Journal d'investigation en ligne et d'information‑hacking
par Jet Lambda

L'insécurité (informatique) à l'école, pas vraiment une grande cause nationale

Les services de l'Education nationale seraient-ils en pleine communication de crise? Il semble que le ministère encourage les académies à rappeler à leurs correspondants certaines "consignes de sécurité". Rien à voir avec une nouvelle marque d'extincteur. Ça concerne plutôt la protection des accès aux fichiers informatisés des élèves.

Les services de l'Education nationale seraient-ils en pleine communication de crise? Il semble que le ministère encourage les académies à rappeler à leurs correspondants certaines "consignes de sécurité". Rien à voir avec une nouvelle marque d'extincteur. Ça concerne plutôt la protection des accès aux fichiers informatisés des élèves.

Témoin, cette lettre des services informatiques du rectorat de Nantes, qui coiffe les inspections académiques de 5 départements des Pays de la Loire, envoyée par mail aux "utilisateurs-otp" vendredi 20 mai. Il est question de la société RSA et de son petit gadget, la fameuse "clé OTP", qui sert de sésame électronique à toutes les écoles de France pour se "brancher" sur ses fichiers d'élèves.

Comme Reflets.info l'indiquait dans ce billet, la société RSA a subi des attaques sérieuses sur ce mode d'authentification présenté pourtant comme "infaillible" dans l'Education nationale. Le responsable de l'Académie de Nantes parle d'une "tentative d’intrusion" qui "montre que les pirates n’hésitent pas à s’attaquer aux dispositifs d’authentification forte" (sic). Avant de rappeler trois règles d'or:

  • Ne notez pas votre code PIN à proximité de votre clé ;
  • Ne laissez pas votre clé sans surveillance, ne la prêtez pas ;
  • Ne communiquez à personne votre code PIN, votre numéro de série ou le code généré par la clé et ce sous aucun prétexte

Ces règles font sourire. D'abord, elles ressemblent à un beau parapluie juridique, histoire de montrer que l'institution agit face à un risque potentiel. C'est oublier que les "utilisateurs de clé RSA", dans chaque académie, il y en a plusieurs dizaine de milliers... Ce sont surtout des enseignants: les directeurs d'école maternelles et primaires, chargés de remplir le fichier BE1D (Base élèves 1er degré).

C'est sur eux que cette même institution se déleste de la responsabilité juridique d'une éventuelle fuite de données. Car ces personnels pédagogiques — qui ont autre chose à faire, et ça va empirer compte tenu des suppressions de poste qui s'accumulent — doivent signer une "décharge" lorsqu'on leur remet leur "clé OTP", indiquant qu'ils sont responsables, jours et nuits, même en dehors des heures de service, de l'intégrité de cette serrure électronique. « L’utilisateur de la clé de sécurité est entièrement responsable de l’usage qui en est fait », peut-on lire dans cette "décharge".

Cette clé fait d'ailleurs l'objet de pression sur les directeurs réfractaires. Nous ressortons de nos archives — en ayant gommé toute trace nominative — cette belle lettre d'une inspection académique à un directeur d'école en mars 2009. Cet enseignant, en quelques lignes, est taxé de vilain irresponsable passible d'une "faute professionnelle" pour avoir refusé de signer la décharge sur la clé OTP. En bas de la lettre, en lettres manuscrites : "copie au dossier professionnel". Traduction : cet acte d'irrédentisme sera conservé dans son dossier disciplinaire.

Si les recommandations des services informatiques font sourire, c'est aussi que cette clé change déjà de mains très souvent au sein des écoles. Il ne faudrait donc jamais la laisser "sans surveillance", bref: "ne la prêtez pas". Curieux alors de savoir que dans de nombreux cas, cette clé est confiée temporairement à de simples animateurs TICE (assistants informatiques chargés de donner des "coups de mains" aux directeurs), voire des EVS (emplois vie scolaire, jobs précaires dont l'Education est friande), se servent de cette clé pour y entrer les données des élèves. Quand le directeur refuse de toucher à Base élèves, cette facilité est d'autant plus encouragée par sa hiérarchie.

La fin de la lettre de l'Académie de Nantes évoque en effet un scénario catastrophe digne d'un bon roman d'espionnage:

«Accordez une vigilance particulière, si ces éléments vous sont demandés par courriel, par formulaire ou par téléphone sous des prétextes de sécurité ou de maintenance. Aucun service de l’Éducation nationale, aucune autorité administrative ou judiciaire n’est autorisé à vous demander ce type d’informations.»

Il est donc curieux que le ministère encourage les "utilisateurs" à une "vigilance particulière", tout en dérogeant régulièrement à ces règles pour contourner le refus légitime d'un directeur d'école.

Insécurité à géométrie variable

Nous reposons la même question que la semaine dernière. Alors que de nouvelles failles de sécurité de données commerciales font grand bruit dans la presse — l'affaire TMG, sous-traitant de l'agence Hadopi, ou encore ces 35 millions de profils Google à poil sur internet —, que faut-il faire pour que les informations nominatives de millions d'enfants fassent l'objet d'autant de sollicitudes?

Il est particulièrement choquant que la CNIL se démène pour afficher sa réactivité, en se déplaçant illico, suite aux révélations de Reflets.info, dans les locaux de TMG pour éclaircir cette fuite. Et qu'elle médiatise le but et les conditions de sa visite de courtoisie alors que l'auteur de l'infraction, la société TMG elle-même, ose annoncer "porter plainte pour vol de données"...

En revanche, pour protéger les données personnelles des établissements scolaires, pas de panique. Tout va bien dans le meilleur de l'administration. Pour créer ce type de fichiers pouvant concerner toute une classe de la population, le ministère peut toujours utiliser le formulaire "déclaration simple", alors que le régime d'autorisation — obligatoire pour des fichiers de données "sensibles" (santé, opinions, etc.) — serait autrement plus indiqué pour éviter les abus.

C'est la règle : on déroge, on s'arrange, on "expérimente". Le fichier AFFELNET, par exemple, sas informatique entre Base élèves (fin de CM2) et Sconet (entrée en 6ème), a été lancé dans quelques sites "pilotes", avant d'être généralisé et "légalisé" par "déclaration simple" en 2010. En tous cas bien avant le tampon de la CNIL, survenu seulement l'été dernier, comme le révèle aujourd'hui le CNRBE, Collectif national de résistance à Base élèves.

Il est tout aussi paradoxal de voir que la "vie privée" et les "droits et devoirs" sur les réseaux font partie des "compétences" que doivent acquérir les enfants dans le cadre du B2I (Brevet informatique et internet). Extrait du B2I "niveau école primaire":

  • 2.1) Je connais les droits et devoirs indiqués dans la charte d’usage des TIC de mon école;
  • 2.2) Je respecte les autres et je me protège moi-même dans le cadre de la communication et de la publication électroniques; [...]

Pas mal pour préparer les momes au langage juridico-managerial. Combien de profs ont lu cette charte à leurs élèves tout en s'assurant qu'ils ont bien compris? [Début de réponse dans les commentaires ci-dessous...]

Le B2I "niveau collège" ajoute quelques notions plus complexes qui touchent directement à la sécurité informatique. Nous avons souligné en gras les passages les plus flous et subjectifs.

2.1) Je connais les droits et devoirs indiqués dans la charte d’usage des TIC et la procédure d'alerte de mon établissement.

2.2) Je protège ma vie privée en ne donnant sur internet des renseignements me concernant qu’avec l’accord de mon responsable légal.

2.3) Lorsque j’utilise ou transmets des documents, je vérifie que j’en ai le droit.

2.4) Je m'interroge sur les résultats des traitements informatiques (calcul, représentation graphique, correcteur...).

2.5) J’applique des règles de prudence contre les risques de malveillance (virus, spam...).

2.6) Je sécurise mes données (gestion des mots de passe, fermeture de session, sauvegarde).

2.7) Je mets mes compétences informatiques au service d'une production collective.

Pas de doute. Pour mettre tout ça en pratique, mieux vaut envoyer les enfants en stage obligatoire chez Google, Yahoo ou Facebook, et ce dès l'entrée en 6ème. Surtout ne pas les mettre en contact avec l'animateur TICE qui garde la clé OTP du directeur dans sa poche.

«Dis, papa, c'est quoi une clé otépé?»

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée