Re: [EDUC] Un exemple malheureux/Pronote pas de danger ?

[Olivier Guillard <mairie AT guillard.nom.fr>]

Bonjour,

Le plus ennuyeux à la lecture de votre message c'est qu'on ne puisse que constater que les entreprises comme les universités ou les académies font à peu prêt tout et n'importe quoi en matière de sécurité de leur SI (wordpress/ubuntu quand ce n'est pas 365, google et apple à tous les étages). Modérons un peu : le pire côtoie tout de même parfois le meilleur.

Ce que je sais par ailleurs au passage, c'est que beaucoup d'entre elles sont certifiées iso27001, ANSII, labellisée CNIL et disposent de pléthore de coup de tampons indépendamment de la réalité technique de leur SI.

Dans ce contexte, dire que la solution serait d'éduquer aux "bonnes pratiques préconisées dans le monde professionnel" me laisse un peu perplexe.

En résumé : je vous suis sur le constat, pas forcément sur les solutions proposées,

Cordialement,

---

Olivier Guillard

Le mar. 2 août 2022 à 08:35, w <list-educ AT ciel.ovh> a écrit :

Bonjour,

Je pense que le débat dépasse la notion de libre et propriétaire dans
l'outil, mais devient un phénomène de société et de comportement.

Plus de 50% des risques en sécurité informatique relève, non pas de la
technologie que nous utilisons, mais des humains qui utilisent cette
technologie. Une clef usb suffit parfois pour mettre à mal un SI.

La sécurité commence par les bonnes pratiques. Qui lit les CGU et
accepte de vendre son ame au diable ? ou encore, qui va suivre les
bonnes pratiques prodiguées par l'ANSSI ou la CNIL ?

Là encore, suite à une discussion sur des projets de sécurité en monde
universitaire (personnels et étudiants), il n'y a pas de frontière
entre le monde professionnel et le monde privé. Les bonnes pratiques
préconnisées dans le monde professionnel devrait être suivie dans la
sphère privée. En gros, et je pense qu'ici en terme d'éducation je
n'apprends rien à personne, c'est par l'éducation que tient notre
sécurité numérique.


Je ne remets pas non plus en question l'importance de mettre en place
des solutions sécurisés sur "nos" serveurs et nos données. Or souvent,
les choix dans nos institutions ne sont pas formulés par des personnes
compétentes et qui ont consciences des risques et des contraintes des
solutions mises en place. L'exemple de Wordpress est un phénomène
délirant, comme avec Ubuntu d'ailleurs (les CERTs concernant le kernel
d'Ubuntu est bien suppérieur à tous les autres Linux, je ne parle pas
de Microsoft ni Apple ici). Je trouve similaire l'engouement pour
Wordpress et pour Ubuntu.

Imaginez un Wordpress hébergé par un Ubuntu... vous accéder à un
terminal depuis Wordpress (ce n'est pas un tutto, mais un scénario ;-)
) et puis vous utiliser ce petit POC (dernière mise à jour à 7 jours) :
https://github.com/randorisec/CVE-2022-34918-LPE-PoC
Évidement votre Wordpress n'est pas en DMZ avec un firewall externe.
Boum le SI ;-) Ce n'est pas de la parano...

En ce qui concerne les sites Web, n'oubliez pas de vérifier, déjà (ça
ne fait pas tout) la qualité sécurité des sites sur lesquels vous allez
:-)

Question outil pédagogique, à priori ce n'est pas leur souci chez
school.beneylu.com avec la plus mauvaise note (F) :
https://observatory.mozilla.org/analyze/school.beneylu.com
et pas plus pour l'ENT de Académie de Poitiers avec (F) qui au
demeurant savent faire puisque leur site académique lui est en (B-)
https://observatory.mozilla.org/analyze/ent.ac-poitiers.fr
https://observatory.mozilla.org/analyze/www.ac-poitiers.fr
(ça rame un peu l'observatoire, patience)

des nouvelles rescentent sur les incidents de données ...

La collecte de données « alarmante » et « excessive » des données
personnelles sur TikTok révélée par une analyse du code source de
l'application :
https://securite.developpez.com/actu/335081/La-collecte-de-donnees-alarmante-et-excessive-des-donnees-personnelles-sur-TikTok-revelee-par-une-analyse-du-code-source-de-l-application/

Une nouvelle attaque peut révéler l'identité des utilisateurs anonymes
sur tous les principaux navigateurs
https://securite.developpez.com/actu/335036/Une-nouvelle-attaque-peut-reveler-l-identite-des-utilisateurs-anonymes-sur-tous-les-principaux-navigateurs-sans-que-l-utilisateur-ne-detecte-le-piratage/


et pour ceux qui veulent s'amuser :-)
https://www.youtube.com/playlist?list=PLmfJypsykTLV3lIDTiu_t3jVqhoksVe6D
et des informations comme celle-ci, j'en suis toutes les semaines.


Si chaque citoyen veille à ce qu'il fait/utilise sur le Web, et avec
les outils numériques en général, cela deviendra pas infaillible pour
autant, mais plus difficule de manipuler et surtout d'atteindre la
violation des données. Pour cela, il faut former et éduquer !

C'est comme Tesla, plus besoin d'avoir le permi, c'est la voiture qui
fait tout ;-)
https://www.developpez.com/actu/335075/Le-tribunal-de-Munich-ordonne-a-Tesla-de-rembourser-un-client-suite-a-ses-problemes-avec-Autopilot-apres-avoir-constate-des-lacunes-en-matiere-de-securite-dans-la-technologie-du-constructeur-auto/

même plus besoin d'avocat,
https://intelligence-artificielle.developpez.com/actu/335064/En-remplacant-les-avocats-humains-par-l-IA-le-systeme-judiciaire-chinois-aurait-economise-45-Mds-en-frais-entre-2019-et-2021-soit-la-moitie-du-total-des-honoraires-des-avocats-en-Chine-en-2021/

Elle n'est pas belle la vie numérique !

W.





Convernant l'engouement societale des solutions à succes

Le lundi 01 août 2022 à 13:58 +0200, Stéphane Moulinet a écrit :
> Le lundi 01 août 2022 à 11:42 +0200, Vincent-Xavier JUMEL a écrit :
> > La question qu'il faudrait se poser est de savoir, d'un point de
> > vue
> > sécuritaire, s'il vaut mieux un système assez robuste gérant les
> > données de
> > millions d'élèves, ou n systèmes gérant uniquement les données des
> > élèves
> > locaux (plus petites bases).
>
> Si les n systèmes locaux sont construits exactement sur le même
> moule,
> l'apport en sécurité ne parait pas évident et ce n'est pas une
> histoire
> de logiciel libre ou pas. Juste un exemple pour illustrer mon propos,
> les millions de sites Wordpress (en licence GPL) qui se font pirater
> de
> façon automatisée dès qu'une nouvelle faille apparaît. La
> décentralisation peut avoir des avantages, mais l'apport en sécurité
> est conditionné aux compétences des administrateurs locaux.
>
> Librement,
>
> --
> Pour vous désinscrire de cette liste :
> https://listes.april.org/wws/sigrequest/educ
>
> Pour connaître la configuration de la liste, gérer votre abonnement à
> la liste educ et vos informations personnelles :
> https://listes.april.org/wws/info/educ
>
>