Journal Du logiciel libre autour de l'école

Posté par (page perso) .
Tags : aucun
8
27
jan.
2010
Bonjour à toutes et à tous.

 Je découvre aujourd'hui en feuilletant virtuellement un quotidien français qu'un logiciel libre va se répandre dans les lycées français d'ici moins de trois ans [1].
N'étant pas sûr de la durée pendant laquelle l'article restera accessible, je vous récapitule l'article.

 Des informations sur le déroulement de la vie interne des lycées d'Île-de-France seront bientôt consultables en ligne sur une plateforme nommée Lilie [2]. Élèves et parents auront accès aux notes qui les concernent ainsi qu'aux emplois du temps et à des documents pédagogiques, et le personnel administratif aura aussi accès aux cahiers de texte.
Identifiants et mots de passe seront de rigueur, mais aucune information sur la politique interne de sécurité n'est citée par l'article. (Pour ma part, je souhaiterais inculquer des notions de sécurité aux lycéens avec changement de mot de passe à chaque trimestre, et obligation d'utiliser des signes de ponctuation.)
Par ailleurs, Lilie devrait servir aussi d'outil de communication reliant les élèves et leurs professeurs en dehors des heures de cours.

 Déjà installée dans une quinzaine de lycées, Lilie devrait donc couvrir les 471 lycées de la région pour la coquette somme de 24 millions d'euros.

 Les moules les plus barbues apprécieront la page [3] qui traite de la liberté.

[1] http://www.lemonde.fr/web/depeches/0,14-0,39-41515780@7-37,0(...)
[2] http://lilie.iledefrance.fr
[3] http://lilie.iledefrance.fr/fr/qu_est_ce_que_le_libre_
  • # (-_-)

    Posté par (page perso) . Évalué à 5.

    (...) permettra aux membres de la communauté éducative d'échanger 24 heures sur 24.
    Un enseignant ne pourra cependant pas être dérangé par d'éventuels messages de ses élèves à toute heure du jour ou de la nuit: il suffira pour cela qu'il ne soit pas connecté à Lilie.


    Ouf ! J'avais eu peur que les enseignants ne puissent plus dormir... La prise USB qui connecte leur cerveau au système peut être enlevée la nuit, heureusement !

    GNU's Not Unix / LINUX Is Not Unix Xernel

  • # Politique d'insécurité

    Posté par (page perso) . Évalué à 1.

    Identifiants et mots de passe seront de rigueur, mais aucune information sur la politique interne de sécurité n'est citée par l'article. (Pour ma part, je souhaiterais inculquer des notions de sécurité aux lycéens avec changement de mot de passe à chaque trimestre, et obligation d'utiliser des signes de ponctuation.)

    Deux remarques : 1) imposer l'emploi de caractères non alphabétiques dans les mots de passe est une mesure particulièrement saine dans un monde idéal. Malheureusement, particulièrement chez les jeunes qui sont victimes des campagnes intensives de redmonde en direction de l'éducation nationale, on trouve de nombreux utilisateurs de mswidows. Hors ce système utilise encore et systématiquement (sauf erreur de ma part) d'anciens encodages de caractères ISO plutôt que des standards de fait plus polyvalents tels que l'utf8. Et même probablement, selon la région du monde dans laquelle on se trouve, l'encodage utilisé est différent. Résultat, en ayant l'impression de rentrer le même mot de passe, on peut se retrouver à en envoyer un autre qui ne fonctionne pas pour cause de problèmes d'encodage [1].

    2) Par ailleurs, changer de mot de passe tous les trois mois, ne me semble pas vraiment une politique de sécurité raisonnable pour des informations aussi peu sensibles. Ça aurait surtout l'avantage de dégoûter tous les élèves et leurs parents de la sécurité informatique. Si en plus ils ne consultent pas souvent le site, cela aurait tout de même l'avantage de contribuer à résorber le chômage en France à cause de l'armée d'employés nécessaires à assurer le support technique et la réinitialisation régulière des mots de passe.


    [1] C'est du moins ce que je déduis des expériences malheureuses des otages windos voulant utiliser les machines dont je suis responsable qui ne pouvaient pas entrer leur mot de passe par défaut.
    • [^] # Re: Politique d'insécurité

      Posté par . Évalué à 2.

      En meme temps, s'ils n'ont pas au moins une personne a plein temps et competente (ie. par un mec qui n'y connait rien et qu'on force a le faire comme ils presentent dans leur partie "admins") pour s'occuper de gerer le truc, ca va etre drole.

      Je sais pas comment ils vont faire exactement, mais j'espere qu'ils generent des mots de passe forts pour tous les utilisateurs, qu'on ne peut surtout pas changer sauf en demandant a l'admin d'en generer un nouveau.

      Avec un bon niveau de log et des alertes en cas de comportement bizarre, c'est encore la meilleure solution pour etre sur de ne pas avoir de vol de comptes (entre deux eleves qui se piquent leur mot de passe et des eleves qui devinent le mot de passe d'un prof, la premiere solution est fortement preferable).
    • [^] # Re: Politique d'insécurité

      Posté par (page perso) . Évalué à 5.

      Windows supporte l'utf8 depuis XP et était meme en avance sur le libre vu que NTFS sous XP était en utf8 alors que aucune distribution à l'époque n'utilisait utf8 par défaut.
      • [^] # Re: Politique d'insécurité

        Posté par (page perso) . Évalué à 4.

        Hem, NTFS n'était pas mis par défaut sous XP.... jusqu'en 2005!

        ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

        • [^] # Re: Politique d'insécurité

          Posté par . Évalué à 3.

          Tout dépendait de la version de XP que tu avais. Si c'était la version familiale, alors c'était de la FAT32 (et en particulier si tu faisais une mise à niveau). La version pro proposait NTFS par défaut.
    • [^] # Re: Politique d'insécurité

      Posté par (page perso) . Évalué à 4.

      Changer de mot de passe tous les 3 mois est une mauvaise idée. En voulant sécuriser plus, c'est le contraire qui se passe en pratique : les gens écrivent leur mot de passe sur un bout de papier pour ne pas l'oublier, pas loin de l'ordinateur généralement (ou un post-it sur l'écran...), et donc une personne qui tombe sur ce bout de papier peut accéder sans aucun problème sur le compte sans que les administrateurs ne voient quelque chose de louche (brute force ou autres)...

      « Un animal d'une atterrante stupidité : il est persuadé que si vous ne le voyez pas, il ne vous voit pas non plus » (H2G2)

      • [^] # Re: Politique d'insécurité

        Posté par (page perso) . Évalué à 3.

        Moi qui utilise en général des mots de passe à sécurité forte, j'ai déjà du mal à tous m'en souvenir (mais j'y arrive). Alors quand, dans une entreprise pour mon cas, on me demande de changer tous les mois, j'en reviens à choisir un mot de passe un poil plus court (oui parce que y'a des longueurs max aussi sinon c'est pas drôle), et je rajoute le mois derrière.

        En en discutant avec plusieurs collègues au fil du temps, je me suis rendu compte que bcp de gens faisaient comme moi ou de manière similaire (un chiffre qui s'incrémente). Du coup, l'intérêt est carrément nul, alors que si on demandait à utiliser un mot de passe long et avec des caractères non-alpha, à changer tous les ans, ça serait sûrement plus sûr.
        • [^] # Re: Politique d'insécurité

          Posté par (page perso) . Évalué à 1.

          Mais sur les systèmes raisonnablement cohérents [1], le tour de passe passe consistant à rajouter une numéro incrémental au mot de passe à changer régulièrement n'est pas accepter. Ce serait complètement idiot de le faire non ? On en est réduit à inventer des mots de passes vraiment nouveau à chaque fois.

          [1] Pour mon cas il s'agit de distros linux bien connus à thème orange brunie.
          • [^] # Re: Politique d'insécurité

            Posté par (page perso) . Évalué à 2.

            Ce serait complètement idiot de le faire non ?

            Non, c'est tout-à-fait cohérent. Puisque normalement le mot de passe n'est pas stocké en clair mais c'est un hash du mot de passe qui est stocké et qui permet de ne pas retrouver l'original en ayant le hash.

            Si le système veut detecter une différence majeure (et pas minime) entre les mots de passe, il doit les stocker en clair. Ça veut donc dire que l'administrateur y a accès et donc qu'il peut les essayer sur les sites web que les utilisateurs fréquentent.

            Ça m'étonne beaucoup en tout cas.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: Politique d'insécurité

              Posté par (page perso) . Évalué à 1.

              quote

              Si le système veut detecter une différence majeure (et pas minime) entre les mots de passe, il doit les stocker en clair. Ça veut donc dire que l'administrateur y a accès et donc qu'il peut les essayer sur les sites web que les utilisateurs fréquentent

              /quote

              Les mots de passe web ne sont pas stockés sur le système de l'utilisateur. Donc pas de possibilité pour l'admin de savoir quoi que ce soit
              Pour ce qui concerne le système :
              As tu déjà utilisé la commande passwd ? Elle te demande l'ancien mot de passe et le vérifie avant de te permettre de le changer.

              Pour la plupart des sites, ça fonctionne pareil, ou devrait le faire, ne serait-ce que pour interdire à un plaisantin de changer le M.D P. sur une session qui serait restée ouverte, que ce soit par flemme ou non intentionnellement.
              • [^] # Re: Politique d'insécurité

                Posté par . Évalué à 2.

                « As tu déjà utilisé la commande passwd ? »

                Ce n'est pas de ça qu'il s'agit, mais d'empêcher l'utilisateur de changer subtilement un mot de passe pour un autre à peine différent. Vu le cahier des charges pour une bonne fonction de hachage (entre autres choses, une petite différence dans le message en clair doit donner un haché très différent en résultat), j'avoue qu'effectivement quand/si un système me répond que mon mot de passe est trop proche de l'ancien, je me pose des questions sur la façon dont les mots de passe ont été stockés.

