L’insécurité (informatique) à l’école, pas vraiment une grande cause nationale

Les services de l’Education nationale seraient-ils en pleine communication de crise? Il semble que le ministère encourage les académies à rappeler à leurs correspondants certaines « consignes de sécurité ». Rien à voir avec une nouvelle marque d’extincteur. Ça concerne plutôt la protection des accès aux fichiers informatisés des élèves.

Témoin, cette lettre des services informatiques du rectorat de Nantes, qui coiffe les inspections académiques de 5 départements des Pays de la Loire, envoyée par mail aux « utilisateurs-otp » vendredi 20 mai. Il est question de la société RSA et de son petit gadget, la fameuse « clé OTP », qui sert de sésame électronique à toutes les écoles de France pour se « brancher » sur ses fichiers d’élèves.

Comme Reflets.info l’indiquait dans ce billet, la société RSA a subi des attaques sérieuses sur ce mode d’authentification présenté pourtant comme « infaillible » dans l’Education nationale. Le responsable de l’Académie de Nantes parle d’une « tentative d’intrusion » qui « montre que les pirates n’hésitent pas à s’attaquer aux dispositifs d’authentification forte » (sic). Avant de rappeler trois règles d’or:

  • Ne notez pas votre code PIN à proximité de votre clé ;
  • Ne laissez pas votre clé sans surveillance, ne la prêtez pas ;
  • Ne communiquez à personne votre code PIN, votre numéro de série ou le code généré par la clé et ce sous aucun prétexte

Ces règles font sourire. D’abord, elles ressemblent à un beau parapluie juridique, histoire de montrer que l’institution agit face à un risque potentiel. C’est oublier que les « utilisateurs de clé RSA », dans chaque académie, il y en a plusieurs dizaine de milliers… Ce sont surtout des enseignants: les directeurs d’école maternelles et primaires, chargés de remplir le fichier BE1D (Base élèves 1er degré).

C’est sur eux que cette même institution se déleste de la responsabilité juridique d’une éventuelle fuite de données. Car ces personnels pédagogiques — qui ont autre chose à faire, et ça va empirer compte tenu des suppressions de poste qui s’accumulent — doivent signer une « décharge » lorsqu’on leur remet leur « clé OTP », indiquant qu’ils sont responsables, jours et nuits, même en dehors des heures de service, de l’intégrité de cette serrure électronique. « L’utilisateur de la clé de sécurité est entièrement responsable de l’usage qui en est fait », peut-on lire dans cette « décharge ».

Cette clé fait d’ailleurs l’objet de pression sur les directeurs réfractaires. Nous ressortons de nos archives — en ayant gommé toute trace nominative — cette belle lettre d’une inspection académique à un directeur d’école en mars 2009. Cet enseignant, en quelques lignes, est taxé de vilain irresponsable passible d’une « faute professionnelle » pour avoir refusé de signer la décharge sur la clé OTP. En bas de la lettre, en lettres manuscrites : « copie au dossier professionnel ». Traduction : cet acte d’irrédentisme sera conservé dans son dossier disciplinaire.

Si les recommandations des services informatiques font sourire, c’est aussi que cette clé change déjà de mains très souvent au sein des écoles. Il ne faudrait donc jamais la laisser « sans surveillance », bref: « ne la prêtez pas ». Curieux alors de savoir que dans de nombreux cas, cette clé est confiée temporairement à de simples animateurs TICE (assistants informatiques chargés de donner des « coups de mains » aux directeurs), voire des EVS (emplois vie scolaire, jobs précaires dont l’Education est friande), se servent de cette clé pour y entrer les données des élèves. Quand le directeur refuse de toucher à Base élèves, cette facilité est d’autant plus encouragée par sa hiérarchie.

La fin de la lettre de l’Académie de Nantes évoque en effet un scénario catastrophe digne d’un bon roman d’espionnage:

«Accordez une vigilance particulière, si ces éléments vous sont demandés par courriel, par formulaire ou par téléphone sous des prétextes de sécurité ou de maintenance. Aucun service de l’Éducation nationale, aucune autorité administrative ou judiciaire n’est autorisé à vous demander ce type d’informations.»

Il est donc curieux que le ministère encourage les « utilisateurs » à une « vigilance particulière », tout en dérogeant régulièrement à ces règles pour contourner le refus légitime d’un directeur d’école.

Insécurité à géométrie variable

Nous reposons la même question que la semaine dernière. Alors que de nouvelles failles de sécurité de données commerciales font grand bruit dans la presse — l’affaire TMG, sous-traitant de l’agence Hadopi, ou encore ces 35 millions de profils Google à poil sur internet —, que faut-il faire pour que les informations nominatives de millions d’enfants fassent l’objet d’autant de sollicitudes?

Il est particulièrement choquant que la CNIL se démène pour afficher sa réactivité, en se déplaçant illico, suite aux révélations de Reflets.info, dans les locaux de TMG pour éclaircir cette fuite. Et qu’elle médiatise le but et les conditions de sa visite de courtoisie alors que l’auteur de l’infraction, la société TMG elle-même, ose annoncer « porter plainte pour vol de données »

En revanche, pour protéger les données personnelles des établissements scolaires, pas de panique. Tout va bien dans le meilleur de l’administration. Pour créer ce type de fichiers pouvant concerner toute une classe de la population, le ministère peut toujours utiliser le formulaire « déclaration simple », alors que le régime d’autorisation — obligatoire pour des fichiers de données « sensibles » (santé, opinions, etc.) — serait autrement plus indiqué pour éviter les abus.

C’est la règle : on déroge, on s’arrange, on « expérimente ». Le fichier AFFELNET, par exemple, sas informatique entre Base élèves (fin de CM2) et Sconet (entrée en 6ème), a été lancé dans quelques sites « pilotes », avant d’être généralisé et « légalisé » par « déclaration simple » en 2010. En tous cas bien avant le tampon de la CNIL, survenu seulement l’été dernier, comme le révèle aujourd’hui le CNRBE, Collectif national de résistance à Base élèves.

Il est tout aussi paradoxal de voir que la « vie privée » et les « droits et devoirs » sur les réseaux font partie des « compétences » que doivent acquérir les enfants dans le cadre du B2I (Brevet informatique et internet). Extrait du B2I « niveau école primaire »:

  • 2.1) Je connais les droits et devoirs indiqués dans la charte d’usage des TIC de mon école;
  • 2.2) Je respecte les autres et je me protège moi-même dans le cadre de la communication et de la publication électroniques; […]

Pas mal pour préparer les momes au langage juridico-managerial. Combien de profs ont lu cette charte à leurs élèves tout en s’assurant qu’ils ont bien compris? [Début de réponse dans les commentaires ci-dessous…]

Le B2I « niveau collège » ajoute quelques notions plus complexes qui touchent directement à la sécurité informatique. Nous avons souligné en gras les passages les plus flous et subjectifs.

2.1) Je connais les droits et devoirs indiqués dans la charte d’usage des TIC et la procédure d’alerte de mon établissement.

2.2) Je protège ma vie privée en ne donnant sur internet des renseignements me concernant qu’avec l’accord de mon responsable légal.

2.3) Lorsque j’utilise ou transmets des documents, je vérifie que j’en ai le droit.

2.4) Je m’interroge sur les résultats des traitements informatiques (calcul, représentation graphique, correcteur…).

2.5) J’applique des règles de prudence contre les risques de malveillance (virus, spam…).

2.6) Je sécurise mes données (gestion des mots de passe, fermeture de session, sauvegarde).

2.7) Je mets mes compétences informatiques au service d’une production collective.

Pas de doute. Pour mettre tout ça en pratique, mieux vaut envoyer les enfants en stage obligatoire chez Google, Yahoo ou Facebook, et ce dès l’entrée en 6ème. Surtout ne pas les mettre en contact avec l’animateur TICE qui garde la clé OTP du directeur dans sa poche.

«Dis, papa, c’est quoi une clé otépé?»

Twitter Facebook Google Plus email


11 thoughts on “L’insécurité (informatique) à l’école, pas vraiment une grande cause nationale”

  1. A vérifier, mais je crois que l’application du régime d’autorisation pour les fichiers pouvant concerner une part substantielle de la population française a été supprimée lors de la modification de la loi en 2004.

    Ainsi les fichiers de l’éducation nationale relèvent bien du régime général.

    1. Oui, en effet, c’est bien là l’énorme forfaiture de la CNIL, qui a donc approuvé — via son actuel président Alex Türk, rapporteur au Sénat du projet de modification de la loi de 78 — une modification si substantielle du mode de déclaration des fichiers d’Etat. J’ai donc modifié l’article en conséquence. JetL

  2. Moi aussi ça me fait bien marrer le B2I… Je suis en 3e et il faut le valider pour passer le brevet et il y a quelques mois j’ai demandé la validation de la moitié des items (aujourd’hui ils sont tous validées) et à chaque fois faut se justifier pour dire qu’on « sais faire ».
    Le truck c’est qu’on en parle quasiment pas avec les profs comme avec cet item par exemple :
    « Je connais les droits et devoirs indiqués dans la charte d’usage des TIC et la procédure d’alerte de mon établissement. »
    Quasiment aucun élève de ma classe ne sait réellement ce que ça signifie et pourtant la plupart l’ont validé. C’est les professeurs qui peuvent valider (pour moi ça a été ma prof de sport…) et donc le B2I ne sert à rien.
    http://imageshack.us/m/844/6315/itemj.png

    1. L’article et le commentaire que je commente à mon tour sont vraiment du grand n’importe quoi.
      Même s’il y a un peu de vrai saupoudré à droite et à gauche.

      Oui, l’EN ouvre son parapluie dès que possible.
      C’est pas bien, on est d’accord !
      Ce n’est pas la seule institution à le faire et non, ce n’est pas un argument pour laisser faire en l’état.

      Dénoncer, critiquer, c’est bien mais proposer des pistes pour faire avance la charrue, c’est mieux.
      Elles sont où les pipistes ?

      – Que feraient d’intéressant les AVS (qui n’ont à faire devant un ordi de direction), les AE « informatique » des données de bases élèves ?
      Les revendre commercialement ? AHAHA
      servir d’indic aux services de police ou de la justice ? AHAHA
      Non vraiment… c’est risible.
      Même si la sécurité informatique n’est pas à négligée, il faut se concentrer sur les vrais risques et éviter la parano.

      Une fuite grave (de quel type ?) venant d’un personnel sera vite tracée par les services d’enquête compétent.
      On sait où trouver ces personnels.
      Une fuite venant d’attaques sournoises de pirate sera plus difficile à remonter.

      Concernant le B2i,
      joedu12 nous apprends que c’est sa prof de sport qui a validé.
      Il ne dit pas si elle est son prof principale.
      De toute façon, si elle en a les droits, pourquoi ne pourrait-elle pas validé cet item ?
      Il dit aussi que quasiment aucun élève de sa classe ne sait de quoi parle cet item.
      S’il sait lire et s’il était un peu curieux, il trouverait de lui même la charte informatique qui est affichée dans la salle informatique ou disponible s’il la demande.
      De là à conclure que le b2i ne sera à rien…
      je serai curieux de savoir ce qu’il veut faire de sa vie.
      Le b2i ne se résume pas à cet item et je peux vous garantir que si l’ensemble de la population passait le b2i niveau collège, il y aurait beaucoup de recalés.
      Après à savoir s’il sert au quotidien dans chaque profession, c’est comme le fait d’avoir appris les fleuves et rivières et les départements… ca ne sert à rien la géo !

      Ceci dit, je lui souhaite une bonne profession (pas comme la mienne)

      Je suis anim’ TICE en primaire et je peux vous assurer qu’en ce qui me concerne, mais je ne dois pas être le seul à essayer de bien faire mon travail avec passion à défaut de salaire, que le passage sur les droits et devoirs sur le net est un passage obligé pour moi face à ces élèves qui ont entre 6 et 10 ans.
      Notion abordée plutôt vers 8 ans (CE2) et rappelée, confirmée et validée (ou pas) en CM2.

      Je peux vous dire aussi que le b2i, malgré la pression de EN/IA, n’est pas validé pour tous lors de leur entrée en 6e.
      Les élèves qui refusent (par fainéantise ou par rébellion) de suivre les règles apprises et qu’ils maitrisent pourtant, ces élèves là n’auront pas tous les items validés par leurs enseignants qui, en règle générale, suivent mes recommandations.

      Le taux d’échec est quand même faible, moins de 5%, et ne pas l’avoir ne pénalise pas pour l’entrée en 6e.

      Mon directeur ne doit pas me faire confiance…
      Je n’ai jamais eu cette clé sous le nez. Ou alors il fait bien son travail.

  3. Quoi qu’on fasse, toujours aller persécuter les autres pour leur reprocher ce que l’on pourrait vous objecter à vous même.

    C’est une règle d’or.

    Il faut juste réussir à faire oublier:
    – qui décide
    – ce qui a ou non une vraie conséquence
    – une certaine dose de réalisme

    Voilà cette règle aujourd’hui appliquée en matière de sécurité informatique, ou l’on demande aux gens de faire attention comme dans un film d’espion, alors que structurellement il ne peut y avoir que des fuites (le nombre de gens en contact avec un moyen d’accès à des informations sensibles semble important).

  4. Vous vous trompez encore… Cela ne concerne pas les fichiers d’état, mais les fichiers pouvant concerner une grande partie de la population.

    Par ailleurs après vérification, cette disposition n’a jamais fait partie de la loi, même avant 2004. Elle faisait partie du projet de loi de 2004, mais n’a pas survécu aux débats parlementaires, ce qui est bien dommage.

    Votre conclusion me semble donc un peu hâtive…

    1. j’ai reformulé le passage pour bien traduire le fond de ma pensée : l’important c’est de dire que ces fichiers obligatoires, qui ne font aucune distinction entre les individus (d’où la notion « ensemble de la population »), qui plus est lorsqu’il s’agit d’enfants de 3 ans, DOIVENT être (ou devraient être) AU MOINS soumis au régime d’autorisation, point barre. Si ça ne tenait qu’à moi, il n’y en aurait pas du tout, de fichiers obligatoires. Re-point barre.

  5. bonjour tout le monde.
    Je voudrais clarifier certains propos des clef OTP.
    J’ai moi meme travaillé sur ces clefs, j’ai travaillé sur les différents portails de l’académie de Nantes, et aussi développé certaines applications nationales pour l’ENT (pas précisé ici alors que c’est LE plus gros portail de l’académie pour les étudiants, profs, directeurs, etc.)
    Je suis d’accord que les clefs ne sont pas infaillibles (cryptage RSA 64bits…) mais la structure informatique logicielle et matérielle derrière est énorme et largement sécurisée, tout est loggé et enregistré, au moindre pb, on switch sur des « slave » en live.
    Pour l’ENT, IBM travaille tres étroitement sur le projet, tellement que l’on nous refuse l’accès a certaines données qui devraient etre accessible UNIQUEMENT a l’académie…
    De plus, pour les histoires de « papiers a signer », il faut tout de meme savoir que les personnes utilisant les clefs ne sont pas forcement habituées a l’informatique, certaines écoles ne « connaissent » pas le mot sécurité… donc on est bien obligé de leur rappeler certaines choses « logiques » dans ces protocoles via des conférences et stages pour toutes personnes des établissements qui le souhaite).
    Ok c’est compliqué, c’est lourd de charge mais on n’a pas le choix. On a tout de meme bcp de protections derrière, au moindre changement « bizarre » de données on appelent les établissements, et on demande des vérifications d’identité, ainsi que le « pourquoi du comment ».
    Si risque il y a, on résilie la clef et on change celle-ci en quelques minutes.
    Pour rappel, ces portails, clef OTP, Sconet etc, ne sont pas obligatoires pour les établissements privés. Mais je peux vous assurer que parmi les prestataires privé, malgré tout le ministère est le mieux adapté. On a bcp de problemes de compabilité avec certain prestataires, ce qui demande énormement de travail sur les bases de données pour rendre fonctionnel ces procedés.
    Je finirais par dire que l’on demande au personnel et étudiant de connaître certaines choses que personnes ne lira, mais ils va de meme avec tous les sites web, l’achat d’un objet, tout en fait…. donc c’est un peu facile de critiquer ainsi, même si je suis plus ou moins d’accord avec vous sur certain points.
    Pour les données sauvegardées, que cela soit Sconet, B2I, ENT, AFFELNET, TRM, etc, etc, il y a vraiment beaucoup beaucoup de données et bien détaillées. Pour certaines données, l’académie ne voulait pas accentuer les détails, comme par exemple la liste d’enfants en difficulté scolaire, mais ce genre de décision est prise tellement haut que l’on ne peut rien faire :(
    En espérant avoir éclairé certains détails.
    Cordialement
    PS: tres bon blog au passage :)

  6. Je ne prends pas position sur le fond du débat, c’est pour l’instant trop complexe et brumeux pour moi.
    Par contre, étant moi même intéressé à la sécurité des données informatiques d’un point de vue professionnel, il me semble qu’il ne s’agit que d’un rappel des règles de base qui s’appliquent aussi bien aux mots de passe classiques qu’aux dispositifs plus élaborés tels que ces OTP (pour one time password, n’est ce pas? Je ne l’ai vu nulle part dans l’article. Peut être faudrait il expliquer de quoi il s’agit?)
    Au fond, quel est le problème?
    Qu’on rappelle les règles élémentaires de sécurité?
    Ou bien qu’à cause d’une carence dramatique de moyen on en soit réduit à les négliger complètement? J’avoue que l’article, que j’ai peut être trop lu en diagonale, ne me paraît pas très clair.

  7. La « sécurité » des élèves dans leurs usages, c’est pas un peu comme « l’informatique de confiance » ? Il ne s’agirait pas plus d’assurer la « sécurité » des « ayants droits » en ne les laissant pas risquer de « tomber dans la piraterie » ?

    En tout cas, il n’y a pas que l’ADSL qui est asymétrique, loin de là.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *