Re: Exécutable étrange
Ce fil de discussion m'a fait me rappeler qu'il y a quelque temps j'avais eu des détections de fichiers suspects par rkhunter : Subject: Cron /root/bin/rkhunter.sh Warning: Suspicious file types found in /dev: /dev/shm/ShM.c5fa4b64H8dd08c52: data /root/rkhunter.sh : /tmp/chkrkhunter # /root/chkrkhunter.ref pour voir rkhunter complet faire : /usr/bin/rkhunter --check lsof montre que ces fichiers qui ont les droits www-data sont utilisés par des process apache2 J'ai depuis filtré ces messages dans rkhunter.conf en considérant qu'il me semblait normal que apache utilise le dispositif de mémoire partagée et donc que c'était des faux positifs de rkhunter. Francois Mescam Le 31/05/2023 à 09:55, BERTRAND Joël a écrit : Bonjour à tous, Hier soir, je me suis aperçu qu'un serveur ramait énormément. En regardant de près, j'ai trouvé un exécutable étrange : /dev/shm/hwm avec les droits de www-data:www-data, un fichier de configuration et un autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je n'ai pas noté de trafic réseau anormal. J'ai viré les trois fichiers en question et j'ai inspecté en profondeur le système, je n'ai rien trouvé de plus. Je pense savoir comment il a été déposé ici (mais aucune trace dans les logs). Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en googlisant. Bien cordialement, JB
Re: Exécutable étrange
Ça, ça couvrira la question du remplacement du logiciel existant puisqu'il a été dit qu'il est obsolète. Pour le moment il s'agit de savoir si il y a bien eu une pénétration dans le serveur. Le mer. 31 mai 2023 à 22:14, Basile Starynkevitch a écrit : > > On 5/31/23 22:05, Dethegeek wrote: > > Le site est motorisé avec PHP. Il y a en natif ou via un extension des > > fonctionnalités de gestion de mémoire partagée. > > > Je me permets de rappeler à tous les web programmeurs l'existence > d'alternative compilée pour faire du web dynamique: > > > https://www.webtoolkit.eu/wt > > https://coralbits.com/static/onion/ > > https://ocsigen.org/home/intro.html > > > ces trois alternatives sont compilées, libres et Européennes (à > l'inverse de PHP, interprété et Nord américain, canadien je crois). > > > Ocsigen est même majoritairement français (Vincent Beulat). Il est écrit > en Ocaml dont l'auteur est Xavier Leroy, professeur au Collège de France > > > > -- > Basile Starynkevitch > (only mine opinions / les opinions sont miennes uniquement) > 92340 Bourg-la-Reine, France > web page: starynkevitch.net/Basile/ > >
Re: Exécutable étrange
On 5/31/23 22:05, Dethegeek wrote: Le site est motorisé avec PHP. Il y a en natif ou via un extension des fonctionnalités de gestion de mémoire partagée. Je me permets de rappeler à tous les web programmeurs l'existence d'alternative compilée pour faire du web dynamique: https://www.webtoolkit.eu/wt https://coralbits.com/static/onion/ https://ocsigen.org/home/intro.html ces trois alternatives sont compilées, libres et Européennes (à l'inverse de PHP, interprété et Nord américain, canadien je crois). Ocsigen est même majoritairement français (Vincent Beulat). Il est écrit en Ocaml dont l'auteur est Xavier Leroy, professeur au Collège de France -- Basile Starynkevitch (only mine opinions / les opinions sont miennes uniquement) 92340 Bourg-la-Reine, France web page: starynkevitch.net/Basile/
Re: Exécutable étrange
Le site est motorisé avec PHP. Il y a en natif ou via un extension des fonctionnalités de gestion de mémoire partagée. Je pense que chercher dans le code du site des appels à ces fonctions pourrait être utile. https://www.php.net/manual/en/book.shmop.php Le mer. 31 mai 2023 à 22:00, Basile Starynkevitch a écrit : > > On 5/31/23 21:53, Dethegeek wrote: > > Ah oui, je m'etais mis en tête que c'était un emplacement sur disque, du > fait qu'il y avait des exécutables. J'ai pas fait attention que le chemin > commençait par /dev . > > Il n'y a aucune chance d'avoir encore une copie de ces exécutables ? > > > > Non. /dev/shm/ est documenté en > https://www.man7.org/linux/man-pages/man7/shm_overview.7.html et > https://www.man7.org/linux/man-pages/man3/shm_open.3.html > > > Le mer. 31 mai 2023 à 21:32, Belaïd a écrit : > >> Bonsoir, >> >> apt-file search /dev/shm ne donnera rien puisque ce dernier n'est qu'un >> emplacement mémoire >> >> Le mer. 31 mai 2023 à 21:26, Michel Verdier a écrit : >> >>> Le 31 mai 2023 Dethegeek a écrit : >>> >>> > Une suggestion : chercher ces exécutables dans les paquets de Debian. >>> Si >>> > aucun exécutable n'est supposé être présent sans appartenir à un >>> paquet du >>> > (ou des) dépôt(s) configures dans apt, alors ça donnera des indices >>> > supplémentaires >>> >>> apt-file search /dev/shm >>> ne renvoie rien, mais on s'en doutait il n'y a pas d'exécutable dans >>> /dev/shm (ni même dans /dev je pense ?) >>> >>> > Ensuite, si les exécutables suspects sont encore disponibles quelque >>> part >>> > (dans un backup par exemple), ce serait intéressant de les soumettre au >>> > service en ligne virustotal. >>> >>> ou, pour rester sur debian, passer clamav dessus >>> >>> -- > Basile Starynkevitch > > (only mine opinions / les opinions sont miennes uniquement) > 92340 Bourg-la-Reine, France > web page: starynkevitch.net/Basile/ > >
Re: Exécutable étrange
On 5/31/23 21:53, Dethegeek wrote: Ah oui, je m'etais mis en tête que c'était un emplacement sur disque, du fait qu'il y avait des exécutables. J'ai pas fait attention que le chemin commençait par /dev . Il n'y a aucune chance d'avoir encore une copie de ces exécutables ? Non. /dev/shm/ est documenté en https://www.man7.org/linux/man-pages/man7/shm_overview.7.html et https://www.man7.org/linux/man-pages/man3/shm_open.3.html Le mer. 31 mai 2023 à 21:32, Belaïd a écrit : Bonsoir, apt-file search /dev/shm ne donnera rien puisque ce dernier n'est qu'un emplacement mémoire Le mer. 31 mai 2023 à 21:26, Michel Verdier a écrit : Le 31 mai 2023 Dethegeek a écrit : > Une suggestion : chercher ces exécutables dans les paquets de Debian. Si > aucun exécutable n'est supposé être présent sans appartenir à un paquet du > (ou des) dépôt(s) configures dans apt, alors ça donnera des indices > supplémentaires apt-file search /dev/shm ne renvoie rien, mais on s'en doutait il n'y a pas d'exécutable dans /dev/shm (ni même dans /dev je pense ?) > Ensuite, si les exécutables suspects sont encore disponibles quelque part > (dans un backup par exemple), ce serait intéressant de les soumettre au > service en ligne virustotal. ou, pour rester sur debian, passer clamav dessus -- Basile Starynkevitch (only mine opinions / les opinions sont miennes uniquement) 92340 Bourg-la-Reine, France web page: starynkevitch.net/Basile/
Re: Exécutable étrange
Ah oui, je m'etais mis en tête que c'était un emplacement sur disque, du fait qu'il y avait des exécutables. J'ai pas fait attention que le chemin commençait par /dev . Il n'y a aucune chance d'avoir encore une copie de ces exécutables ? Le mer. 31 mai 2023 à 21:32, Belaïd a écrit : > Bonsoir, > > apt-file search /dev/shm ne donnera rien puisque ce dernier n'est qu'un > emplacement mémoire > > Le mer. 31 mai 2023 à 21:26, Michel Verdier a écrit : > >> Le 31 mai 2023 Dethegeek a écrit : >> >> > Une suggestion : chercher ces exécutables dans les paquets de Debian. Si >> > aucun exécutable n'est supposé être présent sans appartenir à un paquet >> du >> > (ou des) dépôt(s) configures dans apt, alors ça donnera des indices >> > supplémentaires >> >> apt-file search /dev/shm >> ne renvoie rien, mais on s'en doutait il n'y a pas d'exécutable dans >> /dev/shm (ni même dans /dev je pense ?) >> >> > Ensuite, si les exécutables suspects sont encore disponibles quelque >> part >> > (dans un backup par exemple), ce serait intéressant de les soumettre au >> > service en ligne virustotal. >> >> ou, pour rester sur debian, passer clamav dessus >> >>
Re: Exécutable étrange
Bonsoir, apt-file search /dev/shm ne donnera rien puisque ce dernier n'est qu'un emplacement mémoire Le mer. 31 mai 2023 à 21:26, Michel Verdier a écrit : > Le 31 mai 2023 Dethegeek a écrit : > > > Une suggestion : chercher ces exécutables dans les paquets de Debian. Si > > aucun exécutable n'est supposé être présent sans appartenir à un paquet > du > > (ou des) dépôt(s) configures dans apt, alors ça donnera des indices > > supplémentaires > > apt-file search /dev/shm > ne renvoie rien, mais on s'en doutait il n'y a pas d'exécutable dans > /dev/shm (ni même dans /dev je pense ?) > > > Ensuite, si les exécutables suspects sont encore disponibles quelque part > > (dans un backup par exemple), ce serait intéressant de les soumettre au > > service en ligne virustotal. > > ou, pour rester sur debian, passer clamav dessus > >
Re: Exécutable étrange
Le 31 mai 2023 Dethegeek a écrit : > Une suggestion : chercher ces exécutables dans les paquets de Debian. Si > aucun exécutable n'est supposé être présent sans appartenir à un paquet du > (ou des) dépôt(s) configures dans apt, alors ça donnera des indices > supplémentaires apt-file search /dev/shm ne renvoie rien, mais on s'en doutait il n'y a pas d'exécutable dans /dev/shm (ni même dans /dev je pense ?) > Ensuite, si les exécutables suspects sont encore disponibles quelque part > (dans un backup par exemple), ce serait intéressant de les soumettre au > service en ligne virustotal. ou, pour rester sur debian, passer clamav dessus
Re: Exécutable étrange
Bonjour Une suggestion : chercher ces exécutables dans les paquets de Debian. Si aucun exécutable n'est supposé être présent sans appartenir à un paquet du (ou des) dépôt(s) configures dans apt, alors ça donnera des indices supplémentaires Documentation (chez Ubuntu) ici : https://doc.ubuntu-fr.org/apt-file Ensuite, si les exécutables suspects sont encore disponibles quelque part (dans un backup par exemple), ce serait intéressant de les soumettre au service en ligne virustotal. Le mer. 31 mai 2023 à 18:45, Michel Verdier a écrit : > Le 31 mai 2023 BERTRAND Joël a écrit : > > > Michel Verdier a écrit : > >> Le 31 mai 2023 BERTRAND Joël a écrit : > >> > >>> C'est donc un blog (b2evolution) qui traîne-là qui est percé. Quelqu'un > >>> sait-il d'ailleurs sur quoi migrer un blog b2evolution ? b2evolution > >>> n'est plus supporté. J'ai bien vu ceci que je vais peut-être tester : > >>> > >>> https://github.com/keithbowes/b2evolution > >> > >> Visiblement c'est un fork d'une version plus ancienne. La version 7.2.5 > >> sur l'upstream est plus récente. Il y a notamment une injection de code > >> jusqu'à la version 7.2.2. > > > > Mais celle-ci supporte php8. L'un dans l'autre, mon coeur balance. > > Ou récupérer le patch de passage à php8 pour l'appliquer sur la version > 7.2.5. A première vue ça concerne des fonctions n'existant plus sur php8. > Mais sinon les failles injection sql et cross site qui ont l'air > problématiques sur b2evolution peuvent être bloquées par un réglage sur le > serveur web. > >
Re: Exécutable étrange
Le 31 mai 2023 BERTRAND Joël a écrit : > Michel Verdier a écrit : >> Le 31 mai 2023 BERTRAND Joël a écrit : >> >>> C'est donc un blog (b2evolution) qui traîne-là qui est percé. Quelqu'un >>> sait-il d'ailleurs sur quoi migrer un blog b2evolution ? b2evolution >>> n'est plus supporté. J'ai bien vu ceci que je vais peut-être tester : >>> >>> https://github.com/keithbowes/b2evolution >> >> Visiblement c'est un fork d'une version plus ancienne. La version 7.2.5 >> sur l'upstream est plus récente. Il y a notamment une injection de code >> jusqu'à la version 7.2.2. > > Mais celle-ci supporte php8. L'un dans l'autre, mon coeur balance. Ou récupérer le patch de passage à php8 pour l'appliquer sur la version 7.2.5. A première vue ça concerne des fonctions n'existant plus sur php8. Mais sinon les failles injection sql et cross site qui ont l'air problématiques sur b2evolution peuvent être bloquées par un réglage sur le serveur web.
