Jules Karl-Heinz Martiny

Sujet 1: Parler un peu de système de gestion dynamiques de fichiers.

Introduction
Definition du fichier
Un fichier est l’unité de stockage logique mise à la disposition des utilisateurs pour
l’enregistrement de leurs données : c’est l’unité d’allocation. Le SE établi la correspondance
entre le fichier et le système binaire utilisé lors du stockage de manière transparente pour les
utilisateurs. Dans un fichier on peut écrire du texte, des images, des calculs, des programmes…
Les fichiers sont généralement créés par les utilisateurs. Toutefois certains fichiers sont générés
par les systèmes ou certains outils tels que les compilateurs. Afin de différencier les fichiers entre
eux, chaque fichier a un ensemble d’attributs qui le décrivent. Parmi ceux-ci on retrouve : le
nom, l’extension, la date et l’heur de sa création ou de sa dernière modification, la taille, la
protection. Certains de ces attributs sont indiqués par l’utilisateur, d’autres sont complétés par le
système d’exploitation.
Les fichiers sont gérés par le système d’exploitation. La façon dont ils sont structurés, nommés,
utilisés, protégés et implémentés sont des points majeurs de la conception du système
d’exploitation. Le S.E établit une correspondance entre les fichiers et les dispositifs physiques.
La partie du système d’exploitation qui gère les fichiers est appelée le gestionnaire du système
de fichiers (en anglais file system).

Pourquoi nous avons besoin des fichiers?

1) Toutes les applications ont besoin d’enregistrer des informations et de les retrouver.

2) Un processus peut enregistrer une quantité limitée d’information dans son propre espace
d’adressage (virtuel). Problème: espace limité ou mémoire volatile (mémoire
vive/cache/registres) et information accessible à un seul processus.

3) Plusieurs applications ont besoin de stocker un grand nombre d’informations de façon

persistante (non volatile) et de les rendre accessibles à plusieurs processus.
Selon le SGF, le fichier est :
1- une simple suite d'octets gestion des secteurs
2- une suite d'enregistrements gestion des enregistrements
3- une arborescence de blocs gestion des blocs

1.Le fichier est une suite d'octets sans structure

– Le systeme d'exploitation ne connait pas et ne s'occupe pas du contenu de ce fichier
– Il ne voit que des octets
– Toute signification doit etre apporte par le programme des utilisateurs

2.Le fichier est une suite d'enregistrements de longueur fixe

– Concept principal : une operation de lecture renvoie un enregistrement/une operation
d’ecriture reecrit ou ajoute un enregistrement
– 80 caractere → carte perforees de 80 colonnes
– 132 caracteres → imprimantes de 132 colonnes
– Les programmes lisaient les donnees par bloc de 80 caractere est ecrivaient par bloc de
132 caracteres
– Obsolete

Le fichier est un arbre d'enregistrement

– Les enregistrements n'ont pas la meme longueur

– Chaque enregistrement contient une cle dont la position est fixe dans l'enregistrement
– L'arbre est trie en fonction des cles → permet de rechercher rapidement une cle donnee
– L'operation fondamentale ne consiste pas a obtenir le prochain enregistrement, mais obtenir un
enregistrement avec une cle donnee

Securite
Pour que la sécurité fonctionne, il faut que toutes les personnes ayant un accès à une ressource
soient conscient du degré de sécurité associé à la ressource.

Protection des répertoires et fichiers :

Trois classes d’utilisateurs peuvent accéder aux fichiers et aux répertoires : propriétaire, groupe et
autres utilisateurs. Pour chacune de ces classes d’utilisateurs, il existe trois types de droits d’accès :
lecture, écriture et exécution. Utilisateurs et droits d’accès Les trois classes d’utilisateurs sont : •
Propriétaire - en règle générale, la personne qui a créé le fichier. • Groupe - les utilisateurs qui ont
été regroupés par l’administrateur système. Par exemple, les membres d’un service peuvent
appartenir au même groupe. • Autres - Tous les autres utilisateurs du système.
Définition SGF
Le système de gestion de fichiers (SGF) est la partie la plus visible d’un système d’exploitation
qui se charge de gérer le stockage et la manipulation de fichiers (sur une unité de stockage :
partition, disque, CD, disquette. Un SGF a pour principal rôle de gérer les fichiers et d’offrir les
primitives pour manipuler ces fichiers.

Fonctions du SGF
Le système de gestion des fichiers assure plusieurs fonctions :

Manipulation des fichiers : des opérations sont définies pour permettre la manipulation des
fichiers par les programmes d’application, à savoir : créer/détruire des fichiers, insérer,
supprimer et modifier un article dans un fichier.

Allocation de la place sur mémoires secondaires : les fichiers étant de taille différente et cette
taille pouvant être dynamique, le SGF alloue à chaque fichier un nombre variable de granules de
mémoire secondaire de taille fixe (blocs).

Localisation des fichiers : il est nécessaire de pouvoir identifier et retrouver les données ; pour
cela, chaque fichier possède un ensemble d’informations descriptives (nom, adresse…)
regroupées dans une inonde.

Sécurité et contrôle des fichiers : le SGF permet le partage des fichiers par différents
programmes d’applications tout en assurant la sécurité et la confidentialité des données. En effet,
un nom et une clé de protection sont associés à chaque fichier afin de le protéger contre tout
accès non autorisé ou mal intentionné lors du partage des fichiers. Le SGF se doit aussi de
garantir la conservation des fichiers en cas de panne du matériel ou du logiciel. Le SGF assure le
bon fonctionnement du fichier.

Afin de fournir un accès efficace et pratique au disque, le SE impose un système de gestion de

fichiers (SGF) pour permettre de stocker, localiser, et récupérer facilement des données. Un SGF
pose deux problèmes de conception très différents : l’interface et l’implémentation.

Le problème de l’interface consiste à définir l’allure que devrait avoir le SGF pour l’utilisateur.
Cette tâche implique la définition d’un fichier et de ses attributs, des opérations, autorisées sur un
fichier et de la structure de répertoires organisant les fichiers.
Le problème d’implémentation consiste à créer les algorithmes et les structures de données
pour établir la correspondance entre le système logique de fichiers et les dispositifs physiques de
mémoire auxiliaire.

Le SGF lui-même est généralement composé de plusieurs niveaux différents. La figure suivante
donne un exemple d’architecture de SGF :
Programmes d’application

Systèmes de fichiers logiques

Module d’organisation de fichiers

Système de fichiers de base

Contrôle des E/S

Périphériques

Le niveau inférieur, le contrôle des E/S, est constitué de drivers et des handlers (routines
d’interruption) pour transférer l’information entre la mémoire et le système de disques. On peut
considérer le driver comme un traducteur : ses entrées consistent en des commandes de haut
niveau comme « récupérer le bloc 123 ». ses sorties sont des instructions de bas niveau,
spécifiques au matériel, utilisés par le contrôleur du matériel qui relie le périphérique d’E/S au
reste du système. Le driver écrit généralement des configurations binaires spécifiques dans des
emplacements spéciaux de la mémoire du contrôleur d’E/S afin de lui indiquer sur quel
emplacement du périphérique agir et quelles actions entreprendre.

Le système de fichiers de base doit seulement émettre des commandes génériques pour le driver
approprié afin de lire et d’écrire les blocs physiques sur le disque.

Le module d’organisation de fichiers connaît les fichiers et leurs blocs logiques, ainsi que les
blocs physiques. En connaissant le type d’allocation de fichiers employé et l’emplacement du
fichier, ce module peut traduire les adresses des blocs logiques dans les adresses des blocs
physiques pour que le système de transfert de base les transfère. Les blocs logiques du fichier
sont numérotés de 0 à N, tandis que les blocs physiques contenant ces données ne correspondent
généralement pas aux numéros logiques, il faut donc une traduction pour localiser chaque bloc.
Le module d’organisation de fichiers comprend également le gestionnaire de l’espace libre, qui
suit la piste des blocs disponibles etles fournit au module d’organisation de fichiers quand celui-
ci les demande.

Enfin le système de fichier logique utilise la structure de répertoires pour proposer au module
d’organisation de fichiers l’information dont ce dernier a besoin, pour un nom donné de fichier
logique est également responsable de la protection et de la sécurité.

Pour créer un nouveau fichier, un programme d’application appelle le SGF. Ce dernier connaît le
format de la structure des répertoires. Il lit le répertoire approprié dans la mémoire, l’actualise
avec la nouvelle entrée et le réecrit sur disque. Une fois que le répertoire a été actualisé, le SGF
peut se l’utiliser pour exécuter les E/S.

