<p>

<p>

Cette commande indiquera au noyau d'ignorer les messages de ping (paquets icmp de type 0).

Cette commande indiquera au noyau d'ignorer les messages de ping (paquets icmp de type 0).

Les administrateurs utilisent ping comme un outil de diagnostic et se plaindront souvent s'ils ne peuvent l'utiliser. Il n'y a aucune raison que quelqu'un de l'extérieur puisse faire un ping, mais quelquefois cela peut être pratique pour les utilisateurs locaux. Ce problème peut être résolu en désactivant les messages icmp de type 0 sur le pare-feu.

Les administrateurs utilisent ping comme un outil de diagnostic et se plaindront souvent s'ils ne peuvent l'utiliser. Il n'y a aucune raison que quelqu'un de l'extérieur puisse faire un ping, mais quelquefois cela peut être pratique pour les utilisateurs locaux. Ce problème peut être résolu en désactivant les messages icmp de type 0 sur le pare-feu.

</p>

</p>

</pre>

</pre>

<p>

<p>

Les attaques smurf fonctionnent en envoyant un message ICMP de type 0 (ping) à l'adresse broadcast du réseau. Typiquement, l'attaquant utilisera une adresse source fausse. Tous les ordinateurs du réseau répondront alors au message ping et l'hôte qui possède vraiment l'adresse source utilisée sera surchargé de messages.

Les attaques smurf fonctionnent en envoyant un message ICMP de type 0 (ping) à l'adresse broadcast du réseau. Typiquement, l'attaquant utilisera une adresse source fausse. Tous les ordinateurs du réseau répondront alors au message ping et l'hôte qui possède vraiment l'adresse source utilisée sera surchargé de messages.

</p>

</p>

<p>

<p>

<uri link="http://www.Kerneli.org">Kerneli</uri> est un patch qui ajoute des fonctions

<uri link="http://www.Kerneli.org">Kerneli</uri> est un patch qui ajoute des fonctions

options comme : le chiffrement cryptographique, des algorithmes de validation et des filtres

options comme : le chiffrement cryptographique, des algorithmes de validation et des filtres

de boucles cryptographiques.

de boucles cryptographiques.

</p>

</p>

<body>

<body>

<ul>

<ul>

</ul>

</ul>

<p>

<p>

<title>Utiliser xinetd</title>

<title>Utiliser xinetd</title>

<body>

<body>

<p>

<p>

Internet. Il supporte les contrôles d'accès basés sur l'adresse de la machine distante

Internet. Il supporte les contrôles d'accès basés sur l'adresse de la machine distante

et sur l'heure de l'accès. Il fournit également des fonctionnalités avancées de log, incluant

et sur l'heure de l'accès. Il fournit également des fonctionnalités avancées de log, incluant

l'heure de démarrage du serveur, l'adresse de la machine distante, le nom de l'utilisateur distant,

l'heure de démarrage du serveur, l'adresse de la machine distante, le nom de l'utilisateur distant,

# utilise l'utilisateur cvs pour démarrer le service

# utilise l'utilisateur cvs pour démarrer le service

# lie les interfaces à une seule IP

# lie les interfaces à une seule IP

# autorise l'accès uniquement depuis 10.0.0.*

# autorise l'accès uniquement depuis 10.0.0.*

# <path>/etc/hosts.allow</path> et <path>/etc/hosts.deny</path>)

# <path>/etc/hosts.allow</path> et <path>/etc/hosts.deny</path>)

# le max_load sur la machine est de 1.0

# le max_load sur la machine est de 1.0

# L'option de désactivation est normalement inutilisée mais j'aime l'avoir

# L'option de désactivation est normalement inutilisée mais j'aime l'avoir

service cvspserver

service cvspserver

{

{

 socket_type    = stream

 socket_type    = stream

<p>

<p>

La seule option de sécurité que vous devez activer sur OpenSSH concerne l'authentification

La seule option de sécurité que vous devez activer sur OpenSSH concerne l'authentification

<uri>http://www.apache.org</uri>) ont souffert d'intrusions non autorisées sur leurs

<uri>http://www.apache.org</uri>) ont souffert d'intrusions non autorisées sur leurs

</p>

</p>

<pre caption="/etc/ssh/sshd_config">

<pre caption="/etc/ssh/sshd_config">

SyslogFacility AUTH

SyslogFacility AUTH

LogLevel INFO

LogLevel INFO

ListenAddress 127.0.0.1

ListenAddress 127.0.0.1

</pre>

</pre>

<pre caption="Sortie générée par ssh-keygen">

<pre caption="Sortie générée par ssh-keygen">

Generating public/private rsa key pair.

Generating public/private rsa key pair.

Created directory '/home/kn/.ssh'.

Created directory '/home/kn/.ssh'.

Your identification has been saved in /home/kn/.ssh/id_rsa.

Your identification has been saved in /home/kn/.ssh/id_rsa.

Your public key has been saved in /home/kn/.ssh/id_rsa.pub.

Your public key has been saved in /home/kn/.ssh/id_rsa.pub.

The key fingerprint is:

The key fingerprint is:

<title>Lpd</title>

<title>Lpd</title>

<body>

<body>

<p>

<p>

</p>

</p>

</body>

</body>

</section>

</section>

<p>http://pdq.sourceforge.net/</p>

<p>http://pdq.sourceforge.net/</p>

<p>

<p>

</p>

</p>

</body>

</body>

<p>

<p>

Le FTP (File Transfer Protocol) est en général une mauvaise idée. Ce service n'utilise aucun cryptage

Le FTP (File Transfer Protocol) est en général une mauvaise idée. Ce service n'utilise aucun cryptage

pour les données, écoute sur 2 ports (en théorie 20 et 21), supporte des utilisateurs

pour les données, écoute sur 2 ports (en théorie 20 et 21), supporte des utilisateurs

illégaux). Si vous pouvez vous en passer, utilisez plutôt <c>sftpd</c> ou HTTP étant donné que

illégaux). Si vous pouvez vous en passer, utilisez plutôt <c>sftpd</c> ou HTTP étant donné que

le protocole FTP comporte un certain nombre de problèmes de sécurité. Sinon, sécurisez

le protocole FTP comporte un certain nombre de problèmes de sécurité. Sinon, sécurisez

vos services du mieux possible et préparez-vous.

vos services du mieux possible et préparez-vous.

MAX_CONN="-c 30"

MAX_CONN="-c 30"

MAX_CONN_IP="-C 10"

MAX_CONN_IP="-C 10"

DISK_FULL="-k 90%"

DISK_FULL="-k 90%"

AUTH="-lpuredb:/etc/pureftpd.pdb"

AUTH="-lpuredb:/etc/pureftpd.pdb"

</warn>

</warn>

<p>

<p>

</p>

</p>

</body>

</body>

</p>

</p>

<p>

<p>

</p>

</p>

</body>

</body>

<section>

<section>

<title>Postfix</title>

<title>Postfix</title>

<body>

<body>

</body>

</body>

</section>

</section>

</comment>

</comment>

<body>

<body>

<p>

<p>

de <uri link="http://cr.yp.to/djbdns/guarantee.html">l'argent</uri> pour prouver

de <uri link="http://cr.yp.to/djbdns/guarantee.html">l'argent</uri> pour prouver

qu'il est sécurisé. N'hésitez donc plus et essayez-le sur <uri>http://www.djbdns.org/</uri>.

qu'il est sécurisé. N'hésitez donc plus et essayez-le sur <uri>http://www.djbdns.org/</uri>.

Il est très différent de Bind v.9 dans sa façon de travailler, mais vous devriez le maîtriser rapidement.

Il est très différent de Bind v.9 dans sa façon de travailler, mais vous devriez le maîtriser rapidement.

  # Interdit les comptes privilégiés

  # Interdit les comptes privilégiés

  invalid users = root @wheel

  invalid users = root @wheel

  max disk size = 102400

  max disk size = 102400

  # Définit la politique de mots de passe

  # Définit la politique de mots de passe

<body>

<body>

<p>

<p>

Chrooter un service est une façon de limiter l'environnement d'un service (ou d'un utilisateur)

Chrooter un service est une façon de limiter l'environnement d'un service (ou d'un utilisateur)

aux privilèges root. En démarrant un service

aux privilèges root. En démarrant un service

par le biais d'un autre utilisateur que root (nobody, apache, named), un attaquant ne peut

par le biais d'un autre utilisateur que root (nobody, apache, named), un attaquant ne peut

accéder qu'aux fichiers avec les permissions de cet utilisateur. Cela veut dire qu'un

accéder qu'aux fichiers avec les permissions de cet utilisateur. Cela veut dire qu'un

Certains services comme pure-ftpd et bind ont des fonctionnalités permettant d'utiliser

Certains services comme pure-ftpd et bind ont des fonctionnalités permettant d'utiliser

chroot, mais pas tous. Si le service le supporte, utilisez-le, sinon il vous

chroot, mais pas tous. Si le service le supporte, utilisez-le, sinon il vous

faudra trouver un moyen de créer le vôtre. Voyons à présent comment créer un environnement

faudra trouver un moyen de créer le vôtre. Voyons à présent comment créer un environnement

</p>

</p>

<p>

<p>

</p>

</p>

<p>

<p>

<p>

<p>

La méthode est la même pour créer un service en chroot. La seule différence est que

La méthode est la même pour créer un service en chroot. La seule différence est que

dans <path>/etc</path>. Copiez-les tout simplement (des devices peuvent être copiés avec <c>cp -a</c>) vers l'environnement chrooté,

dans <path>/etc</path>. Copiez-les tout simplement (des devices peuvent être copiés avec <c>cp -a</c>) vers l'environnement chrooté,

éditez le script de démarrage (init) pour qu'il utilise le chroot avant de s'exécuter.

éditez le script de démarrage (init) pour qu'il utilise le chroot avant de s'exécuter.

Il peut être difficile de trouver quels périphériques et fichiers de configuration sont

Il peut être difficile de trouver quels périphériques et fichiers de configuration sont

</p>

</p>

<p>

<p>

pensez, écrivez un guide sur son utilité, son type et la personne qui doit s'en occuper.

pensez, écrivez un guide sur son utilité, son type et la personne qui doit s'en occuper.

Mais tout d'abord, lisez ce guide.

Mais tout d'abord, lisez ce guide.

</p>

</p>

</p>

</p>

<ul>

<ul>

</ul>

</ul>

<p>

<p>

</p>

</p>

<ul>

<ul>

</ul>

</ul>

<p>

<p>

Un pare-feu devrait être une machine dédiée sans aucun service (ou uniquement <c>sshd</c>) et

Un pare-feu devrait être une machine dédiée sans aucun service (ou uniquement <c>sshd</c>) et

</p>

</p>

</body>

</body>

<ul>

<ul>

</ul>

</ul>

<p>

<p>

Globalement, le filtrage se fait sur les données contenues dans l'en-tête d'un paquet

Globalement, le filtrage se fait sur les données contenues dans l'en-tête d'un paquet

</p>

</p>

<p>

<p>

<ul>

<ul>

<li>L'adresse d'un paquet peut être contrefaite ou comme le veut le terme

<li>L'adresse d'un paquet peut être contrefaite ou comme le veut le terme

<li>Les données ou requêtes contenues dans le paquet peuvent contenir des données indésirables

<li>Les données ou requêtes contenues dans le paquet peuvent contenir des données indésirables

que l'attaquant peut utiliser pour exploiter des bogues connus dans les services qui sont sur ou

que l'attaquant peut utiliser pour exploiter des bogues connus dans les services qui sont sur ou

</ul>

</ul>

<p>

<p>

</p>

</p>

<ul>

<ul>

<li>Peut donner des avertissements sur une attaque possible avant qu'elle n'arrive (en

<li>Peut donner des avertissements sur une attaque possible avant qu'elle n'arrive (en

</ul>

</ul>

<p>

<p>

</p>

</p>

<ul>

<ul>

</ul>

</ul>

</body>

</body>

</p>

</p>

<ul>

<ul>

</ul>

</ul>

<p>

<p>

</p>

</p>

<p>

<p>

</p>

</p>

<ul>

<ul>

</ul>

</ul>

<p>

<p>

</p>

</p>

<ul>

<ul>

<li>S'adapte parfaitement (certains serveurs de proximité peuvent "partager" les données

<li>S'adapte parfaitement (certains serveurs de proximité peuvent "partager" les données

<li>Peut même modifier le contenu des paquets en temps réel.</li>

<li>Peut même modifier le contenu des paquets en temps réel.</li>

</ul>

</ul>

</p>

</p>

<ul>

<ul>

</ul>

</ul>

<p>

<p>

<p>

<p>

Vous devez activer iptables dans le noyau pour qu'il fonctionne correctement.

Vous devez activer iptables dans le noyau pour qu'il fonctionne correctement.

lorsqu'elle en a besoin), puis j'ai recompilé mon noyau. 

lorsqu'elle en a besoin), puis j'ai recompilé mon noyau. 

Pour plus d'informations sur la configuration du noyau pour iptables allez voir le <uri link="http://iptables-tutorial.frozentux.net/chunkyhtml/kernelsetup.html">Iptables Tutorial Chapter 2: Preparations</uri>.

Pour plus d'informations sur la configuration du noyau pour iptables allez voir le <uri link="http://iptables-tutorial.frozentux.net/chunkyhtml/kernelsetup.html">Iptables Tutorial Chapter 2: Preparations</uri>.

</p>

</p>

<p>

<p>

<p>

<p>

Une connexion TCP est composée d'une série de paquets contenant des

Une connexion TCP est composée d'une série de paquets contenant des

réassembler les paquets par la suite sans perte de données.

réassembler les paquets par la suite sans perte de données.

TCP est un protocole qui établit une connexion contrairement à UDP.

TCP est un protocole qui établit une connexion contrairement à UDP.

</p>

</p>

Avec un filtre de paquets sans état, il est possible de leurrer le filtre en lui faisant accepter des paquets qui devraient être rejetés en manipulant les en-têtes des paquets TCP.

Avec un filtre de paquets sans état, il est possible de leurrer le filtre en lui faisant accepter des paquets qui devraient être rejetés en manipulant les en-têtes des paquets TCP.

Cela peut être réalisé en manipulant le drapeau SYN ou d'autres drapeaux de l'en-tête TCP.

Cela peut être réalisé en manipulant le drapeau SYN ou d'autres drapeaux de l'en-tête TCP.

Avec un filtrage à états il est possible de rejeter de tels paquets, étant donné qu'ils ne font pas partie d'une connexion déja établie.

Avec un filtrage à états il est possible de rejeter de tels paquets, étant donné qu'ils ne font pas partie d'une connexion déja établie.

</p>

</p>

<p>

<p>

</p>

</p>

<p>

<p>

Quand on établit une connexion TCP, le client envoie un paquet au serveur avec le drapeau SYN levé.

Quand on établit une connexion TCP, le client envoie un paquet au serveur avec le drapeau SYN levé.

Quand le serveur reçoit le paquet SYN, il répond en envoyant un paquet SYN+ACK au client.

Quand le serveur reçoit le paquet SYN, il répond en envoyant un paquet SYN+ACK au client.

Quand le paquet SYN+ACK est reçu par le client, il répond avec un troisième paquet ACK qui a pour effet d'établir la connexion.

Quand le paquet SYN+ACK est reçu par le client, il répond avec un troisième paquet ACK qui a pour effet d'établir la connexion.

    <th>Module</th><th>Description</th><th>Options étendues</th>

    <th>Module</th><th>Description</th><th>Options étendues</th>

  </tr>

  </tr>

  <tr>

  <tr>

	une adresse mac.</ti><ti>--mac-source</ti>

	une adresse mac.</ti><ti>--mac-source</ti>

  </tr>

  </tr>

  <tr>

  <tr>

    <ti>state</ti><ti>Active l'inspection des états </ti><ti>--state (les états sont  ESTABLISHED,RELATED, INVALID, NEW)</ti>

    <ti>state</ti><ti>Active l'inspection des états </ti><ti>--state (les états sont  ESTABLISHED,RELATED, INVALID, NEW)</ti>

  </tr>

  </tr>

  <tr>

  <tr>

  </tr>

  </tr>

  <tr>

  <tr>

  </tr>

  </tr>

  <tr>

  <tr>

    <ti>unclean</ti><ti>Plusieurs tests de vérification aléatoires du bon état des paquets </ti><ti/>

    <ti>unclean</ti><ti>Plusieurs tests de vérification aléatoires du bon état des paquets </ti><ti/>

trafic entrant est ignoré.</codenote>

trafic entrant est ignoré.</codenote>

# <i>iptables -P OUTPUT ACCEPT</i>

# <i>iptables -P OUTPUT ACCEPT</i>

# <i>iptables -P INPUT DROP</i>

# <i>iptables -P INPUT DROP</i>

# <i>iptables -A INPUT -j machaine</i>

# <i>iptables -A INPUT -j machaine</i>

</pre>

</pre>

</p>

</p>

<ul>

<ul>

</ul>

</ul>

<pre caption="/etc/init.d/firewall">

<pre caption="/etc/init.d/firewall">

  $IPTABLES -P INPUT   DROP

  $IPTABLES -P INPUT   DROP

  $IPTABLES -P OUTPUT  DROP

  $IPTABLES -P OUTPUT  DROP

  einfo "Créer les chaînes d'état"

  einfo "Créer les chaînes d'état"

  $IPTABLES -N allowed-connection

  $IPTABLES -N allowed-connection

  $IPTABLES -F allowed-connection

  $IPTABLES -F allowed-connection

      --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/FIN:"

      --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/FIN:"

  $IPTABLES -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

  $IPTABLES -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

  einfo "Appliquer les chaînes a INPUT"

  einfo "Appliquer les chaînes a INPUT"

  $IPTABLES -A INPUT -m state --state INVALID -j DROP

  $IPTABLES -A INPUT -m state --state INVALID -j DROP

  $IPTABLES -A INPUT -j icmp_allowed

  $IPTABLES -A INPUT -j icmp_allowed

}

}

restore() {

restore() {

  $IPTABLESRESTORE < $FIREWALL

  $IPTABLESRESTORE < $FIREWALL

  eend $?

  eend $?

}

}

</p>

</p>

<ol>

<ol>

</ol>

</ol>

<p>

<p>

<p>

<p>

Squid est un serveur proxy très puissant, il peut filtrer le trafic en fonction de l'heure, d'une expression rationnelle sur le chemin/uri, d'une adresse IP

Squid est un serveur proxy très puissant, il peut filtrer le trafic en fonction de l'heure, d'une expression rationnelle sur le chemin/uri, d'une adresse IP

source/destination, du domaine, du navigateur, de l'utilisateur, d'un type MIME ou bien d'un

source/destination, du domaine, du navigateur, de l'utilisateur, d'un type MIME ou bien d'un

</p>

</p>

<p>

<p>

du contenu pornographique. La raison pour cela est que Gentoo.org ne devrait <c>pas</c> être listé comme

du contenu pornographique. La raison pour cela est que Gentoo.org ne devrait <c>pas</c> être listé comme

site à caractère pornographique. Et je ne veux pas perdre mon temps à essayer de vous

site à caractère pornographique. Et je ne veux pas perdre mon temps à essayer de vous

trouver des bonnes adresses de sites.

trouver des bonnes adresses de sites.

<ul>

<ul>

  <li>Le surf (HTTP/HTTPS) est autorisé pendant les heures de bureau (du lundi au vendredi 8h-17h et le

  <li>Le surf (HTTP/HTTPS) est autorisé pendant les heures de bureau (du lundi au vendredi 8h-17h et le

  <li>N'aimant pas les bannières publicitaires, elles sont filtrées et remplacées par un gif

  <li>N'aimant pas les bannières publicitaires, elles sont filtrées et remplacées par un gif

  <li>Toute autre connexion venant d'Internet ou vers Internet est interdite.</li>

  <li>Toute autre connexion venant d'Internet ou vers Internet est interdite.</li>

</ul>

</ul>

</p>

</p>

<pre caption="/etc/squid/squid.conf">

<pre caption="/etc/squid/squid.conf">

http_port 10.0.2.1:3128

http_port 10.0.2.1:3128

# Configuration standard

# Configuration standard

acl QUERY urlpath_regex cgi-bin \?

acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY

no_cache deny QUERY

acl all src 0.0.0.0/0.0.0.0

acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl localhost src 127.0.0.1/255.255.255.255

<ol>

<ol>

  <li>Un pare-feu peut représenter un risque s'il est mal configuré et qu'il vaut mieux

  <li>Un pare-feu peut représenter un risque s'il est mal configuré et qu'il vaut mieux

  <li>La clé d'un bon pare-feu est de connaître le protocole que

  <li>La clé d'un bon pare-feu est de connaître le protocole que

  <li>Que le trafic IP ne contient pas que des données légitimes, des

  <li>Que le trafic IP ne contient pas que des données légitimes, des

</ol>

</ol>

<p>

<p>

<body>

<body>

<p>

<p>

à Tripwire). Si vous connaissez déjà Tripwire, vous n'aurez aucune difficulté à configurer AIDE.

