Aller au contenu. | Aller à la navigation


Outils personnels

This is SunRain Plone Theme
Vous êtes ici : Accueil / Actualités / Vulnérabilités sur le cahier de textes chocolat

Vulnérabilités sur le cahier de textes chocolat

Une vérification s'impose !

Certaines versions de l'application "Cahier de texte chocolat" présentent trois failles conduisant à des fuites d'informations à caractère personnel, des pertes de confidentialité et des mises en ligne interdites de documents couverts par l'exception pédagogique.

Faille n°1 :
Plusieurs établissements de notre académie utilisent l'application "Cahier de textes chocolat" assortie d'un module spécifique destiné aux accès depuis un mobile. Cette fonctionnalité a été intégrée au produit depuis la version 4.8.9.0 standard du 30 Mars 2011. Le script d'authentification /cdt/mobile/index.php offre aux enseignants de se connecter par sélection de leur nom dans un menu déroulant puis de saisir leur mot de passe.

Pour ce faire, le code HTML envoyé au navigateur par ce script contient la liste des identités des enseignants de l'établissement associées à leurs identifiants dans l'application. Il est ainsi possible de collecter par une simple recherche Google la liste des enseignants de l'académie utilisant CDT avec leurs identifiants et classée par établissements.

À noter que, selon la version, le même fonctionnement est permis par le script d'authentification des accès non mobiles.

Faille n°2 :
Les documents joints au cahier de texte sont directement accessibles depuis l'internet sans authentification. Ils sont indexés par les moteurs de recherche et, surtout, par les moteurs d'agrégation de documents qui les associent aux noms des enseignants qui les ont mis en ligne.
Cela pose deux problèmes en fonction du contenu des documents :
- la fuite d'informations personnelles ou confidentielles ;
- la mise en ligne de documents couverts par l'exception pédagogique (lorsque les travaux proposés en comportent) pour lesquels il y a interdiction de publication sur l'internet.

Faille n°3 :
L'application offre la possibilité d'ouvrir l'accès aux élèves et parents avec ou sans authentification. Certains établissements ont opté pour l'accès non authentifié, ce qui équivaut à une mise en ligne publique.
Ceci pose deux problèmes :
- lorsque l'autorisation préalable fait défaut, la mise en ligne d'informations à caractère personnel concernant les enseignants sans leur accord exprès : nom, prénom, établissement, classes, disciplines enseignées, planning, etc. ;
- la mise en ligne de documents couverts par l'exception pédagogique (lorsque les travaux proposés en comportent) pour lesquels il y a interdiction de publication sur l'internet.

En corollaire du traitement de cet incident, il apparait nécessaire d'appeler l'attention des chefs d'établissement sur le fait que le cahier de texte n'est pas un document public et son accès est réservé à une population bien définie.

Ci-joint le guide "informatique et libertés pour l'enseignement du second degré"

Mots-clés associés : ,
Assistance

Etablissements publics 2nd degré

0820.208.201

Etablissements privés 2nd degré

L'assistance est assurée par les prestataires