[EDUC] suite de croisade contre klassroom

[Baptiste Lemoine - Cipher Bliss <contact AT cipherbliss.com>]

Je remets en copie toutes les personnes ayant participé au sujet.

On m'a donc transmis une réponse d'un certain Patrick travaillant pour Klassroom, faisant un homme de paille des reproches adressés au logiciel en faisant comme si c'était sa personne ou ses efforts qui était attaquée, dénigrant l'expertise réalisée. Ce n'est pas le cas.

Je ne tiens pas non plus à être explicitement mentionné comme personne à l'origine des critiques portées à ce logiciel, cela risquerait juste de produire des attaques ad hominem et de la shitstorm, noyant les critiques légitimes concernant un logiciel et une institution (l'EN) qui pourraient vraiment faire mieux, et imposer de faire mieux, sans dégâts collatéraux.

Ce qui est reproché et qui n'est toujours pas réglé concerne à la fois la présence de trackers Google (firebase analytics, google fonts) et Stripe, impossible à désactiver, ce qui n'est pas conforme au RGPD. Sans parler de la popup de cookie qui n'affiche pas avec un caractère visuel équivalent de bouton pour "tout refuser" à côté du bouton pour "tout accepter", ce qui est malhonnête, non conforme, et très répandu. Quand on veut faire un logiciel éthique il convient de faire beaucoup mieux.

Avec ces trackers, il est donc impossible de garantir la confidentialité des échanges via le logiciel.

Un logiciel dont le code source n'est d'ailleurs pas libre au sens de la Free Software Foundation, il n'est donc pas légal de vérifier son fonctionnement par tout un chacun, ce qui permet aussi de garder plus longtemps des failles de sécurité et faire des utilisations abusives sans que le public n'ait de possibilité légale de le faire auditer.

J'en veux pour preuve les rapports de Exodus Privacy concernant l'application mobile (uniquement disponible sur un store google et apple, et donc privateurs)

consultable ici https://reports.exodus-privacy.eu.org/fr/reports/co.roomapp.klassroom/latest/

, ainsi que les mise en exergue des pisteurs que n'importe qui peut réaliser dans son navigateur web en utilisant une extension telle que Ublock Origin, Privacy Badger, uMatrix ou bien d'autres.

https://ublockorigin.com/fr

On peut se demander légitimement si les 28 (vingt-huit !) permissions de l'appli mobile sont nécessaires à son fonctionnement ou bien ne servent pas juste à aspirer le plus de données possible. A-t-on réellement besoin de demander une autorisation d'accès au GPS ou d' "empêcher le téléphone de passer en mode veille" pour lire un blog de classe ou envoyer un message à un enseignant?

Bien évidemment que non.

Autre problème de mise en place : l'imposition autoritaire du logiciel sans concertation préalable des parents, et sans formation fournie aux enseignants pour la mise en place de ce travail et l'auto formation supplémentaire non rémunérée, qui pourrait être réalisé avec des outils respectueux de la vie privée déjà proposés par la plateforme https://apps.education.fr/

Patrick avance aussi que nous savons tous comment fonctionne l'EN, c'est on ne peut plus faux.

Il apporte une réponse indiquant que Klassroom utilisait bien l'hébergement AWS (donc d'Amazon, qui comme les autres GAFAM sont soumises à des lois imposant la collecte massive de données cruciales utilisées à des fins militaires et de surveillance globale illégitime, révélées avec des preuves irréfutables, non contestées par les autorités Américaines, par Edward Snowden en 2013, et confirmées toujours en activité récente par les documents de Vault7 publiés via WikiLeaks) mais que ce n'est plus le cas.

L'hébergement est maintenant, selon Patrick, "chez Squark, une entreprise française dont les datacenters sont en région parisienne". Ce qui serait une excellente nouvelle. Il ne reste plus qu'a enlever les pisteurs de GAFAM, laisser un choix pour désactiver les pisteurs restants, laisser la possibilité à des professeurs de ne pas utiliser cette application quand les parents le demandent, voire payer les enseignants pour le boulot qu'ils font, et on pourra alors considérer que c'est un logiciel un peu plus éthique. Il ne reste plus qu'à libérer ses sources sous une licence type aGPLv3.

Cependant je suis étonné d'apprendre que les données de classe "appartiennent au DASEN", je ne sais pas ce que ça recouvre comme périmètre de données, et je ne suis toujours pas certain que les médias publiés sur le logiciel restent la propriété des personnes qui les produisent et que leur utilisation soit légalement contrainte à un périmètre restreint.

Par exemple, sur Facebook, on reste reconnu comme ayant la paternité des photos et vidéos que l'on publie, mais la firme de Zuckerberg s'autorise à faire absolument ce qu'ils veulent de ce qu'on y publie, et produit les mêmes travers qu'Amazon.

On pourrait aussi parler d'hébergement zéro knoledge et de qui détient les clés de chiffrement, comme le font Tutanota et ProtonMail pour garantir la confidentialité des échanges.

Il semble aussi que Klassroom s’appelle aujourd'hui Klassly et demande maintenant un numéro de téléphone pour se créer un compte sans autre choix, ce qui est particulièrement invasif, non nécessaire et discriminatoire.

