`Black Box` Attack. 06/01

Transcription

Brèves 2015 S02 – La mare du Gof
Actus Sécurité Grand public
=> Thieves Jackpot ATMs With ‘Black Box’ Attack. 06/01/2015. «At issue is a form of ATM fraud known as a “black box” attack.
In a black box assault, the crooks gain physical access to the top of the cash machine (...).»
Source : krebsonsecurity.com/2015/01/thieves-jackpot-atms-with-black-box-attack/
Billets en relation :
09/01/2015. ATM hijacked via smartphone and USB port : www.welivesecurity.com/2015/01/09/atm-hijacked-via-smartphoneusb-port/
=> Vulnérabilités UEFI et BIOS. 06/01/2015. «L'US-CERT publie trois notes de sécurité concernant des vulnérabilités dans des
systèmes UEFI ainsi que pour le BIOS de certains chipsets Intel. (...).»
Source : www.generation-nt.com/uefi-bios-vulnerabilite-securite-actualite-1910517.html
05/01/2015. Intel BIOS locking mechanism contains race condition that enables write protection bypass :
www.kb.cert.org/vuls/id/766164
05/01/2015. UEFI EDK1 vulnerable to buffer overflow : www.kb.cert.org/vuls/id/533140
07/01/2015. Some UEFI systems do not properly secure the EFI S3 Resume Boot Path boot script :
www.kb.cert.org/vuls/id/976132
=> Website Backdoors Leverage the Pastebin Service. 06/01/2015. «We continue our series of posts about hacker attacks that
exploit a vulnerability in older versions of the popular RevSlider plugin. In this post we’ll show you a different backdoor variant
that abuses the legitimate Pastebin.com service for hosting malicious files (...).»
Source : blog.sucuri.net/2015/01/website-backdoors-leverage-the-pastebin-service.html
07/01/2015. Backdoors Found Leveraging Pastebin : threatpost.com/backdoors-found-leveraging-pastebin/110254
08/01/2015. Une backdoor WordPress utilise les codes sources Pastebin : www.it-connect.fr/une-backdoor-wordpress-utiliseles-codes-sources-pastebin/
=> Le vol de certificats. 07/01/2015. «Les certificats ont une place très importante dans les échanges dématérialisés, car ils
permettent d’offrir des services de sécurité nécessaires pour établir la confiance entre les parties prenantes. Mais cette
confiance, générée par des mécanismes cryptographiques, peut être compromise en cas de vols des certificats (...).»
Source : www.lexsi-leblog.fr/conseil/vol-certificats.html
=> Cybersécurité : 2015, année fruitière. 07/01/2015. «Le marketing de la Sécurité informatique s’est (trop) longtemps reposé
sur le FUD (Fear/ Uncertainty / Doubt) qui consistait à crier au loup puis vendre Bibles et Fusils pour s’en débarrasser (...).»
Source : www.orange-business.com/fr/blogs/securite/securite-du-poste-de-travail/cybersecurite-2015-annee-fruitiere
=> NetShell - InitHelperDll callback function. 07/01/2015. «Je vais vous relater une anecdote d'un cas de compromission observé
l'année dernière. Les comportements anormaux de la machine avaient attirés l'attention. Les premiers éléments de
l'investigation montraient (...).» Reprise des publications pédagogiques par l'exemple de ?OOT sur les forums de Malekal Morte.
Toujours intéressant :) Je vous invite à parcourir les anciennes publications également, quelques unes ci-dessous.
Source : forum.malekal.com/netshell-inithelperdll-callback-function-t50358.html
14/09/2014. Divertissement - L'énigme du service : forum.malekal.com/divertissement-enigme-service-t49126.html
03/10/2014. Que peut révéler un simple raccourci windows ? : forum.malekal.com/investigation-numerique-affaire-signeehelene-t49307.html
03/11/2014. Focus sur code JS/HTML utilisé par Angler Exploit Kit : forum.malekal.com/code-malveillant-html-qui-changeordinaire-t49640.html
09/11/2014. Interpréteur de commandes - la ruse à deux sioux ^:^ : forum.malekal.com/interpreteur-commandes-ruse-deuxsioux-t49378.html
09/11/2014. Faux emails Amazon avec documents Word piégés au Royaume-Uni : forum.malekal.com/faux-emails-amazonavec-documents-word-pieges-royaume-uni-t49720.html
09/12/2014. Point de jonction NTFS sur répertoire avec ACL : forum.malekal.com/point-jonction-ntfs-sur-repertoire-avec-aclt50081.html
=> VIDÉO - Pharos, la plateforme qui lutte contre la cybercriminalité. 07/01/2015. «Face à l'exhibitionnisme des voyous sur les
réseaux sociaux, les forces de l'ordre musclent leurs cyberpatrouilles, qui leur permettent de collecter des informations
pénalement exploitables (...).»
Source : www.lefigaro.fr/actualite-france/2015/01/06/01016-20150106ARTFIG00358-comment-la-police-surveille-lesdelinquants-sur-internet.php
=> Digging deeper into JAR packages and Java bytecode. 08/01/2015. «Before the Christmas break we announced the inclusion
of a tool to further characterize Mac OS X executables and iPhone apps, at the same time we also silently deployed one to dig
deeper into JAR packages and Java .class files (...).»
Source : blog.virustotal.com/2015/01/digging-deeper-into-jar-packages-and.html
=> Wawa Security Links 56. 08/01/2015. «La veille sécu de Wawaseb. (...).» Ci-dessous, d'autres veilles et newletters sécu.
Source : www.wawaseb.com/lutile/wsl56.php
06/01/2015. Security News #0x7D : cyberoperations.wordpress.com/2015/01/06/security-news-0x7d/
06/01/2015. Veille - La biométrie, c'est bien à condition de savoir où vous laissez vos empreintes....et ça c'est pas gagné :
pseudonyme.over-blog.net/2015/01/veille-la-biometrie-c-est-bien-a-condition-de-savoir-ou-vous-laissez-vos-empreintes-et-cac-est-pas-gagne.html
09/01/2015. Newsletter BSSI N°105 du 09 janvier 2015 : us5.campaignarchive1.com/?u=7984711c6610214deca369bee&id=ef07924632
=> Cher Anonymous, tu es Charlie, alors réfléchis. 09/01/2015. «Depuis quelques heures, des vidéos diffusées par des
internautes se regroupant sous le nom du collectif d’Anonymous, annoncent se lancer en guerre contre les sites Internet
djihadistes. Voilà pourquoi l’#OPCharliehebdo n’est pas une bonne idée (...).»
Source : www.zataz.com/cher-anonymous-tu-es-charlie-alors-reflechis/
