chez NetIQ par exemple, qui affirme par contre que le vol est bien réel, mais sans pour autant en apporter la preuve : « des pirates informatiques Russes viennent de réaliser « le casse du siècle » en récoltant 1,2 milliard de comptes utilisateurs (identifiants et mots de passe associés) et plus de 500 millions d’adresses e-mail, provenant de 420 000 sites Internet d’entreprises de toute taille. NetIQ, fournisseur de solutions de sécurité informatique, ne s’étonne pas de la multiplication de ce type de hack [...] Dans ce type de cas, la faute ne repose pas uniquement sur les hackers. Il faut aussi prendre en compte le comportement des entreprises et celui des utilisateurs finaux face à la sécurisation des accès ».

Faut-il avoir peur et changer tous ses mots de passe ? 

Difficile d'apporter une réponse universelle à ce genre de question, mais une chose est sûre, il ne faut pas spécialement avoir plus peur que d'habitude, du moins pour le moment. En effet, on ne se retrouve pas dans le même cas que Heartbleed qui laissait fuiter des données diverses et parfois très sensibles sur de très nombreux sites, qui étaient de plus facilement identifiables. Cette fois-ci, même en partant du postulat que le vol est avéré, on ne sait pas d'où viennent les données et il faudra donc changer tous ses mots de passe pour espérer un minimum de sécurité, et encore : en espérant que les failles soient bouchées. 

 

Si l'on a déjà adopté une certaine hygiène dans la gestion de ses mots de passe, il ne devrait pas y avoir grand-chose à faire de plus. Pour cela, il est important de mélanger tant que possible majuscules, minuscules et caractères spéciaux, de ne pas réutiliser le même mot de passe à plusieurs endroits pour éviter les croisements en cas de fuite et de les modifier à intervalle régulier. Le tableau que nous venons de dépeindre est une solution saine, mais pas toujours simple à mettre en place, il faut bien l'avouer. Quoi qu'il en soit, si vous n'avez jamais changé vos mots de passe, ou bien pas récemment, peut-être est-il temps de le faire, mais cette action est finalement indépendante du vol dont il est question aujourd'hui.

 

 

Si l'annonce du vol de 1,2 milliard de mots de passe s'avère fausse, cela aura au moins l'intérêt de remettre en question les pratiques face à ce genre d'annonce, que ce soit dans les médias ou pour les sociétés expertes en sécurité, qui en profitent allégrement pour mettre en avant leur service en capitalisant sur la peur des internautes. Dans tous les cas, on regrettera le manque de transparence dans ce domaine, les sociétés ne communiquant que trop peu ouvertement sur leurs fuites de données. Si la CNIL oblige les opérateurs et FAI français, ce sont les seuls soumis à ce régime. Une situation qui pourrait changer, puisque cela s'active du côté du G29.

50

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

1,2 milliard de mots de passe volés : vraie ou fausse information ?

Quid de la quantité de données dérobées ? Ce nombre est-il plausible ?

Mais tout cela n'a finalement qu'une importance relative

La troublante proposition (payante) de Hold Security

Quand les experts s'en mêlent et en profitent pour placer leurs produits

Faut-il avoir peur et changer tous ses mots de passe ? 

Commentaires (50)


Ouch !!!

Entre ton mot de passe et je te dirai s’il est connu !

incroyable

<img data-src=" />


Tl;dr

Toute personne qui a du pouvoir est tentée d’ en abuser

J’ ajoute que vous pouvez corrompre quasiment n’ importe qui avec de l’ argent.



Et vraiment je suis choque de voir une telle news de type “brouillard” de la part de nextimpact…

Noyons le poisson ?


Mouais cette histoire est vraiment louche.

Le problème est qu’il n’y a aucun moyen de vérifier la véracité vu qu’il n’y ni sources (les sites concernés par les hacks) ni preuves.

La base de données de mot de passes volés depuis 7-8 doit bien être au minimum de 1.2Milliards. Ca sent le regroupement de pastebin utilisé pour faire peur. Lorsque j’ai vu la première annonce sur un autre site j’ai fouillé le net à la recherche de a liste des sites attaqués depuis toujours aucune nouvelle et c’est ce qui me fait penser qu’il n’y a rien derrière.








JoePike a écrit :



Ouch !!!

Entre ton mot de passe et je te dirai s’il est connu !

incroyable

<img data-src=" />





Clair que rien que ce point-là fait douter de la véracité de tout le reste <img data-src=" />









JoePike a écrit :



Ouch !!!

