Analyses, commentaires et informations sur l'actualité suisse
Indépendant, différent, réformiste depuis 1963
Analyses, commentaires et informations sur l'actualité suisse
Indépendant, différent, réformiste depuis 1963

Pour ne manquer aucun article

Recevez la newsletter gratuite de Domaine Public.

Apprendre des expériences actuelles de l’enseignement en ligne

La concentration des activités en ligne due à la situation actuelle permet de s’interroger sur une politique des solutions numériques

Photo Frederico Cintra
Photo Frederico Cintra (licence CC)

La Suisse vient d’entamer la migration numérique la plus rapide et massive de son histoire. Alors que 1,3 million de personnes se retrouvent au chômage partiel, le reste tente de sauver les meubles en appliquant la consigne générale: travail, école, commerces, vie sociale, tout ce qui peut être fait en ligne doit utiliser cette ressource. Dans l’urgence, des pans entiers de la société et de l’économie ont désormais recours aux services des Google, Amazon, Facebook, Apple, Microsoft (Gafam).

C’est notamment le cas du secteur romand de l’instruction publique, qui a en majorité choisi de recourir à ces géants du web pour fournir les plateformes d’école en ligne. Les gouvernements cantonaux concernés se veulent rassurants. À l’image du département de l’instruction publique de Genève, ils soulignent avoir conclu des contrats avec ces entreprises pour protéger les données concernant les enseignants et les élèves. De tels partenariats public-privé mettent pourtant en lumière le manque de moyens techniques et légaux à disposition des cantons pour veiller au respect de la loi fédérale sur la protection des données (LPD).

De la difficulté d’appliquer les contrats

Le recours massif aux solutions proposées par les Gafam s’effectue malgré les nombreuses procédures judiciaires qu’ils accumulent dans le secteur éducatif de différents pays. La dernière en date a débuté le 2 avril 2020, lorsque deux élèves âgés de 13 ans ont porté plainte contre Google en Californie. Ils accusent l’entreprise d’avoir notamment exploité, sans accord des parents, leurs données personnelles: localisation, historique, termes de recherche utilisés, contacts, enregistrements audio, mots de passe et données comportementales.

En Suisse, les contrats entre les départements romands de l’instruction publique et ces entreprises doivent, en principe, éviter ce genre d’infraction à la loi sur la protection des données (DP 2251). Pourtant, la seule façon de s’assurer du respect des termes de l’accord consiste à effectuer un examen télémétrique complet des logiciels concernés ainsi que de leurs interactions avec les systèmes d’exploitation des machines qui les hébergent. En d’autres termes, il faudrait mesurer et analyser séparément les différents échanges de données entre chaque ordinateur connecté au réseau éducatif et le logiciel sous contrat.

Cette expérience a été conduite en Allemagne par l’Office fédéral de la sécurité des technologies de l’information sur l’application Microsoft Office 365 – utilisée en Suisse par les cantons du Valais, de Fribourg et de Vaud, notamment. Les conclusions de ces tests ont démontré que la synergie entre Windows 10 et l’application scolaire Office 365 créait des flux alternatifs de données qui ont attiré l’attention des autorités du Land de Hesse.

En juillet 2019, ces dernières ont interdit l’utilisation des solutions en ligne de Microsoft, Google et Apple dans les écoles, en déclarant que «le stockage des données dans le cloud de ces fournisseurs n’a pas pour l’heure été dévoilé de façon transparente et complète. Il est donc clair qu’un usage de ces solutions dans un contexte scolaire ne peut pas être respectueux de la protection des données».

Au même moment, des infractions mises en lumière par le gouvernement néerlandais ont forcé Microsoft à actualiser ses termes d’utilisation et à annoncer une plus grande transparence pour les utilisateurs sur les flux de données. Toutefois, sans parler des compétences nécessaires pour accéder à ces dernières, ceci ne signifie ni l’arrêt de la collecte de ces informations ni de savoir ce à quoi elles sont destinées.

Sans examens télémétriques complets et récurrents, les contrats conclus entre les autorités et les fournisseurs de solutions propriétaires demeurent donc uniquement basés sur la confiance des autorités envers les Gafam et leurs sous-traitants.

Une surexposition aux menaces

Les solutions fournies par Microsoft et Google posent par ailleurs de sérieuses questions de cybersécurité. Selon un rapport publié en janvier 2020 par Prevailion, une société spécialisée dans la sécurité informatique disposant d’un vaste réseau de capteurs en ligne, le domaine de l’éducation serait même le secteur le plus touché par les attaques dites de rançonnement (ransomware).

Ce procédé consiste à encrypter des données du système attaqué, les prenant littéralement en otage, afin de paralyser la machine ou le réseau visé. Pour obtenir la restauration du système et de son bon fonctionnement, la victime n’a d’autre choix que de payer une rançon, afin que l’attaquant rétablisse les données qu’il a captées et les restitue à leur propriétaire légitime.

