Re: [EDUC] Question écrite au gouvernement

[Stéphane Croze <admin AT lesderniersdelaclasse.pw>]

Le dimanche 09 décembre 2018 à 10:02 +0100, Judicael Courant a écrit :
> Bonjour,
> 
> Marie-Odile Morandi <mbottoli AT mailarchi.it> writes:
> > Services. Or, le mercredi 21 novembre, Amazon a accidentellement révélé
> > les noms et les adresses électroniques de certains de ses clients. Par
> > ailleurs, l'entreprise américaine a lancé une enquête interne puisque
> > des salariés auraient vendu des données personnelles de clients.
> 
> En terme de sécurité des données, on sait depuis longtemps que
> l'accumulation de données est dangereuse. C'est très bien expliqué dans
> le livre de Ross Anderson, Security Engineering (dont la première
> édition remonte à 2001). Un proviseur de lycée n'aurait jamais l'idée
> de vendre les données de ses élèves, pour deux raisons :
> 
> 1) Ça ne lui rapporterait quasiment rien.
> 
> 2) Il est fonctionnaire. S'il a la moindre inscription au casier
>    judiciaire, il est radié de la fonction publique et ne pourra plus
>    jamais y revenir.
> 
> Pour ce qui est des données des élèves, je préférerais donc pour ma part
> 
> 1) Qu'elles ne soient pas trop concentrées
> 
> 2) Qu'elles soient stockées par des opérateurs publics.
> 
> Il faut apprendre à ne plus collecter toutes les données et à les jeter
> si nécessaire (le HCR a eu à cet égard une réflexion remarquable sur le
> traitement des données de santé des réfugiés dans les camps : les
> données restent sur place et sont automatiquement détruites au bout de
> quelques semaines --- la durée ayant été fixée en accord avec les
> praticiens).
> 
> Le livre d'Anderson est en ligne sur la page de l'auteur :
> 
> https://www.cl.cam.ac.uk/~rja14/book.html
> 
> 

Merci pour la référence!

> > Je suis en train de réfléchir à une autre : le monopole de Pronote dans
> > les collèges, les lycées et bientôt dans les écoles.
> > Si quelqu'un peut m'en dire un peu plus sur ce logiciel , merci.
> 
> Comme cela a déjà été dit, le problème est notamment que le logiciel
> Edt/Pronote est un énorme ensemble qui est destiné à gérer les emplois
> du temps, les absences des élèves et les notes. Pour changer l'un de ces
> trois modules sans changer les autres, il faudrait :
> 
> 1) que cela soit possible techniquement (interopérabilité)
> 
> 2) que les chefs d'établissements comprennent qu'il est parfois bon de
>    ne pas avoir tous ses œufs dans le même panier (réaction classique :
>    je vais tout prendre chez index-éducation parce que comme ça, je suis
>    sûr que les différents modules vont bien fonctionner ensemble, et
>    même si ce n'était pas, j'aurai un seul interlocuteur --- ce que
>    permettrait tout autant un assemblage de briques logicielles libres
>    fournies par un seul interlocuteur)
> 
> Du point de vue enseignant, on peut accéder à Pronote pour trouver son
> emploi du temps (notamment la salle dont on dispose pour un cours) et
> pour rentrer ses notes.
> 
> Cet accès peut prendre deux formes :
> 
> - un client lourd qui n'est disponible que sous windows, qu'il faut
>   réinstaller chaque année (alors qu'aucune fonctionnalité ne semble
>   ajoutée au fil des ans, si ce n'est les jolis fonds de couleur).
>   Lorsque j'ai essayé, wine réussissait à le faire tourner sous Linux, à
>   condition d'utiliser la toute dernière version de wine (la version de
>   wine de ma debian stable ne convenait pas).
> 
> - une appli web qui a un peu moins de fonctionnalités mais qui me
>   suffisait.
> 
> Il est impossible de faire du copier-coller d'une liste de notes vers
> Pronote. Impossible d'importer un fichier de notes (ni ODF, ni Excel, ni
> même CSV). Or à chaque devoir, je calcule la note de mes élèves sur un
> tableur. Donc j'ai refusé de rentrer mes notes sur pronote : je n'ai
> rentré que mes moyennes.
> 

Ça, c'est pas super cool pour les parents. Mais bon, je retiens le coté
engagement militant.

Coté parent -- pronote, je rappelle ici que la plupart du temps, les parents 
se
connectent en dehors de l'établissement à pronote. Or l'appli web|front-end
n'utilise pas de protocole chiffrée par défaut. Bref http et pas https.

Si néanmoins, je souhaite avoir une connexion chiffrée, je peux utiliser
https...en installant un certificat émis par une autorité de certification non
reconnue : le mesner.

Du coup, une idée : que le mesner deviennent une autorité de certification 
apte
à émettre des certificats valides pour tous.

Ah zut, pas possible. Car ce marché public est détenu en majorité en france 
par
Certigna Services CA.

Bref, cela coûterait-il une blinde si chaque établissement devait acheter son
certificat à cette société? Aucune idée. Mais combien a coûté le certificat
amazon pour le site reperes.cp-ce1.org? Histoire de comparer. Au passage, vous
noterez l'idée saugrenue d'utiliser ce nom de domaine. Du coup, qui en est
propriétaire? OAT ou le men? (Peut être avons nous la réponse du pourquoi dans
cette drôle d'histoire de certificat.)

Certains d'entre vous me diraient : ya qu'à utiliser let'encrypt! c'est 
gratuit!

Ben oui, mais la preuve de concept let'encrypt contient un ver dans le projet 
:
tout est hébergé aux US et...centralisé. Et cela devient un vrai problème. Car
si pour une raison ou une autre, let'encrypt ne réponds plus, notre monde
connecté s'arrête de fonctionner.

Et bien alors, qu'attendons nous pour créer un let'encrypt décentralisé? Au
moins pour des certificats de bas niveaux. Car là, il n'existe aucune brique
propriétaire pour produire ces certificats : tout est libre, auditable, donc
fiable et sécuritaire.

Ça, ce serait une vrai proposition à porter au parlement!

> Dernier point : il me semble avoir vu passer un rapport officiel de
> l'IGEN pointant du doigt le quasi-monopole d'index éducation et
> mentionnant que cela risquait d'être un problème en terme de respect des
> données personnelles.
> 

OuiOui, je vous convie toutes et tous à lire ce fameux rapport. Et notamment 
la
17eme recommendation : faire de l'enseignement un secteur stratégique. Au même
titre que le nucléaire, par exemple.

> Cordialement,

bien à vous 

> 
> J. Courant.
> --

Stéphane

> Pour vous désinscrire de cette liste : 
> https://listes.april.org/wws/sigrequest/educ
> 
> Pour connaître la configuration de la liste, gérer votre abonnement à la 
> liste
> educ et vos informations personnelles :
> http://listes.april.org/wws/info/educ
> 
>