|
|
(17 versions intermédiaires par 2 utilisateurs non affichées) |
Ligne 1 : |
Ligne 1 : |
| [[Catégorie:Transcriptions]] | | [[Catégorie:Transcriptions]] |
| | | |
| | | Publié [https://www.april.org/heartbleed-faille-de-la-decennie ici] - Février 2017 |
| '''Titre :''' Heartbleed, faille de la décennie ?
| |
| | |
| '''Intervenants :''' Jean- Marc Manach - Éric Leblond - Daniel Schneidermann
| |
| | |
| '''Lieu :''' Émission 14h42
| |
| | |
| '''Date :''' Avril 2014
| |
| | |
| '''Durée :''' 43 min
| |
| | |
| ''' [https://www.youtube.com/watch?v=ARD_R2D9j1o&list=PLvs5oKzmvTtUY32sY2PHetV0sVmIWflTJ&index=15 Lien]vers la vidéo'''
| |
| | |
| ==00' ''transcrit MO''==
| |
| | |
| '''Daniel Schneidermann :''' Bonjour et bienvenue dans ce douzième numéro de 14h42. La sécurité de nos achats en ligne, la confidentialité de nos mots de passe, et donc, de toutes nos données, sont-elles menacées, en plus de toutes les autres menaces évidemment par ce qu'on appelle la faille ''Heartbleed''. Depuis quelques semaines les articles se multiplient dans la presse en ligne, confus, parfois contradictoires, nous laissant dans l’incertitude sur le point de savoir, s'il faut, ou non, changer tous nos mots de passe. Pour une fois Jean-Marc Manach a changé de casquette et a troqué sa casquette d'animateur contre sa merveilleuse casquette d'expert. Mais, il faudrait en avoir deux, pour de bon, la prochaine fois pour répondre à toutes les question qu’on peut se poser sur ''Heartbleed''. Également avec nous Éric Leblond. Vous êtes spécialiste en sécurité du Logiciel Libre et par ailleurs vous avez créé une société dans laquelle vous vendez des prestations de sécurité aux gens et aux sites et aux entreprises qui utilisent le Logiciel Libre, donc votre avis nous sera particulièrement précieux. Comme il s'agit de parler à tous ceux qui n'ont rien compris, voire pas lu un seul des articles consacrés à ''Heartbleed'', on va essayer de poser, tout au long de cette émission, des questions vraiment basiques, c'est pour ça qu'on a pris, dans l'équipe, le moins spécialiste imaginable de toutes ces questions et je commence donc par une question extrêmement large, Jean-Marc, ''Heartbleed'', la faille ''Heartbleed'' c'est quoi ? Comment est configurée cette faille ?
| |
| | |
| '''Jean-Marc Manach :''' En fait, c'est une faille dans un logiciel qui s'appelle OpenSSL, qui est un logiciel qui est utilisé par plusieurs centaines de milliers de serveurs, et qui permet de sécuriser une communication entre votre navigateur et un serveur distant. Et cette faille, en fait, repose sur une extension du logiciel OpenSSL, qui s'appelle ''Heartbeat'', donc le cœur qui bat, d'où le nom qui a été trouvé ''Heartbleed'', le cœur qui saigne, et qui permettait de communiquer, de garder une communication active entre le client et le serveur, entre un ordinateur et le serveur distant.
| |
| | |
| '''Daniel Schneidermann :''' À l'intérieur du logiciel de sécurisation ?
| |
| | |
| '''Jean-Marc Manach :''' Au moment où il y avait une connexion qui se faisait pour confirmer que la sécurité était bien enclenchée entre les deux ordinateurs, en fait, il y a une faille qui existe et qui fait que, normalement l’ordinateur dit « dis-moi un mot de quatre lignes » et le serveur envoyait quatre lignes. Sauf que la faille, là, permettait à un attaquant de dire « renvoie-moi soixante-quatre kilos de données », et le serveur renvoyait, soixante-quatre kilos, alors c'est kilo-octet, ce n'est pas des kilos, mais soixante-quatre kilo-octets de données ce qui transitait sur le serveur.
| |
| | |
| '''Daniel Schneidermann :''' Trop bête le serveur !
| |
| | |
| '''Jean-Marc Manach :''' Dans ces données il peut y avoir des mots de passe, il peut y avoir des clefs de sécurité, il peut y avoir des cookies de session. C'est un petit fichier qui permet de vous identifier auprès du site que vous visitez, et donc, par extension, on peut récupérer des données qui, normalement, n'auraient jamais dues pouvoir être consultées par un tiers.
| |
| | |
| '''Daniel Schneidermann :''' Ce que vous expliquez là a été expliqué magistralement par un dessinateur américain, auteur dans une petite BD en ligne.
| |
| | |
| '''Jean-Marc Manach :''' XKCD.
| |
| | |
| '''Daniel Schneidermann :''' XKCD c'est le nom de son blog. Voilà.
| |
| | |
| '''Jean-Marc Manach :''' Là il explique : « je te dis patate six lettres » et l'ordinateur, le serveur répond « patate six lettres » et puis ensuite « bird quatre lettres », il renvoie « bird quatre lettres ».
| |
| | |
| '''Daniel Schneidermann :''' Jusque là ça marche bien.
| |
| | |
| '''Jean-Marc Manach :''' Jusque là ça marche bien, sauf là il dit « renvoie-moi chapeau cinq cents lettres » et là le serveur renvoie chapeau plus cinq cents lettres. Et donc, c'est là où dans ces cinq cents lettres, on peut trouver des données qui, normalement, ne devraient jamais sortir de cette conversation sécurisée entre un client et un serveur.
| |
| | |
| '''Daniel Schneidermann :''' D'accord. Donc si vous voulez tout savoir sur XKCD, Randall Munroe, lire le portrait qu'on vient de publier sur le site. Éric Leblond, évidemment Jean-Marc Manach parle sous votre contrôle, puisque j'ai dit que vous êtes spécialiste.
| |
| | |
| '''Jean-Marc Manach :''' Est-ce que j'ai dit des choses, qui ne sont pas tout à fait exactes ?
| |
| | |
| '''Daniel Schneidermann :''' Dans cette émission, quand on a un expert, on a un contre-expert. Pour l'instant ça va ? Il n'a pas trop dit de bêtises ?
| |
| | |
| '''Éric Leblond :''' Non, non, jusque là c'est parfait.
| |
| | |
| '''Daniel Schneidermann :''' C'est exactement ça. Cette faille, elle existe depuis combien de temps ?
| |
| | |
| '''Jean-Marc Manach :''' En fait, ce qu'on a découvert, c'est donc un chercheur allemand qui, il y a deux ans, a rajouté quelques lignes de code dans l'OpenSSL. C'est un logiciel libre, donc ça veut dire que tout un chacun, plein de développeurs contribuent au développement de ce logiciel, et donc, il y a deux ans, il a rajouté une fonctionnalité dans le logiciel et, en fait, c'est là où est apparue la faille. C'est-à-dire qu'il a fait une erreur, une erreur triviale, mais personne ne l'a détectée. C'est-à-dire qu'à l’époque les responsables du logiciel OpenSSL n'ont pas repéré cette faille de sécurité, personne n'avait repéré, jusqu’à fin mars, je crois, où fin mars il y a eu une première équipe.
| |
| | |
| '''Éric Leblond :''' Le 21 mars il y a quelqu’un chez Google qui a trouvé, de son côté, la faille, il a fallu faire une étude du code. Quand on lit le code attentivement, la faille est assez facile à trouver, quand on sait ce qu'on cherche.
| |
| | |
| '''Jean-Marc Manach :''' C'est trois cent mille lignes de code, quand même, en gros le logiciel.
| |
| | |
| '''Éric Leblond :''' Ils ont regardé, à mon avis, l'implémentation pour voir ce qui se passait.
| |
| | |
| '''Daniel Schneidermann :''' Implémentation ?
| |
| | |
| '''Éric Leblond :''' Implémentation, c'est-à-dire la manière dont le fonctionnement du protocole était décrit en termes de code pour ordinateur.
| |
| | |
| '''Daniel Schneidermann :''' D'accord. Et donc il a trouvé ça le 21 mars.
| |
| | |
| '''Éric Leblond :''' Il a trouvé ça le 21 mars.
| |
| | |
| '''Daniel Schneidermann :''' Il y a plein de choses incroyables dans cette histoire. Il y a le fait que tant d'entreprises, tant de sites utilisent ce logiciel et que personne n'ait décelé la faille jusqu'à présent.
| |
| | |
| '''Jean-Marc Manach :''' Il faut savoir que, quand ça a été rendu public, la semaine dernière, on estime il y a cinq cent mille serveurs qui étaient vulnérables. C’était 11 % des serveurs. Il y a un universitaire qui estime qu'il y avait 11 % des serveurs qui étaient vulnérables le lundi et que le mercredi c’était un peu moins de 6 %. Donc il y avait 5 % qui avaient patché, c'est-à-dire qui avaient corrigé le logiciel pour faire de telle sorte qu'on ne puisse pas exploiter la faille.
| |
| | |
| '''Daniel Schneidermann :''' Avant la découverte du 21 mars ?
| |
| | |
| '''Jean-Marc Manach :''' Ah non non.
| |
| | |
| '''Daniel Schneidermann :''' Après ?
| |
| | |
| '''Jean-Marc Manach :''' Le 21 mars il y a la découverte. Ensuite, Google corrige la faille sur ses serveurs à lui. Google prévient OpenSSL, les gens responsables du logiciel, qui eux vérifient que la faille existe bien, qui développent un code pour patcher, pour réparer la faille et ils tombent d'accord sur le fait qu'il y a un embargo jusqu'au 9 avril. Mais dans le même temps, fin mars ou au 1er avril, il y a une équipe de finlandais, une entreprise finlandaise qui s’appelle Codenomicon, qui identifie, elle aussi, cette faille, qui prévient l'équivalent du CERT finlandais.
| |
| | |
| '''Daniel Schneidermann :''' C'est un hasard si les découvertes, apparemment, surviennent à quelques jours.
| |
| | |
| '''Jean-Marc Manach :''' Apparemment oui.
| |
| | |
| '''Daniel Schneidermann :''' Alors pendant deux ans personne ne voit rien, et tout d'un coup, en dix jours, ils sont deux à découvrir la faille ? Question, vous savez, on se méfie de tout dans ces histoires.
| |
| | |
| '''Éric Leblond :''' C'est-à-dire, je pense qu'il y a une évolution au niveau des mécanismes de détection de ce type de problème de sécurité. On a eu, quand même, un gros historique sur cette fonctionnalité de chiffrement fourni par le protocole SSL, implémenté notamment dans OpenSSL, qui est donc la victime du jour, et donc on a eu, récemment, Apple qui a eu une jolie erreur de code.
| |
| | |
| '''Jean-Marc Manach :''' ''Goto fail''.
| |
| | |
| '''Éric Leblond :''' Appelée ''Goto fail'', oui.
| |
| | |
| '''Jean-Marc Manach :''' C’était un autre bug.
| |
| | |
| '''Éric Leblond :''' Un autre très bête, voilà. Si on a un niveau de complexité cinq sur ''Heartbleed'', on a un niveau de complexité, en termes d'erreur de niveau un sur celle Apple ; là c'était vraiment une erreur de débutant. Et donc, ce qui ne serait pas étonnant, c'est que je crois que Codenomicon ils travaillent sur des outils d'analyse du code source.
| |
| | |
| '''Daniel Schneidermann :''' Codenomicon c'est le deuxième découvreur.
| |
| | |
| '''Éric Leblond :''' C'est le deuxième découvreur, oui, et je ne serais pas étonné, qu'ils aient, eh bien que ça soit dans l'air du temps de chercher ce genre d'erreur, et que ça soit la même chose que Google ait faite, et qui explique un peu la concomitance de la découverte.
| |
| | |
| '''Daniel Schneidermann :''' Pourquoi c’est dans l'air du temps de chercher ce genre d’erreur ?
| |
| | |
| '''Jean-Marc Manach :''' Snowden, entre autres.
| |
| | |
| '''Daniel Schneidermann :''' Ah !
| |
| | |
| '''Jean-Marc Manach :''' C'est-à-dire que comme on sait, parmi les révélations Snowden, on sait, on a découvert que la NSA dépense énormément d'argent, un, pour installer des back doors, des portes dérobées, des failles de sécurité, dans certains logiciels, deux, pour identifier des failles de sécurité pour que, eux, puissent les exploiter pour espionner. Et donc, il y a un certain nombre de professionnels de la sécurité informatique et de développeurs, notamment de logiciels libres, qui ont entrepris le fait de vérifier le code source de leurs logiciels, pour être sûrs qu'ils ne puissent pas être exploités par la NSA.
| |
| | |
| '''Daniel Schneidermann :''' Donc il y a bien un rapport, enfin, sous réserve de confirmation, l'éventualité d'un lien, c'est clair ?
| |
| | |
| '''Jean-Marc Manach :''' C'est pour ça que c'est dans l'air du temps. Après, quel lien avec Snowden ? C'est dans l'air du temps, depuis un an maintenant, de renforcer la sécurité des logiciels et la sécurité des infrastructures Internet, et des protocoles.
| |
| | |
| '''Daniel Schneidermann :''' Juste, ce logiciel OpenSSL, là, il est monopolistique dans ce qu'il fait, ou il est en concurrence avec d'autres logiciels, pour le coup, qui ne seraient pas libres, qui seraient fermés qui seraient propriétaires, propriétés d'entreprises ? Ou est-ce qu'il est le seul à faire ce qu'il fait ?
| |
| | |
| '''Jean-Marc Manach :''' Il n'est pas le seul à faire ce qu'il fait, mais déjà, ce qu'il faut savoir c'est qu'il y a certaines versions d'OpenSSL qui n'ont pas cette faille. Il y a plein de serveurs qui utilisent une version d'Open SSL qui est plus ancienne, celle avant il y a deux, ceux qui n'ont pas mis à jour le logiciel depuis deux ans, eh bien, il n'y avait pas la faille. Après, je ne sais pas, je vais plutôt demander à Éric quels sont les équivalents non-libres de OpenSSL.
| |
| | |
| '''Éric Leblond :''' Il y a les implémentations, notamment, dans le langage Java.
| |
| | |
| '''Daniel Schneidermann :''' Ça fait quatre fois que vous dites « implémentation », là je vais craquer. Oui, il y a donc des ?
| |
| | |
| '''Éric Leblond :''' Il y a donc des versions
| |
| | |
| '''Daniel Schneidermann :''' Voilà, c'est tellement mieux !
| |
| | |
| '''Éric Leblond :''' Donc des versions qui existent dans beaucoup de langages, en fait, puisque c'est quelque chose d'assez fréquent. OpenSSL est une des plus complètes et, par conséquent, des plus utilisées, mais on se retrouve avec quelque chose où il y a beaucoup de différentes versions que ce soit en propriétaire ou en open source. Voilà. La problématique c'est qu'on est sur quelque chose qui est extrêmement complexe puisqu’on a, par exemple, sept cent mille lignes de code, sept cent mille lignes écrites.
| |
| | |
| '''Jean-Marc Manach :''' C'est sept cent mille sur OpenSSL ?
| |
| | |
| '''Éric Leblond :''' Sur Open SSL, oui.
| |
| | |
| '''Daniel Schneidermann :''' Vous aviez dit ?
| |
| | |
| '''Jean-Marc Manach :''' J'avais dit trois cents, oui.
| |
| | |
| '''Éric Leblond :''' Trois cents, oui, oui. C'est à vérifier
| |
| | |
| '''Jean-Marc Manach :''' C'est plusieurs centaines de milliers de lignes de code.
| |
| | |
| '''Daniel Schneidermann :''' C'est beaucoup.
| |
| | |
| '''Éric Leblond :''' C'est plusieurs centaines de milliers de lignes de code et c'est excessivement complexe.
| |
| | |
| ==09' 27==
| |
| | |
| '''Daniel Schneidermann :''' C'est beaucoup. Ces découvreurs finlandais, là cette boîte, Comecon, c'est ça ?
| |
| | |
| '''Jean-Marc Manach :''' Codenomicon.
| |
| | |
| '''Daniel Schneidermann :''' Codenomicon, c'est qui ?
| |
| | |
| '''Jean-Marc Manach :''' Codenomicon, c'est une boîte qui fait 60 à 70 % de son chiffre d'affaires avec des industriels liés au marché de la défense. Donc, il y a des gens qui se demandent s'ils ne sont pas liés aussi, et s'ils ne comptent pas parmi leurs clients le ministre de la Défense américain, ou des services de renseignement, et, potentiellement, la NSA, et eux, leur métier, c'est effectivement, eh bien de trouver des failles de sécurité pour arriver à les patcher, pour arriver à les corriger.
| |
| | |
| '''Daniel Schneidermann :''' Attendez, attendez, Jean-Marc, je n'y comprends rien. Vous me dites d'un côté Snowden, donc tout le monde se demande s'il n'y a pas des failles dans les logiciels, etc, donc tout le monde cherche. Maintenant vous me dites les mecs qui trouvent c'est justement des gens qui sont peut-être liés
| |
| | |
| '''Jean-Marc Manach :''' Qui peuvent avoir pour clients.
| |
| | |
| '''Daniel Schneidermann :''' Qui sont peut-être liés, vous avez dit, qui sont peut-être liés au ministère de la Défense américain, alors !
| |
| | |
| '''Jean-Marc Manach :''' Là où j'ai dit qu'ils sont liés, là où je dis qu'ils sont liés, c'est qu'il y a un des principaux responsables de Codenomicon, qui est un américain, c'est une boite finlandaise, mais un de ses principaux responsables c'est un américain, qui se trouve avoir été l'un des principaux responsables de la sécurité informatique sous Georges Bush, sous Obama ; et qui était, également, le responsable sécurité informatique de Microsoft ; et qui, maintenant, est parti à la retraite de la fonction publique américaine et qui est ''advisory board'' de Codenomicon. Donc, il y a des gens qui ont commencé, comme ça, à se dire, mais c'est bizarre, ce mec-là il vient des Américains, il a bossé avec les présidents, avec Georges Bush, etc, et c'est sa boite qui trouve la faille. Bon, je n'en sais rien. Ce que je sais c'est que donc, fin mars début avril, ils trouvent la faille, ils préviennent le CERT finlandais. Le CERT c'est, dans chaque pays, il y a un CERT qui est un ''Computer Emergency Responsive Team'', une équipe pour répondre aux problèmes de sécurité informatique, donc ils préviennent le CERT, et ils ont un coup de génie. Ils identifient, donc, ça c’était le samedi, ils se disent « bon ben, si on suit la procédure classique, ça va s'appeler le bug CVE 2014-01 60. Ça, ça ne parle à personne ».
| |
| | |
| '''Daniel Schneidermann :''' Mais si !
| |
| | |
| '''Jean-Marc Manach :''' Donc, ils se disent on va lui donner un nom de code. Et comme ça part, la faille porte sur une extension qui s'appelle ''Heartbeat'' donc, battement de cœur, ils se disent on va appeler ça ''Heartbleed'', le cœur qui saigne. Ils font appel à un designer qui dessine ce logo-là d'un cœur qui saigne. Ils rachètent le nom de domaine heartbleed.com qui, auparavant, était un forum utilisé par les Émos, vous savez ces gens qui se mettent du maquillage noir et qui sont tout tristes, etc, un peu comme les ??? dans les années 80. Donc, ils rachètent le nom de domaine, et puis ils font une page web où ils expliquent qu'est-ce que c'est que ''heartbleed'', qu'est-ce que c'est que cette faille de sécurité, pourquoi est-ce que c'est important, et ils le rendent public le 7 avril dernier.
| |
| | |
| '''Daniel Schneidermann :''' Là on parle toujours de Codenomicon cette fameuse entreprise.
| |
| | |
| '''Jean-Marc Manach :''' Cette fameuse entreprise finlandaise.
| |
| | |
| '''Daniel Schneidermann :''' Dirigée par un ancien responsable de la sécurité informatique sous Bush et sous Obama, c'est ça ?
| |
| | |
| '''Jean-Marc Manach :''' Voilà.
| |
| | |
| '''Daniel Schneidermann :''' On parle toujours de cette boîte-là.
| |
| | |
| '''Jean-Marc Manach :''' C'est un coup de pub monumental, pour leur boîte, mais en même temps c'est un coup de génie d'un point de vue de comm' parce que jamais les médias n'en auraient parlé si c’était resté sous le nom CVE 2014-01 60. Alors que là ''Heartbleed'', tout de suite ça a été repris par la presse informatique aux États-Unis, puis par la presse internationale, et effectivement, les médias, depuis maintenant, une dizaine de jours en parlent quotidiennement.
| |
| | |
| '''Daniel Schneidermann :''' D'accord. Et c'est une boîte qui vend de la sécurité informatique ?
| |
| | |
| '''Jean-Marc Manach :''' Oui.
| |
| | |
| '''Daniel Schneidermann :''' Donc, évidemment soupçons. Est-ce que cette boîte qui vend de la sécurité informatique n'a pas tendance à grossir le danger ? Je veux dire plus les gens vont penser que « hou là là, c'est très dangereux, il y a des risques, il y a des trous dans les dispositifs de sécurité, il faut changer tous vos mots de passe, etc, plus les gens vont penser ça, plus les gens vont acheter de la sécurité informatique. Est-ce qu'il n'y a pas un risque qu'on se laisse manipuler par cette opération de comm', de Codenomicon, autour de ''Heartbleed''.
| |
| | |
| '''Éric Leblond :''' Il y a quelque chose d'assez intéressant qui s'est produit avec la société qui s'appelle Cloud ?
| |
| | |
| '''Jean-Marc Manach :''' CloudFlare.
| |
| | |
| '''Éric Leblond :''' CloudFlare, voilà, qui est une société qui fournit du service aux États-Unis et qui a lancé un challenge en disant « on pense qu'on n'est pas impacté, notamment, sur une des ressources principales qui est le secret déposé sur le serveur qui permet de garantir la validité de tous les échanges qui ont été faits ». Ils se sont dit ce n'est pas possible que. Ils ont fait un magnifique ??? de blog, très bien détaillé, expliquant pourquoi ce n’était pas possible. Et puis neuf heures après personne n'avait encore, en utilisant les techniques qui avaient été dévoilées pour utiliser l'attaque, n'avait encore réussi à récupérer ce secret. Et puis donc ils ont dit « vous avez vu, ça ne marche pas ». Très bien. Et puis là ils ont fait une légère erreur, c'est dans leur blog, erreur de manipulation, ils ont redémarré le service qui fait fonctionner le système, et là, ça a entraîné la possibilité de le faire. C'est-à-dire qu'il y avait un effet de bord auquel ils n'avaient pas pensé.
| |
| | |
| '''Daniel Schneidermann :''' D'accord.
| |
| | |
| '''Éric Leblond :''' Qui a permis à des attaquants d'accéder à la ressource la plus secrète du serveur.
| |
| | |
| '''Daniel Schneidermann :''' Alors ça ça ne répond pas à ma question « est-ce qu'il n'y a pas un risque qu'on se fasse tous un peu manipuler par cette fameuse boîte Codenomicon, là, qui a un intérêt objectif à exagérer le danger »
| |
| | |
| '''Éric Leblond :''' Non. Si on récupère, si cette ressource a été récupérée,
| |
| | |
| '''Daniel Schneidermann :''' Cette ressource ? C'est-à-dire ?
| |
| | |
| '''Éric Leblond :''' Le secret du serveur, disons, ce qu'on appelle la clef privée du serveur, pour parler techniquement. Donc cette clef privée, en fait, si on la récupère on peut déchiffrer l’intégralité du trafic qui a été émis par le serveur, sauf conditions spécifiques d'implémentation. Je retire !
| |
| | |
| '''Daniel Schneidermann :''' C'est bien, vous vous êtes repris.
| |
| | |
| '''Éric Leblond :''' Il faut que j’arrête. Et donc possible de récupérer cet élément clef, d'arriver donc à déchiffrer le trafic qui s'est produit sur le serveur, qu'on aurait pu capturer avant, donc ça veut dire qu'on peut remettre en jeu l'intégralité de la confidentialité.
| |
| | |
| '''Daniel Schneidermann :''' D'accord. Ce que vous etes en train de nous dire c'est que c'est, effectivement, dangereux,
| |
| | |
| '''Éric Leblond :''' C'est effectivement très dangereux.
| |
| | |
| '''Daniel Schneidermann :''' D'accord, en même temps, excusez-moi, ce n'est pas contre vous, mais vous aussi vous êtes quelqu'un qui, d'une certaine manière, vend de la sécurité informatique.
| |
| | |
| '''Éric Leblond :''' Oui, bien sûr.
| |
| | |
| '''Daniel Schneidermann :''' Donc, ça parait logique que disiez ça. Et je pose la question à Jean-Marc qui, lui, ne vend pas de la sécurité informatique, enfin pas que je sache.
| |
| | |
| '''Jean-Marc Manach :''' Non.
