2020-01-23 09:45:19 +01:00
|
|
|
|
---
|
|
|
|
|
|
draft: false
|
|
|
|
|
|
date: 2020-01-22T07:30:55+01:00
|
|
|
|
|
|
title: "École-Club Migros et mots de passes"
|
|
|
|
|
|
description: "Vous avez un compte sur la plateforme de l'École-Club Migros?
|
|
|
|
|
|
Alors la sécurité de votre mot de passe est compromise."
|
|
|
|
|
|
images: ["images/007-ECM_lock.png"]
|
|
|
|
|
|
tags: ["Informatique", "Sécurité", "Mots de passes"]
|
|
|
|
|
|
categories: ["Informatique"]
|
|
|
|
|
|
externalLink: ""
|
|
|
|
|
|
series: []
|
|
|
|
|
|
---
|
|
|
|
|
|
|
|
|
|
|
|
# Le stockage des mots de passes sur internet
|
|
|
|
|
|
|
|
|
|
|
|
Pour stocker les mots de passes, on utilise en général une
|
|
|
|
|
|
base de données[^bdd],
|
|
|
|
|
|
mais il existe de multitudes de manières de stocker un mot de passe
|
|
|
|
|
|
sur une plateforme web, certaines bonnes, d'autres désastreuses.
|
|
|
|
|
|
|
|
|
|
|
|
## Le stockage en clair
|
|
|
|
|
|
La solution la plus simple est de stocker les mots de passes
|
|
|
|
|
|
comme n'importe quel autre donnée, en général en associant
|
|
|
|
|
|
un mot de passe à un nom d'utilisateur.
|
|
|
|
|
|
|
|
|
|
|
|
| Username | Password |
|
|
|
|
|
|
|---|---|
|
|
|
|
|
|
| Alice | monsuperpassword |
|
|
|
|
|
|
|
|
|
|
|
|
Si un site vous envoie votre mot de passe par e-mail,
|
|
|
|
|
|
il y a de fortes chances qu'il utilise cette méthode de stockage.
|
|
|
|
|
|
|
|
|
|
|
|
Le problème de cette méthode est que n'importe qui ayant accès
|
|
|
|
|
|
à la base de donnée (un technicien, le type qui passait à la cafétéria
|
|
|
|
|
|
pendant que l'ordinateur du technicien était ouvert, ...)
|
|
|
|
|
|
a donc accès à tous les mots de passes des utilisateurs.
|
|
|
|
|
|
|
|
|
|
|
|
## Chiffrer les mots de passes
|
|
|
|
|
|
Une solution pour éviter d'avoir les mots de passes écrits en clair
|
|
|
|
|
|
dans une base de donnée est de les chiffrer.
|
|
|
|
|
|
Pour y parvenir, il faut décider d'un algorithme[^algo] et l'appliquer
|
|
|
|
|
|
à notre mot de passe,
|
|
|
|
|
|
par exemple nous pourrions remplacer chaque lettre par sa position dans
|
|
|
|
|
|
l'alphabet et séparer par un point[^algo1].
|
|
|
|
|
|
|
|
|
|
|
|
| Username | Password |
|
|
|
|
|
|
|---|---|
|
|
|
|
|
|
| Alice | 13.15.14.19.21.16.5.18.16.1.19.19.23.15.18.4 |
|
|
|
|
|
|
|
|
|
|
|
|
Cette solution peut sembler résoudre un problème de sécurité,
|
|
|
|
|
|
mais en fait toutes les personnes ayant connaissance de l'algorithme
|
|
|
|
|
|
ont accès aux mots de passes.
|
|
|
|
|
|
On peut éliminer le type qui passait à la cafétéria,
|
|
|
|
|
|
si l'algorithme choisi n'est pas trop mauvais,
|
|
|
|
|
|
mais tous les techniciens ont toujours les pleins pouvoirs.
|
|
|
|
|
|
|
|
|
|
|
|
## Hacher le mot de passe
|
|
|
|
|
|
Bien évidemment, nous n'utiliserons pas d'outils tranchants ici.
|
|
|
|
|
|
Contrairement au chiffrement, il n'y a ici pas de retour en arrière possible.
|
|
|
|
|
|
Il est impossible de retrouver le mot de passe en connaissant
|
|
|
|
|
|
sa valeur hachée.
