Flash informatique 2011 - no 5 by EPFL

24.05.2011

FlashInformatique.epfl.ch

Mot-croisé

p/a EPFL - Domaine IT - Station 8 - CH 1015 Lausanne - tél. +41 21 69 322 11

Actualités

page 14

DIT-info

Actualités DIT-info: z L'heure-DIT J. Dousson

z IPv6 S. Lanouar

z FI numéro spécial rentrée 2011-2012 J. Dousson

z CUDA F. Lapique

z Le DIT vous forme…

Analyse Mot-croisé: LIBRE Amnesty International, S. Bancal, E. Rosales & R. Timsit

À votre service Mails frauduleux à l'EPFL, attention! J. Dousson

Tequila logout, quitte ou double ? Cl. Lecommandeur

Comment faire? go.epfl.ch N. Borboen

Logiciel libre KeePass, votre coffre-fort de mots de passe 3

J.-D. Bonjour

L'heure-DIT Nous avons constaté que dans les unités de l’EPFL le rôle de responHEURE sable informatique est parfois donné à de nouveaux collaborateurs, DIT fraîchement arrivés sur le campus. Afin de mieux les informer sur l’environnement informatique dans lequel ils vont évoluer, le DIT organise l’heure-DIT: durée: 1 heure quand: de 11 à 12 heures thème: une seule thématique sera abordée pendant cette heure lieu: salle de conférence du DIT, sans inscription public visé: les responsables informatiques d’unités ou équivalents (ce ne sont pas des présentations destinées aux utilisateurs standard) fréquence: une dizaine par an environ langue: français (éventuelllement anglais si une majorité de non francophones). La première heure-DIT aura lieu le jeudi 16 juin de 11 à 12 heures en salle de conférence du DIT, le thème sera la sécurité informatique à l’EPFL. La prochaine sera sans doute en septembre et fera le point sur le réseau. Le DIT espère ainsi mettre à niveau les connaissances des responsables informatique d’unité afin qu’ils puissent ensuite mieux assurer leur rôle de support et de conseil. Jacqueline.Dousson@epfl.ch, Domaine IT

Un, deux, trois… serveurs ! 13

R. Timsit

Le 8 Juin 2011 nous participerons aux 24 heures du premier test mondial grandeur nature d’IPv6, le protocole Internet de nouvelle génération. Google, Facebook, Yahoo!, Akamai et Limelight Networks seront parmi quelques-unes des principales organisations qui offriront leur contenu en IPv6 ce jour là (isoc.org/wp/worldipv6day/).

Prochaines parutions No Délai de rédaction Parution 6

09.06.11

28.06.11

30.06.11

23.08.11

Rentrée 22.08.11

16.09.11

tout public public averti expert

IPv6

IPv6:World::Day 2011:June::8

Tous ceux qui sont intéressés à tester IPv6 sont les bienvenus le mercredi 8 Juin 2011 de 9h à 17h à la salle de conférence du DIT MA AO 364. Soumaya.Lanouar@epﬂ.ch, Domaine IT

Actualités

DIT-info

FI spécial rentrée 2011-2012

CUDA Le DIT organise une journée d’introduction à la programmation de l’architecture CUDA, le vendredi 24 juin de 9 à 17 heures salle de conférence DIT

Appel aux articles En septembre 2010, nous avons consacré un numéro spécial du Flash informatique aux étudiants en nous basant sur le constat que ce lectorat, pourtant la raison d’être de notre école, était très souvent négligé par nos auteurs. Nous avions tenté d’y regrouper toutes les informations utiles aux étudiants, surtout à ceux fraîchement débarqués sur le campus; ceux-ci ont beau être nés avec le Web et passer beaucoup de temps sur les réseaux sociaux, ils ne connaissent pas forcément les beautés cachées de Gaspar, myPrint, ISA, Jahia et cie. Cette année nous allons faire le même exercice. J’appelle donc à tous les auteurs potentiels: z responsables de prestations pour les étudiants, z responsables de l’informatique pour les sections, z étudiants pour partager des expériences ou des développements, à me contacter afin de mettre sur pied un numéro riche d’informations. Le délai de rédaction de ce numéro est fixé au 22 août, mais contactez-moi dès que possible !

Concours réservé aux étudiants

Cette journée sous la forme de quatre sessions couvrira tous les aspects du calcul GPU sur la base de la nouvelle version 4.0. Cette dernière version apporte un certain nombre d’amélioration clés pour faciliter la programmation multi-GPU et l’intégration de MPI ( voir le communiqué de presse du 28/02/2001 de NVIDIA (www.nvidia.fr/object/nvidia-cuda-4-0-press-20110228-fr.html). Ce cours est réservé à celles et ceux des universités et HES romandes qui ont un projet concret dans ce domaine. Le portable est nécessaire pour de petits travaux pratiques. Le nombre de places étant limité (environ 20 places) vous pouvez vous inscrire auprès du signataire. Francis.Lapique@epﬂ.ch, Domaine IT

Le DIT vous forme… Comme chaque été, le DIT vous propose des cours d’été, vous les découvrirez semaine après semaine en cliquant suite… au bas de notre page Web dit.epﬂ.ch/cours. Ces formations ont lieu sur une ou plusieurs sessions durant la même semaine mais certaines selon un horaire estival, c’est-à-dire de 8h30 à 11h00 ou de 13h00 à 15h30. Pour plus de renseignements n’hésitez pas à contacter l’équipe par courriel cours.dit@epﬂ.ch ! L’équipe des cours

Et bien sûr, comme l’an passé, un concours réservé aux étudiants de l’EPFL avec un prix de 1000 Francs sera associé à ce numéro ! Jacqueline.Dousson@epﬂ.ch, Domaine IT

Impressum Revue consacrée aux technologies de l’information, éditée par le Domaine IT de l’EPFL (DIT). Les articles n’engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations ofﬁcielles (sous la responsabilité du DIT ou d’autres entités). Toute reproduction, même partielle, n’est autorisée qu’avec l’accord de la rédaction et des auteurs.

Rédacteur en chef: Jacqueline Dousson, ﬁ@epﬂ.ch Mise en page & graphisme: Appoline Raposo de Barbosa Comité de rédaction: Aristide Boisseau, Paulo de Jesus, Patrice Fumasoli, Jean-Damien Humair, Laurent Kling, Julia Paolini, Vittoria Rezzonico, François Roulet, Christophe Salzmann, Predrag Viceic & Jacques Virchaux

Flash informatique – 24 mai 2011 - N° 5

Impression: Atelier de Reprographie EPFL Tirage: 4000 exemplaires Adresse Web: FlashInformatique.epfl.ch Adresse: Domaine IT EPFL Station 8, CH-1015 Lausanne Téléphone: +41 21 69 32246 & 32247 Abonnement au FI par e-mail à: fi-subscribe@listes.epfl.ch

Logiciel libre

KeePass, votre coffre-fort de mots de passe Jean-Daniel.Bonjour@epﬂ.ch, EPFL-ENAC-IT, responsable informatique, chargé de cours

How to store safely all your precious digital IDs and use them in a convenient way ? If you don’t already have an application for this purpose, then it’s time for you to consider software developed under the KeePass free project ! Comment stocker de façon robuste tous vos précieux sésames d’accès au monde numérique et les utiliser efﬁcacement ? Si vous n’avez pas encore d’application pour cela, il est alors grand temps de vous intéresser aux logiciels libres de la famille KeePass !

Fiche descriptive Domaine ✦ Gestionnaire de mots de passe (et d’autres informations personnelles)

Licence

langue

version

✦ GPLv2+

✦ multilingue

✦ 1.19 et 2.15

Autres alternatives libres ✦ Password Safe

Alternatives non libres ✦ LastPass ✦ Password Agent ✦ et beaucoup d’autres…

Sites Web ✦ projet KeePass: keepass.info

Plates-formes

Problématique des mots de passe Pour l’usager EPFL standard, il est aujourd’hui devenu possible d’accéder à la plupart des applications informatiques proposées dans notre École avec un seul compte, son compte Gaspar 1. En effet, la plupart des applications Web authentiﬁées de l’EPFL s’appuient sur le système Tequila 2 qui vous demande votre identiﬁant et mot de passe Gaspar 3. Le monde Windows, la messagerie et les prestations de stockage dépendent du service d’annuaire Active 3 4 5 6 7 1 2

Directory, dont les comptes sont par défaut synchronisés sur Gaspar. Il en est de même en ce qui concerne les mondes Linux et MacOSX (avec les services d’annuaires LDAP et Open Directory) ainsi que les services réseau (avec Radius). Plus personne n’a donc d’excuse à ne pas utiliser un mot de passe robuste (unique) pour accéder à l’ensemble de ces services. Mais le monde numérique ne se limite pas à notre univers professionnel. Presque chaque mois ou semaine qui passe nous amène à créer de nouveaux comptes et retenir de nouveaux mots de passe: e-mail privé, réseaux sociaux, blogs, forums, stockage dans le cloud, services bancaires, commerce en ligne, voyages, partage de documents, de photos ou de vidéos, etc. Donc autant d’identités numériques que de services… dans l’attente de solutions d’authentification globales et mutualisées entre plusieurs prestataires 4. Notre premier conseil de sécurité est de ne surtout pas utiliser le même identifiant et mot de passe pour plusieurs services fournis par des prestataires différents 5 ! Celui qui respecte cette règle peut être tenté d’utiliser des mots de passe simples pour les mémoriser facilement tous… mais ils ne résisteront pas longtemps en cas de tentatives de deviner le mot de passe par force brute 6. S’agissant des mots de passe complexes et donc solides, il faut s’aider d’algorithmes mentaux pour les retenir, ce qui ne convient pas à tout le monde. Quant à la liste de mots de passe sur papier au fond du tiroir ou dans un fichier texte sur votre ordinateur ou smartphone, c’est fort peu commode à utiliser et bien trop vulnérable. Il est donc essentiel d’opter pour des mots de passe robustes et différents pour chaque service… et pour survivre, il nous faut une solution permettant de les conserver, les gérer et les utiliser de manière sûre, souple et efficace. Trois catégories d’outils existent pour cela.

Stockage d’identifiants par le navigateur Web Depuis quelques années, les navigateurs Web sont en mesure de conserver les informations relatives aux formulaires (c’est même leur comportement par défaut), donc typiquement les informations de login des services Web authentifiés. S’agissant des champs de type mots de passe, un réglage permet de désactiver cette fonctionnalité 7. Si vous la laissez activée, il est absolument essentiel de protéger l’ensemble des mots de passe ainsi enregistrés (ainsi que vos éventuelles clés privées de navigateur) par un mot de passe principal, sinon n’importe qui ayant accès à votre machine (ou aux fichiers de configuration de votre navigateur)

Gestionnaire de comptes EPFL Gaspar: gaspar.epfl.ch Module libre d’authentification Web développé à l’EPFL par C. Lecommandeur (tequila.epfl.ch) Ce qui permet le single sign-on, c’est-à-dire la possibilité de naviguer d’un site authentifié à un autre en ne s’authentifiant que sur le premier Tel que OpenID (fr.wikipedia.org/wiki/OpenID) qui semble la plus prometteuse Faute de quoi, si l’un des mots de passe était intercepté, l’accès aux autres services serait compromis fr.wikipedia.org/wiki/Attaque_par_force_brute

Sous Firefox, avec Outils>Options ou Édition>Préférences, puis onglet Sécurité et option Enregistrer

les mots de passe

Flash informatique – 24 mai 2011 - N° 5

KeePass, votre coffre-fort de mots de passe pourra récupérer vos mots de passe 8. En activant la protection par mot de passe principal, lorsque vous redémarrerez votre navigateur, la première tentative d’authentification à un service sécurisée déclenchera la demande de saisie de ce mot de passe. Les mécanismes de synchronisation via internet des paramètres du navigateur 9 vous permettent en outre de synchroniser automatiquement, entre plusieurs navigateurs/machines, non seulement vos bookmarks mais également vos mots de passe. Cette technique facilite donc grandement l’authentification et vous permet d’utiliser des mots de passe robustes que vous n’avez pas besoin de mémoriser, mais elle présente les inconvénients suivants: z elle se limite à l’authentification de services Web; z elle n’est bien entendu pas envisageable sur une machine qui n’est pas la vôtre (sur le poste d’un ami, dans un cybercafé…); z peut-être ne souhaitez-vous pas synchroniser des mots de passe via le cloud 10, même cryptés. Notez qu’il existe des extensions permettant d’exporter vos mots de passe d’un navigateur vers un gestionnaire de mots de passe 11, voire l’inverse (importation).

Trousseau de clés du système d’exploitation Chaque système d’exploitation propose en standard un mécanisme de gestion de trousseaux de clés 12 permettant d’enregistrer les informations d’accès à d’autres services (credentials), et les protéger par un mot de passe principal. Cette méthode a cependant aussi des limites: z pas de prise en charge de l’authentiﬁcation de services Web; z mécanisme intimement lié à la machine sur laquelle on travaille.

Gestionnaire de mots de passe Bien que les deux mécanismes qui viennent d’être décrits puissent être considérés comme des gestionnaires de mots de passe, il existe une troisième catégorie d’outils spécifiques, correspondant à ce terme et dont KeePass fait partie, permettant à l’utilisateur d’enregistrer manuellement l’ensemble de ses identifiants et mots de passe13 dans une base de données protégée par un mot de passe unique afin de n’avoir plus qu’un seul sésame robuste à mémoriser.

Exigences d’un gestionnaire de mots de passe Il existe un grand nombre de gestionnaires de mots de passe, mais rares sont ceux qui satisfont à l’ensemble des exigences suivantes qui nous semblent essentielles pour un domaine aussi critique:

z le mécanisme de chiffrage doit être robuste, afin de rendre quasi impossible le décryptage de vos informations par celui qui aurait dérobé votre fichier de base de données; lorsque le logiciel tourne, les mots de passe doivent en outre être cryptés en mémoire pour éviter l’interception par des logiciels espions; z le logiciel doit être libre et open source; du point de vue des spécialistes en sécurité (et des défenseurs du libre !), la possibilité d’examiner le code de l’application est la seule façon de s’assurer que le logiciel est robuste, et la seule garantie qu’il n’implémente pas de mécanisme malveillant; z il doit être commode à utiliser, notamment s’agissant de la transmission des identifiants aux applications authentifiées (copier/coller, mécanisme auto-type); lorsque le logiciel tourne, les mots de passe doivent apparaître de façon masquée (au cas où quelqu’un lorgnerait par-dessus votre épaule); z il doit être flexible en terme d’organisation de la base de données (mise en place d’arborescences de comptes) et permettre le stockage d’autres attributs (URL, notes, éventuel fichier attaché, etc.); z il devrait en outre être utilisable de façon mobile (typiquement depuis une clé USB), c’est-à-dire conçu de façon portable (stand-alone); z il devrait être multiplate-forme, permettant d’accéder depuis tout type d’équipement (laptop ou desktop Windows/Linux/ MacOSX, smartphone, tablette…) à ces informations que l’on est susceptible d’utiliser n’importe où; z la synchronisation de la base de données entre les différents équipements que vous utiliserez doit être possible et offrir la robustesse nécessaire pour s’appuyer sur des mécanismes de type internet (cloud). Le logiciel libre KeePass et ses adaptations sur les différents systèmes d’exploitation et équipements constitue probablement le seul projet qui réunit toutes ces caractéristiques !

Installation de KeePass À l’origine, KeePass Password Safe 14 est un projet libre de développement de gestionnaire de mots de passe sous Windows. À partir de celui-ci ont été implémentées des versions pour toutes les plates-formes courantes: KeePassX sous Linux et MacOSX, KeePassDroid sous Android (smartphones et tablettes), MyKeePass (et iKeePass limité à USA/Canada) sous iOS (iPhone, iPad), 7Pass sous Windows Phone 7, KeePassMobile pour téléphones basés J2ME (Java 2 Micro Edition), etc. Il est important de préciser ici que deux versions de KeePass évoluent en parallèle, toutes deux libres en licence GPLv2+, mais différentes en terme de portabilité et de fonctionnalités 15:

Sous Firefox, dans la même fenêtre de réglage: option Utiliser un mot de passe principal, et bouton Mots de passe enregistrés Par exemple l’extension Xmarks sous Firefox et Chrome, ou le module Mozilla Firefox Sync (anciennement dénommé Weave) entièrement intégré au navigateur Firefox depuis la version 4 (voir l’onglet Sync sous Outils>Options ou Outils>Préférences) 10 Noter cependant que Xmarks permet de synchroniser via un espace WebDAV quelconque (voir ditwww.epﬂ.ch/SIC/SA/SPIP/Publications/spip. php?article2063), et que la technologie libre Firefox Sync permet d’implémenter son propre serveur de synchronisation (basé PHP, JSON, MySQL…) 11 Par exemple, l’extension Password Exporter sous Firefox qui ajoute un bouton Importer/Exporter les mots de passe dans l’onglet Sécurité des options Firefox 12 Keychain sous MacOS, GNOME Keyring sous Linux/GNOME, KWallet sous Linux/KDE, etc. 13 Ainsi que d’autres attributs comme: adresses internet associées, notes, informations conﬁdentielles telles que PIN-code, etc. 14 Site principal keepass.info, et voir aussi fr.wikipedia.org/wiki/KeePass 15 Pour une présentation détaillée des différences, voir keepass.info/compare.html 8 9

