Journal tabnabbing, un nouveau genre de phishing

Posté par .
Tags : aucun
24
25
mai
2010

Voici une attaque intéressante: le tabnabbing.


Vous êtes assez averti pour ne pas cliquer sur gmail.com.pouilleux.biz dans vos mails, mais êtes-vous préparés à ce que le site que vous aviez déjà ouvert dans un onglet en arrière plan ne soit pas le vrai Gmail?

  • # Idee geniale

    Posté par (page perso) . Évalué à 10.

    C'est vraiment une idee geniale ca !

    Et ca me fait me dire qu'il est bon signe d'avoir toujours les onglets frequents aux memes endroits, ou meme les sites sur des fenetres/bureaux separes.
    Je sais par exemple que je n'ai jamais machin.com en troisieme position de ma barre d'onglets, ni dans ma dexieume instance de firefox.

    Et aussi, j'ai du laisser a noscript le droit de jouer avec la page pour qu'il me fasse la demo.


    C'est vraiment une idee geniale cette methode. Encore plus visuelle qu'une simple XSS, et deroutante pour l'utilisateur (qui tombera facilement dans le panneau, j'en suis sur...)


    Maintenant, pourquoi pas embarquer des detecteurs de similitude visuelle des sites, et indiquer une alarme quand un site qui n'est pas gmail ressemble un peu trop a gmail ?
    Ca me parait une approche pas pire, pour tous les sites avec login, et faisable sans trop de difficulte !
    • [^] # Re: Idee geniale

      Posté par . Évalué à 5.

      > Maintenant, pourquoi pas embarquer des detecteurs de similitude visuelle des sites, et indiquer une alarme quand un site qui n'est pas gmail ressemble un peu trop a gmail ?
      Ca me parait une approche pas pire, pour tous les sites avec login, et faisable sans trop de difficulte !


      On pourrait peut-être faire ça sur les favicon?

      Pour ma part, j'utilise Secure login [https://addons.mozilla.org/firefox/addon/4429/] pour ne pas taper les mots de passe à chaque fois, ni me tromper de site.
    • [^] # Re: Idee geniale

      Posté par (page perso) . Évalué à 5.

      >Encore plus visuelle qu'une simple XSS, et deroutante pour l'utilisateur
      >(qui tombera facilement dans le panneau, j'en suis sur...)

      Pas besoin de faire si compliqué...

      http://www.emailmeform.com/fid.php?formid=700831

      Ceci suffit largement, sur une promotion de 100 étudiants, j'en ai 6 qui ont répondu au formulaire reçu par mail...
    • [^] # Re: Idee geniale

      Posté par . Évalué à 2.

      C'est assez puissant en effet.

      Pour contrer ça, les extensions du type WOT ( web of trust ) risquent de s'avérer utiles.

      Sauf si les attaquants changent sans cesse de site pour leur attaque.
      • [^] # Re: Idee geniale

        Posté par . Évalué à 5.

        Ou alors un plugin qui cree un "fingerprint" des pages web et signale: "cette page ressemble beaucoup à google.com mais se trouve dans un domaine alternatif, ..."
        • [^] # Re: Idee geniale

          Posté par . Évalué à 10.

          Pour l'instant, l'utilisateur:
          - ne sait pas ce qu'est un "port", donc son navigateur lui interdit de surfer sur un port destiné à une autre application,
          - ne sait pas ce qu'est SSL, donc son navigateur hurle à la mort quand il arrive sur un site auto-signé,
          - ne sait pas ce qu'est une mise à jour, donc son navigateur va mettre à jour Flash à sa place,
          - ne sait pas ce que c'est que la sécurité, donc son navigateur demande à Google s'il peut aller sur tel ou tel site,
          - ne sait pas ce qu'est un protocole, autant virer "HTTP" de son navigateur,
          - et maintenant, il ne sait même plus ce qu'est une URL. Il va falloir monter une énième usine à gaz pour fingerprinter toutes les pages.. heu non, pas toutes, seulement celles de Google et Facebook, et faire clignoter l'écran en rouge et jaune quand le même contenu se retrouve sur une URL différente.