|
|
|
|
|
|
Une fonction de hachage simple pourrait être d'additionner la position
|
|
|
|
|
|
de tous les caractères du mot de passe :
|
|
|
|
|
|
13+15+14+19+21+16+5+18+16+1+19+19+23+15+18+4 = 236.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| Username | Password |
|
|
|
|
|
|
|---|---|
|
|
|
|
|
|
| Alice | 236 |
|
|
|
|
|
|
|
|
|
|
|
|
Lorsque l'utilisateur va entrer son mot de passe,
|
|
|
|
|
|
le système va le hacher et le comparer à la valeur enregistrée dans la
|
|
|
|
|
|
base de donnée.
|
|
|
|
|
|
Si les deux valeurs correspondent, alors le système va autoriser l'accès
|
|
|
|
|
|
à l'utilisateur, sinon il rejettera la tentative de connexion.
|
|
|
|
|
|
|
|
|
|
|
|
Cette fonction de hachage est bien évidemment très mauvaise, il y a beaucoup
|
|
|
|
|
|
de mots de passes qui pourraient donner la même valeur,
|
|
|
|
|
|
on parle de collisions.
|
|
|
|
|
|
Nous utilisons donc des meilleures fonctions en réalité,
|
|
|
|
|
|
mais le fonctionnement est identique.
|
|
|
|
|
|
|
|
|
|
|
|
Avec cette solution, le technicien va pouvoir vérifier que le mot de passe
|
|
|
|
|
|
entré correspond bien au mot de passe enregistré en base, mais sans
|
|
|
|
|
|
jamais connaître le mot de passe[^secu].
|
|
|
|
|
|
|
|
|
|
|
|
C'est la bonne manière de faire.
|
|
|
|
|
|
Évidemment c'est un poil plus compliqué en réalité mais le but
|
|
|
|
|
|
de ce petit billet n'est pas d'apprendre à stocker des mots de passes,
|
|
|
|
|
|
pour cela il y a suffisamment de ressources disponibles sur internet.
|
|
|
|
|
|
Je voulais juste faire un petit point sur les bonnes méthodes utilisées
|
|
|
|
|
|
par vos sites préférés.
|
|
|
|
|
|
|
|
|
|
|
|
# Et l'École-Club Migros dans tout ça
|
|
|
|
|
|
Alors, loin de moi l'idée de faire du *public shaming*, mais vu la faible
|
|
|
|
|
|
réponse de la structure je me vois obligé d'en parler quelque part, car
|
|
|
|
|
|
j'estime que c'est très grave et que tous les clients de leur plateforme
|
|
|
|
|
|
sont exposés à une **énorme faille de sécurité**.
|
|
|
|
|
|
|
|
|
|
|
|
## Le contexte
|
|
|
|
|
|
Je suis actuellement une formation de formateur d'adultes à l'École-Club Migros.
|
|
|
|
|
|
Avant le début de la formation, tous les participant·e·s ont reçu un
|
|
|
|
|
|
mail nous confirmant l'accès à la plateforme et en nous rappelant nos
|
|
|
|
|
|
accès, avec mon mot de passe écrit en clair.
|
|
|
|
|
|
|
|
|
|
|
|
Comme vous venez de lire les différentes manières de stocker un mot de passe,
|
|
|
|
|
|
vous savez donc que la plateforme ne stocke pas les mots de passes
|
|
|
|
|
|
hachés, mais soit en clair soit chiffrés, ce qui est problématique dans
|
|
|
|
|
|
les deux cas.
|
|
|
|
|
|
|
|
|
|
|
|
## Le risque
|
|
|
|
|
|
Au-delà du risque d'un accès compromis à la plateforme, ce qui est déjà
|
|
|
|
|
|
suffisamment grave, énormément de personnes utilisent le même
|
|
|
|
|
|
mot de passe sur plusieurs (toutes) autres plateformes.
|
|
|
|
|
|
Si c'est votre cas et que vous avez (ou avez eu) un compte sur la plateforme
|
|
|
|
|
|
de l'École-Club Migros, ce mot de passe est compromis.
|
|
|
|
|
|
|
|
|
|
|
|
Qu'est-ce que cela veut dire?
