Guide basique de fonctionnement du WiFi
En raison des complexités juridiques, aptosid ne fournit sur le Live CD que des logiciels strictement libres, consultez svp ce lien, pour plus d'information sur les sources de firmware non-libres.
Pour faire fonctionner le wifi, Vous avez besoin de vous connecter par cable juste quelques minutes, le temps de télécharger le firmware approprié.
Si une connection cablée n'est pas possible, vous aurez à copier le firmware sur une clé ou un support amovible et l'installer en root à partir du support:
#dpkg -i <firmware.deb>
Pour trouver le firmware approprié tout en n'ayant aucune information (marque, fabricant) sur la puce wifi, utilisez cette commande:
#fw-detect
Vous obtiendrez les informations suivantes:
#apt-get update #apt-get install <nom du firmware> #modprobe -r <nomdumodule> #modprobe <nomdumodule>
Utiliser la ligne apt-get install que donne la commande fw-detect. Après que ce soit fait, vous devrez saisir certaines commandes en console avant de configurer votre périphérique.
Il vous faudra charger le module afin de pouvoir configurer votre périphérique.
En tant que root dans une console, saisir:
modprobe -r <nomdumodule> modprobe <nomdumodulee>
Comme <nomdemodule> utilisez les informations que fw-detect vous aura donné auparavant. Une fonction utile de la console peut vous aider: bash completion:
Si vous n'écrivez que les premières lettres du <nomdumodule> et ensuite tabulez il complètera le nom du module (ex: modprobe ipw TABULATION) Cela vous évite les erreurs de saisie.
Les deux commandes modprobe ne vous donneront aucun message si la configuration est réussie, donc si vous retournez normalement au prompt, c'est que le module est bien chargé.
Vous pouvez le vérifier en faisant:
#lsmod | grep <module>
Maintenant lancez Ceni à partir du Menu-K - Internet ou le lancez-le à partir d'une console en root comme expliqué dans Se connecter en réseau - Ceni. Votre périphérique wifi sera maintenant reconnu et prêt à être configuré.
Pour configurer le WiFi à partir d'une interface graphique voir WiFi - roaming WPA-GUI
Modes opératoires de wpasupplicant pour Debian
En raison des complexités juridiques, aptosid ne fournit sur le Live CD que des logiciels strictement libres, consultez svp ce lien, pour plus d'information sur les sources de firmware non-libres.
Le paquetage Debian wpa supplicant fournit 2 modes opératoires intéressants car intégrés de près à l'infrastructure système de gestion réseau : ifupdown.
Contenus de cette section :
1. Spécifier quelle méthode on utilise avec wpa_supplicant
* Tableau des pilotes supportés
* Recommandations courantes concernant les pilotes
2. Mode #1: mode dirigé (Managed Mode)
* Exemples
* Tableau des options courantes
* Notes importantes sur le mode dirigé
* Comment Ça Marche ?
3. Mode #2: mode vagabond (Roaming Mode)
* wpa_supplicant.conf
* /etc/network/interfaces
* Contrôle du démon Vagabond avec wpa_action
* Réglages de précision du mode vagabond
* Le fichier de logs
* Utiliser des scripts externes de mapping (ex: guessnet)
* /etc/network/interfaces et mapping externe
4. En cas de problème
* ssids cachées
5. Considerations sur la sécurité
* Permissions des fichiers de configuration
1. Spécifier quelle méthode on utilise avec wpa_supplicant
La méthode wext sera utilisée par défaut sur toute interface qui ne mentionnerait pas explicitement le bon type de pilote à 'wpa-driver'. Utilisateurs des noyaux Linux 2.4 et inférieurs au 2.6.14 seront invités à spécifier un pilote de type wpa.
Pilotes supportés
Pilote | Description |
---|---|
wext | Linux wireless extensions (generic) |
Recommandations courantes concernant les pilotes
Toutes les interfaces Intel Pro Wireless (ipw2100, ipw2200 and ipw3945) utilisent la méthode "wext", à part si vous utilisez un noyau antérieur au 2.6.14.
Madwifi permet d'utiliser les deux méthodes 'wext' et 'madwifi', mais 'wext' est préférable. Ceci dit 'madwifi' peut se révèler plus efficace dans certaines circonstances.
Ndiswrapper N'ADMET PLUS l'utilisation de la méthode 'ndiswrapper' depuis sa version 1.16. A contrario il faut lui assigner la méthode 'wext' si vous n'utilisez pas une version dépassée de ndiswrapper..
Réglez le type de pilote dans la strophe dédiée à votre interface par l'option 'wpa-driver'. Par exemple :
iface eth0 inet dhcp wpa-driver wext . . . . . plus d'options
2. Mode #1: Mode Dirigé (Managed Mode)
Ce mode fournit la possibilité de se connecter via wpa_supplicant à un réseau connu. la méthode utilisée est proche de celle du paquetage 'wireless-tools'. Chaque élément requis pour établir la connexion comporte un préfixe "wpa-" suivi par la valeur utilisée pour cet élément.
Exemples de fichier wpa.conf en Mode #1 - Exemple 1.
Avertissement: la valeur 'wpa-psk' n'est valide que si: 1. Il s'agit d'une chaîne caractères texte (ascii) comportant entre 8 et 63 caractères en tout 2. Il s'agit d'une chaîne hexadécimale de 64 caractères # Connexion à un point d'accès de ssid 'NETBEER' cryptée de type # WPA-PSK/WPA2-PSK, utilisant la méthode 'wext' de wpa_supplicant, # puisqu'aucune option de wpa-driver n'est spécifiée # La phrase de passe est entrée comme chaîne de caractères ASCII. # DHCP est utilisé pour obtenir une adresse IP. iface wlan0 inet dhcp wpa-ssid NETBEER # phrase de passe en mode texte wpa-psk PlainTextSecret # Connexion à un point d'accès de ssid 'homezone' avec un type d'encryptage # WPA-PSK/WPA2-PSK, utilisant le gestionnaire de pilote 'wext' de wpa_supplicant, # Le psk est fourni sous forme de chaîne hexadécimale. #SDHCP est utilisé pour obtenir une adresse IP. iface wlan0 inet dhcp wpa-driver wext wpa-ssid homezone # le psk hexadécimal est obtenu par encodage de phrase de passe texte wpa-psk 000102030405060708090a0b0c0d0e0f101112131415161718191a1b1c1d1e1f # Connexion à un point d'accès de ssid 'HotSpot1' et de bssid '00:1a:2b:3c:4d:5e' # avec un type d'encryptage WPA-PSK/WPA2-PSK, utilisant le gestionnaire de pilote # 'madwifi' de wpa_supplicant. Le phrase de passe est entrée comme chaîne # de caractères ASCII. Une adresse réseau statique est utilisée. iface ath0 inet static wpa-driver madwifi wpa-ssid HotSpot1 wpa-bssid 00:1a:2b:3c:4d:5e # plaintext passphrase wpa-psk madhotspot wpa-key-mgmt WPA-PSK wpa-pairwise TKIP CCMP wpa-group TKIP CCMP wpa-proto WPA RSN # static ip settings address 192.168.0.100 netmask 255.255.255.0 network 192.168.0.0 broadcast 192.168.0.255 gateway 192.168.0.1 # Un fichier utilisateur wpa_supplicant.conf est utilisé pour eth1. # Toute l'information réseau est contenue dans ce fichier wpa_supplicant.conf # Aucun type de pilote-wpa n'est spécifié, et donc wext sera utilisé #DHCP est utilisé pour obtenir une adresse IP. iface eth1 inet dhcp wpa-conf /path/to/wpa_supplicant.conf
Tableau des options les plus courantes
Un bref sommaire des options 'wpa-' que vous pouvez utiliser dans la strophe dédiée aux contrôleurs réseau sans fil du fichier /etc/network/interfaces. Reportez-vous à la section "Notes importantes relatives au mode dirigé" pour une information se rapportant aux valeurs 'wpa-' valides et invalides
Avertissement : Toutes ces valeurs SoNt SenSibLes À lA CAssE dEs caRactÈRes !
Élément Exemple de valeur Description ======= ============= =========== wpa-ssid chainedetexteplein Fixe le ssid de votre réseau wpa-bssid 00:1a:2b:3c:4d:5e Adresse Mac de votre point d'accès wpa-psk 0123456789...... Clé wpa de votre partage. Utilisez wpa_passphrase(8) pour générer le psk d'après votre phrase de passe wpa-key-mgmt NONE, WPA-PSK, WPA-EAP, Liste des protocoles utilisables pour IEEE8021X authentifier votre clé wpa-group CCMP, TKIP, WEP104, Liste des groupes de partage WPA WEP40 utilisables wpa-pairwise CCMP, TKIP, NONE Liste des partages pairwise utilisables avec WPA wpa-auth-alg OPEN, SHARED, LEAP Liste des algorythmes d'authentification permis avec IEEE 802.11 wpa-proto WPA, RSN Liste des protocoles supportés wpa-identity monnomentouteslettres ID de l'administrateur (Authentification EAP) wpa-password monmotdepasse Votre mot-de-passe d'administrateur (Authentification EAP) wpa-scan-ssid 0 ou 1 Alterne la détection des ssid utilisant des appels à des trames de vérification spécifiques (Probe Request frames) wpa-ap-scan 0 ou 1 ou 2 Ajuste la méthode de détection de wpa_supplicant
les fonctionnalités complètes de wpa-cli(8) doivent être implémentées. Tout élément manquant est considéré comme bug et doit être signalé comme tel. Les patches sont toujours des bienvenus.
Notes importantes relatives au mode dirigé (Managed Mode)
La plupart des options 'wpa-' exigent qu'au moins un ssid soit spécifié. Seulement quelques unes des options auront un effet général. Ce sont 'wpa-ap-scan' and 'wpa-preauthenticate'.
Toute option 'wpa-' spécifiée dans le fichier interfaces(5) est suffisante pour activer le démon wpa_supplicant.
La routine ifupdown de wpa_supplicant s'adapte au 'type" d'entrée qu'elle considère valide pour chaque option. Par exemple, si elle rencontre un champ en texte plein admissible pour une valeur spécifique, elle l'encadre automatiquement de guillemets avant de passer sa valeur à wpa_cli, qui à son tour ajoûte l'entrée au bloc réseau en construction via le socket wpa_supplicant ctrl_interface.
Lancer ifup manuellement avec l'option '--verbose' vous révèlera toutes les commandes utilisées pour créer un bloc réseau avec wpa_cli. Si la valeur utilisée pour toute option de type wpa-* dans /etc/network/interfaces est entourée de guillemets, il ne pourra s'agir que d'une entrée de type "texte" ou "ascii".
Certaines entrées sont formées d'une simple chaine hexadécimale (par exemple celle de la clé wpa-wep-key*).La valeur 'type' de l'option wpa-psk, est déterminée par un simple examen de toute valeur hexadécimale comportant plus d'un seul caractère.
Comment ça marche
Comme indiqué plus haut, tout élément se rapportant à wpa_supplicant est précédé d'un préfixe 'wpa-'. Chaque élément se rapporte à une propriété de wpa_supplicant décrite dans les pages de manuel ($ man) wpa_supplicant.conf(5), wpa_supplicant(8) and wpa_cli(8).
Le requiérant (supplicant) est lancé sans pré-configuration aucune à la base, et wpa_cli construit une configuration réseau en utilisant les paramètres que lui adressent les lignes 'wpa-*'.
Au départ le couple wpa_supplicant/wpa_cli ne fixent pas les propriétés du contrôleur wifi (comme le ferait iwconfig avec l'essid, par exemple), il informe plutôt le contrôleur de l'existence d'un point d'accès auquel il est possible de se connecter. Et lorsque le contrôleur wifi a balayé le secteur et détecté qu'un tel point d'accès est effectivement disponible, il règle alors ses propriétés.
Le script qui lance tout ce travail est:
/etc/wpa_supplicant/ifupdown.sh /etc/wpa_supplicant/functions.sh
ifupdown.sh: Il est exécuté par run-parts, qui à son tour est invoqué par ifupdown durant les phases 'pre-up', 'pre-down' et 'post-down'
Au cours de la phase 'pre-up', un démon wpa_supplicant est chargé, suivi d'une série de commandes wpa_cli configurant un réseau en fonction des options 'wpa-' utilisées dans /etc/network/interfaces pour le contrôleur physique.
Si wpa-roam, le mode vagabond, est utilisé, un démon wpa_cli est chargé durant la phase 'post-up'.
Durant la phase 'pre-down', le démon wpa_cli est tué s'il existe.
À la phase 'post-down', c'est le démon wpa_supplicant qui est tué.