La première référence à un fichier (normalement un open) provoque la recherche dans la

structure des répertoires et la copie de l’entrée du répertoire pour ce fichier dans la table des
fichiers ouverts. On retourne au programme utilisateur l’indice pour cette table et toutes les
autres références s’effectuent par l’intermédiaire de l’indice (un descripteur de fichier, ou bloc de
contrôle de fichiers). Par conséquent tant que le fichier reste ouvert, toutes les consultations du
répertoire sont effectuées sur la table des fichiers ouverts. Toutes les modifications de l’entrée du
répertoire sont réalisées sur la table en mémoire. Quand tous les utilisateurs employant un fichier
le ferment, l’entrée actualisée est copiée sur la structure de répertoire du disque.

PROTECTION :
Quand on maintient de l’information dans un système informatique, l’un des principaux
problèmes est sa protection contre les dégâts (fiabilité) et les accès non autorisés (protection).
On peut fournir de la protection de plusieurs manières différentes : protection par type,
protection par groupe d’accès, … etc.

Protection par type :

Le besoin de protéger des fichiers est une conséquence directe de la possibilité d’y accéder. Dans
les systèmes dont l’accès aux fichiers des autres utilisateurs n’est pas permis toujours, on fournit
un accès contrôlé. Les mécanismes de protection fournissent un accès contrôlé en limitant les
types d’accès possibles aux fichiers. On autorise ou on refuse un accès selon plusieurs facteurs,
l’un d’eux est le type d’accès demandé. On peut contrôler différents types d’opérations : Lecture,
Ecriture, Exécution, Ajout,Destruction, Enumération.

Protection par groupe d’accès :

L’approche la plus commune au problème de la protection consiste à rendre l’accès dépendant de
l’identité de l’utilisateur. Divers utilisateurs peuvent avoir besoin de types d’accès différents à un
fichier ou à un répertoire. Le schéma le plus général pour implémenter l’accès dépendant de
l’identité consiste à associer à chaque fichier et répertoire une liste d’accès, en spécifiant le nom
de l’utilisateur et les types d’accès autorisés à chaque utilisateur. Quand un utilisateur demande à
accéder à un fichier particulier, le SE examine la liste d’accès associée à ce fichier. Si cet
utilisateur se trouve dans la liste, l’accès est autorisé, sinon il se produit une violation de la
protection.
Le principal problème concernant les listes d’accès est leur longueur. Si on désire autoriser tout
le monte à lire un fichier, on doit construire une liste de tous les utilisateurs ayant le droit de le
lire ; ce qui peut constituer une tâche pénible pour le système.

Afin de réduire la longueur de la liste d’accès, plusieurs systèmes reconnaissant trois types
d’utilisateurs en liaison avec chaque fichier :
- Propriétaire : L’utilisateur qui a créé le fichier en est le propriétaire.
- Groupe : Le groupe est un ensemble d’utilisateurs partageant le fichier et ayant des besoins
d’accès semblables.
- Univers : Tous les autres utilisateurs du système constituent l’univers.

La protection par groupe ne peut fonctionner correctement que si l’appartenance au groupe est
contrôlée. Dans le système Unix et Windows NT, les groupes ne peuvent être chargés ou créés
que par l’administrateur du système. Avec cette classification, il faut seulement 3 bits pour
définir la protection ; chacun d’eux autorise ou interdit l’accès. Par exemple, le système Unix
définit 3 champs rwx pour respectivement : la lecture, l’écriture, et l’exécution ou maintient un
champ séparé pour le propriétaire, le groupe et les autres.

Exemple :
Propriétaire Groupe Les
autres
rwx rwx rwx
Student.doc
Propriétaire Groupe Les autres
Programme.c rw- r-- r--

METHODES D’ALLOCATION
L’accès direct aux disques permet une grande souplesse dans l’implémentation des fichiers. Le
problème principal consiste à savoir comment allouer de l’espace à ces fichiers.

•Le fichier logique est la vue de l’utilisateur de l’ensemble des données mémorisées sur le
support de masse
-Un type de donnée (programmation)
-Un ensemble de données groupées sous forme d’enregistrements
•Le fichier physique correspond à l’implémentation sur le support de masse de l’unité de
conservation fichier. IL est constitué d’un ensemble de blocs physique. Il existe plusieurs
méthodes d’allocation des blocs physiques :

1.allocation contiguë (séquentielle simple)

2.allocation par blocs chainés
3.allocation indexée

Allocation contiguë :
La méthode de l’allocation contiguë demande que chaque fichier occupe un ensemble de blocs
contigus sur le disque. Les adresses disques définissent un ordre linéaire sur le disque.
L’allocation contiguë d’un fichier est définie par l’adresse disque et la longueur , en unités blocs,
du premier bloc. Si le fichier est d’une longueur de n blocs et démarre à l’emplacement b, il
occupe donc les blocs b, b+1, b+2, …, b+n-1. L’entrée du répertoire pour chaque fichier indique
l’adresse du bloc de début et la longueur de la zone allouée au fichier.

Avantage : Déplacement minimal du bras du disque.

Inconvénient : Fragmentation.

Allocation chaînée :
L’allocation chaînée résout les problèmes de l’allocation contiguë. Avec l’allocation chaînée,
chaque fichier est une liste chaînée de blocs de disques. Les blocs de disque peuvent être
dispersés n’importe où sur le disque. Le répertoire contient un pointeur sur le premier et le
dernier bloc du fichier.

Avantage : réduire la fragmentation.

Inconvénient : Le mouvement du bras du disque peut être important.
Il existe une autre variante importante de la méthode d’allocation chaînée : employer une table
d’allocation de fichiers (File Allocation Table : FAT) qui a été utilisée dans les systèmes
d’exploitation
DOS et OS2. Celle-ci possède une entrée pour chaque bloc disque et elle est indexée par numéro
de bloc. On utilise la FAT comme s’il s’agissait d’une liste chaînée. L’entrée du répertoire
contient le numéro de bloc du premier bloc du fichier. L’entrée de la table indexée par ce numéro
de bloc possède donc le numéro de bloc suivant dans le fichier. Cette chaîne continue jusqu’au
dernier bloc, possédant une valeur spéciale de fin de fichier comme l’entrée de la table.

Allocation indexée :
L’allocation chaînée résout les problèmes de fragmentation, cependant elle ne peut pas supporter
l’accès direct de façon efficace, car les pointeurs vers les blocs ainsi que les blocs eux-mêmes
sont dispersés dans tout le disque et ils doivent être récupérés dans l’ordre. L’allocation indexée
résout ce problème en rangeant tous les pointeurs dans un seul emplacement : le bloc d’index.

Chaque fichier possède son propre bloc index, qui est un tableau d’adresse de blocs disque. La
ième entrée dans le bloc index pointe sur le ième bloc du fichier. Le répertoire contient l’adresse
du bloc index. Pour lire le ième bloc, on utilise le pointeur de la ième entrée du bloc index afin
de trouver et de lire le bloc désiré. Ce schéma est semblable à celui de la pagination.

Quand on crée le fichier, tous les pointeurs du bloc index sont fixés à nul. Quand le ième bloc est
écrit pour la première fois, on obtient un bloc du gestionnaire de l’espace libre et son adresse est
placée dans la ième entrée du bloc index.

Inconvénient : L’espace occupé par le bloc d’index.

Chaque fichier doit posséder un bloc d’index dont il est souhaitable qu’il soit le plus petit
possible.Cependant s’il est trop petit, il ne pourra pas ranger des pointeurs en nombre suffisant
pour un grand fichier et il faudrait un mécanisme pour traiter ce détail.

Pour cela plusieurs solutions ont été proposées, dont :

Schéma chaîné : Pour des fichiers importants, on peut chaîner les blocs d’index entre eux.
Index multiniveaux : Cette solution consiste à utiliser un bloc d’index séparé pointant sur des
blocs d’index.

GESTION DE L’ESPACE LIBRE :

Comme il n’existe qu’une quantité limitée d’espace disque, il est nécessaire de réutiliser l’espace
des fichiers détruits pour les nouveaux fichiers. Pour cela, le système doit maintenir une liste
d’espace libre. Cette liste mémorise tous les blocs libres du disque.
Pour créer un fichier, on recherche dans la liste d’espace libre la quantité requise d’espace et on
alloue cet espace au nouveau fichier. Cet espace est ensuite supprimé de la liste. Quand un
fichier est détruit, son espace disque est ajouté à la liste d’espace libre. Mais comment
implémenter la liste d’espace libre ?. Plusieurs méthodes existent dont : le vecteur binaire et la
liste chaînée.