=> Patch Tuesday : Microsoft ne prévient plus à l'avance. 09/01/2015. «À l'exception des clients du programme Support
Premier, il n'y aura plus de préavis public en amont de la publication des mises à jour mensuelles de sécurité de Microsoft (...).»
Source : www.generation-nt.com/microsoft-patch-tuesday-securite-preavis-actualite-1910684.html
08/01/2015. Microsoft Limits Advanced Patch Notifications to Premier Customers : threatpost.com/microsoft-limits-advancedpatch-notifications-to-premier-customers/110294
09/01/2015. Microsoft discontinues Advance Notification Service, but why? : nakedsecurity.sophos.com/2015/01/09/microsoftdiscontinues-advance-notification-service-but-why/
=> Lizard Stresser Runs on Hacked Home Routers. 09/01/2015. «The online attack service launched late last year by the same
criminals who knocked Sony and Microsoft’s gaming networks offline over the holidays is powered mostly by thousands of
hacked home Internet routers, KrebsOnSecurity.com has discovered (...).»
Source : krebsonsecurity.com/2015/01/lizard-stresser-runs-on-hacked-home-routers/
09/01/2015. DDoS service targeting PSN and Xbox powered by home Internet routers : arstechnica.com/security/2015/01/ddosservice-targeting-psn-and-xbox-powered-by-home-internet-routers/
10/01/2015. Ce sont des routeurs infectés qui ont permis l'attaque de Sony et Microsoft :
www.macbidouille.com/news/2015/01/10/ce-sont-des-routeurs-infectes-qui-ont-permis-l-attaque-de-sony-et-microsoft
=> December 2014 Cyber Attacks Statistics. 10/01/2015. «The new year has just begun, and here we are with the last blog post
for the 2014 just gone related to the Cyber Attacks statistics derived from the timelines of December (...).»
Source : hackmageddon.com/2015/01/09/december-2014-cyber-attacks-statistics/
05/01/2015. 16-31 December Cyber Attacks Timeline : hackmageddon.com/2015/01/05/16-31-december-cyber-attackstimeline/
Rapports, études, slides et publications
=> L’enquete PELLEAS sur l’addiction aux jeux vidéo pose 11 problemes de trop. 04/01/2015. «L’enquête PELLEAS a bénéficié
d’une large couverture médiatique. Les résultats ont été cités par de nombreux médias, jusqu’à l’AFP qui annonçait “Jeux vidéos :
un ado sur dix a un usage problématique, les garçons plus touchés”. Pourtant, cette enquête pose un certain nombre de
problèmes qui entachent largement les résultats qu’elle annonce (...).»
Source : www.psyetgeek.com/lenquete-pelleas-sur-laddiction-aux-jeux-video-pose-11-problemes-de-trop
=> To freeze or not to freeze. 04/01/2015. «We think we may have discovered a better polygraph. Telling truth from lies is an
ancient problem; some psychologists believe that it helped drive the evolution of intelligence, as hominids who were better at
cheating, or detecting cheating by others, left more offspring. Yet despite thousands of years of practice, most people are pretty
bad at lie detection, and can tell lies from truth only about 55% of the time – not much better than random (...).»
Source : www.lightbluetouchpaper.org/2015/01/04/to-freeze-or-not-to-freeze/
=> Impression 3D : Etat des lieux et perspectives (étude). 05/01/2015. «La Direccte du Centre (Direction Régionale des
Entreprises, de la Concurrence, de la Consommation, du Travail et de l’Emploi) a réalisé et financé l’étude L’impression 3D, état
des lieux et perspectives en partenariat avec CCI Centre et l’appui du FabLab d’Orléans, afin de mettre à disposition des acteurs
économiques et des industriels un dossier complet sur cette technologie, ses applications potentielles et mettant en exergue les
forces et faiblesses régionales (...).»
Source : www.netpublic.fr/2015/01/impression-3d-etat-des-lieux-et-perspectives-etude/
10/12/2014. L’impression 3D, état des lieux et perspectives : www.centre.direccte.gouv.fr/L-impression-3D-etat-des-lieux-et
=> University researchers concerned with wearable privacy. 06/01/2015. «A paper from researchers at various universities
suggests that privacy is an area that needs work for wearables, according to a report in The Register (...).»
Source : www.welivesecurity.com/2015/01/06/university-researchers-concerned-wearable-privacy/
29/12/2014. Privacy of Big Data in the Internet of Things Era : arxiv.org/abs/1412.8339
05/01/2015. Even China's Academy of Science thinks wearables are privacy problem :
www.theregister.co.uk/2015/01/05/privacy_not_enough_of_a_thing_say_boffins/
=> Hacking the Tor Network: Follow Up. 06/01/2015. «In a previous post, I presented the main techniques used to hack Tor
networks and de-anonymize Tor users. Law enforcement and intelligence agencies consider “de-anonymization” of Tor users a
primary goal (...).»
Source : resources.infosecinstitute.com/hacking-tor-network-follow/
06/08/2014. Hacking Tor and Online Anonymity : resources.infosecinstitute.com/hacking-tor-online-anonymity/
=> VB2014 paper: Unveiling the kernel: rootkit discovery using selective automated kernel memory differencing. 06/01/2015.
«Ahmed Zaki and Benjamin Humphrey describe a system they built for the automated detection of rootkit behaviour. Since the
close of the VB2014 conference in Seattle in October, we have been sharing VB2014 conference papers as well as video
recordings of the presentations. Today, we have added ' Unveiling the kernel: rootkit discovery using selective automated kernel
memory differencing', by Sophos researchers Ahmed Zaki and Benjamin Humphrey (...).»
Source : www.virusbtn.com/blog/2015/01_06a.xml?rss
=> Conférence Botconf 2014 – Jour 1. 06/01/2015. «Ntrinsec était présent lors de la seconde édition de la Botconf qui s’est
déroulée du 3 au 5 décembre à Nancy. Les vidéos et les slides sont disponibles. Ce compte-rendu concerne la première journée du
3 décembre 2014 (...).»
Source : securite.intrinsec.com/2015/01/06/conference-botconf-2014-jour-1/
06/01/2015. Conférence Botconf 2014 – Jour 3 : securite.intrinsec.com/2015/01/06/conference-botconf-2014-jour-3/