Entre ton mot de passe et je te dirai s’il est connu !

incroyable

<img data-src=" />







Le plus incroyable c’est qu’il a des gogos qui tombent dans le panneau !



Moi pour savoir si un mdp est bon quand je veux changer je le publie sur FB et sur Twiteur comme ça les gens me disent “il est bien celui là” …. oupa !



Pensez à vérifier vos clés privées aussi :http://privatekeycheck.com/

<img data-src=" />








JoePike a écrit :



Ouch !!!

Entre ton mot de passe et je te dirai s’il est connu !

incroyable

<img data-src=" />







Oublie pas de passer à la caisse aussi<img data-src=" />



Je n’ai pas du tout confiance dans cette soi-disant boite de sécurité. On devrait lui donner notre mot de passer et 120$ pour voir si on a été piraté, mais bien sûr <img data-src=" />



Je sens le coup monté pour faire le buzz et ramasser le fric. Ils devraient s’appeler “hold up security”.





En attendant pour la première fois hier j’ai eu une alerte de Google qui me dit qu’un mec avec une IP chinoise a réussi à se connecter avec mon compte Google, et qu’ils l’ont bloqué. Sauf que je vois pas du tout comment il a pu mettre la main sur mon mot de passe.





Si l’annonce du vol de 1,2 milliard de mots de passe s’avère fausse, cela aura au moins l’intérêt de remettre en question les pratiques face à ce genre d’annonce, que ce soit dans les médias ou pour les sociétés expertes en sécurité, qui en profitent allégrement pour mettre en avant leur service en capitalisant sur la peur des internautes.

La première news sur NXiI date de 6 jours, et déjà grâce aux commentateurs qui ont mené l’enquête, la suspicion d’un acte de désinformation était plus que largement plausible.



Nous étions quelques uns a demander une mise à jour de la news pour mettre en garde le public face à cette information douteuse.



Dommage qu’il ait fallu 6 jours à NXI pour réagir.


Un bien bel article qui aurait mérité d’être payant <img data-src=" />







EDITH : Ah ben il est pour les abonnés, comme quoi les grands esprits se rencontrent <img data-src=" />








tAran a écrit :



Un bien bel article qui aurait mérité d’être payant <img data-src=" />





Il n’est accessible qu’aux abonnés.



Du coup, c’est un fail ou de l’ironie ? <img data-src=" />



edit : ok, c’est un fail <img data-src=" />









ActionFighter a écrit :



Il n’est accessible qu’aux abonnés.



Du coup, c’est un fail ou de l’ironie ? <img data-src=" />



edit : ok, c’est un fail <img data-src=" />







<img data-src=" /> <img data-src=" />









Nyquist a écrit :



Pensez à vérifier vos clés privées aussi :http://privatekeycheck.com/

<img data-src=" />









Why on earth would you post it here? Now it’s surely not.





Bon bin je suis bon pour refaire l’accès à mes serveurs <img data-src=" />



<img data-src=" />









DownThemAll a écrit :



Oublie pas de passer à la caisse aussi<img data-src=" />



Je n’ai pas du tout confiance dans cette soi-disant boite de sécurité. On devrait lui donner notre mot de passer et 120$ pour voir si on a été piraté, mais bien sûr <img data-src=" />



Je sens le coup monté pour faire le buzz et ramasser le fric. Ils devraient s’appeler “hold up security”.





En attendant pour la première fois hier j’ai eu une alerte de Google qui me dit qu’un mec avec une IP chinoise a réussi à se connecter avec mon compte Google, et qu’ils l’ont bloqué. Sauf que je vois pas du tout comment il a pu mettre la main sur mon mot de passe.







Ouais pour le mec avec l’ip J’ai eu parait il une connection douteuse à partir de l’Australie sur un compte Apple

sauf que dans l’adresse IP , il y avait xxx.xxx.667.xxx

cherchez l’erreur

<img data-src=" />









ActionFighter a écrit :



edit : ok, c’est un fail <img data-src=" />





Disons que c’est un fail ironique <img data-src=" />

<img data-src=" />





S’il est besoin de le préciser, rappelons qu’il ne faut jamais donner son mot de passe



Tu peux enlever le si, il sera toujours besoin de le préciser.








JoePike a écrit :



Ouch !!!