|
|
|
|
|
|
Premièrement, pour peu que votre nom d'utilisateur soit le même partout
|
|
|
|
|
|
également (ce qui tend à être le cas avec l'utilisation des mails comme
|
|
|
|
|
|
nom d'utilisateur), les techniciens ayant accès à la base de données
|
|
|
|
|
|
ont connaissance de vos logins et peuvent donc se connecter sur toutes
|
|
|
|
|
|
les plateformes que vous utilisez (gmail, facebook,[^off] etc.).
|
|
|
|
|
|
Et dans le cas où votre nom d'utilisateur n'est pas le même, sachez
|
|
|
|
|
|
qu'il est assez aisé de le deviner.
|
|
|
|
|
|
Secondement, s'il y a eu une fuite de données,
|
|
|
|
|
|
alors en plus des techniciens,
|
|
|
|
|
|
il y a potentiellement des centaines (des milliers ?) de personnes
|
|
|
|
|
|
mal intentionnées qui ont accès à ces informations.
|
|
|
|
|
|
|
|
|
|
|
|
## La réponse de l'École-Club
|
|
|
|
|
|
Sachant que j'ai averti l'École-Club Migros de ce soucis le lundi 13 janvier,
|
|
|
|
|
|
le jour de réception du mail,
|
|
|
|
|
|
il y a dix jours maintenant, j'attendais de leur part un mail à **toutes**
|
|
|
|
|
|
les personnes ayant un compte sur leur plateforme,
|
|
|
|
|
|
expliquant le problème et les encourageant à changer leurs mots de passes
|
|
|
|
|
|
partout ou il serait utilisé[^prob].
|
|
|
|
|
|
Plus d'une semaine est passée et j'ai uniquement reçu un accusé de réception
|
|
|
|
|
|
de la part de la responsable de la formation, très certainement motivé
|
|
|
|
|
|
par mon mécontentement exprimé en personne le vendredi 18 janvier.
|
|
|
|
|
|
|
2020-01-28 14:08:59 +01:00
|
|
|
|
## La réponse v2
|
|
|
|
|
|
Hier, lundi 27 janvier 2020, j'ai reçu la réponse suivante de la part du
|
|
|
|
|
|
service technique :
|
|
|
|
|
|
|
|
|
|
|
|
> Nous vous remercions pour votre message et des précieuses informations
|
|
|
|
|
|
> sur la sécurité des mots de passe. Nous prenons ces données très au sérieux,
|
|
|
|
|
|
> mais pour des raisons de sécurité,
|
|
|
|
|
|
> nous ne fournissons aucune information sur la façon
|
|
|
|
|
|
> dont nous conservons les mots de passe de nos clients sur notre site.
|
|
|
|
|
|
> Toutefois, nous pouvons vous assurer que nous révisons régulièrement
|
|
|
|
|
|
> les normes de sécurité et que nous tiendrons
|
|
|
|
|
|
> bien entendu compte des aspects que vous avez mentionnés.
|
|
|
|
|
|
> Nous avons maintenant inclus des recommandations concrètes
|
|
|
|
|
|
> pour la modification des mots de passe dans la correspondance électronique.
|
|
|
|
|
|
|
|
|
|
|
|
Essayons ensemble de décrypter ce message.
|
|
|
|
|
|
|
|
|
|
|
|
### La question de sécurité
|
|
|
|
|
|
> Nous prenons ces données très au sérieux,
|
|
|
|
|
|
> mais pour des raisons de sécurité,
|
|
|
|
|
|
> nous ne fournissons aucune information sur la façon
|
|
|
|
|
|
> dont nous conservons les mots de passe de nos clients sur notre site.
|
|
|
|
|
|
|
|
|
|
|
|
Personne ne demande d'expliquer comment sont stockées les données
|
|
|
|
|
|
en interne.
|
|
|
|
|
|
Ce que je demande c'est qu'une méthode garantissant la confidentialité
|
|
|
|
|
|
soit mise en place, vu qu'apparemment ce n'est actuellement pas le cas.
|
|
|
|
|
|
L'École-Club me donne l'impression que cette problématique n'en est pas
|
|
|
|
|
|
une, je ne vais pas rappeler tout ce que j'ai déjà expliqué ici.
|
|
|
|
|
|
|
|
|
|
|
|
### Les normes de sécurités
|
|
|
|
|
|
> Toutefois, nous pouvons vous assurer que nous révisons régulièrement
|
|
|
|
|
|
> les normes de sécurité et que nous tiendrons
|
|
|
|
|
|
> bien entendu compte des aspects que vous avez mentionnés.
|
|
|
|
|
|
|
|
|
|
|
|
Alors je pense qu'il faut clairement remettre en doute la qualification
|
|
|
|
|
|
des personnes qui s'occupent de cette révision.
|
|
|
|
|
|
|
|
|
|
|
|
### Les recommandations aux utilisatrices et utilisateurs
|
|
|
|
|
|
> Nous avons maintenant inclus des recommandations concrètes
|
|
|
|
|
|
> pour la modification des mots de passe dans la correspondance électronique.
|
|
|
|
|
|
|
|
|
|
|
|
Je répète ce que j'ai déjà dit,
|
|
|
|
|
|
je demande à l'École-Club d'avertir la totalité de ses inscrits de cette
|
|
|
|
|
|
problématique et encourage **tout le monde** à changer de mot de passe,
|
|
|
|
|
|
si ce dernier a été utilisé ailleurs.
|
|
|
|
|
|
|
|
|
|
|
|
La suite au prochain épisode.
|
|
|
|
|
|
|
2020-02-17 21:13:48 +01:00
|
|
|
|
## Situation au 17 février 2020
|
|
|
|
|
|
Nous en sommes à cinq semaines après que je leur ai soulevé le problème
|
|
|
|
|
|
et bientôt trois semaines après une discussion téléphonique avec,
|
|
|
|
|
|
entre autres, Monsieur T. Delachaux, directeur de l'École-Club Migros.
|
|
|
|
|
|
Je n'ai toujours rien reçu de leur part donc j'imagine que personne
|
|
|
|
|
|
n'est au courant de la problématique.
|
|
|
|
|
|
|
|
|
|
|
|
J'avoue que je commence à en avoir un peu raz-le-bol de devoir suivre
|
|
|
|
|
|
cette affaire qui aurait dû être réglée, je le rappelle, comme suit :
|
|
|
|
|
|
|
|
|
|
|
|
* 13 janvier 2020, ~ 9h :
|
|
|
|
|
|
l'École-Club est informée de ma part de la problématique ;
|
|
|
|
|
|
* 14 janvier 2020, l'École-Club informe tous ses client·e·s du problème,
|
|
|
|
|
|
explique qu'il faut modifier les mots de passes sur toutes les
|
|
|
|
|
|
autres plateformes de manière préventive et qu'iels recherchent
|
|
|
|
|
|
activement une solution au problème interne ;
|
|
|
|
|
|
* plus tard, une fois le problème interne résolu, l'École-Club nous
|
|
|
|
|
|
informe toutes et tous de la situation finale.
|
|
|
|
|
|
|
|
|
|
|
|
C'est incroyable de penser que cette procédure,
|
|
|
|
|
|
très simple et que j'ai clairement expliqué le 13 janvier,
|
|
|
|
|
|
se fait autant attendre et qu'nous sommes toujours sans nouvelles.
|
|
|
|
|
|
|
|
|
|
|
|
De mon côté, lors de notre échange téléphonique j'ai proposé de venir
|
|
|
|
|
|
discuter et expliquer le problème.
|
|
|
|
|
|
J'estime avoir mis en place tout ce qui était possible pour que la
|
|
|
|
|
|
situation puisse se régler sans faire de vagues.
|
|
|
|
|
|
Ce que je remarque c'est que faire du bruit sur les réseaux sociaux,
|
|
|
|
|
|
sans avoir apporté de solution, a peut-être permis à certain·e·s de
|
|
|
|
|
|
découvrir le problème et le régler, et m'a permis d'avoir une discussion
|
|
|
|
|
|
téléphonique.
|
|
|
|
|
|
C'est pourquoi je continue dans le but de régler ce souci qui me prends
|
|
|
|
|
|
beaucoup trop de temps par rapport au temps que j'ai à disposition en ce
|
|
|
|
|
|
moment.
|
|
|
|
|
|
|
|
|
|
|
|
En revanche, l'École-Club nous laisse toutes et tous dans le flou
|
|
|
|
|
|
en refusant de s'exprimer sur le sujet et me demande simplement d'attendre
|
|
|
|
|
|
encore un peu et d'arrêter de faire du bruit.
|
|
|
|
|
|
|
|
|
|
|
|
Donc, si par hasard Monsieur T. Delachaux tombe encore une fois
|
|
|
|
|
|
sur cet article, je suis ouvert à avoir une discussion cordiale qui aurait
|
|
|
|
|
|
pour but de résoudre le problème une bonne fois pour toutes.
|
|
|
|
|
|
En attendant, je laisse chacun en parler à son entourage et à mettre
|
|
|
|
|
|
en place tout ce que j'ai déjà suffisamment expliqué dans ce billet.
|
|
|
|
|
|
|
2020-02-27 10:16:58 +01:00
|
|
|
|
## Situation au 26 février
|
|
|
|
|
|
On avance, pas vite mais on avance.
|
|
|
|
|
|
Voici la réponse du jour.
|
|
|
|
|
|
|
|
|
|
|
|
> Cher Monsieur Trolliet,
|
|
|
|
|
|
>
|
|
|
|
|
|
> Suite à nos différents échanges de mail,
|
|
|
|
|
|
> nous souhaitons vous remercier pour votre remarque concernant
|
|
|
|
|
|
> l’attribution des mots de passe.
|
|
|
|
|
|
> Nous ne vous envoyons notre réponse qu’aujourd’hui car
|
|
|
|
|
|
> nous tenions à examiner votre demande en détail et de manière approfondie.
|
|
|
|
|
|
>
|
|
|
|
|
|
> En collaboration avec notre service de sécurité informatique,
|
|
|
|
|
|
> nos experts informatiques ont analysé en détail nos processus
|
|
|
|
|
|
> en s’intéressant plus particulièrement à
|
|
|
|
|
|
> la question de la sécurité des mots de passe.
|
|
|
|
|
|
> Nous procédons actuellement à la mise à jour des
|
|
|
|
|
|
> processus d’attribution des mots de passe.
|
|
|
|
|
|
> Cela signifie que nous n’enverrons plus de mots de passe par e-mail.
|
|
|
|
|
|
> Par la suite, nos experts informatiques définiront de nouvelles mesures
|
|
|
|
|
|
> qui contribueront à renforcer la sécurité des mots de passe de nos clients.
|
|
|
|
|
|
>
|
|
|
|
|
|
> Nous sommes convaincus que les mesures prévues permettront
|
|
|
|
|
|
> d’améliorer considérablement la protection par mot de passe.
|
|
|
|
|
|
|
|
|
|
|
|
Cette nouvelle semble bonne au premier abord,
|
|
|
|
|
|
mais il y a des problèmes évidents.
|
|
|
|
|
|
|
|
|
|
|
|
### L'envoi par mail
|
|
|
|
|
|
Ne pas envoyer de mot de passe par e-mail est une bonne chose,
|
|
|
|
|
|
mais si l'École-Club enregistre toujours les mots de passes en clair
|
|
|
|
|
|
alors la sécurité n'est pas du tout garantie.
|
|
|
|
|
|
|
|
|
|
|
|
### Renforcer la sécurité
|
|
|
|
|
|
Je me répète encore, l'enregistrement des mots de passes est une
|
|
|
|
|
|
discussion résolue depuis des décennies.
|
|
|
|
|
|
Je n'arrive même pas à comprendre comment une plateforme aussi imposante
|
|
|
|
|
|
que celle de l'École-Club a pu envisager d'enregistrer des mots de passes
|
|
|
|
|
|
en clair.
|
|
|
|
|
|
|
|
|
|
|
|
### Avertir les clients
|
|
|
|
|
|
Comme expliqué trop de fois dans ce billet, il faut que l'École-Club
|
|
|
|
|
|
avertisse ses clients et qu'elle recommande un changement de mot de passe
|
|
|
|
|
|
sur toutes les autres plateformes pour lesquelles le mot
|
|
|
|
|
|
de passe a été utilisé.
|
|
|
|
|
|
|
2020-01-23 09:45:19 +01:00
|
|
|
|
# Conclusion
|
|
|
|
|
|
Je le répète, le but ici n'est pas de faire du *public shaming* envers
|
|
|
|
|
|
l'École-Club Migros (ou de la plateforme MOODLE).