Re: Exécutable étrange
Michel Verdier a écrit : > Le 31 mai 2023 BERTRAND Joël a écrit : > >> C'est donc un blog (b2evolution) qui traîne-là qui est percé. Quelqu'un >> sait-il d'ailleurs sur quoi migrer un blog b2evolution ? b2evolution >> n'est plus supporté. J'ai bien vu ceci que je vais peut-être tester : >> >> https://github.com/keithbowes/b2evolution > > Visiblement c'est un fork d'une version plus ancienne. La version 7.2.5 > sur l'upstream est plus récente. Il y a notamment une injection de code > jusqu'à la version 7.2.2. Mais celle-ci supporte php8. L'un dans l'autre, mon coeur balance.
Re: Exécutable étrange
Le 31 mai 2023 BERTRAND Joël a écrit : > C'est donc un blog (b2evolution) qui traîne-là qui est percé. Quelqu'un > sait-il d'ailleurs sur quoi migrer un blog b2evolution ? b2evolution > n'est plus supporté. J'ai bien vu ceci que je vais peut-être tester : > > https://github.com/keithbowes/b2evolution Visiblement c'est un fork d'une version plus ancienne. La version 7.2.5 sur l'upstream est plus récente. Il y a notamment une injection de code jusqu'à la version 7.2.2.
Re: Exécutable étrange
Basile Starynkevitch a écrit : > > On 5/31/23 09:55, BERTRAND Joël wrote: >> Bonjour à tous, >> >> Hier soir, je me suis aperçu qu'un serveur ramait énormément. En >> regardant de près, j'ai trouvé un exécutable étrange : >> >> /dev/shm/hwm >> >> avec les droits de www-data:www-data, un fichier de configuration et un >> autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je >> n'ai pas noté de trafic réseau anormal. >> >> J'ai viré les trois fichiers en question et j'ai inspecté en >> profondeur >> le système, je n'ai rien trouvé de plus. Je pense savoir comment il a >> été déposé ici (mais aucune trace dans les logs). > > > Si un processus actif de pid 1234 est suspect (par exemple résultat de > de ps ou top) utiliser /usr/bin/strace -p 1234 pour comprendre les > appels systèmes qu'il fait. Et aussi /usr/bin/ls -l /proc/1234/ > (conserver la sortie ...) > > Je m'inquieterais, et j'aurais tendance (pour une prochaine fois) non > pas à supprimer les fichiers, mais à les copier ou renommer ailleurs > (par exemple dans /var/tmp/ ...), puis à les examiner au minimum avec > les commandes suivantes Mais je me suis inquiété. J'ai passé la nuit sur la machine en question. Le programme hwm était un exécutable statique. Je n'ai pas pensé à le passer dans strace. Le fichier de conf à côté (/dev/shm/hwm.conf) m'indiquait même clairement l'URL d'injection (dns.xxx.yyy). C'est donc un blog (b2evolution) qui traîne-là qui est percé. Quelqu'un sait-il d'ailleurs sur quoi migrer un blog b2evolution ? b2evolution n'est plus supporté. J'ai bien vu ceci que je vais peut-être tester : https://github.com/keithbowes/b2evolution > /bin/ls -l /var/tmp/hwm /var/tmp/hwmon > > /usr/bin/stat /var/tmp/hwm /var/tmp/hwmon > > /usr/bin/file /var/tmp/hwm /var/tmp/hwmon > > /usr/bin/ldd /var/tmp/hwm /var/tmp/hwmon > >> Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en >> googlisant. > > > Ma parano me ferait penser (sur un serveur publiquement accessible sur > Internet) à un virus informatique. Ceux-ci existent sous Linux. Je sais. Et je suis aussi paranoïaque. La machine semble propre. Bien cordialement, JB
Re : Re: Exécutable étrange