Entre ton mot de passe et je te dirai s’il est connu !

incroyable

<img data-src=" />





Je ne serais pas étonné qu’il y ait des gens qui aient déboursé 120$ pour voir si leur mot de passe (123456) avait été volé <img data-src=" />









Obelixator a écrit :



Disons que c’est un fail ironique <img data-src=" />

<img data-src=" />







Ouais mais d’un autre côté on l’a pas payé cher cet article car il est de qualité

( je le pense mais j’espère quand même avoir une réduc la prochaine fois)

<img data-src=" />









tAran a écrit :



Je ne serais pas étonné qu’il y ait des gens qui aient déboursé 120\( pour voir si leur mot de passe (123456) avait été volé <img data-src=">







faudrait leur facturer la vérification à 123.456\)
<img data-src=" />









John Shaft a écrit :



faudrait leur facturer la vérification à 123.456$ <img data-src=" />





Pour ce prix ils te conseillent de mettre certains chiffres en minuscule

<img data-src=" />



Keepass + Une base répliquée et synchronisée sur un serveur distant comme backup (OneDrive, GoogleDrive, Dropbox, Owncloud etc) et le tour est joué pour vos mots de passes.



Vous générez un mot de passe par applicatif / site en mettant le max de possibilité offertes (sur le nombre de caractères, chiffres, spéciaux etc) et voila.



De l’applicatif on copie/colle d’un seul click et en se plaçant dans la box d’identifiant et en retournant sur l’appli, une option permet d’effectuer un script d’auto-log qui va rentrer “login + mdp correspondant” avec un “entrée” derrière. Cela va encore plus vite que taper soi-même son mot de passe parfois !



Après la difficulté résidant dans la clé maitresse de la base…personnellement c’est une vieille clé wifi de box que j’avais apprise par coeur. Difficile de faire plus complexe.



(Bien sûr ça n’empêche pas les USA de récupérer la base et cracker le chiffrage dessus le cas échéant si vous utilisez OneDrive ou GoogleDrive, mais le simple fait d’avoir un mot de passe différent par applicatif limite très largement la portée de ce genre de vol)



My 2cents.








John Shaft a écrit :



Bon bin je suis bon pour refaire l’accès à mes serveurs <img data-src=" />



<img data-src=" />







En analysant le code de la page, on voit qu’il ne poste pas le texte que tu as tapé. Le serveur n’en a pas connaissance.

Aucun script de suivi d’audience (et même aucun javascript, tout court) susceptible d’intercepter ta saisie, donc aucun risque dans le cas présent. Mais c’est pas très malin de taper une info secrète dans ce genre de page <img data-src=" />









VoucyusDo a écrit :



En analysant le code de la page, on voit qu’il ne poste pas le texte que tu as tapé. Le serveur n’en a pas connaissance.

Aucun script de suivi d’audience (et même aucun javascript, tout court) susceptible d’intercepter ta saisie, donc aucun risque dans le cas présent. Mais c’est pas très malin de taper une info secrète dans ce genre de page <img data-src=" />







J’ai quand même l’impression que c’était du 2ème degré












VoucyusDo a écrit :



En analysant le code de la page, on voit qu’il ne poste pas le texte que tu as tapé. Le serveur n’en a pas connaissance.

Aucun script de suivi d’audience (et même aucun javascript, tout court) susceptible d’intercepter ta saisie, donc aucun risque dans le cas présent. Mais c’est pas très malin de taper une info secrète dans ce genre de page <img data-src=" />









JoePike a écrit :



J’a





Chérie, ca va couper <img data-src=" />









VoucyusDo a écrit :



En analysant le code de la page, on voit qu’il ne poste pas le texte que tu as tapé. Le serveur n’en a pas connaissance.

Aucun script de suivi d’audience (et même aucun javascript, tout court) susceptible d’intercepter ta saisie, donc aucun risque dans le cas présent. Mais c’est pas très malin de taper une info secrète dans ce genre de page <img data-src=" />







En même temps, j’avais justement mis n’importe quoi <img data-src=" />









barlav a écrit :



Chérie, ca va couper <img data-src=" />







<img data-src=" />



c’était plutot : Chérie c’est parti tout seul



<img data-src=" />



Il y a aussi tous les codes de cartes bleues qui ont fuité :

http://pastebin.com/2qbRKh3R








®om a écrit :



Il y a aussi tous les codes de cartes bleues qui ont fuité :

http://pastebin.com/2qbRKh3R





<img data-src=" />

et un peu <img data-src=" /> car le mien est dedans









®om a écrit :



Il y a aussi tous les codes de cartes bleues qui ont fuité :

http://pastebin.com/2qbRKh3R





<img data-src=" /> y’a le mien dedans <img data-src=" />









®om a écrit :



Il y a aussi tous les codes de cartes bleues qui ont fuité :

http://pastebin.com/2qbRKh3R









Pfff…

Alors que je venais juste de le changer !