Flash informatique – 24 mai 2011 - N° 5

KeePass, votre coffre-fort de mots de passe z branche 1.x (KeePass Classic, écrit en C++): version la plus répandue, installable sans prérequis sur les 3 systèmes d’exploitation Windows, Linux et MacOSX z branche 2.x (KeePass Professional, écrit en C#): nécessite Microsoft .NET Framework ≥ 2 sous Windows 16, et Mono ≥ 2.6 supérieur sous Linux ou MacOSX 17; offre des fonctionnalités additionnelles qui ne sont cependant pas vitales, notamment: w sous Windows: mécanisme additionnel de protection de la base de données en la liant au compte utilisateur Windows, w possibilité de définir des champs supplémentaires pour chaque entité, w possibilité d’attacher plus d’un fichier à une entité, w gestion d’un historique pour chaque entité, w mécanisme plus robuste de protection par rapport aux keyloggers (two channels auto-type obfuscation), w possibilités de scripting. Les formats de bases de données de ces deux versions sont différents et non interopérables. Ces fichiers portent les extensions .kdb pour la version 1.x, et .kdbx pour la version 2.x. bien que le passage d’une version à l’autre soit possible, il consiste plutôt en une migration 18. Étant donné les prérequis de la version 2.x et surtout le fait qu’elle n’est pas disponible sur toutes les platesformes, il est actuellement nécessaire d’opter pour la version 1.x 19 si vous souhaitez exploiter une base de données KeePass en parallèle sur plusieurs équipements dont les systèmes d’exploitation sont différents (laptop/desktop, smartphones et tablettes). Une fois la décision prise quant à la version, vous pouvez passer à l’installation: Sous Windows: depuis la page keepass.info/download.html, vous pouvez choisir entre une installation basée installeur (type Setup.exe) ou déballage d’une archive ZIP. Le résultat sera le même dans les deux cas, et l’application installée sera portable, c’est-à-dire déplaçable/exploitable sur n’importe quel autre média de stockage (pas de trace de clé de registre ni de fichier INI dans le système). Il est bien clair que si vous avez opté pour la version 2.x, son usage via clé USB sur une machine ne disposant pas du Framework .NET ne sera pas possible. Sous Linux: vous pourriez installer KeePassX depuis la page www.keepassx.org, mais il est préférable (et plus facile) d’utiliser le gestionnaire de paquetage de votre distribution Linux. Le paquetage s’appelant keepassx, vous pouvez passer la commande: sudo apt-get install keepassx (Debian/ Ubuntu) ou yum install keepassx (Red Hat/Fedora), et accepter l’installation des éventuels paquets dépendants. Vous accéderez ensuite à l’application depuis le menu Applications>Accessories>KeePassX.

Sous MacOSX: depuis la page www.keepassx.org/downloads/, sous la rubrique MacOS X, téléchargez le fichier-image KeePassX-version.dmg, ouvrez-le, et déplacez le fichier KeePassX qui se trouve dans le dossier Applications. Sur smartphone ou tablette Android: installez l’application nommée KeePassDroid depuis le Market de Google. Sur iPhone ou iPad: installez l’application nommée MyKeePass depuis l’AppStore iTunes de Apple. L’interface utilisateur diffère d’une plate-forme à l’autre. Quasiment identique entre Linux et MacOSX, l’organisation des menus est différente sous Windows (ainsi que selon la version 1.x ou 2.x). Bien entendu c’est toute autre chose sur smartphone ou tablette où l’interface graphique est adaptée à une interface de type tactile. Ceci n’empêche pas ces différentes implémentations KeePass d’être interopérables, c’est-à-dire partager le même fichier de base de données (pour autant que l’on s’en tienne à la même famille, donc soit 1.x soit 2.x). Si vous souhaitez changer la langue de l’interface utilisateur: z Sous Linux et MacOSX: le logiciel est multilingue, et vous pouvez changer de langue avec Extra>Settings (Linux) ou KeePassX>Preferences (Mac), puis allez dans la catégorie Languages, sélectionnez la langue désirée, cliquez Apply et relancez KeePassX. z Sous Windows: KeePass s’installe par défaut en langue anglaise seulement. Si cela ne vous convient pas, faites View>Change Language, puis cliquez sur Get more languages 20, téléchargez le fichier correspondant à votre version et à la langue désirée, dézippez-le, déposez-le simplement dans le dossier d’installation KeePass et relancez l’application. Dans les explications ci-dessous, nous présenterons les deux versions (1.x et 2.x) mais nous nous baserons sur la langue par défaut (anglaise). Sur Mac, traduisez bien entendu les raccourcis <ctrl-xxx> que nous indiquerons en <cmd-xxx>.

Prise en main sous Windows/Linux/Mac Création d’une base de données KeePass sauvegarde vos entrées (comptes avec identifiant, mots de passe, etc.) dans une base de données chiffrée qui consiste en un seul fichier. Celui-ci est accessible moyennant la saisie d’un mot de passe principal (master password) qui peut être facultativement complété par un fichier de clé (Key file, voir plus loin dans cet article). La toute première fois que vous lancez KeePass, il vous faut commencer par créer une base de données avec File>New: vous êtes alors appelé à saisir puis confirmer le mot de passe principal (voir fig. 1). Choisissez un mot de passe robuste 21, car il protégera l’ensemble de tous vos autres mots de passe, et c’est le seul que vous

.NET fait partie de Windows 7, mais doit être installé sous Windows XP Mono (www.mono-project.com) est une implémentation libre de .NET 18 Le passage 1.x à 2.x s’effectue sous KeePass 2.x par importation KDB dans un ﬁchier KDBX. Le retour 2.x à 1.x s’effectuerait sous KeePass 2.x par export des données en KDB 19 Version qui ne devrait pas disparaître au proﬁt de 2.x, voir keepass.info/devstatus.html 20 Ce qui ouvrira la page web keepass.info/translations.html 21 Un mot de passe robuste devrait être très éloigné d’un mot de dictionnaire et composé de 12 à 15 caractères mélangeant majuscules, minuscules, chiffres et caractères spéciaux. Dans la version Windows de KeePass, tant que l’indicateur en-dessous du champ Master password ne vire pas au vert, durant le processus de saisie du mot de passe, c’est qu’il est jugé trop risqué. 16 17

Flash informatique – 24 mai 2011 - N° 5

KeePass, votre coffre-fort de mots de passe aurez à mémoriser. Il est primordial de s’en souvenir, sous peine de perdre l’accès à toutes les informations contenues dans la base de données. Il sera vain d’appeler au secours si vous l’avez oublié, car il n’y a vraiment aucune solution pour le récupérer. C’est du reste l’un des facteurs garantissant la sécurité de cet outil !

Gestion des groupes et entrées Une fois la base de données ouverte, vous vous trouvez devant une fenêtre analogue à celles des ﬁgures 2 (Windows) ou 3 (Linux/ Mac).

ﬁg. 2 – fenêtre principale KeePass, sous Windows

ﬁg. 3 – fenêtre principale KeePassX, sous Linux ou MacOSX ﬁg. 1 – fenêtres de saisie du mot de passe principal, sous Windows (1.x) et Linux/ Mac

La première fois que vous sauvegarderez la base de données (File>Save), KeePass vous demandera, comme toute application, de spécifier l’emplacement et le nom de fichier, qui sera complété par l’extension .kdb sous la version 1.x, et .kdbx sous 2.x. Les prochaines fois que vous lancerez KeePass, il se souviendra de la dernière base de données utilisée et l’ouvrira après vous avoir demandé de saisir le mot de passe principal. Pour changer après coup le mécanisme de protection (mot de passe principal et/ou fichier de clé), faites File>Change Master Key. Le logiciel vous demandera alors de re-sauvegarder la base de données afin de la réencrypter sur la base de ces nouveaux paramètres. Disponible uniquement dans la version 2.x sous Windows, une option Windows user account permet de lier la protection de la base de données au compte utilisateur Windows courant. Il peut être dangereux de recourir à cette option, car elle vous empêchera d’ouvrir la base de données depuis d’autres machines, sauf si elles sont intégrées au même domaine Active Directory. En outre, la destruction du compte utilisateur Windows rendrait impossible l’utilisation de votre base de données. Notez la présence, à droite du champ de saisie de mots de passe (et c’est aussi valable lorsque vous définirez dans un instant des entrées), d’un bouton avec 3 points (sous Windows) ou un œil (sous Linux/Mac) que vous pouvez désenfoncer pour afficher le mot de passe en clair lors de la saisie.

Flash informatique – 24 mai 2011 - N° 5

On y distingue les zones suivantes: z sous la barre de titre: les menus et une barre d’outils. z à gauche: une arborescence de groupes et sous-groupes; z dans la partie supérieure droite: la liste des entrées du groupe couramment sélectionné à gauche; z dans la partie inférieure: l’affichage des attributs de l’entrée couramment sélectionnée dans la liste du dessus. Les groupes permettent de classer par catégories et organiser hiérarchiquement vos codes d’accès (identifiant, mot de passe et autres attributs) dénommés entrées. Des icônes explicites peuvent être associées aux groupes et aux entrées afin de les identifier plus facilement. On trouve par défaut, dans une nouvelle base de données, un certain nombre de groupes prédéfinis. Sous KeePass Windows: un groupe General contenant les sous-groupes Windows, Network, Internet, eMail et Homebanking. Sous KeePassX Linux/Mac: deux groupes Internet et eMail. Mais vous êtes entièrement libres de les détruire et définir votre propre hiérarchie à l’aide des commandes se trouvant dans le menu Edit (Windows) ou Groups (Linux/Mac). Pour saisir une nouvelle entrée, sélectionnez d’abord le groupe dans lequel vous désirez la placer, puis faites Edit>Add Entry (Windows) ou Entries>Add New Entry (Linux/Mac), ou procédez par clonage d’une entrée existante (Duplicate Entry sous Windows, Clone Entry sous Linux/Mac). Apparaît alors la fenêtre de saisie des attributs de l’entrée (fig. 4). Vous n’êtes pas obligé de remplir tous les champs. Associez à l’entrée une icône représentative. Le champ Notes/Comment permet d’insérer librement tout autre type d’information. Vous pouvez même attacher à chaque entrée un fichier qui sera donc intégré de façon cryptée dans la base de données !

KeePass, votre coffre-fort de mots de passe z ainsi que masquer la zone du bas présentant l’ensemble des attributs d’une entrée: View>Show Entry View/Details. Notez ﬁnalement que les menus contextuels sont très bien implémentés sous KeePass. Ils apparaissent lorsque vous cliquez avec <droite> (ou <ctrl-clic> sur Mac) sur des entrées ou des groupes.

Utilisation des entrées de la base de données

ﬁg. 4 – fenêtres de saisie/modiﬁcation des attributs d’une entrée, sous Windows (1.x) et sous Linux/Mac

Pour éditer/modifier après coup une entrée, vous pouvez double-cliquer sur son Title, ou la sélectionner et frapper <enter> (Windows) ou encore Entries>View/Edit Entry (Linux/Mac). Et finalement, pour réorganiser les entrées et groupes, procédez simplement par glisser/déposer. Vous pouvez agir sur le type d’affichage en mode liste, ce qui est utile pour masquer certaines informations aux personnes qui pourraient voir votre écran: z faire apparaître ou masquer certaines colonnes: View>Show Columns (Windows), View>Columns (Linux/Mac), z faire apparaître ou masquer (par des *****) les usernames et passwords: View>Hide Usernames et View>Hide Passwords (commandes-bascules), ou encore <ctrl-J> et <ctrl-H> (Windows), 22 23

À ce stade de notre présentation, votre base de données n’est qu’un répertoire de comptes avec attributs. Mais la puissance de KeePass va bien au-delà ! En premier lieu, lorsqu’une entrée dispose d’une URL, vous pouvez ouvrir celle-ci automatiquement (basculement automatique dans votre navigateur Web préféré) en la sélectionnant et frappant <ctrl-U> (ou Edit>Open URLs sous Windows, et Entries>Open URL sous Linux/Mac). Pour gagner du temps, associez donc l’URL correspondant à la page de login du service. Il s’agit maintenant de transférer votre identifiant et mot de passe à cette page. Plusieurs techniques sont possibles: z La bonne vieille technique du copier/coller: KeePass vous permet, depuis la liste de vos entrées, de récupérer dans le pressepapier le username ou password d’une entrée ainsi: w copie du username: sélectionnez l’entrée et faites <ctrl-B>, ou double-cliquez sur le champ username, w copie du password: sélectionnez l’entrée et faites <ctrl-C>, ou double-cliquez sur le champ password, z Le glisser/déposer (drag and drop): il est possible de glisser/ déposer le username ou le password entre la fenêtre KeePass et les champs correspondants de votre page Web de login. z Le mode auto-type: bien plus efficace que les méthodes cidessus, cette technique n’est cependant disponible que sous Windows et Linux et fonctionne ainsi: w assurez-vous d’abord que, dans la page de login de l’application sécurisée, le curseur d’insertion se trouve dans le champ username (c’est généralement le cas pour toutes les pages d’authentification bien conçues), w revenez ensuite dans KeePass, et frappez simplement le raccourci <ctrl-V> (ou la commande Edit> Perform Auto-Type, ou à l’aide du menu contextuel sous KeePass 2.x); ce raccourci va magiquement basculer dans la fenêtre précédente et y coller la séquence: USERNAME <tab> PASSWORD <enter> 22, et vous serez authentifiés ! w si les champs de formulaire de la page d’authentification sont organisés différemment, il est possible d’indiquer à KeePass quelle séquence d’envoi spécifique effectuer 23. z Le global auto-type: hélas pas non plus disponible sous MacOSX, cette méthode constitue vraiment le nec plus ultra. La logique est inverse par rapport à l’auto-type classique, puisqu’on déclenche l’opération d’injection du username et password directement depuis l’application authentifiée avec le raccourci <ctrl-alt-A>. Mais comment cela peut-il bien fonctionner ? w il faut bien entendu que KeePass soit préalablement démarré et tourne en arrière-plan avec la base de données

Le <tab> passe du champ username au champ password, et <enter> valide la connexion Voir keepass.info/help/base/autotype.html

Flash informatique – 24 mai 2011 - N° 5

KeePass, votre coffre-fort de mots de passe ouverte (si celle-ci est lockée, KeePass vous demandera d’abord le mot de passe pour la déverrouiller); w il intercepte alors le raccourci passé depuis l’application authentifiée et récupère le titre de la fenêtre; w il recherche, dans la base de données, l’entrée dont le champ Title correspond partiellement ou totalement au titre de la fenêtre d’authentification, puis lui envoie la séquence auto-type correspondante. Pour que ce mode global auto-type fonctionne correctement, veillez aux points suivants: z sous KeePassX (Linux/Mac), il n’est pas activé par défaut; allez dans Extra>Settings puis dans la catégorie Advanced, définissez le raccourci <ctrl-alt-A> (frappez cette séquence de touches) dans le champ Global Auto-Type Shortcut, activez l’option Use entries title to match the window for Global Auto-Type, et validez avec Apply OK; z s’agissant de l’authentification de services Web, veillez à ce que le champ Title de l’entrée KeePass contienne bien le texte figurant dans la barre de titre de la page de login du service (titre fourni par la balise HTML <title>). La puissance des modes auto-type KeePass réside dans le fait que cela fonctionne quel que soit votre navigateur Web et sans qu’il soit nécessaire d’installer une extension spécifique ! Si vous êtes maintenant convaincus par KeePass et souhaitez abandonner le système que vous utilisiez jusqu’ici, sachez qu’il est très facile de récupérer dans KeePass les identifiants et mots de passes que vous gériez différemment jusqu’ici. Commencez par les exporter depuis votre ancien outil au format TXT, CSV ou XML, puis importez-les dans KeePass avec File>Import. Si vous exploitez KeePass sur un seul équipement, vous n’êtes pas à l’abri d’un crash disque ou d’un vol. N’oubliez donc pas de sauvegarder votre base de données sur un média externe. Vous pouvez aussi utiliser la bonne vieille technique de la liste papier en imprimant tous vos comptes avec File>Print (Windows seulement)… mais déposez-la en lieu sûr ! Notez que le processus d’impression, sous la version 1.x, passe par la génération d’un fichier HTML qu’il ne faut pas oublier de jeter après impression, car il contient les mots de passe en clair !

Fonctions plus avancées Vous accédez aux nombreux réglages et préférences KeePass sous Tools>Options (Windows), Extra>Settings (Linux) ou KeePass>Preferences (Mac). Sous KeePass 1.x (toutes plates-formes), vous constaterez que chaque fois que vous éditez une entrée, une copie de l’ancienne entrée est conservée dans un groupe nommé Backup. Vous pouvez désactiver cette fonctionnalité en décochant l’option Save backups of modified entries into the Backup group

dans la catégorie de réglages Advanced sous Windows, ou dans la catégorie General(2) sous Linux/Mac, puis en supprimant ce groupe. Sous KeePass 2.x, cette fonctionnalité de backup n’existe pas, car les différentes versions d’une entité sont gérées au niveau de l’historique (voir onglet History dans la fenêtre d’édition d’une entité).

La sécurité de KeePass peut être paramétrée via diverses options dans la catégorie de réglages Security. Notez en particulier qu’il est possible de limiter la durée de validité des données déposées par KeePass dans le presse-papier (par défaut auto-clear après 10 à 20 secondes), et verrouiller automatiquement la base de donnée après un certain temps d’inactivité ou lorsque l’on minimise la fenêtre. Vous pouvez aussi verrouiller la base manuellement (p.ex. lorsque vous vous éloignez de votre poste) avec File>Lock Workspace, puis la déverrouiller avec File>Unlock Workspace, ou par le raccourcis <ctrl-L> ou encore le bouton cadenas (ce sont des bascules). Pour renforcer encore la sécurité d’accès à la base de données, la solution consiste à la crypter en combinant deux techniques: le mot de passe principal (master password) et un fichier de clé (key file) qui constituent ensemble ce que KeePass appelle une Composite master key. Comme vu plus haut (fig. 1), faites File>Change Master Key et activez l’option User master password and key file (KeePass 1.x Windows) ou Key File (KeePassX Linux/ Mac et KeePassX 2.x Windows). Vous devrez définir l’emplacement et nom de ce fichier de clé (mettez-lui l’extension .key), ensuite un générateur aléatoire fabriquera avec votre assistance la clé dans ce fichier. Vous pourriez opter pour un contrôle d’accès à la base de données basé sur le fichier de clé uniquement (donc sans mot de passe principal), mais ce n’est vraiment pas recommandé 24 ! Dans tous les cas, notez bien que si vous perdez ensuite le fichier de clé, le mot de passe principal n’est pas suffisant pour accéder aux informations de votre base de données. Si vous êtes amené à gérer plusieurs bases de données KeePass, il peut être utile, sous Windows, d’associer les extensions .kdb ou .kdbx au logiciel pour pouvoir lancer KeePass par double-clic sur ces fichiers. Pour cela, dans l’onglet Setup (KeePass 1.x) ou Integration (2.x), cliquez simplement sur Create Association. Sous Linux et MacOSX, l’association des fichiers KDB à KeePassX est déjà faite. Vous découvrirez que l’architecture KeePass est ouverte et permet l’usage de plugins. Faites cependant attention au fait que ces extensions, développées par des tierces parties, ont accès à votre base de données, ce qui peut donc compromettre la sécurité de KeePass ! Sachez finalement que KeePass Windows est en mesure de gérer des TAN (Transaction Authentication Numbers), c’est-à-dire des mots de passe à usage unique (jetables) 25.