Vecteur binaire :
On implémente souvent la liste d’espace libre comme un tableau binaire. Chaque bloc est
représenté par un bit. Si le bloc est libre, le bit est à 1, s’il est alloué le bit est à 0. Par exemple, si
dans un disque les blocs 2, 3, 5, 8 et 9 sont libres, et les autres alloués, le vecteur représentant
l’espace libre est alors :
N° bloc 0 1 2 3 4 5 6 7 8 9 …
Bit 0 0 1 1 0 1 0 0 1 1

Avantage : Il est relativement facile de trouver le premier bloc libre ou les n blocs libres
consécutifs.
Inconvénient : la gestion du vecteur.

Liste chaînée :
Il existe une autre approche pour représenter l’espace libre. Elle consiste à chaîner les blocs
disques libres, en maintenant un pointeur sur le premier bloc libre dans un emplacement spécial
du disque et en le mettant en mémoire cache.
Avantage : La liste ne représente que les blocs libres.
Inconvénient : Parcours de la liste.

Liste chaînée avec groupement :

Il existe une autre variante de la méthode de la liste chaînée : on stocke les adresses des n blocs
libres dans le premier bloc libre. Les n-1 premiers blocs sont réellement libres. Le dernier blocs
contient les adresses de n autres blocs libres et ainsi de suite. L’importance de cette
implémentation, c’est que l’on peut rapidement trouver les adresses d’un grands nombres de
blocs libres, à la différence de la méthode chaînée standard.

Liste avec comptage :

La méthode de représentation d’espace libre avec comptage, profite du fait qu’il existe souvent
plusieurs blocs libres contigus dispersés dans le disque. Alors, plutôt que de maintenir une liste
de n adresses libres, on mémorise l’adresse du premier bloc libre et le nombre x de blocs
contigus libres qui suivent le premier bloc. Chaque entrée dans la liste d’espace libre consiste
donc en une adresse disque et un compteur.

EXEMPLE DE SGF : UNIX

Unix possède de nombreuses variantes. La plupart des fournisseurs de systèmes se rattachent soit
à Système V d'origine ATT soit à Berkeley (BSD). Les différences sont peu visibles pour les
utilisateurs mais les systèmes de fichiers sont incompatibles. Une normalisation, elle-même
incompatible avec les deux premiers systèmes, a été tentée sous l'égide de l'OSF (Open System
Fundation).

Eléments d'un système de fichiers

L'espace disque est attribué par blocs de 512 à 4096 octets suivant les systèmes. La structure est
composée de trois entités: le superbloc, le fichier des inodes et les fichiers de données : fichiers
réguliers et répertoires.
Un système de fichiers est un disque virtuel créé par le responsable du système. Un disque peut
être partitionné en plusieurs systèmes. Chez certains constructeurs un système de fichiers peut
être réparti sur plusieurs disques. L'utilisateur ne voit que ces disques virtuels. Le superbloc
contient des informations sur l'espace utilisé dans le disque virtuel, la liste des inodes des
informations sur les fichiers réguliers. Le nom interne d'un fichier est un nombre entier appelé
inode.

Pour le système les fichiers sont organisés en deux grandes familles :

1)les fichiers standards que sont par exemple les fichiers texte, les exécutables, etc. C’est-`a-
dire
tout ce qui est manipulé et structuré par les utilisateurs.
2) Les fichiers spéciaux périphériques, mémoire, et autre fichiers ”physiques” ou logique. Parmi
ces fichiers , on trouve :
- Les répertoires
- Les fichiers physiques dans le répertoire /dev (dev comme devices dispositifs matériels, les
périphériques et quelques dispositifs logiques ) :
o Character Devices (où ou la communication ce fait octets par octets), comme les
terminaux (claviers, écrans), les imprimantes, la mémoire.
o Block devices (périphériques ou la communication ce fait par groupe d’octet appel´es
blocs) : les disques, les bandes magnétiques, etc.
- Les fichiers à usages logiques et non physiques
liens symboliques
pseudo-terminaux
sockets
tubes nomm´es

Le superbloc
Le superbloc décrit l'état d'occupation des secteurs du disque virtuel, alloués au système de
fichiers. Lorsqu'on cherche à écrire sur un disque, il est en effet indispensable de connaître la
liste des emplacements libres et occupés. Il faut donc construire et tenir à jour une carte
d'occupation des lieux.
Les inodes sont les noms internes des fichiers reconnus sous la forme de nombres entiers. Le
superbloc maintient également la liste des noms libres utilisables, indispensable à la création de
nouveaux fichiers.

Parmi les informations les plus importantes que contient le superbloc, on retiendra :
s_isize: la taille en blocs de la liste des inodes (i_list).
s_fsize: la taille en blocs du système de fichiers.
s_fname: le nom externe du système de fichiers.

Remarquons que ces informations déterminent le nombre maximum de fichiers que l'on peut
créer et la taille du système de fichiers.
s_free: la liste des blocs libres.
s_inode: la liste des inodes libres
s_tfree: le nombre de blocs libres
s_tinode: le nombre d'inodes libres
Ces indications sont indispensables à l'allocation de l'espace et des fichiers. L'utilisateur peut la
consulter au moyen de la commande df.
Le superbloc est chargé et verrouillé en mémoire au moment du démarrage ou lorsqu'un système
de fichiers est monté (mount) et devient visible pour les utilisateurs. Il est constamment remis à
jour et sauvegardé régulièrement sur disque ou volontairement par la commande sync.

5.3. La liste des inodes

La liste des inodes ou i_list est l'élément fondamental du système de fichier. Tout dommage à
cettestructure détruit irrémédiablement les liens donc les fichiers qui deviennent difficilement
récupérables.Pour s'en convaincre il suffit de savoir qu'elle contient les renseignements suivants
pour chaque inode:
i_uid, le numéro de l'utilisateur qui est son nom interne dans le système.
i_mode, les droits d'accès sur le fichier.
i_size, sa taille en blocs.
toutes les informations sur sa date de création, de modification et de dernier accès.
un pointeur permettant, comme nous allons le voir, d'accéder à son contenu.

On y trouve également des informations indiquant s'il s'agit d'un fichier, d'un répertoire ou de
tout autre fichier spécial. L'utilisateur consulte son contenu, pour la part qui lui est accessible, au
travers des protections, au moyen de la commande ls qui liste les informations sur les fichiers
contenus dans un répertoire.
On utilise un adressage direct pour accéder au fichier s'il est court, de l'ordre de dix blocs, un
adressage indirect pour les fichiers plus longs, comme schématisé dans la figure . La i_list
comme le superbloc est chargée en mémoire et régulièrement remise à jour sur disque.

Accès à un fichier
Imaginons qu'on recherche le fichier /usr/essai. Le processus pour y accéder est le suivant :
1. Lecture de la i_list pour retrouver la référence du répertoire / (racine).
 2. Lecture de ce fichier répertoire. Les répertoires contiennent, entre autre, les noms
interne et externe des fichiers et répertoires fils. usr est, par exemple, l'inode xxx
3. Lecture de la i_list pour retrouver les références de l'inode xxx.
4. Lecture des blocs correspondants à cet inode. On y trouve le nom interne yyy
correspondant au nom externe essai.
5. Lecture de la i_list pour retrouver les références de l'inode yyy.
6. Accès au fichier yyy soit /usr/essai

Ce simple exemple montre la nécessité de préserver l'intégrité de la i_list. On notera également

que l'accès serait extrêmement lent si celle-ci ainsi que le superbloc n'étaient pas chargés dans la
mémoire de l'ordinateur. Ce n'était pas le cas des systèmes Multics connus par le passé et dont
Unix est dérivé. Seul l'effondrement du prix des mémoires a permis à Unix de devenir un
système efficace. Auparavant il souffrait des mêmes défauts que son prédécesseur et cette
méthode d'accès était très lente.

Fragilité des systèmes de fichiers

L'information écrite sur un disque évolue rapidement. A un instant donné il n'est pas garanti que
la géographie physique du disque corresponde exactement à la copie du superbloc et de la i_list
qui existent sur celui-ci puisque seules leurs images dans la mémoire sont modifiées
instantanément. La mise à jour est effectuée régulièrement par leur recopie sur le disque mais si
le système est arrêté inopinément alors qu'il était en pleine activité, il n'est pas certain que la
cohérence du système de fichiers soit préservée. C'est pourquoi il ne faut jamais arrêter
brusquement une machine Unix: il faut utiliser la procédure shutdown prévue à cet effet. Entre
autre chose celle-ci recopie les informations de la mémoire sur les disques.

Au démarrage de tout système une procédure analyse le système de fichiers pour vérifier la
cohérence des informations inscrites dans le superbloc et la i_list. Tout fichier ou morceau de
fichier dont le chemin d'accès ne peut être retrouvé est placé dans un répertoire spécial appelé
lost+found!
Cette vérification se déroule en cinq phases :
1. phase I : vérification de la liste des inodes
2. phase II : vérification des chemins d'accès
3. phase III: vérification de la connectivité des répertoires
4. phase IV : vérification des liens symboliques
5. phase V : vérification du superbloc

Ceci peut prendre un certain temps si la capacité en disques est élevée. Les procédures de
démarrage les plus évoluées sont capables de s'apercevoir si un système a été précédemment
arrêté proprement. Elles évitent alors cette étape fastidieuse.
Conclusion
Les constructeurs de systèmes informatiques sont conscients de la fragilité des systèmes de
fichiers. Certains ont introduit une couche logicielle entre la représentation Unix des fichiers et la
structure physique sur le disque (voir figure) qui réalise un certain nombre de fonctionnalités
supplémentaires cachées. Par exemple la i_list comme le superbloc sont dupliqués un certain
nombre de fois de façon à éviter leur perte. Il devient possible de reconstituer ces informations
fondamentales à partir de leurs différentes images.
 Sujet 2: Securite hardware et securite software
Securite physique de l’ordinateur
 L'humidité
  Des rayonnements électromagnétiques (les disquettes y sont particulièrement sensibles)
 De la chaleur (ne pas mettre son unité centrale, ni son écran, trop près d'un mur)
 Des coupures de tension
 Des chocs (ne pas frapper son ordinateur, même en cas de plantage ! )
 De la poussière et de la fumée de cigarette
 L'ordinateur doit par ailleurs se trouver dans un local qui ne soit pas en libre accès.
 S'il s'agit d' un ordinateur portable, le principal risque est le vol. Il ne faut donc pas le quitter, et le
transporter dans un sac anodin, et non dans la mallette d'origine. Une protection des données
sensibles par cryptographie est nécessaire : en cas de vol, les données seront préservées (c'est
d'ailleurs la seule protection anti-vol efficace).

Sécuriser l'accès de votre ordinateur

 La sécurité :
On parle souvent de sécuriser son système d'exploitation par rapport à Internet, mais la
sécurité c'est aussi l'accès physique à votre machine !

Il est impossible de protéger son système ou la machine si une personne a un accès physique à
celle-ci. Tout au plus, on peut retarder le piratage, le vol d'information, la destruction de données
ou même le vol du matériel.
Pas simple, effectivement, quelles sont les questions que l'on doit se poser afin de mieux se
protéger ?

Nous allons tenter de faire un point sur ce qu'il est possible de faire dans ce domaine afin de
mettre en place certaines restrictions qui retarderont les tentatives de piratage, la corruption des
données, le vandalisme, etc..

 Démarche de sécurisation
 Contrôle d'accès à l'ordinateur
 Sécuriser l'unité centrale
 Une autre alternative : le rack
 l'outil Syskey
 Protection du système en fonctionnement

 Démarche de sécurisation

Dans une entreprise, la démarche de sécurisation commence par la rédaction d'une politique de
sécurité, qui suppose d'avoir effectué auparavant un bilan de l'organisation et des processus de
l'entreprise et une analyse des risques.
Ensuite vient la définition de l'architecture de sécurité, puis son implémentation, suivie au besoin
par un audit de configuration et des tests d'intrusion.
Tout ceci, c'est le métier d'un administrateur réseau, il n'est pas question ici de donner des cours
de sécurité à ces personnes, ce n'est pas l'objectif et ils sont même certainement plus qualifiés
que moi sur le sujet.
Dans notre cas, celui d'un particulier, comme vous et moi, celui-ci devra définir ses besoins et
ses risques !
Sans établir un cahier des charges, on peut cependant s'en inspirer afin d'optimiser la sécurité de
nos données ou de notre matériel

Faire le point sur les valeurs existantes

- Le coût de mon investissement matériel (carte mére, carte graphique "hors de prix", etc..)
- La valeur de mes données (documents, films, musiques, site personnel, base de données, etc..)
- La valeur de mes courriers, (contacts, agenda, boîte de messageries professionnelles, de
particulier, etc.)
- De mes données confidentielles (banques, assurances, crédit, avocat, travail, etc.)
- Pour les artisans, commerçants et autres PME, (comptabilité, devis, clients, etc..)
- Coût de remise en place complète d'un système d'exploitation + les données (si vous n'avez pas
oublié de les sauvegarder ! )

Les questions à se poser

- qui peut facilement accèder à mon ordinateur ?

- est-ce que je fais des lan/partie dans des endroits ouverts au public ?
- est-ce que mon pc est toujours allumé ?
- est-ce que mes documents suscitent un intérêt pour les gens ?
- est-ce que je suis dans un secteur faste pour les cambriolages ?

Les facteurs à risque

- les enfants (téléchargement de n'importe quoi sans votre autorisation, les copains qui viennent
et qui pensent s'y connaître, etc..)
- votre entourage, la famille, les voisins, les amis (leurs incompétences, leurs compétences, leurs
jalousies, leurs vengeances, etc..)
- vous ou moi, avec vos compétences, vos incompétences, vos bidouillages dans le système, les
tweaks à gogo !!!
- Le cambriolage
- De vrais professionnels car vous détenez des informations capitales !

Dans la pratique, on a plus souvent à faire aux 2 premières catégories, la jalousie ou la

vengeance sont souvent à l'origine du piratage fait par l'entourage, quand au cambriolage, c'est
surtout de la faute à pas de chance !
Sans aller jusqu'aux extrêmes, un enfant qui a accès à votre ordinateur peut par méconnaissance
supprimer un fichier vital de votre système d'exploitation !
Et là, c'est la catastrophe, faut tout refaire, perdu les données pas sauvegardées à moins de
dépenser de l'argent dans des softs de récupération, etc..

Faire le point sur sa protection existante

- quelles sont les solutions déja mises en place ?
- coté matériel
- coté système
- mon pc est totalement ouvert de tous les cotés !

Pour les autres qui sont concernés, sans être paranoïaque, si les divers risques énumérés au-
dessus existent dans votre environnement, il est temps d'analyser la situation et de trouver
quelques solutions simples et souvent efficaces contre beaucoup de ces risques !

Ne vous inquiétez pas, je n'ai rien inventé, je donne juste quelques éléments de réponse trouvés
par-ci par-là au hasard de mes promenades sur la toile, dont certains que j'applique à titre
personnel quotidiennement.

Contrôle d'accès à l'ordinateur

 Protection par le BIOS

Tout d'abord, c'est quoi le BIOS ? (Basic Input Output System) Ce programme se lance
automatiquement au démarrage du PC. Il fait le lien entre le système d'exploitation et les sous-
ensembles (disque dur, mémoire, lecteur de disquette, etc.). Il gère les paramètres techniques de
votre configuration que vous pouvez éventuellement modifîer au démarrage.

Vous l'avez compris, Le BIOS est l'élément indispensable à tout type de démarrage

Pour accéder au BIOS, il faut appuyer sur la touche "DEL" ou "SUPPR" ou "ECHAP" juste au

démarrage de votre machine (enfin, tout dépend de votre BIOS, renseignez-vous auprès du
constructeur)

Dès que vous êtes dans le BIOS, pour vous déplacer, il faut utiliser les touches (haut, bas, gauche,
droite) de votre clavier et ensuite appuyer sur la touche (Entrer) pour sélectionner une option

Bloquer tout type de démarrage sauf le disque dur

Ici, nous allons juste autoriser le démarrage sur le disque dur, l'objectif avoué est d'interdire toute
sorte de démarrage en dehors du disque dur. Et oui, tellement facile de démarrer à partir d'une
disquette de boot, d'un CD linux, etc.. pour copier, voler ou détruire le système.

En fonction de votre BIOS, il est possible de retrouver ces éléments à modifier à divers endroits :
- Advanced BIOS Features
- Boot -> Boot device Priority
Voici les modifications à mettre en oeuvre :
First Boot Device = HDD-0 (le disque maitre)
Second Boot Device = Disabled (si votre BIOS le permet)
Third Boot Device = Disabled (si votre BIOS le permet)
Boot Other device = Disabled (interdit de démarrer sur les ports USB, etc..)

