Comment pirater un distributeur de billets

le 29 juillet 2010 | Nb visites : 8 537 |

Comment pirater un distributeur de billets

Lors de la conférence BlackHat qui a lieu en ce moment à Las Vegas, Barnaby Jack de la société de sécurité IOActive a fait une démo assez sympa en piratant 2 ATM (distributeurs automatique de billets ou DAB) de marque Tranax Technologies et Triton. Il a découvert l’année dernière plusieurs failles en analysant le code source des logiciels embarqués dans les ATM.

Pour analyser le code logiciel du Tranax, il a simplement relancé les appareils en mode débug, accédant ainsi à un Windows CE. Les ATM sont équipés de modem ou de connexion internet selon leur config… Il a donc tout simplement lancé un Internet Explorer, qui lui a permis de sortir les fichiers pour les analyser ensuite. Il a alors pu trouver une vulnérabilité qui lui a permis d’accèder à distance à l’ATM sans devoir saisir de mot de passe.

Il a alors écrit 2 petits exploits baptisés Dillinger (un célèbre braqueur de banque américain) et Scrooge (l’oncle Picsou). Le premier établi la connexion à distance sur l’ATM via un ordi ou un téléphone portable. Les ATM accessibles par modem possède un n° de téléphone qui leur est propre et seraient selon Barnaby facilement « découvrable » avec un peu de wardialing. En effet, Tranax utilise son propre protocole de communication… A partir de là, il devient relativement simple de savoir si le modem qui répond au coup de fil est un ATM ou un modem classique.

Le second logiciel, quant à lui, injecte dans le système un rootkit qui reste invisible dans la liste des processus et qui affiche un petit menu permettant de contrôler l’appareil, uniquement si on tape une certaine combinaison de touches ou qu’on insère une carte spéciale dans l’appareil. Scrooge permet ainsi de récupérer toutes les infos (n° de carte, code secret…etc) qui transitent par la machine mais aussi de sortir l’argent. Une machine de ce type peut contenir jusqu’à 600 000 dollars.

L’autre ATM, de marque Triton n’avait quant à elle pas de faille exploitable à distance. Barnaby a donc rusé et a trouvé pour 10$ sur le net, la clé qui permet d’ouvrir l’ATM. Il a alors branché une clé USB contenant un malware de sa confection sur la carte mère de l’ATM, lui faisant croire qu’il s’agissait d’une mise à jour. Les clés Triton sont identiques pour tous les ATM vendus… Il suffit donc de trouver un technicien Triton complice. Et taaaadaaa ! Il devient ensuite très simple grâce au malware de récupérer les n° et les codes secrets de toutes les cartes insérées dans la machine, et bien sûr de sortir l’argent !

Evidemment, j’en vois certains qui se préparent mentalement à aller braquer leur banque et je dois dire que ce genre de choses peut faire rêver :-) mais

  • C’est bien sûr illégal
  • Ça demande beaucoup de boulot car Barnaby ne rendra pas ses logiciels publics
  • Les ATM en France sont probablement d’une autre marque
  • Les fabricants Triton et Tranax ont patché ces failles
  • Et porter une cagoule en cette saison, pour éviter les caméras de suveillance, n’est pas chose facile.

Ça reste quand même assez impressionnant et je dois dire que la vidéo de démonstration est sympathique :-)

En plus, je suis sûr que y’a moyen de faire pareil avec les pompes à essence 24h/24h ;-) (photo prise par moi-même il y a quelques semaines)

essence Comment pirater un distributeur de billets

[Source et photo]

Publicité

Je vous recommande aussi la lecture des sujets suivants


Faites un lien vers cette news sur votre site



58 commentaires

  1. Gana Reply to this comment


    Comme quoi retirer de l’argent ou faire le plein avec un téléphone portable c’est pas si con que ça ^^

    Posté le 29 juillet 2010 à 13:06:13

  2. goliate Reply to this comment


    o0 impressionnant quand même comme quoi il ya rien de mieu que la méthode de mamie le fric sous le matelas ><

    Posté le 29 juillet 2010 à 13:07:45

  3. Tea-bo Reply to this comment


    roh cette dernière photo, c’est collector !

    Posté le 29 juillet 2010 à 13:08:18

  4. Boubi Reply to this comment


    Travaillant dans une hotline pour des système d’encaissement ces failles ne me surprenne même pas vu que les système sur lequel je travail sont du windows CE basique…

    Posté le 29 juillet 2010 à 13:09:18

  5. Florian Reply to this comment


    Intéressant & un peu flippant en même temps, de toute façon il y aura toujours des failles.

    Je pense aussi qu’il est possible de faire de même sur les pompe 24/24 ou sur les caisse auto de grande surface. J’ai déjà vu des écran bleu & autre message d’erreur windows sur : Pompe 24/24 (blue screen), caisse auto (Erreur XP), distributeur de billet TCL (Lyon), erreur windows (95 :D )

    Posté le 29 juillet 2010 à 13:17:54

  6. Rufo Reply to this comment


    Le coup de la station essence, ça me fait penser qu’il y a quelques semaines, j’allais faire le plein dans uns station d’intermarché. Je commence à insérer ma carte puis suivre les instructions quand je me rends compte que l’IHM avait l’air beaucoup plus « technique » que d’habitude. Pas de belles images mais des infos s’affichaient comme quoi l’appareil essayait de rétablir la connexion au serveur. En regardant autour de moi, j’ai vu que toutes les autres pompes étaient dans le même état. En y regardant de plus près, ça affichait des adresses IP, des n° de ports… Le tout sous Windows CE a priori.

    Du même genre, aux débuts du site http://www.chronodrive.com, y’avait des pages buggées. Quand tu tombais dessus, toute l’IHM web pétait et y’avait une grosse page de débuggage Java :) Pour celui qui n’y connait rien, ça doit faire un peu peur, pour les autres, une petite analyse des messages donnaient des adresses IP, des adresses mail de contact des admin, le type du paiement en ligne (Atos), le serveur et tout un d’autres infos qui auraient pu intéresser des hackers :) … J’ai envoyé un mail au support du site pour leur dire qu’il vaudrait mieux cacher tout ça.

    Posté le 29 juillet 2010 à 13:21:55

  7. Celotre Reply to this comment


    Alors toi il suffit que t’approche une pompe à essence 24/24 pour qu’elle se foute instantanément en mode rescue. Fort, trés fort…

    Posté le 29 juillet 2010 à 13:28:39

  8. Flo Reply to this comment


    J’adore la dernière photo avec le bios :)
    J’ai toujours cru que c’était du linux qui tournait sur ces machines.. mais windows.. la ça me choque un peux quand même.

    Posté le 29 juillet 2010 à 13:33:32

  9. Korben Reply to this comment


    @Celotre: oui, je lui ai fait peur :)

    Posté le 29 juillet 2010 à 13:41:19

  10. valentin724 Reply to this comment


    La vie de John Dillinger est raconté dans le film: Public enemies!

    Posté le 29 juillet 2010 à 13:49:57

  11. PSP Reply to this comment


    Ralala, comme quoi, aucune donnée ni aucun système n’est parfaitement protégé et peu à tout moment sauter …

    Posté le 29 juillet 2010 à 13:52:11

  12. le hollandais volant Reply to this comment


    Quelle idée aussi de foutre du Windows dans ce machines…

    Posté le 29 juillet 2010 à 14:00:21

  13. Julien Reply to this comment


    @Korben : Porter une cagoule de manière à rendre son visage inidentifiable dans un lieu public est maintenant illégal.

    Posté le 29 juillet 2010 à 14:03:38

  14. KaiserCz Reply to this comment


    Impressionnant ! :o
    C’est super intéressant aussi… Quand est-ce que Tonton braque les distrib ? :]

    Sinon pour ce petit passage dans le quatrième paragraphe « Le second logiciel, quand à lui », ici on écrit quand avec un « t » et pas un « d », donc « quant à lui ».
    Pour t’en souvenir, tu fais la liaison, par exemple « Quand tu es venu », tu peux faire la liaison, ça ne donne rien. ;)

    Posté le 29 juillet 2010 à 14:04:48

  15. seb Reply to this comment


    Je me suis toujours demandé comment on peut rentrer dans un système, ou même le faire rebooter, alors qu’on n’a accès qu’à un simple pavé numérique.

