logo epfl
votre titre
Ecole Polytechnique Fédérale de Lausanne
   Consignes de securite
français seulement
    Place centrale > STI > IMX > SIMX >

Consignes de sécurité

La sécurité Informatique EPFL - DIT


La sécurité du matériel

    Afin de se conformer aux conditions de sécurité et d'assurance de l'Ecole, établies par le SHE, et en cas de vol, avoir les droits requis pour réclamer sur les polices d'assurances de l'Ecole, tout équipement informatique doit répondre au moins deux des critères suivants :

    • Logo ou énumération d'EPFL indélébile marquée ou gravée ou autocollant jaune d'inventaire là-dessus,
    • Ordinateur opérationnel dans un lieu qui a une porte qui peut être verrouillée,
    • Avoir une ceinture ou un câble de sécurité qui permet à l'équipement d'être attaché à un objet fixe dans la pièce (par ex., une table, conduit d'eau, etc.)

    L'équipement nécessaire pour accommoder les points 1 et 3 peut être trouvé dans la locale MX.F. 310. Pour cela, veuillez demander d'abord à votre délégué responsable informatique

Système de "fire-wall" en vigueur à l'Ecole

    Tous les ordinateurs de l'Ecole se trouvent derrière un "fire-wall" imposé par l'administration de l'Ecole. Pour cette raison, l'accès de l'extérieur de l'Ecole aux ordinateurs serveurs de l'Institut, y compris les ordinateurs individuels, vous oblige à vous connecter d'abord à l'ordinateur "mxhp5" qui offre les services sécurisés suivants de préférence ssh et sftp

    NB : les connexions de l'extérieur vers le service mail de l'Ecole passent (uniquement) par l'utilisation du système courrier-électronique IMAP.

Faiblesses du système des mots de passe

    La principale faiblesse vient des utilisateurs qui choisissent des mots de passe plus ou moins faciles à deviner (noms communs, noms propres)

    Une deuxième faiblesse est que sous Unix, le mot de passe comporte au maximum 8 caractères de 7 bits. Les pirates perdraient leur temps avec ces programmes de piratage si la longueur des mots de passe était par exemple de 50 caractères: même en utilisant des mots courants les possibilités seraient trop nombreuses !

    Une dernière faiblesse est que les méthodes de cryptage sont les mêmes pour presque tous les ordinateurs Unix. Une bonne défense contre l'utilisation des programmes de piratage par les pirates serait d'étendre l'idée du grain de sel évoquée plus haut: chaque administrateur choisirait au hasard un membre parmi des millions d'une famille d'algorithmes de cryptage, sans divulguer duquel il s'agit

Conseils aux utilisateurs

    Les mots courants, les prénoms, les noms de lieux, de personnages littéraires ou historiques, de héros hollywoodiens, etc. sont à proscrire absolument comme mots de passe, ainsi que leurs variations (écrire le mot à l'envers, utiliser minuscules et majuscules, substituer 'a' par '@', etc.). A éviter également, les chaînes formées de caractères voisins sur votre clavier ("qwerty", "sadfghj" et autres)
    Faites travailler votre imagination jusqu'à ce qu'elle produise un mot de passe qui pourrait tout aussi bien être tiré au sort

    Utilisez pour le former toute la gamme des caractères disponibles:

    • lettres minuscules,
    • lettres majuscules,
    • chiffres,
    • autres signes: ponctuations, parenthèses, signes arithmétiques ('+', '>', etc.), accents, etc. sans privilégier une classe de caractères par rapport à une autre, et qui contient "uncrackable Alt-characters".

    Mettez au point un truc mnémotechnique pour vous en souvenir. N'écrivez pas vos mots de passe sur un bout de papier, un post-it collé à votre écran, etc.
    Si vous devez utiliser une liste de mots de passe parce que vous en avez trop, conservez-la comme un document précieux
    Ne communiquez jamais votre mot de passe à autrui. Il ouvre l'accès à des ressources informatiques qui vous ont été allouées à titre personnel

    Ne laissez jamais passer votre mot de passe sur le réseau en clair, n'utilisez que des connexions cryptées

Information et Conseils aux "managers" administrateurs IMX

  • Les comptes informatiques sont en grands majorités personnels. Selon les directives du DIT, les comptes personnels doivent suivre les règles et principes ici mentionnés.

    Le mot de passe est :

    • 1. Personnel
    • 2. Intransmissible
    • 3. Ne dois pas être connu des administrateurs systèmes
    • 4. Dois être modifié quand il provient d'une autre personne (administrateur)

    D’autres types des comptes informatiques : administratifs, comptes spéciaux (ex. groups e-mail) ou scientifiques (ex-accès aux serveurs de calculs) peuvent exister dans votre labo également.

    Ne vous lassez jamais d'éduquer vos utilisateurs quant au choix de bons mots de passe
    Si vous êtes dirigiste, vous pouvez choisir un bon mot de passe pour eux et les empêcher de le changer en leur retirant le droit d'exécution à, par exemple:

  • Pour les utilsateurs Linux:
    • la commande /bin/passwd: /bin/chmod o-x /bin/passwd
    • Installez passwd_wrapper, un emballage de la commande passwd de votre système filtrant les mauvais mots de passe suivant des critères que vous pouvez vous-même déterminer

    Certains constructeurs offrent une gestion de la durée de validité des mots de passe (password aging). Ce système force les utilisateurs à changer de mot de passe à intervalles réguliers (typiquement un ou deux mois). L'idée est de ne pas laisser le temps à un adversaire de trouver le mot de passe d'un utilisateur de votre machine. Les détracteurs de ce système font valoir qu'il vaut mieux utiliser pendant longtemps un bon mot de passe que de choisir souvent de mauvais mots de passe. De plus, disent-ils, ce système renforce la tendance des utilisateurs à écrire leur mot de passe et à abdiquer leur responsablité

    Pour tous nos utilisateurs PC:

    • MicroSoft propose un système de mot de passe sécurisé. Ce système est en vigueur pour tous les utilisateurs avec un compte actif sur le serveur de l'Institut DMX-NT-SERVEUR
    • Activer et syncroniser les mots de passe GASPAR avec Active Directory

SSH communication cryptée (protocole de communication SSL)

    L'autre façon d'atteindre une machine non ouverte, consiste à utiliser SSH, ou Secure SHell. Le port correspondant aux connexions Secure Shell (port 22) reste en effet ouvert pour toutes les machines de l'EPFL (ainsi d'ailleurs que les ports 80 et 443, ports standards des serveurs Web: protocoles http et https)

    SSH permet d'ouvrir en toute sécurité, puisque la connexion est cryptée, une session interactive à distance sur le serveur et de transférer des fichiers. (Ceci est le cas pour toutes communications depuis l'extérieur de l'Ecole avec le serveur "front-end" d'IMX)
    Le canal établi par une session SSH entre le client et le serveur peut vous servir à construire des tunnels entre port local et port convoité sur un serveur inatteignable

    En pratique , si vous voulez atteindre une machine de l'EPFL protégée, vous pouvez utiliser la machine tremplin d'IMX, serveur SSH ouverte à tous les collaborateurs et étudiants; Sur la machine cliente (PC, Mac, station, hors EPFL), il vous faut soit installer un logiciel client SSH (par exemple EXCEED ssh pour Windows), soit utiliser par ex. Mindterm comme une application java exécutable en dehors d'un browser

top
©2002 EPFL, CH-1015 Lausanne, tél. +041-21-693 49 58, Responsable.Informatique@epfl.ch
Dernière mise à jour : le 6 mars 2008