On continue en interdisant le démarrage du système par le réseau

Ici, il faut chercher dans :

- Power Management Setup

Les options peuvent changer d'un BIOS à l'autre :

Wake Up Events = Disabled
Wake-Power Up = Disabled
Wake Up On LAN/Ring = Disabled
A ce stade on a bloqué le démarrage du système en laissant juste le démarrage sur le 1er
disque dur, il faut maintenant configurer les options afin que personne ne modifie ce type
de démarrage

Sécuriser le BIOS

En principe, ces options se trouvent dans : Security:

il existe 2 options distinctes :
- Interdire l'accès au démarrage du système par mot de passe
- Interdire l'accès à la configuration du BIOS par mot de passe

Interdire l'accès au démarrage du système par mot de passe

Cette option demande un mot de passe pour démarrer le système d'exploitation, après 3 tentatives
infructueuses, la fenêtre de password se ferme et empèche le lancement du système. (retour à la
case départ!)
Set User Password : inscrivez 2 fois le même mot de passe
Rien de compliqué, si ce n'est que de retenir le mot de passe

Interdire l'accès à la configuration du BIOS par mot de passe

Cette option demande un mot de passe pour accéder directement au BIOS, sans ce mot de passe,
personne ne pourra venir modifier les options de démarrage du système
Set Admin Password : inscrivez 2 fois le même mot de passe
Et voilà, maintenant, avec ces 2 options, il faudra toujours inscrire un mot de passe à chaque fois
que vous démarrerez votre PC ou que vous souhaitez modifier des options dans le BIOS

Bon, c'est bien beau tout cà, mais compte-tenu qu'une personne qui a un accès physique à la
machine peut en moins de 5 minutes remettre le BIOS par défaut en ouvrant la tour et en faisant
un Clear CMOS, (si cette personne est compétente). Et là malheureusement, terminé les mots de
passe et le blocage de quoi que ce soit dans le BIOS !

Sécuriser l'unité centrale

Il faut sécuriser la tour (l'unité centrale).L'objectif est toujours le même, gagner du temps, il
existe plusieurs possibilités pour sécuriser la tour, ca passe de la visserie, en passant par des
serrures, voir même la fixation de la tour dans le meuble au carrément à même le sol.

C'est l'effet de surprise qui est déterminant ! Le voleur n'avait pas forcément pensé que votre
machine était bien protégée

La visserie
Le fabriquant de boîtier Enermax a eu l'excellente idée de se poser la question suivante : Comment
sécuriser le contenu des boîtiers? En réponse à cela, Enermax vous propose un kit antivol!

Simple et efficace, pour quelques Euros, on modifie le comportement du cambrioleur qui passe
des couleurs "verte à rouge foncé". difficile de penser qu'il fallait venir avec un tournevis
spécial :P
Juste avec ces simples vis, il devient plus difficile d'acceder au BIOS pour modifier les options.

Les antivols

On peut très bien trouver dans le commerce des serrures de type alarme qui conviennent
parfaitement, dans ce cas, il faudra l'outillage nécessaire, d'ailleurs ce type de clé/serrure était
courant dans les années 90 sur le matériel informatique!
      
serrure type alarme

Sinon, on trouve dans le commerce des spécialistes de la protection des ordinateurs : Vol
Protect en fait partie, qui propose également des ensembles d'encadrement de la tour :

      

Vous êtes bricoleur, un cadenas bien placé plus quelques tire-fonds et chevilles devraient
immobiliser la tour sans gréver votre budget .

Les antivols de portable

Les portables sont toujours convoités par les voleurs, facile à voler, facile à revendre, souvent le
portable sert au travail et à la maison, d'où l'intérêt de bien le protéger (même à la maison)

      
Les cables renforcés fonctionnent parfaitement, surtout si vous utilisez votre portable dans des
lieux ouverts au public.

A ce stade, en principe, si vous avez protégé les accès du BIOS ainsi que la protection de la tour,
vous augmentez fortement vos chances de conserver vos données et votre matériel, ces quelques
minutes supplémentaires pour accéder à vos données seront le garant de votre protection
physique.

Voyons maintenant une autre alternative matériel...

Une autre alternative : le rack

Une autre façon de sécuriser ses données personnelles, c'est l'utilisation d'un rack.
Le rack est composé de 2 parties, le disque dur et la partie receptacle qui fera partie intégrante de
la tour.(tout comme un auto-radio extractible)
L'avantage principal de ce produit, c'est de pouvoir enlever le disque dur une fois que votre
activité informatique est terminée. Sans disque dur, le pc n'a plus d'intérêt pour un vol
d'information.
Un autre avantage si vous utilisez 2 pc dans 2 endroits différents (maison, boulot), c'est de
pouvoir disposer de tous vos documents sans vous compliquer la vie

Il existe une multitude de racks dans le commerce, si vous choisissez cette solution, préférez en
un qui propose des options de sécurité (éjection impossible tant que le tâches est en
fonctionnement par exemple), n'oubliez pas la qualité des matériaux, car il sera mis à rude
épreuve si vous êtes amené à l'extraire plusieurs fois par semaine.

N'oubliez pas d'enlever le disque amovible en partant, sinon, cela n'aurait aucun intérêt de
protection.
Sécurité logique d'un ordinateur

L'outil Syskey

Nous venons de voir la partie protection de la machine, passons à la protection du système

Windows met à votre disposition depuis les versions NT, un utilitaire de démarrage du système,
"SYSKEY"
Pour s'en servir, il suffit d'aller dans Executer et taper : syskey

La commande SYSKEY permet de configurer le système pour que le mot de passe soit crypté
avec un algorithme de 128-Bits. Il existe 3 modes de fonctionnement :
1 - Auto Boot : le système génère une clé de cryptage interne broullée et la conserve sur le
système.
2 - Floppy Boot : le système génère une clé complexe, aléatoire et la conserve sur une disquette.
3 - Password Boot : l'administrateur choisit un mot de passe qui est choisi pour la base de la clé
de cryptage necessaire pour lancer le système.

Seul le choix 2 nous intéresse ici: c'est à dire, la disquette au démarrage

Sur cet écran, choisissez l'option "Mettre à jour"
Choisissez les 2 options :
- Mot de passe généré par le système
- Enregistre la clé de démarrage sur une disquette
et cliquez sur OK

Insérez une disquette vierge dans votre lecteur

Et voilà, maintenant, à chaque démarrage du système, vous serez obligé d'inserer la disquette
afin d'accéder à vos sessions, le lecteur de disquette devient une serrure
Cette solution a des avantages et des inconvénients, effectivement, c'est pratique parce qu'on
bloque le démarrage, que le cryptage ne se trouve que sur la disquette et non pas dans la base de
registre, mais les inconvénients sont aussi nombreux :
- altération de la disquette
- perte de la disquette
- ne pas laisser traîner la disquette près du pc
- pas d'autre possibilité de support (type USB, par exemple)
- obligation de laisser l'option de démarrage Floppy dans le BIOS

Protection du système en fonctionnement

Votre PC est toujours allumé, il suffit de quelques minutes d'absence pour qu'une personne
puisse faire n'importe quoi dans votre système d'exploitation !
Sur ce sujet il y a beaucoup à faire, quelques options bien choisies améliorent considérablement
la sécurité de vos données, je ne vais pas reprendre tous les articles déja écrits sur ces sujets,
mais un petit rappel s'impose.

Bloquez les accès au système

En cas d'absence, que choisir ?
- l'écran de veille,
- fermer la session,
- verrouiller la session,
Quelle que soit la réponse il est important que vous ayez défini un mot de passe pour interdire
l'accès et ceci sur tous les comptes existant sur le système d'exploitation ( effectivement, pas la
peine de mettre un mot de passe sur votre session si le compte administrateur n'en a pas)

Un petit tour sur ce sujet option d'ouverture de session devrait vous permettre de faire votre
choix.
Si vous avez un travail en cours pendant votre absence, il est préférable de verrouiller la session,
plutôt que de la fermer.
Maintenant, si vous partez quelques heures, il serait préférable de fermer la session, mais là ce
n'est que votre choix

Votre ordinateur est partagé

Partager son ordinateur ne signifie pas autant de tout partager !

Effectivement, c'est le but des sessions, vous êtes plusieurs à la maison, chacun sa session,
chacun ses documents personnels, etc... Malheureusement, ce n'est pas le cas, Windows aime
bien partager vos documents (sauf son pognon!!!)
Par défaut Windows propose le partage simple des dossiers, il est important d'interdire ces
partages.

Cryptez vos données confidentielles

Vous partagez votre pc avec d'autres personnes, certaines données confidentielles peuvent être
protégées, c'est là qu'intervient le cryptage, et oui, même en désactivant les partages, si le compte
a des pouvoirs administrateur, il est tout à fait possible de voir les dossiers des autres sessions,
c'est un peu l'inconvéniant de Windows, la sécurité n'est pas son fort!

