Re: [EDUC] Un exemple malheureux/Pronote pas de danger ?

[w <list-educ AT ciel.ovh>]

Re bonjour,
Merci pour votre retour.

J'ai écrit un peu rapidement mon message, cependant, les exemples que
j'ai données ne sont pas des sites universitaires mais bien éducatif et
académique...

Je suis complétement d'accord avec le constat sur les universités (pour
en avoir pratiqué un certain nombre). J'ai évoquer ce monde
universitaire uniquement pour dire que le sujet est pris au sérieux et
que le changement et les améiolations ne se font pas en claquement de
doigts, c'est en cours de changement pour l'une d'elle en tout cas.
(perso je ne suis pas universitaire)

Si j'ai bien compris l'un des objectifs de cette liste, c'est bien
d'échanger sur la partie éducatif. Dans cette question de sécurité
informatique, c'est bien la position que je prends, l'éducation des
personnes, des adultes en activités ou non, et aussi des enfants, donc
directement l'éducation nationale aussi (qui n'est pas exempte d'usage
de logiciels propriétaires coûteux qui construisent des habitudes
problématiques).

Je comprends aussi la perplexité éducative et reponsabilisante, mais je
la préfère malgré tout à celle du contrôle qui ne peut fonctionner que
partiellement (les exemples de la Chine et autres qui souhaitent
contruire un contrôle de leur population, nous montre le limite
numérique). Il y a certainement un juste milieu entre les deux et peut-
être qu'une réflexion est déjà engagée dans notre société sur le sujet.
Je suis preneur d'information si c'est le cas.

Le débat est ouvert en tout cas, et je ne suis pas la personne qui le
fermerait par une solution miracle.

Il est souvent dit : tu veux de la sécurité, tu n'utilises pas
Internet/réseaux, ni les BYODs ;-) et même là, les données ont une
durée de vie limité.

Bonne journée,
W.




