16
FlashInformatique.epfl.ch p/a EPFL - Domaine IT - Station 8 - CH 1015 Lausanne - tél. +41 21 69 322 11 24.05.2011 5 tout public public averti expert Actualités DIT-info: z L'heure-DIT J. Dousson 1 z IPv6 S. Lanouar 1 z FI numéro spécial rentrée 2011-2012 J. Dousson 2 z CUDA F. Lapique 2 z Le DIT vous forme… 2 Analyse Mot-croisé: LIBRE Amnesty International, S. Bancal, E. Rosales & R. Timsit 14 À votre service Mails frauduleux à l'EPFL, attention! J. Dousson 12 Tequila logout, quitte ou double ? Cl. Lecommandeur 16 Comment faire? go.epfl.ch N. Borboen 11 Logiciel libre KeePass, votre coffre-fort de mots de passe J.-D. Bonjour 3 Un, deux, trois… serveurs ! R. Timsit 13 Prochaines parutions No Délai de rédaction Parution 6 09.06.11 28.06.11 7 30.06.11 23.08.11 Rentrée 22.08.11 16.09.11 page 14 Mot-croisé L'heure-DIT Nous avons constaté que dans les unités de l’EPFL le rôle de respon- sable informatique est parfois donné à de nouveaux collaborateurs, fraîchement arrivés sur le campus. Afin de mieux les informer sur l’environnement informatique dans lequel ils vont évoluer, le DIT organise l’heure-DIT: durée: 1 heure quand: de 11 à 12 heures thème: une seule thématique sera abordée pendant cette heure lieu: salle de conférence du DIT, sans inscription public visé: les responsables informatiques d’unités ou équivalents (ce ne sont pas des présentations destinées aux utilisateurs standard) fréquence: une dizaine par an environ langue: français (éventuelllement anglais si une majorité de non francophones). La première heure-DIT aura lieu le jeudi 16 juin de 11 à 12 heures en salle de confé- rence du DIT, le thème sera la sécurité informatique à l’EPFL. La prochaine sera sans doute en septembre et fera le point sur le réseau. Le DIT espère ainsi mettre à niveau les connaissances des responsables informatique d’unité afin qu’ils puissent ensuite mieux assurer leur rôle de support et de conseil. Jacqueline.Dousson@epfl.ch, Domaine IT IPv6 Le 8 Juin 2011 nous participerons aux 24 heures du premier test mondial grandeur nature d’IPv6, le protocole Internet de nouvelle génération. Google, Facebook, Yahoo!, Akamai et Limelight Networks seront parmi quelques-unes des princi- pales organisations qui offriront leur contenu en IPv6 ce jour là (isoc.org/wp/worldipv6day/). Tous ceux qui sont intéressés à tester IPv6 sont les bienvenus le mercredi 8 Juin 2011 de 9h à 17h à la salle de conférence du DIT MA AO 364. Soumaya.Lanouar@epfl.ch, Domaine IT IPv6:World::Day 2011:June::8 DIT-info Actualités HEURE DIT

Flash informatique 2011 - no 5

  • Upload
    epfl

  • View
    216

  • Download
    2

Embed Size (px)

DESCRIPTION

Journal informatique de l'Ecole Polytechnique Fédérale de Lausanne du 24 mai 2011

Citation preview

Page 1: Flash informatique 2011 - no 5

FlashInformatique.epfl.ch

p/a EPFL - Domaine IT - Station 8 - CH 1015 Lausanne - tél. +41 21 69 322 11

24.05.20115

tout public public averti expert

ActualitésDIT-info:

z L'heure-DIT J. Dousson 1

z IPv6 S. Lanouar 1

z FI numéro spécial rentrée 2011-2012

J. Dousson 2

z CUDA F. Lapique 2

z Le DIT vous forme… 2

AnalyseMot-croisé: LIBRE Amnesty International,

S. Bancal, E. Rosales & R. Timsit 14

À votre serviceMails frauduleux à l'EPFL, attention!

J. Dousson 12

Tequila logout, quitte ou double ?

Cl. Lecommandeur 16

Comment faire?go.epfl.ch

N. Borboen 11

Logiciel libreKeePass, votre coffre-fort de mots de passe

J.-D. Bonjour 3

Un, deux, trois… serveurs !

R. Timsit 13

Prochaines parutions

No Délai de rédaction Parution

6 09.06.11 28.06.11

7 30.06.11 23.08.11

Rentrée 22.08.11 16.09.11

page 14

Mot-croisé

L'heure-DIT

Nous avons constaté que dans les unités de l’EPFL le rôle de respon-sable informatique est parfois donné à de nouveaux collaborateurs, fraîchement arrivés sur le campus. Afin de mieux les informer sur l’environnement informatique dans lequel ils vont évoluer, le DIT organise l’heure-DIT:durée: 1 heurequand: de 11 à 12 heuresthème: une seule thématique sera abordée pendant cette heurelieu: salle de conférence du DIT, sans inscriptionpublic visé: les responsables informatiques d’unités ou équivalents (ce ne sont pas des

présentations destinées aux utilisateurs standard)fréquence: une dizaine par an environlangue: français (éventuelllement anglais si une majorité de non francophones).La première heure-DIT aura lieu le jeudi 16 juin de 11 à 12 heures en salle de confé-rence du DIT, le thème sera la sécurité informatique à l’EPFL.La prochaine sera sans doute en septembre et fera le point sur le réseau.Le DIT espère ainsi mettre à niveau les connaissances des responsables informatique d’unité afin qu’ils puissent ensuite mieux assurer leur rôle de support et de conseil.

[email protected], Domaine IT

IPv6

Le 8 Juin 2011 nous participerons aux 24 heures du premier test mondial grandeur nature d’IPv6, le protocole Internet de nouvelle génération. Google, Facebook, Yahoo!, Akamai et Limelight Networks seront parmi quelques-unes des princi-pales organisations qui offriront leur contenu en IPv6 ce jour là (isoc.org/wp/worldipv6day/).

Tous ceux qui sont intéressés à tester IPv6 sont les bienvenus le mercredi 8 Juin 2011 de 9h à 17hà la salle de conférence du DIT MA AO 364.

[email protected], Domaine IT

IPv6:World::Day2011:June::8

DIT-infoActualités

HEURE DIT

Page 2: Flash informatique 2011 - no 5

2 Flash informatique – 24 mai 2011 - N° 5 Flash informatique – 24 mai 2011 - N° 5

ImpressumRevue consacrée aux technologies de l’information, éditée par le Domaine IT de l’EPFL (DIT). Les articles n’engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d’autres entités). Toute reproduction, même par-tielle, n’est autorisée qu’avec l’accord de la rédaction et des auteurs.

Rédacteur en chef:Jacqueline Dousson, [email protected] en page & graphisme: Appoline Raposo de BarbosaComité de rédaction:Aristide Boisseau, Paulo de Jesus, Patrice Fumasoli, Jean-Damien Humair, Laurent Kling, Julia Paolini, Vittoria Rezzonico, François Roulet, Christophe Salzmann, Predrag Viceic & Jacques Virchaux

Impression: Atelier de Reprographie EPFLTirage: 4000 exemplairesAdresse Web: FlashInformatique.epfl.chAdresse: Domaine IT EPFLStation 8, CH-1015 LausanneTéléphone: +41 21 69 32246 & 32247Abonnement au FI par e-mail à: [email protected]

DIT-info

FI spécial rentrée 2011-2012

Appel aux articlesEn septembre 2010, nous avons consacré un numéro spécial du Flash informatique aux étudiants en nous basant sur le constat que ce lectorat, pourtant la raison d’être de notre école, était très souvent négligé par nos auteurs. Nous avions tenté d’y regrou-per toutes les informations utiles aux étudiants, surtout à ceux fraîchement débarqués sur le campus; ceux-ci ont beau être nés avec le Web et passer beaucoup de temps sur les réseaux sociaux, ils ne connaissent pas forcément les beautés cachées de Gaspar, myPrint, ISA, Jahia et cie. Cette année nous allons faire le même exercice.J’appelle donc à tous les auteurs potentiels:z responsables de prestations pour les étudiants,z responsables de l’informatique pour les sections,z étudiants pour partager des expériences ou des développe-

ments,à me contacter afin de mettre sur pied un numéro riche d’infor-mations. Le délai de rédaction de ce numéro est fixé au 22 août, mais contactez-moi dès que possible !

Concours réservé aux étudiantsEt bien sûr, comme l’an passé, un concours réservé aux étudiants de l’EPFL avec un prix de 1000 Francs sera associé à ce numéro !

[email protected], Domaine IT

Actualités

CUDA

Le DIT organise une journée d’introduc-tion à la programmation de l’architec-ture CUDA, le

vendredi 24 juin de 9 à 17 heuressalle de conférence DIT

Cette journée sous la forme de quatre sessions couvrira tous les aspects du calcul GPU sur la base de la nouvelle version 4.0.Cette dernière version apporte un certain nombre d’amélioration clés pour faciliter la programmation multi-GPU et l’intégration de MPI ( voir le communiqué de presse du 28/02/2001 de NVIDIA(www.nvidia.fr/object/nvidia-cuda-4-0-press-20110228-fr.html).Ce cours est réservé à celles et ceux des universités et HES ro-mandes qui ont un projet concret dans ce domaine. Le portable est nécessairepour de petits travaux pratiques. Le nombre de places étant limité(environ 20 places) vous pouvez vous inscrire auprès du signataire.

[email protected], Domaine IT

Le DIT vous forme…

Comme chaque été, le DIT vous propose des cours d’été, vous les découvrirez semaine après semaine en cliquant suite… au bas de notre page Web dit.epfl.ch/cours. Ces formations ont lieu sur une ou plusieurs sessions durant la même semaine mais certaines selon un horaire estival, c’est-à-dire de 8h30 à 11h00 ou de 13h00 à 15h30.Pour plus de renseignements n’hésitez pas à contacter l’équipe par courriel [email protected] !

