Plus grands piratages et arnaques crypto de 2026 à ce jour

Les piratages, arnaques et exploitations crypto ont causé plus de 1,3 milliard de dollars de pertes brutes au cours du premier semestre 2026, plusieurs grands incidents dominant le total enregistré. TL;DR

  • Les piratages, arnaques et exploitations crypto ont causé 1,316 milliard de dollars de pertes brutes au cours du premier semestre 2026.
  • Kelp DAO, Drift Protocol et une victime unique d’hameçonnage ciblé ont représenté environ 65% de ce total.
  • Les plus gros incidents ont compromis l’infrastructure RPC, des permissions administratives, des systèmes de signature ou des appareils privilégiés plutôt que du code de smart contract public.
  • Ce classement a été préparé le 17 juillet, laissant 167 jours, soit 45,8% de l’année, pour de nouveaux incidents, des récupérations, et des attributions révisées pouvant modifier la liste.

Les pertes liées à la sécurité crypto ont atteint 1,316 milliard de dollars sur 344 incidents au cours du premier semestre 2026, selon le rapport de sécurité H1 de CertiK. Environ 115,3 millions de dollars ont été gelés ou restitués, ce qui réduit la perte ajustée à environ 1,2 milliard. L’amélioration apparente par rapport à 2025 a besoin de contexte. Le total du premier semestre de l’année précédente incluait l’exceptionnel piratage Bybit de 1,45 milliard de dollars. Une fois ce seul événement exclu, CertiK estime que des pertes comparables ont augmenté d’environ 28% en 2026. La répartition de ces pertes est tout aussi importante que le total. Le coût moyen d’un incident était d’environ 3,82 millions de dollars, tandis que la perte médiane n’était que de 138 703 dollars. La moyenne dépasse donc la médiane de plus de 27 fois, montrant qu’un petit nombre d’échecs extrêmes a entraîné le résultat global. Trois incidents à eux seuls, Kelp DAO, Drift Protocol et un vol d’hameçonnage ciblé de 284 millions de dollars, ont représenté environ 65% de toutes les pertes déclarées sur le premier semestre. Un classement des pertes exige plus d’un seul chiffre Les rapports d’incidents crypto comparent souvent des chiffres qui mesurent différentes formes de dommages.

Pertes brutes

La valeur retirée d’un protocole ou d’une victime avant les récupérations.

Extraction réalisée

Les actifs que l’attaquant a convertis avec succès en valeur économique transférable.

Perte nette

Le montant encore manquant après gels, retours, remboursements et récupérations.

Passifs utilisateurs

Les créances dues par une plateforme, qui peuvent être plus grandes ou plus petites que les gains initiaux de l’attaquant.

Exposition notionnelle

La valeur théorique d’actifs frauduleusement émis ou placés en risque, même lorsque l’attaquant n’a pas pu monétiser l’intégralité du montant.

Le classement ci-dessous utilise principalement les pertes brutes déclarées. Les récupérations, les valorisations contestées et les écarts entre les produits de l’attaquant et les passifs de la plateforme sont indiqués séparément. Pour les incidents impliquant la création de tokens non adossés, l’extraction réalisée est plus significative que la valeur nominale de l’offre frauduleuse. Sinon, un attaquant qui crée 100 millions de dollars d’un token illiquide mais extrait 1 million de dollars de collatéral réel pourrait être classé à tort comme ayant volé l’intégralité des 100 millions. Les plus grosses pertes crypto déclarées de 2026

  1. Kelp DAO – 292 millions Le 18 avril, des attaquants ont fait en sorte que le contrat de pont Ethereum de Kelp DAO libère environ 116 500 rsETH sans combustion correspondante de token sur la chaîne source. L’enquête de Chainalysis a révélé que les attaquants avaient compromis deux nœuds RPC internes utilisés par le Réseau de Vérification Décentralisée de LayerZero tout en perturbant simultanément un point de terminaison RPC externe via une attaque par déni de service distribué. Les nœuds manipulés ont signalé une combustion de chaîne source qui n’avait jamais eu lieu. Étant donné que la configuration du pont de Kelp reposait sur un seul vérificateur, aucun second réseau indépendant n’était requis pour confirmer si la combustion signalée était réelle. Le contrat de destination a reçu un message correctement formaté et signé, puis a libéré les actifs exactement comme programmé. La défaillance venait de l’infrastructure fournissant l’information au contrat, pas de l’exécution par le contrat de cette information. Kelp a mis en pause rapidement les contrats concernés pour empêcher une seconde tentative de retrait impliquant environ 40 000 rsETH, puis d’une valeur d’environ 95 millions de dollars. Le Conseil de Sécurité Arbitrum a ensuite gelé 30 766 ETH liés aux activités en aval de l’attaquant. Chainalysis et LayerZero ont attribué l’opération au Lazarus Group de Corée du Nord, plus précisément à son sous-groupe TraderTraitor. L’attribution a été faite par des parties directement impliquées dans l’enquête, même si les conclusions concernant des acteurs sponsorisés par l’État peuvent encore évoluer à mesure que des preuves supplémentaires apparaissent. Le montant gelé n’efface pas l’échec initial de la comptabilité du pont. Les pertes brutes, les fonds récupérables, les produits de l’attaquant et tout manque de support restant doivent être traités comme des chiffres distincts.
  2. Drift Protocol – 285 millions Drift Protocol a perdu environ 285 millions de dollars le 1er avril après que des attaquants ont obtenu le contrôle administratif de son Security Council. D’après Chainalysis, des personnes se faisant passer pour des représentants d’une société de trading quantitative ont passé des mois à établir des relations avec des contributeurs de Drift. Les membres du Security Council ont finalement été persuadés de signer des transactions en utilisant la fonctionnalité durable-nonce de Solana, qui permet de conserver des transactions valablement signées et de les exécuter à un moment ultérieur. Ces transactions ont transféré le contrôle administratif à une adresse contrôlée par l’attaquant. Une fois cette autorité obtenue, les attaquants ont supprimé les limites de retrait, approuvé un token appelé CVT, presque sans valeur, comme collatéral, lui ont attribué une valorisation artificielle, puis ont déposé 500 millions d’unités. La position qui en a résulté a été utilisée pour retirer USDC, SOL, ETH et d’autres actifs portant une vraie valeur externe. La prise de contrôle administrative s’est produite via deux transactions exécutées à une seconde d’intervalle, mais les retraits suivants ont continué sur une période plus longue. Décrire l’ensemble de la perte de 285 millions de dollars comme survenu en 10 secondes serait donc inexact. Chainalysis a fondé une partie de sa reconstruction sur l’enquête menée par Drift elle-même et a noté que le compte n’avait pas encore été vérifié indépendamment via une revue tierce terminée. Les preuves préliminaires étaient cohérentes avec des opérations précédentes en provenance de Corée du Nord, mais l’attribution formelle restait en attente. Drift a ensuite évoqué environ 295 millions de dollars de pertes utilisateurs. Ce chiffre plus élevé semble représenter des passifs de la plateforme plutôt que les produits initiaux de l’attaquant et ne doit pas être traité comme une estimation alternative de la même quantité.
  3. Pertes d’hameçonnage ciblé rapportées par CertiK – 284 millions Une seule personne a perdu environ 284 millions de dollars lors d’un incident d’ingénierie sociale ciblée en janvier, selon CertiK. L’identité de la victime et la séquence d’attaque complète n’ont pas été divulguées publiquement. Cela limite les conclusions pouvant être tirées de manière responsable concernant la configuration du portefeuille, la méthode exacte d’ingénierie sociale et les perspectives de récupération. L’ampleur est néanmoins significative. Un portefeuille contrôlé en privé a causé presque autant de dégâts financiers que l’incident de Drift Protocol et a dépassé les pertes combinées de la plupart des exploits de protocoles plus petits enregistrés au cours du premier semestre. CertiK a comptabilisé 366,3 millions de dollars de pertes liées à l’hameçonnage sur 63 incidents au H1. Le nombre de cas d’hameçonnage a chuté de 52,3% par rapport à la même période en 2025, mais les pertes n’ont diminué que de 10,8%. Quatre incidents ont représenté environ 85% de toutes les pertes liées à l’hameçonnage. Les données suggèrent un changement dans la sélection des cibles plutôt que la disparition de l’hameçonnage. Les campagnes de grande ampleur restent fréquentes, mais le résultat financier est de plus en plus déterminé par un petit nombre d’opérations soigneusement préparées visant des personnes ou des organisations qui contrôlent une richesse onchain substantielle.
  4. Step Finance – environ 40 millions Step Finance a déclaré qu’environ 40 millions de dollars avaient été vidés de sa trésorerie le 31 janvier après que des appareils utilisés par des membres de son équipe exécutive aient été compromis. Dans sa mise à jour officielle de l’incident, le projet a indiqué qu’il avait récupéré environ 3,7 millions de dollars d’actifs Remora et encore 1 million de dollars sur d’autres positions.