Je ne sais pas si mon grain de sel apporte quelque chose à la question, mais une recherche sur "hwm" dans le contenu des paquets debian ne retourne aucun résultat. https://packages.debian.org/search?searchon=contents=hwm=exactfilename=stable=any Envoyé avec la messagerie sécurisée Proton Mail. --- Original Message --- Le mercredi 31 mai 2023 à 10:35, Basile Starynkevitch a écrit : > On 5/31/23 09:55, BERTRAND Joël wrote: > > > Bonjour à tous, > > > > Hier soir, je me suis aperçu qu'un serveur ramait énormément. En > > regardant de près, j'ai trouvé un exécutable étrange : > > > > /dev/shm/hwm > > > > avec les droits de www-data:www-data, un fichier de configuration et un > > autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je > > n'ai pas noté de trafic réseau anormal. > > > > J'ai viré les trois fichiers en question et j'ai inspecté en profondeur > > le système, je n'ai rien trouvé de plus. Je pense savoir comment il a > > été déposé ici (mais aucune trace dans les logs). > > > > Si un processus actif de pid 1234 est suspect (par exemple résultat de > de ps ou top) utiliser /usr/bin/strace -p 1234 pour comprendre les > appels systèmes qu'il fait. Et aussi /usr/bin/ls -l /proc/1234/ > (conserver la sortie ...) > > Je m'inquieterais, et j'aurais tendance (pour une prochaine fois) non > pas à supprimer les fichiers, mais à les copier ou renommer ailleurs > (par exemple dans /var/tmp/ ...), puis à les examiner au minimum avec > les commandes suivantes > > > /bin/ls -l /var/tmp/hwm /var/tmp/hwmon > > /usr/bin/stat /var/tmp/hwm /var/tmp/hwmon > > /usr/bin/file /var/tmp/hwm /var/tmp/hwmon > > /usr/bin/ldd /var/tmp/hwm /var/tmp/hwmon > > > Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en > > googlisant. > > > > Ma parano me ferait penser (sur un serveur publiquement accessible sur > Internet) à un virus informatique. Ceux-ci existent sous Linux. > > > Si on veut comprendre un exécutable, on pourrait utiliser > https://github.com/binsec développé par des collègues du CEA. Dont > Sebastien Bardin en BCC. > > -- > Basile Starynkevitch bas...@starynkevitch.net > > (only mine opinions / les opinions sont miennes uniquement) > 92340 Bourg-la-Reine, France > web page: starynkevitch.net/Basile/
Re: Exécutable étrange
On 5/31/23 09:55, BERTRAND Joël wrote: Bonjour à tous, Hier soir, je me suis aperçu qu'un serveur ramait énormément. En regardant de près, j'ai trouvé un exécutable étrange : /dev/shm/hwm avec les droits de www-data:www-data, un fichier de configuration et un autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je n'ai pas noté de trafic réseau anormal. J'ai viré les trois fichiers en question et j'ai inspecté en profondeur le système, je n'ai rien trouvé de plus. Je pense savoir comment il a été déposé ici (mais aucune trace dans les logs). Si un processus actif de pid 1234 est suspect (par exemple résultat de de ps ou top) utiliser /usr/bin/strace -p 1234 pour comprendre les appels systèmes qu'il fait. Et aussi /usr/bin/ls -l /proc/1234/ (conserver la sortie ...) Je m'inquieterais, et j'aurais tendance (pour une prochaine fois) non pas à supprimer les fichiers, mais à les copier ou renommer ailleurs (par exemple dans /var/tmp/ ...), puis à les examiner au minimum avec les commandes suivantes /bin/ls -l /var/tmp/hwm /var/tmp/hwmon /usr/bin/stat /var/tmp/hwm /var/tmp/hwmon /usr/bin/file /var/tmp/hwm /var/tmp/hwmon /usr/bin/ldd /var/tmp/hwm /var/tmp/hwmon Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en googlisant. Ma parano me ferait penser (sur un serveur publiquement accessible sur Internet) à un virus informatique. Ceux-ci existent sous Linux. Si on veut comprendre un exécutable, on pourrait utiliser https://github.com/binsec développé par des collègues du CEA. Dont Sebastien Bardin en BCC. -- Basile Starynkevitch (only mine opinions / les opinions sont miennes uniquement) 92340 Bourg-la-Reine, France web page: starynkevitch.net/Basile/
