Question:
Comment dois-je dire à l'école qu'elle est vulnérable alors que je n'ai pas eu l'autorisation de vérifier?
vakus
2016-04-11 22:56:08 UTC
view on stackexchange narkive permalink

Je voudrais signaler les faiblesses de sécurité à mon école au Royaume-Uni. J'avais réussi à trouver des failles de sécurité sans aucun exploit ou autre logiciel ou matériel.

J'avais regardé une question similaire, mais le problème est qu'il est très probable que ce soit moi, même si j'utiliserais un e-mail anonyme, comme suggéré dans cette question, car le service informatique sait que j'ai beaucoup de connaissances sur la programmation informatique, le réseau, la sécurité, et il est (peut-être) supérieur à celui de quiconque, donc je suppose que je serait appelé immédiatement. Les enseignants savent également que j'ai trouvé d'autres faiblesses en matière de sécurité qui n'ont pas du tout eu d'incidence sur la politique de l'école, c'est pourquoi je n'ai eu aucun problème avec celle-ci. De plus, les faiblesses de sécurité nécessitent un accès physique, donc je ne peux pas mentir que cela a été fait à distance

Une autre réponse mentionnée dans la question déjà mentionnée, dit de simplement l'ignorer, mais j'avais découvert qu'un de leurs ordinateurs avait été piraté par quelqu'un d'autre, et pour dire comment j'ai découvert cela, je devrais mentionner les faiblesses de sécurité, ou suggérer que j'essayais de les pirater.

De plus, je suis sûr qu'ils seront plus qu'heureux d'entendre une personne suffisamment complète pour signaler ce problème et ne pas le vendre ou l'exploiter.Cependant, il est important de se rappeler que tout le monde n'est pas comme ça.Il y a certainement un aspect de risque dans cette solution
Sans plus de détails sur vos activités et un diplôme en droit au Royaume-Uni, il est difficile d'en être certain, mais vous avez peut-être enfreint les lois.Même si vous ne l'avez pas fait, il y a une longue histoire de pirates de chapeau blanc poursuivis.
@l1thal Je voterais contre votre commentaire si je le pouvais.Dans un monde idéal, c'est vrai, mais les gens ont tendance à «tirer sur le messager» quand il s'agit de choses qu'ils ne comprennent pas, et cela inclut souvent la sécurité informatique.
@drewbenn C'est pourquoi vous le diriez à quelqu'un du service informatique de l'école.
Je suis d'accord @drewbenn.C'est un conseil très risqué.
Je suppose que je ne suis qu'une personne risquée, mais je vais réviser mon commentaire pour indiquer que c'est risqué.
@l1thal qui suppose également que le service informatique est aussi bien informé qu'il le devrait.Ce qui n'est malheureusement pas toujours le cas dans les districts scolaires.
@WorseDoughnut C'est un bon point.Merci pour toutes vos contributions, je garderai tout cela à l'esprit au cas où quelqu'un me confronterait à ce sujet
Je suggère d'essayer de le faire de manière anonyme, puis de nier complètement la connaissance ou l'implication si on le lui demande en personne
IMHO, si vous allez emprunter la voie anonyme, allez-y à part entière, hardcore, anonyme.Utilisez des queues, faites un voyage dans un tout nouveau café et utilisez le WiFi, assurez-vous d'être sur Tor avec le navigateur Tor avec les paramètres de sécurité les plus élevés / les plus stricts, et détruisez complètement les queues USB une fois que vous avez terminé.Donnez-vous autant de distance que possible entre vous et l'e-mail anonyme.Envoyez-le à un service.tête que vous ne connaissez pas trop bien, ou même l'envoyer à un chef de district / à un employé ou même à un responsable PTA (plutôt qu'à quelqu'un de votre école spécifique qui pourrait facilement vous identifier).
D'accord avec @WorseDoughnut Si vous devenez anonyme, allez jusqu'au bout.Pas de demi-mesures.De plus, si c'était moi, je ne dirais rien du tout.Je suis aux États-Unis et nous avons tendance à mettre le feu à ce genre de chose et à verser un tas de thermite dessus lorsque nous pilonnons de bonnes intentions.Je connais les condamnations britanniques et ce qui ne l'est pas sont beaucoup plus légères mais quand même ... des condamnations.La société aime sauter sur la perception des mauvaises intentions et tout scénario opposé à cette idée semble généralement être mélangé et oublié.
Pourquoi ne pouvez-vous pas le réparer vous-même?Tu n'as à le dire à personne.
@sacreligious222 Trouver un trou est beaucoup plus facile que de le réparer.Réparer un trou * sans que personne ne remarque que vous jouez avec des choses * ajoute simplement un tout autre niveau de difficulté.C'est comme remettre un cookie dans le pot à biscuits;il est difficile de prouver que c'est la raison pour laquelle votre main est dedans.
Cette vulnérabilité peut-elle être découverte «accidentellement» lors d'un devoir ou d'un cours dans le laboratoire informatique, ou faut-il un effort actif pour l'exploiter?
Cette vulnérabilité n'a pas pu être trouvée accidentellement
Il semble que le déni plausible soit le strict minimum de ce dont vous avez besoin.S'ils vérifient vos ordinateurs, il vaut mieux qu'il n'y ait aucune trace de quoi que ce soit.(écraser 12x environ) S'ils supposent que c'est vous, cela ne signifie pas qu'ils peuvent le prouver.Les autres suggestions sont bonnes, je n'entrerai donc pas dans les détails déjà couverts.Juste ... Ne gardez rien d'incriminant et ne dites pas ou ne l'admettez pas non plus.
Si quelqu'un d'autre a déjà trouvé et utilise cette vulnérabilité, cela ne semble-t-il pas une preuve décente que vous n'êtes pas la seule personne possible à la découvrir?Ne pas suggérer de passer par un rapport anonyme (les normes de preuve peuvent être faibles de toute façon), simplement le publier.
Neuf réponses:
#1
+76
user15392
2016-04-11 23:48:42 UTC
view on stackexchange narkive permalink