          C'est une très mauvaise approche. On a au moins deux autres solutions possibles:
          - développer un plugin "cerveau" qu'on mettra dans tous les utilisateurs. C'est compatible avec tous les navigateurs,
          - se demander si c'est vraiment une bonne idée de vouloir tout faire passer par le Web, pourquoi on en est arrivé là, et comment faire marche arrière avant que tout ne soit pourri..

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

          • [^] # Désolé mais

            Posté par . Évalué à 10.

            Un grunt qui demande un cerveau par personne, c'est pas très roleplay.
          • [^] # Re: Idee geniale

            Posté par . Évalué à 8.

            Développer un plugin cerveau, c'est une bonne chose, mais ça ne suffira pas dans le cas de cette attaque là. Pour ma part je sens qu'il me suffirait d'un peu d'inattention pour tomber dans le panneau...
          • [^] # Re: Idee geniale

            Posté par . Évalué à 6.

            - se demander si c'est vraiment une bonne idée de vouloir tout faire passer par le Web, pourquoi on en est arrivé là, et comment faire marche arrière avant que tout ne soit pourri..

            Ça changerait quoi pour le phishing ? pour des raisons de praticité t'aurais toujours des trucs du style "configuration automatique ou autre" pour pas que l'utilisateur ait à tatonner pour configurer son n-ième client de banque pour ses comptes qui laisseraient ce genre de porte ouverte ... ça fermerait pas grand chose à mon avis.


            développer un plugin "cerveau" qu'on mettra dans tous les utilisateurs.

            Qu'est-ce que le plugin cerveau apporterait dans le cas d'une attaque pareille étant donné que le but justement de l'attaque c'est de se servir des faiblesses du cerveau de l'utilisateur pour le tromper justement ? Perso j'ai beau savoir tout ça, je peux carrément pas garantir que je risquerait pas de me faire avoir par une attaque de ce style dans un moment d'égarement, ou en étant pressé, ou ...
            • [^] # Re: Idee geniale

              Posté par (page perso) . Évalué à 10.

              >>> Perso j'ai beau savoir tout ça, je peux carrément pas garantir que je risquerait pas de me faire avoir par une attaque de ce style dans un moment d'égarement

              Fastoche. Il suffit d'utiliser un navigateur sans onglets !
              • [^] # Re: Idee geniale

                Posté par . Évalué à 3.

                Eh ! je me demande pourquoi j'y ai pas pensé moi même ;)
              • [^] # Re: Idee geniale

                Posté par . Évalué à 4.

                Lynx par exemple !
              • [^] # Re: Idee geniale

                Posté par . Évalué à 5.

                Le grand retour de IE6 ?
              • [^] # Re: Idee geniale

                Posté par . Évalué à 3.

                Et personne ne voulait croire que Microsoft avait un train d'avance sur la sécurité...
                • [^] # Re: Idee geniale

                  Posté par . Évalué à 7.

                  La terre est ronde, donc un train qui prend trop d'avance semble être très en retard, et vice-versa.

                  THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

            • [^] # Re: Idee geniale

              Posté par (page perso) . Évalué à 5.


              Qu'est-ce que le plugin cerveau apporterait dans le cas d'une attaque pareille étant donné que le but justement de l'attaque c'est de se servir des faiblesses du cerveau de l'utilisateur pour le tromper justement ? Perso j'ai beau savoir tout ça, je peux carrément pas garantir que je risquerait pas de me faire avoir par une attaque de ce style dans un moment d'égarement, ou en étant pressé, ou ...


              Ma banque fait un truc intéressant pour l'authentification qui protège de ça:
              - au login, je tape juste mon nom puis entrée (pas mon mot de passe pour l'instant)
              - elle me montre une image et sa légende, que j'ai choisies quand j'ai crée mon compte (par exemple, une photo d'une pipe et la phrase "ceci c'est pas une pipe")
              - je tape mon mot de passe seulement si je vois mon image et mon titre.

              Du coup, les attaques par phishing nécessitent de connaître mon image et sa légende. Si je ne les vois pas, je ne tape pas mon mot de passe, pas folle la guêpe.
              • [^] # Re: Idee geniale

                Posté par . Évalué à 1.