Par défaut, seul Windows XP Pro implémente le cryptage des données (EFS), vous pouvez lire
cet article sur les restrictions et le cryptage
Heureusement, pour les non possesseurs d'XP Pro, il existe d'autres alternatives que celles de
Microsoft, en voici quelques exemples :

- Folder Access que vous trouverez sur ce site : http://www.folderaccess.com/

La version gratuite permet de protéger 4 dossiers de votre choix

- Lock Folder XP que vous trouverez sur ce site: http://www.everstrike.com/lock_folder.html

Cette version shareware vous donne droit à 30 jours d'essai.

Cette liste n'est pas exhausive, une recherche sur google vous permettra de trouver votre
bonheur.

Voila pour aujourd'hui, j'ai fini de vous embrouiller la tête, la sécurité est un domaine infini, mais
si vous appliquez quelques-unes de ces mesures à titre personnel, votre protection n'en sera que
meilleure.
A savoir, l'accès aux périphériques, à la base de registre, le panneau de configuration, etc.. qui
pour l'instant ne sont pas mentionnés et qui font partie de la sécurité de votre système
d'exploitation Windows.

Cette section présente quelques aspects de la sécurité d'un ordinateur personnel. Elle est avant
tout destinée à donner des principes génériques sur la sécurité informatique.

La première étape de la sécurisation d'un ordinateur est la connaissance des principaux risques :

 L'ingénierie sociale

L'ingénierie sociale est l'un des principaux risques sur internet, et en même temps l'un des plus
simples. Le principe est de considérer qu'on obtiendra plus facilement des informations d'une
personne que d'une machine ou d'un logiciel. L'objectif est de soutirer à l'utilisateur son mot de
passe ou toute information utile à une intrusion ou une surveillance.
La méthode classique est de passer un faux message de maintenance, par téléphone ou par
courriel, en usurpant l'identité d'un administrateur ou d'un chargé de clientèle et en demandant
son mot de passe à l'utilisateur. En envoyant un tel message à tout un groupe d'utilisateurs, on
multiplie les chances d'avoir des réponses positives, ce qui dans le cas de fonctionnement en
réseau donne un point d'accès.
Un autre aspect de l'ingénierie sociale est d'essayer de deviner un mot de passe en fonction du
contexte : prénoms des enfants, dates de naissance, personnages historiques sont des mots de
passe souvent utilisés.

 Le craquage et l'interception des mots de passe

La plupart des logiciels et systèmes informatiques sont protégés par un mot de passe. Se procurer
le mot de passe d'un utilisateur permet d'obtenir ses droits (simple utilisateur, administrateur).
Il existe des dictionnaires de mots de passe qui listent les mots de passe les plus courammentt
utilisés, et qui permettent, à l'aide d'un programme spécifique, de casser un mot de passe, en
essayant des milliers de mots par seconde.
Exemple : Crack4.1 avec son dictionnaire de 50 000 mots.
La meilleure protection contre ce risque est d'utiliser des mots de passe bien construits.
Il existe également des programmes permettant de scanner un réseau en interceptant toute
information jugée utile. Un serveur sur lequel est installé un tel programme peut intercepter les
mots de passe de connexion (comptes internet, comptes de messagerie...). Les passerelles de
messagerie ou les serveurs de FAI peuvent aussi intercepter les courriels, le contenu des pages
internet visitées et des formulaires remplis.

 Les chevaux de Troie

Un cheval de Troie est un programme caché dans un programme apparemment valide et

légitime. Quand l'utilisateur lance le programme, il lance en même temps le cheval de Troie.
Un cheval de Troie peut servir à prendre la main sur une machine (lorsqu'il est lancé, il envoie à
l'attaquant les informations permettant de prendre les commandes à distance), à installer des
logiciels espions ou à divers autres usages (virus...). Il existe essentiellement deux modes de
contamination par les chevaux de Troie : l'installation d'un logiciel non sûr (par exemple un
logiciel téléchargé sur un site inconnu) et le lancement d'une application reçue par courriel en
pièce jointe (exemple : fichiers avec les extensions .exe, .vbs, .scr).Les antivirus détectent les
chevaux de Troie connus, mais il est relativement facile d'en fabriquer des variantes qui
passeront inaperçues.

 Les virus

Parmi tous les risques, c'est probablement celui auquel on est le plus sensibilisé. Les principaux
risques liés aux virus sont le déni de service (impossibilité d'utiliser sa machine, saturation de
serveurs de messagerie), la divulgation d'informations, l'endommagement de sa configuration. Il
existe des antivirus efficaces qui permettent de se protéger.
La contamination par les virus touche essentiellement les utilisateurs de Windows. Mac et Linux
en connaissent beaucoup moins d'une part parce que la sécurité y est mieux gérée, et d'autre part
parce que les créateurs de virus ciblent le parc le plus répandu, Windows.

 Les trappes

Une trappe est un point d'accès dans un système informatique qui contourne les mesures de sécurité. Il
s'agit en général d'un programme caché ou d'un composant électronique qui rend le système de protection
inefficace lorsqu'on lui passe certaines commandes non documentées.
Une trappe peut aussi être un trou de sécurité dans un système qui a été volontairement mis en place par
les créateurs ou les personnes chargées de la maintenance. L'objectif de ces trappes n'est pas toujours
néfaste : certains systèmes d'exploitation ont par exemple des comptes utilisateurs avec de hauts
privilèges permettant d'en faciliter la maintenance. Mais dans ce cas, elles doivent être documentées.
La meilleure protection contre les trappes est d'utiliser des logiciels dont le code source est public et a
donc été analysé par un maximum de personnes.

 Les plantages

Tout logiciel ou système d'exploitation peut avoir un bogue. Certains plantages peuvent rendre la machine
inutilisable ou altérer les données. Pour minimiser le risque de plantage, les précautions à prendre peuvent
être :
Utiliser Linux plutôt que Windows (Linux est plus fiable et plus stable).
Faire des sauvegardes régulières de ses données
Ne pas maltraiter son ordinateur (marche/arrêt intempestif par exemple)
Diviser son disque dur en au moins deux partitions (l'une pour le système d'exploitation, l'autre pour les
données)
Avoir sur support papier la description exhaustive du matériel que contient l'ordinateur (carte graphique,
moniteur, carte mère...), conserver les CD d'installation et les disquettes de restauration.
Éviter de faire trop d'expériences sur un ordinateur contenant des données importantes.
Vous porterez une attention toute particulière à vos mots de passe :
 L’utilite d’un bon mot de passe
Lorsque vous avez un compte sur un ordinateur, le seul contrôle d'accès est en général votre mot
de passe. Quelqu'un qui découvre cette clé peut alors travailler sur la machine sous votre identité,
lire vos fichiers (courriers, textes... ), les détruire ou les modifier.
Cette fonction essentielle du mot de passe est devenue encore plus importante avec la
généralisation des réseaux et d'internet.
Deviner un mot de passe est d'autant plus facile que celui-ci aura été mal choisi.

 Comment trouver votre mot de passe?

L' usurpateur regardera si vous n'avez pas noté ce mot de passe. Il cherchera sur ou sous votre
clavier, dans votre tiroir, dans votre agenda...
Puis il essaiera les informations personnelles dont il dispose : identifiant, nom, prénom, date de
naissance, numéro de téléphone, prénoms des enfants, adresse, numéro d'immatriculation,
personnages célèbres... Si ça ne marche pas, il tentera alors des combinaisons de tout celà :
initiales des prénoms des enfants, numéro de téléphone inversé...
Si cette méthode artisanale, mais souvent efficace, ne fonctionne pas, il automatisera la recherche
avec un programme pour découvrir (craquer) les mots de passe.
Ces programmes utilisent deux principales méthodes :
 Ils ont recours à des dictionnaires de mots de passe contenant beaucoup de mots de passe
(leurs tailles peuvent être de l'ordre de 100Mo)
 Ils essaient par force brute énormément de combinaisons
Qui plus est, ces deux méthodes peuvent être combinées.
Plus votre mot de passe sera court et simple, plus vite il sera craqué.