Le mardi 02 août 2022 à 11:10 +0200, Olivier Guillard a écrit :
> Bonjour,
> 
> Le plus ennuyeux à la lecture de votre message c'est qu'on ne puisse
> que constater que les entreprises comme les universités ou les
> académies font à peu prêt tout et n'importe quoi en matière de
> sécurité de leur SI (wordpress/ubuntu quand ce n'est pas 365, google
> et apple à tous les étages). Modérons un peu : le pire côtoie tout de
> même parfois le meilleur.
> 
>  Ce que je sais par ailleurs au passage, c'est que beaucoup d'entre
> elles sont certifiées iso27001, ANSII, labellisée CNIL et disposent
> de pléthore de coup de tampons indépendamment de la réalité technique
> de leur SI.
> 
> Dans ce contexte, dire que la solution serait d'éduquer aux "bonnes
> pratiques préconisées dans le monde professionnel" me laisse un peu
> perplexe.
> 
> En résumé : je vous suis sur le constat, pas forcément sur les
> solutions proposées,
> 
> Cordialement,
> 
> ---
> Olivier Guillard
> 
> Le mar. 2 août 2022 à 08:35, w <list-educ AT ciel.ovh> a écrit :
> > Bonjour,
> > 
> > Je pense que le débat dépasse la notion de libre et propriétaire
> > dans
> > l'outil, mais devient un phénomène de société et de comportement.
> > 
> > Plus de 50% des risques en sécurité informatique relève, non pas de
> > la
> > technologie que nous utilisons, mais des humains qui utilisent
> > cette
> > technologie. Une clef usb suffit parfois pour mettre à mal un SI.
> > 
> > La sécurité commence par les bonnes pratiques. Qui lit les CGU et
> > accepte de vendre son ame au diable ? ou encore, qui va suivre les
> > bonnes pratiques prodiguées par l'ANSSI ou la CNIL ?
> > 
> > Là encore, suite à une discussion sur des projets de sécurité en
> > monde
> > universitaire (personnels et étudiants), il n'y a pas de frontière
> > entre le monde professionnel et le monde privé. Les bonnes
> > pratiques
> > préconnisées dans le monde professionnel devrait être suivie dans
> > la
> > sphère privée. En gros, et je pense qu'ici en terme d'éducation je
> > n'apprends rien à personne, c'est par l'éducation que tient notre
> > sécurité numérique.
> > 
> > 
> > Je ne remets pas non plus en question l'importance de mettre en
> > place
> > des solutions sécurisés sur "nos" serveurs et nos données. Or
> > souvent,
> > les choix dans nos institutions ne sont pas formulés par des
> > personnes
> > compétentes et qui ont consciences des risques et des contraintes
> > des
> > solutions mises en place. L'exemple de Wordpress est un phénomène
> > délirant, comme avec Ubuntu d'ailleurs (les CERTs concernant le
> > kernel
> > d'Ubuntu est bien suppérieur à tous les autres Linux, je ne parle
> > pas
> > de Microsoft ni Apple ici). Je trouve similaire l'engouement pour
> > Wordpress et pour Ubuntu.
> > 
> > Imaginez un Wordpress hébergé par un Ubuntu... vous accéder à un
> > terminal depuis Wordpress (ce n'est pas un tutto, mais un scénario
> > ;-)
> > ) et puis vous utiliser ce petit POC (dernière mise à jour à 7
> > jours) :
> > https://github.com/randorisec/CVE-2022-34918-LPE-PoC
> > Évidement votre Wordpress n'est pas en DMZ avec un firewall
> > externe.
> > Boum le SI ;-) Ce n'est pas de la parano...
> > 
> > En ce qui concerne les sites Web, n'oubliez pas de vérifier, déjà
> > (ça
> > ne fait pas tout) la qualité sécurité des sites sur lesquels vous
> > allez
> > :-)
> > 
> > Question outil pédagogique, à priori ce n'est pas leur souci chez
> > school.beneylu.com avec la plus mauvaise note (F) :
> > https://observatory.mozilla.org/analyze/school.beneylu.com 
> > et pas plus pour l'ENT de Académie de Poitiers avec (F) qui au
> > demeurant savent faire puisque leur site académique lui est en (B-)
> > https://observatory.mozilla.org/analyze/ent.ac-poitiers.fr
> > https://observatory.mozilla.org/analyze/www.ac-poitiers.fr
> > (ça rame un peu l'observatoire, patience)
> > 
> > des nouvelles rescentent sur les incidents de données ... 
> > 
> > La collecte de données « alarmante » et « excessive » des données
> > personnelles sur TikTok révélée par une analyse du code source de
> > l'application : 
> > https://securite.developpez.com/actu/335081/La-collecte-de-donnees-alarmante-et-excessive-des-donnees-personnelles-sur-TikTok-revelee-par-une-analyse-du-code-source-de-l-application/
> > 
> > Une nouvelle attaque peut révéler l'identité des utilisateurs
> > anonymes
> > sur tous les principaux navigateurs
> > https://securite.developpez.com/actu/335036/Une-nouvelle-attaque-peut-reveler-l-identite-des-utilisateurs-anonymes-sur-tous-les-principaux-navigateurs-sans-que-l-utilisateur-ne-detecte-le-piratage/
> > 
> > 
> > et pour ceux qui veulent s'amuser :-) 
> > https://www.youtube.com/playlist?list=PLmfJypsykTLV3lIDTiu_t3jVqhoksVe6D
> > et des informations comme celle-ci, j'en suis toutes les semaines.
> > 
> > 
> > Si chaque citoyen veille à ce qu'il fait/utilise sur le Web, et
> > avec
> > les outils numériques en général, cela deviendra pas infaillible
> > pour
> > autant, mais plus difficule de manipuler et surtout d'atteindre la
> > violation des données. Pour cela, il faut former et éduquer !
> > 
> > C'est comme Tesla, plus besoin d'avoir le permi, c'est la voiture
> > qui
> > fait tout ;-)
> > https://www.developpez.com/actu/335075/Le-tribunal-de-Munich-ordonne-a-Tesla-de-rembourser-un-client-suite-a-ses-problemes-avec-Autopilot-apres-avoir-constate-des-lacunes-en-matiere-de-securite-dans-la-technologie-du-constructeur-auto/
> > 
> > même plus besoin d'avocat,
> > https://intelligence-artificielle.developpez.com/actu/335064/En-remplacant-les-avocats-humains-par-l-IA-le-systeme-judiciaire-chinois-aurait-economise-45-Mds-en-frais-entre-2019-et-2021-soit-la-moitie-du-total-des-honoraires-des-avocats-en-Chine-en-2021/
> > 
> > Elle n'est pas belle la vie numérique !
> > 
> > W.
> > 
> > 
> > 
> > 
> > 
> > Convernant l'engouement societale des solutions à succes
> > 
> > Le lundi 01 août 2022 à 13:58 +0200, Stéphane Moulinet a écrit :
> > > Le lundi 01 août 2022 à 11:42 +0200, Vincent-Xavier JUMEL a
> > écrit :
> > > > La question qu'il faudrait se poser est de savoir, d'un point
> > de
> > > > vue
> > > > sécuritaire, s'il vaut mieux un système assez robuste gérant
> > les
> > > > données de
> > > > millions d'élèves, ou n systèmes gérant uniquement les données
> > des
> > > > élèves
> > > > locaux (plus petites bases).
> > > 
> > > Si les n systèmes locaux sont construits exactement sur le même
> > > moule,
> > > l'apport en sécurité ne parait pas évident et ce n'est pas une
> > > histoire
> > > de logiciel libre ou pas. Juste un exemple pour illustrer mon
> > propos,
> > > les millions de sites Wordpress (en licence GPL) qui se font
> > pirater
> > > de
> > > façon automatisée dès qu'une nouvelle faille apparaît. La
> > > décentralisation peut avoir des avantages, mais l'apport en
> > sécurité
> > > est conditionné aux compétences des administrateurs locaux.
> > > 
> > > Librement,
> > > 
> > > --
> > > Pour vous désinscrire de cette liste :
> > > https://listes.april.org/wws/sigrequest/educ
> > > 
> > > Pour connaître la configuration de la liste, gérer votre
> > abonnement à
> > > la liste educ et vos informations personnelles :
> > > https://listes.april.org/wws/info/educ
> > > 
> > > 
> > 
> >

Attachment: publickey - list-educ AT ciel.ovh - a93ebfcf.asc
Description: application/pgp-keys

Attachment: signature.asc
Description: OpenPGP digital signature