Bienvenue sur Reflets

Envie de connaître les coulisses ?

C'est encore un peu calme pour le moment mais il est probable qu'en accédant à cette zone, vous ne perdiez pas votre temps

Member Login

Lost your password?

Not a member yet? Sign Up!

PRONOTE : des millions de données personnelles d’étudiants exposées

7 juin 2011
Par bluetouff

Pronote est un logiciel « qui fait avancer l’école »… Mais qui fait reculer la protection des données personnelles des étudiants de France. Ce n’est pas la première fois que l’éditeur se voit signaler une faille de sécurité critique et que ce dernier ne la corrige pas. La dernière en date permet tout simplement d’accéder à l’intégralité des données scolaires de tous les étudiants et de celles de leurs parents.

Utilisé dans de très nombreux établissements scolaires, Pronote est considéré comme une solution de référence dans la gestion de la vie scolaire. Autant vous le dire tout de suite, nous ne révèlerons, comme à notre habitude, aucune donnée personnelle ou méthode permettant d’y accéder. Cependant, il y a environ un mois de cela, contacté par un étudiant ayant découvert le trou béant, nous avons fait prévenir l’éditeur d’une vulnérabilité critique affectant son logiciel. Nous lui avons même fait parvenir un code d’exploitation lui permettant d’évaluer lui même l’ampleur des dégâts.

Aujourd’hui, une nouvelle version a été releasée, et le trou est toujours présent. Les établissements scolaires n’en ont pas été avertis. Nous jugeons donc, en période d’examen, opportun de vous révéler qu’un étudiant, ou pire, des entreprises souhaitant valider un recrutement, peuvent potentiellement accéder à toutes les notes et aux données personnelles nominatives de l’ensemble des étudiants d’un établissement.

Et maintenant la cerise sur le gâteau : cette vulnérabilité signalée il y a un mois peut être corrigée en une seule ligne de code.

Comment ils disent déjà pour Hadopi ? Un manque de diligence à sécuriser sa connexion c’est ça ? Une négligence caractérisée ?

Billets en relation :

Tags: , , , ,

14 Responses to PRONOTE : des millions de données personnelles d’étudiants exposées

  1. Khisanth on 7 juin 2011 at 22 h 34 min

    Si seulement cette notion de négligence caractérisée pouvait servir à autre chose qu’à effrayer l’internaute lambda pour lui vendre du DPI, ça montrerait qu’effectivement, la HADOPI a pu servir à quelque chose.

    • Olivier Calderon on 8 juin 2011 at 8 h 56 min

      Bonjour
      Cette information est totalement fausse aucune faille de ce type ne nous a été signalée et la fréquence de nos mises à jour depuis des années est là pour prouver que nous sommes particulièrement vigilants sur la sécurité de nos logiciels.
      Je vous demande donc de retirer sans délai une information de nature calomnieuse.

    • bluetouff
      bluetouff on 8 juin 2011 at 9 h 19 min

      Bonjour, je vous propose de continuer par email ( bluetouff@reflets.info ). Cette information ne sera pas retirée tant que vous n’aurez pas corrigé.
      En outre vous parlez de faille de ce type… j’ai pu constater que des professeurs vous avaient déjà remonté deux énormes problèmes de conception :
      - pas d’isolation des comptes
      - mot de pass ne servant à rien.
      Monsieur, pour qu’une information soit de nature « calomnieuse » comme vous dites, encore faut il qu’elle soit fausse. Il va de soi que Reflets.info a tout à fait de quoi prouver ses dires.

  2. Marin on 7 juin 2011 at 22 h 34 min

    4000 établissement scolaires utilisent cette… chose.

    Disons 1000 étudiants par établissement en moyenne.

    Disons deux parents pour un étudiant, sachant qu’il y a des infos personnelles des parents aussi (numéro de tel, adresse…), 1000 × 3 = 3000.

    4000 × 3000 = 12 millions de personnes concernées.

    Disons 65 millions de français.

    12 ÷ 65 × 100 = 18,5%.

    En arrondissant un peu, ça fait 1 français sur 5 concerné par la faille.

    • toff on 8 juin 2011 at 8 h 27 min

      dis donc t’es un dieu en stats toi !