Déclaration à propos de l’incident de sécurité récent

Dans l’après-midi du 31 janvier (APAC), environ $40M a été vidés de la trésorerie de Step Finance. C’était la conséquence de la compromission des appareils de notre équipe exécutive.

Immédiatement après avoir détecté la faille, nous avons commencé à travailler…

— Step☀️ (@StepFinance_) 2 février 2026

Des estimations onchain antérieures plaçaient la perte plus près de 27 millions de dollars, car elles se concentraient sur les environ 261 854 SOL initialement identifiés comme ayant quitté les portefeuilles de trésorerie. Le chiffre ultérieur de Step incluait un groupe plus large d’actifs touchés. Utiliser l’estimation brute de 40 millions de dollars du projet tout en déclarant séparément le montant récupéré donne une image plus complète que le choix d’un seul chiffre sans expliquer pourquoi les estimations diffèrent. Les conséquences financières d’une attaque peuvent aussi s’étendre au-delà du montant transféré à l’attaquant. Un financement d’urgence, des frais juridiques, une compensation des utilisateurs, des opérations interrompues et une perte de revenus peuvent rendre l’impact final plus important que le retrait onchain initial. 5. Humanity Protocol – 36 millions Humanity Protocol a subi une attaque le 9 juin après qu’un appareil compromis a exposé des données de portefeuille et des clés privées associées à des comptes de projet privilégiés. Dans sa présentation officielle, Humanity a déclaré que l’attaquant avait copié des clés privées depuis l’appareil et les avait utilisées pour exécuter l’attaque onchain. Le projet a également indiqué que le contrat du token H sur Ethereum était protégé par un clean multisig séparé et que son pont canonique vers le mainnet n’avait pas été compromis.

https://t.co/VjouykTSPw

— Humanity (@Humanityprot) 12 juin 2026

Les estimations publiées varient d’environ 31 millions à 36 millions de dollars, en partie parce que les tokens H volés ont été valorisés à des prix de marché différents et à des stades différents de l’incident. Le problème structurel le plus important était la concentration de plusieurs identifiants privilégiés sur un seul point d’extrémité compromis. Un arrangement à multisignature n’apporte une protection significative que lorsque ses clés sont séparées entre des personnes, des appareils, des lieux et des environnements administratifs. Plusieurs identifiants stockés sur le même ordinateur compromis, ou récupérables depuis celui-ci, peuvent satisfaire un seuil de signature onchain tout en fonctionnant comme un seul point de défaillance pratique. 6. Resolv Protocol – environ 26,8 millions de dollars Resolv Protocol a été exploité le 22 mars après qu’un attaquant ait compromis son infrastructure cloud et obtenu l’accès à une clé contrôlée via AWS Key Management Service. Resolv a utilisé un service hors chaîne pour autoriser la création de USR après que les utilisateurs aient déposé du collatéral. D’après l’analyse d’incident de CertiK, l’attaquant a effectué relativement de petits dépôts légitimes de USDC puis a utilisé le rôle de service compromis pour autoriser environ 80 millions de USR sur deux transactions. Le contrat a vérifié que l’autorisation provenait du service approuvé. Il imposait une sortie minimale mais n’a pas appliqué de montant maximal lié au collatéral déposé par l’utilisateur. Une fois le service privilégié compromis, l’attaquant pouvait produire des signatures valides cryptographiquement mais non soutenues économiquement. Cela ne signifie pas que les services de gestion de clés cloud sont intrinsèquement inadaptés à l’infrastructure crypto. Le problème de conception plus large était le niveau d’autorité économique non restreinte accordée à un seul rôle de service. Une clé protégée peut encore devenir un point de défaillance catastrophique lorsque le contrat qui reçoit ses signatures n’applique pas indépendamment des ratios de collatéral, des plafonds de minting, des limites de transaction, ou une vitesse de retrait. 7. Truebit – 26 millions Truebit a été exploité le 8 janvier via une vulnérabilité de dépassement d’entier dans un contrat de bonding-curve déployé en 2021. Le contrat avait été compilé avec Solidity 0.5.3, avant l’introduction de la protection automatique contre les dépassements dans Solidity 0.8.0. Un attaquant a fourni une valeur exceptionnellement grande qui a provoqué un retour arithmétique vers un nombre proche de zéro. Cela a permis de créer de grandes quantités de TRU pour presque pas d’ETH, puis de les racheter contre de vrais ETH détenus par le contrat. Chainalysis a estimé la perte principale à 26,2 millions de dollars. CertiK a placé le montant combiné plus près de 26,6 millions de dollars, en incluant environ 224 000 dollars extraits par un second attaquant. L’implémentation vulnérable n’avait pas été vérifiée publiquement sur Etherscan. Cela n’a pas empêché les attaquants de l’examiner. Le bytecode d’un contrat peut être décompilé, le comportement de l’ancien compilateur peut être identifié, et les vulnérabilités suspectées peuvent être testées via des simulations ou des forks de blockchain. Truebit est la exception majeure la plus claire au schéma plus large observé en 2026. Sa perte provient d’une logique d’exécution publique plutôt que d’une autorité opérationnelle compromise. Cela montre aussi pourquoi les contrats inactifs doivent rester dans le périmètre d’audit, de monitoring et des bug-bounties aussi longtemps qu’ils conservent des fonds ou des permissions. Pourquoi Echo Protocol ne se classe pas comme un vol de 76,7 millions de dollars Echo Protocol est parfois décrit comme ayant subi une perte de 76,7 millions de dollars parce qu’un attaquant a utilisé une clé administrateur compromise pour frapper 1 000 eBTC non adossés portant cette valeur notionnelle. L’attaquant n’a pas extrait 76,7 millions de dollars d’actifs réels. D’après Merkle Science, 45 des eBTC frauduleux ont été déposés dans le protocole de prêt Curvance. L’attaquant a emprunté environ 11,29 WBTC, d’une valeur d’environ 867 000 dollars, avant que les 955 eBTC non adossés restants ne soient brûlés. Les chiffres exacts sont donc :

  • Émission frauduleuse : environ 76,7 millions de dollars en eBTC notionnels.
  • Actifs réels extraits : environ 867 000 dollars en WBTC.
  • Offre non adossée restante : brûlée après l’incident.

Classer l’intégralité du montant notionnel comme volé exagérerait le dommage réalisé d’environ 90 fois. Echo révèle toutefois un problème important de risque de collatéral. L’oracle de Curvance a correctement reconnu la valeur de marché attribuée aux eBTC, mais il ne pouvait pas déterminer que ces tokens précis avaient été créés sans adossement. L’intégrité du prix n’est pas la même chose que l’intégrité de l’émission. Les protocoles de prêt qui acceptent comme collatéral des actifs émis en externe ont besoin de contrôles pour la création anormale d’offre, les changements de l’autorité d’émission, les dépôts soudains de collatéral, la vérification de l’adossement et le risque administratif au niveau de l’émetteur. Un flux de prix correct ne peut pas répondre à ces questions à lui seul. La défaillance commune était le plan de contrôle Les plus grands incidents de 2026 ne partagent pas une seule vulnérabilité de code. Ils partagent des faiblesses dans les systèmes responsables de décider ce que le code était autorisé à faire. Dans la terminologie d’infrastructure traditionnelle, la couche d’exécution traite l’activité ordinaire, tandis que le plan de contrôle détermine les permissions, les configurations, les sources de données de confiance et les actions exceptionnelles.

Cette distinction correspond étroitement aux plus grands incidents :

Kelp : un vérificateur a accepté une version fabriquée de l’activité de la chaîne source.

Drift : des signatures valides ont transféré le contrôle administratif.

Step : des appareils exécutifs compromis ont exposé l’autorité de trésorerie.

Humanity : un point d’extrémité compromis a exposé des clés privilégiées.

Resolv : un rôle de service compromis a créé des autorisations valides mais non soutenues économiquement.

Echo : une clé administrateur pouvait accorder une autorité de minting sans plafond.

Truebit : l’exception était un défaut arithmétique dans le code de contrat historique.

CertiK a recensé 204 incidents liés à des vulnérabilités de code au cours du premier semestre, ce qui a produit environ 151,6 millions de dollars de pertes. Les compromissions de portefeuilles ont causé 444,5 millions de dollars sur seulement 33 incidents. Cela revient à une moyenne d’environ 743 000 dollars par incident de vulnérabilité de code et de 13,5 millions de dollars par incident de compromission de portefeuille. En moyenne, une compromission de portefeuille coûtait environ 18 fois plus cher. La comparaison ne rend pas moins importantes les audits de smart contracts. Elle montre qu’auditer le contrat en excluant ses signataires, ses dépendances RPC, ses interfaces administratives, ses rôles cloud et ses contrôles d’urgence laisse une part substantielle du système financier non testée. Cinq contrôles qui traitent les défaillances réelles Imposer des limites économiques après l’authentification Une signature valide doit prouver qui a approuvé une action. Elle ne doit pas accorder une autorité économique illimitée. Le minting, le bridging, l’approbation du collatéral et les retraits peuvent encore être restreints via des tailles de transaction maximales, des limites glissantes, des ratios de collatéral, des délais, des plafonds spécifiques d’actifs et des pauses automatiques. Ces contrôles peuvent ne pas empêcher une compromission d’identifiants, mais ils peuvent empêcher qu’une seule clé compromise crée immédiatement une responsabilité illimitée. Mesurer l’indépendance, pas seulement le nombre de clés Un multisig 3-de-5 n’est pas significativement distribué lorsque trois clés peuvent être récupérées depuis un seul ordinateur portable ou contrôlées via le même compte d’entreprise. La guidance de gestion des clés du NIST met l’accent sur des contrôles de cycle de vie incluant l’autorisation, la sauvegarde, la responsabilisation, la séparation des tâches, la réponse en cas de compromission, et la protection du matériel de keying. Les protocoles doivent identifier si des signataires supposés indépendants partagent des appareils, des gestionnaires de mots de passe, des locataires cloud, des procédures de récupération, des lieux physiques, ou des lignes de reporting. Surveiller les relations, pas uniquement les transactions Chaque transaction individuelle dans l’exploit de Kelp semblait valide. La défaillance détectable était l’absence de relation entre les deux chaînes : les rsETH ont été libérés sur Ethereum sans être brûlés sur la chaîne source. Le monitoring des ponts doit rapprocher en continu les locks, burns, mints et releases sur chaque réseau pertinent. Des contrôles d’invariants similaires peuvent comparer le collatéral déposé aux tokens frappés, les réserves à l’offre en circulation, et les limites de retrait approuvées aux sorties réelles. Simuler l’intention administrative avant de signer Les portefeuilles matériels protègent les clés privées, mais ils ne peuvent pas déterminer si un utilisateur légitime approuve une transaction malveillante. Les transactions administratives doivent être décodées et simulées dans un environnement séparé avant l’exécution. Les signataires doivent voir les changements de permission résultants, les nouveaux actifs de collatéral approuvés, les paramètres de tarification, les limites de retrait, les mises à niveau du contrat et les transferts de propriété, pas seulement un hash de transaction ou une invite de portefeuille opaque. Garder les contrats historiques dans le périmètre de sécurité Un contrat ne devient pas plus sûr parce qu’il a fonctionné sans incident pendant plusieurs années. Tout déploiement qui détient des actifs, traite des rachats, contrôle les permissions du protocole, ou reste connecté à des produits actuels doit avoir un code source vérifié, des hypothèses de compilation documentées, un monitoring actif, et une inclusion dans les programmes d’audit et de bug-bounty. La décompilation assistée par IA peut réduire le temps dont les attaquants ont besoin pour identifier de vieilles failles d’arithmétique, de contrôle d’accès ou de validation. La sécurité par l’obscurité devient moins efficace à mesure que ces outils s’améliorent. L’IA amplifie des modèles de fraude existants L’IA n’a pas créé les vulnérabilités de base derrière Kelp, Drift, Resolv ou Echo. Son effet plus immédiat est de réduire le coût de la recherche de cibles, de l’usurpation, de la localisation et de la communication continue. Le rapport 2026 sur le crime crypto de Chainalysis, qui analyse l’activité 2025, a révélé que les opérations d’arnaque avec des liens identifiables à des fournisseurs de services IA étaient environ 4,5 fois plus rentables que celles sans ces liens. Cette preuve ne doit pas être présentée comme un argument que chaque attaque sophistiquée en 2026 a utilisé l’IA. Elle montre que les opérations assistées par IA généraient déjà des rendements plus élevés et pouvaient rendre plusieurs techniques établies plus faciles à mettre à l’échelle :

Identité synthétique

Imitation par deepfake de vidéo et de voix.

Reconnaissance avancée

Recherche de cibles à travers des réseaux sociaux et professionnels.

Ingénierie sociale multilingue

Conversations longues durée dans plusieurs langues.

Hameçonnage adaptatif

Interfaces clonées et pages d’hameçonnage personnalisées.

Recherche automatisée de vulnérabilités

Analyse automatisée des contrats et du bytecode décompilé.

Le développement probable est une combinaison de méthodes sociales et techniques. L’ingénierie sociale obtient l’identifiant ou l’autorisation ; les permissions existantes du protocole transforment cet accès en perte financière. Les changements de réglementation : responsabilité, pas mécanique d’exploit La période transitoire MiCA de l’Union européenne s’est achevée le 1er juillet 2026. Les fournisseurs de services d’actifs crypto couverts nécessitent généralement désormais une autorisation pour continuer d’opérer dans l’UE, sous réserve du champ d’application de la réglementation et des décisions de supervision nationales. MiCA peut renforcer la gouvernance, la garde, les contrôles opérationnels et la responsabilisation. Elle ne peut pas déterminer si un pont utilise des vérificateurs indépendants, si des clés privilégiées sont correctement séparées, ou si un signataire autorisé comprend une transaction malveillante. La loi US GENIUS Act a été promulguée le 18 juillet 2025 et établit un cadre fédéral pour les stablecoins de paiement. Ce n’est pas un régime général de cybersécurité pour chaque pont, échange, portefeuille ou protocole DeFi. La réglementation détermine qui est responsable et quels garde-fous doivent exister. L’ingénierie de sécurité détermine si un message forgé, une clé compromise ou une approbation malveillante peut exécuter avant que ces garde-fous ne répondent. Ce qu’il faut surveiller le reste de 2026 Le tableau final de la sécurité en 2026 devrait être jugé au-delà de la perte cumulée mise en avant dans les gros titres.

Intelligence de sécurité : indicateurs clés

Concentration des pertes

Si quelques incidents extrêmes continuent de dominer le total annuel.

Surface d’attaque

Si les compromissions de portefeuilles, administratives, cloud et d’infrastructure restent plus coûteuses que les exploits de code.

Dommages ajustés des récupérations

Combien reste manquant après les gels, les remboursements et les retours négociés.

Qualité de l’attribution

Si des liens préliminaires vers des groupes sponsorisés par des États sont confirmés par des enquêtes terminées.

Adoption des contrôles

Si les protocoles introduisent des vérifications indépendantes, la simulation des transactions, la séparation des clés et des limites économiques opposables avant le prochain grand incident.

Ce classement est un instantané préparé le 17 juillet, pas un enregistrement final de l’année. Près de 46% de 2026 reste à venir, et les chiffres historiques de pertes peuvent continuer à changer avec les récupérations d’actifs, les révisions de prix des tokens, la découverte de nouveaux portefeuilles, et des distinctions plus claires entre exposition notionnelle et vol réalisé. Les preuves soutiennent une conclusion plus étroite : les incidents à plus forte valeur ciblent de plus en plus les systèmes de contrôle autour des smart contracts, des signataires, des appareils, de l’infrastructure RPC, des services privilégiés et des réseaux de vérification, plutôt que la logique du contrat seule.

Cet article est fourni à des fins éducatives uniquement. Les valorisations des incidents peuvent évoluer en raison des mouvements de prix des actifs, des récupérations, des attributions révisées et des différences entre l’exposition brute, l’extraction réalisée et les pertes nettes.

Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • Commentaire
  • Reposter
  • Partager
Commentaire
Ajouter un commentaire
Ajouter un commentaire
Aucun commentaire
  • Épinglé