                Toi t'es chez BoA, je me trompe. C'est vrai que leur système est pas mal. Je ne suis jamais tombé sur du phishing cependant.
              • [^] # Re: Idee geniale

                Posté par (page perso) . Évalué à 7.

                ça ne protège pas beaucoup puisque l´attaquant peut faire une requête sur le site de ta banque pour connaître l´image
                • [^] # Re: Idee geniale

                  Posté par (page perso) . Évalué à 1.

                  Je m'étais dit la même chose, mais en fait non, car la banque mémorise aussi mes IPs. Quand je fais la requête depuis une IP que je n'ai pas utilisée auparavant j'ai un challenge question/réponse. Et je reçois un mail me disait qu'une nouvelle IP est activée bla bla.
                  • [^] # Re: Idee geniale

                    Posté par (page perso) . Évalué à 1.

                    Ah oui je précise encore que dans le mail il y a un code, il faut retourner sur le site et le taper. Oui c'est relou mais c'est une fois par IP et au moins c'est à peu près solide :)
                    • [^] # Re: Idee geniale

                      Posté par (page perso) . Évalué à 3.

                      Tu as vraiment intérêt à avoir une IP statique, sinon tu dois le refaire à chaque fois et Mme Michu ne fait pas la différence entre l'IP du site pirate et la sienne.

                      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                  • [^] # Re: Idee geniale

                    Posté par . Évalué à 4.

                    Bah ça fait ça depuis ton ordi, donc sur ton IP !
                    • [^] # Re: Idee geniale

                      Posté par (page perso) . Évalué à 2.

                      Oui mais non, car on passe par le serveur de l'attaquant.
                      Sauf si ton PC est verolé, mais alors le problème est autrepart.

                      De toute façon, comme dit plus haut, avec une IP dynamique c'est pas faisable.
                      La solution c'est les certificats clients.
              • [^] # Re: Idee geniale

                Posté par (page perso) . Évalué à 3.

                Donc il suffit que le site de Fishing se connecte pour aller chercher ton image, et ta légende...

                ... ce qui complique un peu le process, mais pas tant que ça, si ?
          • [^] # Re: Idee geniale

            Posté par . Évalué à 1.

            On le 'plug' où le 'plugin' ?






            (...) parceque j'ai beau chercher je trouve pas l'interface (...)
            • [^] # Re: Idee geniale

              Posté par . Évalué à 3.

              QGP !

              THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

          • [^] # Re: Idee geniale

            Posté par . Évalué à 3.

            Un article sur le fait que de nombreux gens ne savent pas ce qu'est une url : http://jonoscript.wordpress.com/2010/02/18/some-people-cant-(...)

            et vers la page cité dans l'article qui a été obligé de rajouter un disclamer pour ceux qui pensaient que c'était la nouvelle version de facebook (car il sortait 1er dans google) : http://www.readwriteweb.com/archives/facebook_wants_to_be_yo(...)

            PS : lire les commentaires (consternant) où les mecs disent qu'ils n'arrivent pas à se logguer ou qu'il préféraient l'ancien design....
            • [^] # Re: Idee geniale

              Posté par . Évalué à 1.

              Bah faut pas aller loin pour trouver des gens qui ne savent pas ce qu'est une URL. Il n'y a qu'a voir ici le nombre de personnes qui passent leur temps à mettre des [1], [2], etc .... dans leur journaux/commentaires.
              • [^] # Re: Idee geniale

                Posté par . Évalué à 7.

                J'ai comme l'impression que tu confonds url et hyperlien [:rofl] .

                Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

    • [^] # Re: Idee geniale

      Posté par . Évalué à 1.

      Maintenant, pourquoi pas embarquer des detecteurs de similitude visuelle des sites, et indiquer une alarme quand un site qui n'est pas gmail ressemble un peu trop a gmail ?
      Ca me parait une approche pas pire, pour tous les sites avec login, et faisable sans trop de difficulte !

      Ou tout simplement couper le javascript sur l'onglet qui n'a pas le focus (comme ca l'utilisateur devrait plus remarquer la transition).

      En plus ca réduira la conso cpu.
      • [^] # Re: Idee geniale

        Posté par . Évalué à 3.

        Et comment mon GMail changera le titre de l'onglet quand je reçois un mail sans Javascript ?
        • [^] # Re: Idee geniale

          Posté par (page perso) . Évalué à 2.

          Essaie Thunderbird/Evolution/KMail/Mail/Outlook. Tu verras, t'auras les notifications standards de ton environnement, l'intégration avec les outils du dit environnement...
          • [^] # Re: Idee geniale

            Posté par . Évalué à 3.

            Pour les mails encore on a des standards comme IMAP qui permettent à des clients sur différentes machines de rester synchronisés, donc une appli comme GMail n'est pas « nécessaire ».

            Par contre, je suis Google Reader user. Je l'utilise sur plusieurs machines différentes, sur mon téléphone, etc. Alors évidemment je pourrais avoir un fichier OPML en ligne et l'updater à chaque fois que je rajoute un flux à un de mes clients, puis l'importer partout ailleurs. Mais ça n'est pas pratique par rapport aux alternatives « dans le cloud ».

            Même pour GMail, j'utilise assez souvent des machines qui ne sont pas les miennes, et devoir reconfigurer Thunderbird pour les 4 ou 5 accounts email à chaque fois ça deviendrait surement très chiant à la longue.

            Si des gens utilisent des webapps ça n'est pas seulement par méconnaissance des outils desktop. C'est parfois car ils ont des besoin auxquels les outils desktop ne répondent pas.

            Sans parler des machines que j'utiliserai et où Thunderbird ne sera pas installé. Des machines sans navigateur web c'est plus rare quand même.
          • [^] # Re: Idee geniale

            Posté par (page perso) . Évalué à 2.

            Tu verras, t'auras les notifications standards de ton environnement, l'intégration avec les outils du dit environnement...

            Le temps à installer, configurer alors qu'on comprend pas la question (POP??? IMAP???), le fait que ça ne marche pas (le firewall fait chier, mais comme on ne connais rien, on comprend pas...).

            L'avantage du webmail, ce qui fait son succès, c'est que tu peux y avoir accès de partout sans contraintes. Tu proposes un truc incompréhensible pour le commun des mortels, ce n'est pas comme ça (en conseillant un truc incompréhensible à une personne, un truc qui marche une fois sur deux etc...) que tu passeras pour écoutable par les gens... Tes arguments "intégré à 'environnement", c'est sympa, mais les gens préfèrent un truc non intégré qui marche qu'un truc intégré qui ne marche pas.

            Note : Thunderbird a fait un effort, maintenant login/password seulement marche assez souvent (il va chercher tout seul les paramètres de configuration), reste qu'il n'y a pas de protocole de "fallback" en HTTP(S) quand IMAP est bloqué (faute aux serveur et client qui n'ont pas de protocoles standards pour encapsulerl'IMPA dans un couche HTTP(S), mais l'utilisateur s'en fout de qui est la faute, il voit juste que ça ne marche pas), ça s'améliore sans être encore aussi bien que le webmail du point de vue du commun des mortels.
            • [^] # Re: Idee geniale

              Posté par (page perso) . Évalué à 3.

              Attention analogie voiture, cool j'ai pu la caser :

              oui c'est un peu comme avec les gens qui veulent aller d'un point A à un point B (de préférence très éloignés l'un de l'autre, et respectivement loin de tout) sans payer de taxi, sans passer de permis et sans vouloir prendre le train. Je suis quand même vachement gonflé de leur dire que ça va pas être possible, je pourrais faire un effort et les transporter sur mon dos.

              Grâce au « tout doit être encapsulé dans HTTP c'est fait pour ça et spa filtré woot », maintenant la dite Mme Michu qui veut pas lire la fiche de son fournisseur de courriels pour configurer son client « lourd » (quand je vois le chargement de GMail, heureusement que je sais que par client « lourd » vous entendez client « hors du navigateur », parce que sinon...), bah elle gueule parce qu'au taff elle a des proxys qui bloquent au-feminin.com parce que dans un sujet quelqu'un a dit « vagin », et ça bloque debian.org pour pornographie parce que ça ressemble à lesbian (ou parce que GNU/lesbian existe tout simplement :D).

              SUPAŸR.
          • [^] # Re: Idee geniale

            Posté par . Évalué à 0.

            "Comment je fais pour mon WEBmail ?
            - Installe un client mail lourd !"

            Ca revient à "dites nous de quoi vous avez besoin, on vous expliquera comment vous en passer"...
  • # Zut alors!

    Posté par . Évalué à 10.

    Le machin qu'on avait fait pour publier des informations (mais siiii, le Web, vous savez!) est pas franchement conçu pour remplacer toutes les applications imaginables. Quelle découverte :)

    C'est loin d'être terminé, ce genre de mauvaises surprises.

    THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

    • [^] # Re: Zut alors!

      Posté par . Évalué à 10.

      Tu préfèrerai un monde ou chaque banque ferait sa propre appli cliente lourde avec un installeur à télécharger ?

      Tiens, j'ai développé un client alternatif méga super cool, installe le, tu verras !

      Ou encore "téléchargez ici la mise à jour de sécurité super importante de votre client de banque !"
      • [^] # Re: Zut alors!

        Posté par . Évalué à 10.

        Je préfèrerais un monde avec un protocole standardisé de communication avec les banques, utilisé par toutes les banques, et disponible sur de nombreux clients.

        Les avantages?
        - On pourrait troller sur les avantages respectives de GBank, Kbank, Xbank, et NcursesBank.

        - En utilisant des protocoles et des ports très différents pour les activités courantes de madame Michu, on résisterait à la "parefeu-ïsation" des accès Internet (ou présentés comme tel) grand public: hotspot WiFi, accès 3G..

        - l'utilisateur risque moins de se faire piéger: il a déjà son application, qui se met à jour (soit via son gestionnaire de paquets, soit toute seule à la Windows), au lieu de vivre dans un monde où n'importe quel serveur peut présenter une "application" qui ressemble à une autre. Une page dans un onglet qui change de gueule, c'est bien plus discret qu'une application "lourde" (1) qui veut s'incruster sur le poste de travail.

        (1): c'est un contresens de nommer "lourde" une application compilée pour la plateforme sur laquelle elle tourne, surtout si c'est par opposition à du Javascript qui tourne dans une VM qui tourne dans une sandbox qui tourne dans un onglet qui tourne dans un navigateur qui tourne sur ladite plateforme. Le rapport fonctionnalités/consommation de ressources est en défaveur du Web, et c'est pas prêt de changer. Une bouse tout juste capable de faire tourner irssi n'est pas prête de faire tourner un client IRC Web, surtout s'il doit fournir autant de fonctionnalités.

        THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

        • [^] # Re: Zut alors!

          Posté par . Évalué à 1.

          Dans ce cas tu "phishe" en bidonnant les adresses du serveur ou en fournissant des adresses bidon.

          Ou en insérant une copie de l'interface du logiciel le plus utilisé dans un autre programme qui se lance de temps en temps.
          • [^] # Re: Zut alors!

            Posté par . Évalué à 2.

            C'est à dire? Tu veux envoyer ça?

            ----
            Merci d'aller dans les préférences de votre gestionnaire de sous, et de remplacer "votrebanque.tld" par "votrebanque.tld.phising.x3434.ru"
            ----

            Même un troll ivre trouverait ça louche (pour rester dans le roleplay, voir plus haut).

            THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

            • [^] # Re: Zut alors!

              Posté par . Évalué à 3.

              "Suite à un changement de serveur, veuillez cliquer sur le fichier de configuration automatique de votre banque" ... toussa ... mail envoyé par "la banque avec les en tête logos et tout".

              Ou autre situation plus approcimative, interface imitée comme une page web est imitée et tout ... ça change pas grand chose.
              • [^] # Re: Zut alors!

                Posté par . Évalué à 2.

                fichier de configuration automatique

                Nan. Ça t'oublie, c'est caca. Des impératifs suivants:
                - respectueux de la liberté de l'utilisateur,
                - gratuit ou pas cher,
                - totalement automatisé,

                il va falloir en sacrifier un.

                Tu peux pas faire un truc qui ne demande aucune réflexion à l'utilisateur, et qui soit capable de faire le tri entre "le bon fichier de config auto" et "le mauvais fichier de config auto".
                Ah, si, c'est possible, mais ça va coûter très cher. Tu veux un truc gratuit et tout automatique et qui évite à l'utilisateur de réfléchir?
                On voit le résultat: le tabnabbing, conceptuellement très simple, qui peut faire un massacre. Et la riposte devra nécessairement:
                - coûter un peu plus de temps aux développeurs des navigateurs (jusqu'à la prochaine faille),
                - ou rogner un peu plus les libertés de l'utilisateur (Firefox est en train de se transformer en prison dorée, dès que tu sors des clous ça hurle de partout),
                - ou faire réfléchir un peu l'utilisateur, et ça c'est la seule solution viable à long terme.

                Moi aussi j'aimerais bien un système qui, de façon sûre, soit capable de faire la différence entre une bonne décision et une mauvaise, qui respecte ma liberté de faire un choix "hors norme" sans m'avertir méchamment, qui ne coûte rien, et qui m'avertisse méchamment quand je suis en danger. Mais c'est impossible.

                THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

                • [^] # Re: Zut alors!

                  Posté par . Évalué à 4.

                  Je fais juste le pari qu'un truc pareil apparaîtrait, c'est tout.

                  Ce que je dis, c'est que conceptuellement tes solutions ne changent rien du tout, les mêmes failles existent avec des clients lourds. Et quand il s'agit de truander, les truands ont de l'imagination à revendre.

                  Or les systèmes qui authentifient les urls et les protections anti phishing elles existent déja, dans les navigateurs et les anti-virus. Authentification, ssl, bases de données et heuristiques ...
                  • [^] # Re: Zut alors!

                    Posté par . Évalué à 4.

                    Et quand il s'agit de truander, les truands ont de l'imagination à revendre.

                    Exact. Et contre l'intelligence de milliers de truands, je ne vois pas mieux que la perspicacité de millions d'utilisateurs.

                    THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

        • [^] # Re: Zut alors!

          Posté par . Évalué à 2.

          tas oublié qbank et le fabuleux mode banque de emacs bien sur ;)

          ceci dit un tel protocole existe déjà (ofx il me semble), utilisé malheureusement par peu de banque.
      • [^] # Re: Zut alors!

        Posté par (page perso) . Évalué à 1.

        >Tu préfèrerai un monde ou chaque banque ferait sa propre appli cliente lourde avec un installeur à télécharger ?


        Pas besoin, il y deja les backend BnPorc et Cragr pour weboob.
        http://weboob.org/
  • # Et voilà : JavaScript

    Posté par (page perso) . Évalué à -7.

    JavaScript, c'est mal. Beaucoup trop intrusif pour pouvoir être activé de façon sûre.
    • [^] # Re: Et voilà : JavaScript

      Posté par . Évalué à 8.

      Ouais, pour faire des interfaces sexy qui plaisent aux Michu, autant prendre Flash :)
      • [^] # Re: Et voilà : JavaScript

        Posté par . Évalué à 6.

        Non, la seule interface sure, c'est le web statique avec la documentation sur comment écrire ta propre requête web à la main que tu enverras via telnet.

        Il n'y a rien de mieux averti qu'un utilisateur qui a dû lire toute la doc...
  • # bouh

    Posté par (page perso) . Évalué à 2.

    Mais euh

    J'allais faire la démo à un collègue, et paf, le site marche plus (alors qu'il marchait ya 2 minutes)


    Forbidden

    You don't have permission to access /blog/post/a-new-type-of-phishing-attack/ on this server.


    Je pense qu'il y a moyen de choper plein de comptes avec cette technique, faut vraiment que je sensibilise mon entourage :-/
    • [^] # Re: bouh

      Posté par (page perso) . Évalué à 3.

      De toutes façons, l'euro c'est mort, les banques ont toutes fait faillites, et il n'y a plus rien à fisher.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.