      MDR

  3. [...] Via Scoop.it – Sécurité par la CFTC HUSPronote est un logiciel « qui fait avancer l’école »… Mais qui fait reculer la protection des données personnelles des étudiants de France. Ce n’est pas la première fois que l’éditeur se voit signaler une faille de sécurité critique et que ce dernier ne la corrige pas. La dernière en date permet tout simplement d’accéder à l’intégralité des données scolaires de tous les étudiants et de celles de leurs parents.Show original [...]

  4. Marin on 7 juin 2011 at 23 h 14 min

    http://ur1.ca/4d4uw « Partenaire Microsoft », voici qui explique tout.

  5. ravaged on 7 juin 2011 at 23 h 23 min

    Ça donne presque envie de balancer les données pour faire avancer les choses… incroyable qu’ils ne corrigent pas la faille.

  6. degobiol on 8 juin 2011 at 5 h 30 min

    Est-il possible de balancer ce genre de malandrin à la HADOPI, ou la CNIL ? Je sais ce n’est pas terrible niveau morale, mais face à des pourris qui ne pense que profit, je ne suis pas sûr que d’autre solution existe sans emmerder les personnes dont les données sont exposables.

  7. deuzeffe on 8 juin 2011 at 6 h 23 min

    Petite précision de sémantique : au sens juridique, il s’agit essentiellement d’élèves (et de quelques étudiants de BTS et CPGE). Pour les centaines de milliers d’étudiants, dans les universités donc, ce n’est pas pronote qui est utilisé mais Apogée (logiciel de l’AMUE). Bluetouff, si tu pouvais corriger pour préciser…

  8. dR.o07 on 8 juin 2011 at 6 h 42 min

    Bienvenu dans le monde de l’informatique pour la fonction publique, desservi et commandé par un tas d’incompétents…le discours : « si si les pneus sont vachement bien c’est la dernière nouveauté dans le domaine alors que tu as une tache d’huile sous une voiture qui ne freine plus sans volant… » un grand classique…

  9. Thomas on 8 juin 2011 at 6 h 53 min

    @Marin, Tu ne prends pas en compte le fait qu’il n’existe pas que pronote comme logiciel de gestion de notes, mon lycée utilise VieScolaire.net par exemple. De plus, tous les établissement ne sont pas passés au numérique et ne propose pas une version informatisée des notes.

  10. bruzbros on 8 juin 2011 at 8 h 30 min

    Professeur documentaliste, et membre de l’équipe TICE de mon établissement, j’envoie le lien de l’article à l’instant à mon chef d’établissement. Il va falloir contacter Index Education au plus vite, et leur demander des explications.

    Stay tuned

  11. agent23 on 8 juin 2011 at 9 h 08 min

    Shame on .edu.fr // content d’ avoir envoyer ma démission cette année … ils ne se soucient guère de la sécurité, n’ en captent pas les enjeux mais ceci n’ est rien à côté du mépris avec lequel ils « gèrent » leurs employés … vacataires, contractuels n’ co … l’ éducation n’ est pas à refaire mais à faire.

Evènements

Polls

Reflets.info et vous // Aidez-nous a comprendre comment vous vivez Reflets.info

  • J'espère que ça va continuer... (56%, 389 Votes)
  • C'est bien ce que vous faites (48%, 334 Votes)
  • Facebook c'est le mal, vous faites bien de ne pas y être (44%, 304 Votes)
  • Je viens une fois de temps en temps (31%, 218 Votes)
  • Je viens lire des choses tous les jours (31%, 216 Votes)
  • Twitter est mon ami et me parle de vous quand vous publiez un truc (30%, 212 Votes)
  • C'est pas mal ce que vous faites (17%, 116 Votes)
  • Elle est où la page Facebook ? (4%, 26 Votes)
  • C'est nul, vos contenus... (2%, 16 Votes)
  • J'aimerais que vous parliez de... (écrivez-nous : redaction@reflets.info) (1%, 6 Votes)

Total Voters: 696

Loading ... Loading ...

QR

qrcode



Technos

Blog Metrics

  • Blog stats
    • 358 posts
    • 1386 comments
    • 218 trackbacks

  • Raw Author Contribution
    • 71.6 posts per month
    • 905 words per post

  • Conversation Rate
    • 3.9 comments per post
    • 264 words in comments
    • 0.6 trackbacks per post