06/01/2015. Conférence Botconf 2014 – Jour 2 : securite.intrinsec.com/2015/01/06/conference-botconf-2014-jour-2/
=> Mesurer la confidentialité avec des métriques de discernabilité. 06/01/2015. «Mesurer la confidentialité avec des métriques
de discernabilité: définitions, mécanismes et confidentialité des informations liées à la localisation. La disponibilite´ croissante de
smartphones et tablettes a donne´ lieu a` l’e´laboration d’une vaste classe de nouvelles applications, qui recueillent et analysent
de grandes quantite´s d’informations sur leurs utilisateurs pour des raisons diffe´rentes: offrir un service personnalise´, offrir de la
publicite´ cibleé, etc. Toutefois, le type et la quantite´ de donneés collecteés ont engendres des graves preóccupations
concernant la vie privée (...).»
Source : pastel.archives-ouvertes.fr/tel-01098088v1
=> Windows exploitation in 2014. 08/01/2015. «Today, we published our research about Windows exploitation in 2014. This
report contains interesting information about vulnerabilities in Microsoft Windows and Office patched over the course of the
year, drive-by download attacks and mitigation techniques (...).»
Source : www.welivesecurity.com/2015/01/08/windows-exploitation-2014/
08/01/2015. Windows exploitation in 2014 : www.welivesecurity.com/wp-content/uploads/2015/01/Windows-Exploitation-in2014.pdf
10/01/2015. Windows exploitation in 2014 : artemonsecurity.blogspot.fr/2015/01/windows-exploitation-in-2014.html
=> VB2014 Paper: Attack surface analysis of Tizen devices. 08/01/2015. «Since the close of the VB2014 conference in Seattle in
October, we have been sharing VB2014 conference papers as well as video recordings of the presentations. Today, we have
added 'Attack surface analysis of Tizen devices' by Irfan Asrar, a researcher from Intel Security Group (...).»
Source : www.virusbtn.com/blog/2015/01_08.xml
=> A Cyberattack Has Caused Confirmed Physical Damage for the Second Time Ever. 08/01/2015. «I’m referring to the
revelation, in a German report released just before Christmas (.pdf), that hackers had struck an unnamed steel mill in Germany.
They did so by manipulating and disrupting control systems to such a degree that a blast furnace could not be properly shut
down, resulting in “massive”—though unspecified—damage (...).»
Source : www.wired.com/2015/01/german-steel-mill-hack-destruction/
23/12/2014. Die Lage der IT-Sicherheit : www.wired.com/wp-content/uploads/2015/01/Lagebericht2014.pdf
=> Introduction to Python for Security Professionals. 10/01/2015. «This webcast introduces Python for security professionals.
The goal is to inspire others to push past the initial learning curve to harness the power of Python (...).»
Source : www.primalsecurity.net/introduction-to-python-for-security-professionals/
Actus Sécurité Confirmé(s)
=> Linux DDoS Trojan hiding itself with an embedded rootkit. 06/01/2015. «In this blog post, we will describe the installation
steps, the rootkit itself, and the communication protocol for getting attack commands (...).»
Source : blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/
29/09/2014. MMD-0028-2014 - Fuzzy reversing a new China ELF "Linux/XOR.DDoS" : blog.malwaremustdie.org/2014/09/mmd0028-2014-fuzzy-reversing-new-china.html
=> Ransomware on Steroids: Cryptowall 2.0 . 06/01/2015. «Ransomware holds a user’s data hostage. The latest ransomware
variants encrypt the user’s data, thus making it unusable until a ransom is paid to retrieve the decryption key (...).»
Source : blogs.cisco.com/security/talos/cryptowall-2
06/01/2015. Inside Cryptowall 2.0 Ransomware : threatpost.com/inside-cryptowall-2-0-ransomware/110228
=> Old, but New – An Analysis of Recent VBA Macros. 06/01/2015. «In early November, we experienced an influx of Microsoft
Word documents that contained malicious macros. Just when the computer security industry was on the verge of forgetting
these oldies, they rose to life once again, proving that they’re not allowing themselves to be eliminated that easily (...).»
Source : blog.fortinet.com/post/old-but-new-an-analysis-of-recent-vba-macros
08/01/2015. Searching for Microsoft Office Files Containing Macro : blog.rootshell.be/2015/01/08/searching-for-microsoftoffice-files-containing-macro/
08/01/2015. Deobfuscating Malicious Macros Using Python : blog.spiderlabs.com/2015/01/tips-for-deobfuscating-themalicious-macros-using-python.html
11/01/2015. Protecting yourself from Powershell based VBA Macro Attacks : enigma0x3.wordpress.com/2015/01/11/protectingyourself-from-powershell-based-vba-macro-attacks/
=> The Connections Between MiniDuke, CosmicDuke and OnionDuke. 07/01/2015. «In September, we blogged about
CosmicDuke leveraging timely, political topics to deceive the recipient into opening the malicious document. After a more
detailed analysis of the files we made two major discoveries. Based on emails that we found from VirusTotal, at least one
European Ministry of Foreign Affairs has been targeted. Here is a redacted version of one of the emails (...).»
Source : www.f-secure.com/weblog/archives/00002780.html
27/02/2013. Kaspersky The MiniDuke Mystery: PDF 0-day Government Spy Assembler 0x29A Micro Backdoor.PDF :
25zbkz3k00wn2tp5092n6di7b5k.wpengine.netdna-cdn.com/files/2014/07/themysteryofthepdf0dayassemblermicrobackdoor.pdf
03/07/2014. Miniduke is back: Nemesis Gemina and the Botgen Studio : securelist.com/blog/incidents/64107/miniduke-is-backnemesis-gemina-and-the-botgen-studio/
03/07/2014. CIRCL Analysis Report (TLP:WHITE) Analysis of a stage 3 Miniduke sample : www.circl.lu/assets/files/tr-14/circlanalysisreport-miniduke-stage3-public.pdf
03/07/2014. F-Secure CosmicDuke malware analysis report : www.fsecure.com/documents/996508/1030745/cosmicduke_whitepaper.pdf
=> Cracked Andromeda 2.06 Spreads Bitcoin Miner. 07/01/2015. «Andromeda is a botnet that has had a long history. The latest
version is now 2.09, which most active bots would have already received. Recently, however, our FortiGuard Labs Threat
Intelligence system was able to capture the activities of a previous variant of Andromeda that is apparently still alive. During our
analysis, we found that it is a cracked version of an old variant, and the author used it for spreading a Bitcoin miner (...).»
Source : blog.fortinet.com/post/cracked-andromeda-2-06-spreads-bitcoin-miner
=> Inside Android LockOut System aka PornDroid. 10/01/2015. «When i wrote "The worst of Windows "Police Locker" is also
available on Android" I thought this was a "rare" threat and was not really likely to achieve its goal. I was wrong. It did not take
long for "Porndroid" to become the first keyword for incoming traffic to this blog (...).»
Source : malware.dontneedcoffee.com/2015/01/inside-android-lockout-system-aka.html
Actus Généralistes
=> World Wide (under)Wear : l'homme de Vitruve numérique. 04/01/2015. «Il y a l'avènement du world wide wear, celui du
corps des objets et des vêtements connectés. Il y a ces interfaces qui se rapprochent sans cesse de notre corps. Il y a cette
multitude de capteurs, de terminaux, qui hébergent eux-mêmes une multitude de données. Des données qui rayonnent
littéralement (...).»
Source : affordance.typepad.com//mon_weblog/2015/01/world-wide-underwear.html
=> Rien à cacher. 06/01/2015. «Par Laurent Chemla. Quand on est, comme moi, un vieil activiste désabusé, il y a des lieux et des
moments où on s’attend à déposer les armes. Se reposer l’esprit en assistant à un débat réunissant des gens qui partagent nos
idées. Écouter tranquillement sans avoir à repérer les pièges et les non-dits. Lâcher prise. Et puis, paf le chien (...).»
Source : reflets.info/rien-a-cacher/
06/01/2015. Tout à par Kitetoa : reflets.info/tout-a-cacher/
=> L’AFUL lance une marque pour les offres de logiciels libres. 07/01/2015. «Pour cela l’AFUL propose la mise en place d’une
marque « Offre Libre ». Cette marque sera associée à une note de A à D. Il ne s’agit bien évidemment pas de juger de la qualité
des logiciels, mais de leur respect de certains principes (...).»
Source : philippe.scoffoni.net/aful-marque-offres-logiciels-libres/
=> Ces applications qui savent tout de vous - Vocativ. 07/01/2015. «Quelles sont les applications qui collectent le plus les
données des utilisateurs ?, s’interroge Eric Markowitz et Ej Fox pour Vocativ. Pourquoi certains jeux, destinés aux enfants,
demandent à accéder à des informations comme votre localisation précise, vos photos, voir vos SMS ou le réseau Wi-Fi que vous
utilisez ? Jason Hong, professeur d’informatique à Carnegie Mellon a fondé PrivacyGrade, un site qui classe les applications selon
leur niveau de respect de vos données personnelles (...).»
Source : alireailleurs.tumblr.com/post/107395494784/ces-applications-qui-savent-tout-de-vous-vocativ#_=_
30/12/2014. PrivacyGrade : privacygrade.org/
30/12/2014. Infographic: The Apps That Know Everything About You : www.vocativ.com/tech/internet/mobile-apps-privacysettings/?page=all
=> Le commerce des outils de surveillance vers la Chine avec l’aide de la France. 09/01/2015. «Tout va bien sur le front de la
vente de produits de surveillance, merci pour la filière. On aurait pu croire que l’inscription dans l’arrangement de Wassenaar des
outils à double usage bien connus des lecteurs de Reflets, comme ceux d’Amesys ou de Qosmos, allaient mettre un frein à ce petit
commerce. C’était sans compter sur l’aide de la France à ses entreprises « innovantes » (...).»
Source : reflets.info/le-commerce-des-outils-de-surveillance-vers-la-chine-avec-laide-de-la-france/
=> Las Vegas à l’heure de la « French connection ». 09/01/2015. «De la plus grosse (La Poste, Valeo…) à la plus petite (Abeeway
par exemple, 8 personnes), toutes ces entreprises ont présenté, pendant quatre jours, leur savoir-faire numérique, et sont
parties, pour certaines d’entre elles, à la recherche de distributeurs et de financiers (...).» Je vois beaucoup d'enthousiasme, et
une fierté assez orgueilleuse de voir la France bien placée, mais j'ai le pressentiment qu'il n'y a aucun recul sur les enjeux
civilisationnels que ces produits annoncent. Sans parler du côté sécu qui semble complétement absent (en tout cas vu de loin).
Source : www.lemonde.fr/economie/article/2015/01/09/las-vegas-a-l-heure-de-la-french-connection_4552850_3234.html
04/01/2015. Réalité virtuelle : retour en force au CES. Hype ou décollage ? : meta-media.fr/2015/01/04/la-realite-virtuelle-anouveau-star-du-ces.html
07/01/2015. FTC Urges IoT Privacy, Security-by-Design at CES : threatpost.com/ftc-urges-iot-privacy-security-by-design-atconsumer-electronics-show/110265
08/01/2015. CES 2015 : les surprises du Salon : www.lepoint.fr/dossiers/high-tech-internet/ces-las-vegas/
09/01/2015. Presse Citron CES2015 : www.presse-citron.net/tag/ces2015/
09/01/2015. Digital Invasion: 3 things we learned from CES 2015 : www.welivesecurity.com/2015/01/09/digital-invasion-3things-learned-ces-2015/
09/01/2015. Dossier 01net CES 2015 : www.01net.com/evenements/ces/
10/01/2015. Premiers retours du CES 2015 : www.oezratty.net/wordpress/2015/premiers-retours-du-ces-2015/
10/01/2015. Korben, couverture CES : korben.info/univers/domotique
10/01/2015. Les startups de la French Tech ont "cassé la baraque" à Las Vegas : www.latribune.fr/technosmedias/20150110trib996d089fe/les-startups-de-la-french-tech-ont-casse-la-baraque-a-las-vegas.html
10/01/2015. Making the CES Show… Thirty Years Ago : hackaday.com/2015/01/10/making-the-ces-show-thirty-years-ago/
11/01/2015. CES 2015 : le réveil des objets : meta-media.fr/2015/01/11/ces-2015-le-reveil-des-objets.html
11/01/2015. A Las Vegas, l'électronique de loisir fait son show : www.lemonde.fr/pixels/visuel/2015/01/11/a-las-vegas-lelectronique-de-loisir-fait-son-show_4550314_4408996.html
=> Réflexions sur le traitement médiatique des attaques. 10/01/2015. «Oh putain cette fois, c’était la guerre. En direct dans
tous les salons de France et du monde. Les attaques de ces trois derniers jours ont été l’occasion pour les médias de hard news de
nous faire une belle démonstration de la totalité de leurs travers (...).»
Source : www.guerres-influences.com/charlie-hebdo-reflexions-sur-le-traitement-mediatique-des-attaques/
09/01/2015. Montrer ou ne pas montrer les caricatures de Charlie Hebdo : blog.slate.fr/labo-journalisme-sciencespo/2015/01/09/montrer-ou-ne-pas-montrer-les-caricatures-de-charlie-hebdo/
10/01/2015. Prises d'otages : la couverture médiatique critiquée : www.franceinfo.fr/culture-et-medias/medias/article/prises-dotage-la-couverture-mediatique-critiquee-629297
Outils/Services/Sites à découvrir ou à redécouvrir
=> Video archives of security conferences and workshops 2014. 04/01/2015. «Just some links for your enjoyment. List of
security conferences in 2014. Video archives (...).»
Source : contagiodump.blogspot.fr/2015/01/video-archives-of-security-conferences.html
=> Geotagging Basics with ExifTool. 05/01/2015. «In my case one of the cameras I use is a GoPro Hero3, which does not provide
position information natively. This is where Phil Harvey’s excellent program ExifTool comes in (...).»
Source : www.digital-geography.com/geotagging/
=> Who’s Attacking Whom? Realtime Attack Trackers. 05/01/2015. «It seems nearly every day we’re reading about Internet
attacks aimed at knocking sites offline and breaking into networks, but it’s often difficult to visualize this type of activity. In this
post, we’ll take a look at multiple ways of tracking online attacks and attackers around the globe and in real-time (...).» Un post
synthèse de cartes en temps réel proposées par certains éditeurs. Pas de découverte, mais le mérite de les retrouver toutes au
même endroit.
Source : krebsonsecurity.com/2015/01/whos-attacking-whom-realtime-attack-trackers/
=> IPv6 et la sécurité. 05/01/2015. «Nouvelles du front – Janvier (...).»
Source : securite.intrinsec.com/2015/01/05/ipv6-et-la-securite-nouvelles-du-front-janvier-3/
=> Hubble's High-Definition Panoramic View of the Andromeda Galaxy. 05/01/2015. «Highest-quality image: Hubble M31
PHAT Mosaic. These images should be downloaded, not viewed with a browser. Even though the file sizes may be small, the
number of pixels these images contain can be problematic for a browser (...).» 'Il n'y a pas de grain sur cette photo, chaque point
est une étoile'. Via @Bouletcorp.
Source : hubblesite.org/newscenter/archive/releases/2015/02/image/a/warn/
09/01/2015. Hubble prend une photo de 1,5 milliards de pixels d'Andromède : www.atlantico.fr/atlantico-light/hubble-prendphoto-15-milliards-pixels-andromede-1946895.html
09/01/2015. Source : twitter.com/Bouletcorp/status/553646509271822336/photo/1
=> Jmp2it. 05/01/2015. «Transfer EIP control to shellcode during malware analysis investigation (...).»
Source : github.com/adamkramer/jmp2it
30/12/2014. Examining Shellcode in a Debugger through Control of the Instruction Pointer : digitalforensics.sans.org/blog/2014/12/30/taking-control-of-the-instruction-pointer
=> Forensics Investigation: The M57 Jean Case. 05/01/2015. «In this case study, we will investigate a similar situation pertaining
to an email phishing attack. (...).»
Source : resources.infosecinstitute.com/forensics-investigation-document-exfiltration-involving-spear-phishing-m57-jean-case/
=> The history of grep, the 40 years old Unix command. 05/01/2015. «Grep is a Unix command line utility (well most Unix
utilities are command line) that searches the input files for pattern and prints lines that contain the pattern. If you are reading
this you, you are probably no stranger to grep (...).»
Source : medium.com/@rualthanzauva/grep-was-a-private-command-of-mine-for-quite-a-while-before-i-made-it-public-kenthompson-a40e24a5ef48
=> Gamebuino, une console à portée de main. 05/01/2015. «Il y a quelques semaines, j’avais réalisé l’interview audio de
Aurélien Rodot, élève-ingénieur qui a créé un petit objet : la Gamebuino. Cette petite console qui fleure bon le rétro-gaming a
suscité pas mal d’engouement sur le web. Il nous en parle dans la suite du billet :) (...).»
Source : www.littlecelt.net/gamebuino-la-console-lyonnaise-pleine-de-talents/
=> C’est quoi « SS7 » ?. 06/01/2015. «La semaine dernière, lors du 31C3 (le Chaos Communication Congress), deux chercheurs en
sécurité ont présenté leurs travaux sur SS7, ou plutôt les failles qui permettent d’exploiter SS7. Alors, SS7, c’est quoi exactement ?
(...).»
Source : pixellibre.net/2015/01/cest-quoi-ss7/
=> RIN Studio - RIN Authoring tool. 06/01/2015. «Rich Interactive Narratives (RIN) is a technology developed by Microsoft
Research. RIN offers a way to seamlessly combine cinematic experiences with user exploration to create rich interactive and
immersive narratives (...).»
Source : research.microsoft.com/en-us/downloads/32f330bc-fd4d-4170-8bbe-b077bc25f4c7/default.aspx
=> The New Year 2014/2015 #sophospuzzle - all the winners, and how to solve it. 06/01/2015. «The New Year 2014/2015
#sophospuzzle is over. Here's a list of everyone who solved it in time, and those of the solvers who won prizes. We've also
explained how to solve it for those who weren't able to take part (...).»
Source : nakedsecurity.sophos.com/2015/01/06/the-new-year-20142015-sophospuzzle-all-the-winners-and-how-to-solve-it/
=> Reverse Engineering The Private API: Hacking your Couch. 06/01/2015. «Traveling is my passion, and I’m a huge fan of
Couchsurfing. Couchsurfing is a global community of travelers, where you can find a place to stay or share your own home with
other travelers (...).»
Source : www.toptal.com/back-end/reverse-engineering-the-private-api-hacking-your-couch
