Re: [EDUC] Question écrite au gouvernement

[Stéphane Croze <admin AT lesderniersdelaclasse.pw>]

Le dimanche 09 décembre 2018 à 13:56 +0100, nicolas schont a écrit :
> Bonjour,
> 
> Pour le point certificat et http(s)
> 

Bonjour Nicolas,

Merci pour ce point super documenté.

> le mode SAAS, hébergé par eux, et le mode internalisé dans l'établissement
> 
> 
> - le mode SAAS, j'espére pour eux, Pronote propose bien du https, avec
> sa propre autorité de certificats

Ok, ça semblerait logique effectivement. Mais il faudrait vérifier. En tout 
cas
c'est un point de base de la mise en conformité vis à vis du GDPR.

> - pour le mode hébergé, le lycée demande à la DSI
> académique/collectivité de faire la redirection avec le reverse-proxy et
> peut mettre un certificat officiel, les académies ont accès à une
> autorité de certificat géré par RENATER
> 

Organisation (O) Ministere Education Nationale (MENESR)
Unité d'organisation (OU)
        110 043 015

Que le MENESR fasse autorité sur les domaines gérés par l'éduc nat me semble 
un
minimum... Mais MENESR n'est pas root autorité sur le reste de l'internet.
Donc moi, en tant que parent, je ne peux pas utiliser https pour utiliser
pronote du lycée de mon enfant. (Sauf si j'accepte le certificat présenté 
comme
de confiance. Et là, on rentre dans une autre forme d'insécurité.)

Promouvoir MENESR comme une root autority prends du sens. Ah, mais en fait
MENESR l'est déjà. Car RENATER, le gestionnaire, est membre de 
TERENA...autorité
de certification publique européenne sur l'internet.

Nicolas, comment expliques-tu que amon fasse appel à let'encrypt. Alors que 
par
ailleurs, RENATER dispose de TERENA comme autorité?

> dans les 2 cas cela peut être lié avec les identifiants des ENT via le
> protocole CAS SSO pour ne pas a avoir a communiquer de nouveau
> identifiant aux élèves/parents/prof
> 

Allons plus loin... FRANCE CONNECT. Pour une démarche qui ait du sens auprès 
de
tous les citoyens usagers de l'administration française. En général, et pas 
que
pour l'école.
Disons que je préfère encore utiliser FRANCE CONNECT que le service idoine de
google. Ou de facebook, Ou de github.

> 
> - AMON, pare-feu  libre de la suite EOLE, faisant pare-feux,
> reverse-proxy et filtrage,  développé  par le MEN propose du let's
> encrypt et cela depuis la version 2.6 basé sur Ubuntu 16.04
> 
http://eole.ac-dijon.fr/documentations/2.6/completes/HTML/EOLE/co/07-changements_2.html
> 
> la version 2.7 est en cours de finalisation pour ubuntu 18.04
> 
> http://eole.ac-dijon.fr/documentations/2.7/
> La suite EOLE gére aussi le controleur de domaine pour s'affranchir du
> windows AD, et propose depuis la version 2.5.2 la gestion AD et non plus
> mode NT afin de prendre en charge les windows 10, les clients linux sont
> géré
> 
> 
> 
> 
> 
> Nicolas

Bien à toi

--

Stéphane

> 
> Le 09/12/2018 à 13:06, Stéphane Croze a écrit :
> 
> > 
> > Ça, c'est pas super cool pour les parents. Mais bon, je retiens le coté
> > engagement militant.
> > 
> > Coté parent -- pronote, je rappelle ici que la plupart du temps, les 
> > parents
> > se
> > connectent en dehors de l'établissement à pronote. Or l'appli 
> > web|front-end
> > n'utilise pas de protocole chiffrée par défaut. Bref http et pas https.
> > 
> > Si néanmoins, je souhaite avoir une connexion chiffrée, je peux utiliser
> > https...en installant un certificat émis par une autorité de certification
> > non
> > reconnue : le mesner.
> > 
> > Du coup, une idée : que le mesner deviennent une autorité de certification
> > apte
> > à émettre des certificats valides pour tous.
> > 
> > Ah zut, pas possible. Car ce marché public est détenu en majorité en 
> > france
> > par
> > Certigna Services CA.
> > 
> > Bref, cela coûterait-il une blinde si chaque établissement devait acheter
> > son
> > certificat à cette société? Aucune idée. Mais combien a coûté le 
> > certificat
> > amazon pour le site reperes.cp-ce1.org? Histoire de comparer. Au passage,
> > vous
> > noterez l'idée saugrenue d'utiliser ce nom de domaine. Du coup, qui en est
> > propriétaire? OAT ou le men? (Peut être avons nous la réponse du pourquoi
> > dans
> > cette drôle d'histoire de certificat.)
> > 
> > Certains d'entre vous me diraient : ya qu'à utiliser let'encrypt! c'est
> > gratuit!
> > 
> > Ben oui, mais la preuve de concept let'encrypt contient un ver dans le
> > projet :
> > tout est hébergé aux US et...centralisé. Et cela devient un vrai problème.
> > Car
> > si pour une raison ou une autre, let'encrypt ne réponds plus, notre monde
> > connecté s'arrête de fonctionner.
> > 
> > Et bien alors, qu'attendons nous pour créer un let'encrypt décentralisé? 
> > Au
> > moins pour des certificats de bas niveaux. Car là, il n'existe aucune 
> > brique
> > propriétaire pour produire ces certificats : tout est libre, auditable, 
> > donc
> > fiable et sécuritaire.
> > 
> > Ça, ce serait une vrai proposition à porter au parlement!
> > 
> > > Dernier point : il me semble avoir vu passer un rapport officiel de
> > > l'IGEN pointant du doigt le quasi-monopole d'index éducation et
> > > mentionnant que cela risquait d'être un problème en terme de respect des
> > > données personnelles.
> > > 
> > 
> > OuiOui, je vous convie toutes et tous à lire ce fameux rapport. Et 
> > notamment
> > la
> > 17eme recommendation : faire de l'enseignement un secteur stratégique. Au
> > même
> > titre que le nucléaire, par exemple.
> > 
> > > Cordialement,
> > 
> > bien à vous 
> > 
> > > 
> > > J. Courant.
> > > --
> > 
> > Stéphane
> > 
> > > Pour vous désinscrire de cette liste : 
> > > https://listes.april.org/wws/sigrequest/educ
> > > 
> > > Pour connaître la configuration de la liste, gérer votre abonnement à la
> > > liste
> > > educ et vos informations personnelles :
> > > http://listes.april.org/wws/info/educ
> > > 
> > > 
> > 
> > 
> > --
> > Pour vous désinscrire de cette liste : 
> > https://listes.april.org/wws/sigrequest/educ
> > 
> > Pour connaître la configuration de la liste, gérer votre abonnement à la
> > liste educ et vos informations personnelles :
> > http://listes.april.org/wws/info/educ
> > 
> > 
> 
>