L’insécurité (informatique) à l’école, pas vraiment une grande cause nationale

jeudi 11 août 2011

Au moment où s’instituent de véritables « fichiers » que sont les « livrets de compétences » informatisés que nous avons, avec beaucoup d’autres, dénoncés, d’autres problèmes de sécurité informatique apparaissent...

Fichiers informatiques, réseaux sociaux Facebook et autres, quelles sont les limites, quelles sont les bornes, quelles sont les protections de la vie privée ?

Les services de l’Éducation nationale seraient-ils en pleine communication de crise ? Il semble que le ministère encourage les académies à rappeler à leurs correspondants certaines « consignes de sécurité ». Rien à voir avec une nouvelle marque d’extincteur. Ça concerne plutôt la protection des accès aux fichiers informatisés des élèves.

La société RSA et son petit gadget, la fameuse « clé OTP », qui sert de sésame électronique à toutes les écoles de France pour se « brancher » sur ses fichiers d’élèves, ont subi des attaques sérieuses sur ce mode d’authentification présenté pourtant comme « infaillible » dans l’Éducation nationale.

Le rectorat de Nantes a lancé l’alerte et le responsable de l’Académie de Nantes parle d’une « tentative d’intrusion » qui « montre que les pirates n’hésitent pas à s’attaquer aux dispositifs d’authentification forte » (sic). Avant de rappeler trois règles d’or :

  • Ne notez pas votre code PIN à proximité de votre clé ;
  • Ne laissez pas votre clé sans surveillance, ne la prêtez pas ;
  • Ne communiquez à personne votre code PIN, votre numéro de série ou le code généré par la clé et ce sous aucun prétexte.

Ces règles font sourire. D’abord, elles ressemblent à un beau parapluie juridique, histoire de montrer que l’institution agit face à un risque potentiel. C’est oublier que les « utilisateurs de clé RSA », dans chaque académie, il y en a plusieurs dizaine de milliers… Ce sont surtout des enseignants : les directeurs d’école maternelles et primaires, chargés de remplir le fichier BE1D (Base élèves 1er degré).

C’est sur eux que cette même institution se déleste de la responsabilité juridique d’une éventuelle fuite de données. Car ces personnels pédagogiques — qui ont autre chose à faire, et ça va empirer compte tenu des suppressions de poste qui s’accumulent — doivent signer une « décharge » lorsqu’on leur remet leur « clé OTP », indiquant qu’ils sont responsables, jours et nuits, même en dehors des heures de service, de l’intégrité de cette serrure électronique. « L’utilisateur de la clé de sécurité est entièrement responsable de l’usage qui en est fait », peut-on lire dans cette « décharge ».

JPEG - 117.6 ko Cette clé fait d’ailleurs l’objet de pression sur les directeurs réfractaires. Nous ressortons de nos archives — en ayant gommé toute trace nominative — cette belle lettre d’une inspection académique à un directeur d’école en mars 2009. Cet enseignant, en quelques lignes, est taxé de vilain irresponsable passible d’une « faute professionnelle » pour avoir refusé de signer la décharge sur la clé OTP. En bas de la lettre, en lettres manuscrites : « copie au dossier professionnel ». Traduction : cet acte d’irrédentisme sera conservé dans son dossier disciplinaire.

Si les recommandations des services informatiques font sourire, c’est aussi que cette clé change déjà de mains très souvent au sein des écoles. Il ne faudrait donc jamais la laisser « sans surveillance », bref : « ne la prêtez pas ». Curieux alors de savoir que dans de nombreux cas, cette clé est confiée temporairement à de simples animateurs TICE (assistants informatiques chargés de donner des « coups de mains » aux directeurs), voire des EVS (emplois vie scolaire, jobs précaires dont l’Éducation est friande), se servent de cette clé pour y entrer les données des élèves. Quand le directeur refuse de toucher à Base élèves, cette facilité est d’autant plus encouragée par sa hiérarchie.

La fin de la lettre de l’Académie de Nantes évoque en effet un scénario catastrophe digne d’un bon roman d’espionnage :

« Accordez une vigilance particulière, si ces éléments vous sont demandés par courriel, par formulaire ou par téléphone sous des prétextes de sécurité ou de maintenance. Aucun service de l’Éducation nationale, aucune autorité administrative ou judiciaire n’est autorisé à vous demander ce type d’informations. »

Il est donc curieux que le ministère encourage les « utilisateurs » à une « vigilance particulière », tout en dérogeant régulièrement à ces règles pour contourner le refus légitime d’un directeur d’école.

Insécurité à géométrie variable

...
Les failles dans les données à caractère commercial font grand bruit dans les médias et sont pris au sérieux par la CNIL...
En revanche, pour protéger les données personnelles des établissements scolaires, pas de panique. Tout va bien dans le meilleur de l’administration. Pour créer ce type de fichiers pouvant concerner toute une classe de la population, le ministère peut toujours utiliser le formulaire « déclaration simple », alors que le régime d’autorisation — obligatoire pour des fichiers de données « sensibles » (santé, opinions, etc.) — serait autrement plus indiqué pour éviter les abus.

C’est la règle : on déroge, on s’arrange, on « expérimente ». Le fichier AFFELNET, par exemple, sas informatique entre Base élèves (fin de CM2) et Sconet (entrée en 6e), a été lancé dans quelques sites « pilotes », avant d’être généralisé et « légalisé » par « déclaration simple » en 2010. En tous cas bien avant le tampon de la CNIL, survenu seulement l’été dernier, comme le révèle aujourd’hui le CNRBE, Collectif national de résistance à Base élèves.

GIF - 8.2 ko Il est tout aussi paradoxal de voir que la « vie privée » et les « droits et devoirs » sur les réseaux font partie des « compétences » que doivent acquérir les enfants dans le cadre du B2I (Brevet informatique et internet). Extrait du B2I « niveau école primaire » :

  • 2.1) Je connais les droits et devoirs indiqués dans la charte d’usage des TIC de mon école ;
  • 2.2) Je respecte les autres et je me protège moi-même dans le cadre de la communication et de la publication électroniques ; [...]

Pas mal pour préparer les mômes au langage juridico-managérial. Combien de profs ont lu cette charte à leurs élèves tout en s’assurant qu’ils ont bien compris ? [Début de réponse dans les commentaires ci-dessous...]

Le B2I « niveau collège » ajoute quelques notions plus complexes qui touchent directement à la sécurité informatique. Nous avons souligné en gras les passages les plus flous et subjectifs.

  • 2.1) Je connais les droits et devoirs indiqués dans la charte d’usage des TIC et la procédure d’alerte de mon établissement.
  • 2.2) Je protège ma vie privée en ne donnant sur internet des renseignements me concernant qu’avec l’accord de mon responsable légal.
  • 2.3) Lorsque j’utilise ou transmets des documents, je vérifie que j’en ai le droit.
  • 2.4) Je m’interroge sur les résultats des traitements informatiques (calcul, représentation graphique, correcteur…)
  • 2.5) J’applique des règles de prudence contre les risques de malveillance (virus, spam…).
  • 2.6) Je sécurise mes données (gestion des mots de passe, fermeture de session, sauvegarde).
  • 2.7) Je mets mes compétences informatiques au service d’une production collective.

Pas de doute. Pour mettre tout ça en pratique, mieux vaut envoyer les enfants en stage obligatoire chez Google, Yahoo ou Facebook, et ce dès l’entrée en 6e. Surtout ne pas les mettre en contact avec l’animateur TICE qui garde la clé OTP du directeur dans sa poche.

« Dis, papa, c’est quoi une clé otépé ? »"


Source : Reflets.info

Annonces

Clips de Solidaires

Agir maintenant !

Solidaires dans un monde de brutes

Égalité Hommes-Femmes

On lâchera rien

Ode aux manifestants