S'il y a un enseignant ou un conseiller en qui vous pouvez avoir confiance complètement et qui, vous savez, gardera votre nom secret même si la direction de l'école commence à menacer de licencier des gens, je m'adresserais d'abord à eux et parlez-leur en privé. Ils n'ont pas besoin de comprendre les ordinateurs ou la sécurité (et vous n'avez pas besoin d'entrer dans les détails sur le problème), ils doivent simplement être dignes de confiance et capables de naviguer dans la politique administrative de l'école: vous avez besoin de conseils sur la personnalité des personnes impliquées et sur le danger qu'il vous serait de signaler le problème. S'ils se méfient du tout de signaler, alors gardez le silence.

Si quelqu'un avec suffisamment de pouvoir est gêné, il peut commencer à chercher quelqu'un à renvoyer ou expulser (ou, dans le pire des cas, à ont arrêté), pour donner l’illusion qu’ils contrôlent la situation. Si vous êtes amical avec l'administration et le service informatique et que vous en avez la confiance, et que vous savez qu'ils ont soutenu des étudiants dans le passé, même si cela leur donnait une mauvaise image, il peut être moins risqué de partager le problème, mais je recommanderais quand même en passant par un intermédiaire de confiance.

Si vous ne pouvez pas parler à quelqu'un en qui vous avez confiance pour garder votre nom anonyme et que vous ne pouvez pas signaler le problème de manière anonyme (et il semble que vous ne pouvez pas), c'est Il vaut probablement mieux pour vous de vous taire. Et cela signifie complètement silencieux: ne parlez pas de ce que vous avez trouvé sur les forums, ne dites pas à vos amis ce que vous avez trouvé et ne réessayez pas dans quelques semaines "pour voir si cela a été corrigé:" Je ne veux pas apparaître dans les journaux comme ayant quoi que ce soit à voir avec cela, surtout si cela est exploité par quelqu'un d'autre. Ça craint, mais commencez par vous protéger.

Vous obtenez un +1 pour avoir suggéré de vous soucier d'abord de sa propre sécurité.
S'il y a un problème de sécurité informatique à l'école et que le PO fréquente ladite école, je dirais qu'il y a une possibilité distincte que le fait de se taire et de laisser quelqu'un malveillant exploiter la vulnérabilité pourrait facilement être également nuisible au PO.
@Ben Peut-être devrait-il être signalé au district scolaire (surintendant) ou au service de police si OP estime que ses informations ou sa sécurité sont en danger
+1.En suivant ces conseils, dans le pire des cas, ce serait comme si l'OP n'avait jamais rencontré la vulnérabilité en premier lieu.
J'ai déjà fait cela quand j'ai découvert que mon école était vulnérable à quelque chose.Mon professeur a calmement appelé le bureau d'assistance et leur a dit.Dans les 2-3 jours, il a été réglé et on m'a dit merci, mais on m'a poliment demandé de ne pas tester à nouveau.
J'ai voté contre.Cette ligne de conduite commence par le PO déclarant ouvertement (à un membre du corps professoral qui ne sait peut-être rien sur l'informatique) qu'il a enfreint la politique informatique de l'école et a effectué un test de sécurité non demandé.Cela semble imprudent.
@Spotlight Poliment demandé ou "poliment demandé"?
@Richard non seulement la politique informatique de l'école, mais également la loi britannique, passible de six mois de prison maximum (accès non autorisé à un système informatique sans intention de commettre un autre crime).
@Sebb Sans guillemets.
#2
+57
user15392
2016-04-12 01:32:45 UTC
view on stackexchange narkive permalink

Une autre pensée m'a frappé en relisant votre question (c'est moi qui souligne):

Comment dois-je dire à l'école qu'elle est vulnérable alors que Je n'ai pas eu l'autorisation de vérifier ?

Pourriez-vous obtenir l'autorisation? Une fois que vous avez la permission, vous pouvez "découvrir" le problème (sans dire à personne que vous l'avez déjà trouvé) et le signaler sans craindre d'être blâmé pour piratage sans permission.

Ce serait plus facile si vous ' vous suivez déjà un cours d'informatique enseigné par un enseignant sympathique qui travaillerait avec l'informatique pour vous donner une attribution de crédit supplémentaire pour faire un test de stylet. Ou si vous êtes ami avec n'importe qui dans l'informatique, vous pouvez les contacter directement et leur suggérer que vous êtes intéressé par l'étude de la sécurité du réseau et que vous espérez y trouver un emploi un jour, et pourriez-vous acquérir de l'expérience en effectuant un test de stylet du réseau local. . Si vous avez déjà la réputation d'être bon en informatique et en sécurité, et d'être digne de confiance, vous avez peut-être de bonnes chances de faire fonctionner cette approche.

Cela nécessitera beaucoup plus de travail que de simplement signaler le problème , si vous voulez bien le faire. Vous devrez tester beaucoup plus de choses afin de pouvoir blanchir efficacement vos connaissances sur la faille de sécurité existante (bien sûr, vous pourriez avoir de la chance et trouver d'autres problèmes!), Et vous devrez rédiger un rapport détaillant tout ce que vous fait, et pourquoi, et ce que vous avez trouvé. Ils peuvent également restreindre la portée de ce que vous êtes autorisé à tester ou vous donner un système de test qui n'expose pas le problème que vous avez déjà trouvé, ce qui signifie que vous serez coincé à faire le travail et à rédiger le rapport sans pouvoir divulguer. le problème d'origine.

Bien sûr, c'est une façon assez "sournoise" de signaler le problème. Si vous êtes refusé, vous devriez probablement garder le silence sur le problème d'origine, car si vous le signalez ou que quelqu'un d'autre le fait et qu'il vous est retracé, les gens se souviendront quand vous avez demandé de faire un test au stylo et commencer à poser des questions sur vous et à quel point vous pourriez être digne de confiance. Il y a donc un risque à cette approche.

J'ai marqué ce wiki communautaire pour que personne ne pense que j'essaye de voler des représentants supplémentaires en répondant deux fois;mes réponses étaient des approches très différentes et, dans l'intérêt du PO, je pense qu'elles devraient être votées séparément.
vous ne voleriez aucun représentant, mais je comprends votre point de vue.
"Hé professeur d'informatique, j'ai lu dans un magazine que vous pourriez peut-être pirater comme ça, devrais-je tester notre système? J'avoue, j'ai déjà jeté un coup d'œil et je pense que nous sommes peut-être vulnérables, mais j'ai besoin de votre permission pour essayer cecien dehors..."
Que faire si le service informatique refuse la demande de l'OP mais décide de la vérifier lui-même et que le nom de l'OP apparaît dans les journaux?(Ou d'autres données pouvant être retracées jusqu'à OP)
#3
+8
Richard
2016-04-12 04:27:57 UTC
view on stackexchange narkive permalink

Comment devriez-vous leur dire? Vous ne devriez pas.

Examinons ici les conséquences potentielles. Puisque vous étiez en train de fouiller sur leur réseau sans autorisation (ce qui est presque certainement en violation de votre accord étudiant et quel que soit le consentement sur lequel vous avez cliqué pour accéder à leur système informatique), le meilleur résultat auquel vous pouvez vous attendre est qu'ils résolvez le problème et vous aurez une petite tape dans le dos.

D'un autre côté, il y a au moins un changement raisonnable selon lequel ils auront le mauvais bout du bâton, vous expulseront de l'école et peut même appeler la police. Puisqu'il y a eu d'autres cas de piratage, ils peuvent sauter à l'hypothèse que vous avez également été impliqué d'une manière ou d'une autre, augmentant ainsi les risques de conséquences juridiques.

À tout le moins, et en dépit de votre bien intentions, vous avez certainement enfreint la loi. Bien que l’école choisisse de ne pas en tenir compte, il se peut qu’elle ne le fasse pas non plus.

Lorsque vous soupesez les avantages et les inconvénients, le choix devrait être évident.

Peu importe la façon dont vous obtenez ces informations, vous devez les exposer à l'administrateur système, un tiers de confiance qui a le pouvoir de mettre en œuvre les changements nécessaires.comme en attente d'un éventuel désastre.
@Squazz - Je ne suis pas d'accord avec vous.À tout le moins, il a presque certainement [enfreint la politique informatique de l'école] (https://www.techdirt.com/articles/20090731/0325265727.shtml).Quel est l'avantage de divulguer?Est-ce qu'il vaut la peine de risquer sa carrière universitaire?
@Squazz - Je suis également raisonnablement sûr que le PO sait qu'il ne devrait rien faire sinon il ne poserait pas la question en premier lieu.Si rien d'autre, le fait qu'il ne leur ait pas encore dit est presque certainement une autre violation de la politique qui, je suppose, inclut une clause «les vulnérabilités qui sont découvertes devraient être notifiées immédiatement au département informatique».
ce n'est pas toujours parce que vous avez activement essayé de briser la sécurité.Une fois, j'ai fréquenté une école où nous, en cours de programmation, avons trouvé une vulnérabilité dans le serveur PHP que notre école nous avait fourni pour jouer avec PHP.Nous avons trouvé la vulnérabilité par accident, pas en la recherchant activement. Je ne sais pas comment OP a opté pour les connaissances qu'il possède, mais je pense que peu importe comment les informations ont été obtenues, il devrait les divulguer à un personnel de confiance.En transmettant les informations de manière anonyme ou non, une vulnérabilité est une vulnérabilité qui doit être corrigée.
@Squazz - Encore une fois, je ne suis pas d'accord avec l'analogie.Dans votre cas, vous aviez une raison valable de fouiller sur le serveur.Dans le cas du PO, il semble juste être une personne occupée qui a utilisé son accès privilégié (interne) pour effectuer un test de stylo non autorisé.
si c'était vous qui étiez administrateur sur le réseau, que préféreriez-vous alors?Qu'un élève (vraisemblablement) au chapeau blanc vous parle de la vulnérabilité, ou que vous le découvriez quand il est trop tard et que la vulnérabilité a été abusée pour quelque chose de mauvais? Dans mon monde, cette réponse est simple, j'aimeraisle savoir avant qu'il ne soit trop tard
@Squazz - Si j'étais l'administrateur, je partirais probablement de l'hypothèse que l'OP était impliqué dans le piratage d'origine.En fonction de la perte de données antérieure, j'appellerais probablement la police pour la mettre à jour sur le fait qu'un étudiant s'est manifesté pour avouer qu'il a fouillé sur le réseau et que même s'il prétend ne pas être impliqué, je soupçonne qu'il peutessayez de [gagner de la gloire] (http://www.wsj.com/articles/SB121960882331467103) en mettant en évidence un problème qu'il a pu être impliqué dans la cause.À tout le moins, je suspendrais immédiatement son accès en attendant une enquête.
«L'école peut choisir de ne pas tenir compte de cela, mais peut-être pas non plus» - une chose à examiner est le nombre d'enfants au Royaume-Uni qui ont déjà été poursuivis pour des délits informatiques, en particulier ceux où aucun dommage n'a été causé.Je ne sais pas avec certitude, mais je suppose que c'est un nombre assez petit.Il est très probable que l'auteur de la question ne sera pas poursuivi, mais je conviens que le petit risque restant ne peut pas être complètement écarté.Si le questionneur a plus de 18 ans et est toujours à l'école (donc dans sa dernière année), les chances pourraient changer un peu.
@SteveJessop - Jouons à un petit jeu appelé "quel est le bon / le mauvais côté".S'il le rapporte, quelle est la meilleure chose que vous puissiez imaginer de façon réaliste?S'il le rapporte, quelle est la pire chose que vous puissiez imaginer de façon réaliste?Maintenant, mettez ces résultats sur une balançoire.Quel côté repose sur le sol?
@Richard: et quel est l'avantage / inconvénient de ne pas le signaler?Le principal inconvénient potentiel est qu'il a déjà été connecté et qu'il est finalement découvert lorsqu'il découvre la faille et effectue son audit.Le pire des cas est le même dans tous les cas, il est accusé de les avoir piratés, nous devons donc également considérer ce qui est probable.Maintenant, si le questionneur avait joué "meilleur cas / pire cas" avant de décider de vérifier si la vulnérabilité est là en premier lieu, alors il serait facile de dire simplement de jouer prudemment et de ne rien faire.
@SteveJessop - C'est un bon point, mais inviter ouvertement à une discussion sur ses actions semble beaucoup plus susceptible de se retourner contre lui que d'imaginer que son équipe informatique découvrira un jour la faille.Il est beaucoup plus probable qu'il soit simplement corrigé à un moment donné (lors de la prochaine mise à jour du système), car ils ne sont pas plus sages.
@Richard: en fin de compte, je pense que cela se résume à des facteurs que l'interrogateur (probablement sagement) a omis, comme exactement ce qu'il a fait pour découvrir cette vulnérabilité et à quoi ressemble sa relation avec ses professeurs.S'il exécute un script de détection de shellshock bien connu alors qu'il est connecté à une machine qu'il est autorisé à utiliser, alors il est dans un bien meilleur endroit que s'il exécutait des tests fuzz étendus sur leur système de paie et avait trouvé une injection SQL.Oui, s'il n'a aucune raison de penser qu'ils le prendront bien, il devrait supposer qu'ils le prendront mal.Ils ne l'arrêteront tout simplement pas à moins qu'il y ait des dommages.
Aussi, en y réfléchissant bien, il a déjà trouvé des vulnérabilités et les enseignants le savent.Il sait donc quelle a été la réaction avant et nous ne le savons pas.Si ce qu'on lui a dit auparavant était "merci, c'est vraiment utile, nous corrigerons ça tout de suite" alors il est dans un bien meilleur endroit que si on lui disait, "c'est votre premier et dernier avertissement, si vous faites quelque chose comme çaencore une fois, vous êtes expulsé et nous informerons la police ».Je suppose que ce qui s'est réellement passé était quelque part entre les deux et moins clair, sinon il n'aurait pas besoin de poser cette question, mais cela devrait l'aider à le guider.
#4
+4
Vortico
2016-04-12 08:39:25 UTC
view on stackexchange narkive permalink

"Madame, je voudrais simplement vous faire savoir que si vous glissez une bande de métal dans le pêne dormant de la porte de votre garage, vous pouvez l'ouvrir avec peu d'effort."

Ne le divulguez pas. Beaucoup d'entre nous, spécialistes de la sécurité, ont trouvé des vulnérabilités dans les systèmes informatiques de nos universités, mais il n'y a rien à gagner à les divulguer. Laissez quelqu'un d'autre le trouver et le divulguer, mais ne soyez pas celui qui risque d'être accusé de briser un système qui n'est pas le vôtre. Il y a de nombreuses histoires dans les écoles où je suis allé dans lesquelles le messager a été puni pour avoir tenté de violer le système. Je parie que vous êtes beaucoup plus susceptible d'être puni en révélant la vulnérabilité au lieu d'en profiter vous-même de manière malveillante.

Si vous avez des raisons personnelles pour que le système ne soit pas violé, contactez l'administrateur système pour poser des questions la sécurité du système afin que vos données ne soient pas personnellement volées. Posez des questions spécifiques à la faille que vous avez découverte dans l'espoir que l'administrateur trouve la même faille, mais ne suggérez pas que vous ayez déjà tenté d'accéder au système.

Pour ce que ça vaut, le questionneur est au Royaume-Uni et nous n'appelons pas les universités "écoles" ici.Ça craint toujours d'être expulsé bien sûr, même si ce n'est "que" du lycée.
#5
+4
Amani Kilumanga
2016-04-12 11:45:00 UTC
view on stackexchange narkive permalink

Utilisez la méthode socratique.

Exposez la vulnérabilité à celui qui est en charge de la sécurité sous la forme d'une série de questions. S'ils, pour des raisons de sécurité (ou autre), ne peuvent ou ne veulent pas répondre à vos questions, proposez des situations hypothétiques et posez des questions à leur sujet.

#6
+1
PyRulez
2016-04-12 07:19:10 UTC
view on stackexchange narkive permalink

Pouvez-vous révéler la vulnérabilité d'une manière autorisée?

Vous avez trouvé le problème d'une manière qui n'est apparemment pas autorisée. Pouvez-vous présenter le problème d'une manière dont vous avez la permission? Si tel est le cas, essayer cela pourrait être une bonne idée. Ce n'est peut-être même pas la vulnérabilité d'origine, mais un bogue qui, lorsqu'il est étudié ou corrigé, révèle la vulnérabilité.

Par exemple, peut-être que la vulnérabilité est que les mots de passe ne sont pas hachés. Vous l'avez découvert en vous connectant aux serveurs de l'école. Au lieu de leur dire que vous êtes entré dans les serveurs de l'école, téléchargez une extension de navigateur qui vérifie si les mots de passe sont transmis sous forme de texte brut (ce qui peut être vu comme un moyen de protéger votre propre sécurité d'une manière raisonnable et non curieuse), et dites l'école que leur site provoque des drapeaux rouges sur votre ordinateur portable et que vous vous inquiétez pour votre propre sécurité. L'avantage est qu'il est beaucoup plus sûr et justifiable de dire aux gens à l'extérieur de l'école s'ils le réparent dans un délai raisonnable.

Un avantage de cette technique est que vous n'avez probablement pas à mentir.

Il est probablement préférable de s'assurer qu'ils ne réalisent pas la façon dont vous avez découvert la vulnérabilité, même s'ils la corrigent, de peur qu'ils ne libèrent les pouvoirs du gouvernement contre vous. (Votre espionnage est-il enregistré dans des journaux, par exemple?)

#7
  0
S.E. Foulk
2016-04-12 09:42:36 UTC
view on stackexchange narkive permalink

Dites-leur de manière anonyme, en citant tout ce que vous avez fait, par exemple les tests de pénétration, les résultats, etc. afin qu'ils puissent le vérifier eux-mêmes (ou embaucher quelqu'un). Assurez-vous que le message est envoyé à toutes les personnes habilitées à se pencher sur le ou les problèmes.

Le PO a déjà évoqué le problème de l'anonymat.
#8
  0
Rok
2016-04-12 17:02:10 UTC
view on stackexchange narkive permalink

Comme l'a suggéré drewbenn dans sa deuxième réponse, mais pour le dire d'une manière légèrement différente, où drewbenn a dit que vous pouvez demander la permission, je dis que vous pouvez également "suggérer un contrôle de sécurité ou les inciter à le faire, avec ou sans votre aide »avec une raison comme« Je fais X ou je m'engage dans des communautés X en ligne, et il y a eu des rapports ou des discussions sur le piratage d'écoles dans notre État / ville, et quelqu'un s'en vantait. » Vous pensez donc "nous devrions vérifier si notre école a été ciblée par cela à tout moment récemment".

#9
  0
Paul Smith
2016-04-12 17:08:47 UTC
view on stackexchange narkive permalink

Vous n'auriez pas dû y être donc peu importe ce que vous avez trouvé, vous avez actuellement tort. Jusqu'à ce que vous obteniez l'autorisation de regarder, vous devez rester silencieux et espérer qu'ils n'ont pas détecté votre présence.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...