<h1 align="center">Securit des comptes</h1>
  
<ul>
  <li><a href="#defs">Glossaire</a></li>
  <li><a href="#allacc">Tous les comptes doivent tre protgs</a></li>
  <li><a href="#importance">Importance des mots de passe</a> </li>
  <li><a href="#good">Les bons mots de passe</a> 
    <ul>
      <li><a href="#choosing">Ides pour choisir un bon mot de passe</a></li>
    </ul>
  </li>
  <li><a href="#bad">Les mauvais mots de passe</a></li>
  <li><a href="#length">Longueur du mot de passe</a></li>
  <li><a href="#multiple">Un mot de passe ne devrait servir qu' un seul compte</a></li>
  <li><a href="#thirdp">vitez de communiquer vos mots de passe  un tiers par mgarde</a></li>
  <li><a href="#thirdp2">Demande de votre mot de passe par des tiers</a></li>
  <li><a href="#unreq">Rappels de mot de passe non sollicits</a></li>
  <li><a href="#frames">Accs  des zones protges de DMOZ depuis un environnement de cadres</a></li>
  <li><a href="#storing">Stockage de votre mot de passe</a></li>
  <li><a href="#noshare">Les comptes ne doivent pas tre partags par plusieurs personnes</a></li>
  <li><a href="#shared">Accs  DMOZ depuis des ordinateurs partags par plusieurs personnes</a></li>
  <li><a href="#thirdp3">Conduite  tenir dans le cas o des diteurs savent ou souponnent qu'un tiers connat leur mot de passe</a></li>
  <li><a href="#seealso">Voir aussi</a></li>
</ul>
<p>Les diteurs de DMOZ peuvent accder  des informations confidentielles (notes d'diteur, contenu des forums de discussion, logs d'dition, etc.) et ont la possibilit de modifier les donnes du rpertoire. En contrepartie, il est de leur responsabilit de prendre toutes prcautions raisonnables pour assurer la scurit de leur compte. Ce qui suit a t crit dans le but de les y aider.</p>
  
<h2><a name="defs"></a>Glossaire</h2>
  <ul>
    <li> <b>Compte</b> - Les privilges associs dans DMOZ  des lments d'accrditation donns.</li>
    <li><b>DMOZ</b> - Le systme situ  <a href="http://dmoz.org:8080/">http://dmoz.org:8080/</a>.</li>
    <li><b>lments d'accrditation</b> - Un nom d'diteur et le mot de passe correspondant ou encore toute combinaison de ces deux lments.</li>
    <li><b>Mot de passe</b> - Le mot confidentiel dont la saisie, associe au nom d'utilisateur correspondant, est requise pour authentifier un diteur dans le systme DMOZ.</li>
    <li><b>Nom d'utilisateur</b> - Aussi appel "nom d'diteur", c'est l'identifiant unique qui est utilis conjointement avec le mot de passe correspondant pour authentifier un diteur dans le systme DMOZ.</li>
    <li><b>Client web</b> - Le dispositif utilisateur employ pour accder  DMOZ. Les navigateurs Web comme celui de Netscape sont des clients web.</li>
    <li><b>Tiers</b> - Individu ou groupe non autoriss  accder  DMOZ et/ou au compte en question. Sont en gnral mal intentionns.</li>
    <li><b>Zone d'accs restreint</b> - Toute partie de DMOZ dont l'accs exige que l'utilisateur s'authentifie correctement au pralable.</li>
  </ul>
  
<h2><a name="allacc"></a>Tous les comptes doivent tre protgs</h2>
  
<p>Aucun compte, mme s'il donne que des accs de niveau trs bas, ne devrait tre considr
  comme insignifiant et par consquent non concern par les suggestions ci-dessous. Toute voie 
  donnant  des attaquants un accs privilgi  DMOZ doit tre protge.</p>

  
<h2><a name="importance"></a>Importance des mots de passe</h2>
  <p>Dans le contexte de DMOZ, les mots de passe des diteurs sont la seule protection contre les
    accs non-autoriss aux comptes. Il est donc vital de les garder confidentiels et de ne 
    jamais les rvler  une tierce partie, intentionnellement ou non.</p>
  <p>Il est par ailleurs vital que les diteurs commencent par choisir des mots de passe
    srs.</p>
  
<h2><a name="good"></a>Les bons mots de passe</h2>
  <p>Les bons mots de passe sont difficiles  deviner. Les meilleurs sont difficiles  deviner
    pour ces raisons :</p>
  

<ul>
  <li>Ils comportent des lettres majuscules et minuscules.</li>
  <li>Ils comportent des chiffres et/ou des signes de ponctuation en mme temps que des
    lettres.</li>
  <li>Ils peuvent comporter des caractres de contrle et/ou des espaces.</li>
  <li>Ils sont faciles  retenir et n'ont donc pas besoin d'tre crits. Ils sont longs de sept
    ou huit caractres.</li>
  <li>Ils peuvent tre entrs rapidement pour ne pas tre intercepts par quelqu'un qui
    regarderait par-dessus votre paule.</li>
</ul>

<p>Il est recommand aux diteurs de changer leur mot de passe au moins tous les deux mois.</p>
<h2><a name="choosing"></a>Ides pour choisir un bon mot de passe</h2>
  <p>Prenez deux mots brefs et combinez-les avec un caracre spcial ou un chiffre, comme
    <samp>dog8Store</samp> ou <samp>montrE-moi</samp>. Composez un acronyme qui a un sens spcial 
    pour vous, comme <samp>Memlvfpt!</samp> (Mozzie est mon lzard vert favori, pour
    toujours !) ou <samp>uhcepp*M</samp> (Un humain, c'est plus plus malin). 
  </p>

  
<h2><a name="bad"></a>Les mauvais mots de passe</h2>
  <p>vitez de choisir ce genre de mots de passe :</p>
  <ul>
    <li>Votre nom, le nom de votre conjoint ou de votre compagnon ou compagne.</li>
    <li>Le nom de votre animal familier ou de votre enfant.</li>
    <li>Les noms d'amis ou de collgues proches.</li>

    <li>Les noms de vos personnages de fiction favoris.</li>
    <li>Le nom de votre patron.</li>
    <li>Un nom de personne, quel qu'il soit.</li>
    <li>Le nom du systme d'exploitation dont vous vous servez.</li>
    <li>Des informations provenant de votre profil ou de votre site personnel si vous en avez
      un.</li>
    <li>Le nom de votre poste de travail en rseau.</li>

    <li>Votre numro de tlphone ou le numro d'immatriculation de votre voiture.</li>
    <li>Une partie de votre numro de scurit sociale, quelle qu'elle soit.</li>
    <li>Une date de naissance, quelle qu'elle soit.</li>
    <li>Toute information facile  obtenir vous conernant (comme votre adresse ou le nom de votre 
      universit ou cole).</li>
    <li>Des mots comme <samp>wizard</samp>, <samp>guru</samp>, <samp>gandalf</samp>, etc.</li>

    <li>Tout nom d'utilisateur de votre machine sous quelque forme que ce soit (tel quel, en
      majuscules, redoubl, etc.).</li>
    <li>Un mot d'un dictionnaire (franais ou non).</li>
    <li>Des noms de lieux ou des noms propres quelconques.</li>
    <li>De simples suites de lettres prises sur le clavier, comme <samp>azerty</samp> ou
      <samp>uiop</samp>.</li>

    <li>Des mots de passe que vous avez vu indiqus comme de "bons" exemples.</li>
    <li>Les mmes  l'envers.</li>
    <li>Tous ce qui prcde, prcd ou suivi d'un seul chiffre.</li>
  </ul>
  <p><b>Si le mot de passe d'un diteur est conforme  l'une des dfinitions d'un "mauvais" mot
    de passe, il lui est fortement recommand de le changer immdiatement pour un "bon" mot de
    passe.</b> 
  </p>
  
<h2><a name="length"></a>Longueur du mot de passe</h2>

  <p>Seuls les huit premiers caractres des mots de passe sont significatifs. Cela signifie que
    le systme considre le mot de passe  <samp>coefficient</samp> comme exactement identique 
    <samp>coefficientdex</samp>. L'exception  cette rgle est le mot de passe demand pour
    modifier votre profil (donc galement votre mot de passe), qui le mot de passe complet. Les
    diteurs doivent en tenir compte lorsqu'ils choississent et entrent leur mot de passe.</p>
  
<h2><a name="multiple"></a>Un mot de passe ne devrait servir qu' un seul compte</h2>
  <p>Les diteurs ne devraient employer leurs mots de passe DMOZ actuels ou passs sur aucun
    autre systme.</p>
  
<h2><a name="thirdp"></a>vitez de communiquer vos mots de passe  un tiers par mgarde</h2>

  <p>Lorsque les diteurs veulent accder  des zones de DMOZ  accs restreint, la plupart des
    clients web leur demandent de s'identifier au moyen d'une bote de dialogue. Il est important
    que les diteurs ne la remplissent pas aveuglment, car cela pourrait entraner la
    divulgation des informations correspondantes  une tierce partie. Les diteurs devraient
    toujours lire attentivement les informations donnes par la bote de dialogue. De nombreux
    clients y indiquent le nom de domaine du systme qui rclame que vous vous identifiez. Cette
    ligne devrait contenir "dmoz.org" ou "netscape.com" ; les variantes de ces noms de
    domaines euvent tre aux mains de tierces parties, qui ne devraient pas se voir transmettre
    les lments permettant d'identifier un diteur.</p>
  <p>Certains outils produits par des diteurs ncessitent d'accder  des zones protges de
    DMOZ. Pour viter de confier leur mot de passe ODP  une adresse qui n'est forcment sre,
    les diteurs devraient toujours ouvrir une session directement dans l'ODP avant d'employer
    ces outils.</p>
  
<h2><a name="thirdp2"></a>Demande de votre mot de passe par des tiers</h2>
  <p>Nul n'a de raison valable de demander qu'un diteur lui communique son mot de passe ni de
    demander qu'un diteur change son mot de passe pour un autre indiqu par la personne qui
    s'adresse  lui. Les membres du staff ont dj accs aux mots de passe des diteurs et
    aucun diteur ne demandera jamais  connatre le vtre. Si un diteur reoit une demande de
    communication de son mot de passe, il doit purement et simplement l'ignorer.</p>
  
<h2><a name="unreq"></a>Rappels de mot de passe non sollicits</h2>
  <p>Des tiers peuvent se servir de la fonction de rappel du mot de passe pour demander qu'il
    soit envoy  l'adresse de courriel associe  ce compte. Le compte de courriel indiqu par
    les diteurs dans leur profil doit donc tre sr et accessible uniquement au titulaire du
    compte. Il n'est jamais appropri de servir de comptes de courriel partags pour DMOZ.</p>

  <p>Si des diteurs reoivent un rappel de mot de passe qu'ils n'ont pas demand, ce n'est pas
    ncessairement un motif pour eux de s'inquiter -- le mot de passe a t envoy  l'diteur
    concern et non  l'metteur de la demande. Il est possible que le rappel ait t demand
    par accident.</p>
  
<h2><a name="frames"></a>Accs  des zones protges de DMOZ depuis un environnement de cadres</h2>
  <p>Il est fortement recommand aux diteurs de n'accder  aucun zone rserve de DMOZ depuis
    un environnement de cadres ("frames"), c'est--dire un jeu de cadres ralis par un tiers
    (mme si c'est quelqu'un de confiance) qui appelle une URL pointant sur une zone rserve
    de DMOZ depuis un cadre. On a dcouvert de nombreuses vulnrabilits des navigateurs qui
    permettent  un tiers mal intentionn d'influencer les interactions entre un utilisateur et
    un site sans rapport avec lui ; il est probable que de nombreux clients ptissent de
    ce genre de failles dans le futur, si ce n'est maintenant. Si les diteurs tiennent 
    accder  DMOZ depuis un environnement de cadres, il leur est recommand d'enregistrer le
    jeu de cadres et tous les fichiers associs sur un disque local et de l'utiliser  partir
    de ce disque.</p>

<h2><a name="storing"></a>Stockage de votre mot de passe</h2>
<p>Il est conseill aux diteurs de mmoriser leur mot de passe et de le fournir via leur client Web sur demande de dmoz.org. Le mot de passe ne devrait jamais tre crit sur papier, ni stock dans un calepin lectronique, ni transmis  une autre destination que dmoz.org sous aucune forme et par aucun moyen, qu'il soit lectronique ou mcanique, qu'il s'agisse de photocopie, d'enregistrement ou de quoi que ce soit d'autre. Il est en outre demand que les mots de passe ne soient pas transmis au sein des URL sous quelque forme que ce soit, spcialement la variante <samp>http://username:password@dmoz.org/</samp>.</p>
  
<h2><a name="noshare"></a>Les comptes ne doivent pas tre partags par plusieurs personnes</h2>
  <p>Editor accounts are created on a 'one account per person' basis. Editors 
    are forbidden to have multiple accounts. As a result, editors must not share 
    their accounts with any third parties, even if said party is trusted. If a 
    non-editor wishes to have access to DMOZ, they should be encouraged to apply 
    for an account of their own. </p>
  
<h2><a name="shared"></a>Accs  DMOZ depuis des ordinateurs partags par plusieurs personnes</h2>
  <p>The method of authentication employed by DMOZ results in many Web clients 
    caching the user's credentials for future requests from the same realm. Typically, 
    this information is only cleared from memory when the client is exited. As 
    a result, if editors access DMOZ via shared computers / terminals they should 
    take extra precautions to ensure that their credentials are cleared from their 
    client after they have completed their session, or left their computer / terminal 
    unattended. The manner in which this process can be effected will vary by 
    platform, and if editors are not familiar with this process, they are encouraged 
    to contact the system's administrator. </p>
  <p>If the client supports it, DMOZ provides a 'logout' mechanism that attempts 
    to remove the editor's credentials from their client. To use this mechanism, 
    editors should access the URL <a href="http://dmoz.org:8080/logout/">http://dmoz.org:8080/logout/</a> 
    and when prompted enter an incorrect password. </p>
  
<h2><a name="thirdp3"></a>Conduite  tenir dans le cas o des diteurs savent ou souponnent qu'un tiers connat leur mot de passe</h2>
  <p> If editors have any suspicion that a third party may have acquired their 
    password, they should change it immediately. If editors suspect that their 
    credentials have been obtained deceitfully or with malicious intent, they 
    are encouraged to contact <a href="mailto:staff@dmoz.org">staff@dmoz.org</a> 
    and / or a <a href="http://dmoz.org:8080/edoc/editall.html">meta editor</a> with 
    the relevant details, including any related e-mails complete with headers. 
    <i>Note</i>: No document that editors forward should contain their actual 
    password; if they do, the password should be deleted. </p>
  <p>If an editor's password no longer works, or if they think their e-mail account 
    has been hijacked, they should send an immediate e-mail to staff and a meta 
    editor requesting assistance. </p>
  
<h2><a name="seealso"></a>Voir aussi :</h2>
<ul>
  <li> 
    <p><a href="http://dmoz.org:8080/editors/chpass.cgi">Change Password</a> - Allows 
      editors to change their account's password.
  <li> 
    <p><a href="http://dmoz.org:8080/editors/editprofile.cgi">Edit Profile</a> - Allows 
      editors to change the e-mail address their password reminders are sent to.
  <li> 
    <p><a href="http://dmoz.org:8080/cgi-bin/forgot.cgi">Forgot your Password</a> - 
      Allows editors to request that their password is sent to the e-mail address 
      associated with their account. 
  <li>
    <p><a href="http://www.ja.net/CERT/Belgers/UNIX-password-security.html">UNIX 
      Password Security</a> - Comprehensive paper by Walter Belgers.
</ul>