KeePass sur smartphone Cela vous est sûrement arrivé (par exemple en voyage) de devoir accéder à une prestation authentifiée alors que vous n’avez pas le mot de passe sous la main, et cela vous a donné l’idée de stocker ces informations sur l’appareil qui ne vous lâche plus, votre smartphone. Avec le risque élevé de se faire voler son appareil, c’est bien entendu la pire idée qui soit si ces données sont dans un fichier en clair ! Mais KeePass, implémenté sur toutes les plates-formes mobiles, va vous sortir de ce mauvais pas ! Nous nous bornerons ici à vous présenter, par les figures 5 à 9, l’implémentation KeePassDroid sur smartphone et tablette An-

Quiconque mettant la main sur votre Key ﬁle pourrait alors ouvrir votre base de données Voyez Tools>TAN Wizard

24 25

Flash informatique – 24 mai 2011 - N° 5

KeePass, votre coffre-fort de mots de passe droid afin d’illustrer la simplicité de son interface tactile. Pour les personnes familières d’Android, remarquez, dans la figure 9, le mécanisme tactile implémenté via la barre supérieure de notification (ici dépliée) permettant de récupérer les username et password pour les coller dans l’application ou page Web authentifiée.

Synchronisation entre plusieurs postes

ﬁg. 5 – sélection de la base de données et saisie du mot de passe principal sous KeePassDroid

ﬁg. 8 – sélection d’une icône de groupe ou d’entrée sous KeePassDroid

ﬁg. 6 – afﬁchage des groupes sous KeePassDroid

ﬁg. 9 – afﬁchage d’une entrée et récupération du username et password sous KeePassDroid

La base de données KeePass étant constituée d’un seul fichier, elle peut être facilement copiée à des fins de backup ou pour en disposer sur une autre machine. Vous pouvez aussi vous déplacer avec ce fichier sur une clé USB et l’exploiter directement sur celle-ci, mais faites-en une copie de sécurité ailleurs, une clé USB étant vite égarée ! Si vous souhaitez travailler sur des machines Windows où KeePass n’est pas installé, déposez également sur la clé USB l’application KeePass Windows. Nous vous rendons cependant attentif au danger inhérent à toute saisie de mot de passe: le mot de passe principal de votre base de données est susceptible d’être intercepté par un logiciel espion tel qu’un keylogger. Il faut être conscient de ce risque lorsque l’on travaille sur un poste qui n’est pas digne de confiance (cybercafé…). Dans une telle situation, la sécurité peut être renforcée par l’usage combiné du mot de passe principal avec un fichier de clé stocké sur votre clé USB (et bien entendu sauvegardé chez vous) et non sur le PC hôte. Si vous utilisez KeePass sur plusieurs postes de travail ou équipements mobiles, les modifications de votre base de données devraient être répercutées sur tous ces équipements. L’automatisation de ce processus s’appelle la synchronisation. Pour l’instant, seul KeePass 2.x implémente un tel mécanisme en s’appuyant sur les protocoles FTP ou HTTP/WebDAV (voyez File>Synchronize with URL). Mais vous pouvez aussi recourir, quelle que soit la version de KeePass, à l’une des nombreuses solutions de synchronisation génériques de fichiers en mode cloud 26 supportées par vos appareils, telles que Dropbox 27, Wuala 28, SugarSync 29, Ubuntu One 30, MobileMe 31, Box.net 32, etc. La figure 10 présente une architecture de synchronisation KeePass entre plusieurs équipements à l’aide d’un tel service de stockage en cloud.

Voir par exemple la liste wikipedia en.wikipedia.org/wiki/Comparison_of_ﬁle_hosting_services Dropbox (www.dropbox.com) est l’ancêtre de toutes ces solutions et le plus répandu 28 Wuala (www.wuala.com) de La Cie offre une sécurité supplémentaire par rapport à Dropbox en ce sens qu’il y a un cryptage côté client avant l’envoi dans le cloud 29 SugarSync (www.sugarsync.com) est un nouveau venu, dans le monde du cloud, très riche en fonctionnalités 30 Ubuntu One (https://one.ubuntu.com/), solution de Canonical pour Linux/Ubuntu, très prochainement disponible sous Windows, Android, iOS 31 MobileMe (www.apple.com/fr/mobileme/) de Apple est actuellement vieillot… et payant 32 Box.net (www.box.net) 26 27

ﬁg. 7 – saisie d’une entrée sous KeePassDroid

Flash informatique – 24 mai 2011 - N° 5

KeePass, votre coffre-fort de mots de passe

database.kdb

2) synchro

3) synchro

1) modif database.kdb

database.kdb

keyfile.key

ﬁg. 10 – architecture sécurisée de synchronisation KeePass via un service de cloud

On obtient un bon niveau de sécurité lorsque la base de données (database.kdb) est protégée par l’usage combiné d’un mot de passe principal et d’un fichier de clé (keyfile.key) déposé sur chaque machine. La synchronisation s’effectue ainsi: 1. on modifie la base de données depuis une machine (ici le desktop), 2. la base se synchronise alors automatiquement dans le cloud, 3. puis, de là, se synchronise vers les autres équipements. Si la sécurité de l’espace de stockage en cloud est compromise, celui qui déroberait votre base de données ne pourra rien en faire sans posséder le fichier clé qui se trouve uniquement sur les machines. Celui qui vole une machine (contenant la base de données et le fichier clé) ne pourra rien faire non plus sans connaître votre mot de passe principal. Avec une telle architecture, il est possible d’accéder à la base de données même lorsque l’on ne dispose provisoirement pas de connexion internet (p.ex. sur le smartphone). Si l’on modifie la base de données, la synchronisation de celle-ci dans le cloud s’effectuera automatiquement lorsque la connexion réseau sera rétablie. Il faut veiller à ne pas modifier simultanément la base

de données depuis plusieurs équipements. Cela ne risque pas de se produire si vous êtes seul à exploiter cette base de donnée 33.

Références Pour davantage d’informations sur l’utilisation des logiciels de la famille KeePass, voyez: z l’aide intégrée au logiciel: menu Help z la homepage de KeePass pour Windows: keepass.info w l’aide en ligne: keepass.info/help/ w la FAQ technique: keepass.info/help/base/faq_tech.html w les forums de discussion: https://sourceforge.net/projects/keepass/forums z la homepage de KeePassX pour Linux/MacOSX: www.keepassx.org z pour d’autres liens voir: keepass.info/links.html.

Article du FI-EPFL 2011 sous licence CC BY-SA 3.0 / J.-D. Bonjour

KeePass implémente du reste un mécanisme de lock-ﬁle qui vous informerait d’une telle situation

Flash informatique – 24 mai 2011 - N° 5

Comment faire ?

go.epfl.ch Nicolas.Borboen@epﬂ.ch, EPFL –STI - IGM - LENI (Laboratoire d’énergétique industrielle)

Since few months a new URL shortening service is available at go.epfl.ch website (but also cut.epfl.ch and short.epfl.ch which are sharing the same database). It offers the ability to spread short and simple link of any URL. The daily menus’s example deserves an explanation: the link diidyn.epfl.ch/Restauration/IntExt/ Rest/offresjours.php becomes go.epfl.ch/menu, shortened by 65%… Depuis quelques mois un service de rétrécissement d’URL est disponible sur le site go.epfl.ch (mais également cut.epfl.ch et short.epfl.ch qui partagent la même base de données). Il vous offre la possibilité de diffuser un lien court et simple de toute URL. L’exemple des menus du jour permet d’expliciter le principe: le lien diidyn.epfl.ch/Restauration/IntExt/Rest/ offresjours.php devient go.epfl.ch/menu, il est réduit de 65%…

NdR: go.epﬂ.ch est un outil bien pratique quand on veut communiquer une adresse Web, à condition de rester conscient du fait que ce n’est pas une prestation supportée par un service de l’EPFL. C’est parfait pour un mailing, une annonce de conférences, un tweet … ne l’employez pas dans un livre destiné à être encore lu dans 10 ans (mais de toute façon quelles sont les URL qu’on peut garantir dans 10 ans?).

