S'abonner Se connecter
Journal d'investigation en ligne et d'information‑hacking
À la Une
Technos
par Jet Lambda

L'école-entreprise aurait besoin d'un bon crash test

Les toutes récentes fuites à gogo relatées par Reflets.info ces derniers jours donnent des vertiges (ici chez Sony, là plus près de chez nous, ou encore ce braquage à l'américaine). Il parait que la CNIL s'intéresse fortement au cas Sony, très emblématique. Des données commerciales à l'air libre, quelle horreur!

Les toutes récentes fuites à gogo relatées par Reflets.info ces derniers jours donnent des vertiges (ici chez Sony, là plus près de chez nous, ou encore ce braquage à l'américaine). Il parait que la CNIL s'intéresse fortement au cas Sony, très emblématique. Des données commerciales à l'air libre, quelle horreur! En revanche, la même Commission continue de donner son feu vert à une foule de traitements nominatifs qui concernent des millions d'enfants mineurs, leurs familles et leurs enseignants, avec les mêmes promesses de "protection des données" et d'«accès sécurisés». Ces processus exploitent des données sensibles qui préparent les élèves à domestiquer leur propre "employabilité" sur le marché du travail. Bref, après les premiers vertiges, la marche forcée de l'informatisation de l'éducation nous donne plutôt la nausée.

Les dernières rencontres du CNRBE, un collectif créé en 2008 pour résister au fichier Base élèves imposé dans le premier degré, ont eu le mérite de donner des pistes pour gripper la machine. Revenons d'abord sur des fuites similaires aux affaires de fichiers commerciaux. Ça s'est passé il y a quelques mois dans les Yvelines. Dans la plus grande indifférence. Des parents FCPE tombent sur des listing bizarres tirés d'un site internet académique. Tout est là, au grand jour. Etats civils, affectations, âges, adresses... La base élèves éventrée, rien que ça.

Y a-t-il une échelle de Richter dans les crash tests internet? Un compte Sony piraté a-t-il le même poids qu'une fiche Base élèves d'un enfant de petite section de maternelle? Allo, M. Türk?

Même si les autorités affirment qu'il n'y a pas de «base nationale» pour Base élèves, mais une trentaine de "bases académiques", l'infraction est constituée. Dans le code pénal, négliger la protection de données personnelles, ça peut valoir jusqu'à 5 ans de prison. Ça vaut autant pour Google, Sony — ou le ministère de l'Education nationale.

Car toutes les applications "partageables" que l'EN met sur orbite en pagaille se basent toutes sur des accès via réseau IP. La sécurité de ces accès a donc fait l'objet de protocoles très sérieux visés par les plus hautes instances. Ainsi est donc née la "clé OTP", pour "One Time Password". Une clé électronique qui affiche un mot de passe différent à tous les instants, si bien qu'on ne pourrait pas accéder frauduleusement à la base avec un mot de passe récupéré sur un coin de table.

Certes, la méthode OTP est théoriquement très fiable — pour protéger les accès. Sauf que la serrure en titane d'une porte blindée n'a jamais empêché de rentrer par une fenêtre. La configuration des serveurs qui héberge ces données sensibles, car touchant potentiellement toute la population, en l'occurence celle d'enfant dès l'âge de 3 ans, pourra toujours nous jouer de sacrés tours.

Manque de bol, la clé OTP a aussi des faiblesses. La société qui a décroché en 2008 l'appel d'offres de fourniture de ces clés OTP, RSA (filiale du géant des services informatiques EMC), a reconnu avoir été victime d'une attaque ciblée tout récemment, comme l'a rappelé la LDH de Toulon. Le boss a l'air tout rassurant, mais ça ne l'est pas du tout. «40 millions de clients concernés» crie la presse spécialisée.

« Nous pensons que l’information piratée ne permet pas de mener avec succès une attaque directe contre l’un de nos clients RSA SecurID, mais l’information dérobée pourrait être utilisée pour réduire l’efficacité de l’authentification ».

Vases communicants

En parcourant le site du ministère de l'Education, la liste des fichiers divers et variés s'affiche sans complexes. Notamment celles réservées à la "scolarité", traduction : fichiers des élèves. Quelques-uns concernent les enseignants — comme lefameux MOSARTet ses listings de grévistes ou des renégats à qui on retire une part de salaire. Pourquoi pas BETOVEN? "Base Elèves, Traitement Ouvert et Vertueux de l’Education Nationale", ça en jette.

Parmi ces belles applications, nombreuses sont celles qui sont le fruit d'interconnexions pas nettes. L'interconnexion, c'est en principe interdit de manière automatique entre deux fichiers, car la règle c'est : une base = une finalité. En juin 2010, le Conseil d'Etat a mouché le ministère de l'Education sur la légalité des deux fichiers de l'école primaire: BE1D, la "base élèves du 1er degré", et la BNIE, la base des identifiants — code matricule des gosses de 3 ans et  plus, le numéro de sécu des tous petits — qui, elle, est bien nationale.

Dans ces deux arrêts très généreux (les irrégularités ont pu être corrigées par simple arrêté), il y a quand même une jurisprudence intéressante : toute "mise en relation" (terme employé par le MEN pour noyer le poisson) doit être interprêtée comme une interconnexion, a dit le Conseil d'Etat. Impossible de jouer sur les mots.

Or le ministère a été autorisé à extraire des données de BE1D — accessible par la commune de résidence de l'enfant — pour alimenter un fichier des "absentéistes", qui sera à son tour communicable à la CAF ou aux services sociaux pour couper les allocs aux "mauvais parents". Tout nouveau, tout frais: une circulaire de janvier 2011 qui élargie aux services du Conseil général (qui assurent l'essentiel de l'aide sociale dans chaque département) l'accès de ce fichier des "mauvais élèves", réservé pour l'instant aux services municipaux.

Même tendance dans le second degré: à partir du fichier équivalent, Sconet, a été créé SDO (suivi de l'orientation), celui des "élèves décrocheurs". Interconnecté d'office avec les fichiers de Pole emploi et ceux des missions locales.

Les interconnexions se ramassent donc à la pelle... L'adoption de la loi Warsmann, qui "simplifie le droit" au "service de l'usager" (sic) en autorisant l'échange de données entre fichiers de toute l'administration, validé par le Conseil constitutionnel le 12 mai, ne va pas arranger les choses.

Le tri informatique au pouvoir

Le dernier avatar de ces "vases communicants informatiques", c'est AFFELNET, "affectation des élèves par le net". Il devient obligatoire pour inscrire son gosse au lycée, mais aussi au collège. "Affelnet-6ème" assure donc la "navette" entre BE1D à la fin du CM2, et le fichier Sconet utilisé en 6ème.

Le CNRBE va bientôt publier un document instructif sur les dessous de ces "affectations électroniques". Car qui dit affectation, dit capacités, résultats, compétences (lire plus loin)... Les collèges et lycées ont besoin de ces éléments individuels pour faciliter les aiguillages. En chantier aussi: Affelnet post BEP et même Affelnet-1ère (dans le cadre de la nième réforme des lycées).

La version 6ème est « expérimentée » depuis 2010 dans 8 départements et dans 6 autres en 2011. Rappelons une autre conséquence des arrêts du Conseil d'Etat: toute "expérimentation" en matière de fichier informatique est non avenue, puisque de "vraies" données sont traitées. Pourtant la technique continue de fonctionner : on expérimente, et on "généralise" sans jamais publier le moindre bilan de cette "expérience". Roulez — ou plutôt "Fichez, jeunesse!"

C'est le cas du "Livret personnel de compétences" (LPC), lancé en catimini de manière expérimentale, selon les cycles, puis généralisé et "globalisé" dans toutes les académies depuis février 2011 au collège, et à la rentrée 2011 en primaire... Dixit le CNRBE dans son appel au boycott de mars 2011:

Ce Livret Personnel de Compétences n’a rien à voir avec les livrets utilisés depuis des années par les enseignants du primaire. Il s’agit du fichier mis en place en ce moment dans les établissements scolaires, celui qui sert à ficher la validation en mode binaire « oui » ou « non » des compétences des paliers 1, 2 et 3 du socle commun des connaissances.

Ce fichage est mis en place dans le plus grand silence : quelques lignes parlant d’une « application numérique » dans une simple circulaire et le tour est joué.

 

Former les soldats de la guerre économique

Si BE1D est le premier maillon du fichage républicain, le LPC c'est l'arme secrète de l'«école-entreprise». Certains y voient un navrant retour au "livret ouvrier"... Les manants.

Pour habituer les enfants, on commence très tôt. Les "évaluations" , en mode binaire — oui ou non — commencent dès la classe de CE1, en cours élémentaire. Ensuite pour les élèves de CM2 (c'était au mois de janvier). Ces évaluations intégreront un jour le LPC. Si les dossiers papiers prédominent aujourd'hui, tout est prévu pour dématérialiser l'ensemble du dispositif. Les versions électroniques s'échangeront grâce aux "vases communicants" décrits plus hauts, avec le haut patronage de la CNIL. Les instits ne sont pas dupes, mais combien vont s'en inspirer?

Cette tendance à l'évaluation permanente n'est pas sans rappeler les "entretiens individuels annuels", bien connus dans le monde de l'entreprise, et maintenant de plus en plus dans les services publics.

Le débat organisé le 7 mai par le CNRBE a bien démontré comment cette approche de classification des "compétences" s'est imposée depuis une quinzaine d'années [*]. D'une part la novlangue toute puissante — ou plutôt la LQR chère à Eric Hazan — a donné à ce mot une dimension avant tout "utilitariste" au sens économique, le savoir devenant un "capital humain" à faire fructifier. Bref, il faut apprendre aux jeunes à gérer leur «employabilité» pour mieux rentrer dans les cases du Pôle emploi.

Christian Laval, prof de socio à Nanterre et chercheur à l’Institut de recherche de la FSU, pointe du doigt le charmant LILIE, un ENT ("espace numérique de travail", accessible autant aux profs, élèves que parents) destiné aux lycées de la Région Ile-de-France, comme exemple-type de cette "école-manageriale", déstructurée, transparente, mais surtout disciplinaire et sécuritaire.

Ficher les compétences, c'est surtout ficher les non-compétences — vive le tri informatique, la discrimination soft qui paraît plus douce que de se faire pirater son numéro de carte bancaire en jouant à la Play Station.

[*] En préambule de ce débat sur le LPC était diffusé un documentaire prémonitoire qui date de 1999, "Le cartable de Big Brother" (RTBF/FR3), expliquant comment ces changements sémantiques et logistiques de la transmission des connaissances étaient prévus de longue date par les instances de l'Union européenne. A voir en totalité ici [warning: bande son médiocre].

(image de une : tmcnews.blogspot.com)

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée