Hmm j'ai fait autrement. L'utilisateur ne voit que le fichier index.php. Tout le reste est appelé en fonction de conditions. Or un appel de index.php fait un session_destroy et une vidange des cookies. Comme l'utilisateur n'a pas de moyen de connaître le nom des autres fichiers (ou alors bon courage pour les trouver), on va dire que le degré de sécurité est satisfaisant compte tenu du fait que l'application n'est pas critique.

Je ne peux pas travailler avec "session.gc_maxlifetime entier" tout simplement parce que la dernière opération de l'appli est un upload pouvant aller jusqu'à 4 Mo et les étudiants doivent pouvoir uploader leur document même depuis une ligne RTC (bon, il leur faudra beaucoup de courage, mais c'est spécifié dans le cahier des charges).