                Surtout qu'un mot de passe compliqué qui change un tout petit peu tous les mois disons (même si ce n'est qu'un « compteur » qu'on incrémente [1]), ça ne me semble pas idiot: une partie du mot de passe est certes prévisible (à condition de connaître la valeur initiale de la séquence), mais l'autre partie reste compliquée. Au final on a bien une sécurité accrue.

                [1] Et à condition que le compteur en question ne soit pas trop prévisible non plus. Typiquement, je prendrais une valeur alphanumérique arbitraire (A57 par exemple), et à chaque nouvelle version du mot de passe, j'incrémenterais (A58, A59, ... B00). Si on choisit un numéro de mois comme il a été dit précédemment, alors effectivement on réduit la sécurité parce que c'est le genre de choses qu'on peut essayer de retrouver en faisant des attaques un peu intelligentes.
            • [^] # Re: Politique d'insécurité

              Posté par (page perso) . Évalué à 2.

              Si le système veut detecter une différence majeure (et pas minime) entre les mots de passe, il doit les stocker en clair.

              Absolument pas, il suffit de demander le mot de passe actuel en même temps que le nouveau. On le compare avec le hash enregistré et ensuite on peut faire les comparaisons de différences.
      • [^] # Re: Politique d'insécurité

        Posté par (page perso) . Évalué à 1.

        Ecrire son mot de passe sur un bout de papier est une bonne solution si on utilise des passcards.

        http://devnewton.bci.im

  • # Traduction en francais

    Posté par . Évalué à 5.

    Pour ceux qui veulent la correspondance Francais <=> Education nationale, penser a consulter la page du grossaire: http://lilie.iledefrance.fr/fr/glossaire

    Donc ENT, c'est un workspace en gros quoi ^_^

    Je sais pas qui a certaines pages et a quoi ils carburent, mais ca se lit un peu comme une document ecrit par le departement marketing dans une entreprise, c'est parfois assez rigolo (en fait je pense que c'est ecrit par les marketeux de Logica...). En plus, on peut aussi jouer au buzzword bingo avec. Un exemple: Les lycéens sont des Digital Natives, des natifs du numérique. Yeah, man!

    Bon sinon, ca a l'air d'etre du bon boulot, ils ont rien laisse de cote. A chaque cible son paragraphe avec ses preoccupations:
    - le proviseur qui coordonne et qui fait de la conduite du changement
    - les enseignants (les acteurs centraux sur qui repose la dynamique d'usage qui entraîne les autres utilisateurs :D) qu'on rassure et a qui ont fait miroiter la "poursuite" du cours en dehors de la classe (bon courage!) et a qui on promet surtout des pratiques respectueuses de [leur] liberté pédagogique
    - les parents avec le suivi des notes, des absences et des retards, avec un couplet sur les parents d'eleves (tu m'etonnes, il vaut mieux pas les oublier).
    - les eleves avec le discours marketing en anglais, le name-dropping (Facebook!) et la promesse d'integrer le mail et le chat au projet pedagogique (kikoolol?)
    - les admins (en fait le pov' gars sur qui ca tombe de s'occuper de ca et qui peut-etre n'a jamais touche a un pc de sa vie). Il a droit a un contact direct avec un correspondant Logica (faut bien que ca serve a quelque chose les stagiaires).
    - la vie scolaire pour gerer les absences.

    Maintenant, il faudrait etendre ca a toute la France (c'est du LL, autant en profiter, quitte a payer des boites de services francaises pour deployer et adapter aux besoins). Ca permettrait de se debarasser des logiciels proprio qu'on oblige les enseignants a utiliser pour la saisie des notes.
  • # Je tombe des nues !

    Posté par . Évalué à 5.

    Merci Linuxfr, "administrateur" d'un gros lycée parisien, participant activement au développement de projets libres liés à l'éducation (SambaEdu3, Gepi...), Je découvre grâce à vous que nous allons avoir l'an prochain un ENT qui fera tout... Super ! Donc exit GEPI ( notes, cahier de textes, absences...). Cela nous fera du boulot en moins, du moins si cela fonctionne ! Car en regardant le site, je prends peur : un beau discours marketing, mais aucune info technique : comment se font les connections : https, vpn ? Comment ce truc va-t-il s'interfacer avec les base élèves et emploi du temps. Là je rigole : quand je vois qu'actuellement il est quasi-impossible de remonter les infos d'emploi du temps vers les bases administratives Sconet ( nomenclatures des matières et des enseignements datant des années 80...), et qu'à aucun moment une interopérabilité n'est assurée entre les bases officielles et les solutions de serveurs pédagogiques, nous obligeant àchaque fois à bidouiller des moulinettes...

    Bref, je demande à voir !

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.