3. Mode #2: Mode Itinérant (Roaming Mode)
Un mode itinérant simplifié est intégré par ce paquetage. Il se présente sous la forme d'un script de comportement pour wpa_cli, /sbin/wpa_action, et prend le contrôle d'ifupdown une fois activé. La page man de wpa_action(8) décrit avec force détails ses caractéristiques techniques.
Pour activer l'interfaçage vagabond, vous adapterez à votre configuration la strophe suivante dans votre fichier /etc/network/interfaces :
iface eth1 inet manual wpa-driver wext wpa-roam /chemin/vers/wpa_supplicant.conf
Deux démons sont invoqués dans l'exemple ci-dessus : wpa_supplicant et wpa_cli. Ceci est nécessaire pour obtenir une wpa_supplicant.conf. Un bon point de départ est fourni sous la forme un fichier d'exemple de configuration :
# copiez ce modèle dans /etc/wpa_supplicant/ cp /usr/share/doc/wpasupplicant/examples/wpa-roam.conf \ /etc/wpa_supplicant/wpa_supplicant.conf # ne permettez qu'à root de lire et écrire ce fichier chmod 0600 /etc/wpa_supplicant/wpa_supplicant.conf IMPORTANT: il est fondammental que le fichier wpa_supplicant.conf utilisé se réfère à une 'ctrl_interface' afin qu'un socket de communication puisse être créé pour être relié via wpa_cli (wpa-roam daemon). Dans le modèle de configuration évoqué ci-dessus, /usr/share/doc/wpasupplicant/examples/wpa-roam.conf, la valeur neutre 'default' a été assignée.
Vous devrez éditer ce fichier de configuration, en y ajoûtant tous vos blocs réseau connus. Si vous ne comprenez pas ce que celà veut dire, commencez par lire la page man de wpa_supplicant.conf(5).
Pour chaque réseau, vous devez spécifier une option specifique pour 'id_str'. Il sera spécifié dans une simple serie de texte. Cette serie de texte donne la base du profil réseau; elle synchronise avec une interface logique définie dans le fichier interfaces(5). Lorsqu'aucun 'id_str' n'est définie, wpa_action utilisera l'interface logique de base. L'interface de base peut etre definie par l'option 'wpa-default-iface'.
Qu'est-ce que cela signifie? Illustrons le par un extrait tiré du manuel wpa_action(8).
exemple de wpa_supplicant.conf
wpa_supplicant.conf example: network={ ssid="foo" key_mgmt=NONE # cette id_str notifiera à /sbin/wpa_action 'ifup lafac' (d'activer 'lafac') id_str="lafac" } network={ ssid="bar" psk=123456789... # cette id_str notifiera à /sbin/wpa_action 'ifup maison_static' (d'activer 'maison_static') id_str="maison_static" } network={ ssid="" key_mgmt=NONE # pas de paramètre 'id_str' , /sbin/wpa_action 'ifup default' (activera 'default') }
exemple de fichier /etc/network/interfaces
exemple de /etc/network/interfaces: # le démon itinérant DOIT utiliser la méthode manuelle inet # 'allow-hotplug' ou 'auto' garantissent que le démon démarre automatiquement allow-hotplug eth1 iface eth1 inet manual wpa-driver wext wpa-roam /etc/wpa_supplicant/wpa_supplicant.conf # aucun id_str spécifié, 'default' est utilisé comme cible de mapping en réserve iface default inet dhcp # id_str="lafac" iface uni inet dhcp # id_str="maison_static" iface home_static inet static address 192.168.0.20 netmask 255.255.255.0 network 192.168.0.0 broadcast 192.168.0.255 gateway 192.168.0.1
Une interface logicielle est activée par ifup et désactivée par ifdown, à mesure que wpa_supplicant s'associe ou se dissocie d'un ssid ou d'un réseau lui étant associé par l'option 'id_str' utilisée dans le fichier de configuration wpa_supplicant.conf .
Un log des actions réalisées par /sbin/wpa_action est créé à l'adresse /var/log/wpa_action.log . Joignez ce log en fichier joint si vous rapportez un bug.
Configurations avec wpa_supplicant, wpa_cli et wpa_gui
Les processus wpa_supplicant peuvent etre modifiés par les membres du groupe "netdev" si on a utilisé la configuration itinérante de l'exemple précédent (ou par les membres specifiés par GROUP= crtl_interface).
# la velaur default est assignée à ctrl_interface dans le fichier de modèle # /usr/share/doc/wpasupplicant/examples/wpa-roam.conf ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev Pour interagir avec supplicant, les interfaces wpa_cli (mode console) et wpa_gui (Gui QT) ont été fournies. Avec ces dernières vous pourrez vous connecter, déconnecter, ajouter/supprimer des blocs réseau, fixer des paramètres de sécurisation, etc..
Contrôle du Démon itinérant avec wpa_action
Une fois le Démon itinérant lancé il assure le contrôle de ifupdown. Cela implique que wpa_cli appelle ifup quand wpa_supplicant s'est correctement associé à un point d'accès, et appelle ifdown quand la connexion doit être rompue ou fermée.
Tant que le Démon itinérant est actif il ne faut pas tenter de contrôler manuellement ifupdown, mais au contraire utiliser les commandes fournies à cet effet par /sbin/wpa_action pour arrêter et relancer le Démon itinérant. Par exemple, pour arrêter le démon itinérant sur le contrôleur 'eth1' :
wpa_action eth1 stop
Et quand il est nécessaire de mettre-à-jour le Démon itinérant avec de nouveaux paramètres détaillés, ceci peut s'opérer sans l'arrêter. On édite le fichier de configuration /etc/network/interfaces en y intégrant les nouveaux détails sur la configuration spécifique au réseau concerné (pointé par son 'id_str') et l'on relance simplement le démon comme ceci :
wpa_action eth1 reload
Pour accéder à une information précise et détaillée sur tout ce que wpa_action peut faire, lisez la page man de wpa_action(8)
Réglages de précision de l'itinérance
Vous pouvez rencontrer des situations où de multiples points d'accès sont à proximité immédiate. Vous pourrez choisir manuellement auquel d'entre eux vous préférerez vous connecter, à l'aide de wpa_cli ou wpa_gui, ou assigner à chaque réseau son propre niveau de priorité. Ceci s'opère au moyen de l'option 'priority' de wpa_supplicant.conf.
Le fichier de log
Un journal de l'activité (log) du démon itinérant s'enregistre dans /var/log/wpa_action.log. Il logue les informations suivantes :
*date et heure
*nom de l'interface et des événements d'activité
*valeurs des variables d'environnement (WPA_ID, WPA_ID_STR, WPA_CTRL_DIR)
*exécutions des commandes ifupdown
*états de wpa_cli (basé sur WPA-PSK, le réseau peut afficher différentes informations)
*bssid
*ssid
*id
*id_str
*pairwise_cipher
*group_cipher
*key_mgmt
*wpa_state
*ip_address
Utilisation de scripts de mapping externes (ex: guessnet)
Outre ses possibilités internes pour mapper les interfaces logiques au moyen de 'id_str', wpa_action peut appeler des scripts externes. Un script de mapping doit retourner le nom de l'interface logique devant être activée. Tout script de mapping utilisant le mécanisme de mapping de ifupdown (cf man interfaces) devrait pouvoir fonctionner s'il est invoqué par wpa_action.
Pour appeler un script de mapping, vous ajoûterez une ligne 'wpa-mapping-script nom-du-script' dans la strophe d'interface correspondant au contrôleur itinérant (roaming device). (Il se peut que vous ayez à specifier le chemin absolu conduisant à ce script)
Le contenu des lignes commençant par wpa-map est adressé au script de mapping. Du fait qu'ifupdown ne tolère qu'une unique ligne wpa-map, vous pouvez rajouter un numéro à wpa-map pour entrer des lignes supplémentaires, de cette façon :
iface wlan0 inet manual wpa-driver wext wpa-roam /etc/wpa_supplicant/wpa_supplicant.conf wpa-mapping-script guessnet-ifupdown wpa-map0 maison wpa-map1 travail wpa-map2 ecole # ... lignes wpa-mapX additionnelles désirées
Par défaut le script de mapping ne sera utilisé que lorsqu'aucun 'id_str' n'est disponible pour le réseau concerné. Si vous préférez désactiver complètement l''id_str' de réserve pour utiliser exclusivement le script de mapping externe, utilisez l'option 'wpa-mapping-script-priority 1' pour passer outre au comportement fixé par défaut.
Si le script de mapping retourne une chaîne vide wpa_action utilisera l'interface en réserve fixée par défaut, à moins qu'une alternative soit définie à l'option 'wpa-roam-default-iface'.
Ci-dessous, figure un exemple utilisant guessnet-ifupdown en tant que script externe de mapping.
exemple de fichier /etc/network/interfaces avec mapping externe
# exemple de fichier /etc/network/interfaces avec mapping externe : allow-hotplug wlan0 iface wlan0 inet manual wpa-driver wext wpa-roam /etc/wpa_supplicant/wpa_supplicant.conf wpa-roam-default-iface default-wparoam wpa-mapping-script guessnet-ifupdown wpa-map default: default-guessnet wpa-map0 home_static wpa-map1 work_static # ecole ne peut être choisie que si une 'id_str' y correspond iface ecole inet dhcp # resolvconf dns-nameservers 11.22.33.44 55.66.77.88 iface maison_static inet static address 192.168.0.20 netmask 255.255.255.0 network 192.168.0.0 broadcast 192.168.0.255 gateway 192.168.0.1 test peer address 192.168.0.1 mac 00:01:02:03:04:05 iface travail_static inet static address 192.168.3.200 netmask 255.255.255.0 network 192.168.3.0 broadcast 192.168.3.255 gateway 192.168.3.1 test peer address 192.168.3.1 mac 00:01:02:03:04:05 iface default-guessnet inet dhcp iface default-wparoam inet dhcp
Dans cet exemple wpa_action n'utilisera guessnet que pour sélectionner une interface logique quand aucune option 'id_str' n'a été fournie par le réseau en cours dans wpa_supplicant.conf.
Les lignes 'wpa-map' fournissent à guessnet les interfaces logiques à tester ainsi que l'interface à utiliser par défaut si tous les test échouent. Les lignes 'test' correspondant à chaque interface logique, sont utilisées par guessnet pour déterminer si la connexion à ce réseau est ou non effective. Par exemple, guessnet choisira l'interface logique 'maison_static' si un contrôleur utilisant l'IP 192.168.0.1 et l'adresse MAC 00:01:02:03:04:05 est détecté. Si aucun test ne donne de résultat alors guessnet configurera l'interface 'default-guessnet'.
Lisez les pages man de guessnet(8) svp, pour plus d'information.
4. En cas de problème
Afin d'adapter et de régler la connexion, ses associations et les problèmes d'authentification, il est suggéré de démarrer :
wpa_cli -i <interface>
dans une console distincte, avant de lancer l'interface. On peut alors utiliser la commande
level 0
la première, afin de voir tous les messages de déboguage. Utilisez ensuite
ifup --verbose <interface>
pour obtenir les messages du script démarrant wpasupplicant.
Ssids cachées
Pour référence, consultez #358137. Pour pouvoir vous associer à des ssids cachées, essayez de vous régler sur 'ap_scan=1' dans la section globale et sur 'scan_ssid=1' dans la section de bloc réseau de votre fichier de configuration wpa_supplicant.conf. Si vous utilisez le mode Dirigé (managed mode), vous pouvez tenter de le faire en entrant ces strophes :
iface eth1 inet dhcp wpa-conf managed wpa-ap-scan 1 wpa-scan-ssid 1 # ... vos options additionnelles de réglage
Si l'on en croit #368770, l'association peut prendre très longtemps à s'associer avec WEP. Dans certains cas, régler dans le fichier de configuration 'ap_scan=2' (ou utiliser la strophe 'wpa-ap-scan 2', qui revient au même) peut sensiblement aider à accélérer l'association.
5. Considerations sur la sécurité
Permission des fichiers de configuration
Il est important de préserver les PSK autres informations sensibles se rapportant à la configuration de votre réseau privé, en s'assurant que les fichiers de configuration importants où figurent ces informations ne soient accessibles en lecture, que pour leur seul propriétaire. Par exemple :
chmod 0600 /etc/network/interfaces # substituez-y le chemin de votre fichier wpa_supplicant.conf chmod 0600 /etc/wpa_supplicant/wpa_supplicant.conf
Par défaut, /etc/network/interfaces est accessible en lecture à tout le monde, et c'est donc un fichier inadapté à contenir des clés secrètes et autres mots-de-passe.