    Posté le 29 juillet 2010 à 14:09:46

  16. blz Reply to this comment


    Dans les grandes banques françaises, les ATM sont plutôt connectés à des réseaux privés.
    Seuls les ATM « mobiles » (genre sur les festivals) sont éventuellement connectés à Internet, données encapsulées dans des tunnels sécurisés. Ils n’acceptent en aucun cas de connexions entrantes, qui plus est d’@ips inconnues.

    Le débat Windows vs système propriétaire revient à l’éternel débat de l’apport de l’obscurantisme dans la sécurité d’un système. D’un point de vue fonctionnel et pratique, ca permet d’apporter de nouvelles fonctionnalités rapidement en utilisant des compétences déjà existantes sur le marché.
    Les nouveaux ATM embarquent bien souvent un moteur de type gecko ou webkit pour l’IHM, adressant un serveur d’applications distant. Ce qui rapproche le développement d’applications ATM à de la programmation web.

    Le piratage des automates bancaires à toujours cristallisé les convoitises du fait de leur lien direct à l’argent mais ils sont loin d’être les systèmes les plus rentables à pirater. C’est pourquoi, ils restent une cible peu rependue du crime organisé et intéressent plutôt les petits bidouilleurs.

    Posté le 29 juillet 2010 à 14:09:52

  17. Lucien Reply to this comment


    Ca me rappelle mes vacances d’été de l’an dernier durant lesquelles j’avais dû utiliser un ATM pour pouvoir avoir ma dose de PC même en voyage :

    http://www.puceau.nu/vacances-en-asie/

    Posté le 29 juillet 2010 à 14:18:02

  18. Inazo Reply to this comment


    Bonjour,

    La pompe à essence rien de plus facile pour avoir des informations dans certaines et ceux très discrètement.

    Exemple : Station service avec un 24/24 qui n’est pas actif quand on a un employé dans « l’aquarium » (oui il l’appel comme ça…), le soir quand il a fini ça journée, il bascule les automates en 24/24, et là : chargement et reboot de la machine avec une tonne de vérification et tout et tout. On peut donc nettement voir plein d’informations sympa tous les jours de la semaine il suffit d’arriver à la bonne heure, faudrait que je fasse une photo pour expliquer un peu mieux ^^.

    Cordialement,

    Posté le 29 juillet 2010 à 14:24:47

  19. Sebdraven Reply to this comment


    En france les ATM sont de marques Diebold, NCR ou Thales-Xndorf :)

    Posté le 29 juillet 2010 à 14:41:05

  20. Zip Reply to this comment


    Pas Thales-Xndorf, mais Wincor Nixdorf…

    Posté le 29 juillet 2010 à 14:46:53

  21. JZ Reply to this comment


    Très impressionnant, moi aussi je pensais que c’était du linux qui tournait sur ces machines là…

    Posté le 29 juillet 2010 à 14:49:04

  22. blz Reply to this comment


    Il y a aussi des Gunnebo

    Posté le 29 juillet 2010 à 14:58:28

  23. Kidou Reply to this comment


    Si je ne m’abuse en France les DAB sont connectés entre eux par Transpac non ? (ou l’étaient il n’y a pas très longtemps)

    Posté le 29 juillet 2010 à 16:00:40

  24. Raton Reply to this comment


    « Porter une cagoule en cette saison »
    ou une burqa…

    Posté le 29 juillet 2010 à 16:49:55

  25. blz Reply to this comment


    @Kidou:
    Historiquement en France , les GAB étaient connectés en X.25 Transpac mais peu à peu les banques se sont désengagée, du fait des coûts induits puis de l’abandon de la techno par OBS.
    Le X.25 Transpac ne sera plus maintenu dès Q4 2011.

    Posté le 29 juillet 2010 à 17:10:02

  26. Kidou Reply to this comment


    @blz ah oui c’est bien ce qu’il me semblait pour l’interruption de service. Du coup, maintenant les DAB sont connectés à de l’ATM normal alors ?

    Posté le 29 juillet 2010 à 17:24:35

  27. bliz Reply to this comment


    tu a trouvé la faille raton ^^

    sinon il y a pas mal de systèmes « obsolètes » en circulation dans nos bornes automatisées que ce soit station bouffe photo ect

    Posté le 29 juillet 2010 à 17:29:43

  28. Christophe LONGUEPEZ Reply to this comment


    Pour avoir travailler dans le monde bancaire quelques temps voila certains points de précision :

    - En France les principaux fabricants de DAB et GAB sont Wincor Nixdork, Dassault, Diebold, NCR. Apparemment pas concernés par ces failles

    - Beaucoup de banques utilisent encore les réseaux X25 pour les communications bancaires (pour rappel X25 = couche réseau utilisé pour le Minitel). Ces commeunications sont certes souvent encapsulé en IP via XOT (protocole CISCO) mais ca rend déjà bien plus complexe la capacité de lecture (plus grand monde maitrise X25 en comparaison avec IP).