Introduction L’usage de site d’URL & courtes, ou raccourcies, a été largement démocratisé avec l’utilisation de sites de microblogging pour lesquels le nombre de caractères était limité (140 pour Twitter). Bien que cela ne soit pas ofﬁciellement le premier à avoir vu le jour, tinyurl.com est né en 2002 et était certainement le plus connu d’entre eux. Depuis, bit.ly (le service actuellement en service pour Twitter), est d’usage courant, tout comme tr.im ou is.gd. D’autres services spéciﬁques à certains sites, comme fb.me, goo.gl ou youtu.be, ont également vu le jour. Plusieurs techniques de redirections & sont utilisées (statique, meta, JavaScript, frame…), cependant l’exploitation des statuts de l’entête de la réponse HTTP commençant par 3xx, en particulier le 301 –Moved Permanently–, semble la plus courante et la plus propre.

Historique Voici les problèmes auxquels je fus confronté lorsque j’ai eu à diffuser largement diffuser un lien dans un mailing: z comment m’assurer que ce lien prolixe ne serait pas coupé ou cassé (e-mail au format texte, césure)? z comment expliciter ce lien (paramètres incompréhensibles dans l’URL)? z comment garder la confiance du destinataire (label EPFL)? Ne trouvant d’autre réponse que la redirection, je cherchai alors des outils que je puisse installer en interne. Trouvant d’abord YOURLS & qui résolvait le problème du mailing, je testai ensuite PhURL & qui présentait des fonctionnalités complétant celles de YOURLS. Ces deux outils étant open source (GNU GPL v3 & et New BSD License &), j’ai décidé de leur faire partager la même base de données. Le template WEB2010 et quelques développements plus tard, go.epfl. ch était né. Après avoir implémenté les URL privées, qui ne sont pas listées, l’ajout d’URL a été limité aux adresses IP internes à l’École pour éviter des utilisations fallacieuses. La dernière modification en date a été l’ajout de QR Code &.

Les avantages Hormis le raccourcissement de la taille du lien et l’explicitation sémantique (dans certains cas), les autres avantages de go.epfl. ch sont: z statistiques d’utilisation du lien (pratique dans certains cas de savoir qu’X personnes y ont eu recours), z amélioration de la confiance des visiteurs suite à la labellisation du lien (implémentation à l’epfl.ch, affiliation epfl.ch), z listing et annuaire des liens, permettant de les parcourir et de les consulter, z redirection propre utilisant le statut HTTP 301.

Les inconvénients Beaucoup d’articles traitent des inconvénients des services d’essorage d’URL. Les principaux reproches sont: z la sécurité: le lien change d’afﬁliation, le lien d’origine est faussé, les paramètres possibles de l’URL sont cachés, attaque DDoS (d0z.me/); z l’ajout d’un intermédiaire, dépendance à un nouveau service, plus de bande passante et temps de réaction accru; z la pérennité du lien n’est pas garantie. Un service qui ferme engendre des liens morts sur le Web;

Flash informatique – 24 mai 2011 - N° 5

go.epfl.ch

À votre service

z le référencement et les SEO & peuvent être faussés si la redirection est mal faite; z le clic du visiteur est traqué pour des usages de statistiques. La plupart de ces inconvénients peuvent être évités si on a la possibilité de connaître l’URL (originale) qui se cache derrière celle raccourcie. Certains sites se sont spécialisés dans ce service (URL reversing), par exemple longurl.org, ou l’extension Firefox www. longurlplease.com. Les articles suivants présentent et étoffent le problème: z www.framablog.org/index.php/post/2010/10/31/le-controle-

Mails frauduleux à l'EPFL, attention ! Jacqueline.Dousson@epﬂ.ch, EPFL Domaine IT

des-redirections z www.bortzmeyer.org/probleme-raccourcisseurs-urls.html z blogzinet.free.fr/blog/index.php?post/2010/05/09/Obtenir-lURL-réelle-des-URL-courtes.

L'évolution de go.epfl.ch La prochaine évolution de go.epfl.ch serait son intégration avec Tequila &, afin que les utilisateurs puissent gérer leurs URL raccourcies. Tout comme tinyurl.com, la prévisualisation du lien avant la redirection pourrait amener plus de confiance. Un utilisateur me proposait également d’implémenter le TTL (Time To Live) pour les URL.

Synthèse Les bonnes URL ne devraient pas être amenées à changer (lire Cool URIs don’t change &). Cependant, soit les URL ne sont pas si bonnes, soit les fonctionnalités d'un service de raccourcis d'URL offrent d'autres aspects qui séduisent les utilisateurs. Au sujet de go.epfl.ch, le fait que la création d’URL raccourcies soit disponible uniquement en interne de l’École permet de limiter les utilisations non conventionnelles, voir frauduleuses. L’idée est d’avoir, à la manière d’un annuaire, une liste des URL qui sont le plus utilisées. Pour terminer, vous devez être conscient que go.epfl.ch n’est pas une prestation officielle de l’école. C’est donc en connaissance de cause que vous pouvez maintenant utiliser go.epfl.ch. n

GLOSSAIRE

BSD License: www.opensource.org/licenses/bsd-license.php Cool URIs don't change, 1998, Tim Berners-Lee: www.w3.org/ Provider/Style/URI GNU GPL v3: www.gnu.org/licenses/gpl.html PHURL (PHP URL shortening system): code.google.com/p/phurl QR Code (Quick Response Code): en.wikipedia.org/wiki/QR_code SEO (Search engine optimization): en.wikipedia.org/wiki/Search_engine_optimization Tequila: tequila.epﬂ.ch URL (Uniforme Resource Locator): fr.wikipedia.org/wiki/URL URL Redirection: en.wikipedia.org/wiki/URL_Redirection URL Shortening: en.wikipedia.org/wiki/URL_shortening YOURLS (Your Own URL Shortener): code.google.com/p/yourls

Flash informatique – 24 mai 2011 - N° 5

Ne donnez jamais vos mots de passe par e-mail! L’EPFL est régulièrement la cible de phishing, et il y a encore trop souvent des membres de l’EPFL qui se font prendre et qui donnent leur mot de passe. Rappelons ici ce qui caractérise ces messages illégitimes, parlezen autour de vous, cela évitera peut-être de nouvelles victimes: z le message insiste sur l’urgence des démarches à entreprendre et/ou sur le risque de perdre des données ou des courriels si vous n’agissez pas rapidement, z dans le texte il y a a une signature générique et impersonnelle, z l’adresse email de réponse ou celle de l’expéditeur n’est pas celle d’un collaborateur de l’EPFL (mais ceci n’est pas une garantie car cela peut être assez facilement falsifiable), z on vous dirige vers une page Web qui n’est pas hébergée par l’EPFL (l’adresse Web ne se termine pas par epfl.ch); il suffit de passer la souris sur le lien sans cliquer pour voir l’adresse du site vers lequel on est dirigé, z le texte est souvent écrit en mauvais français ou en anglais uniquement.

Rappel à propos des messages officiels du DIT z toutes les communications officielles du DIT sont signées par l’un de ses collaborateurs, qui se tient à votre disposition par téléphone pour vous confirmer la légitimité du message, z les communications officielles sont, dans la mesure du possible, rédigées dans les deux langues couramment utilisées à l’école (le français et l’anglais), z le DIT ne vous demandera jamais par e-mail votre mot de passe; celui-ci est demandé seulement sur des sites clairement identifiables de l’EPFL: tequila, gaspar, ewa, jahia …

Pour conclure En cas de doute sur un message qui vous semble frauduleux, allez voir si le DIT l’a déjà répertorié sur le site https://secure-it.epfl.ch/ new et testez votre capacité à dévoiler les filous de l’Internet en faisant le jeu du phishing: https://secure-it.epfl.ch/sensi/survey/ n

Logiciel libre > Développements

Un, deux, trois… serveurs ! Richard.Timsit@epﬂ.ch, EPFL-Domaine IT – responsable des services réseau

How to multiply the number of network services servers without overloading the tasks of system administration. Comment multiplier le nombre de serveurs pour des services essentiels sans augmenter dramatiquement la charge d’administration système. Comme annoncé dans le précédent article du FI 04, Des logiciels libres pour les services IP ?, voici comment nous sommes sortis de notre préhistoire et avons suivi la montée en charge en assurant la haute disponibilité de nos services. Il est devenu évident qu’offrir l’accès aux ressources d’Internet est un impératif qu’il faudrait assurer 24 heures sur 24 et 7 jours sur 7. Il est non moins évident que le coût d’une telle prestation est encore bien loin d’être accepté par nos décideurs… Moralité, il y a une bonne décennie que nous nous sommes employés à consolider nos services par de la redondance en multipliant les serveurs. Au préalable, disons d’emblée que pour mettre en place de tels mécanismes, il faut soigner l’architecture en se débrouillant pour disposer de services sans état, par exemple des serveurs DNS Secondary qui restent esclaves d’un Master, ou des serveurs RADIUS accédant en lecture seule à la base de données des utilisateurs. Ainsi on peut multiplier les serveurs en fonction des besoins. Cette stratégie a sa limite que tous les administrateurs de systèmes connaissent bien, celle de la charge que représente le déploiement. Nous avions parlé de notre choix de GNU-Linux pour héberger nos services réseau sans préciser le choix de la distribution. Et pour cause, nous n’avions pas de religion et notre seul critère était la facilité de maintenance dans notre contexte. Nous avons donc commencé par utiliser la distribution préconisée pour les serveurs par le DIT (RedHat) avant de nous orienter vers une tout autre architecture. La première idée a consisté à séparer la notion de serveur de celle de service. Nous avons construit 4 serveurs pour rendre nos trois services DNS, DHCP et RADIUS, chaque serveur pouvant abriter n’importe lequel des services et tenir la charge en les assurant tous, il était simple d’automatiser la commutation en cas de panne ou de maintenance d’un serveur. Cette souplesse extrêmement triviale à mettre en œuvre nous a servi quelques années.

L’apport de Knoppix Il nous fallait multiplier le nombre de serveurs avec l’accroissement du nombre de machines sur le campus et le nécessaire déploiement du WiFi sollicitant le service RADIUS pour l’authentification et l’accounting. En 2003, Klaus Knopper a eu la bonne idée de concevoir une distribution pour un LiveCD &. Fabriquer autant de LiveCD que de serveurs à instancier coulait alors de source. Il était aisé de mettre au point une petite fabrique de ces images ISO qu’il suffisait de graver et d’introduire dans la fente d’un hardware pour disposer d’un serveur dédié à un service. Cette notion de serveur minimal pour rendre le service était en fait une appliance & un peu avant l’heure. Nous nous sommes éloignés de la solution Knoppix pour profiter du concept de Kickstart dont nous avions l’habitude dès qu’ il a été mis en œuvre dans le projet Fedora avec Kadischi &. Knoppix ayant été conçu pour montrer tout ce que pouvait contenir une distribution GNU-Linux, il fallait dégraisser le mammouth pour arriver à nos fins. Avec Kadischi et Kickstart on travaillait plus naturellement en ajoutant ce qu’il nous fallait à un noyau minimal.

ﬁg. 2 – usine à Live-CD Kadischi

Là encore, nous avons utilisé cette solution jusqu’à la banalisation de la virtualisation (cf. article du FI 04/2008) concomitante au déploiement du Server Load Balancing (cf. l’article du FI 06/2008). . DNS

DNS

Radius Radius Radius Radius

DHCP

SLB

DHCP

SLB

ﬁg. 3 – des serveurs par milliers…

La notion d’appliance Serveur 1 DNS

Radius

Serveur 2 DHCP

DNS

Radius

Serveur 3 DHCP

DNS

Radius

Serveur 4 DHCP

DNS

Radius

DHCP

ﬁg. 1 – le serveur 1 sert les services DNS et DHCP, le 3 sert le service Radius, …

Plutôt que de graver des CD, il sufﬁsait de propager les images ISO pour instancier autant de machines virtuelles que nous en avions besoin. Nous afﬁnions les méthodes de production dans notre fabrique, mais nous n’étions pas encore entièrement satisfaits du modèle. Flash informatique – 24 mai 2011 - N° 5

Un, deux, trois… serveurs ! Le projet Thincrust, Thincrust.org, allait nous fournir les outils qui nous manquaient pour produire des appliances. Là encore si nous sommes restés attachés à Fedora, c’était juste pour proﬁter de notre acquis sur Kickstart. Toutes les distributions offrent une solution JeOS & (juste l’OS qu’il faut pour une application). Ces solutions répondent non seulement à l’économie du cloud où chaque byte et chaque cycle ont un coût, mais aussi à cette devise des pionniers des avionneurs: «Ce qui n’existe pas ne coûte rien, ne pèse pas, ne tombe pas en panne…1». Appliance-creator (fruit du projet ThinCrust) est un outil disponible dans les dernières versions de Fedora. Il nous permet à partir d’un ﬁchier de description Kickstart, de fabriquer en quelques minutes l’image d’une machine capable de faire tourner l’application que l’on veut et de l’instancier sur n’importe quel système de virtualisation. Sur le campus, disposant de VMware c’est cette cible que nous visons, mais nous pourrions faire tourner nos images ailleurs…

Conclusion Juste l’OS qu’il faut pour rendre un service réseau, générer l’image qui tournera n’importe où pour l’assurer, reproduire ces images sans le moindre effort à partir de leur fichier de description, confier la répartition de charge et la haute disponibilité à un automate intrinsèquement lié au réseau, tel est le point auquel nous sommes arrivés. Comment envisager l’avenir ? L’infrastructure du réseau n’étant rien d’autre qu’un ensemble logiciel tournant sur du hardware de moins en moins spécifique il n’est pas étonnant qu’elle ait subi la même évolution que le reste de notre informatique. Faire tourner les services réseau sur les équipements réseau eux même n’est donc plus une utopie et déjà la réalité chez certains constructeurs qui ont choisi GNU-Linux comme OS d’accueil….

Article du FI-EPFL 2011 sous licence CC BY-SA 3.0 / R. Timsit

Jean Délémontez (Concepteur des avions Jodel)

GLOSSAIRE

appliance: application informatique qui combinée avec juste ce qu'il faut de système d'exploitation peut s'exécuter de façon optimale sur une machine physique ou virtuelle, en.wikipedia. org/wiki/Software_appliance. JeOS (Just Enough Operating System): caractérise l'appliance pour un système minimum suffisant pour faire tourner une application spécifique. W Kadischi: application dans Fedora qui permet de créer des Live CD fedoraproject.org/wiki/Kadischi liveCD: CD autonome qui contient un système d’exploitation exécutable sans installation. W W = tiré de Wikipédia

Flash informatique – 24 mai 2011 - N° 5

Analyse

Un mot: libre – quelques regards: informatique, illustrateur, chrétien et droits humains.

Libre – RT Voilà un mot qui a pris une importance inattendue en informatique. Quand Richard Stallman a proposé une première ébauche de définition du logiciel libre en février 1986 avec la FSF, il n’avait certainement pas perçu l’ampleur du débat qu’elle allait engendrer: «Premièrement, la liberté de copier un programme et de le redistribuer a vos voisins, qu’ils puissent ainsi l’utiliser aussi bien que vous. Deuxièmement, la liberté de modifier un programme, que vous puissiez le contrôler plutôt qu’il vous contrôle; pour cela, le code doit vous être accessible.» Cette définition allait se consolider au cours du temps pour prendre la forme actuelle des 4 aspects du mot liberté et pour se décliner en de multiples licences de la GPL au Copyleft: 0. la liberté d’exécuter le programme, pour tous les usages, 1. la liberté d’étudier le fonctionnement du programme et de l’adapter à ses besoins, 2. la liberté de redistribuer des copies du programme (ce qui implique la possibilité aussi bien de donner que de vendre des copies), 3. la liberté d’améliorer le programme et de distribuer ces améliorations au public, pour en faire profiter toute la communauté. Vous trouverez toutes ces définitions et leur fabuleuse histoire dans l’article consacré au logiciel libre dans Wikipédia que je ne saurais trop vous conseiller de lire, car il est remarquable, et pour cause… sans l’émergence de ces idées dès le début des années 1980, il n’y aurait certainement pas d’encyclopédie libre sur Internet ! Le développement du logiciel libre est spectaculaire, non seulement parce qu’il séduit sur le plan éthique toute une communauté de personnes éprises du partage des connaissances dans l’esprit des lumières, mais aussi pour d’autres raisons liées à l’évolution de notre civilisation. En effet, aujourd’hui il n’est plus un objet technique qui n’ait un logiciel embarqué construit avec du logiciel libre. Toute l’infrastructure des industries de la connaissance (Amazon, Google) repose sur du logiciel libre, c’est cette industrie lourde qui formera demain ce que l’on appelle déjà le nuage. Ce passage du mot liberté dans l’univers du discours informatique l’a définitivement rajeuni, toutes les questions concernant la nature des techniques numériques ou digitales sont entièrement repensées à la lumière de sa redéfinition dans les sciences humaines et sociales. Quant à la forme de l’élaboration planétaire du logiciel libre, elle préfigure pour certains une véritable économie de la contribution qui serait une chance pour l’humanité.

LIBRE Richard.Timsit@epﬂ.ch, EPFL - Domaine IT, responsable des services réseaux Esteban.Rosales@bluewin.ch, géologue et illustrateur Samuel.Bancal@epﬂ.ch, EPFL – ENAC-IT, Ingénieur informaticien Groupe Hautes Ecoles lausannoises d’Amnesty International, www.unil.ch/amnesty

Libre!? – SB Certainement l’aspiration humaine la plus profonde, et la plus légitime aussi. Aspiration qu’on retrouve en thème central d’un des livres de la Bible: l’Exode. On y découvre un Dieu qui se sent concerné par la situation de captivité d’un peuple. C’était pourtant à son patriarche qu’Il avait fait la promesse de vie en abondance, mais le voilà esclave, de génération en génération, tout entier au service de la première puissance de l’époque: l’Égypte. En se manifestant dans la vie d’un homme, Moïse, ce Dieu va accomplir ce qui était imprévisible à l’époque: rendre libre plus d’un million d’hommes, femmes et enfants en une nuit! Ainsi ils ont pu retrouver ce pour quoi ils étaient venus au monde et entamer l’apprentissage de la liberté. La liberté physique d’un peuple, il y a 3500 ans… est-ce tout? Finalement, lorsque l’on est né ni à la bonne époque, ni au bon endroit pour le vivre, ça ne laisse une trace que très superﬁcielle. Incroyable hasard (ou pas), c’est lors de la fête de commémoration de cette nuit-là, la Pâque, qu’a été opéré un second acte de libération d’une toute autre ampleur. Cette fois-ci il n’y a plus aucune restriction, ni dans l’espace ni dans le temps. Jésus, ce même Dieu venu parmi les hommes, apporte la solution au mal ancré profondément dans l’homme: le péché. Péché … incroyable comme ce mot sonne déplacé et d’une autre époque! Pourtant je me demande: si c’était précisément ça qui fait mon état de captivité actuelle? Je ne suis pas esclave au premier sens du terme, mais je dois bien admettre que je suis incapable de faire le bien que je souhaite, pour me retrouver trop souvent à faire le mal que je ne veux pas. Esclave … malheureusement oui, mais rendu capable de retrouver l’état pour lequel j’ai été créé: libre.

Libre – AI-HEL Être libre? Chaque femme, chaque homme en a sa propre représentation. C’est pour celles et ceux qui savent ce que la perte de la liberté signiﬁe que ce mot a le plus de signiﬁcation. Pour nous qui pouvons parler, écrire et agir librement, être libre c’est banal. Nous considérons cela comme un droit naturel. Aussi longtemps que nous sommes en sécurité, la liberté est comme l’air que l’on respire. Nous pouvons critiquer les médias, les gouvernements et les entreprises et ignorons ce qu’implique la peur de ne plus être libres.

La liberté a de nombreux visages. Perdre la liberté aussi. Pour de nombreuses femmes, le voyage le plus dangereux est de se rendre aux toilettes le jour. La peur d’être violée les accompagne à chaque pas. Dans beaucoup d’endroits du monde, des millions de personnes n’ont pas le droit de s’exprimer librement. La peur de la censure, de l’emprisonnement voire de la mort les muselle et les empêche de défendre ouvertement leur opinion. Des communautés entières ont perdu leur terre à cause de l’avidité de grandes entreprises et de l’indifférence de gouvernements. Les personnes sans ressources, muettes, affamées et apeurées ressentent la perte de la liberté de multiples façons. Le fait d’être libre a de nombreuses facettes. Nos droits à la liberté sont ﬁxés dans la Déclaration universelle des droits de l’homme – il s’agit des droits fondamentaux. Ils formulent la vision d’un monde sans peur et sans menace. Restreindre ou nier ces droits relève d’une décision consciente. L’engagement en faveur de ces droits est également une décision consciente. Il y a 50 ans, un avocat britannique prit cette décision en apprenant que deux étudiants portugais avaient été incarcérés pour avoir porté un toast à la liberté. L’avocat britannique, Peter Benenson, créa un réseau de résistance avec des personnes partageant les mêmes idées. Elles se sont battues pour que des gouvernements ne puissent plus simplement enfermer en toute impunité des citoyennes et citoyens pour avoir émis une critique. Leur but était très sérieux: ces hommes et ces femmes étaient des activistes qui s’engageaient ensemble contre l’injustice. C’est ainsi qu’est née Amnesty International – l’expérience de perdre la liberté et la décision de s’engager pour elle constituèrent les fondements du mouvement – et le sont aujourd’hui encore. Et pourquoi ne pas fêter avec le groupe universitaire d’Amnesty International les 50 ans du mouvement en assistant au concert du 25 mai à Zélig (UNIL-Dorigny Anthropole) ? n

Flash informatique – 24 mai 2011 - N° 5

À votre service

Tequila logout, quitte ou double ? Claude.Lecommandeur@epﬂ.ch, EPFL - Domaine IT, père de Tequila

The Tequila authentication tool allows use of a single sign-on. Its behaviour, particularly at logout time, might surprise you. After reading this article, it is you who will surprise your colleagues with your knowledge. L’outil d’authentification Tequila implémente le single sign-on. Son comportement, en particulier lors de la déconnexion (logout) est parfois surprenant. Après avoir lu cet article, c’est vous qui surprendrez vos collègues par votre savoir. Il arrive que des utilisateurs d’applications sécurisées par Tequila soient surpris de se retrouver authentifiés dans cette application alors qu’ils viennent juste de s’en déconnecter. Que se passe-t-il ? Y aurait-il un bug, une erreur, un virus, voire une carabistouille quelconque qui se serait glissé dans le système d’authentification de l’EPFL pourtant reconnu dans le monde entier et dont le président Obama me disait encore hier toute l’admiration qu’il y porte ? Eh bien non, ce comportement est normal, conséquence directe et terrifiante à la fois du single sign-on. Que se passe-t-il quand une personne (peut-être toi cher lecteur) s’authentifie via Tequila ? Deux cas se présentent: z Vous êtes déjà authentifié auprès de l’application: celle-ci s’en aperçoit, car votre navigateur lui a envoyé un cookie qu’elle a reconnu comme un identificateur de session valide, c’est-à-dire correct et pas trop vieux. Il ne se passe donc rien, vous avez le droit de faire toutes les bêtises auxquelles votre authentification vous donne droit. z Vous n’êtes pas authentifié auprès de l’application: soit vous n’avez pas présenté de cookie, soit il n’est pas ou plus valide. L’application, qui est correctement écrite délègue votre authentification auprès du serveur Tequila. Deux sous-cas: w C’est la première fois de la journée que Tequila vous voit: il vous présente alors le formulaire de login usuel dans lequel vous devez entrer votre username et votre mot de passe. Puis, si tout s’est bien passé, il vous redirige vers l’application initiale avec sa bénédiction. Mais il fait autre chose: il dépose un cookie dans votre navigateur qui vous identifiera la prochaine fois que vous viendrez. C’est le sous-cas suivant. w Vous avez déjà effectué une authentification correcte dans la journée: Tequila s’en aperçoit car vous lui avez présenté le cookie magique du point précédent. Dans ce cas, point n’est besoin de vous assommer avec le formulaire de login, vous êtes authentifié automatiquement. Et donc, tout aussi automatiquement, vous êtes redirigé vers l’application initiale.

Flash informatique – 24 mai 2011 - N° 5

Dans ces deux sous-cas, vous revenez triomphalement vers votre application, celle-ci dépose elle aussi un cookie dans votre navigateur qui lui permettra ensuite de vous reconnaître,vous tomberez (sans vous faire mal) dans le premier cas. L’idée derrière tout ça est de vous demander votre username et votre mot de passe un nombre minimum de fois. Une authentification auprès d’une application, vous authentifie du même coup pour toutes les autres. C’est ce qu’on appelle généralement le single sign-on. Pour revenir à la question initiale, vous êtes dans le premier cas, c’est-à-dire que vous êtes authentifié auprès d’une application, vous cliquez innocemment sur le bouton Logout ou Déconnexion. L’application va détruire votre session, c’est-à-dire la petite boite qui contient votre identité, ainsi que le cookie correspondant. Mais elle ne va pas détruire le cookie posé par le serveur Tequila. Elle pourrait le faire, mais ce ne serait pas une bonne idée, car elle prendrait alors une décision qui ne la concerne pas: vous déconnecter globalement sort de ses compétences. Donc, vous avez détruit votre session et vous retournez auprès de la même application. Quelle mouche vous a donc piqué de faire ça ?… je passe, en tout cas vous l’avez bel et bien fait. Vous tombez alors dans le second cas et même très probablement dans le second sous-cas: à l’insu de votre plein gré, vous avez donné au serveur Tequila le cookie magique que tout le monde nous envie tant. Votre authentification est donc automatique et vous vous retrouvez connecté à l’application dont vous venez juste de vous déconnecter. D’où la surprise. Vous allez me dire: mais à quoi sert donc ce bouton Logout dans les applications ? Dans un environnement single sign-on comme le nôtre, absolument à rien. Vous poursuivez donc par: mais si je suis sur un ordinateur public que quelqu’un d’autre va utiliser, je dois bien me délogger, comment faire ? Une seule solution, sortir du navigateur. Ainsi, toutes vos sessions ouvertes, aussi bien celles de Tequila que celles de toutes les applications que vous avez visitées seront détruites irrémédiablement, pour le meilleur comme pour le pire. Les plus hardis me diront alors, c’est bien beau tout ça, mais si je veux me déconnecter du serveur Tequila sans sortir du navigateur, je fais quoi ? Il suffit de visiter l’URL: tequila.epfl.ch/logout mais attention, vous serez déconnecté du serveur Tequila, mais pas des applications actives. Autre cas épineux, vous passez chez un collègue et vous voulez vous connecter à Tequila dans son navigateur. Bien sûr, il refuse catégoriquement d’en sortir. Si le navigateur est correct (Firefox, Chrome, IE9…) vous avez la possibilité d’ouvrir une fenêtre privée: Firefox -> tools -> start private browsing, Chrome -> New Incognito Window, …) qui ne partage pas les cookies avec les autres fenêtres. Quand vous le quitterez, la déconnexion automatique se fera. n ISSN 1420-7192