|
|
|
|
|
|
Je suis en revanche très surpris du manque de réaction de la part d'une
|
|
|
|
|
|
aussi grosse structure.
|
|
|
|
|
|
Vu qu'ils n'ont pas l'air décidé à communiquer sur le sujet,
|
|
|
|
|
|
je me permets donc de prendre la parole.
|
|
|
|
|
|
Je répète ce que vous avez à faire.
|
|
|
|
|
|
|
|
|
|
|
|
* Si vous avez un compte sur la plateforme de l'École-Club Migros
|
|
|
|
|
|
* Si vous utilisez ce mot de passe ailleurs
|
|
|
|
|
|
|
|
|
|
|
|
Alors, vous devez **absolument** modifier le mot de passe sur **toutes
|
|
|
|
|
|
les autres plateformes concernées**.
|
|
|
|
|
|
|
|
|
|
|
|
* Si vous connaissez des personnes qui ont un compte sur la plateforme de l'École-Club Migros
|
|
|
|
|
|
|
|
|
|
|
|
Il faut **absolument** les avertir, ils sont potentiellement concernés par
|
|
|
|
|
|
ce problème.
|
|
|
|
|
|
|
|
|
|
|
|
Je ne veux pas être alarmiste, mais ce genre de problèmes de sécurité est
|
|
|
|
|
|
très grave, il est important d'y répondre le plus rapidement possible.
|
|
|
|
|
|
|
|
|
|
|
|
Dans tous les cas, j'espère que tous les inscrits sur la plateforme
|
|
|
|
|
|
recevront rapidement (peut-être que ce billet accélérera les choses...)
|
|
|
|
|
|
des informations à ce sujet et seront encouragés à changer le mot
|
|
|
|
|
|
de passe utilisé.
|
|
|
|
|
|
Tant qu'il n'y a aucun retour de la part des techniciens, il est
|
|
|
|
|
|
très peu utile de modifier le mot de passe d'accès à la plateforme,
|
|
|
|
|
|
ce nouveau serait immédiatement compromis.
|
|
|
|
|
|
Prenez soin de vous et utilisez un gestionnaire de mots de passes.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[^bdd]: À l'exception des sites statiques, tous les sites internet utilisent
|
|
|
|
|
|
des bases de données pour stocker des informations
|
|
|
|
|
|
(les données des utilisateurs, les articles écrits,
|
|
|
|
|
|
les statistiques de visite...).
|
|
|
|
|
|
|
|
|
|
|
|
[^algo]: Un algorithme est une méthode générale pour résoudre un
|
|
|
|
|
|
type de problèmes. (Wikipedia)
|
|
|
|
|
|
|
|
|
|
|
|
[^algo1]: Cet exemple d'algorithme est volontairement simpliste.
|
|
|
|
|
|
Le but ici est de comprendre le fonctionnement, évidemment nous
|
|
|
|
|
|
pouvons utiliser un meilleur algorithme.
|
|
|
|
|
|
|
|
|
|
|
|
[^secu]: Bien évidemment, cela sous-entend que le technicien n'a pas de
|
|
|
|
|
|
mauvaises intentions. Étant maître du système, il peut enregistrer le
|
|
|
|
|
|
mot de passe ailleurs, mais n'envisageons pas le pire.
|
|
|
|
|
|
|
|
|
|
|
|
[^prob]: Et j'ai bien conscience de ce que cela implique, mais malheureusement
|
|
|
|
|
|
si le même mot de passe est utilisé à plusieurs endroits, s'il est compromis
|
|
|
|
|
|
alors il faudra le changer partout.
|
|
|
|
|
|
|
|
|
|
|
|
[^off]: J'avais indiqué le site des impôts.
|
|
|
|
|
|
Après vérification, le portail e-démarches (du canton de Genève en tout
|
|
|
|
|
|
cas) force l'authentification deux facteurs, par sms ou autre.
|
|
|
|
|
|
Cet accès est donc protégé, mais avec la fuite dont je parle dans
|
|
|
|
|
|
l'article la première sécurité est quand même compromise et je
|
|
|
|
|
|
recommande donc à tous les inscrits sur la plateforme de l'école-club
|
|
|
|
|
|
de modifier leurs mot de passe.
|
