<h1 align="center">Securit des comptes</h1>
  
<ul>
  <li><a href="#defs">Glossaire</a></li>
  <li><a href="#allacc">Tous les comptes doivent tre protgs</a></li>
  <li><a href="#importance">Importance des mots de passe</a> </li>
  <li><a href="#good">Les bons mots de passe</a> 
    <ul>
      <li><a href="#choosing">Ides pour choisir un bon mot de passe</a></li>
    </ul>
  </li>
  <li><a href="#bad">Les mauvais mots de passe</a></li>
  <li><a href="#length">Longueur du mot de passe</a></li>
  <li><a href="#multiple">Un mot de passe ne devrait servir qu' un seul compte</a></li>
  <li><a href="#thirdp">vitez de communiquer vos mots de passe  un tiers par mgarde</a></li>
  <li><a href="#thirdp2">Demande de votre mot de passe par des tiers</a></li>
  <li><a href="#unreq">Rappels de mot de passe non sollicits</a></li>
  <li><a href="#frames">Accs  des zones protges de DMOZ depuis un environnement de cadres</a></li>
  <li><a href="#storing">Stockage de votre mot de passe</a></li>
  <li><a href="#noshare">Les comptes ne doivent pas tre partags par plusieurs personnes</a></li>
  <li><a href="#shared">Accs  DMOZ depuis des ordinateurs partags par plusieurs personnes</a></li>
  <li><a href="#thirdp3">Conduite  tenir dans le cas o des diteurs savent ou souponnent qu'un tiers connat leur mot de passe</a></li>
  <li><a href="#seealso">Voir aussi</a></li>
</ul>
<p>Les diteurs de DMOZ peuvent accder  des informations confidentielles (notes d'diteur, contenu des forums de discussion, logs d'dition, etc.) et ont la possibilit de modifier les donnes du rpertoire. En contrepartie, il est de leur responsabilit de prendre toutes prcautions raisonnables pour assurer la scurit de leur compte. Ce qui suit a t crit dans le but de les y aider.</p>
  
<h2><a name="defs"></a>Glossaire</h2>
  <ul>
    <li> <b>Compte</b> - Les privilges associs dans DMOZ  des lments d'accrditation donns.</li>
    <li><b>DMOZ</b> - Le systme situ  <a href="http://dmoz.org/">http://dmoz.org/</a>.</li>
    <li><b>lments d'accrditation</b> - Un nom d'diteur et le mot de passe correspondant ou encore toute combinaison de ces deux lments.</li>
    <li><b>Mot de passe</b> - Le mot confidentiel dont la saisie, associe au nom d'utilisateur correspondant, est requise pour authentifier un diteur dans le systme DMOZ.</li>
    <li><b>Nom d'utilisateur</b> - Aussi appel "nom d'diteur", c'est l'identifiant unique qui est utilis conjointement avec le mot de passe correspondant pour authentifier un diteur dans le systme DMOZ.</li>
    <li><b>Client web</b> - Le dispositif utilisateur employ pour accder  DMOZ. Les navigateurs Web comme celui de Netscape sont des clients web.</li>
    <li><b>Tiers</b> - Individu ou groupe non autoriss  accder  DMOZ et/ou au compte en question. Sont en gnral mal intentionns.</li>
    <li><b>Zone d'accs restreint</b> - Toute partie de DMOZ dont l'accs exige que l'utilisateur s'authentifie correctement au pralable.</li>
  </ul>
  
<h2><a name="allacc"></a>Tous les comptes doivent tre protgs</h2>
  
<p>Aucun compte, mme s'il donne que des accs de niveau trs bas, ne devrait tre considr
  comme insignifiant et par consquent non concern par les suggestions ci-dessous. Toute voie 
  donnant  des attaquants un accs privilgi  DMOZ doit tre protge.</p>

  
<h2><a name="importance"></a>Importance des mots de passe</h2>
  <p>Dans le contexte de DMOZ, les mots de passe des diteurs sont la seule protection contre les
    accs non-autoriss aux comptes. Il est donc vital de les garder confidentiels et de ne 
    jamais les rvler  une tierce partie, intentionnellement ou non.</p>
  <p>Il est par ailleurs vital que les diteurs commencent par choisir des mots de passe
    srs.</p>
  
<h2><a name="good"></a>Les bons mots de passe</h2>
  <p>Les bons mots de passe sont difficiles  deviner. Les meilleurs sont difficiles  deviner
    pour ces raisons :</p>
  

<ul>
  <li>Ils comportent des lettres majuscules et minuscules.</li>
  <li>Ils comportent des chiffres et/ou des signes de ponctuation en mme temps que des
    lettres.</li>
  <li>Ils peuvent comporter des caractres de contrle et/ou des espaces.</li>
  <li>Ils sont faciles  retenir et n'ont donc pas besoin d'tre crits. Ils sont longs de sept
    ou huit caractres.</li>
  <li>Ils peuvent tre entrs rapidement pour ne pas tre intercepts par quelqu'un qui
    regarderait par-dessus votre paule.</li>
</ul>

<p>Il est recommand aux diteurs de changer leur mot de passe au moins tous les deux mois.</p>
<h2><a name="choosing"></a>Ides pour choisir un bon mot de passe</h2>
  <p>Prenez deux mots brefs et combinez-les avec un caracre spcial ou un chiffre, comme
    <samp>dog8Store</samp> ou <samp>montrE-moi</samp>. Composez un acronyme qui a un sens spcial 
    pour vous, comme <samp>Memlvfpt!</samp> (Mozzie est mon lzard vert favori, pour
    toujours !) ou <samp>uhcepp*M</samp> (Un humain, c'est plus plus malin). 
  </p>

  
<h2><a name="bad"></a>Les mauvais mots de passe</h2>
  <p>vitez de choisir ce genre de mots de passe :</p>
  <ul>
    <li>Votre nom, le nom de votre conjoint ou de votre compagnon ou compagne.</li>
    <li>Le nom de votre animal familier ou de votre enfant.</li>
    <li>Les noms d'amis ou de collgues proches.</li>

    <li>Les noms de vos personnages de fiction favoris.</li>
    <li>Le nom de votre patron.</li>
    <li>Un nom de personne, quel qu'il soit.</li>
    <li>Le nom du systme d'exploitation dont vous vous servez.</li>
    <li>Des informations provenant de votre profil ou de votre site personnel si vous en avez
      un.</li>
    <li>Le nom de votre poste de travail en rseau.</li>

    <li>Votre numro de tlphone ou le numro d'immatriculation de votre voiture.</li>
    <li>Une partie de votre numro de scurit sociale, quelle qu'elle soit.</li>
    <li>Une date de naissance, quelle qu'elle soit.</li>
    <li>Toute information facile  obtenir vous conernant (comme votre adresse ou le nom de votre 
      universit ou cole).</li>
    <li>Des mots comme <samp>wizard</samp>, <samp>guru</samp>, <samp>gandalf</samp>, etc.</li>

    <li>Tout nom d'utilisateur de votre machine sous quelque forme que ce soit (tel quel, en
      majuscules, redoubl, etc.).</li>
    <li>Un mot d'un dictionnaire (franais ou non).</li>
    <li>Des noms de lieux ou des noms propres quelconques.</li>
    <li>De simples suites de lettres prises sur le clavier, comme <samp>azerty</samp> ou
      <samp>uiop</samp>.</li>

    <li>Des mots de passe que vous avez vu indiqus comme de "bons" exemples.</li>
    <li>Les mmes  l'envers.</li>
    <li>Tous ce qui prcde, prcd ou suivi d'un seul chiffre.</li>
  </ul>
  <p><b>Si le mot de passe d'un diteur est conforme  l'une des dfinitions d'un "mauvais" mot
    de passe, il lui est fortement recommand de le changer immdiatement pour un "bon" mot de
    passe.</b> 
  </p>
  
<h2><a name="length"></a>Longueur du mot de passe</h2>

  <p>Seuls les huit premiers caractres des mots de passe sont significatifs. Cela signifie que
    le systme considre le mot de passe  <samp>coefficient</samp> comme exactement identique 
    <samp>coefficientdex</samp>. L'exception  cette rgle est le mot de passe demand pour
    modifier votre profil (donc galement votre mot de passe), qui le mot de passe complet. Les
    diteurs doivent en tenir compte lorsqu'ils choississent et entrent leur mot de passe.</p>
  