Enfin, soulignons un point positif mentionné dans un encart du site concernant les données sensibles (médicales par exemple) "Klassroom garantit de ne pas utiliser ces données, ni de procéder à tout enregistrement d'utilisateurs, ces données restent privées entre les membres-utilisateurs et les enseignants (admin-users)." Ce souhait est louable, mais compromis par la présence de trackers d'entreprises tierces qui vont enregistrer chaque action et faire des recoupements. En l'état, ce n'est donc qu'un vœu pieu, car si Klassroom ne fait pas cela, elle permet à une autre entreprise de le faire.

Pour finir dans les actualités et les précisions, j'avais fait un message au DPD de l'Académie de Versailles en début Février et je n'ai toujours pas eu de retour de sa part.

Voilà, bonne journée la liste Educ!

--- le message qui 'a été transmis:

Bonsoir,

je te transfère une réponse publiée sur FB après la diffusion de ta lettre, au cas où tu veuilles un droit de réponse...

Chris du 91

Bonjour, je me présente, je suis Patrick et je travaille pour Klassroom. J'ai été PE pendant 15 ans, directeur d'école maternelle en REP. Je ne suis donc pas un capitaliste qui veut m'engraisser sur le dos de l'école publique (je ne dis pas que c'est ce que vous dites, c'est malheureusement ce que je lis parfois ). Plusieurs enseignants utilisateurs m'ont alerté sur ce message, j'ai donc demandé à rejoindre le groupe pour répondre aux accusations portées, mais aussi pour ouvrir la discussion. En effet, je trouve dommage de lire ce genre de choses sans que jamais la question ne nous ait été posée. En gros, je ne sais pas qui est l'auteur original de ces accusations, mais je trouve vraiment .. dommage de les colporter sans vérifier les dires... Vous connaissez toutes et tous le fonctionnement de l'EN, à quel point la moindre démarche est compliquée, et vous imaginez une seconde qu'il est simple d'obtenir une validation académique pour une application comme Klassroom ? Comme cela a été dit, Klassroom a été validé par l'académie de Versailles en 2018, mais cela ne veut pas dire que nous sommes totalement libres de faire ce que nous voulons, Nous avons des contacts très réguliers avec les autorités académiques, j'ai encore eu plusieurs échanges avec le DPD depuis le début de l'année 2021 ! Klassroom a été validé par l'académie de Créteil à l'été 2020. Cette validation a été obtenue après 6 mois de vérification complète de tous les aspects de l'application par un groupe de travail de plus de 20 personnes de l'académie. Pensez vous que nous pourrions passer au travers du filet du RGPD ? absolument pas... Je tiens maintenant à répondre à plusieurs aberrations citées dans le message : Données hébergées chez Amazon. Ce fut le cas à une époque, en toute sincérité, mais en respect du RGPD. AWS avait les meilleurs serveurs disponibles et nous avions contractuellement demandé à ce que nos données soient dans les data centers de Paris, ce que nous pouvions prouver. Malheureusement, des supposés "experts" accusaient Klassroom de stocker les données à l'étranger, nous avons donc changé d'hébergeur et toutes nos données sont chez Squark, une entreprise française dont les datacenters sont en région parisienne. Aucune base de données chez Google, pas d'analytics Google. Nous avons des analytics, mais ce sont les notres, uniquement afin d'améliorer l'application. Chaque enseignant est libre d'utiliser les outils qu'il souhaite, et cette liberté est fondamentale, nous respectons donc les enseignants qui ne souhaitent pas utiliser notre application (ou toute autre), mais nous ne sommes pas d'accord pour laisser de tels propos diffamatoires se propager. Klassroom propose un modèle éthique qui devrait être la norme : nous ne vendons pas les données, nous ne les cédons pas. Nous proposons un outil de communication, nous ne nous intéressons pas à ce que vous mettez dedans. Pour preuve, nous ne sommes pas propriétaires des données de classe, c'est le DASEN...Nous ne pouvons donc pas les utiliser à notre guise, et c'est nous qui avons proposé ce mode de fonctionnement à l'Éducation Nationale. Je ne vais pas m'étaler plus longtemps car j'ai déjà écrit un sacré pavé, mais je garde la discussion ouverte : je n'ai pas de sujet tabou et je suis prêt à répondre à toutes les questions, mais svp ne propagez pas ce type de messages infondés sans vérifier les propos tenus.

-----------------------------------------------

SUD ÉDUCATION 91

Tél 06 04 10 26 15

http://www.sudeducation91.org

---

Baptiste LEMOINE - Dirigeant de Cipher Bliss.com ,

-------

Tel 0185461173 / Signal 0627130837 , Telegram: Tykayn , Mastodon: @tykayn, Riot: @tykaynchu:matrix.org N° SIRET: 79942416300035 GPG: 64A8 9B18 65E6 6523 FD86 7CB5 8796 1FCA F978 54FF clé Duniter / Ğ1: 8c4mVVPAHd4yLYcxWM4U8Z3zUb4WpRX1iGtX5T7tbEFE - tykayn

Sent with ProtonMail Secure Email.

Attachment: signature.asc
Description: OpenPGP digital signature