=> Prof, j’ai regardé des vidéos éducatives sur YouTube. 06/01/2015. «Ils ne sont pas profs, et pourtant, ils enseignent à eux
seuls à des centaines de milliers de personnes. On ne les appelle pas « Monsieur » ou « Madame », mais par leur pseudonyme : epenser, Tyllou, DirtyBiology. Ce sont des enseignants 2.0, qui, sans mettre un pied dans une salle de classe, parviennent à
transmettre leur savoir (...).»
Source : blogs.rue89.nouvelobs.com/monsieur-le-prof/2015/01/06/prof-jai-regarde-des-videos-educatives-sur-youtube-234017
=> Command Line Happiness. 06/01/2015. «There is no contesting that the command line in a Linux/Mac environment kicks
Windows’s cmd.exe without even trying hard. There are entire blogs dedicated to how wonderful it is. But, most of the
commercial forensics tools are Windows only, relegating many of us to that environment (...) So, below are some tools I use to
make the Windows command line a little more productive (...).»
Source : www.taksati.org/command-line-happiness/
07/01/2015. Utilities by the Thousands : www.taksati.org/utilities-by-the-thousands/
08/01/2015. Useful Windows Commands : www.taksati.org/useful-windows-commands/
=> Linux contre l’obsolescence programmée !. 06/01/2015. «Avec la fin récente de Windows XP, beaucoup d’ordinateurs se sont
retrouvés avec un système d’exploitation complètement laissé à l’abandon. Il fallait upgrader. Mais avec quoi, et comment ?!
(...).»
Source : buzut.fr/2015/01/06/linux-contre-lobsolescence-programmee/
=> TwitterDev code samples on GitHub. 06/01/2015. «Our Developer Advocacy team helps companies integrate Twitter into
their products, sites and apps, and one of the ways we do that is by sharing code samples and end-to-end use cases; Today,
we’re sharing the most commonly requested code via our TwitterDev GitHub account (...).»
Source : blog.twitter.com/2015/twitterdev-code-samples-on-github
=> AnomalyDetection. 07/01/2015. «Anomaly Detection with R. AnomalyDetection is an open-source R package to detect
anomalies which is robust, from a statistical standpoint, in the presence of seasonality and an underlying trend. The
AnomalyDetection package can be used in wide variety of contexts (...).»
Source : github.com/twitter/AnomalyDetection
11/01/2015. Twitter releases open source Anomaly Detection tool : www.hotforsecurity.com/blog/twitter-releases-open-sourceanomaly-detection-tool-11151.html
=> Pwntools - CTF toolkit. 07/01/2015. «Pwntools is best supported on Ubuntu 12.04 and 14.04, but most functionality should
work on any Posix-like distribution (Debian, Arch, FreeBSD, OSX, etc.). Most of the functionality of pwntools is self-contained and
Python-only (...).»
Source : github.com/Gallopsled/pwntools?v=2.2
=> The Sony hack attribution generator!. 07/01/2015. «Do you need a quick story you can pull out of your butt to explain the
Sony hack at a party or job interview? (...).»
Source : grahamcluley.com/2015/01/sony-hack-attribution-generator/
=> PANDA - Platform for Architecture-Neutral Dynamic Analysis. 07/01/2015. «Une fois n'est pas coutume, un peu de réclame
pour lecteurs avertis. Si vous captez qu'un mot / deux c'est que vous n'êtes pas assez avertis :þ PANDA is an open-source
Platform for Architecture-Neutral Dynamic Analysis. (...) PANDA n'est pas nouveau mais il a quelque peu été oublié. De notre
côté, nous avons pris le soins d'évaluer la stabilité de ce projet en utilisant une distribution GNU/Linux Debian avec LLVM / Clang
en 3.3, comme recommandé. (...).»
Source : forum.malekal.com/panda-platform-for-architecture-neutral-dynamic-analysis-t50359.html
07/01/2015. PANDA : github.com/moyix/panda/
=> Wifiphisher. 07/01/2015. «Fast automated phishing attacks against WiFi networks (...).»
Source : github.com/sophron/wifiphisher
=> Bypassing the IE XSS filter. 07/01/2015. «Mario noticed that the new version of the IE filter blocks anchors in attempt to
prevent the same origin bypass where you double encode the vector and post a link to itself. I had to take a look and see if I could
break it and…of course I did (...).»
Source : www.thespanner.co.uk/2015/01/07/bypassing-the-ie-xss-filter/
=> Neutralité de l’internet. Un entretien vidéo avec Francesca Musiani. 08/01/2015. «Pour prolonger son propos, elle a accepté
de répondre à quelques questions dans cet entretien vidéo, où il est question de gouvernance de l’internet, des conséquences de
l’affaire Snowden et, bien sûr, de neutralité du net (...).»
Source : politique-etrangere.com/2015/01/08/neutralite-de-linternet-un-entretien-video-avec-francesca-musiani/
=> SANS Holiday Hack 2014 – A Christmas Hacking Carol (the less chatty edition). 08/01/2015. «Here are my findings from the
SANS Holiday Hack. Was my first challenge, had a blast doing it, and many thanks to Ed Skoudis and everyone else who put this
together (...).»
Source : cultofthedyingsun.wordpress.com/2015/01/08/sans-holiday-hack-2014-a-christmas-hacking-carol/
24/12/2014. Holiday Challenge 2014 : pen-testing.sans.org/holiday-challenge/2014
=> PowerSploit - A PowerShell Post-Exploitation Framework . 08/01/2015. «PowerSploit is a collection of Microsoft PowerShell
modules that can be used to aid penetration testers during all phases of an assessment. PowerSploit is comprised of the
following modules and scripts (...).» Vieux, mais à l'occasion d'un article c'était l'occasion de le mentionner à nouveau.
Source : github.com/mattifestation/PowerSploit
08/01/2015. PowerShell Toolkit: PowerSploit : resources.infosecinstitute.com/powershell-toolkit-powersploit/
=> Création de la une de #CharlieHebdo . 08/01/2015. «Ce matin, au travers des milliers de tweets, de vidéos, de photos et
d’images, je découvre ce court film tourné pendant un comité de rédaction à Charlie Hebdo en février 2006. Ce film nous montre
comment, ensemble, ils concevaient leurs une en riant, en essayant de trouver le ton juste tout en en étant brillants, intelligents
et drôles (...).»
Source : graphism.fr/vido-cration-de-la-une-de-charliehebdo/
08/01/2015. Une conf de rédac à Charlie Hebdo, ça ressemblait à ça : www.lesinrocks.com/inrocks.tv/une-conf-de-redac-charliehebdo-cetait-ca/
=> Didier Stevens Suite . 08/01/2015. «I bundled most of my software in a ZIP file. In all modesty, I call it Didier Stevens Suite
(...).»
Source : blog.didierstevens.com/2015/01/08/didier-stevens-suite/
08/01/2015. My Software : blog.didierstevens.com/my-software/
=> OWASP SSL. 08/01/2015. «OWASP SSL advanced forensic tool / OWASP SSL audit for testers. Stable release 15.01.07 (...).»
Source : www.owasp.org/index.php/O-Saft
07/01/2015. Updates O-Saft v-15.01.07: OWASP SSL audit for testers / OWASP SSL advanced forensic tool : seclist.us/updates-osaft-v-15-01-07-owasp-ssl-audit-for-testers-owasp-ssl-advanced-forensic-tool.html
=> Graph-tool. 08/01/2015. «Graph-tool is an efficient Python module for manipulation and statistical analysis of graphs (a.k.a.
networks) (...).»
Source : graph-tool.skewed.de/
=> Paensy 0.1 by Ozuru . 08/01/2015. «Paensy is a combination of the word payload and Teensy - Paensy is an attacker-oriented
library written for the development of Teensy devices. Paensy simplifies mundane tasks and allows an easier platform for
scripting (...).»
Source : github.com/Ozuru/Paensy
11/01/2015. Paensy 0.1 Release & Messing Around with the Teensy 3.1 : malware.cat/?p=89
=> Intelligence Information Gathering: Collecting Twitter Followers with 25 lines of Python. 09/01/2015. «In this article, let’s
assume that we have a task to perform a penetration test for an online banking system to verify the ability of guessing valid
usernames and passwords. If you were a hacker, what would you do? (...).»
Source : resources.infosecinstitute.com/intelligence-information-gathering-collecting-twitter-followers-25-lines-python/
=> GHIRO v-0.1 released . 09/01/2015. «GHIRO v-0.1 released : is a Fully automated and open source software for digital photo
& digital image forensics. (...).»
Source : seclist.us/ghiro-v-0-1-released-is-a-fully-automated-and-open-source-software-for-digital-photo-digital-imageforensics.html
07/01/2015. GHIRO : www.getghiro.org/#header-section
07/01/2015. Ghiro Automated image forensics tool : github.com/ghirensics/ghiro
=> Liens vagabonds old et new media. 10/01/2015. «Veille média de la semaine, par E. Scherer, directeur de la Prospective, FT.
(...).» Diverses veilles thématiques de la semaine.
Source : meta-media.fr/2015/01/10/liens-vagabonds-old-et-new-media-98.html
09/01/2015. Recap IT : Attentat Charlie Hebdo, CES 2015, Fin du Patch Tuesday : www.lemondeinformatique.fr/actualites/lirerecap-it-attentat-charlie-hebdo-ces-2015-fin-du-patch-tuesday-59859.html
09/01/2015. La sélection scientifique de la semaine (numéro 153) : passeurdesciences.blog.lemonde.fr/2015/01/09/la-selectionscientifique-de-la-semaine-numero-153/
=> Android-security-awesome. 10/01/2015. «A collection of android security related resources. A lot of work is happening in
academia and industry on tools to perform dynamic analysis, static analysis and reverse engineering of android apps (...).»
Source : github.com/ashishb/android-security-awesome
=> Using the Shikra to Attack Embedded Systems: Getting Started. 10/01/2015. «Since we've started teaching SexViaHex, many
people (not just our students) have asked me (Joe Fitzpatrick) for equipment recommendations for doing their own hardware
hacking. I own and use several tools with duplicate and overlapping purposes, since there's usually a 'best' tool for any given job
(...).» Date du 26/12.
Source : www.xipiter.com/musings/using-the-shikra-to-attack-embedded-systems-getting-started
=> Archiv - Hacktivity 2014. 10/01/2015. «All 2014 Hacktivity videos have become available. You can watch them in our archives
(...).»
Source : hacktivity.com/en/archives/hacktivity-20141/
30/10/2014. Gábor Molnár - Handcrafting ASCII Flash Files for Fun and Profit (slides) :
hacktivity.com/en/downloads/archives/335/
30/10/2014. Gábor Molnár - Handcrafting ASCII Flash Files for Fun and Profit (vidéo) :
www.youtube.com/watch?v=HQNU6EKFQYM
=> BlueScan – A Bluetooth Device Scanner. 10/01/2015. «BlueScan is a BASH script that acts as a Bluetooth device scanner. It’s
a tool designed to detect Bluetooth devices within the radio range of your system and extract as much information as possible
from the devices without the requirement to pair (...).»
Source : www.darknet.org.uk/2015/01/bluescan-bluetooth-device-scanner/
10/01/2015. BlueScan : bluescanner.sourceforge.net/
=> 515ème édition des LIDD. 11/01/2015. «Comme tous les dimanches (ou presque) depuis près de 11 ans maintenant, voici
notre sélection des liens les plus insolites de ces derniers jours, tous publiés sur LIDD.fr auparavant (...).»
Source : www.nextinpact.com/news/91693-515eme-edition-lidd-liens-idiots-du-dimanche.htm
Actus Législatives et juridiques
=> Juristendances Informatique et Télécoms n°153-2015. 05/01/2015. «L’édito de la Lettre Juristendances Informatique et
Télécoms du premier mois de l’année est consacré à l’impact des nouvelles normes ISO en matière de cloud computing sur les
contrats. Après un peu plus de deux ans de travaux les organismes de normalisation UIT-T et ISO ont approuvé trois nouvelles
normes (...).»
Source : www.alain-bensoussan.com/juristendances-informatique-et-telecoms-n153-2015/2015/01/05/
05/01/2015. Juristendances Informatique et Télécoms n°153-2015 : www.alain-bensoussan.com/wpcontent/uploads/2015/01/28851874.pdf
=> La CNIL simplifie l'enregistrement des appels téléphoniques au travail. 06/01/2015. «La CNIL a fait publier au Journal
Officiel une délibération créant une norme simplifiée pour autoriser les entreprises et les administrations à enregistrer les
conversations téléphoniques des employés sur le lieu de travail (...).»