à Tripwire). Si vous connaissez déjà Tripwire, vous n'aurez aucune difficulté à configurer AIDE.

</p>

</p>

    <th>Macro</th><th>Description</th><th>Syntaxe</th>

    <th>Macro</th><th>Description</th><th>Syntaxe</th>

  </tr>

  </tr>

  <tr>

  <tr>

  </tr>

  </tr>

  <tr>

  <tr>

  </tr>

  </tr>

  <tr>

  <tr>

  </tr>

  </tr>

  <tr>

  <tr>

  </tr>

  </tr>

  <tr>

  <tr>

  </tr>

  </tr>

  <tr>

  <tr>

  </tr>

  </tr>

  <tr>

  <tr>

    <ti>endif</ti><ti>Endif doit être utilisé après chacune des macros ci-dessus à part define et undef</ti><ti>@@endif</ti>

    <ti>endif</ti><ti>Endif doit être utilisé après chacune des macros ci-dessus à part define et undef</ti><ti>@@endif</ti>

</table>

</table>

<p>

<p>

</p>

</p>

<pre caption="Créer un ensemble de règles pour AIDE">

<pre caption="Créer un ensemble de règles pour AIDE">

verbose=20

verbose=20

report_url=stdout

report_url=stdout

All=R+a+sha1+rmd160

All=R+a+sha1+rmd160

Norm=s+n+b+md5+sha1+rmd160

Norm=s+n+b+md5+sha1+rmd160

<p>

<p>

Dans l'exemple ci-dessus, nous spécifions en quelques macros l'emplacement des répertoires principaux ainsi que du répertoire AIDE. AIDE

Dans l'exemple ci-dessus, nous spécifions en quelques macros l'emplacement des répertoires principaux ainsi que du répertoire AIDE. AIDE

Mais lorsqu'il met à jour ou crée un nouveau fichier, il l'inscrit dans  <path>/etc/aide/aide.db.new</path>. Cela permet d'éviter qu'il n'écrase automatiquement le

Mais lorsqu'il met à jour ou crée un nouveau fichier, il l'inscrit dans  <path>/etc/aide/aide.db.new</path>. Cela permet d'éviter qu'il n'écrase automatiquement le

fichier de base de données précédent. L'option <c>report_URL</c> n'est pas encore implémentée, mais les

fichier de base de données précédent. L'option <c>report_URL</c> n'est pas encore implémentée, mais les

auteurs comptent bien l'utiliser pour envoyer un email ou bien exécuter un script.

auteurs comptent bien l'utiliser pour envoyer un email ou bien exécuter un script.

</p>

</p>

<p>

<p>

</p>

</p>

<pre caption="Programmer AIDE en tâche cron">

<pre caption="Programmer AIDE en tâche cron">

0 3   * * * /usr/bin/aide -u

0 3   * * * /usr/bin/aide -u

<p>

<p>

Dans cet exemple, il démarre tout seul à 3h. Cela évite de déranger les

Dans cet exemple, il démarre tout seul à 3h. Cela évite de déranger les

utilisateurs lorsqu'ils travaillent. Notez également que j'utilise l'option <c>-u</c>

utilisateurs lorsqu'ils travaillent. Notez également que j'utilise l'option <c>-u</c>

n'écrase pas la base de données originale, cela devrait accélerer la procédure car

n'écrase pas la base de données originale, cela devrait accélerer la procédure car

vous n'avez plus qu'à copier le fichier lorsqu'un changement est détecté. Avant de copier, vérifiez les

vous n'avez plus qu'à copier le fichier lorsqu'un changement est détecté. Avant de copier, vérifiez les

changements pour vous assurer que c'est bien vous qui les avez faits et pas un

changements pour vous assurer que c'est bien vous qui les avez faits et pas un