Clés OTP, sécurité et intégrité des données: mais que fait la CNIL?

Les services du ministère de l’Education nationale sont-il pris d’une soudaine frénésie sécuritaire? Ou est-ce avant tout pour protéger leurs arrières en cas d’attaques ciblées visant à compromettre les données personnelles de ses fichiers tentaculaires?

Le site Reflets.info pose clairement la question — dans deux articles des 15 et 22 mai — suite à la diffusion d’une lettre émanant du rectorat de Nantes [ci-dessous]. Le responsable de la sécurité informatique y demande par mail aux « utilisateurs de clés OTP », la serrure électronique qui sert de sésame pour entrer des données dans Base élèves, d’observer une « vigilance particulière » dans son emploi quotidien.

(clic pour agrandir)

Les membres du CNRBE savent depuis longtemps que les précautions d’usage rappelées dans cette missive ne sont que très rarement observées. Le code PIN à 4 chiffres, par exemple, figure très souvent avec la clé sur un papier ou un bout de plastique, et celle-ci, malgré les directives du ministère, est tout aussi souvent « prêtée » par le directeur à des personnels non habilités (animateurs TICE ou personnels EVS) qui remplissent le fichier à sa place. Soit pour lui « rendre service », soit parce que le directeur ou la directrice refuse de remplir ce fichier.

Il est donc particulièrement curieux que les professeurs qui assument une fonction de direction soient à nouveau mis sur la sellette, car en cas d’usage frauduleuse de leur clé, ils pourraient être tenus responsables.

(clic pour agrandir)

Une autre lettre éloquente vient de nous parvenir. Elle date de septembre 2010 et émane du rectorat de Toulouse [ci-contre]. Elle évoque des «courriers électroniques mal intentionnés dont le but est de récupérer les noms et mots de passe des utilisateurs de notre messagerie». «Les identifiants récupérés sont ensuite utilisés pour mener des campagnes d’envoi de courriers indésirables (spam) à grande échelle. Cela a pour effet  de très  fortement solliciter les serveurs de messagerie académiques et d’impacter le système d’information dans son ensemble».  

Dans le même ordre d’idée, une note de la même académie d’avril 2011 résume, dans un document PDF bourré d’explications techniques, comment déjouer des «attaques en filoutage et en ingénierie sociale» (sic). Les enseignants doivent donc assimiler cette « culture » de la sécurité informatique au risque d’être un jour mis en cause en cas d’abus dans l’usage de leur clé OTP.

Cela montre par ailleurs que le risque informatique n’est pas réservé aux données commerciales qui sont l’objet ces derniers temps de failles et de fuites à répétition.

Comme l’écrit l’article de Reflets.info :

Alors que de nouvelles failles de sécurité de données commerciales font grand bruit dans la presse — l’affaire TMG, sous-traitant de l’agence Hadopi, ou encore ces 35 millions de profils Google à poil sur internet —, que faut-il faire pour que les informations nominatives de millions d’enfants fassent l’objet d’autant de sollicitudes?

Il est particulièrement choquant que la CNIL se démène pour afficher sa réactivité, en se déplaçant illico, suite aux révélations de Reflets.info, dans les locaux de TMG pour éclaircir cette fuite. Et qu’elle médiatise le but et les conditions de sa visite de courtoisie alors que l’auteur de l’infraction, la société TMG elle-même, ose annoncer « porter plainte pour vol de données »…

Le CNRBE ne peut qu’encourager les services de la Commission de se pencher très sérieusement sur ces méthodes de sécurisation et sur les contradictions récurrentes entre les « consignes » venant d’en haut et ce qui se passe tous le jours dans les écoles. En outre, il est choquant de constater que le ministère reporte la responsabilité d’un accès frauduleux sur les personnels, alors que selon la loi seul le « responsable du traitement » — le MEN — doit assurer la sécurité et l’intégrité des données.