Suivez-nous sur
  • picto-RSS
  • picto-twitter
  • picto-facebook
  • picto-newsletters
  • picto-nous contacter
ac-rouen.fr logo secondaire
les autres sites de l'académie
  • Pédagogie,
  • Numérique éducatif,

Sécurité et responsabilité des utilisateurs

L'exemple d'une usurpation d'identité sur un serveur pédagogique

Cet article aborde la question de la gestion de l'identité numérique à partir d'un cas d'usurpation de compte sur un serveur de fichiers.

Gestion des identifiants

Tout établissement scolaire doit faire signer une charte d'usage de l'outil informatique et d'internet à chaque utilisateur du matériel informatique dans ses locaux (voir dans l'encadré ci-contre les liens vers les sites utiles pour élaborer une charte informatique).


Pour les établissements possédant un réseau avec identification personnelle des utilisateurs, cette charte, doit comporter un paragraphe sur les identifiants et mots de passe, stipulant par exemple :


« L'identifiant et le mot de passe d'un utilisateur sont strictement personnels et confidentiels et il est responsable de leur conservation ».


Ainsi, un élève divulguant en classe ses identifiant et mot de passe se mettrait  lui-même en infraction et, à ce titre, pourrait être co-responsable en cas d'usurpation d'identité.
 

Par ailleurs, lorsque le mot de passe par défaut a pour modèle une même structure systématique, il peut facilement être deviné et il est  très vivement conseillé de faire changer aux élèves le mot de passe donné en début d'année dans une perspective de sensibilisation et de responsabilisation. C'est pour cette raison que l'accès aux partages d'un serveur SambaEdu depuis l'extérieur de l'établissement au travers d'un LCS n'est possible qu'après modification du mot de passe initial.

En ce qui concerne les adultes, ce changement est absolument impératif, même en intranet, et devrait même être renouvelé régulièrement. Le fait, pour un adulte, de communiquer ses paramètres d'authentification à un élève ou de les protéger de manière insuffisante serait fortement répréhensible puisque c'est la sécurité collective qui se trouverait ainsi exposée.
 

Ci-dessous, l'interface personnelle sur le serveur SE3 :

Interface SE3, vue utilisateur


Anticiper les cas d'usurpation


Si l'élève gère ses identifiant et mot de passe de manière responsable et sérieuse et qu'il s'aperçoit que le contenu de son espace personnel a été modifié, il doit en référer à ses professeurs pour que le fautif soit identifié et sanctionné conformément aux cas prévus par la charte de l'établissement, avec des formules telles que :
 

« l'utilisateur ne doit pas usurper l'identité d'autrui en s'appropriant le mot de passe d'un autre utilisateur »

et

« le non-respect des principes établis ou rappelés par la Charte pourra donner lieu à une limitation ou à une suppression de l'accès aux services, aux sanctions disciplinaires prévues dans le règlement intérieur de l'établissement et à des sanctions pénales prévues par les lois en vigueur ».



Un exemple concret


Dans un collège de l'Académie, un élève a vu son bureau totalement bouleversé. Heureusement, aucun fichier de travail n'avait disparu et la nuisance se limitait à la modification du fond d'écran et à quelques changements sans gravité.

L'administrateur du serveur SE3 peut accéder à l'historique des connexions sur un poste donné pour assurer la fiabilité d'une machine par exemple. Bien entendu,  il faut avoir pris la préacaution d'inscrire dans la  la charte un article qui l'autorise explicitement :
 

« les administrateurs de réseaux peuvent, pour différentes raisons, être amenés à analyser et contrôler l'utilisation des services ».
 

Interpellée par l'élève qui connaissait son rôle, la personne ressource de l'établissement a effectué une recherche des connexions effectuées avec l'identifiant en cause sur une période estimée par l'élève. Le relevé des connexions suspectes a alors été communiqué en mains propres au chef d'établissement, en présence de l'élève.


Voici le type de relevé que peut éditer l'administrateur SE3 :

Relevé des connexions

Cet élève a pu prouver qu'il ne pouvait être sur le poste informatique info15 à la date et heure suspectée puisqu'il était présent dans une autre salle de cours avec un autre enseignant.

Par ailleurs, l'utilisation des ressources informatiques par des élèves mineurs n'a lieu que sous la responsabilité d'un adulte. Aussi le professeur présent dans la salle informatique au moment de la connexion incriminée a-t-il pu communiquer le nom de l'élève qui était au poste indiqué par le relevé des connexions. Cet élève a reconnu les faits.


Le chef d'établissement a donc exercé sa responsabilité en décidant d'appliquer une sanction prévue par la charte :  l'élève fautif a vu sa session coupée pendant 2 semaines de cours.
 

Cette opération est facilement réalisable dans l'interface SE3 de l'administrateur (ci-dessous, "désactiver ce compte" dans "Autres actions possibles") :

Verrouillage d'un compte

En outre, la validation de l'item B2i « je connais les droits et devoirs indiqués dans la charte d'usage des TIC et la procédure d'alerte de mon établissement » a été suspendue pendant un mois pour l'élève fautif.

Enfin, le chef d'établissement a proposé un entretien entre les 2 élèves avec la présence d'un modérateur pour apaiser les conflits.

publié le 29 mars 2010 mis à jour le 18 janvier 2012
http://www.ac-rouen.fr/actions-educatives/numerique-educatif/internet-responsable/securite-et-responsabilite-des-utilisateurs-13397.kjsp?RH=1258645432429