    - Il est par contre vrai que les DAB/GAB embarquent un OS Windows (sous XP embedded) avec une surcouche applicative bancaire.

    Je reste tout de même persuadé qu’il est plus efficace d’envoyer un camion citerne directement dans le GAB plutot que de tenter de le hacker =)

    Posté le 29 juillet 2010 à 18:40:07

  29. Benjamin Reply to this comment


    Bizarre, ca m’impressionne pas :-|

    Posté le 29 juillet 2010 à 18:45:41

  30. Ikarkias Reply to this comment


    Il y en a toujours qui se la pètent avec leur savoir parce qu’ils ont bosser à tel ou tel endroit…

    Posté le 29 juillet 2010 à 19:14:18

  31. tristan Reply to this comment


    @Ikarkias:
    Le partage des connaissance, tu conais ?

    Posté le 29 juillet 2010 à 20:27:39

  32. aDy Reply to this comment


    @Ikarkias: On se passerais bien de tes commentaires stériles :)

    Posté le 29 juillet 2010 à 20:32:53

  33. Didier Reply to this comment


    Je suis d’accord avec ‘blz’ concernant le reseau privé des GAB (là c’est la traduction française d’ATM : Guichet Automatique Bancaire. Ou DAB = Distributeur Automatique de Billet): C’est un VPN, qui ne passe plus par Transpac, mais par internet. Et avec ‘Sebdraven’ et ‘Zip’ pour les marques autorisées en France.

    Comme C Longuepez j’me la pète aussi pour avoir oeuvré une dizaine d’années dans la monétique.

    Une précision technique supplémentaire pour éviter la parano : il est impossible de pirater le code secret d’une carte bancaire, en hackant l’application Windows. Ce code, lorsqu’il est tapé au clavier, est crypté par l’electronique intégrée juste en dessous du clavier lui même. Il est ensuite transmis, sous forme cryptée, à la carte à puce qui réponds à l’application Windows OUI (…le code est bon), ou NON (le code est faux).

    Pour celui qui voudrait démonter un clavier pour tenter un reverse engineering sur l’electronique et l’algorythme de cryptage, il n’aurait pas d’autre choix que de détruire le circuit qui est coulé dans une résine. La poule aux oeufs d’or quoi. C’est pareil pour les terminaux de paiements : dès qu’on tente d’inspecter les entrailles du clavier, c’est détruit.

    La seule méthode connue en France pour pirater les codes secrets, encore utilisées récemment dans le Nord je crois, c’est une caméra positionnée au dessus du clavier.

    Je pense que la meilleure méthode serait celle ci : fabriquer soi même un GAB, et aller l’installer au culot dans un centre commercial en se faisant prendre pour l’installateur qualifié. Cela demande évidemment des gros moyens ! Lorsqu’un client a besoin de flouze : introduisez votre carte… taper votre code secret… petite reflexion de 30 secondes… l’écran de l’engin affiche « désolé ça marche pas »… et la machine rends la carte.

    Je vous laisse imaginer ce qu’il peut se passer à l’intérieur de la machine. Il ne faut pas oublier le détail qui tue : prendre en photo le code CVV à 3 chiffres au dos de la carte, car celui ci n’est inscrit nul part ailleurs qu’à cet endroit.

    D’ailleurs un conseil : effacez ce code CVV de votre carte, et gardez le en mémoire, en plus du code secret !

    Posté le 29 juillet 2010 à 20:49:04

  34. chris Reply to this comment


    Ouai m’enfin c’est un peu léger quand même, il y à des protections aux distributeur de billets

    Posté le 29 juillet 2010 à 21:10:17

  35. Donald Reply to this comment


    Bonsoir, Ca fait froid dans le dos ! Des petits malins vont sûrement le faire car un type dans les coms à donné la marque (encore un intelligent). Sinon, je pense que les concepteurs du logiciel français vont probablement se pencher sur la question. Pour windows, c’est un peu normal vu que Microsoft a le quasi monopole. Perso, j’aurai pensé qu’il inventent un O.S juste pour les machines style D.A.B et pompe à essence. C’est dommage que les grands pontes n’y ont pas pensé. Sur ce, bonne soirée à tous !

    Posté le 29 juillet 2010 à 21:30:15

  36. Florian Reply to this comment


    Il y a un mois en faisant le plein d’essence sur un automate 24/24, ce dernier a rebooté pendant que je me servais.
    J’ai fini de faire le plein, je n’ai pas eu de ticket à la fin et après vérification sur mon compte je n’ai jamais été débité de ce plein.

    Comme quoi Windows et ses plantages a du bon parfois !!!

    Posté le 29 juillet 2010 à 22:56:09

  37. Roby Reply to this comment


    Nous allons visiblement faire le plein à la même enseigne ^^ (prise il y a quelques jours) :
    http://blog.dulourdedingue.fr/public/pompe.jpg

    En tout cas cet article était fort intéressant.
    ++

    Posté le 30 juillet 2010 à 02:33:24

  38. Cachem Reply to this comment


    [edit]Il est ensuite transmis, sous forme cryptée, à la carte à puce qui réponds à l’application Windows OUI (…le code est bon), ou NON (le code est faux).[edit]

    C’est faux ! Relis tes doc, le contrôle PIN ne se fait plus sur l’ATM depuis plusieurs années.

    Posté le 30 juillet 2010 à 08:07:51

  39. Kruder Reply to this comment


    Avec une émission électromagnétique au bon endroit avec la bonne puissance : pas besoin d’avoir accès aux cables…

    oh le monde est si fragile, et plein d’injustice, d’inégalité : et de violence de toute sortes

    Il va être temps de faire la paix économique : c’est un conseil biensur

    IL y en a qui refuse d’écouter : et préfére faire des erreurs pour reconnaitres qu’ils sont dans l’erreur

    Posté le 30 juillet 2010 à 09:23:17

  40. Wifi-Securite.com Reply to this comment


    L’informatique, c’est mal ! :-) :-)

    Posté le 30 juillet 2010 à 09:36:22

  41. achaass Reply to this comment


    « Et porter une cagoule en cette saison, pour éviter les caméras de suveillance, n’est pas chose facile. »
    En plus c’est illégal avec la loi sur la burqa ;) ;)

    Posté le 30 juillet 2010 à 09:43:00

  42. Alexis Reply to this comment


    Je suis étonnée de voir que ça tourne sur Windows …
    En tout cas, la démonstration est très impressionnante, ca fait rêver ce genre de chose :P

    Posté le 30 juillet 2010 à 11:52:50

  43. Mobi Reply to this comment


    Roooo ! mais pourquoi est-ce illegal ?? :)

    Posté le 30 juillet 2010 à 12:18:14

  44. A la découverte du web #4 | Astucee - Actualité. Web 2.0. High-tech. Reply to this comment


    [...] Korben : Comment pirater un distributeur de billets [...]

    Posté le 30 juillet 2010 à 13:03:02

  45. fluflu Reply to this comment


    C’est l’inspecteur Barnaby son surnom dans le milieu , non ? :) )

    Posté le 30 juillet 2010 à 14:13:16

  46. Euro Reply to this comment


    « Et porter une cagoule en cette saison, pour éviter les caméras de suveillance, n’est pas chose facile. »

    Ben c’est facile, t’y va en burqua !

    Posté le 30 juillet 2010 à 14:21:38

  47. Johan Reply to this comment


    A sa place j’aurai clairement utilisé les failles… ou alors j’espère qu’il a été bien payé.

    Posté le 30 juillet 2010 à 16:17:52

  48. Glup Reply to this comment


    Magnifique en théorie, infaisable en pratique.
    De plus, mm si ces machine peuvent contenir 500K€ elles ne sont jamais au grand jamais chargé au max mais a peine du dixième de leur capacité.
    elle contiennent aussi un rouleau papier qui inscrit toute actions effectués avec l’horaire(facile de recouper avec les cams….)
    Je suis intervenu sur ces machines et je vous assure que commencé à les bidouiller est le meilleur moyen de déclaré la guerre à une armée d’expert en sécurité.
    La seule démonstration valable aurait été de détourné 5$ et de réussir a rester libre plus de 10 jours….

    Posté le 30 juillet 2010 à 17:05:04

  49. fred Reply to this comment


    Triton Error Codes :
    http://www.atm24.com/support%20real/tech%20library/triton%20error%20codes.aspx

    Si ça peut vous servir …

    Posté le 31 juillet 2010 à 11:45:56

  50. Kaku63 Reply to this comment


    C’est pas une pompe de La Pardieu ?

    Posté le 31 juillet 2010 à 13:43:00

  51. Dr.pepper Reply to this comment


    @ le hollandais volant : c’était aussi les premiers système d’exploitation ;)

    Posté le 1 août 2010 à 09:18:58

  52. Dasoft Reply to this comment


    Les réactions du genre c’est windows, c’est normal c’est toujours aussi pathétique. Les distributeurs Linux plantent aussi, il y a juste moins d’exemples parce que beaucoup moins répandu et que les gens ne veulent pas discréditer Linux mais les deux plantent et planteront toujours (de moins en moins j’espère). Des exemples d’écrans publiques plantés avec Linux :
    http://farm5.static.flickr.com/4041/4583785703_ea3901c10d.jpg
    http://www.smy.fr/infos/img/navigo-linux.jpg

    Posté le 1 août 2010 à 13:09:59

  53. bubba Reply to this comment


    @dasoft :

    jvois pas de plantage la. le premier est une séquence de boot tout a fait normale, mais sans bô écran. et le deuxieme est un halt normal, avec un array raid qui n’a pas été stoppé parce que busy. la carte coupera l’array en temps voulu.

    sinon ça va la femme et les enfants toussa ?

    Posté le 1 août 2010 à 13:46:18

  54. Ray' Reply to this comment


    @Dasoft
    Pour moi, la dernière version stable d’ubuntu cay 9.04…
    Le pinguin, il aime freezer chez moi depuis 9.10 :(
    Et vista chez moi… J’arrive a le faire prendre 375mo, et il plante jamais malgrès tout se que je lui fait endurer \o/

    Posté le 1 août 2010 à 14:29:25

  55. DOCKY99 Reply to this comment


    Les caisse d’épargne tourne sur NT4 Worskstaion lance appli métier en 1er plan et ouvre une connexion logiciel VPN CheckPoint … c’est ce que j’ai pu voir quand le gab à rebooté sous mes yeux , le pire c’est que ma CB n’a pas été avalé mais rejeté…

    Posté le 1 août 2010 à 17:27:04

  56. Dasoft Reply to this comment


    @bubba

    C’est affiché à l’utilisateur suite à un plantage et ces écrans ne devraient pas être visible! la photo du boot de la station essence sous win n’est pas un plantage si c’est le caissier qui réinitialise mais le boot devrait être invisible.

    Posté le 1 août 2010 à 21:27:45

  57. Richard Mendosa Reply to this comment


    @Cachem : le contrôle PIN se fait (et se fera) toujours lorsqu’il s’agit d’espèces, il n’est quasiment jamais « réalisé sur ATM » mais remonté aux centraux (serveur d’auto bancaire ou délégation à VISA/MC).
    L’HSM local (pinpad) empêche par ailleurs toute récupération du code sur ATM de façon logicielle.

    @DOCKY99 : vous étiez devant la machine lors du plantage, alors pourquoi ne pas vous rendre la carte ?
    L’avalement provoquerait plus de dommages d’image pour un risque de remise de carte à un tiers négligeable.

    Concernant l’ »exploit », ces constructeurs sont trop marginaux pour qu’il soit « exploitable », et ne parlons pas des transmissions (modem… typiquement US de par leur historique de pricing téléphonique).

    Posté le 2 août 2010 à 15:21:08

  58. Dan Reply to this comment


    Korben, +1 pour la pompe à essence, j’en ai moins même fait planter une volontairement :

    Il suffit d’anticiper les bips « retirer votre carte » (j’étais pressé) et retirer la carte avant.
    Et hop « Ã©cran bleu » et reboot jusqu’au bios (bloque juste après)

    Je ne l’ai fais qu’une fois sur une station Leclerc. Je vais retenter le coup pour être sûr tiens !

    Posté le 2 août 2010 à 15:37:09

(Pensez à personnaliser votre avatar !)