2015 : l'École enfin piratée !

20151020cPirater l'ENT de son lycée pour de meilleurs résultats, qui l'aurait cru possible ?

Et si un élève de seconde parvenait à pirater l’environnement numérique de travail (ENT) de son lycée pour rehausser une de ses moyennes, après le dernier conseil de classe de l'année, sans que personne ne s’en aperçoive ?

Et si l’année suivante, le même élève, déçu par ses résultats médiocres et inquiet pour son orientation, décidait de généraliser l'expérience aux trois bulletins de son année de première, copiant-collant les meilleures appréciations, retoquant l’appréciation générale du chef d’établissement et s’adjugeant de nombreux points supplémentaires jusqu’à devenir le meilleur élève de la classe ? S’il effaçait au passage absences et retards ou faussait les coordonnées de ses parents ? S’il rehaussait également — bénévolement ou pas — les moyennes de certains élèves de sa classe, de son lycée ?

Inimaginable ? Depuis cette année l’hypothèse ne relève malheureusement plus du scénario d'anticipation ou de la technophobie alarmiste : un grand lycée d’Île-de-France a été victime d'un tel piratage en 2013-2015.

Comment ? Un élève a d’abord tenté en vain quelques tentatives d’injection SQL sur le site principal de l’ENT, puis a cherché les noms des administrateurs des sites hébergés par cet ENT, les a recoupés avec des listes d’identifiants récupérables sur le web et a obtenu une correspondance lui permettant d’accéder à un panneau d’administration. Il a alors mis en ligne un shell pour accéder aux différentes parties du serveur et enfin récupérer les identifiants de tous les utilisateurs de cet ENT. Il a même modifié des bulletins d'élèves dans un lycée voisin, provoquant stupeur et tremblements.

Dans son propre lycée, la plupart des modifications ayant eu lieu après le dernier conseil de classe, c’est par le plus grand des hasards que le pot-aux-roses a été découvert. La vie scolaire et la direction du lycée ont alors réagi très rapidement mais n’ont pu compter sur l’aide de l’entreprise prestataire de l’ENT. Un certain nombre de professeurs ayant conservé une sauvegarde personnelle de leurs moyennes, le principal bénéficiaire du piratage a pu être identifié. Convoqué, il est passé aux aveux : il a depuis été exclu par conseil de discipline.

L’entreprise prestataire, quant à elle, a préféré — malgré la gravité des faits — ne pas déposer plainte, par crainte sans doute de porter atteinte à la réputation d’une « solution logicielle » implantée dans « plusieurs milliers d'établissements. »1

Équité : l’ère du soupçon

Au-delà du cas individuel d'un élève méritant largement son B2i (brevet informatique et Internet), un tel piratage pose une question plus grave.

Tout système informatique est bien sûr faillible. Mais ce qui doit nous étonner, c’est la facilité avec laquelle ce piratage a été commis. Et ce qui doit nous inquiéter, c’est la probabilité que ce piratage avait de rester inaperçu : pour un cas identifié, combien ne le sont pas ? C'est d'autant plus préoccupant qu'aujourd'hui rien n'est plus simple que de populariser, sur des forums de script kiddies et dans des réseaux sociaux, des procédures de hacking.

Or un tel piratage est bien plus grave qu’une simple fraude individuelle à l’examen.

Il ne s’agit pas, en effet, de simples bulletins scolaires modifiés : c’est toute l’équité dans l’orientation et l’affectation qui se trouve mise en cause. A quelques jours près, les moyennes de cet élève étaient basculées sur le serveur d’Admission post-bac (APB) qui affecte, après un savant classement informatique, tous les lycéens après le baccalauréat (comme Affelnet affecte les collégiens après la troisième).

20151020

Depuis dix ans, les ENT se sont généralisés dans l’École, au profit de nombreuses entreprises prospérant sur cette rente de plusieurs dizaines de millions d'euros que versent chaque année les collectivités locales ou les établissements (il existe aussi des solutions libres et néanmoins coûteuses).

Pratiques par plusieurs aspects, mais chers, souvent lents, parfois défaillants, peu ergonomiques ou contraignants, les ENT sont largement sous-utilisés par les enseignants comme par les élèves2 : les réseaux sociaux contribuent d’ailleurs à les rendre aujourd’hui en partie obsolètes. La principale utilisation des ENT concerne le cahier de textes et la saisie des absences et des notes.

Force est de constater que, sur ce dernier point, nous sommes bien trop confiants dans des systèmes informatiques pourtant vulnérables. Posons donc la question : le progrès que constituent les ENT pour l'École est-il si indiscutable  ?

Au-delà de leur utilité relative, le temps est en effet venu de porter un regard plus critique sur des « solutions » qui peuvent être par elles-mêmes très problématiques. La fraude a certes toujours existé, et existera toujours. Mais – curieusement – les technologies numériques rendent son champ d’application beaucoup plus vaste, sa réalisation beaucoup plus facile, sa détection plus difficile et ses conséquences plus pernicieuses.

Certains techno-pédagogues, amateurs de sensations fortes et de paradoxes, appellent régulièrement à « hacker l’École » avec le numérique3.

Voilà, c’est fait. Et qu'est-ce qu'on fait maintenant ?

@loysbonod


Notes

[1] L’ENT « Vie scolaire » est un produit « Axess Education » (Nota Bene, Molière, UnDeuxTemps etc.)

[2] Voir la section dédiée aux ENT du forum et notamment le rapport EVALuENT de 2014. A relire également notre article de 2012 : « Ma petite ENTreprise ».

[3] « Hacker l'éducation, c'est possible ! » dans « Le Point » du 9 mai 2015 ; « Il faut hacker l'école » par Yann Leroux ; Voir aussi l’infographie du réseau FING promouvant l'apprentissage de la programmation : « Tout le monde doit-il apprendre à coder ? » par Fabien Eychenne :

C’est une « question de pouvoir » : « Ne pas être dépendant des grands acteurs internationaux, voire étatiques »