KeRanger : ce que l'on sait sur le ransomware de Transmission
Palo Alto Research Center a mis au jour KeRanger (ou Ke.Ranger), un ransomware pour Mac. Sur notre plateforme, c'est le premier du genre même s'il y avait eu FileCoder en 2014, mais ce dernier était incomplet. KeRanger est lui parfaitement fonctionnel, ce qui le rend d'autant plus dangereux. Les chercheurs ont débusqué le malware dès le 4 mars. La version 2.9 de Transmission date du 28 février, après des années sans mise à jour pour ce logiciel BitTorrent.
Quelle est l'origine de cette infection ?
Il est difficile de dire encore comment le projet open-source Transmission a été infecté. Le malware se niche dans deux installeurs de Transmission, dont le certificat délivré par Apple est au nom d’une société turque possédant l’identifiant Z7276PX673). C'est un identifiant différent de celui utilisé pour signer les précédents logiciels d'installation de Transmission. Ces deux installeurs ont été générés et signés le matin du 4 mars.
Le certificat de l'installeur étant valide, il a donc pu passer sans encombres au travers de la protection Gatekeeper d'Apple. Le paquet de l'installeur inclut un fichier General.rtf, qui sous son allure banale, cache un fichier exécutable au format Mach-O.
Le malware s'installe en même temps que Transmission 2.9. Il copie le fichier General.rtf dans /Library/kernel_service, qui lance ensuite le processus kernel_service, le tout avant même qu'une interface utilisateur apparaisse.
KeRanger attend ensuite, tapi dans l'ombre, pendant trois jours. C'est pourquoi les premières victimes devraient être touchées ce lundi 7 mars, le malware étant présent dans le Transmission depuis le 4 mars.
Quel est le danger de KeRanger ?
Une fois ce délai de grâce achevé, KeRanger contacte un serveur via une connexion anonymisée Tor. Il lance la procédure de chiffrement de certains dossiers et documents contenus dans le disque dur. Une fois l'opération terminée, KeRanger réclame un paiement en Bitcoin d'une valeur équivalente à 400 $ pour déverrouiller les fichiers chiffrés.
D'après les chercheurs du centre Palo Alto, KeRanger est toujours en développement ; il semble qu'il tente aussi de chiffrer les fichiers de sauvegarde Time Machine, empêchant les utilisateurs de restaurer leurs Mac avec une ancienne sauvegarde, ce qui est une des solutions envisagées pour ne pas passer à la caisse. À l'heure actuelle, le chiffrement des sauvegardes Time Machine n'est pas fonctionnel.
Les fichiers chiffrés à l'insu de l'utilisateur sont ceux contenus dans le dossiers Utilisateurs. Il chiffre aussi 300 types de documents du dossier Volumes (notamment les fichiers classiques bureautiques en .rtf, .doc, mais aussi les .jpg, .mp3, .mp4, .zip…).
Comment savoir si on est infecté, et comment réagir ?
Les utilisateurs Mac qui ont téléchargé Transmission 2.9 entre le 4 et le 5 mars sont susceptibles d'avoir aussi installé KeRanger. Et même si vous aviez téléchargé le logiciel avant, ou pour en avoir le cœur net, Palo Alto Research propose le mode d'emploi suivant :
- Ouvrez un Terminal ou utilisez le Finder pour rechercher les fichiers
/Applications/Transmission.app/Contents/Resources/General.rtfou/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf. S'ils sont présents, l'application Transmission est infectée et il est chaudement conseillé de la supprimer. - Utilisez l'application Moniteur d'activité d'OS X, et recherchez un processus du nom de
kernel_service. Si vous le trouvez, cliquez deux fois dessus, et sélectionnez l'onglet Fichiers et ports ouverts ; cherchez ensuite un fichier/Users/Library/kernel_service. Cliquez sur Quitter, puis Forcer à quitter. Voir la capture écran ci-dessous. - Dans le dossier
/Bibliothèque, recherchez les fichiers.kernel_pid,.kernel_time,.kernel_completeou.kernel_service. Si vous trouvez un ou plusieurs de ces fichiers, supprimez-les.
Quelles ont été les réactions d'Apple et de Transmission ?
Dès le 4 mars, Apple a été mise au courant de l'existence de KeRanger. Le constructeur a révoqué le certificat du développeur, ce qui signifie que Gatekeeper bloque toute tentative d'installation. Apple a aussi mis à jour la base de données de signatures de virus Xprotect — intégrée à même le système d'exploitation et mise à jour automatiquement.
Si jamais vous tentiez d'installer une version infectée de Transmission, OS X affiche une boîte de dialogue le prévenant de la dangerosité du logiciel. Évidemment, il faudra obéir au système et supprimer l'image disque. Par défaut, Gatekeeper autorise uniquement l'installation d'applications provenant du Mac App Store et des développeurs identifiés (dans les préférences OS X, Sécurité et confidentialité > Général).
De son côté, Transmission a supprimé les installeurs infectés de son site web. L'équipe a mis en ligne en urgence une version 2.91 de son logiciel dimanche 6 mars, puis quelques heures plus tard, une version 2.92. Une mise à jour qui est évidemment à effectuer toutes affaires cessantes.
Peut-on être sûr que KeRanger ne fera aucun mal ?
Malgré les précautions d'Apple et de Transmission, et des conseils de Palo Alto Research Center, on se gardera de crier victoire immédiatement. Dans ce domaine, la prudence est de mise et les prochaines heures devraient nous éclairer davantage sur le sujet.
Illustration du bandeau : Christiaan Colen, CC BY-SA
Le dernier paragraphe est assez flippant...
@nayals :
J'ai préféré jouer la prudence plutôt que de claironner que tout va bien aller...
@nayals
Flippant? non realiste.
Il s'agit d'un logiciel qui doit etre installé avec des droits d'administrateur et qui donc a acces a un haut niveau sur le Mac.
Le malware a passé la vigilance des gestionnaires du projet et d'Apple.
Le malware n'exploite pas une faille de l'OS.
Le malware semble relativement simple et de niveau bas par rapport a ce que l'on trouve sur Windows ou ce genre pullule.
Il pourrait etre l'oeuvre de hacker debutant ou meme pas tres doué, voire de scriptkiddies (vu le cynisme du developper ID (franchement, "ANONIM": mais comment ils ont pu laisser passer ça)...
Et passer par TOR pour se faire payer en bitcoins, c'est ridicule! Les auteurs voudraient se faire prendre qu'ils auraient pas fait pire!
Mais si on regarde bien les cibles et les moyens, il peut y avoir d'autres origines que des scriptkiddies: le malware cible un soft des plus utilisés comme client bittorrent par les particuliers et il utilise TOR et Bitcoin, deux moyens permettant de masquer son IP (bitcoin pour acheter un acces VPN) tres utilisés par les particuliers.
Donc en fait on est sur un malware qui cible principalement des amateurs de téléchargements entre particuliers (sharing).
Y a de quoi penser que la RIAA pourrait etre derriere ce qui ressemble a un coup de com "antipiratage", ils n'en serait pas a leur coup d'essai dans la domaine...
Ce qui laisserait presager que d'autres attaques de ce genre sont en cours: fichiers video et audio infectés, pdf et fichiers MS Office piégés (relativement facile a faire et difficile a eviter), keygen malicieux, ...
Dans tous les cas c'est tres grave, vraiment tres grave.
Ce n'est pas encore un virus, mais c'est une demonstration de failles majeures dans le processus de sécurisation de la distribution de softs sur la plateforme Apple.
Pourquoi les installateurs de ces softs a destination du grand public ne demandent pas d'entrer une signature SHA a recuperer sur le site? C'est efficace!
@ C1rc3@0rc : « Il s'agit d'un logiciel qui doit etre installé avec des droits d’administrateur »
Non.
Un fan de l’usage d’un compte utilisateur non administrateur se fera tout autant avoir par ce logiciel, vu son mode d’action.
« c'est une demonstration de failles majeures dans le processus de sécurisation de la distribution de softs sur la plateforme Apple. »
Non plus, car ça exploite un mode de distribution de logiciels (téléchargement depuis un site web) qui n’a rien de spécifique à la plateforme Apple, et qui n’a pas besoin d’une nouvelle démonstration de sa faiblesse connue depuis toujours.
En revanche, ça a fait la démonstration qu’un système comme GateKeeper peut aider (un peu) à limiter les dégâts.
Et évidemment, ça conforte certains fans du modèle App Store dans l’idée que ce devrait être le seul mode de distribution de logiciels autorisé (alors que rien ne leur interdit, eux, de se limiter à ça sans venir l’imporser aux autres). D’ailleurs, comment se fait-il qu’il n’y ait pas eu de commentaire de foufous pour nous expliquer ça ? L’aurais-je raté ? :-)
"Un fan de l’usage d’un compte utilisateur non administrateur se fera tout autant avoir par ce logiciel, vu son mode d’action."
Ben, si un soft demande a etre installé en mode administrateur, il a un pouvoir de nuisance tres etendu, beaucoup plus qu'un soft qui s'installe sans droits administrateurs...
"Non plus, car ça exploite un mode de distribution de logiciels (téléchargement depuis un site web) qui n’a rien de spécifique à la plateforme Apple"
Ce n'est pas ce que j'ai ecrit.
Il y a deux failles dans la distribution:
-la signature d'Apple ne garantit pas qu'un malware ne puisse s'introduire dans l'installateur
-le distributeur peut etre piraté, comme dans le cas present et rien ne protege l'utilisateur.
On a un exemple moins grave avec Macupdate...
Une piste est la verification de signature SHA. Elle peut se faire par 2 voies:
- au niveau de l'utilisateur: il doit entrer une cle SHA dans l'installateur, clé récupérée sur le site
- au niveau de l'OS: Apple pourrait inclure la signature SHA, fourni par l'éditeur directement, qui valide le soft chargé.
Ca éviterait les MiM, au moins.
Si le site est hacké, la premiere solution est invalide, mais la responsabilité revient a l'editeur de securiser son site.
Il faudrait qu'il y ait aussi une correspondance entre la signature Developer ID de l'editeur et celle du soft. En l'occurence la faille ici c'est que la version vérolée de transmission avait une signature valide, mais pas celle de l'editeur...
Pour le modele App Store, je ne pense pas qu'il soit étanche a ce type de problème non plus. Le processus pernicieux s'est mis en veille pendant 3 jours. Les validateurs pourraient évidemment changer la date, mais d'autres biais sont possibles pour déclencher le processus. Certes la quarantaine est une sécurisation de plus, mais les éditeurs aiment pas...
La seule chose que la certification, comme la signature developer ID, permet c'est d'identifier le dévelopeur et bloquer le soft a posteriori.
@ C1rc3@0rc : « Ben, si un soft demande a etre installé en mode administrateur, il a un pouvoir de nuisance tres etendu, beaucoup plus qu'un soft qui s'installe sans droits administrateurs... »
Pour te paraphraser : ce n’est pas ce que j’ai écrit. ;-)
Tu confonds encore une fois « être installé en mode administrateur » (j’imagine que tu parles là de demander un mot de passe administrateur pour obtenir des droits exceptionnels) et « être installé par un utilisateur administrateur ». Comme je l’ai dit, un usager d’un compte utilisateur non administrateur se fera avoir exactement autant par ce logiciel qu’un usager d’un compte administrateur.
Ce malware va juste s’attaquer à tous les fichiers auxquels l’utilisateur a accès. Ses données, quoi. Tu sais, le truc qui est vraiment important aux yeux d’un utilisateur normal, bien plus que les fichiers du système. :-)
Le truc qu’on peut foutre en l’air sans avoir besoin d’un quelconque mot de passe administrateur.
Mais bon, si tu restes convaincu que ça ferait une différence, installe donc ce truc sur ton compte utilisateur standard. ;-)
« Ce n'est pas ce que j'ai ecrit. »
En effet, puisque c’était ce que j’ai écrit moi. Pour expliquer que ce que tu avais écrit était incorrect. :-)
« Il y a deux failles dans la distribution:
-la signature d'Apple ne garantit pas qu'un malware ne puisse s'introduire dans l’installateur »
Il n’y a pas de signature d’Apple. Juste la signature d’un développeur.
Comme ce que tu proposes de vérifier plus loin, en somme.
« -le distributeur peut etre piraté, comme dans le cas present et rien ne protege l’utilisateur. »
En effet. Mais comme je le soulignais, ce problème a toujours existé et n’a rien de spécifique à la distribution des logiciels sur plateforme Apple (bien qu’il y existe tout autant qu’ailleurs).
@ C1rc3@0rc : « Une piste est la verification de signature SHA. Elle peut se faire par 2 voies:
- au niveau de l'utilisateur: il doit entrer une cle SHA dans l'installateur, clé récupérée sur le site »
Sauf que, comme tu l’as dit, ça ne changerait rien dans ce cas précis, puisqu’un site piraté pour distribuer une version frelatée d’un logiciel fournira aussi, de toute évidence, une signature modifiée.
C’était d’ailleurs le cas : GateKeeper a bien vérifié la signature du logiciel, malheureusement fournie par l’indésirable qui avait modifié ledit logiciel.
« - au niveau de l'OS: Apple pourrait inclure la signature SHA, fourni par l'éditeur directement, qui valide le soft chargé. »
Ce qui ne changerait rien non plus dans le cas présent, le pirate fournissant alors à Apple la signature correspondant à sa version.
« Pour le modele App Store, je ne pense pas qu'il soit étanche a ce type de problème non plus. »
Sans doute pas totalement étanche, mais bien plus protégé.
« Le processus pernicieux s'est mis en veille pendant 3 jours. »
Là, Apple a trouvé la parade : avec des validations qui ne prennent jamais moins d’une semaine, le malware est grillé ! ;-)
« La seule chose que la certification, comme la signature developer ID, permet c'est d'identifier le dévelopeur et bloquer le soft a posteriori. »
La certification (façon App Store, car j’imagine que c’est de ça que tu parles) permet tout de même bien plus que ça. Ce n’est pas magiquement à toute épreuve, mais ça peut filtrer beaucoup de choses.
La simple signature pour GateKeeper, elle, permet le blocage a posteriori, mais permet aussi de détecter une éventuelle altération ultérieure du logiciel, une fois qu’il est installé sur la machine, par un autre malware. Elle n’est évidemment pas là pour permettre de détecter une altération faite avant même la signature, comme dans le cas présent (enfin, passé, maintenant).
J'ai vérifié mes deux Macs, mais du coup j'ai peur pour ceux du boulot... On verra demain si on doit en réinstaller la moitié :/
La 2.92 vient de sortir !
Effectivement. C'est un peu inquiétant de voir arriver une seconde mise à jour aussi rapprochée, ça laisse penser qu'il y a encore un lien avec le malware qui s'active demain.
Ça craint un peu, là :-/
Bien content de pas avoir fait la mise à jour de Transmission, j'en suis toujours à la 2.84. Mais bon, par souci de sécurité, j'ai bien vérifié si ce ransonware n'était pas installé.
Transmission a ete piraté avec ce qui ressemble a du MiM. Ce veut dire que tres probablement le hacker a eu un acces au site du distributeur soit par une faille technique, soit plus probablement par ingénierie sociale.
Ce malware ne va donc pas se retrouver sur ce soft de sitot... enfin des que les auteurs auront trouvé qui et quand a reussi a avoir accés au site!
Les versions precedentes peuvent contenir d'autres malwares (enfin depuis le temps on le saurait)
Donc pour le moment, passer a la 2.92 peut eviter ce malware, mais tant que la faille n'a pas ete trouvé, et si c'est la RIAA ou similaire qui est derriere ça va pas etre simple: le risque que transmission soit verolé persiste.
Pour rappel sur les sites ou l'on telecharge les softs il doit toujours y avoir une signature SHA ou MD5. Elle permet de verifier l'integrité de la copie.
Ça permet d'eviter d'installer un soft qui a ete modifié par une attaque MiM.
Par contre si le site a ete piraté la signature SHA a des probabilités d'etre elle aussi altérée
Dans le cas present, sur la page de telechargement de transmission y a une signature SHA256 pour le Transmission-2.92.dmg (celui qu'on recupere)
Pour verifier, telecharger transmission et laisser le dans le dossier Telechargement
Ensuite copier et coller dans le terminal la ligne suivante:
signature=$(openssl dgst -sha256 "$HOME/Downloads/Transmission-2.92.dmg"); [[ "${signature##*= }" == "926a878cac007e591cfcea987048abc0689d77e7729a28255b9ea7b73f22d693" ]] && echo "valide"
Si ça affiche "valide" c'est que c'est bon
L'alternative c'est Deluge: http://download.deluge-torrent.org/mac_osx/deluge-1.3.12-osx-x64-inst.dmg
signature=$(openssl dgst -sha1 "$HOME/Downloads/deluge-1.3.12-osx-x64-inst.dmg"); [[ "${signature##*= }" == "1a32d14004c1dc7a070e7e83e4ad38aad58867b2" ]] && echo "valide"
@ C1rc3@0rc : « Transmission a ete piraté avec ce qui ressemble a du MiM. »
Pour ma part, je trouve que ça ressemble bien plus à un piratage de site (ce que tu dis d’ailleurs dès ta phrase suivante). Et dans ce cas, comme tu l’as souligné, aucune signature ne permet de se rendre compte du problème.
Je suis en 2.84 et pas de malware installé, je dois quand même passer sous 2.92 ou plus prudent de ne rien mettre à jour pour l'instant ?
A ta place je ne ferais pas la mise à jour tout de suite.
Laisser passer une semaine me semble une bonne idée. De toute façon, cette 2.9x ne change vraiment pas grand chose.
Très rassurant, tout ça ! Bon, un petit Time Machine ce soir !
Quant à mettre à jour l'application par le même moyen, ça ne me rassure pas des masses... Autant supprimer l'appli en attendant des jours meilleurs, non ?
C'est pour ça qu'en plus d'une sauvegarde incrémentale Time Machine il est recommandé de faire un clone hebdomadaire chiffré sur un disque dur à part qui n'est branché que pour cela.
Merci MacG pour l'alerte !
Donc si on ne trouve pas de processus ou fichier nommé kernel, c'est ok, c'est bien ça ? On croise les doigts mais c'est parti pour une sauvegarde Time machine en plus.
À priori rien sur mon Mac. Je vais aussi jouer la prudence, pour le moment c'est poubelle...
Si je comprends bien, l'auto update n'est pas concerné ? seul le téléchargement sur le site de l'éditeur est vérolé ?
@Ragondin :
Je veux pas dire de bêtise mais je crois bien que si car j'ai eut le message de mise à jour y'a quelques jour et j'ai tenté la mise à jour, j'ai eu un message disant que l'application n'était pas signé etc et j'ai arrêté l'installation. Je crois que j'ai été inspiré ^^
Et si on a effectué la mise a jour via l'application y-a-t-il aussi un risque ? Je n'ai pas de trace de ce kernel service mais ça fait flipper...
Encore un coup des russes
@Vaudan :
C'est le FBI ou la NSA
[modéré] FI
L'alerte qui arrive juste avant le jour J. Théorie du complot ?
Vérification faite Maj faite depuis l'App elle même le 28 février et aucune trace de tout ça. Ils ont dû infecter le site après coup.
On est d'accord qu'il vaut mieux supprimer le logiciel de toute façon ?? Perso ça y est, maj 2.92 faite et aucune trace du ransomware ni dans le terminal, ni dans le moniteur d'activité ! Mais je ne suis pas tranquille, d'autant plus que je n'ai aucune sauvegarde de mon mac...
Le cryptage du Mac avec filevault ne protège en rien contre ce malware
@TheRV :
C'est *chiffrement* du Mac avec FileVault. Mais oui, ça ne protège en rien.
Encore un coincé de la langue française ? Cryptage est très utilisé, mais vous avez été formaté à l'utilisation insupportable du français partout sur MacG. « Chiffrement » est un terme correct, mais c'est tellement vague que cela ne veut presique rien dire...
En français on dit chiffrement et déchiffrement, ça c’est quand on a la clé, quand on ne l’a pas on est obligé d’essayer de décrypter. Comme quoi ça veut bien dire quelque chose que les Anglais ne peuvent pas dire (avoir la clé ou pas) puisqu’ils n’ont que deux mots encrypt et decrypt. C’est aussi un peu de respect pour les mathématiciens du chiffre qui, au début de la guerre, ont commencé, avec leurs camarades polonais, le cassage du code d’Enigma, avant de passer le bébé à l’équipe Turing. Un tas de raison de parler de chiffrement.
@Augustin Caron :
Cipher/Decipher... Vous les oubliez ?
@Seccotine :
C'est pas une question d'être coincé de la langue française. Quand tu travaille dans l'informatique y'a des mots à utiliser. En cryptographie, chiffrer et déchiffrer c'est quand t'a les clés de chiffrement à disposition. Décrypter c'est déchiffrer mais sans avoir les clés de chiffrement donc en gros que tu arrives à casser le chiffrement mais crypter n'existe pas ou c'est une mauvaise déformation utilisée par tous les médias mais c'est sur que pour Madame Michu c'est bien trop compliqué à comprendre ;)
Est ce quelqu'un peut me confirmer que si on n'a pas fait la mise à jour du 4 au 5 mars on ne devrait pas être infecté je suis en vacances et je crois que j'ai fait une mise à jour le 01 ou peut être un peu avant ? Merci.
@chrab_s :
Pas de soucis. Si tu as fais la mise a jour le 5, normalement ton mac te l'aurai empêché s'il était infecté. Et si tu as fais la mise a jour le 1, pas de soucis non plus.
Mais apriori, quand on passe par le système de mise à jour interne, on est pas infecté.
Dans le pire des cas, tu démarre ton mac en maintenant la touche alt pour démarrer sur la partition Recovery er ensuite exécuter toutes les commandes. En effet, cette partition ne lance pas le système qui pourrai être infecté mais te laisse un accès complet à celui pour y supprimer l'exécutable.
Enfin, encrypter des éléments prends énormément de temps. Donc dans tous les cas, si tu démarrer par erreur ton système, tu aura le temps de faire une copie de sauvegarde de tout ça (c'est vraiment dans le "peer to peer" ;) ) !
Heu Transmission n'a pas besoin d'un installeur (donc d'un mdp) pour etre installé...du moins la version officielle s'installe par drag&drop.... Ou avez-vous été chercher cette info fausse ?
Le malware est dans le paquet de l'App Transmission.
Tu l'installes en le copiant.
Le malware s'active à l'ouverture de Transmission, je suppose.
@Apollo11 :
Ce n'est pas ce que raconte l'article.
L'article de PaloAltoNetworks dit explicitement que le code de démarrage de Transmission est modifié pour justement copier ce fichier General.rtf en ~/Library/kernel_service et lance l'exécution de ce fichier, qui est un exécutable (compressé par UPX).
Le malware s'active bien en lançant transmission.
Après, le chiffrement de vos données s'active, lui, que 3 jours plus tard (ou quand vous relancerez Transmission si entre temps vous avez arrêter votre Mac) après avoir contacter un site anonymisé via Tor pour obtenir une clé de chiffrement.
J'aurais d'ailleurs tendance à penser que si vous avez un doute (retour de vacances, vous vous souvenez plus si vous avez fait ou pas la maj fatale, etc), démarrez votre mac après avoir déconnecter l'accès à Internet (prise ethernet ou coupure de votre point d'accès Wifi), dans le cas où le ransomware serait présent et en sommeil, cela devrait l'empêcher temporairement d'initier le chiffrement faute d'obtenir la clé publique.
Une autre solution est de bloquer via firewall onion.*
Le temps d'effectuer la détection et nettoyage de cette saloperie.
Au cas où supprimer proprement avec cleanmymac après la dernière Maj. On va attendre que tout ça se calme et du coup peut être changer d'App.
@MacG @lacommunaute vous conseillez quoi comme nouveau logiciel torrent ?
@Alies :
uTorrent avec t411 fonctionne pas mal a priori
le client officiel bitorrent, ou un autre client, utorrent
Au contraire, vaut mieux laisser l'appli installée si on est pas infecté après l'avoir mise à jour, plutôt que devoir la retélécharger plus tard avec le risque qu'ils aient refoutu des installateurs vérolés.
On comprend là les limites de l'open source en tout cas.
Ca pourrait arriver sur LibreOffice et n'importe quel autre soft libre.
@TmrFromNO :
C'est quoi ce vieux raccourci ?
Oui mais quelque part ce sont des softs de torrents. Vu à quoi ils servent (soyez pas faux-derchs) je ne vais pas plaindre les victimes ...
Oui et puis les personnes qui traversent en dehors des clous ne méritent que de se faire écraser...
Qu'est-ce que c'est bête ce que tu racontes.
Le piratage n'a rien à voir avec les piétons. Je n'ai aucune compassion pour les types qui volent à travers le p2p (au moins 95% du traffic p2p) !!!
Plus ces sites et outils seront vérolés, mieux ce sera ! Tant pis si ça touche OS X maintenant ...
@melaure :
dans certains pays , la musique remplace le pain...
besoin d'insister ?
Pages