Re: Exécutable étrange
Le 31 mai 2023 BERTRAND Joël a écrit : > avec les droits de www-data:www-data, un fichier de configuration et un > autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je > n'ai pas noté de trafic réseau anormal. > > J'ai viré les trois fichiers en question et j'ai inspecté en profondeur > le système, je n'ai rien trouvé de plus. Je pense savoir comment il a > été déposé ici (mais aucune trace dans les logs). As-tu gardé les fichiers dans un coin ? Il y a quel contenu dans le fichier de conf ? Les programmes sont compilés ou des scripts ? > Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en > googlisant. Il y a un plugin hwmon dans munin, qui se rapprocherait un peu de www-data. Tu as sans doute un serveur web installé ? Vérifie si les document root sont tous explicitement indiqués et assez restrictifs.
Re: Exécutable étrange
Le 2023-05-31 09:55, BERTRAND Joël a écrit : Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en googlisant. Les programmes hwm et hwmon ne me disent rien et je suis plus que surpris de voir un exécutable installé dans /dev/shm, répertoire historiquement dédié à un usage bien précis. On trouve des occurrences de « hwmon » dans la documentation du système de monitoring du noyau Linux et la documentation de certains pilotes de ventilateurs. Mais rien qui ne relie directement le terme « hwmon » à « /dev/shm ». Il existe aussi un module Python : https://pypi.org/project/hwmon/ La documentation de celui-ci mentionne diverses entrées dans /dev, mais pas /dev/shm. Curieux... À ta place, je m'inquièterais un peu et je pousserais plus loin mes investigations. Il faudrait savoir comment des exécutables ont été copiés là et dans quel but. Sébastien -- Sébastien Dinot Ne goutez pas au logiciel libre, vous ne pourriez plus vous en passer ! https://www.palabritudes.net/
Re: Exécutable étrange
hello, juste comme ça, au pif: hwm, ça me fait penser à hardware monitoring. f. Le 31/05/2023 à 09:55, BERTRAND Joël a écrit : Bonjour à tous, Hier soir, je me suis aperçu qu'un serveur ramait énormément. En regardant de près, j'ai trouvé un exécutable étrange : /dev/shm/hwm avec les droits de www-data:www-data, un fichier de configuration et un autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je n'ai pas noté de trafic réseau anormal. J'ai viré les trois fichiers en question et j'ai inspecté en profondeur le système, je n'ai rien trouvé de plus. Je pense savoir comment il a été déposé ici (mais aucune trace dans les logs). Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en googlisant. Bien cordialement, JB
Exécutable étrange
Bonjour à tous, Hier soir, je me suis aperçu qu'un serveur ramait énormément. En regardant de près, j'ai trouvé un exécutable étrange : /dev/shm/hwm avec les droits de www-data:www-data, un fichier de configuration et un autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je n'ai pas noté de trafic réseau anormal. J'ai viré les trois fichiers en question et j'ai inspecté en profondeur le système, je n'ai rien trouvé de plus. Je pense savoir comment il a été déposé ici (mais aucune trace dans les logs). Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en googlisant. Bien cordialement, JB