<h2><a name="multiple"></a>Un mot de passe ne devrait servir qu' un seul compte</h2>
  <p>Les diteurs ne devraient employer leurs mots de passe DMOZ actuels ou passs sur aucun
    autre systme.</p>
  
<h2><a name="thirdp"></a>vitez de communiquer vos mots de passe  un tiers par mgarde</h2>

  <p>Lorsque les diteurs veulent accder  des zones de DMOZ  accs restreint, la plupart des
    clients web leur demandent de s'identifier au moyen d'une bote de dialogue. Il est important
    que les diteurs ne la remplissent pas aveuglment, car cela pourrait entraner la
    divulgation des informations correspondantes  une tierce partie. Les diteurs devraient
    toujours lire attentivement les informations donnes par la bote de dialogue. De nombreux
    clients y indiquent le nom de domaine du systme qui rclame que vous vous identifiez. Cette
    ligne devrait contenir "dmoz.org" ou "netscape.com" ; les variantes de ces noms de
    domaines euvent tre aux mains de tierces parties, qui ne devraient pas se voir transmettre
    les lments permettant d'identifier un diteur.</p>
  <p>Certains outils produits par des diteurs ncessitent d'accder  des zones protges de
    DMOZ. Pour viter de confier leur mot de passe ODP  une adresse qui n'est forcment sre,
    les diteurs devraient toujours ouvrir une session directement dans l'ODP avant d'employer
    ces outils.</p>
  
<h2><a name="thirdp2"></a>Demande de votre mot de passe par des tiers</h2>
  <p>Nul n'a de raison valable de demander qu'un diteur lui communique son mot de passe ni de
    demander qu'un diteur change son mot de passe pour un autre indiqu par la personne qui
    s'adresse  lui. Les membres du staff ont dj accs aux mots de passe des diteurs et
    aucun diteur ne demandera jamais  connatre le vtre. Si un diteur reoit une demande de
    communication de son mot de passe, il doit purement et simplement l'ignorer.</p>
  
<h2><a name="unreq"></a>Rappels de mot de passe non sollicits</h2>
  <p>Des tiers peuvent se servir de la fonction de rappel du mot de passe pour demander qu'il
    soit envoy  l'adresse de courriel associe  ce compte. Le compte de courriel indiqu par
    les diteurs dans leur profil doit donc tre sr et accessible uniquement au titulaire du
    compte. Il n'est jamais appropri de servir de comptes de courriel partags pour DMOZ.</p>

  <p>Si des diteurs reoivent un rappel de mot de passe qu'ils n'ont pas demand, ce n'est pas
    ncessairement un motif pour eux de s'inquiter -- le mot de passe a t envoy  l'diteur
    concern et non  l'metteur de la demande. Il est possible que le rappel ait t demand
    par accident.</p>
  
<h2><a name="frames"></a>Accs  des zones protges de DMOZ depuis un environnement de cadres</h2>
  <p>Il est fortement recommand aux diteurs de n'accder  aucun zone rserve de DMOZ depuis
    un environnement de cadres ("frames"), c'est--dire un jeu de cadres ralis par un tiers
    (mme si c'est quelqu'un de confiance) qui appelle une URL pointant sur une zone rserve
    de DMOZ depuis un cadre. On a dcouvert de nombreuses vulnrabilits des navigateurs qui
    permettent  un tiers mal intentionn d'influencer les interactions entre un utilisateur et
    un site sans rapport avec lui ; il est probable que de nombreux clients ptissent de
    ce genre de failles dans le futur, si ce n'est maintenant. Si les diteurs tiennent 
    accder  DMOZ depuis un environnement de cadres, il leur est recommand d'enregistrer le
    jeu de cadres et tous les fichiers associs sur un disque local et de l'utiliser  partir
    de ce disque.</p>

