risques encourus avec ce message ?

Je pense aussi qu'il y a un appel d'offre mais je pense aussi que c'est la crise et que certains lycées/collège/universités prennent le moins cher.

Oui et non, même sans contexte de crise, on te vend dans la propale une option sécurité (vu qu'elle est pas demandée initialement), si dans l'équipe de décideur personne ne pige la sécu, l'option sera pas commandée. Et effectivement, c'est moins cher.

Je t'emmerde C'est bon j'ai de nouveau le courant chez moi depuis quelques heures.

Bon plus sérieusement, même s'il y a aucune exigence dans le CDC, ça coûte quoi au dev de simplement hasher les pass dans la base de données ? Ça lui coûte quoi de juste toucher un mot à son supérieur pour lui dire que "afficher tous les mots de passe en clair quand on est admin" c'est débile, qu'à la rigueur donner droit de modif okay mais que droit de lecture ça sert à rien ? Et puis s'il utilisait un framework un tout petit peu répandu, ce sont des choses qui sont de base dans le système ce genre de sécus.

Nan sérieusement, il y a pas que les clients qui en ont rien à péter de la sécu. Le dev aussi apparemment, et ça c'est plus gênant parce que c'est celui le plus à même de remarquer ce genre d'aberrations normalement.

Enfin je sais pas vous mais moi j'ai jamais codé le moindre système où je conservais un mot de passe en clair quelque part.

Je pense surtout qu'il faut arrêter de se voiler la face sur ce qui est fait dans le monde professionnel. Là on peut considérer la boite comme un presta qui reçoit des commandes. Ta commande te demande telles fonctionnalités pour tant de k€ pour tant de jours. On prendra pas le risque de pas pouvoir tenir les délais parce que tu as voulu faire des jolies choses à côté. D'abord tu boucles ce qui est demandé, après tu vois (et généralement, tu fais rien vu que ça réduirait la marge que tu fais).

La sécurité c'est cher, que ça en développement, en archi, en gouvernance, etc., donc tu fais avec les moyens que tu as et les priorités que tu définis. C'est triste, ça je suis totalement d'accord.

Le client, c'est l'éducation nationale, c'est une administration, donc tu n'essayes pas de discuter avec si ça ne te rapporte rien. Le CDC dit que l'admin doit pouvoir redonner les mots de passes à ceux qui les oublie, donc l'admin doit voir les mots de passe, donc il ne doivent pas être hashé. Et autant ne pas les chiffrer, ça facilite l'accès à la base.

La Spec est conne ? Peut être, mais ça ne coûte rien à implémenter, négocier un changement de spec, ça coute du temps.

D'ailleurs je me souviens quand j'étais en post-bac, en début d'année on ouvrait nos comptes AD, changeait nos MDP. 1 mois après, les 3/4 avaient oublié leurs MDP, et les profs faisaient passer une liste avec les mots de passe de toute la promo, en clair.

Généralement le "business" (ici les profs et leurs besoins, comme le cite Natalya par exemple) prime sur la sécurité.

Ce genre de trucs donne quand même vachement envie de passer une petite année de sa vie à hacker discrètement des tas de services comme ça pour finir avec une énorme base de mots de passe et d'informations, pour finir par faire comprendre au média qu'on a les mots de passe de la moitié des Français en seulement un an. Peut-être qu'un truc comme ça ferait réagir certains "business".

Mais bon, c'est pas du tout nouveau. Les problématiques de sécurité énormissimes il y en avait avant l'informatique. C'est juste que c'est plus simple de faire des attaques massives maintenant. Ce qui m'effare ce n'est pas la facilité d'obtenir un mot de passe ou de falsifier ses notes, c'est la facilité à le faire sur des milliers d'élèves en même temps.

Je pense savoir de quel ENT il s'agit, et si c'est bien lui (je l'utilise), sachez que c'est pas un scoop… (pensez à éditer/masquer ce message si il en dit trop), cet ENT n'est pas sécurisé (on le sait déjà, donc des failles de ce genre tu en trouvera d'autres si tu cherche à mon avis, mais ne le fais pas), et pas ergonomique (vraiment pas pratique du tout). Et l'entreprise se fait des millions sur le dos des régions… bref, la sécurité n'est plus la priorité (et n'as sûrement jamais été) des entreprises, contrairement au fric.

Petite citation qui m'a marquée, plus ou moins HS : "La vie privée (la sécurité ?), tout le monde s'en fout quand c'est une (relativement) grande entreprise qui la viole" (entre parenthèses, ce sont mes ajouts).

On utilise pas la même alors.

Oui, soyons utopiques, imaginons qu'un ancien de la NSA révèle que la NSA surveille les transactions du monde entier, diminue la sécurité des logiciels volontairement, et espionne même les chefs d'Etats alliés des USA. Là c'est sur, du jour au lendemain, on arrêterait de tout diffuser sur Facebook, de faire confiance au gouvernement des USA, on prendrait des sanctions exemplaires, … Wait

Après je trouve quand même qu'il y a une différence entre être espionnable par un service avec les moyens qu'a la NSA, et être espionnable par le premier connard venu qui sait exploiter des failles franchement connues et basiques. J'ai quand même plus peur dans le deuxième cas, bien que je sois pas réjoui par le premier.

Le premier devrait pousser le deuxième à améliorer son niveau de sécurité. Après, on se rend pas forcément compte de l'extérieur, mais beaucoup d'entreprises parte de trèèèèèès loin en sécurité, et le processus est trèèèèèès long à mettre en place (même pour des trucs tout con, comme le chiffrement en BDD). Et après, c'est comme souvent, le business qui prime dans les décisions. La sécurité ça coûte, le business ça rapporte. On se rend pas compte qu'en dépensant en sécu, on évite POTENTIELLEMENT de perdre des millions derrière (tu tournes à $200, grosse louche, par data comprise avec tous les coûts annexes liés), mais vu que c'est de la gestion de risque, bah c'est pas toujours prioritaire.

Je suis tombé sur ce sujet et j'arrive après la bataille. Je suis quand même hyper étonné que des trucs aussi gros passent à travers les mailles du filet et pourtant, je suis dans le métier, j'ai vu des trucs sales, mais là on est en train de parler de :

Le client, c'est l'éducation nationale, c'est une administration

Donc marché public + cadre "ministériel", ça veut dire appel d'offre (public donc) avec toute la ribambelle de documents attachés sur, entre autres, la sécurité et l'accessibilité.

Alors ouais, des trucs dégueu j'en ai vu à la pelle, mais des marchés publics j'en ai vu défiler un paquet et là y'a à mon avis une immense faute soit :

• de la part du commanditaire du marché public de ne pas avoir attaché tous les référentiels de l'administration à respecter (ACAI, RGS, RGI et compagnie)

• de la part du prestataire qui a sciemment zappé la partie sécurité

Je ne sais pas si vous avez souvent lu des appels d'offre dans le cadre de marchés publics pour le gouvernement, mais franchement ce genre de conneries sont très largement couvertes. Oui y'a des saletés fonctionnelles parce que l'AMOA est nulle, etc. Bref, les trucs qu'on connaît tous, mais là selon moi y'a faute, et grosse faute.

Et s'il s'avère que l'émetteur du marché public (le ministère de l'éducation nationale ?) a bel et bien attaché tous les documents relatifs à la sécurité des systèmes informatiques, ça veut dire grosses pénalités, jusqu'à rendre caduque le marché ?

Le marché public c'est vraiment pas le projet anodin avec un CdC merdique sur lequel on gratte quelques k€ où l'on peut sur la propale.

On n'est pas, je crois, en train de parler d'entreprises privées, du coup une bonne partie de votre discours (reflétant bien la réalité au demeurant) n'est pas adapté.

Si je puis me permettre, ce n'est sans doute pas aussi simple. Manifestement, tous les lycées et collèges ne sont pas équipés de cette solution : ce n'est donc pas l'État qui a fait un achat global. Au mieux, l'achat s'est fait à l'échelle d'une académie, au pire, c'est chaque établissement qui fait sa sauce dans son coin. Et c'est sûrement plutôt cette dernière solution : bien que similaires, l'ENT n'est pas le même dans l'établissement vauclusien où travaille ma femme et dans l'établissement buccorhodanien où elle travaillait il y a quelques années. Dans ces conditions, ce n'est pas dit que les établissements atteignent la barre des 90000 € HT qui rend obligatoire la procédure de marché public.

OK, donc "le client c'est l'éducation nationale" ne serait donc pas juste dans ce contexte.

Effectivement dans ce cas mon message n'est pas pertinent.

Pour un outil aussi commun qu'un ENT, il est tout de même étonnant qu'il n'y ait pas de cahier des charges standard. Pour un gouvernement si prompt à émettre des normes, c'est presque une surprise qu'il n'y en ait pas sur ce point là !

En supposant très largement, je pense que si directives il y a, elles sont plus orientées fonctionnelles (pouvoir gérer les absences, l'emploi du temps, les notes de telle ou telle façon) qu'orientée technique.

J'ai bossé y a quelques années sur un projet "d'extranet" pour un lycée, et même si mes interlocuteurs étaient du monde de l'IT, jamais la question sécurité n'a été posée par eux lors du cadrage et de la définition des besoins.

Dans le cas de ce sujet, je te confirme qu'il n’agis bien de la dernière solution

Il suffit de regarder la carte que j'ai posté page 3 pour voir que ce n'est pas une académie ou ne région précise qui a commandé cette source à problèmes solution technique. De plus j'ai pas été vérifier précisément(la flemme d'aller vérifier un par un chaque lycée, désolé ) mais j'ai l'impression qu'une partie des clients sont des lycées/établissements privés ("institut catholique de…"). Ça m'étonnerai que ça soit l'état français(éducation nationale ou autre) le commanditaire dans ce cas.

Par contre, tu as raison je trouve abérant qu'il n'y ai pas de normes de sécu dans ce cas.

Et pour moi c'est encore pire qu'ils aient laissé les pass en clair. Faites au moins un hash md5 pour faire semblant les gars, faites un effort quoi....

Et pour moi c'est encore pire qu'ils aient laissé les pass en clair.

Il suffit que le client ait une demande idiote du genre "on doit pouvoir retrouver son mot de passe", et personne assez bon/impliqué en sécurité pour leur expliquer pourquoi ça ne se fait jamais, pour qu'ils soient parti sur ce genre de solution.

Et puis de toute manière, la sécurité au lycée n'a jamais posé de "soucis" depuis longtemps : tant que les événements restent invisible, il n'y a pas de soucis, et de toute façon le bac est déjà noté sur 24 depuis quelques années. Il suffit de voir les identifiants pour admission post bac (5 chiffres identifiant, 5 chiffres mot de passe, mais attention, c'est sécurisé, on ne peut pas les modifier, et on ne peut plus les voir une fois l'inscription passée) ou les réseaux utilisés.

De même, pendant ma terminale, on avait accès aux comptes administrateurs pour les Sciences de l'Ingénieur (parce que j'utilisais beaucoup d'outils non installé pour mes projets), c'est-à-dire que je pouvais tout modifier, et demander au serveur d'installer une ISO sur tous les PC du lycée (ce qui aurait évidemment été vraiment idiot. Quoi que, pour une bonne linuxparty, ça peut le faire).

Sinon, c'est un poil HS et je n'ai pas vérifié la source, mais quelqu'un sur linuxfr avait posté un journal où il expliquait que Centrale Paris avait transféré les mails du serveur interne (fourni aux étudiants) vers une société privée, ayant eu des controverses sur la vie privée, pour ne plus avoir à s'en occuper, le tout en quelque heures (de cours, évidemment) entre le moment de l'annonce et l'effectivité du transfert.

Comme quoi, les données les plus importantes à protéger, c'est d'abord celles que tu fournis.

Edit : mmmh, désolé pour la date …