1C-04. Organiser les accès au système

Exposé pratique. Technique…

Sommaire

  • Présentation
  • 1. Présupposés
  • 2. Déclarer un administrateur système
  • 3. Déclarer les autres utilisateurs
  • 4. Dossier Mes documents propre à chaque utilisateur
  • 5. Bonnes pratiques d’accès
    • Un seul administrateur
    • Un accès par utilisateur habituel
    • Un accès Visiteur
    • Laisser la confiance à sa place !

Présentation

Nous allons étudier dans ce chapitre comment prendre soin de votre système en canalisant les utilisateurs. Je commencerai par préciser quelques présupposés pour cadrer le débat. Ensuite, je présenterai les différents rôles d’utilisateur.

1. Présupposés

Quand on envisage les accès à un ordinateur, on part nécessairement d’un ensemble de présupposés qui délimitent le problème. Si ces présupposés sont méconnus, l’ensemble des procédures d’accès risque de présenter des lacunes, et la sécurité du système pourra être mise en défaut. Voici mes présupposés.

Un utilisateur habituel par ordinateur

La plupart du temps, c’est évident. Mais pas toujours : les ordinateurs des bibliothèques pour consulter le catalogue de la bibliothèque ; ceux des centres d’affaires ; des cafés Internet, etc. Par ailleurs, on peut penser, à juste titre, que l’utilisateur habituel laisse sur son ordinateur des informations intimes, qui ne regardent que lui, et qu’on pourrait qualifier, de ce fait, de ‘secrètes’.

Toujours plusieurs utilisateurs sur un ordinateur

Ce présupposé est le pendant du précédent. Je ne connais pas d’ordinateur personnel qui ne soit pas, à l’occasion, utilisé par quelqu’un d’autre que son utilisateur habituel. Cela signifie, entre autres, qu’un ordinateur est toujours appelé à être utilisé par plusieurs personnes différentes, et pas seulement par son utilisateur habituel. Le prétexte est bien souvent la connexion Internet.

Il est possible aussi d’imaginer un ordinateur partagé entre plusieurs utilisateurs habituels, chacun pouvant souhaiter disposer d’un espace privé réservé.

Les partitions d’informations sur un ordinateur

Si on voulait partitionner les informations contenues sur un ordinateur (comme on coupe un fromage en deux, les deux parties constituant l’intégralité du fromage), on pourrait le faire en deux parties : publiques et privées. Les publiques seraient accessibles, sans condition, ni contrainte par tout utilisateur de l’ordinateur ; les privées ne seraient visibles et accessibles que par le ou les utilisateurs autorisés.

On pourrait aussi partitionner les informations suivant un autre critère : les informations modifiables (accessibles en lecture et en écriture), et les informations figées (ou accessibles seulement en lecture, sans possibilité d’être modifiées). Pour être précise, cette partition devrait être faite par utilisateur ou type d’utilisateur.

Un système d’exploitation et des catégories d’utilisateurs

Tout système d’exploitation gère des catégories d’utilisateurs. Pour simplifier, il existe au moins trois catégories d’utilisateurs :

  • L’administrateur a tous les droits. Il a accès aux tables des codes secrets des autres utilisateurs. Il définit les droits d’accès aux dossiers et aux fichiers qu’ils contiennent entre administrateur, propriétaire et public.
  • Le propriétaire est un utilisateur qui a tous les droits sur les dossiers et les fichiers qu’il a créés. En dehors, il est un utilisateur ordinaire.
  • L’utilisateur ordinaire (public) dispose des droits que l’administrateur lui donne pour chaque dossier : visibilité du dossier et de son contenu, lecture seule du contenu d’un fichier, lecture-écriture d’un fichier, gestion du fichier (copier, déplacer, renommer, détruire).

Par exemple, Windows distingue deux catégories d’utilisateurs : les administrateurs et les autres. Il reconnaît les propriétaires et leur attribue des droits spécifiques. Unix et ses dérivés (Linux qui équipe la plupart des serveurs Internet) reconnaît en plus le groupe : ensemble d’utilisateurs partageant les même droits sur certains dossiers ou fichiers.

Tout système dynamique a besoin d’un seul chef

Ce présupposé est essentiel. Je considère un système d’informations comme un système dynamique. Ses outils (les applications) évoluent sans arrêt. Son contenu (les informations) vont et viennent. Ce système a nécessairement besoin d’un chef qui surveille toutes ces évolutions, et qui gère l’ensemble des ressources.

Ce chef sera l’utilisateur habituel attitré. Et si plusieurs utilisateurs habituels utilisent le même ordinateur, théoriquement, il faudra que l’un deux soit reconnu comme seul chef et assume ce rôle.

2. Déclarer un administrateur système

Sous Windows à la mise en route d’un ordinateur, il faut déclarer un premier utilisateur avec les droits d’administrateur.

Désignez cet administrateur par un mot ou des initiales, le plus simplement possible ; ce code est appelé aussi un login (du mot anglais demandant la connexion d’un utilisateur au système). Associez-lui un mot de passe. Et validez. À partir de ce moment, à chaque mise en route de l’ordinateur, le login et le mot de passe seront demandés. De la sorte, le système n’est pas ouvert au premier venu.

Ensuite, vous pourrez créer d’autres utilisateurs, et nous allons y venir. Si plusieurs utilisateurs sont déclarés sur un ordinateur, chaque utilisateur cherchant à mettre en route l’ordinateur devra donner son login et son mot de passe.

Le mot de passe n’est pas obligatoire. Si vous n’en rentrez pas à la création d’un utilisateur, l’accès à l’ordinateur sera ouvert pour cet utilisateur (et tous ceux qui connaissent son login).

Il me paraît impératif que tout administrateur ait un mot de passe.

3. Déclarer les autres utilisateurs

Il faut être administrateur pour pouvoir gérer les autres utilisateurs, c’est-à-dire : en créer de nouveau, modifier leur login et leur mot de passe, en supprimer, ou transformer un utilisateur ordinaire en administrateur ou réciproquement. La gestion des utilisateurs sous Windows est complète et assez souple.

L’administrateur va créer les nouveau utilisateurs. Ensuite, chaque utilisateur pourra gérer lui-même son mot de passe. La création des utilisateurs est accessible dans le Panneau de configuration, ▼ Comptes utilisateurs.

4. Dossier [utilisateur xxx] propre à chaque utilisateur

Chaque utilisateur dispose sous Windows d’un répertoire qui lui est propre, un répertoire dont il est propriétaire. Ce répertoire est dans l’arborescence : disque (C:)/ Users (Utilisateurs)/ [utilisateur xxx]. Le nom exact de ce dossier est le login déclaré à la création de l’utilisateur. Nous avons déjà vu ou nous verrons plus loin dans ce guide, les dossier Mes documents ou encore AppData contenus dans ce dossier utilisateur.

L’utilisateur est propriétaire de son répertoire et du contenu de son arborescence. Il peut à ce titre le partager (totalement ou seulement quelques dossiers) avec d’autres.

5. Bonnes pratiques d’accès

Un seul administrateur

Je préconise un seul administrateur par ordinateur. Si, en raison des circonstances, plusieurs administrateurs sont nécessaires, il est impératif de bien préciser entre eux les prérogatives concernant les mises à jour du système d’exploitation, le nettoyage du système, et la gestion des applications (mises à jour, paramétrages généraux, etc.) Par expérience, je peux dire que le flou à ce niveau est source de problèmes graves sur la pérennité des informations.

Pour préciser mon point de vue, je reconnais dans l’administrateur un opérateur habituel privilégié, son privilège tenant plus au fait qu’il est un habitué du système qu’un spécialiste informatique.

Cet administrateur aura un login certainement connu de tous (il apparaît en clair comme propriétaire de certains dossiers), avec un mot de passe connu de lui seul. Mais pour éviter des soucis en cas de disparition brutale, ce mot de passe devrait être accessible en cas de besoin par une personne de confiance. Windows permet de créer un support externe (clé USB) contenant le mot de passe en cas d’oubli.

Un accès par utilisateur habituel

Si l’ordinateur doit être partagé entre plusieurs utilisateurs habituels, il est nécessaire de créer un utilisateur par utilisateur habituel, avec un login et un mot de passe. Chaque habitué disposera de son répertoire Mes documents et pourra y poser ce qui l’intéresse dans polluer l’espace des autres. Cela me paraît important pour la tranquillité de tous.

Pour confier un ordinateur à un enfant, on peut souhaiter actionner le contrôle parental au profil de l’enfant. Windows permet d’accéder au paramétrage du contrôle parental à partir de la gestion des utilisateurs, chaque utilisateur pouvant avoir un contrôle parental personnalisé.

Un accès Visiteur

Si votre mode de vie incite les personnes qui viennent chez vous à se connecter à Internet à tout moment, il est souhaitable que votre ordinateur dispose d’un accès Visiteur. Ce visiteur aura un login explicite avec un mot de passe banalisé. En leur confiant ces codes d’accès, vous leur offrez Internet, sans risque pour vos informations.

Laissez la confiance à sa place !

Il faut bien en parler ! Beaucoup de personnes rechignent à se protéger comme je le conseille très fortement avec ces login et mots de passe. Au motif qu’il est délicat de ne pas faire confiance à des amis ou que, de toutes façons, jamais personne n’utilisera son ordinateur. Dont acte.

Il est totalement faux de croire qu’aujourd’hui, personne n’utilisera votre ordinateur, à plus forte raison, votre tablette. Ces outils deviennent aussi banals que des crayons à papier !

La confiance, quant à elle, n’a pas grand chose à voir ici. Si vous avez besoin de vous justifier, vous pouvez affirmer que vous prêtez votre ordinateur à des gens de passage que vous ne connaissez pas suffisamment pour leur faire confiance. Vous pouvez aussi considérer que vos informations intimes ne regardent que vous, pas même vos amis, même si un ou deux sont dans certaines confidences. Enfin, le dernier argument, ou le premier en importance, est celui de la sécurité : en protégeant votre système, vous le protégez surtout des mauvaises manipulations ou négligences qui pourraient détruire certaines informations.