Bien que les solutions fournies par les Gafam soient entretenues par des équipes de spécialistes nombreuses et qualifiées, leur usage extrêmement répandu fait d’elles l’une des cibles principales des cyberattaques dites «d’ingénierie sociale». Ces pratiques visent à s’introduire dans un système par le biais de manipulations psychologiques des usagers (faux e-mails ayant l’air officiels, par exemple). Ces manœuvres ne requièrent en fait que de modestes compétences informatiques – et sont du coup relativement faciles à déjouer.

Neuf cyberattaques sur dix (toutes catégories confondues) débutent par une campagne d’ingénierie sociale, estime-t-on. A cet égard, Microsoft, et sa suite Office 365, restent depuis plusieurs années consécutives les champions incontestés des cas d’usurpation de comptes en ligne. Cette vulnérabilité particulière des systèmes proposés par les géants du web a été corroborée par le FBI qui a ainsi émis le 3 mars 2020 un avis d’avertissement aux entreprises américaines: les pertes liées aux compromissions d’e-mails visant Google G Suite et Microsoft Office 365 se chiffrent en milliards de dollars, rien qu’aux Etats-Unis.

Il est donc clair que dans la situation actuelle, la sécurité des données et le respect de la LPD sont tributaires du déploiement de capacités techniques (examens télémétriques réguliers) dans chaque canton. Entrent également en jeu: les aptitudes individuelles des enseignants et des élèves qui leur permettent éventuellement de déceler les tentatives de fraude les visant tout particulièrement.

Défis ou opportunité?

Mais les défis actuels sont autant d’opportunités. Aujourd’hui plus que jamais, la Suisse a besoin de favoriser le développement d’un véritable domaine public numérique visant à préserver sa souveraineté sur l’espace public, désormais largement établi en ligne. Un écosystème de solutions publiques, libres et gratuites, qui seraient adaptées aux besoins essentiels des usagers, doit donc être encouragé.

Des alternatives open source existent déjà pour la plupart des services fournis par les Gafam; elles sont pratiquées dans différents pays. En Suisse, le canton de Berne utilise des systèmes non propriétaires dans les écoles, par exemple, et, en 2018, Genève a repris la main sur son stockage de données. Surfer sur la tendance européenne vers la souveraineté numérique permettrait à la société et à l’économie de faire preuve d’une plus grande résilience, mais assurerait aussi à la Suisse une certaine indépendance numérique dans le monde hyperconnecté que la période actuelle annonce.

Une réaction? Une correction? Un complément d’information? Ecrivez-nous!

Et si l’envie vous prend de passer de l’autre côté de l’écran, DP est ouvert aux nouvelles collaborations: prenez contact!

logo creative commmons Republier
La reproduction de cet article est autorisée et gratuite, mais selon les modalités du présent contrat Creative Commons: activer un lien vers la page ou citer l'URL de celle-ci, https://www.domainepublic.ch/articles/36464 - Merci
DOMAINE PUBLIC

Analyses, commentaires et informations sur l'actualité suisse
Indépendant et différent depuis 1963
En continu, avec liens et réactions sur https://www.domainepublic.ch
Newsletter gratuite chaque lundi: les articles, le magazine PDF et l'eBook
En continu, avec liens et réactions sur https://www.domainepublic.ch

Lien vers l'article: https://www.domainepublic.ch/articles/36464
Faire un don

Tous les auteur-e-s des articles sont bénévoles, tout est gratuit pour les lectrices et lecteurs... Mais il y a tout de même des coûts de production et de développement, financés par vos dons. Merci de votre générosité!

Si vous avez apprécié cet article, ne manquez pas les prochains en vous abonnant gratuitement au moyen d'une des trois options suivantes.

L'hebdomadaire

Articles par courriel

Flux RSS

Recevez tous les lundi par courriel le sommaire des nouveaux articles et le lien vers l'édition PDF ou l'édition eBook.
Recevez chaque article dès parution (un courriel par jour au plus).
Lisez les articles dans votre agrégateur, ajoutez les sur votre blog ou site.

Si vous avez apprécié cet article, ne manquez pas les prochains en vous abonnant gratuitement au moyen d'une des trois options suivantes.

L'hebdomadaire

Recevez tous les lundi par courriel le sommaire des nouveaux articles et le lien vers l'édition PDF ou l'édition eBook. Je m'abonne

Articles par courriel

Recevez chaque article dès parution (un courriel par jour au plus). Je m'abonne

Flux RSS

Lisez les articles dans votre agrégateur, ajoutez les sur votre blog ou site. Je m'abonne

Accueil

Les auteur-e-s

Les articles

Les publications

Le Kiosque

A propos de DP