L’équipe des cours

Page 3: Flash informatique 2011 - no 5

3Flash informatique – 24 mai 2011 - N° 5 Flash informatique – 24 mai 2011 - N° 5

How to store safely all your precious digital IDs and use them in a convenient way ? If you don’t already have an application for this purpose, then it’s time for you to consider software developed under the KeePass free project !

Comment stocker de façon robuste tous vos précieux sésames d’accès au monde numérique et les utiliser efficacement ? Si vous n’avez pas encore d’applica-tion pour cela, il est alors grand temps de vous inté-resser aux logiciels libres de la famille KeePass !

Fiche descriptive

Domaine✦ Gestionnaire de mots de passe (et d’autres informations

personnelles)

Licence✦ GPLv2+

langue✦ multilingue

version✦ 1.19 et 2.15

Autres alternatives libres✦ Password Safe

Alternatives non libres✦ LastPass ✦ Password Agent ✦ et beaucoup d’autres…

Sites Web✦ projet KeePass: keepass.info

Plates-formes

Problématique des mots de passe

Pour l’usager EPFL standard, il est aujourd’hui devenu possible d’accéder à la plupart des applications informatiques proposées dans notre École avec un seul compte, son compte Gaspar 1. En effet, la plupart des applications Web authentifiées de l’EPFL s’ap-puient sur le système Tequila 2 qui vous demande votre identifiant et mot de passe Gaspar 3. Le monde Windows, la messagerie et les prestations de stockage dépendent du service d’annuaire Active

Directory, dont les comptes sont par défaut synchronisés sur Gas-par. Il en est de même en ce qui concerne les mondes Linux et MacOSX (avec les services d’annuaires LDAP et Open Directory) ainsi que les services réseau (avec Radius). Plus personne n’a donc d’excuse à ne pas utiliser un mot de passe robuste (unique) pour accéder à l’ensemble de ces services.Mais le monde numérique ne se limite pas à notre univers profes-sionnel. Presque chaque mois ou semaine qui passe nous amène à créer de nouveaux comptes et retenir de nouveaux mots de passe: e-mail privé, réseaux sociaux, blogs, forums, stockage dans le cloud, services bancaires, commerce en ligne, voyages, partage de documents, de photos ou de vidéos, etc. Donc autant d’iden-tités numériques que de services… dans l’attente de solutions d’authentification globales et mutualisées entre plusieurs presta-taires 4. Notre premier conseil de sécurité est de ne surtout pas utiliser le même identifiant et mot de passe pour plusieurs services fournis par des prestataires différents 5 ! Celui qui respecte cette règle peut être tenté d’utiliser des mots de passe simples pour les mémoriser facilement tous… mais ils ne résis-teront pas longtemps en cas de tentatives de deviner le mot de passe par force brute 6. S’agissant des mots de passe complexes et donc solides, il faut s’aider d’algorithmes mentaux pour les retenir, ce qui ne convient pas à tout le monde. Quant à la liste de mots de passe sur papier au fond du tiroir ou dans un fichier texte sur votre ordinateur ou smartphone, c’est fort peu commode à utiliser et bien trop vulnérable.Il est donc essentiel d’opter pour des mots de passe robustes et différents pour chaque service… et pour survivre, il nous faut une solution permettant de les conserver, les gérer et les utiliser de manière sûre, souple et efficace. Trois catégories d’outils existent pour cela.

Stockage d’identifiants par le navigateur WebDepuis quelques années, les navigateurs Web sont en mesure de conserver les informations relatives aux formulaires (c’est même leur comportement par défaut), donc typiquement les infor-mations de login des services Web authentifiés. S’agissant des champs de type mots de passe, un réglage permet de désactiver cette fonctionnalité 7. Si vous la laissez activée, il est absolument essentiel de protéger l’ensemble des mots de passe ainsi enregis-trés (ainsi que vos éventuelles clés privées de navigateur) par un mot de passe principal, sinon n’importe qui ayant accès à votre machine (ou aux fichiers de configuration de votre navigateur)

KeePass, votre coffre-fort de mots de [email protected], EPFL-ENAC-IT, responsable informatique, chargé de cours

Logiciel libre

1 Gestionnaire de comptes EPFL Gaspar: gaspar.epfl.ch2 Module libre d’authentification Web développé à l’EPFL par C. Lecommandeur (tequila.epfl.ch)3 Ce qui permet le single sign-on, c’est-à-dire la possibilité de naviguer d’un site authentifié à un autre en ne s’authentifiant que sur le premier4 Tel que OpenID (fr.wikipedia.org/wiki/OpenID) qui semble la plus prometteuse5 Faute de quoi, si l’un des mots de passe était intercepté, l’accès aux autres services serait compromis6 fr.wikipedia.org/wiki/Attaque_par_force_brute7 Sous Firefox, avec Outils>Options ou Édition>Préférences, puis onglet Sécurité et option Enregistrer les mots de passe

Page 4: Flash informatique 2011 - no 5

4 Flash informatique – 24 mai 2011 - N° 5 Flash informatique – 24 mai 2011 - N° 5

pourra récupérer vos mots de passe 8. En activant la protection par mot de passe principal, lorsque vous redémarrerez votre navi-gateur, la première tentative d’authentification à un service sécu-risée déclenchera la demande de saisie de ce mot de passe. Les mécanismes de synchronisation via internet des paramètres du navigateur 9 vous permettent en outre de synchroniser automa-tiquement, entre plusieurs navigateurs/machines, non seulement vos bookmarks mais également vos mots de passe. Cette tech-nique facilite donc grandement l’authentification et vous permet d’utiliser des mots de passe robustes que vous n’avez pas besoin de mémoriser, mais elle présente les inconvénients suivants:z elle se limite à l’authentification de services Web;z elle n’est bien entendu pas envisageable sur une machine qui

n’est pas la vôtre (sur le poste d’un ami, dans un cybercafé…);z peut-être ne souhaitez-vous pas synchroniser des mots de

passe via le cloud 10, même cryptés.Notez qu’il existe des extensions permettant d’exporter vos mots de passe d’un navigateur vers un gestionnaire de mots de passe 11, voire l’inverse (importation).

Trousseau de clés du système d’exploitationChaque système d’exploitation propose en standard un méca-nisme de gestion de trousseaux de clés 12 permettant d’enregis-trer les informations d’accès à d’autres services (credentials), et les protéger par un mot de passe principal. Cette méthode a cepen-dant aussi des limites:z pas de prise en charge de l’authentification de services Web;z mécanisme intimement lié à la machine sur laquelle on tra-

vaille.

Gestionnaire de mots de passeBien que les deux mécanismes qui viennent d’être décrits puissent être considérés comme des gestionnaires de mots de passe, il existe une troisième catégorie d’outils spécifiques, correspondant à ce terme et dont KeePass fait partie, permettant à l’utilisateur d’enregistrer manuellement l’ensemble de ses identifiants et mots de passe13 dans une base de données protégée par un mot de passe unique afin de n’avoir plus qu’un seul sésame robuste à mémoriser.

Exigences d’un gestionnaire de mots de passe

Il existe un grand nombre de gestionnaires de mots de passe, mais rares sont ceux qui satisfont à l’ensemble des exigences suivantes qui nous semblent essentielles pour un domaine aussi critique:

z le mécanisme de chiffrage doit être robuste, afin de rendre quasi impossible le décryptage de vos informations par celui qui aurait dérobé votre fichier de base de données; lorsque le logiciel tourne, les mots de passe doivent en outre être cryptés en mémoire pour éviter l’interception par des logiciels espions;

z le logiciel doit être libre et open source; du point de vue des spécialistes en sécurité (et des défenseurs du libre !), la possi-bilité d’examiner le code de l’application est la seule façon de s’assurer que le logiciel est robuste, et la seule garantie qu’il n’implémente pas de mécanisme malveillant;

z il doit être commode à utiliser, notamment s’agissant de la transmission des identifiants aux applications authentifiées (copier/coller, mécanisme auto-type); lorsque le logiciel tourne, les mots de passe doivent apparaître de façon mas-quée (au cas où quelqu’un lorgnerait par-dessus votre épaule);

z il doit être flexible en terme d’organisation de la base de don-nées (mise en place d’arborescences de comptes) et permettre le stockage d’autres attributs (URL, notes, éventuel fichier attaché, etc.);

z il devrait en outre être utilisable de façon mobile (typique-ment depuis une clé USB), c’est-à-dire conçu de façon por-table (stand-alone);

z il devrait être multiplate-forme, permettant d’accéder depuis tout type d’équipement (laptop ou desktop Windows/Linux/MacOSX, smartphone, tablette…) à ces informations que l’on est susceptible d’utiliser n’importe où;

z la synchronisation de la base de données entre les différents équipements que vous utiliserez doit être possible et offrir la robustesse nécessaire pour s’appuyer sur des mécanismes de type internet (cloud).

Le logiciel libre KeePass et ses adaptations sur les différents sys-tèmes d’exploitation et équipements constitue probablement le seul projet qui réunit toutes ces caractéristiques !

Installation de KeePass

À l’origine, KeePass Password Safe 14 est un projet libre de développement de gestionnaire de mots de passe sous Win-dows. À partir de celui-ci ont été implémentées des versions pour toutes les plates-formes courantes: KeePassX sous Linux et MacOSX, KeePassDroid sous Android (smartphones et tablettes), MyKeePass (et iKeePass limité à USA/Canada) sous iOS (iPhone, iPad), 7Pass sous Windows Phone 7, KeePassMobile pour télé-phones basés J2ME (Java 2 Micro Edition), etc.Il est important de préciser ici que deux versions de KeePass évo-luent en parallèle, toutes deux libres en licence GPLv2+, mais dif-férentes en terme de portabilité et de fonctionnalités 15:

KeePass, votre coffre-fort de mots de passe

8 Sous Firefox, dans la même fenêtre de réglage: option Utiliser un mot de passe principal, et bouton Mots de passe enregistrés9 Par exemple l’extension Xmarks sous Firefox et Chrome, ou le module Mozilla Firefox Sync (anciennement dénommé Weave) entièrement intégré

au navigateur Firefox depuis la version 4 (voir l’onglet Sync sous Outils>Options ou Outils>Préférences)10 Noter cependant que Xmarks permet de synchroniser via un espace WebDAV quelconque (voir ditwww.epfl.ch/SIC/SA/SPIP/Publications/spip.

php?article2063), et que la technologie libre Firefox Sync permet d’implémenter son propre serveur de synchronisation (basé PHP, JSON, MySQL…)11 Par exemple, l’extension Password Exporter sous Firefox qui ajoute un bouton Importer/Exporter les mots de passe dans l’onglet Sécurité

des options Firefox12 Keychain sous MacOS, GNOME Keyring sous Linux/GNOME, KWallet sous Linux/KDE, etc.13 Ainsi que d’autres attributs comme: adresses internet associées, notes, informations confidentielles telles que PIN-code, etc.14 Site principal keepass.info, et voir aussi fr.wikipedia.org/wiki/KeePass15 Pour une présentation détaillée des différences, voir keepass.info/compare.html

Page 5: Flash informatique 2011 - no 5

5Flash informatique – 24 mai 2011 - N° 5 Flash informatique – 24 mai 2011 - N° 5

z branche 1.x (KeePass Classic, écrit en C++): version la plus répandue, installable sans prérequis sur les 3 systèmes d’ex-ploitation Windows, Linux et MacOSX

z branche 2.x (KeePass Professional, écrit en C#): nécessite Mi-crosoft .NET Framework ≥ 2 sous Windows 16, et Mono ≥ 2.6 supérieur sous Linux ou MacOSX 17; offre des fonctionnalités additionnelles qui ne sont cependant pas vitales, notamment:w sous Windows: mécanisme additionnel de protection de

la base de données en la liant au compte utilisateur Win-dows,

w possibilité de définir des champs supplémentaires pour chaque entité,

w possibilité d’attacher plus d’un fichier à une entité,w gestion d’un historique pour chaque entité,w mécanisme plus robuste de protection par rapport aux

keyloggers (two channels auto-type obfuscation),w possibilités de scripting.

Les formats de bases de données de ces deux versions sont dif-férents et non interopérables. Ces fichiers portent les extensions .kdb pour la version 1.x, et .kdbx pour la version 2.x. bien que le passage d’une version à l’autre soit possible, il consiste plutôt en une migration 18. Étant donné les prérequis de la version 2.x et surtout le fait qu’elle n’est pas disponible sur toutes les plates-formes, il est actuellement nécessaire d’opter pour la version 1.x 19 si vous souhaitez exploiter une base de données KeePass en parallèle sur plusieurs équipements dont les systèmes d’exploi-tation sont différents (laptop/desktop, smartphones et tablettes).Une fois la décision prise quant à la version, vous pouvez passer à l’installation:

Sous Windows: depuis la page keepass.info/download.html, vous pouvez choisir entre une installation basée installeur (type Setup.exe) ou déballage d’une archive ZIP. Le résultat sera le même dans les deux cas, et l’application installée sera portable, c’est-à-dire déplaçable/exploitable sur n’importe quel autre média de stockage (pas de trace de clé de registre ni de fichier INI dans le système). Il est bien clair que si vous avez opté pour la version 2.x, son usage via clé USB sur une machine ne disposant pas du Framework .NET ne sera pas pos-sible.

Sous Linux: vous pourriez installer KeePassX depuis la page www.keepassx.org, mais il est préférable (et plus facile) d’utiliser le gestionnaire de paquetage de votre distribution Linux. Le paquetage s’appelant keepassx, vous pouvez passer la commande: sudo apt-get install keepassx (Debian/Ubuntu) ou yum install keepassx (Red Hat/Fedora), et accepter l’installation des éventuels paquets dépendants. Vous accéderez ensuite à l’application depuis le menu Applications>Accessories>KeePassX.

Sous MacOSX: depuis la page www.keepassx.org/downloads/, sous la rubrique MacOS X, téléchargez le fichier-image KeePassX-version.dmg, ouvrez-le, et déplacez le fichier KeePassX qui se trouve dans le dossier Applications.

Sur smartphone ou tablette Android: installez l’application nommée KeePassDroid depuis le Market de Google.

Sur iPhone ou iPad: installez l’application nommée MyKeePass depuis l’AppStore iTunes de Apple.

L’interface utilisateur diffère d’une plate-forme à l’autre. Quasi-ment identique entre Linux et MacOSX, l’organisation des menus est différente sous Windows (ainsi que selon la version 1.x ou 2.x). Bien entendu c’est toute autre chose sur smartphone ou tablette où l’interface graphique est adaptée à une interface de type tac-tile. Ceci n’empêche pas ces différentes implémentations KeePass d’être interopérables, c’est-à-dire partager le même fichier de base de données (pour autant que l’on s’en tienne à la même famille, donc soit 1.x soit 2.x).Si vous souhaitez changer la langue de l’interface utilisateur:z Sous Linux et MacOSX: le logiciel est multilingue, et vous

pouvez changer de langue avec Extra>Settings (Linux) ou KeePassX>Preferences (Mac), puis allez dans la catégorie Languages, sélectionnez la langue désirée, cliquez Apply et relancez KeePassX.

z Sous Windows: KeePass s’installe par défaut en langue anglaise seulement. Si cela ne vous convient pas, faites View>Change Language, puis cliquez sur Get more languages 20, télé-chargez le fichier correspondant à votre version et à la langue désirée, dézippez-le, déposez-le simplement dans le dossier d’installation KeePass et relancez l’application.

Dans les explications ci-dessous, nous présenterons les deux versions (1.x et 2.x) mais nous nous baserons sur la langue par défaut (anglaise). Sur Mac, traduisez bien entendu les raccourcis <ctrl-xxx> que nous indiquerons en <cmd-xxx>.

Prise en main sous Windows/Linux/Mac

Création d’une base de donnéesKeePass sauvegarde vos entrées (comptes avec identifiant, mots de passe, etc.) dans une base de données chiffrée qui consiste en un seul fichier. Celui-ci est accessible moyennant la saisie d’un mot de passe principal (master password) qui peut être facul-tativement complété par un fichier de clé (Key file, voir plus loin dans cet article).La toute première fois que vous lancez KeePass, il vous faut com-mencer par créer une base de données avec File>New: vous êtes alors appelé à saisir puis confirmer le mot de passe principal (voir fig. 1). Choisissez un mot de passe robuste 21, car il protégera l’en-semble de tous vos autres mots de passe, et c’est le seul que vous

KeePass, votre coffre-fort de mots de passe

16 .NET fait partie de Windows 7, mais doit être installé sous Windows XP17 Mono (www.mono-project.com) est une implémentation libre de .NET18 Le passage 1.x à 2.x s’effectue sous KeePass 2.x par importation KDB dans un fichier KDBX. Le retour 2.x à 1.x s’effectuerait sous KeePass 2.x par export

des données en KDB19 Version qui ne devrait pas disparaître au profit de 2.x, voir keepass.info/devstatus.html20 Ce qui ouvrira la page web keepass.info/translations.html21 Un mot de passe robuste devrait être très éloigné d’un mot de dictionnaire et composé de 12 à 15 caractères mélangeant majuscules, minuscules,

chiffres et caractères spéciaux. Dans la version Windows de KeePass, tant que l’indicateur en-dessous du champ Master password ne vire pas au vert, durant le processus de saisie du mot de passe, c’est qu’il est jugé trop risqué.

Page 6: Flash informatique 2011 - no 5

6 Flash informatique – 24 mai 2011 - N° 5 Flash informatique – 24 mai 2011 - N° 5

aurez à mémoriser. Il est primordial de s’en souvenir, sous peine de perdre l’accès à toutes les informations contenues dans la base de données. Il sera vain d’appeler au secours si vous l’avez oublié, car il n’y a vraiment aucune solution pour le récupérer. C’est du reste l’un des facteurs garantissant la sécurité de cet outil !

fig. 1 – fenêtres de saisie du mot de passe principal, sous Windows (1.x) et Linux/Mac

La première fois que vous sauvegarderez la base de données (File>Save), KeePass vous demandera, comme toute application, de spécifier l’emplacement et le nom de fichier, qui sera com-plété par l’extension .kdb sous la version 1.x, et .kdbx sous 2.x. Les prochaines fois que vous lancerez KeePass, il se souviendra de la dernière base de données utilisée et l’ouvrira après vous avoir demandé de saisir le mot de passe principal.Pour changer après coup le mécanisme de protection (mot de passe principal et/ou fichier de clé), faites File>Change Master Key. Le logiciel vous demandera alors de re-sauvegarder la base de données afin de la réencrypter sur la base de ces nouveaux paramètres. Disponible uniquement dans la version 2.x sous Windows, une option Windows user account permet de lier la protection de la base de données au compte utilisateur Windows courant. Il peut être dangereux de recourir à cette option, car elle vous empêchera d’ouvrir la base de données depuis d’autres machines, sauf si elles sont intégrées au même domaine Active Directory. En outre, la destruction du compte utilisateur Windows rendrait impossible l’utilisation de votre base de données.Notez la présence, à droite du champ de saisie de mots de passe (et c’est aussi valable lorsque vous définirez dans un instant des entrées), d’un bouton avec 3 points (sous Windows) ou un œil (sous Linux/Mac) que vous pouvez désenfoncer pour afficher le mot de passe en clair lors de la saisie.

Gestion des groupes et entréesUne fois la base de données ouverte, vous vous trouvez devant une fenêtre analogue à celles des figures 2 (Windows) ou 3 (Linux/Mac).

fig. 2 – fenêtre principale KeePass, sous Windows

fig. 3 – fenêtre principale KeePassX, sous Linux ou MacOSX

On y distingue les zones suivantes:z sous la barre de titre: les menus et une barre d’outils.z à gauche: une arborescence de groupes et sous-groupes;z dans la partie supérieure droite: la liste des entrées du

groupe couramment sélectionné à gauche;z dans la partie inférieure: l’affichage des attributs de l’entrée

couramment sélectionnée dans la liste du dessus.Les groupes permettent de classer par catégories et organiser hiérarchiquement vos codes d’accès (identifiant, mot de passe et autres attributs) dénommés entrées. Des icônes explicites peuvent être associées aux groupes et aux entrées afin de les identifier plus facilement.On trouve par défaut, dans une nouvelle base de données, un cer-tain nombre de groupes prédéfinis. Sous KeePass Windows: un groupe General contenant les sous-groupes Windows, Network, Internet, eMail et Homebanking. Sous KeePassX Linux/Mac: deux groupes Internet et eMail. Mais vous êtes entièrement libres de les détruire et définir votre propre hiérarchie à l’aide des commandes se trouvant dans le menu Edit (Windows) ou Groups (Linux/Mac).Pour saisir une nouvelle entrée, sélectionnez d’abord le groupe dans lequel vous désirez la placer, puis faites Edit>Add Entry (Windows) ou Entries>Add New Entry (Linux/Mac), ou procé-dez par clonage d’une entrée existante (Duplicate Entry sous Windows, Clone Entry sous Linux/Mac). Apparaît alors la fenêtre de saisie des attributs de l’entrée (fig. 4). Vous n’êtes pas obligé de remplir tous les champs. Associez à l’entrée une icône représen-tative. Le champ Notes/Comment permet d’insérer librement tout autre type d’information. Vous pouvez même attacher à chaque entrée un fichier qui sera donc intégré de façon cryptée dans la base de données !

KeePass, votre coffre-fort de mots de passe

Page 7: Flash informatique 2011 - no 5

7Flash informatique – 24 mai 2011 - N° 5 Flash informatique – 24 mai 2011 - N° 5

fig. 4 – fenêtres de saisie/modification des attributs d’une entrée, sous Windows (1.x) et sous Linux/Mac

Pour éditer/modifier après coup une entrée, vous pouvez double-cliquer sur son Title, ou la sélectionner et frapper <enter> (Windows) ou encore Entries>View/Edit Entry (Linux/Mac). Et finalement, pour réorganiser les entrées et groupes, procédez simplement par glisser/déposer.Vous pouvez agir sur le type d’affichage en mode liste, ce qui est utile pour masquer certaines informations aux personnes qui pourraient voir votre écran:z faire apparaître ou masquer certaines colonnes: View>Show

Columns (Windows), View>Columns (Linux/Mac),z faire apparaître ou masquer (par des *****) les usernames et

passwords: View>Hide Usernames et View>Hide Passwords (commandes-bascules), ou encore <ctrl-J> et <ctrl-H> (Windows),

z ainsi que masquer la zone du bas présentant l’ensemble des attributs d’une entrée: View>Show Entry View/Details.

Notez finalement que les menus contextuels sont très bien implémentés sous KeePass. Ils apparaissent lorsque vous cliquez avec <droite> (ou <ctrl-clic> sur Mac) sur des entrées ou des groupes.

Utilisation des entrées de la base de donnéesÀ ce stade de notre présentation, votre base de données n’est qu’un répertoire de comptes avec attributs. Mais la puissance de KeePass va bien au-delà !En premier lieu, lorsqu’une entrée dispose d’une URL, vous pouvez ouvrir celle-ci automatiquement (basculement automatique dans votre navigateur Web préféré) en la sélectionnant et frappant <ctrl-U> (ou Edit>Open URLs sous Windows, et Entries>Open URL sous Linux/Mac). Pour gagner du temps, associez donc l’URL correspondant à la page de login du service.Il s’agit maintenant de transférer votre identifiant et mot de passe à cette page. Plusieurs techniques sont possibles:z La bonne vieille technique du copier/coller: KeePass vous per-

met, depuis la liste de vos entrées, de récupérer dans le presse-papier le username ou password d’une entrée ainsi:w copie du username: sélectionnez l’entrée et faites

<ctrl-B>, ou double-cliquez sur le champ username,w copie du password: sélectionnez l’entrée et faites

<ctrl-C>, ou double-cliquez sur le champ password,z Le glisser/déposer (drag and drop): il est possible de glisser/

déposer le username ou le password entre la fenêtre KeePass et les champs correspondants de votre page Web de login.

z Le mode auto-type: bien plus efficace que les méthodes ci-dessus, cette technique n’est cependant disponible que sous Windows et Linux et fonctionne ainsi:w assurez-vous d’abord que, dans la page de login de l’appli-

cation sécurisée, le curseur d’insertion se trouve dans le champ username (c’est généralement le cas pour toutes les pages d’authentification bien conçues),

w revenez ensuite dans KeePass, et frappez simplement le raccourci <ctrl-V> (ou la commande Edit>

Perform Auto-Type, ou à l’aide du menu contextuel sous KeePass 2.x); ce raccourci va magiquement basculer dans la fenêtre précédente et y coller la séquence: USERNAME <tab> PASSWORD <enter> 22, et vous serez authentifiés !

w si les champs de formulaire de la page d’authentification sont organisés différemment, il est possible d’indiquer à KeePass quelle séquence d’envoi spécifique effectuer 23.

z Le global auto-type: hélas pas non plus disponible sous MacOSX, cette méthode constitue vraiment le nec plus ultra. La logique est inverse par rapport à l’auto-type classique, puisqu’on déclenche l’opération d’injection du username et password directement depuis l’application authentifiée avec le raccourci <ctrl-alt-A>. Mais comment cela peut-il bien fonctionner ?w il faut bien entendu que KeePass soit préalablement dé-

marré et tourne en arrière-plan avec la base de données

KeePass, votre coffre-fort de mots de passe

22 Le <tab> passe du champ username au champ password, et <enter> valide la connexion23 Voir keepass.info/help/base/autotype.html

Page 8: Flash informatique 2011 - no 5

8 Flash informatique – 24 mai 2011 - N° 5 Flash informatique – 24 mai 2011 - N° 5

ouverte (si celle-ci est lockée, KeePass vous demandera d’abord le mot de passe pour la déverrouiller);

w il intercepte alors le raccourci passé depuis l’application authentifiée et récupère le titre de la fenêtre;

w il recherche, dans la base de données, l’entrée dont le champ Title correspond partiellement ou totalement au titre de la fenêtre d’authentification, puis lui envoie la séquence auto-type correspondante.

Pour que ce mode global auto-type fonctionne correctement, veillez aux points suivants:z sous KeePassX (Linux/Mac), il n’est pas activé par défaut; al-

lez dans Extra>Settings puis dans la catégorie Advanced, définissez le raccourci <ctrl-alt-A> (frappez cette séquence de touches) dans le champ Global Auto-Type Shortcut, activez l’option Use entries title to match the window for Global Auto-Type, et validez avec Apply OK;

z s’agissant de l’authentification de services Web, veillez à ce que le champ Title de l’entrée KeePass contienne bien le texte figurant dans la barre de titre de la page de login du service (titre fourni par la balise HTML <title>).

La puissance des modes auto-type KeePass réside dans le fait que cela fonctionne quel que soit votre navigateur Web et sans qu’il soit nécessaire d’installer une extension spécifique !Si vous êtes maintenant convaincus par KeePass et souhaitez abandonner le système que vous utilisiez jusqu’ici, sachez qu’il est très facile de récupérer dans KeePass les identifiants et mots de passes que vous gériez différemment jusqu’ici. Commencez par les exporter depuis votre ancien outil au format TXT, CSV ou XML, puis importez-les dans KeePass avec File>Import.Si vous exploitez KeePass sur un seul équipement, vous n’êtes pas à l’abri d’un crash disque ou d’un vol. N’oubliez donc pas de sauvegarder votre base de données sur un média externe. Vous pouvez aussi utiliser la bonne vieille technique de la liste papier en imprimant tous vos comptes avec File>Print (Windows seulement)… mais déposez-la en lieu sûr ! Notez que le proces-sus d’impression, sous la version 1.x, passe par la génération d’un fichier HTML qu’il ne faut pas oublier de jeter après impression, car il contient les mots de passe en clair !

Fonctions plus avancées

Vous accédez aux nombreux réglages et préférences KeePass sous Tools>Options (Windows), Extra>Settings (Linux) ou KeePass>Preferences (Mac).Sous KeePass 1.x (toutes plates-formes), vous constaterez que chaque fois que vous éditez une entrée, une copie de l’ancienne entrée est conservée dans un groupe nommé Backup. Vous pou-vez désactiver cette fonctionnalité en décochant l’option Save backups of modified entries into the Backup group dans la catégorie de réglages Advanced sous Windows, ou dans la catégorie General(2) sous Linux/Mac, puis en supprimant ce groupe. Sous KeePass 2.x, cette fonctionnalité de backup n’existe pas, car les différentes versions d’une entité sont gérées au niveau de l’historique (voir onglet History dans la fenêtre d’édition d’une entité).

La sécurité de KeePass peut être paramétrée via diverses options dans la catégorie de réglages Security. Notez en particulier qu’il est possible de limiter la durée de validité des données déposées par KeePass dans le presse-papier (par défaut auto-clear après 10 à 20 secondes), et verrouiller automatiquement la base de don-née après un certain temps d’inactivité ou lorsque l’on minimise la fenêtre. Vous pouvez aussi verrouiller la base manuellement (p.ex. lorsque vous vous éloignez de votre poste) avec File>Lock Workspace, puis la déverrouiller avec File>Unlock Workspace, ou par le raccourcis <ctrl-L> ou encore le bouton cadenas (ce sont des bascules).Pour renforcer encore la sécurité d’accès à la base de données, la solution consiste à la crypter en combinant deux techniques: le mot de passe principal (master password) et un fichier de clé (key file) qui constituent ensemble ce que KeePass appelle une Compo-site master key. Comme vu plus haut (fig. 1), faites File>Change Master Key et activez l’option User master password and key file (KeePass 1.x Windows) ou Key File (KeePassX Linux/Mac et KeePassX 2.x Windows). Vous devrez définir l’emplacement et nom de ce fichier de clé (mettez-lui l’extension .key), ensuite un générateur aléatoire fabriquera avec votre assistance la clé dans ce fichier. Vous pourriez opter pour un contrôle d’accès à la base de données basé sur le fichier de clé uniquement (donc sans mot de passe principal), mais ce n’est vraiment pas recom-mandé 24 ! Dans tous les cas, notez bien que si vous perdez ensuite le fichier de clé, le mot de passe principal n’est pas suffisant pour accéder aux informations de votre base de données.Si vous êtes amené à gérer plusieurs bases de données KeePass, il peut être utile, sous Windows, d’associer les extensions .kdb ou .kdbx au logiciel pour pouvoir lancer KeePass par double-clic sur ces fichiers. Pour cela, dans l’onglet Setup (KeePass 1.x) ou In-tegration (2.x), cliquez simplement sur Create Association. Sous Linux et MacOSX, l’association des fichiers KDB à KeePassX est déjà faite.Vous découvrirez que l’architecture KeePass est ouverte et per-met l’usage de plugins. Faites cependant attention au fait que ces extensions, développées par des tierces parties, ont accès à votre base de données, ce qui peut donc compromettre la sécurité de KeePass !Sachez finalement que KeePass Windows est en mesure de gérer des TAN (Transaction Authentication Numbers), c’est-à-dire des mots de passe à usage unique (jetables) 25.

KeePass sur smartphone

Cela vous est sûrement arrivé (par exemple en voyage) de devoir accéder à une prestation authentifiée alors que vous n’avez pas le mot de passe sous la main, et cela vous a donné l’idée de stocker ces informations sur l’appareil qui ne vous lâche plus, votre smart-phone. Avec le risque élevé de se faire voler son appareil, c’est bien entendu la pire idée qui soit si ces données sont dans un fichier en clair ! Mais KeePass, implémenté sur toutes les plates-formes mobiles, va vous sortir de ce mauvais pas !Nous nous bornerons ici à vous présenter, par les figures 5 à 9, l’implémentation KeePassDroid sur smartphone et tablette An-

KeePass, votre coffre-fort de mots de passe

24 Quiconque mettant la main sur votre Key file pourrait alors ouvrir votre base de données25 Voyez Tools>TAN Wizard

Page 9: Flash informatique 2011 - no 5

9Flash informatique – 24 mai 2011 - N° 5 Flash informatique – 24 mai 2011 - N° 5

KeePass, votre coffre-fort de mots de passe

droid afin d’illustrer la simplicité de son interface tactile. Pour les personnes familières d’Android, remarquez, dans la figure 9, le mécanisme tactile implémenté via la barre supérieure de notification (ici dépliée) permettant de récupérer les username et password pour les coller dans l’application ou page Web authentifiée.

Synchronisation entre plusieurs postes

La base de données KeePass étant constituée d’un seul fichier, elle peut être facilement copiée à des fins de backup ou pour en disposer sur une autre machine. Vous pouvez aussi vous déplacer avec ce fichier sur une clé USB et l’exploiter directement sur celle-ci, mais faites-en une copie de sécurité ail-leurs, une clé USB étant vite égarée ! Si vous souhai-tez travailler sur des machines Windows où KeePass n’est pas installé, déposez également sur la clé USB l’application KeePass Windows. Nous vous rendons cependant attentif au danger inhérent à toute saisie de mot de passe: le mot de passe principal de votre base de données est susceptible d’être intercepté par un logiciel espion tel qu’un keylogger. Il faut être conscient de ce risque lorsque l’on travaille sur un poste qui n’est pas digne de confiance (cybercafé…). Dans une telle situation, la sécurité peut être renfor-cée par l’usage combiné du mot de passe principal avec un fichier de clé stocké sur votre clé USB (et bien entendu sauvegardé chez vous) et non sur le PC hôte.Si vous utilisez KeePass sur plusieurs postes de tra-vail ou équipements mobiles, les modifications de votre base de données devraient être répercutées sur tous ces équipements. L’automatisation de ce pro-cessus s’appelle la synchronisation. Pour l’instant, seul KeePass 2.x implémente un tel mécanisme en s’appuyant sur les protocoles FTP ou HTTP/WebDAV (voyez File>Synchronize with URL). Mais vous pouvez aussi recourir, quelle que soit la version de KeePass, à l’une des nombreuses solutions de syn-chronisation génériques de fichiers en mode cloud 26 supportées par vos appareils, telles que Dropbox 27, Wuala 28, SugarSync 29, Ubuntu One 30, MobileMe 31, Box.net 32, etc. La figure 10 présente une architecture de synchronisation KeePass entre plusieurs équipe-ments à l’aide d’un tel service de stockage en cloud.

26 Voir par exemple la liste wikipedia en.wikipedia.org/wiki/Comparison_of_file_hosting_services27 Dropbox (www.dropbox.com) est l’ancêtre de toutes ces solutions et le plus répandu28 Wuala (www.wuala.com) de La Cie offre une sécurité supplémentaire par rapport à Dropbox en ce sens

qu’il y a un cryptage côté client avant l’envoi dans le cloud29 SugarSync (www.sugarsync.com) est un nouveau venu, dans le monde du cloud, très riche en fonction-

nalités30 Ubuntu One (https://one.ubuntu.com/), solution de Canonical pour Linux/Ubuntu, très prochainement

disponible sous Windows, Android, iOS31 MobileMe (www.apple.com/fr/mobileme/) de Apple est actuellement vieillot… et payant32 Box.net (www.box.net)

fig. 9 – affichage d’une entrée et récupération du username et password sous KeePassDroid

fig. 7 – saisie d’une entrée sous KeePassDroid

fig. 6 – affichage des groupes sous KeePassDroid

fig. 5 – sélection de la base de données et saisie du mot de passe principal sous KeePassDroid

fig. 8 – sélection d’une icône de groupe ou d’entrée sous KeePassDroid

Page 10: Flash informatique 2011 - no 5

10 Flash informatique – 24 mai 2011 - N° 5 Flash informatique – 24 mai 2011 - N° 5

On obtient un bon niveau de sécurité lorsque la base de données (database.kdb) est protégée par l’usage combiné d’un mot de passe principal et d’un fichier de clé (keyfile.key) déposé sur chaque machine. La synchronisation s’effectue ainsi:1. on modifie la base de données depuis une machine (ici le

desktop),2. la base se synchronise alors automatiquement dans le cloud,3. puis, de là, se synchronise vers les autres équipements.Si la sécurité de l’espace de stockage en cloud est compromise, celui qui déroberait votre base de données ne pourra rien en faire sans posséder le fichier clé qui se trouve uniquement sur les ma-chines. Celui qui vole une machine (contenant la base de données et le fichier clé) ne pourra rien faire non plus sans connaître votre mot de passe principal.Avec une telle architecture, il est possible d’accéder à la base de données même lorsque l’on ne dispose provisoirement pas de connexion internet (p.ex. sur le smartphone). Si l’on modifie la base de données, la synchronisation de celle-ci dans le cloud s’effectuera automatiquement lorsque la connexion réseau sera rétablie. Il faut veiller à ne pas modifier simultanément la base

de données depuis plusieurs équipements. Cela ne risque pas de se produire si vous êtes seul à exploiter cette base de donnée 33.

Références

Pour davantage d’informations sur l’utilisation des logiciels de la famille KeePass, voyez:z l’aide intégrée au logiciel: menu Helpz la homepage de KeePass pour Windows: keepass.info

w l’aide en ligne: keepass.info/help/ w la FAQ technique: keepass.info/help/base/faq_tech.html w les forums de discussion: https://sourceforge.net/projects/keepass/forums

z la homepage de KeePassX pour Linux/MacOSX: www.keepassx.orgz pour d’autres liens voir: keepass.info/links.html.

Article du FI-EPFL 2011 sous licence CC BY-SA 3.0 / J.-D. Bonjour

KeePass, votre coffre-fort de mots de passe

fig. 10 – architecture sécurisée de synchronisation KeePass via un service de cloud

keyfile.key

database.kdb

keyfile.key

database.kdb

keyfile.key

database.kdb

1) modif

2) synchro3) synchro

3) synchro

database.kdb

33 KeePass implémente du reste un mécanisme de lock-file qui vous informerait d’une telle situation

Page 11: Flash informatique 2011 - no 5

11Flash informatique – 24 mai 2011 - N° 5 Flash informatique – 24 mai 2011 - N° 5

Since few months a new URL shortening service is available at go.epfl.ch website (but also cut.epfl.ch and short.epfl.ch which are sharing the same database). It offers the ability to spread short and simple link of any URL. The daily menus’s example deserves an explanation: the link diidyn.epfl.ch/Restauration/IntExt/Rest/offresjours.php becomes go.epfl.ch/menu, short-ened by 65%…

Depuis quelques mois un service de rétrécissement d’URL est disponible sur le site go.epfl.ch (mais éga-lement cut.epfl.ch et short.epfl.ch qui partagent la même base de données). Il vous offre la possibilité de diffuser un lien court et simple de toute URL. L’exemple des menus du jour permet d’expliciter le principe: le lien diidyn.epfl.ch/Restauration/IntExt/Rest/offresjours.php devient go.epfl.ch/menu, il est réduit de 65%…

NdR: go.epfl.ch est un outil bien pratique quand on veut communiquer une adresse Web, à condition de rester conscient du fait que ce n’est pas une prestation suppor-tée par un service de l’EPFL. C’est parfait pour un mailing, une annonce de conférences, un tweet … ne l’employez pas dans un livre destiné à être encore lu dans 10 ans (mais de toute façon quelles sont les URL qu’on peut garantir dans 10 ans?).

Introduction

L’usage de site d’URL & courtes, ou raccourcies, a été largement démocratisé avec l’utilisation de sites de microblogging pour les-quels le nombre de caractères était limité (140 pour Twitter). Bien que cela ne soit pas officiellement le premier à avoir vu le jour, tinyurl.com est né en 2002 et était certainement le plus connu d’entre eux. Depuis, bit.ly (le service actuellement en service pour Twitter), est d’usage courant, tout comme tr.im ou is.gd. D’autres services spécifiques à certains sites, comme fb.me, goo.gl ou you-tu.be, ont également vu le jour.Plusieurs techniques de redirections & sont utilisées (statique, meta, JavaScript, frame…), cependant l’exploitation des statuts de l’entête de la réponse HTTP commençant par 3xx, en particulier le 301 –Moved Permanently–, semble la plus courante et la plus propre.

go.epfl.ch [email protected], EPFL –STI - IGM - LENI (Laboratoire d’énergétique industrielle)

Historique

Voici les problèmes auxquels je fus confronté lorsque j’ai eu à dif-fuser largement diffuser un lien dans un mailing:z comment m’assurer que ce lien prolixe ne serait pas coupé ou

cassé (e-mail au format texte, césure)?z comment expliciter ce lien (paramètres incompréhensibles

dans l’URL)?z comment garder la confiance du destinataire (label EPFL)?Ne trouvant d’autre réponse que la redirection, je cherchai alors des outils que je puisse ins-taller en interne. Trouvant d’abord YOURLS & qui résolvait le problème du mailing, je testai ensuite PhURL & qui présentait des fonction-nalités complétant celles de YOURLS. Ces deux outils étant open source (GNU GPL v3 & et New BSD License &), j’ai décidé de leur faire partager la même base de données. Le template WEB2010 et quelques développements plus tard, go.epfl.ch était né.Après avoir implémenté les URL privées, qui ne sont pas listées, l’ajout d’URL a été limité aux adresses IP internes à l’École pour éviter des utilisations fallacieuses. La dernière modification en date a été l’ajout de QR Code &.

Les avantages

Hormis le raccourcissement de la taille du lien et l’explicitation sémantique (dans certains cas), les autres avantages de go.epfl.ch sont:z statistiques d’utilisation du lien (pratique dans certains cas de

savoir qu’X personnes y ont eu recours),z amélioration de la confiance des visiteurs suite à la labellisa-

tion du lien (implémentation à l’epfl.ch, affiliation epfl.ch),z listing et annuaire des liens, permettant de les parcourir et de

les consulter,z redirection propre utilisant le statut HTTP 301.

Les inconvénients

Beaucoup d’articles traitent des inconvénients des services d’es-sorage d’URL. Les principaux reproches sont: z la sécurité: le lien change d’affiliation, le lien d’origine est

faussé, les paramètres possibles de l’URL sont cachés, attaque DDoS (d0z.me/);

z l’ajout d’un intermédiaire, dépendance à un nouveau service, plus de bande passante et temps de réaction accru;

z la pérennité du lien n’est pas garantie. Un service qui ferme engendre des liens morts sur le Web;

Comment faire ?

Page 12: Flash informatique 2011 - no 5

12 Flash informatique – 24 mai 2011 - N° 5 Flash informatique – 24 mai 2011 - N° 5

z le référencement et les SEO & peuvent être faussés si la redi-rection est mal faite;

z le clic du visiteur est traqué pour des usages de statistiques.La plupart de ces inconvénients peuvent être évités si on a la pos-sibilité de connaître l’URL (originale) qui se cache derrière celle raccourcie. Certains sites se sont spécialisés dans ce service (URL reversing), par exemple longurl.org, ou l’extension Firefox www.longurlplease.com.Les articles suivants présentent et étoffent le problème:z www.framablog.org/index.php/post/2010/10/31/le-controle-

des-redirectionsz www.bortzmeyer.org/probleme-raccourcisseurs-urls.htmlz blogzinet.free.fr/blog/index.php?post/2010/05/09/Obtenir-l-

URL-réelle-des-URL-courtes.

L'évolution de go.epfl.ch

La prochaine évolution de go.epfl.ch serait son intégration avec Tequila &, afin que les utilisateurs puissent gérer leurs URL rac-courcies. Tout comme tinyurl.com, la prévisualisation du lien avant la redirection pourrait amener plus de confiance. Un utilisateur me proposait également d’implémenter le TTL (Time To Live) pour les URL.

Synthèse

Les bonnes URL ne devraient pas être amenées à changer (lire Cool URIs don’t change &). Cependant, soit les URL ne sont pas si bonnes, soit les fonctionnalités d'un service de raccourcis d'URL offrent d'autres aspects qui séduisent les utilisateurs. Au sujet de go.epfl.ch, le fait que la création d’URL raccourcies soit disponible uniquement en interne de l’École permet de limiter les utilisations non conventionnelles, voir frauduleuses. L’idée est d’avoir, à la manière d’un annuaire, une liste des URL qui sont le plus utilisées.Pour terminer, vous devez être conscient que go.epfl.ch n’est pas une prestation officielle de l’école. C’est donc en connaissance de cause que vous pouvez maintenant utiliser go.epfl.ch. n

go.epfl.ch

GLOSSAIRE &BSD License: www.opensource.org/licenses/bsd-license.php

Cool URIs don't change, 1998, Tim Berners-Lee: www.w3.org/Provider/Style/URI

GNU GPL v3: www.gnu.org/licenses/gpl.html

PHURL (PHP URL shortening system): code.google.com/p/phurl

QR Code (Quick Response Code): en.wikipedia.org/wiki/QR_code

SEO (Search engine optimization): en.wikipedia.org/wiki/Search_en-gine_optimization

Tequila: tequila.epfl.ch

URL (Uniforme Resource Locator): fr.wikipedia.org/wiki/URL

URL Redirection: en.wikipedia.org/wiki/URL_Redirection

URL Shortening: en.wikipedia.org/wiki/URL_shortening

YOURLS (Your Own URL Shortener): code.google.com/p/yourls

Mails frauduleux à l'EPFL, attention [email protected], EPFL Domaine IT

Ne donnez jamais vos mots de passe par e-mail!

L’EPFL est régulièrement la cible de phishing, et il y a encore trop souvent des membres de l’EPFL qui se font prendre et qui donnent leur mot de passe.Rappelons ici ce qui caractérise ces messages illégitimes, parlez-en autour de vous, cela évitera peut-être de nouvelles victimes:z le message insiste sur l’urgence des démarches à entreprendre

et/ou sur le risque de perdre des données ou des courriels si vous n’agissez pas rapidement,

z dans le texte il y a a une signature générique et impersonnelle, z l’adresse email de réponse ou celle de l’expéditeur n’est pas

celle d’un collaborateur de l’EPFL (mais ceci n’est pas une garantie car cela peut être assez facilement falsifiable),

z on vous dirige vers une page Web qui n’est pas hébergée par l’EPFL (l’adresse Web ne se termine pas par epfl.ch); il suffit de passer la souris sur le lien sans cliquer pour voir l’adresse du site vers lequel on est dirigé,

z le texte est souvent écrit en mauvais français ou en anglais uniquement.

Rappel à propos des messages officiels du DITz toutes les communications officielles du DIT sont signées par

l’un de ses collaborateurs, qui se tient à votre disposition par téléphone pour vous confirmer la légitimité du message,

z les communications officielles sont, dans la mesure du pos-sible, rédigées dans les deux langues couramment utilisées à l’école (le français et l’anglais),

z le DIT ne vous demandera jamais par e-mail votre mot de passe; celui-ci est demandé seulement sur des sites clairement identifiables de l’EPFL: tequila, gaspar, ewa, jahia …

Pour conclureEn cas de doute sur un message qui vous semble frauduleux, allez voir si le DIT l’a déjà répertorié sur le site https://secure-it.epfl.ch/new et testez votre capacité à dévoiler les filous de l’Internet en fai-sant le jeu du phishing: https://secure-it.epfl.ch/sensi/survey/ n

À votre service

Page 13: Flash informatique 2011 - no 5

13Flash informatique – 24 mai 2011 - N° 5 Flash informatique – 24 mai 2011 - N° 5

Un, deux, trois… serveurs [email protected], EPFL-Domaine IT – responsable des services réseau

How to multiply the number of network services servers without overloading the tasks of system ad-ministration.

Comment multiplier le nombre de serveurs pour des services essentiels sans augmenter dramatiquement la charge d’administration système.

Comme annoncé dans le précédent article du FI 04, Des logi-ciels libres pour les services IP ?, voici comment nous sommes sortis de notre préhistoire et avons suivi la montée en charge en assurant la haute disponibilité de nos services. Il est devenu évi-dent qu’offrir l’accès aux ressources d’Internet est un impératif qu’il faudrait assurer 24 heures sur 24 et 7 jours sur 7. Il est non moins évident que le coût d’une telle prestation est encore bien loin d’être accepté par nos décideurs… Moralité, il y a une bonne décennie que nous nous sommes employés à consolider nos ser-vices par de la redondance en multipliant les serveurs.Au préalable, disons d’emblée que pour mettre en place de tels mécanismes, il faut soigner l’architecture en se débrouillant pour disposer de services sans état, par exemple des serveurs DNS Se-condary qui restent esclaves d’un Master, ou des serveurs RADIUS accédant en lecture seule à la base de données des utilisateurs. Ainsi on peut multiplier les serveurs en fonction des besoins. Cette stratégie a sa limite que tous les administrateurs de sys-tèmes connaissent bien, celle de la charge que représente le dé-ploiement. Nous avions parlé de notre choix de GNU-Linux pour héberger nos services réseau sans préciser le choix de la distri-bution. Et pour cause, nous n’avions pas de religion et notre seul critère était la facilité de maintenance dans notre contexte. Nous avons donc commencé par utiliser la distribution préconisée pour les serveurs par le DIT (RedHat) avant de nous orienter vers une tout autre architecture.La première idée a consisté à séparer la notion de serveur de celle de service. Nous avons construit 4 serveurs pour rendre nos trois services DNS, DHCP et RADIUS, chaque serveur pouvant abri-ter n’importe lequel des services et tenir la charge en les assu-rant tous, il était simple d’automatiser la commutation en cas de panne ou de maintenance d’un serveur. Cette souplesse extrême-ment triviale à mettre en œuvre nous a servi quelques années.

DNS Radius

Serveur 1

DHCP DNS Radius

Serveur 2

DHCP DNS Radius

Serveur 3

DHCP DNS Radius

Serveur 4

DHCP

fig. 1 – le serveur 1 sert les services DNS et DHCP, le 3 sert le service Radius, …

L’apport de Knoppix

Il nous fallait multiplier le nombre de serveurs avec l’accroissement du nombre de machines sur le campus et le nécessaire déploie-ment du WiFi sollicitant le service RADIUS pour l’authentification et l’accounting. En 2003, Klaus Knopper a eu la bonne idée de concevoir une dis-tribution pour un LiveCD &. Fabriquer autant de LiveCD que de serveurs à instancier coulait alors de source. Il était aisé de mettre au point une petite fabrique de ces images ISO qu’il suffisait de graver et d’introduire dans la fente d’un hardware pour disposer d’un serveur dédié à un service. Cette notion de serveur minimal pour rendre le service était en fait une appliance & un peu avant l’heure. Nous nous sommes éloignés de la solution Knoppix pour profiter du concept de Kickstart dont nous avions l’habitude dès qu’ il a été mis en œuvre dans le projet Fedora avec Kadischi &. Knoppix ayant été conçu pour montrer tout ce que pouvait conte-nir une distribution GNU-Linux, il fallait dégraisser le mammouth pour arriver à nos fins. Avec Kadischi et Kickstart on travaillait plus naturellement en ajoutant ce qu’il nous fallait à un noyau minimal.

fig. 2 – usine à Live-CD Kadischi

Là encore, nous avons utilisé cette solution jusqu’à la banalisation de la virtualisation (cf. article du FI 04/2008) concomitante au déploiement du Server Load Balancing (cf. l’article du FI 06/2008)..

DNS Radius

DHCP

DNS RadiusDNS RadiusDNS Radius

DHCP

SLB SLB

fig. 3 – des serveurs par milliers…

La notion d’appliance

Plutôt que de graver des CD, il suffisait de propager les images ISO pour instancier autant de machines virtuelles que nous en avions besoin. Nous affinions les méthodes de production dans notre fabrique, mais nous n’étions pas encore entièrement satis-faits du modèle.

Logiciel libre > Développements

Page 14: Flash informatique 2011 - no 5

14 Flash informatique – 24 mai 2011 - N° 5 Flash informatique – 24 mai 2011 - N° 5

Le projet Thincrust, Thincrust.org, allait nous fournir les outils qui nous manquaient pour produire des appliances. Là encore si nous sommes restés attachés à Fedora, c’était juste pour profiter de notre acquis sur Kickstart. Toutes les distributions offrent une solution JeOS & (juste l’OS qu’il faut pour une application). Ces solutions répondent non seulement à l’économie du cloud où chaque byte et chaque cycle ont un coût, mais aussi à cette devise des pionniers des avionneurs: «Ce qui n’existe pas ne coûte rien, ne pèse pas, ne tombe pas en panne…1».Appliance-creator (fruit du projet ThinCrust) est un outil dispo-nible dans les dernières versions de Fedora. Il nous permet à partir d’un fichier de description Kickstart, de fabriquer en quelques mi-nutes l’image d’une machine capable de faire tourner l’application que l’on veut et de l’instancier sur n’importe quel système de vir-tualisation. Sur le campus, disposant de VMware c’est cette cible que nous visons, mais nous pourrions faire tourner nos images ailleurs…

Conclusion

Juste l’OS qu’il faut pour rendre un service réseau, générer l’image qui tournera n’importe où pour l’assurer, reproduire ces images sans le moindre effort à partir de leur fichier de description, confier la répartition de charge et la haute disponibilité à un au-tomate intrinsèquement lié au réseau, tel est le point auquel nous sommes arrivés. Comment envisager l’avenir ? L’infrastructure du réseau n’étant rien d’autre qu’un ensemble logiciel tournant sur du hardware de moins en moins spécifique il n’est pas étonnant qu’elle ait subi la même évolution que le reste de notre informatique. Faire tourner les services réseau sur les équipements réseau eux même n’est donc plus une utopie et déjà la réalité chez certains constructeurs qui ont choisi GNU-Linux comme OS d’accueil….

Article du FI-EPFL 2011 sous licence CC BY-SA 3.0 / R. Timsit

1 Jean Délémontez (Concepteur des avions Jodel)

Un, deux, trois… serveurs !

Un mot: libre – quelques regards: informatique, illustrateur, chrétien et droits humains.

Libre – RT

Voilà un mot qui a pris une importance inattendue en informa-tique. Quand Richard Stallman a proposé une première ébauche de définition du logiciel libre en février 1986 avec la FSF, il n’avait certainement pas perçu l’ampleur du débat qu’elle allait engen-drer: «Premièrement, la liberté de copier un programme et de le redistribuer a vos voisins, qu’ils puissent ainsi l’utiliser aussi bien que vous. Deuxièmement, la liberté de modifier un programme, que vous puissiez le contrôler plutôt qu’il vous contrôle; pour cela, le code doit vous être accessible.»Cette définition allait se consolider au cours du temps pour prendre la forme actuelle des 4 aspects du mot liberté et pour se décliner en de multiples licences de la GPL au Copyleft:0. la liberté d’exécuter le programme, pour tous les usages, 1. la liberté d’étudier le fonctionnement du programme et de

l’adapter à ses besoins, 2. la liberté de redistribuer des copies du programme (ce qui

implique la possibilité aussi bien de donner que de vendre des copies),

3. la liberté d’améliorer le programme et de distribuer ces amé-liorations au public, pour en faire profiter toute la commu-nauté.

Vous trouverez toutes ces définitions et leur fabuleuse histoire dans l’article consacré au logiciel libre dans Wikipédia que je ne saurais trop vous conseiller de lire, car il est remarquable, et pour cause… sans l’émergence de ces idées dès le début des années 1980, il n’y aurait certainement pas d’encyclopédie libre sur Inter-net !Le développement du logiciel libre est spectaculaire, non seule-ment parce qu’il séduit sur le plan éthique toute une communau-té de personnes éprises du partage des connaissances dans l’esprit des lumières, mais aussi pour d’autres raisons liées à l’évolution de notre civilisation. En effet, aujourd’hui il n’est plus un objet technique qui n’ait un logiciel embarqué construit avec du logi-ciel libre. Toute l’infrastructure des industries de la connaissance (Amazon, Google) repose sur du logiciel libre, c’est cette industrie lourde qui formera demain ce que l’on appelle déjà le nuage. Ce passage du mot liberté dans l’univers du discours informatique l’a définitivement rajeuni, toutes les questions concernant la na-ture des techniques numériques ou digitales sont entièrement re-pensées à la lumière de sa redéfinition dans les sciences humaines et sociales. Quant à la forme de l’élaboration planétaire du logiciel libre, elle préfigure pour certains une véritable économie de la contribution qui serait une chance pour l’humanité.

Analyse

GLOSSAIRE &appliance: application informatique qui combinée avec juste ce

qu'il faut de système d'exploitation peut s'exécuter de façon optimale sur une machine physique ou virtuelle, en.wikipedia.org/wiki/Software_appliance.

JeOS (Just Enough Operating System): caractérise l'appliance pour un système minimum suffisant pour faire tourner une application spécifique. W

Kadischi: application dans Fedora qui permet de créer des Live CD fedoraproject.org/wiki/Kadischi

liveCD: CD autonome qui contient un système d’exploitation exécutable sans installation. W

W = tiré de Wikipédia

Page 15: Flash informatique 2011 - no 5

15Flash informatique – 24 mai 2011 - N° 5 Flash informatique – 24 mai 2011 - N° 5

[email protected], EPFL - Domaine IT, responsable des services ré[email protected], géologue et [email protected], EPFL – ENAC-IT, Ingénieur informaticienGroupe Hautes Ecoles lausannoises d’Amnesty International, www.unil.ch/amnesty

Libre!? – SB

Certainement l’aspiration humaine la plus profonde, et la plus légitime aussi. Aspira-tion qu’on retrouve en thème central d’un des livres de la Bible: l’Exode. On y découvre un Dieu qui se sent concerné par la situation de captivité d’un peuple. C’était pourtant à son patriarche qu’Il avait fait la promesse de vie en abondance, mais le voilà esclave, de génération en génération, tout entier au service de la première puissance de l’époque: l’Égypte. En se manifestant dans la vie d’un homme, Moïse, ce Dieu va accomplir ce qui était imprévisible à l’époque: rendre libre plus d’un million d’hommes, femmes et enfants en une nuit! Ainsi ils ont pu retrouver ce pour quoi ils étaient venus au monde et entamer l’apprentissage de la liberté.La liberté physique d’un peuple, il y a 3500 ans… est-ce tout? Finalement, lorsque l’on est né ni à la bonne époque, ni au bon endroit pour le vivre, ça ne laisse une trace que très superficielle.Incroyable hasard (ou pas), c’est lors de la fête de commémora-tion de cette nuit-là, la Pâque, qu’a été opéré un second acte de libération d’une toute autre ampleur. Cette fois-ci il n’y a plus aucune restriction, ni dans l’espace ni dans le temps. Jésus, ce même Dieu venu parmi les hommes, apporte la solution au mal ancré profondément dans l’homme: le péché. Péché … incroyable comme ce mot sonne déplacé et d’une autre époque! Pourtant je me demande: si c’était précisément ça qui fait mon état de cap-tivité actuelle? Je ne suis pas esclave au premier sens du terme, mais je dois bien admettre que je suis incapable de faire le bien que je souhaite, pour me retrouver trop souvent à faire le mal que je ne veux pas.Esclave … malheureusement oui, mais rendu capable de retrouver l’état pour lequel j’ai été créé: libre.

Libre – AI-HEL

Être libre? Chaque femme, chaque homme en a sa propre repré-sentation. C’est pour celles et ceux qui savent ce que la perte de la liberté signifie que ce mot a le plus de signification.Pour nous qui pouvons parler, écrire et agir librement, être libre c’est banal. Nous considérons cela comme un droit naturel. Aussi longtemps que nous sommes en sécurité, la liberté est comme l’air que l’on respire. Nous pouvons critiquer les médias, les gouverne-ments et les entreprises et ignorons ce qu’implique la peur de ne plus être libres.

La liberté a de nombreux visages. Perdre la liberté aussi.Pour de nombreuses femmes, le voyage le plus dangereux est de se rendre aux toilettes le jour. La peur d’être violée les accom-pagne à chaque pas. Dans beaucoup d’endroits du monde, des millions de personnes n’ont pas le droit de s’exprimer librement. La peur de la censure, de l’emprisonnement voire de la mort les muselle et les empêche de défendre ouvertement leur opinion.Des communautés entières ont perdu leur terre à cause de l’avi-dité de grandes entreprises et de l’indifférence de gouvernements. Les personnes sans ressources, muettes, affamées et apeurées res-sentent la perte de la liberté de multiples façons.Le fait d’être libre a de nombreuses facettes. Nos droits à la liberté sont fixés dans la Déclaration universelle des droits de l’homme – il s’agit des droits fondamentaux. Ils formulent la vision d’un monde sans peur et sans menace. Restreindre ou nier ces droits relève d’une décision consciente.L’engagement en faveur de ces droits est également une décision consciente. Il y a 50 ans, un avocat britannique prit cette décision en apprenant que deux étudiants portugais avaient été incarcé-rés pour avoir porté un toast à la liberté. L’avocat britannique, Peter Benenson, créa un réseau de résistance avec des personnes partageant les mêmes idées. Elles se sont battues pour que des gouvernements ne puissent plus simplement enfermer en toute impunité des citoyennes et citoyens pour avoir émis une critique. Leur but était très sérieux: ces hommes et ces femmes étaient des activistes qui s’engageaient ensemble contre l’injustice.C’est ainsi qu’est née Amnesty International – l’expérience de perdre la liberté et la décision de s’engager pour elle constituèrent les fondements du mouvement – et le sont aujourd’hui encore.Et pourquoi ne pas fêter avec le groupe universitaire d’Amnesty International les 50 ans du mouvement en assistant au concert du 25 mai à Zélig (UNIL-Dorigny Anthropole) ? n

Page 16: Flash informatique 2011 - no 5

Flash informatique – 24 mai 2011 - N° 5 ISSN 1420-719216

The Tequila authentication tool allows use of a sin-gle sign-on. Its behaviour, particularly at logout time, might surprise you. After reading this article, it is you who will surprise your colleagues with your knowledge.

L’outil d’authentification Tequila implémente le single sign-on. Son comportement, en particulier lors de la déconnexion (logout) est parfois surpre-nant. Après avoir lu cet article, c’est vous qui sur-prendrez vos collègues par votre savoir.

Il arrive que des utilisateurs d’applications sécurisées par Tequila soient surpris de se retrouver authentifiés dans cette application alors qu’ils viennent juste de s’en déconnecter.Que se passe-t-il ? Y aurait-il un bug, une erreur, un virus, voire une carabistouille quelconque qui se serait glissé dans le système d’authentification de l’EPFL pourtant reconnu dans le monde en-tier et dont le président Obama me disait encore hier toute l’admi-ration qu’il y porte ? Eh bien non, ce comportement est normal, conséquence directe et terrifiante à la fois du single sign-on.Que se passe-t-il quand une personne (peut-être toi cher lecteur) s’authentifie via Tequila ? Deux cas se présentent:z Vous êtes déjà authentifié auprès de l’application: celle-ci

s’en aperçoit, car votre navigateur lui a envoyé un cookie qu’elle a reconnu comme un identificateur de session valide, c’est-à-dire correct et pas trop vieux. Il ne se passe donc rien, vous avez le droit de faire toutes les bêtises auxquelles votre authentification vous donne droit.

z Vous n’êtes pas authentifié auprès de l’application: soit vous n’avez pas présenté de cookie, soit il n’est pas ou plus va-lide. L’application, qui est correctement écrite délègue votre authentification auprès du serveur Tequila. Deux sous-cas:w C’est la première fois de la journée que Tequila vous voit:

il vous présente alors le formulaire de login usuel dans lequel vous devez entrer votre username et votre mot de passe. Puis, si tout s’est bien passé, il vous redirige vers l’application initiale avec sa bénédiction. Mais il fait autre chose: il dépose un cookie dans votre navigateur qui vous identifiera la prochaine fois que vous viendrez. C’est le sous-cas suivant.

w Vous avez déjà effectué une authentification correcte dans la journée: Tequila s’en aperçoit car vous lui avez présenté le cookie magique du point précédent. Dans ce cas, point n’est besoin de vous assommer avec le formu-laire de login, vous êtes authentifié automatiquement. Et donc, tout aussi automatiquement, vous êtes redirigé vers l’application initiale.

Dans ces deux sous-cas, vous revenez triomphalement vers votre application, celle-ci dépose elle aussi un cookie dans votre naviga-teur qui lui permettra ensuite de vous reconnaître,vous tomberez (sans vous faire mal) dans le premier cas.L’idée derrière tout ça est de vous demander votre user-name et votre mot de passe un nombre minimum de fois. Une authentification auprès d’une application, vous authentifie du même coup pour toutes les autres. C’est ce qu’on appelle généra-lement le single sign-on.Pour revenir à la question initiale, vous êtes dans le premier cas, c’est-à-dire que vous êtes authentifié auprès d’une application, vous cliquez innocemment sur le bouton Logout ou Décon-nexion. L’application va détruire votre session, c’est-à-dire la petite boite qui contient votre identité, ainsi que le cookie corres-pondant. Mais elle ne va pas détruire le cookie posé par le serveur Tequila. Elle pourrait le faire, mais ce ne serait pas une bonne idée, car elle prendrait alors une décision qui ne la concerne pas: vous déconnecter globalement sort de ses compétences.Donc, vous avez détruit votre session et vous retournez auprès de la même application. Quelle mouche vous a donc piqué de faire ça ?… je passe, en tout cas vous l’avez bel et bien fait. Vous tom-bez alors dans le second cas et même très probablement dans le second sous-cas: à l’insu de votre plein gré, vous avez donné au serveur Tequila le cookie magique que tout le monde nous envie tant. Votre authentification est donc automatique et vous vous retrouvez connecté à l’application dont vous venez juste de vous déconnecter. D’où la surprise.Vous allez me dire: mais à quoi sert donc ce bouton Logout dans les applications ? Dans un environnement single sign-on comme le nôtre, absolument à rien.Vous poursuivez donc par: mais si je suis sur un ordinateur public que quelqu’un d’autre va utiliser, je dois bien me délogger, com-ment faire ? Une seule solution, sortir du navigateur.Ainsi, toutes vos sessions ouvertes, aussi bien celles de Tequila que celles de toutes les applications que vous avez visitées seront détruites irrémédiablement, pour le meilleur comme pour le pire.Les plus hardis me diront alors, c’est bien beau tout ça, mais si je veux me déconnecter du serveur Tequila sans sortir du navigateur, je fais quoi ? Il suffit de visiter l’URL: tequila.epfl.ch/logout mais attention, vous serez déconnecté du serveur Tequila, mais pas des applications actives.Autre cas épineux, vous passez chez un collègue et vous voulez vous connecter à Tequila dans son navigateur. Bien sûr, il refuse catégoriquement d’en sortir. Si le navigateur est correct (Firefox, Chrome, IE9…) vous avez la possibilité d’ouvrir une fenêtre privée: Firefox -> tools -> start private browsing, Chrome -> New Incognito Window, …) qui ne partage pas les cookies avec les autres fenêtres. Quand vous le quitterez, la déconnexion automa-tique se fera. n

Tequila logout, quitte ou double [email protected], EPFL - Domaine IT, père de Tequila

À votre service