Livret scolaire universel numérique et sécurité des donnés Nos questions au MEN, ses réponses et nos commentaires

, par sudeducariege

Suite à la réunion du mois mai au ministère sur la mise en oeuvre du livret scolaire numérique, nous avions adressé au ministère une série de questions relatives en autre à la sécurité de l’application.

Le MEN a mis 5 mois pour nous répondre. Voici les réponses du MEN avec nos commentaires.

Sécurité des données stockées sur les serveurs académiques.

Les réponses qui ont été apportées au GT sur ce point nous paraissent insuffisantes. En effet un système est d’autant plus fragile qu’il est accessible à un nombre important de connecté-es, ce qui sera le cas du LSUN. C’est pourquoi nous pensons que les possibilités de fuites et d’entrées ne manqueront pas.

1-Situation des serveurs académiques

Les récents accords Microsoft-MEN incluent-ils une solution propriétaire de la marque de Redmond ?

Nous pensons qu’il y a des fortes probabilités que les serveurs académiques se situent en dehors du sol français, ce qui multiplient les possibilités d’interception des données. Cependant la présence sur le territoire français en lien avec les dernières lois votées, ne minimisera pas non plus ces possibilités d’interceptions.

MEN : L’application LSUN est déployée dans chacun des 30 centres informatiques académiques sécurisés.

L’accès à cette salle est réservé au personnel habilité et réglementé (badge d’accès nominatif). L’application LSUN y est hébergée sur des serveurs installés dans cette salle et l’architecture n’utilise pas de serveurs Microsoft.

Commentaire

La réponse du MEN ne prend en compte que l’accès physique au serveur. Ce qui veut dire qu’il y a une sécurité « physique » du serveur mais pas forcément une sécurité des données par intrusion sur le réseau. Il y a de nombreux serveurs piratés qui l’ont été par intrusion par les réseaux. De plus dire qu’il n’utilise pas de serveurs IIS (prononcer 2 « is ») et ASP ne veut pas dire que les ordinateurs ne seront pas sous le système d’exploitation windows 10. Or les ordinateurs sous windows 10 envoient des données confidentielles à Microsoft. Donc on pourrait demander si les ordinateurs qui sont sous linux ou sous Microsoft fonctionneront de la même façon mais on se doute déjà fortement de la réponse.

2-« Oubli des données »

Par ailleurs si cette centralisation est effective, les affirmations sur l’« oubli des données » risquent de ne pas être effectives du tout . En effet, il y aura toujours des copies de sauvegarde hors circuit – voire en différents lieux géographiques.
En ce qui concerne l’effacement des données nous supposons qu’elle ne se fera pas automatiquement. Ce qui suppose que cette opération sera manuelle.
Donc, y a t-il des dispositifs prévus pour l’effacement de ces données ?

1/ Restreindre l’accès aux données détaillées (bilan périodique) du cycle en cours. Seuls les agents habilités (gestion identité et politique d’habilitation associée) sont autorisés à accéder aux données LSUN via l’application.
2/ Aucun traitement ne permet d’extraire les données du LSUN pour créer des sauvegardes « pirates ».
2/ Un traitement informatique effacera les données après la sortie de l’élève (3ème).

Commentaires

L’application ne permet pas de faire des sauvegardes sur supports externes. Il n’y aura donc pas la possibilité d’enregistrer les livrets sur support mémoire. Donc pas de possibilités de sauvegardes sauvages. C’est déjà ça.
Il faudrait demander si les données sur tous ces centres feront l’objet d’une centralisation. En vue d’une analyse nationale, par exemple. Dans l’affirmative, elle devrait être exclusivement par utilisation du réseau internet. Le MEN a en effet assuré
qu’une externalisation sur support physique est impossible.
Donc, le transfert des données ouvre des possibilités d’interception.
Il n’y a pas de réponse claire sur le traitement informatique pour effacer les données après la sortie de l’élève. On ne sait donc pas si ce sera une opération manuelle ou si elle sera automatique par l’application. Nous doutons que la suppression automatique soit possible car les élèves redoublent ou changent d’établissement. Qui va faire le pointage ?
Donc les données devront être effacées manuellement. Avec quels moyens humains et horaires. Le MEN n’a rien prévu pour cela.

3-Chiffrement préalable

Les noms-prénoms des élèves sont-ils chiffrés avant d’être stockées dans la BDD ?
Les données noms et prénoms élèves sont transmis au LSUN à partir des SI de la scolarité. Les données ne sont pas chiffrées, mais les accès aux données sont sécurisés. Si non, l’éventuel vol de ces données expose beaucoup de nos futurs concitoyen-es. Les serveurs de base de données sont hébergés dans les salles serveurs décrites précédemment. L’accès à ces serveurs est restreint au personnel de ces salles. Toutes les protections mises en oeuvre pour LSUN sont celles communes aux applications de gestion des élèves (cas de la scolarité sur SIECLE 2nd degré ou BE1D 1er degré par exemple).

Si oui, quel algorithme est utilisé ?

Il nous semble que seul un AES 256 serait efficace.
Cf. réponse sur le question chiffrement des données.

Commentaires
La sécurisation des serveurs a ses limites.
Des données sécurisées sont des données stockées chiffrées. Ce qui n’est pas prévu par le MEN. En cas de vols ou intrusions (ingénierie sociale, attaques par l’homme du milieu, faille zéro day, injection...), les données nominatives sont facilement exploitables car non chiffrées dans la base. De nombreux cas de vols de ce type émaillent l’actualité.

Les identifiants et mots de passe de connexion sont-ils imposés par l’application ou choisis par l’internaute ?

Agents : l’accès à l’application se fait par le portail ARENA pour lequel le compte ministériel de l’agent est utilisé. Identifiant "imposé", mot de passe "choisi".

Parents/responsables/élèves : l’accès au téléservice se fait avec
• le compte téléservice ministériel - Identifiant "imposé", mot de passe "choisi"
• ou bien le portail gouvernemental FranceConnect - Identifiant "choisi", mot de passe "choisi".

Commentaire

Un mot de passe choisi est un mot de passe faible. Aucun consultant en sécurité des systèmes ne le niera. Ces mots de passe se craquent facilement, quand ils ne traînent pas en clair sur un coin de disque dur, voire sur un post-it sous le clavier !
Il faut aussi demander si une politique de changement obligatoire de mot de passe est prévue. Si non, c’est inconcevable. Cf les clef OTP qui vont dans ce sens.
Donc là encore pas de sécurité.

4-Connexion HTTPS

Est-ce que le type de connexion utilisé au service est en HTTPS ?

Oui, pour l’accès des agents à l’application, et pour l’accès des parents/responsables/élèves au téléservice. En effet, si le protocole SSLv3 est utilisé, il faut savoir qu’il fait l’objet d’une faille POODLE. Il serait donc à bannir donc au profit des TLS. Comme tous les autres acteurs sur Internet nous devons assurer la cohabitation TLS vs SSL v3 pour que les usagers qui n’ont pas encore un navigateur moderne puissent accéder au service.
TLS est mis en oeuvre par défaut sur les serveurs.
La faille PODDLE sur le protocole SSLv3 a été révélée par Google le 14 octobre 2014.
A titre indicatif Google a annoncé la fin de la mise en oeuvre de SSLv3 sur ses Services (Gmail) pour le 16 juin 2016 soit près de deux ans après. Il faut prendre en compte le temps nécessaire à la mise à jour des navigateurs ou des postes de travail des usagers.

5-Open source

La BDD sera-t-elle sous MySQL, MSSQL, MariaDB, PostgreSQL ?
Seule une BDD open source garantie un audit indépendant et vigilant, gage d’un colmatage éventuel de failles de sécurité en toute transparence par une nombreuse communauté. L’application LSUN s’appuie sur une BDD PostgreSQL.

6-Emplacement différents des serveurs

Dans le cas d’une séparation géographique du serveur d’application et du serveur de la base de données, quel est le chiffrage utilisé pour le transit des données entre les serveurs WEB et le serveur SQL ?

Les serveurs d’application et de base de données sont hébergés côte à côte au même endroit en académie.

Commentaires

Il n’y aurait pas de possibilité de pirater les données entre le serveur et l’application. C’est une bonne chose. Si et seulement si elle resteront en « local ». Mais ces données ne devraient-elles pas l’objet d’une analyse nationale ? Auquel cas, la politique de sécurité d’accès au serveur « physique » ne sert à rien.

7-Ingénierie sociale

En cas de pertes des identifiants comment cela se passera t-il pour les récupérer et en avoir de nouveaux ?
Qui sera chargé de cela ?

Des dispositifs d’assistance académiques sont déjà en place pour le 2nd degré et se construisent pour le 1er degré. Les mots de passe sont ré-initialisés par les usagers et ne sont pas connus des services d’assistance. Pour la relation d’assistance pour le 2nd degré aux parents et élèves, ceci passe par la proximité du collège ou du lycée (secrétariat élèves avec utilisation du système d’information de la scolarité pour la remise des identifiants/mot de passe ou la réinitialisation).

Commentaires
Se pose encore et toujours la question des moyens. Les assistances académiques vont- elles pouvoir faire face aux demandes d’autant d’usager-es ? D’autre part,l’assistance dans le premier degré est irréalisable. Les directeurs/trices s’en chargeront ?

8-Application sous quelle technologie ?

L’utilisation de ce service rend-il obligatoire l’utilisation d’un navigateur en particulier ?
L’application LSUN pour les agents est qualifiée sur les navigateurs : Mozilla Firefox, Microsoft InternetExplorer, et Google Chrome. Les téléservices pour les parents/responsables/élèves est qualifiée sur les navigateurs Mozilla Firefox, et
Microsoft Internet Explorer. Les versions de navigateur les plus récentes assurent à LSUN et ses téléservices l’ergonomie visée.

Commentaire
OK

En corollaire du premier point, un matériel média sera-t-il nécessaire au fonctionnement de l’« application » ?

L’application LSUN pour les agents nécessite un navigateur, et donc un ordinateur, ou autre matériel. L’ergonomie est également compatible pour un écran de taille "tablette" ou "ordinateur", pas "téléphone mobile".

Commentaire

Tant mieux car cela n’a pas été toujours le cas par le passé.

9-Hégémonie

Le service sera-t-il multi-plateformes (Linux, MacOS, Windows) ? Oui.
Si non, nous rappelons que la compromission de vente est interdite en France.
Le service ne dépend que du navigateur, pas du système d’exploitation.

10-Informations

Outre la déclaration à la CNIL, le système mis en place doit répondre aux directives du G29 rendu le 16 septembre 2014 :

A - que soit réalisée, préalablement à tout lancement d’une nouvelle application dans l’internet des objets, une étude d’impact sur la vie privée ou « Privacy Impact Assessments (PIA) »,• que soit laissée aux personnes la possibilité d’utiliser les objets connectés de manière anonyme (par l’usage par exemple d’un pseudonyme),
• que la confidentialité par défaut soit appliquée à tout objet connecté ainsi que le Privacy by Design.

B - Il s’agit ensuite, ni plus ni moins que d’appliquer les principes régissant le droit des données personnelles, à savoir :
• informer les personnes concernées des différentes finalités du traitement de données effectuées. Cette information peut être, selon le G29, délivrée par exemple au moyen d’un flashcode apposé sur l’objet lui-même.
• indiquer aux dites personnes à qui seront, de façon exhaustive, communiquées les données,
• recueillir leur consentement préalable en cas de collecte de données sensibles,
• permettre aux personnes concernées d’exercer leur droit d’accès et de suppression des données qui les concernent,
• prendre les mesures propres à assurer la sécurité et la confidentialité des données traitées.

L’ensemble de ces demandes ont elles été effectuées ?

Hors sujet, référence à l’internet des objets connectés.

Commentaire

Un ordinateur est un objet connecté donc là c’est le MEN qui est hors sujet.

11-Consultation du CHCTMEN

Enfin concernant le temps de travail des enseignants-es et l’absence de matériel dédié pour effectuer cette nouvelle tâche, le CHSCT MEN a-t-il été consulté ?
Dans le 2nd degré, les collèges et lycées sont équipés par les départements/régions et un enseignant non équipé trouve du matériel disponible dans son établissement scolaire pour réaliser l’accès au LSUN. Pour le 1er degré, les mairies sont en charge des équipements dans les écoles.

Commentaire

On connaissait déjà la réponse et c’est non pas de consultation. La saisie du CTMEN par la fédération via un syndicat qui y siège, est en cours de finalisation.

Conclusion

Si on peut constater que globalement, contrairement à par le passé, un certain nombre de précautions légales ont été prises par le MEN pour garantir un minimum de sécurité apparente de cette application et pour avoir l’air de s’engager sur le « droit » à l’oubli avec un processus pour effacer les données à la fin de la troisième, globalement le système est potentiellement piratable.
En effet, étant donné l’absence de chiffrement, les données ne seront de fait pas sécurisées et donc facilement accessibles.
De plus, compte tenu du mode d’effacement des données choisi, il n’y a aucune garantie sur l’absence de pérennisation des données.
Enfin cette base de données sera centralisée. Or dès l’instant que les données sont stockées et centralisées, il y a traçage des populations et des individus, ce à quoi nous nous opposons.