| |
| | |
| '''Daniel Schneidermann :''' Non, voilà. Est-ce que ce risque existe ? Est-ce qu'il peut arriver que des consultants en sécurité, des entreprises qui vendent de la sécurité grossissent ?
| |
| | |
| '''Jean-Marc Manach :''' Ce sont des pratiques qui ont existé dans les années 90. Mais là, ce qu'il faut bien comprendre, c'est qu'on parle d'un Logiciel Libre. Donc ce n'est pas un fonctionnement marchand comme un logiciel propriétaire.
| |
| | |
| '''Daniel Schneidermann :''' En tout cas il y a toujours des marchands derrière
| |
| | |
| '''Jean-Marc Manach :''' Certes.
| |
| | |
| '''Daniel Schneidermann :''' Il y a des gens qui l’entretiennent, qui le mettent à jour.
| |
| | |
| '''Jean-Marc Manach :''' Mais ce n'est pas une stratégie publicitaire, au sens où il y a réellement un problème. Pour expliquer un petit peu différemment, Bruce Schneier, qui est une des autorités en matière de sécurité informatique, le premier jour il dit sur une échelle de un à dix on est à onze. Donc là effectivement effet de panique.
| |
| | |
| '''Daniel Schneidermann :''' Et lui il ne vend rien lui, Bruce Schneier ?
| |
| | |
| '''Jean-Marc Manach :''' Si il bosse aussi dans la sécurité informatique.
| |
| | |
| ''Rire de Daniel Schneidermann''
| |
| | |
| '''Daniel Schneidermann :''' Ah ! Pas de bol.
| |
| | |
| '''Jean-Marc Manach :''' Je vais donner un autre exemple, Tor, la fondation Tor, qui elle ne vend rien, son logiciel c'est gratuit, qui est très utilisé, notamment depuis les révélations Snowden, eux, sur leur blog, ils expliquent si vous voulez vraiment être en sécurité sur Internet, ne venez pas sur Internet pendant quelques jours, faites autre chose, mais ne vous connectez pas à Internet, en tout cas en utilisant des logins/mots de passe, des choses sécurisées, parce qu'il faut quelques jours pour qu'on arrive à mesurer l'ampleur du problème. Quelques jours après, Bruce Schneier revient en disant « en fait, là, on est petit peu dans une configuration, un petit peu comme avec le bug de l'an 2000. C'est-à-dire que potentiellement ça peut avoir des effets catastrophiques, colossaux, sauf que, concrètement, on est en train d'essayer de savoir si oui ou non ça a été exploité depuis deux ans, parce que si, réellemen,t ça a été exploité depuis deux ans c'est catastrophique. Si personne n'a exploité la faille depuis deux ans c'est beaucoup moins catastrophique parce que, concrètement, là si on prend combien d’entreprises, combien de sites web ont demandé à leurs utilisateurs de changer de mot de passe parce qu'il y a eu risque.
| |
| | |
| '''Daniel Schneidermann :''' Juste Jean-Marc sur cette question est-ce qu'on peut savoir si la faille a été exploitée depuis deux ans ou pas ?
| |
| | |
| '''Jean-Marc Manach :''' Pour l'instant les gens qui ont commencé à chercher, un travail de police presque d'expert de la police technique et scientifique, il faut rechercher dans les archives, pour l'instant on n'a pas trouvé. Il y a eu deux traces qui ont été trouvées, mais un c'est ce qu'on appelle un faux positif, c'est-à-dire ça ressemble à une exploitation de la faille, mais ce n’était pas une exploitation de la faille et l'autre, on en parlait tout à l'heure, c’était un cas. Enfin il y a une transaction.
| |
| | |
| '''Éric Leblond :''' Une fois. Sachant que dans le cas dont je parlais tout à l'heure de CloudFlare, il a fallu trois cent mille essais pour arriver à récupérer la donnée secrète.
| |
| | |
| '''Jean-Marc Manach :''' Là on a trouvé un essai.
| |
| | |
| '''Éric Leblond :''' On a trouvé un essai. Ce n'est pas, donc, une exploitation massive qui a été prouvée par cet échantillon qui a été trouvé.
| |
| | |
| '''Jean-Marc Manach :''' Donc. si ça a été exploité depuis deux ans, c'est catastrophique. Si ça n’est exploitable que depuis la semaine dernière, sachant que la majeure parties des sites ont patché dans les heures qui ont suivi la révélation du bug, ont mis à jour leur logiciel pour empêcher l'exploitation, c'est moins catastrophique. Aujourd’hui, il y a deux cas avérés d'exploitation de données où il y a des informations sensibles qui ont fuité. Il y a une autorité administrative, au Canada, qui a reconnu que neuf cents numéros d'assurance sociale de leurs utilisateurs avaient été volés, en exploitant cette faille de sécurité. Donc, l’administration canadienne s'est engagée à leur écrire par courrier papier, pour ne pas passer par Internet, à changer leur mot de passe, et à leur fournir des systèmes d'assurance en cas d'exploitation de leur numéro d'assuré social. Et sinon, on a ce matin, un forum utilisé par un million cinq cent mille personnes en Grande-Bretagne, qui est un forum de mamans, qui lui aussi, pendant quelques heures, a été exploitable. On ne sait pas encore combien de données.
| |
| | |
| '''Daniel Schneidermann :''' Exploitable, mais pas forcément exploité.
| |
| | |
| '''Jean-Marc Manach :''' Si. Il y a eu une faille de sécurité qui a été exploitée, maintenant on ne sait pas encore, sur les 1,5 millions d'utilisateurs, combien de mots de passe ont été compromis. On a également le cas de Darty, où on sait que Darty, pendant 48 heures, son site web de commerce électronique était vulnérable. Darty a contacté les utilisateurs de ces services, les clients qui auraient vu potentiellement leurs données sensibles siphonnées par des assaillants, mais on ne sait pas combien sont contactés. Donc là, on est encore en gestion de crise. On ne sait pas encore combien de personnes ont vu leurs données siphonnées.
| |
| | |
| '''Daniel Schneidermann :''' D'accord. Mais alors du coup, moi internaute, qui ai un compte sur Darty éventuellement, sur PriceMinister, sur Le Bon coin ou sur le site du Monde, etc, quels sont les moyens que j'ai de savoir si les sites sur lesquels je vais sont affectés ou pas ?
| |
| | |
| '''Jean-Marc Manach :''' Il existe plusieurs serveurs, enfin plusieurs sites web, qui permettent de vérifier si la faille existe. Vous rentrez ''Heartbleed test'', vous rentrez le nom du site web qui vous intéresse, vous appuyez sur le bouton Go, et ensuite il va vous dire si oui ou non le serveur est vulnérable à cette faille de sécurité.
| |
| | |
| '''Daniel Schneidermann :''' Pour nos abonnés, le site sur lequel il faut aller c'est celui-là, c'est ''Heartbleed test'' ?
| |
| | |
| '''Jean-Marc Manach :'''Il y en a cinq ou six.
| |
| | |
| '''Daniel Schneidermann :''' Le meilleur c'est lequel ?
| |
| | |
| '''Jean-Marc Manach :'''Le meilleur c'est celui de Qualys qui s'appelle SSL '
| |
| | |
| '''Éric Leblond :''' SSL Labs.
| |
| | |
| '''Jean-Marc Manach :''' SSSL Labs, c'est le plus complet.
| |
| | |
| '''Daniel Schneidermann :''' SSL Labs point ? Point quoi ?
| |
| | |
| '''Jean-Marc Manach :'''Point com, je pense, mais vous tapez SSL Labs dans un moteur de recherche, il va vous renvoyer vers ce serveur-là.
| |
| | |
| '''Daniel Schneidermann :''' De toutes façons on va vous donner la liste de ces sites sur l'article accompagnant l'émission.
| |
| | |
| '''Jean-Marc Manach :''' C'est le plus complet. Sachant que, sur ce serveur, ça va vous dire si aujourd'hui il est vulnérable ou pas. Sauf que le problème, typiquement on prend le cas de Yahoo ou de Darty, aujourd'hui on va vous dire que le serveur n'est plus vulnérable, sauf qu'il l'a été
| |
| | |
| '''Éric Leblond :''' Si on prend le cas du problème qu'il y a eu au Canada, ils ont été vulnérables, enfin, entre l'annonce publique de la faille et le fait qu'il aient patché et donc fixé le problème sur leur système, il s'et passé six heures.. Et les six heures ont suffit à ce qu'il y ait des données exploitées.
| |
| | |
| '''Daniel Schneidermann :''' Ils ont quand même réagi très très vite.
| |
| | |
| '''Éric Leblond :''' Ils ont réagi très très vite, il n'y a rien à dire là-dessus. Il ont réagi très vite. Ils ont réussi à trouver qu'il y avait, effectivement, une fuite de données qui avait été faite. Mais l’une de problématiques de cette faille c'est qu'elle ne laisse pas de trace. Il y a beaucoup d'attaques, où, lorsqu’on fait l'attaque, on a tout de suite une trace qui est laissée. Mais celle-ci se passe de telle manière, que lorsqu'on a vu descendre de XKCD tout à l'heure, on récupère l'intégralité des données, eh bien on est en plein milieu des transferts du protocole et des échanges et donc, par conséquent, c'est tout à fait normal.
| |
| | |
| '''Daniel Schneidermann :''' Alors si elle ne laisse pas de trace comment on peut savoir que ce fameux site canadien, par exemple, a été infecté ?
| |
| | |
| '''Éric Leblond :''' On peut faire a posteriori, savoir, regarder l'intégralité des échanges du protocole. C'est-à-dire tout ce qui a été transité sur votre lien internet en direction de ce serveur-là, on peut le stocker, et après dire « maintenant je vais faire une étude a posteriori, maintenant que je sais qu'il y a la faille et je vais chercher les motifs qui correspondent à cette faille et faire une alarme derrière».
| |
| | |
| '''Daniel Schneidermann :'''OK. Donc elle laisse quand même des traces ?
| |
| | |
| '''Éric Leblond :''' Elle laisse des traces.
| |
| | |
| '''Jean-Marc Manach :''' Ça dépend si vous avez une caméra de surveillance ou pas.
| |
| | |
| '''Éric Leblond :'''Exactement. Si on a fait la démarche de tout stocker ce qui passait, peu vraisemblable, parce que ça veut dire qu'on a stocké l'intégralité des échanges qui ont transité sur le serveur depuis des mois, depuis deux ans, quasiment, il faudrait garder pour savoir si on été impacté ou pas. Il y a très peu de sociétés ou d'organismes qui peuvent se permettre ça.
| |
| | |
| ==21' 35==
| |
| | |
| | |
| '''Daniel Schneidermann :''' Et alors, les cinq ou six sites, Jean-Marc, dont vous parliez, qui vont me permettre, à moi internaute, de savoir si mes sites préférés sont infectés ou pas, eux, comment ils le savent ? C'est-à-dire, eux, ils sont allés chercher eux-mêmes dans les sites de la SSL point, ou je ne sais quoi ?
| |
| | |
| '''Jean-Marc Manach :''' Non, quand la faille a été rendue publique, tout de suite il y a des développeurs qui ont fait, ce qu’on appelle, un ''proof of concept''. Un ''proof of concept'' c'est, ils ont développé un petit script qui permet de tester un serveur pour savoir est-ce que ce serveur-là, la faille marche ou pas. Et donc, les sites web en question, ont fait un ''front-end'', ont développé une page web qui permet de lancer ce script sur les sites web qui nous intéressent, et donc de vérifier si- oui ou non- la faille existe, si elle a été patchée. Et donc, concrètement, pour répondre à votre question, ce qu'il faut faire, c'est lire la presse, c'est se renseigner auprès des sites web en question, éventuellement les contacter, contacter les services clients pour savoir si oui ou non il faut changer les mots de passe.
| |
| | |
| '''Daniel Schneidermann :''' Oui, mais enfin aujourd’hui je peux imaginer qu'ils vont avoir tendance à être plutôt rassurants et à me dire « oui, oui, tout va bien ».
| |
| | |
| '''Jean-Marc Manach :''' C'est ce qu'on constate au niveau des banques, en France, qui sont très rassurantes. Pour l'instant, les seuls qui ont communiqué ouvertement en disant « changez vos mots de passe », ce sont les utilisateurs de Wikipédia, les contributeurs de Wikipédia, donc ceux qui se connectent sur Wikipédia avec un login et un mot de passe, là Wikipédia leur demande de changer de mot de passe. C'est Tumblr, c'est Yahoo, je crois, non Yahoo était faillible, mais Yahoo n'a pas demandé. Il y a quelques sites, il y a une dizaine de sites qui ont enjoint leurs utilisateurs de changer les mots de passe, une dizaine sur les cinq cent mille serveurs qui étaient initialement vulnérables.
| |
| | |
| '''Daniel Schneidermann :''' Pour prendre un exemple très concret, Gmail ?
| |
| | |
| '''Éric Leblond :''' Ça c'est un bon cas,
| |
| | |
| '''Jean-Marc Manach :''' C'est un bon cas.
| |
| | |
| '''Éric Leblond :''' Parce que c'est eux qui ont découvert la faille le 21 mars.
| |
| | |
| '''Daniel Schneidermann :''' Oui.
| |
| | |
| '''Éric Leblond :''' Ils ont eu le temps de se préparer, ils ont eu le temps de se dire que personne n'avait trouvé avant, ou personne n'avait exploité. Je ne comprends pas comment ils ont acquis cette certitude que ça n'a pas été exploité. Ou alors, ils ont des mécanismes de stockage des traces, comme je l’évoquais tout à l'heure, pour arriver après à faire de l'a posteriori.
| |
| | |
| '''Daniel Schneidermann :''' Ils ont patché ?
| |
| | |
| '''Éric Leblond :''' Ils ont patché tout de suite. Ils ont patché le 21 mars.
| |
| | |
| '''Daniel Schneidermann :''' Ils disent avoir patché.
| |
| | |
| '''Éric Leblond :''' Non, non, ils ont patché, c’est sûr.
| |
| | |
| '''Daniel Schneidermann :''' C'est sûr.
| |
| | |
| '''Éric Leblond :''' Le 21 mars c'était déjà patché chez eux d'après ce qu'ils annoncent et, forcément, au moment de l'annonce, au moment où l'annonce a été faite publique, c'était déjà patché.
| |
| | |
| '''Jean-Marc Manach :''' C'était le 7 avril que ça a été rendu public, donc on a eu. Bon ! J'ai envie de dire que là où c'est un très bon cas d’école également Google, c'est que, on va dire que, par principe de précaution, comme la faille existait depuis deux ans, eh bien oui, a priori, sur les serveurs sensibles, typiquement Gmail ou en tout cas tous les serveurs de mails, eh bien oui, il faudrait changer le mot de passe, par mesure de précaution, parce qu'on ne sait pas, parce que si, effectivement la faille a été exploitée, ça veut dire que, potentiellement, votre mot de passe a pu être rendu en clair, auprès de l'assaillant. Donc on n'a pas de preuve, pour l'instant, que ça a été exploité, mais, dans le doute !
| |
| | |
| '''Daniel Schneidermann :''' Le dernier aspect de toute cette affaire c'est que ça pose des questions sur le Logiciel Libre. Déjà, on découvre à l'occasion de cette affaire que, on va dire, une bonne partie du commerce mondial, du développement du commerce en ligne, repose, notamment, sur un logiciel libre, c'est-à-dire sur quelque chose qui a été créé par des bénévoles, par des gens qui n'en ont tiré aucun revenu, sauf si, après, ils ont créé des boîtes pour, effectivement, j'allais dire, implémenter, vous voyez c'est contagieux, pour customiser ces logiciels chez des clients, etc, mais je veux dire, on découvre l'importance, y compris dans l'univers marchand, du Logiciel Libre.
| |
| | |
| '''Jean-Marc Manach :''' Ça pose plein de questions sur le Logiciel Libre, mais c'est très intéressant, parce que, si ce n’était pas un logiciel libre, on n'aurait pas trouvé la faille. Ça c'est la première chose. Ça ne veut pas dire qu'elle n'aurait pas pu être exploitée. On n'aurait pas pu trouver la faille aussi facilement.
| |
| | |
| '''Éric Leblond :''' Aussi facilement, je suis d’accord là.
| |
| | |
| '''Jean-Marc Manach :''' On peut trouver des failles dans des logiciels propriétaires.
| |
| | |
| '''Daniel Schneidermann :''' Eh bien oui. J'imagine qu'il y a des gens qui sont payés pour ça, pour chercher les failles.
| |
| | |
| '''Jean-Marc Manach :''' Bien sûr, il y a énormément de failles dans les logiciels Microsoft, certaines ne sont pas forcément patchées, d'autres sont patchées relativement rapidement. Mais là, l’avantage, c'est que comme le code source est disponible, on peut le vérifier, et c'est ce pourquoi, d'ailleurs, la vulnérabilité a été identifiée par Codenomicon et par l'ingénieur de Google. Après, il y a eu un texte qui était très intéressant, qui a été fait, qui a été écrit par un des responsables d'OpenSSL, donc le logiciel où il a la faille « Heartbleed » et qui disait « non mais attendez, nous, on vous fournit gratuitement un logiciel de sécurité, qui est utilisé par des centaines de milliers d'utilisateurs, vous ne payez pas pour l'utiliser, et après vous dites que c'est de notre faute si on a mis vos utilisateurs en défaut. Mais non, c'est vous, qui avez énormément d'argent, qui gagnez de l'argent grâce à notre logiciel, eh bien contribuez ! Donnez-nous des développeurs, donnez-nous un peu d'argent, pour que nous, on puisse recruter des développeurs ». Il fut savoir qu'OpenSSL c'est un employé à plein temps.
| |
| | |
| '''Éric Leblond :''' C'est une fondation, américaine je crois, je n’ai pas vérifié, américaine je pense, où ils n'ont jamais dépassé le million de dollars de revenus annuels.
| |
| | |
| '''Daniel Schneidermann :''' Et un employé à plein temps, OpenSSL.
| |
| | |
| '''Éric Leblond :''' Un employé à plein temps et quelques contributeurs.
| |
| | |
| '''Daniel Schneidermann :''' OpenSSL, qui est une de, enfin je veux dire, qui est un des piliers.
| |
| | |
| '''Jean-Marc Manach :''' C'est le fameux https, c'est une des composantes du fameux https, qui permet de sécuriser la communication entre un navigateur web et un serveur distant.
| |
| | |
| '''Éric Leblond :''' C'est peut-être 70 %. C'est une bibliothèque qui prend en compte 70 % des trafics chiffrés sur Internet.
| |
| | |
| '''Daniel Schneidermann :''' D'accord et ça c'est une personne à plein temps ?
| |
| | |
| '''Éric Leblond :''' C'est une personne à plein temps, quatre contributeurs majeurs et des contributeurs externes. C'est réduit. Comme la personne qui a introduit le bug en 2011.
| |
| | |
| '''Jean-Marc Manach :''' Qui était un chercheur en sécurité informatique allemande, qui lui, il a été soupçonné de malveillance. Il a dit non, j'ai fait une erreur triviale, que personne n'a vue, je suis vraiment désolé, ça peut vraiment arriver. Et donc, là où c'est très intéressant, c'est que, d'un côté, ça montre l'importance de pouvoir accéder au code source, et de l'autre, ça montre également le fait qu'il y a énormément de personnes, d'entreprises, notamment les administrations, qui vont se servir de cette bibliothèque, enfin de ce logiciel. Là on a le cas avec OpenSSL, mais on aura peut-être le cas avec d'autres logiciels, mais qui ne reversent pas au pot commun. C'est-à-dire que le principe du Logiciel Libre, c'est le principe du partage. On partage le code source, on vous permet d'utiliser gratuitement le logiciel, mais la contrepartie c'est aidez-nous à améliorer ce logiciel.
| |
| | |
| '''Daniel Schneidermann :''' Par des dons ?
| |
| | |
| '''Jean-Marc Manach :''' Ça peut être des dons, ça peut être le fait de financer des développeurs OpenSSL, enfin OpenSSL ou autres, pour implémenter, customiser, développer in situ, pour tel ou tel logiciel ou tel ou tel serveur. C'est le principe du don contre don. Et là, on s'aperçoit, qu'il y a une différence colossale entre le nombre d'utilisateurs professionnels et le nombre de contributeurs, qui sont financés, pour améliorer le code. Donc, c'est là où c'est en même temps une très bonne nouvelle, parce que, potentiellement, suite aux révélations Snowden, il y a énormément d'entreprises, de chercheurs, de militants, qui ont commencé à revoir les codes sources des logiciels utilisés en matière de sécurité informatique, pour les renforcer, pour voir s'il n'y avait pas de faille de sécurité. Là avec ''Heartbleed'' et toute la médiatisation et la panique qu'il y a eu autour de cette faille-là, on peut raisonnablement estimer qu'il va y avoir des efforts, encore plus accrus, de vérification de l'intégrité des codes sources des logiciels libres utilisés en matière de sécurité informatique et donc, ça va dans le bon sens.
| |
| | |
| '''Daniel Schneidermann :''' Oui. Et d'une manière générale sur le Logiciel Libre ?
| |
| | |
| '''Éric Leblond :''' Sur le Logiciel Libre, il y a, effectivement, un énorme problème de différence entre les utilisateurs et les contributeurs et, en fait, si je reprends les propos d'un industriel qui m'avait beaucoup énervé à l'époque, un industriel français qui parlait de commodité, voilà.
| |
| | |
| '''Jean-Marc Manach :''' Le Logiciel Libre c’était une commodité.
| |
| | |
| '''Éric Leblond :''' Le Logiciel Libre est une commodité. J'ai trouvé ça assez révélateur, c’est-à-dire c'est un truc qu'on peut utiliser, ça existe dans la nature, comme l'air quoi ! On peut le prendre, et c'est bon, et, sans considérer que ça soit un bien commun, en fait. Et cette notion de bien commun, pour moi, elle est essentielle. C'est dire j'ai trente mille serveurs qui tournent et qui utilisent les bibliothèques OpenSSL pour valider ma sécurité, pour mettre en œuvre ma sécurité, pourquoi est-ce que je ne consacrerais pas dix mille euros. Vous prenez cinq cents boîtes qui font ça, on se retrouve à cinq millions d'euros.
| |
| | |
| '''Daniel Schneidermann :''' Oui, oui.
| |
| | |
| '''Éric Leblond :''' Un financement qui permet d’assurer une bonne qualité du produit.
| |
| | |
| '''Jean-Marc Manach :''' Il faut savoir qu'on vient de très loin en matière de sécurité informatique, parce que si on prend l'exemple de Microsoft. Microsoft, il a fallu attendre le début, je parle sous votre contrôle, le début des années 2000, pour que, réellement, Microsoft mette l'accent sur son département sécurité, parce que, dans les années 90, il y a énormément de gens qui ont eu des virus sur leur ordinateur Windows, vu que la majeure partie des ordinateurs sont sous Windows, et donc il y a eu toute une campagne violente contre Microsoft en disant « mais c'est intolérable que vous laissiez, comme ça, des virus se propager sans mettre vraiment des kits dédiés à la sécurité ». Il a fallu attendre donc le début des années 2000 pour que la sécurité devienne un des cœurs de métier de Microsoft. Jusque là c'était, effectivement, voilà, c'est ''peanuts'', ce n'est pas grave, ce n'est pas fondamental. Et ça a été le cas en France. Pendant des années, en France, le mot hacker c'était assimilé à pirate informatique. Il a fallu attendre la montée en puissance de l'ANSSI et la fin des années 2000.
| |
| | |
| '''Daniel Schneidermann :''' L'ANSSI ?
| |
| | |
| '''Jean-Marc Manach :''' L'ANSSI qui est l’Agence Nationale de la Sécurité des Systèmes d'Information, qui est en charge de la cyberdéfense en France. Il a fallu attendre, donc, la fin des années 200 pour qu'on ait un festival de hackers en France, pour que le mot hacker en France soit moins diabolisé, et qu'on commence à mettre en avant les métiers de sécurité informatique, les filières de recrutement de sécurité informatique. Mais on a tellement de retard, en France, comparé à d’autres pays, qu'aujourd'hui il y a plein de boîtes françaises qui sont obligées d'aller recruter des ingénieurs ou des spécialistes de sécurité à l'étranger, parce qu'on n'a pas formé suffisamment de professionnels de la sécurité informatique en France. Ce n'est pas que en France, c'est au niveau mondial, c'est pour ça que je parlais de Microsoft, mais on a une vision de la sécurité informatique qui a été pendant très longtemps complètement biaisée, à la fois dans les médias, du côté des responsables informatiques ou des responsables d'entreprises, et pendant très longtemps, c'est clair que la sécurité informatique c’était comme les ingénieurs informaticiens. C'est la personne qui répare les claviers. Ce n'est pas quelque chose d'important, sauf que, si la sécurité n'est pas au cœur du commerce électronique, de l’administration, eh bien, en cas de faille de sécurité, ça peut avoir des effets catastrophiques.
| |
| | |
| | |
| == 31' 25==
| |
| | |
| '''Daniel Schneidermann :''' D’accord. Écoutez, vous avez été parfaitement clairs tous les deux.
| |