Ce qu’il ne faut pas faire

Il ne faut pas noter son mot de passe : il faut donc qu'il soit mnémonique, c'est à dire facile à mémoriser.
Il faut le garder secret ; si l'on désire travailler à plusieurs sur un même ordinateur, il faut créer autant de
comptes que d'utilisateurs.
Il ne faut pas choisir comme mot de passe une information personnelle (prénom, nom du projet...) ; les
mots présents dans un dictionnaire français ou étranger sont à éviter ; proscrire également toute variation
simple de ce qui précède (ajout de chiffres, deux mots accolés...)
Ne pas utiliser un mot de passe important pour une application peu sûre, ou pour un compte utilisateur
d'un site internet

Le bon choix

Il ne faut pas noter son mot de passe : il faut donc qu'il soit mnémonique, c'est à dire facile à mémoriser.
Il faut le garder secret ; si l'on désire travailler à plusieurs sur un même ordinateur, il faut créer autant de
comptes que d'utilisateurs.
Il ne faut pas choisir comme mot de passe une information personnelle (prénom, nom du projet...) ; les
mots présents dans un dictionnaire français ou étranger sont à éviter ; proscrire également toute variation
simple de ce qui précède (ajout de chiffres, deux mots accolés...)
Ne pas utiliser un mot de passe important pour une application peu sûre, ou pour un compte utilisateur
d'un site internet

Enfin, vous apprendrez plus précisément à protéger l'ordinateur :

L'antivirus
Généralement bien connu des internautes, l'antivirus a pour rôle de protéger l'ordinateur des virus
informatiques. L'antivirus s'avère nécessaire depuis le développement d'internet, qui est
rapidement devenu le principal vecteur de virus, notamment à travers le courrier électronique.
L'antivirus est généralement composé de deux modules : le moniteur (surveillance permanente)
et le scanneur (analyse sur demande). L'antivirus combine en général deux méthodes d'analyse :
l'analyse par signatures, destinée à trouver les virus connus, et l'analyse heuristique, destinée à
trouver les virus inconnus. L 'analyse par signatures consiste à comparer le code d'un fichier à
des morceaux de codes caractéristiques de virus connus contenus dans une base de données
appelée liste de signatures ; cette liste de signatures doit être mise à jour régulièrement. L'analyse
heuristique, moins fiable, consiste à rechercher dans un fichier un code suspect pouvant être celui
d'un nouveau virus.
Le principal problème est de choisir quel antivirus installer. Nous conseillons Bitdefender
Antivirus, régulièrement classé parmi les meilleurs. Il existe des antivirus gratuits, mais ils sont
généralement moins efficaces.
Il est possible d'en installer deux à condition que seul un module moniteur soit actif à la fois ;
sinon, les antivirus risquent d'entrer en conflit et de déstabiliser le système.

Le pare-feu
Tout réseau rend l'ordinateur qui s'y connecte vulnérable à des attaques de l'extérieur.
Les deux premières mesures de sécurité à respecter sont de ne pas rester connecté trop longtemps
et d'installer un pare-feu personnel.
Pendant une connexion vous gardez une même adresse IP : plus vous restez connecté longtemps,
plus un attaquant aura de temps pour préparer une attaque. Il faut donc couper sa connexion
après utilisation.
Le pare-feu est un logiciel qui permet de contrôler les flux entrants et sortants de votre
ordinateur. L'utilisateur met en place des règles, et le logiciel se charge de les appliquer. Cela
permet de se protéger par exemple des intrusions, ou d'éventuels chevaux de Troie qui tenteraient
se connecter de votre ordinateur vers l'extérieur.
Le principe général de configuration des pare-feu, pour être efficace, doit être strict : tout ce qui
n'est pas explicitement autorisé est interdit.
Ainsi, vous allez par exemple permettre à votre navigateur de se connecter à internet (port 80 en
général), de même pour votre client de messagerie (port 110 pour la réception et 25 pour l'envoi).
Par contre, tout le reste sera par défaut interdit, et si une autre de vos applications essaie de se
connecter à internet , le pare-feu l'en empêchera ou vous informera, selon vos choix.
Les vendeurs d'antivirus en proposent en général (McAfee ou Kaspersky par exemple), mais
payants.
Une autre solution peut être d'en utiliser un gratuit : il s'agit généralement des mêmes logiciels,
mais avec quelques fonctionnalités en moins, ou bien de la version précédente.
On peut installer en série deux pare-feu d'éditeurs différents. En croisant ainsi les technologies, si
l'un est désactivé en avoir un second qui fonctionne différemment rend la tâche plus difficile à
l'attaquant. Cela s'applique essentiellement pour assurer un haut niveau de sécurité sur un réseau
privé.
Pour Windows, vous trouverez ici une liste de pare-feu gratuits.
Pour Linux, vous disposez de : Ipchains pour un noyau 2.2, Netfilter pour des noyaux 2.4 et 2.6

Vous veillerez à la sécurité de vos données :

Qualifier les données, nomenclature de protection

Toutes les données ne requièrent pas une protection particulière.

On peut par exemple définir trois niveaux :
 Public : ce sont les données qui ne nécessitent aucune protection particulière.
 Interne : ce sont les données dont on ne souhaite pas la divulgation publique
 Confidentiel : ce sont les données à protéger de façon absolue
On peut considérer que :
Les données publiques figurent sur le disque dur de l'ordinateur, éventuellement sur un serveur
internet, et peuvent transiter en clair par courriel.
Les données internes et confidentielles appellent l'utilisation de logiciels de cryptographie. On
fera, si nécessaire, la distinction entre le traitement des données internes et confidentielles : les
niveaux de sécurité à mettre en place par rapport à ces classifications dépendent aussi du
contexte.
L'idéal est que sur tout texte ou donnée produite ou traitée soit indiqué sa classification. Mais
l'essentiel est de se poser la question : ce document est-il public, interne ou confidentiel ? En
fonction de la réponse, on lui appliquera les mesures de sécurité choisies.

Mots de passe et sauvegardes

Les premières mesures de sécurité des données à prendre sont :

La protection par mot de passe de l'ordinateur qui les héberge : si plusieurs utilisateurs utilisent le même
ordinateur, il faut créer un compte par utilisateur. Il faut si possible utiliser les mots de passe BIOS des
ordinateurs, qui présentent un degré de sécurité plus élevé que les mots de passe ordinaires (ceux de
Windows par exemple). Aucun mot de passe n'est inviolable, mais en mettre constitue une première
protection.
Ne pas utiliser les mots de passe des applications pour protéger les données : les systèmes sont souvent
peu fiables. Pour vraiment protéger des données, il faut les chiffrer.
Réaliser régulièrement des sauvegardes : le support pourra être des disquettes, mais on préfèrera les CD-
ROM ou un disque dur amovible. Une attention particulière sera portée à la protection des sauvegardes :
il est inutile de bien sécuriser son ordinateur et ses données si les sauvegardes sont elles-même facilement
accessibles.
Créer deux partitions sur son disque dur : l'une (c:\ par exemple) qui contiendra le système d'exploitation,
et l'autre (d:\ par exemple, " /home" sous Linux) qui contiendra les données. L'intérêt d'une telle partition
est qu'en cas de problème sur le système d'exploitation, les données risquent moins d'en subir les
conséquences. On peut également utiliser deux disques durs.

Cryptographie

Pour protéger les données sensibles, on utilisera un logiciel de chiffrement.

La cryptographie est l'ensemble des techniques qui permettent de rendre des données
inintelligibles, au moyen d'une ou plusieurs clés qui serviront au chiffrement et au déchiffrement.
Il existe essentiellement deux types de cryptographie : la cryptographie symétrique et la
cryptographie asymétrique.
Pour chiffrer des données, on utilise la cryptographie symétrique. Parmi les logiciels disponibles,
il existe deux grandes familles.
 Ceux qui chiffrent fichier par fichier, ce qui suppose d'exécuter le logiciel sur chaque
fichier pour le chiffrer.
 Ceux qui permettent de définir sur son disque dur une partition virtuelle, et dans lequel
tout ce qu'on dépose est automatiquement chiffré.
Ce deuxième type de logiciels est plus pratique et plus efficace : pour déchiffrer les données, il
suffit de cliquer sur le fichier ; le mot de passe est alors demandé, et s'il est correct, la partition
virtuelle est déchiffrée ; lorsqu'on quitte, la partition est de nouveau chiffrée.

Exemple de logiciel de chiffrement

L'un des meilleurs est GnuPG.

N'utilisez pas les chiffrements natifs de Microsoft. Evitez aussi les logiciels peu connus : les
sources doivent être publiques et avoir été analysées par des spécialistes.
GnuPG est un logiciel en ligne de commandes ; vous apprécierez probablement l'interface
graphique GPA.
Sous Linux, GnuPG est certainement déjà préinstallé.
Si vous utilisez Windows, Gpg4win permet d'installer à la fois GnuPG et GPA.
Trois autres logiciels fiables : PGP, Acrypt et AxCrypt.
Considérations diverses

N'utilisez pas un logiciel de chiffrement commercial si son code source n'est pas public.
Il existe deux types de cryptographie : la cryptographie symétrique (algorithmes : DES, IDEA,
AES...) et la cryptographie asymétrique (algorithmes : El-Gamal, RSA, DSA...). La longueur de
la clé de chiffrement ne permet pas de comparer la sécurité de deux algorithmes différents. Par
exemple, pour un algorithme de chiffrement symétrique, une clé de 128 bits assure un bon
niveau de sécurité ; mais pour l'algorithme de chiffrement asymétrique RSA, une clé d'au moins
2048 bits est recommandée.
Un bon niveau de chiffrement, c'est bien ; mais, il est nécessaire d'assurer un niveau de sécurité
uniforme à son ordinateur et à ses applications afin d'éviter qu'un tiers récupère votre mot de
passe, par exemple à l'aide d'un troyen.
Lorsque l'on supprime un fichier sur son ordinateur, les données ne disparaissent pas réellement :
seul le chemin vers ces données est effacé. Au cours des réécritures, le fichier finit toutefois par
être "recouvert" par d'autres données. Mais il est possible de récupérer des données même après
une dizaine de réécritures en recourant à des logiciels spécifiques. Il existe des
logiciels netoyeurs de disque dur qui effacent de façon sûre toute trace de vos fichiers : ils
permettent de faire des réécritures aléatoires jusqu'à disparition totale des données.

Et à la protection des communications :

Anonymat

A moins d'être un spécialiste, l'utilisateur est difficilement anonyme sur internet.

En effet, les ordinateurs, et notamment les serveurs web et de messagerie, sont des machines
configurées pour enregistrer énormément de choses. Lorsque vous êtes connecté à internet, une
adresse IP vous est attribuée, un numéro du type 143.57.25.9. Cette adresse est accessible aux
serveurs web et est inscrite dans vos courriels. Votre FAI sait qu'à une heure donnée, telle
adresse IP était attribuée à tel numéro de téléphone, et donc à telle personne. Lorsque vous
visitez un site, ou lorsque vous envoyez un courriel, on peut donc savoir qui vous êtes vraiment.
Il existe des anonymiseurs. Ce sont des portails qui masquent votre adresse IP et présentent la
leur à la place, ce qui empêche les sites que vous visitez de connaître votre adresse IP. Mais ces
portails gardent eux-mêmes les données de connexion.
De plus, la loi oblige les FAI à conserver pendant un an les données de connexion de ses
abonnés.
Enfin, certains processeurs ont une identification statique ; si vous avez une carte réseau, elle a
une adresse MAC : ces adresses sont parfois récupérables.
Pour voir ce qu'un serveur web ordinaire sait sur vous :
CNIL, vos traces
Toutefois, l'anonymat total est rarement nécessaire. Si vous voulez vraiment être anonyme, la
solution la plus simple est d'aller dans un cybercafé ne disposant pas de vidéosurveillance, et de
payer en espèces

Envois par courriel

 Les premières mesures de sécurité concernant les envois par mail relèvent d'une
utilisation prudente.
  Si un courriel n'est pas protégé, n'y inscrivez rien que vous ne mettriez pas sur une carte
postale.
 Si vous utilisez un client de messagerie, désactivez l'interprétation html, le Vbscript et le
JavaScript, et envoyer vos messages en format texte brut
 Dans la mesure du possible, n'envoyez pas de pièces jointes. N'ouvrez pas de pièces
jointes dont vous n'êtes pas sûr de la provenance
 Soyez explicite et identifiez-vous dans vos mails, surtout lorsqu'ils contiennent une pièce
jointe : sinon, le destinataire peut ne pas l'ouvrir par crainte d'un virus.
 Etre prudent vis-à-vis d'un message qui vous demande l'adresse d'un de vos contacts
 Ne pas donner son adresse mail principal, ni son nom, sur les formulaires de sites non
connus.
 Utiliser une adresse mail autre que celle donnée par votre FAI
 Ne pas répondre aux pourriels (mails non sollicités) : cela confirme à l'émetteur que votre
adresse est bonne

Chiffrer les courriels

En termes de confidentialité, un courriel peut être comparé à une carte postale. Lorsque le
courriel quitte la machine d'un expéditeur, il arrive sur un serveur. Puis, il transite par d'autres
serveurs, et arrive finalement sur celui du FAI du destinataire, qui viendra le lire avec son client
de messagerie.
Lors de ce parcours, le mail transite en clair. Autrement dit, un administrateur d' un des serveurs
ou un logiciel peut permettre d'intercepter le mail. Par intercepter, il faut comprendre en fait
copier : en effet, le mail poursuit sa route et le destinataire ne s'aperçoit de rien.
Par la poste, nous avons le choix d'envoyer des cartes postales ou des lettres ; par internet, il est
possible de rendre son mail illisible à toute personne autre que le destinataire.
Pour ce faire, on utilise un logiciel de cryptographie.
C'est l'équivalent d'une lettre cachetée. Mieux même, car pour une lettre, on peut enlever le
cachet, alors que décrypter un mail chiffré avec un bon logiciel peut être impossible, même pour
un Etat ou une organisation disposant de gros moyens.
Le principe de la qualification des messages s'applique comme pour la protection des données : il
n'est pas nécessaire de chiffrer tous ses courriels.
Avec des outils comme GnuPG, et utilisant la cryptographie asymétrique, il faut mettre à la
disposition de ses correspondants ses clés publiques. Il faut aussi vérifier que telle clé appartient
bien à tel correspondant. Cela se fera idéalement en signant (à l'aide de GnuPG) une clé remise
en main propre.
Le logiciel qui a longtemps fait autorité pour chiffrer ses mails est PGP (Pretty Good Privacy)
Une initiative a vu le jour pour lui succéder, GnuPG, basé sur le standard ouvert OpenPGP (RFC
2440).
C'est un logiciel d'une très bonne sécurité, gratuit (licence GPL), et d'une utilisation simple.
Mise en oeuvre :
Sous Windows :
  WinPT est une interface graphique intégrant GnuPG permettant d'utiliser GnuPG
graphiquement et de façon intuitive. Il suffit de l'installer, de générer ses clés et c'est prêt
à l'emploi.
 Des plug-ins existent pour intégrer GnuPG aux logiciels de messagerie les plus courants.
Sous Linux
 GnuPG est généralement préinstallé.
 Vous pouvez installer une interface graphique, par exemple GPA.
Il existe également un service de messagerie en ligne qui permet d'envoyer et de recevoir
des courriels chiffrés et signés : hushmail

Signer les courriels

PGP et GnuPG peuvent servir à chiffrer ses mails, mais aussi à les authentifier. Lorsqu'on envoie
un courriel, le protocole utilisé ne prévoit pas de mesure fiable d'authentification. Ainsi, envoyer
un mail semblant provenir d'une adresse autre que l'adresse réelle est simple.
GnuPG permet de signer son mail : cela consiste à joindre à son message un sceau électronique
calculé à l'aide d'une clé privée qui permettra au destinataire de s'assurer que le courriel émane
bien de la personne dont il connaît la clé publique et que son contenu n'a pas été altéré. De plus,
l'expéditeur ne peut nier avoir envoyé un tel message.
L'utilisation des fonctions de signature est aussi simple que celles de chiffrement.
La principale différence est que pour signer un courriel, on utilise sa clé privée, ce qui suppose
de taper son mot de passe, alors que pour chiffrer, seule la clé publique du correspondant est
requise.
Ces opérations peuvent se faire simultanément.

Quelques règles de protection

 Mettre régulièrement son système d'exploitation et ses applications à jour. La plupart des
éditeurs proposent des mises à jour de sécurité en ligne.
 Naviguer derrière un proxy, si votre fournisseur d'accès internet vous en propose un. Les
avantages sont que votre identification numérique est moins accessible et que la plupart
des proxys ont des fonctionnalités de cache qui améliorent les performances.
 Si on dispose de plusieurs ordinateurs, en dédier un à la connexion internet et un autre,
non connecté, au traitement et au stockage des données.
 Si possible, activer la protection par mot de passe à l'amorçage (pour ce faire, accéder au
BIOS)
 Ne pas utiliser les logiciels les plus répandus (Internet Explorer, Outlook)
Conclusion

C'est une démarche de sécurité physique sur l'ordinateur face à son environnement, pas simple de
concentrer ce sujet en quelques phrases, j'espère néamoins avoir touché du doigt les points
sensibles de la sécurité à ce niveau là. Hormis quelques points bien précis, le sujet s'adresse à
quel que soit le système d'exploitation.

Je vous oblige au minimum à créer 2 mots de passe distincts afin d'accéder à vos données. Est-ce
le prix d'un effort sur-humain pour éviter les déboires, à vous de le décider !

Vous l'aurez compris, sécuriser son matériel ou son système demande des contraintes
supplémentaires, quelques configurations simples et efficaces rebutent la plupart du temps les
mauvaises intentions. La sécurité, c'est un aspect global, tout s'imbrique l'un dans l'autre, le plus
difficile étant de concilier le confort d'utilisation et l'aspect restriction, la démarche n'est pas
simple et se trouve en perpétuelle évolution.