<h2><a name="storing"></a>Stockage de votre mot de passe</h2>
<p>Il est conseill aux diteurs de mmoriser leur mot de passe et de le fournir via leur client Web sur demande de dmoz.org. Le mot de passe ne devrait jamais tre crit sur papier, ni stock dans un calepin lectronique, ni transmis  une autre destination que dmoz.org sous aucune forme et par aucun moyen, qu'il soit lectronique ou mcanique, qu'il s'agisse de photocopie, d'enregistrement ou de quoi que ce soit d'autre. Il est en outre demand que les mots de passe ne soient pas transmis au sein des URL sous quelque forme que ce soit, spcialement la variante <samp>http://username:password@dmoz.org/</samp>.</p>
  
<h2><a name="noshare"></a>Les comptes ne doivent pas tre partags par plusieurs personnes</h2>
<p>Les comptes d'diteurs sont crs  raison d'un par personne. Il est interdit aux diteurs de dtenir plusieurs comptes. Par consquent, ils ne doivent pas non plus partager leur compte avec des tiers, mme s'il s'agit de personnes en qui ils ont confiance. Si un non-diteur souhaite avoir accs  DMOZ, il faut lui conseiller de faire acte de candidature pour avoir un compte en propre.</p>
  
<h2><a name="shared"></a>Accs  DMOZ depuis des ordinateurs partags par plusieurs personnes</h2>
<p>La mthode d'authentification employe par DMOZ a pour consquence que de nombreux clents Web placent les lments d'accrditation de l'utilisateur en cache de faon  les rutiliser. Typiquement, cette information n'est efface que le client est ferm. Le rsultat, c'est si des diteurs accdent  DMOZ au moyen d'ordinateurs ou de terminaux qu'ils partagent avec d'autres personnes ils doivent des prcautions particulres pour s'assurer que leurs lments d'accrditation sont effacs du client une fois leur session termine ou s'ils leur ordinateur ou leur terminal sans surveillance. La manire d'y parvenir change en fonction de la plate-forme employe et les diteurs sont encourags  contacter leur administrateur systme s'ils ne sont familiers avec ce processus.</p>
<p>Si le client employ sait l'utiliser, DOZ fournit un mcanisme de "logout" qui tente d'effacer du client les lments d'accrditation de l'diteur. Pour l'utiliser, les diteurs doivent se connecter  l'URL <a href="http://editors.dmoz.org/logout/">http://editors.dmoz.org/logout/</a> et saisir un mot de passe incorrect dans le formulaire d'authentification.</p>
  
<h2><a name="thirdp3"></a>Conduite  tenir dans le cas o des diteurs savent ou souponnent qu'un tiers connat leur mot de passe</h2>
<p>Si un diteur souponne qu'un tiers peut s'tre procur leur mot de passe, il doivent le changer immdiatement. S'ils souponnent que leurs lments d'accrditation ont t obtenus par tromperie ou dans l'intention de nuire, il leur est conseill de contacter <a href="mailto:staff@dmoz.org">staff@dmoz.org</a> et / ou un <a href="http://dmoz.org/edoc/editall.html">diteur meta</a> en fornissant les dtails appropris, y compris les ventuels courriels associs avec leurs en-ttes.
<i>N.B. </i>: Aucun document transmis par un diteur ne doit comporter son mot de passe ; si c'est le cas, il faut l'effacer.</p>
<p>Si le mot de passe d'un diteur ne fonctionne plus ou si l'diteur pense que son compte de courriel a t pirat, il doit immdiatement envoyer un courriel au staff et  un diteur meta en demandant de l'aide.</p>
  
<h2><a name="seealso"></a>Voir aussi :</h2>
<ul>
  <li> 
    <p><a href="http://editors.dmoz.org/editors/chpass.cgi">Changer de mot de passe</a> - Permet aux diteurs de changer leur mot de passe.
  <li> 
    <p><a href="http://editors.dmoz.org/editors/editprofile.cgi">Editer son profil</a> - Permet aux diteurs de changer l'adresse de courriel  laquelle les rappels du mot de passe sont envoys.
  <li> 
    <p><a href="http://dmoz.org/cgi-bin/forgot.cgi">Mot de passe oubli</a> - Permet aux diteurs de demander que leur mot de passe soit envoy  l'adresse de courriel associe  leur compte. 
  <li>
    <p><a href="http://www.ja.net/CERT/Belgers/UNIX-password-security.html">UNIX 
      Password Security</a> - Article trs complet de Walter Belgers.
</ul>