Accéder au contenu.
Menu Sympa

educ - Re: [EDUC] Un exemple malheureux/Pronote pas de danger ?

Objet : Liste de discussion du groupe de travail Éducation et logiciels libres de l'April (liste à inscription publique)

Archives de la liste

Re: [EDUC] Un exemple malheureux/Pronote pas de danger ?


Chronologique Discussions  
  • From: w <list-educ AT ciel.ovh>
  • To: educ AT april.org
  • Subject: Re: [EDUC] Un exemple malheureux/Pronote pas de danger ?
  • Date: Tue, 02 Aug 2022 06:34:08 +0000
  • Authentication-results: mail-4018.proton.ch; dkim=none
  • Feedback-id: 44116008:user:proton

Bonjour,

Je pense que le débat dépasse la notion de libre et propriétaire dans
l'outil, mais devient un phénomène de société et de comportement.

Plus de 50% des risques en sécurité informatique relève, non pas de la
technologie que nous utilisons, mais des humains qui utilisent cette
technologie. Une clef usb suffit parfois pour mettre à mal un SI.

La sécurité commence par les bonnes pratiques. Qui lit les CGU et
accepte de vendre son ame au diable ? ou encore, qui va suivre les
bonnes pratiques prodiguées par l'ANSSI ou la CNIL ?

Là encore, suite à une discussion sur des projets de sécurité en monde
universitaire (personnels et étudiants), il n'y a pas de frontière
entre le monde professionnel et le monde privé. Les bonnes pratiques
préconnisées dans le monde professionnel devrait être suivie dans la
sphère privée. En gros, et je pense qu'ici en terme d'éducation je
n'apprends rien à personne, c'est par l'éducation que tient notre
sécurité numérique.


Je ne remets pas non plus en question l'importance de mettre en place
des solutions sécurisés sur "nos" serveurs et nos données. Or souvent,
les choix dans nos institutions ne sont pas formulés par des personnes
compétentes et qui ont consciences des risques et des contraintes des
solutions mises en place. L'exemple de Wordpress est un phénomène
délirant, comme avec Ubuntu d'ailleurs (les CERTs concernant le kernel
d'Ubuntu est bien suppérieur à tous les autres Linux, je ne parle pas
de Microsoft ni Apple ici). Je trouve similaire l'engouement pour
Wordpress et pour Ubuntu.

Imaginez un Wordpress hébergé par un Ubuntu... vous accéder à un
terminal depuis Wordpress (ce n'est pas un tutto, mais un scénario ;-)
) et puis vous utiliser ce petit POC (dernière mise à jour à 7 jours) :
https://github.com/randorisec/CVE-2022-34918-LPE-PoC
Évidement votre Wordpress n'est pas en DMZ avec un firewall externe.
Boum le SI ;-) Ce n'est pas de la parano...

En ce qui concerne les sites Web, n'oubliez pas de vérifier, déjà (ça
ne fait pas tout) la qualité sécurité des sites sur lesquels vous allez
:-)

Question outil pédagogique, à priori ce n'est pas leur souci chez
school.beneylu.com avec la plus mauvaise note (F) :
https://observatory.mozilla.org/analyze/school.beneylu.com
et pas plus pour l'ENT de Académie de Poitiers avec (F) qui au
demeurant savent faire puisque leur site académique lui est en (B-)
https://observatory.mozilla.org/analyze/ent.ac-poitiers.fr
https://observatory.mozilla.org/analyze/www.ac-poitiers.fr
(ça rame un peu l'observatoire, patience)

des nouvelles rescentent sur les incidents de données ...

La collecte de données « alarmante » et « excessive » des données
personnelles sur TikTok révélée par une analyse du code source de
l'application :
https://securite.developpez.com/actu/335081/La-collecte-de-donnees-alarmante-et-excessive-des-donnees-personnelles-sur-TikTok-revelee-par-une-analyse-du-code-source-de-l-application/

Une nouvelle attaque peut révéler l'identité des utilisateurs anonymes
sur tous les principaux navigateurs
https://securite.developpez.com/actu/335036/Une-nouvelle-attaque-peut-reveler-l-identite-des-utilisateurs-anonymes-sur-tous-les-principaux-navigateurs-sans-que-l-utilisateur-ne-detecte-le-piratage/


et pour ceux qui veulent s'amuser :-)
https://www.youtube.com/playlist?list=PLmfJypsykTLV3lIDTiu_t3jVqhoksVe6D
et des informations comme celle-ci, j'en suis toutes les semaines.


Si chaque citoyen veille à ce qu'il fait/utilise sur le Web, et avec
les outils numériques en général, cela deviendra pas infaillible pour
autant, mais plus difficule de manipuler et surtout d'atteindre la
violation des données. Pour cela, il faut former et éduquer !

C'est comme Tesla, plus besoin d'avoir le permi, c'est la voiture qui
fait tout ;-)
https://www.developpez.com/actu/335075/Le-tribunal-de-Munich-ordonne-a-Tesla-de-rembourser-un-client-suite-a-ses-problemes-avec-Autopilot-apres-avoir-constate-des-lacunes-en-matiere-de-securite-dans-la-technologie-du-constructeur-auto/

même plus besoin d'avocat,
https://intelligence-artificielle.developpez.com/actu/335064/En-remplacant-les-avocats-humains-par-l-IA-le-systeme-judiciaire-chinois-aurait-economise-45-Mds-en-frais-entre-2019-et-2021-soit-la-moitie-du-total-des-honoraires-des-avocats-en-Chine-en-2021/

Elle n'est pas belle la vie numérique !

W.





Convernant l'engouement societale des solutions à succes

Le lundi 01 août 2022 à 13:58 +0200, Stéphane Moulinet a écrit :
> Le lundi 01 août 2022 à 11:42 +0200, Vincent-Xavier JUMEL a écrit :
> > La question qu'il faudrait se poser est de savoir, d'un point de
> > vue
> > sécuritaire, s'il vaut mieux un système assez robuste gérant les
> > données de
> > millions d'élèves, ou n systèmes gérant uniquement les données des
> > élèves
> > locaux (plus petites bases).
>
> Si les n systèmes locaux sont construits exactement sur le même
> moule,
> l'apport en sécurité ne parait pas évident et ce n'est pas une
> histoire
> de logiciel libre ou pas. Juste un exemple pour illustrer mon propos,
> les millions de sites Wordpress (en licence GPL) qui se font pirater
> de
> façon automatisée dès qu'une nouvelle faille apparaît. La
> décentralisation peut avoir des avantages, mais l'apport en sécurité
> est conditionné aux compétences des administrateurs locaux.
>
> Librement,
>
> --
> Pour vous désinscrire de cette liste :
> https://listes.april.org/wws/sigrequest/educ
>
> Pour connaître la configuration de la liste, gérer votre abonnement à
> la liste educ et vos informations personnelles :
> https://listes.april.org/wws/info/educ
>
>


Attachment: publickey - list-educ AT ciel.ovh - a93ebfcf.asc
Description: application/pgp-keys

Attachment: signature.asc
Description: OpenPGP digital signature




Archives gérées par MHonArc 2.6.19+.

Haut de le page