Source : www.numerama.com/magazine/31780-la-cnil-simplifie-l-enregistrement-des-appels-telephoniques-au-travail.html
06/01/2015. JORF n°0004 du 6 janvier 2015 - Délibération n° 2014-474 du 27 novembre 2014 :
www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000030046242&dateTexte=&categorieLien=id
=> Le TGI de Paris ordonne le déréférencement d’un lien à Google Inc. 09/01/2015. «Pour la première fois, une décision
française ordonne à Google Inc. de déréférencer un lien de son moteur de recherche. Dans une ordonnance de référé du 19
décembre 2014 qui renvoie à celle du 24 novembre 2014, le TGI de Paris considère que la demanderesse « justifie de raisons
prépondérantes et légitimes prévalant sur le droit à l’information » (...).»
Source : www.legalis.net/spip.php?page=breves-article&id_article=4426
10/01/2015. Droit à l'oubli : la justice ordonne le déréférencement d'un lien : www.numerama.com/magazine/31836-droit-a-loubli-la-justice-ordonne-le-dereferencement-d-un-lien.html
=> Affaire Charlie hebdo : l'UE entend renforcer son dispositif de lutte antiterroriste. 09/01/2015. «Cet événement intervient
un mois après que le Conseil de l'Union a adopté, lors de sa session des 4 et 5 décembre 2014, des conclusions sur l'élaboration
d'une stratégie de sécurité intérieure renouvelée pour l'Union européenne (...).»
Source : securiteinterieurefr.blogspot.fr/2015/01/affaire-charlie-hebdo-lue-entend.html
03/01/2015. Projet de l'Union européenne pour combattre la propagande djihadiste :
techno.lapresse.ca/nouvelles/internet/201501/03/01-4832288-projet-de-lunion-europeenne-pour-combattre-la-propagandedjihadiste.php
09/01/2015. Le blocage administratif des sites terroristes est sur la rampe : www.nextinpact.com/news/91674-le-blocageadministratif-sites-terroristes-est-sur-rampe.htm
=> « Têtes de con » : une salariée licenciée pour ses propos sur Facebook obtient gain de cause. 09/01/2015. «Licenciée pour
avoir déclaré sur Facebook qu’elle n’avait pas envie de voir les « têtes de con » de ses collègues de travail, une salariée a obtenu
gain de cause devant la justice en novembre dernier. La cour d’appel de Paris a en effet estimé, au travers d’une décision que
nous avons pu consulter, que la page Facebook fournie aux débats par l’employeur n’était pas suffisamment probante. Il
s’agissait d’une simple impression (...).»
Source : www.nextinpact.com/news/91395-tetes-con-salariee-licenciee-pour-ses-propos-sur-facebook-obtient-gain-cause.htm
=> Charlie Hebdo : 3 721 messages d'apologie du terrorisme recensés sur Internet. 09/01/2015. «L’attentat sanglant à Charlie
Hebdo a suscité une vague d’émotion, en France comme dans la plupart des pays du monde. Seulement, des voix dissonantes ont
été entendues sur les réseaux sociaux, certains applaudissant, sans nuance ni cervelle, l’action des deux terroristes. Ces propos
devraient permettre désormais la mise en action de plusieurs actions en justice (...).»
Source : www.nextinpact.com/news/91682-charlie-hebdo-3-721-messages-en-ligne-accuses-dapologie-terrorisme.htm
09/01/2015. Un Strasbourgeois interpellé pour apologie de l'attentat : www.20minutes.fr/strasbourg/1513943-20150109attaque-charlie-hebdo-strasbourgeois-interpelle-apologie-attentat
=> Copyright Madness (#87) : une semaine de propriété intellectuelle en délire !. 10/01/2015. «Chaque samedi, Numerama
vous invite à découvrir une sélection d'articles sur la propriété intellectuelle et ses dérives, concoctée par Lionel Maurel et
Thomas Fourmeux. Très bonne lecture à tous (...).»
Source : www.numerama.com/magazine/31829-copyright-madness-87-une-semaine-de-propriete-intellectuelle-en-delire.html
08/01/2015. Quand un studio de films X demande à Google de déréférencer des pages GitHub :
www.nextinpact.com/news/91655-quand-studio-films-x-demande-a-google-dereferencer-pages-github.htm
Réseaux sociaux et communautaires
=> Facebook achète une start-up créée par des Français. 06/01/2015. «Le numéro un des réseaux sociaux a mis la main sur
Wit.ai, une entreprise spécialisée dans la reconnaissance vocale fondée il y a un an et demi (...).»
Source : www.lepoint.fr/high-tech-internet/facebook-achete-une-start-up-creee-par-des-francais-06-01-2015-1894285_47.php
=> Social TV, 2nd écran, OTT : tout est affaire de données désormais. 08/01/2015. «L’exploitation des données multiples et
traces fines laissées par le public en ligne -- lors de ses actions sur écrans compagnons et réseaux sociaux autour des
programmes de télévision -- est devenue une mine d’or pour développer l’audience, améliorer les contenus et plaire aux
annonceurs. Et peut être, demain inventer de nouveaux modèles économiques (...).» Tout ce qui m'agace personnellement :
modèles économiques, monétisation, transformation, captation, publicités, etc. :/
Source : meta-media.fr/2015/01/08/social-tv-2nd-ecran-ott-comment-profiter-des-donnees-nouveaux-atouts-cles-pourprogrammes-et-pub.html
=> #JesuisCharlie encore loin d'être le hashtag le plus populaire de l'histoire de Twitter. 10/01/2015. «L'information a
commencé à circuler en fin d'après-midi, vendredi 9 janvier. #JesuisCharlie, devenu symbole du soutien mondial à
l'hebdomadaire touché au cœur mercredi par une attaque terroriste, serait « le hashtag le plus populaire dans l'histoire de
Twitter », à savoir, le plus utilisé (...).»
Source : www.lemonde.fr/pixels/article/2015/01/10/jesuischarlie-encore-loin-des-records-sur-twitter_4553089_4408996.html

`Black Box` Attack. 06/01

Transcription

Documents pareils

Vous propose de réserver votre séjour et/ou vos entrées à

foire de paris - Loisirs et Services

ACCESSOIRES DÉTECTEUR DE FAUX BILLETS

Achat de billets pour le spectacle PAROLES REBELLES, 3

www.france-blog.info

SUPERBUS - Le Liberté

Musée Grévin Montréal, saison 2015

la troupe du jamel comedy club

corbeil cgr fontainebleau le buxy melun montereau confluences

Paiement par carte de crédit