<img data-src=" />



Sinon, depuis quelques mois, next inpact n’a plus de version mobile ?








®om a écrit :



Sinon, depuis quelques mois, next inpact n’a plus de version mobile ?





http://m.nextinpact.com/ marche très bien.



Ah ok, merci, il faut aller explicitement à cette adresse, on n’est pas redirigé automatiquement.




Rendez-vous compte ma p’tite dame, 1,2 milliard !

Joli sous-titre. C’est un peu ma réaction quand j’ai entendu ce nombre vertigineux à la radio en pleine saison estivale. En plus, je n’avais rien lu sur Next Inpact jusqu’à aujourd’hui.








®om a écrit :



Ah ok, merci, il faut aller explicitement à cette adresse, on n’est pas redirigé automatiquement.





logiquement oui, mais c’est du P-A!









JoePike a écrit :



Ouais pour le mec avec l’ip J’ai eu parait il une connection douteuse à partir de l’Australie sur un compte Apple

sauf que dans l’adresse IP , il y avait xxx.xxx.667.xxx

cherchez l’erreur

<img data-src=" />





c’est un DHCP des séries américaines <img data-src=" />









JoePike a écrit :



Ouais pour le mec avec l’ip J’ai eu parait il une connection douteuse à partir de l’Australie sur un compte Apple

sauf que dans l’adresse IP , il y avait xxx.xxx.667.xxx

cherchez l’erreur

<img data-src=" />





c’est une IPv5, très rare! <img data-src=" />









®om a écrit :



Il y a aussi tous les codes de cartes bleues qui ont fuité :

http://pastebin.com/2qbRKh3R





<img data-src=" /> J’ai compris seulement en comparant avec mon code.

C’est vraiment un piège à con. <img data-src=" />









jb18v a écrit :



c’est un DHCP des séries américaines <img data-src=" />





Six Six Seven ! the neighbor of the Beast ! <img data-src=" />










WereWindle a écrit :



Six Six Seven ! the neighbor of the Beast ! <img data-src=" />







Encore une reprise “originale” d IM ??









eliumnick a écrit :



Encore une reprise “originale” d IM ??





ça rend son IP captée en Australie sur un Apple encore plus proche d’être démoniaque <img data-src=" /> (et je ne parle même pas de ce qui a été fait avec cette IP <img data-src=" />)









WereWindle a écrit :



Six Six Seven ! the neighbor of the Beast ! <img data-src=" />





And I heard as it were the noise of thunder

One of the four beasts saying, “Come and see”,

And I saw and behold a white horse



<img data-src=" />









jb18v a écrit :



And I heard as it were the noise of thunder

One of the four beasts saying, “Come and see”,

And I saw and behold a white horse



<img data-src=" />







Mamamia

On nous cite la bible dans NextINpact

ça doit pas arriver souvent

<img data-src=" />









JoePike a écrit :



Mamamia

On nous cite la bible dans NextINpact

ça doit pas arriver souvent

<img data-src=" />





Mains non, c’est une citation de Johnny Cash <img data-src=" />









ActionFighter a écrit :



Mains non, c’est une citation de Johnny Cash <img data-src=" />







Ah Johnny Cash

<img data-src=" />





<img data-src=" />









JoePike a écrit :



Mamamia

On nous cite la bible dans NextINpact

ça doit pas arriver souvent

<img data-src=" />





euh oui disons que Cash a repris un certain bouquin <img data-src=" /><img data-src=" />









jb18v a écrit :



euh oui disons que Cash a repris un certain bouquin <img data-src=" /><img data-src=" />







Et je parie qu’il a touché des droits d’auteurs alors que c’était un vilain pirate/copieur

<img data-src=" />



Mouais, pour le coup réserver l’article aux abonnes m’étonne…. Sujet d’importance quoi.








Leum a écrit :



Mouais, pour le coup réserver l’article aux abonnes m’étonne…. Sujet d’importance quoi.





Une sorte de mise en abîme :)



Barrack cherche comment nuker Tovaritch Poutine <img data-src=" />