Il ne suffit pas de dire que votre serveur dans le Cloud est sécurisé. Lorsqu'une entreprise ou une organisation affirme que ses données sont sécurisées, partez du principe qu'il s'agit d'un spectre plutôt que d'une déclaration absolue.
Il suffit de jeter un œil à cette liste des 10 sites Web les plus piratés en 2015 ( https://digitalguardian.com/blog/top-10-biggest-data-breaches-2015 ) de Digital Guardian : des agences gouvernementales américaines, des sociétés de soins de santé et des fabricants de jouets pour enfants, jusqu'à une société de sécurité des données personnelles et d'antivirus (oh, comme les dieux de l'ironie ont dû adorer celle-là). Il ne s'agit là que des plus gros sites qui ont fait la une des journaux, et ce, uniquement pour 2015.
Tout coffre-fort peut être piraté si on y met du temps, de la volonté et des ressources. Il en va de même pour les serveurs. Partons du principe que tous les serveurs peuvent éventuellement être piratés.
Compte tenu de cette hypothèse relativement fiable, les écoles ne devraient pas établir de politique sur la sécurité de leurs données dans le cloud : ce n'est pas le cas. Les écoles devraient plutôt demander à leurs fournisseurs quelles données sont stockées. La réponse à cette question déterminera les conséquences d'une violation de données presque inévitable.
Les extensions utilisées dans les écoles ne devraient pas stocker de données spécifiques et personnelles dans le cloud. Elles ne devraient même pas traiter ce type de données dans le cloud. En effet, si ces données sont transférées dans le cloud, elles se trouvent sur un serveur quelque part qui, comme tous les serveurs, est vulnérable aux attaques.
Donc, si l'extension que vous utilisez doit aspirer et envoyer dans le cloud tout ce que vous consultez dans votre navigateur pour lire, ou bloquer les annonces, ou résumer, ou prédire les mots, ou quoi que ce soit... (voir les articles précédents sur ce sujet, ( Confidentialité dans le cloud : comment votre extension finance-t-elle son développement ? , Confidentialité dans le cloud : pouvez-vous désactiver vos extensions ? , Extensions — Quel travail est effectué dans le cloud par rapport à l'ordinateur local , Extensions Chrome et confidentialité — Questions à poser ) alors ces données sont vulnérables et exposées. Si elles sont envoyées à des serveurs aux États-Unis ou dans d'autres pays, elles sont soumises aux politiques de surveillance et de renseignement de cet État, qui peuvent également être très différentes de celles du Canada.
Le fait est que cela ne doit pas nécessairement être ainsi. Les développeurs ont choisi de créer des extensions qui fonctionnent ainsi, même si ce n'est pas pour des raisons néfastes, c'est simplement parce que c'est moins cher et plus simple (encore une fois, voir les articles précédents listés ci-dessus, pour plus de détails).
Co:Writer et Snap&Read sont les exceptions qui confirment la règle. Leurs extensions d'écriture (Co:Writer Universal) et de lecture (Snap&Read Universal) envoient des données à leurs serveurs dans le cloud, certes. Mais il s'agit de métadonnées. Il s'agit d'une analyse du type de texte que l'étudiant lit ou écrit, et non du texte lui-même ou de sa provenance.
Les rapports nous indiquent, selon l'outil, Co:Writer ou Snap&Read, le niveau de lecture du texte que l'étudiant lit, le nombre de mots qu'il a lus, le type de mots académiques importants utilisés dans son écriture, la performance du groupe, ce genre de choses.
Cela ne nous dit pas des choses comme :
- De quels mots s'agit-il ?
- Quel texte a réellement été lu.
- Quels sites ont été visités et quand
Les extensions de Don Johnston ne nous le diront pas et ne peuvent pas nous le dire car ces informations ne sont pas envoyées à leur serveur. Si jamais leurs serveurs sont piratés, le pirate découvrira quels enfants lisent à un niveau de lecture de 6e année, mais pas ce qu'ils ont lu.
Considérez les serveurs comme un coffre-fort à l'intérieur d'une banque. Aucune banque n'est à l'abri du vol. Mais alors que les autres coffres-forts peuvent contenir divers objets de valeur qui peuvent être convertis en espèces, que trouverait un voleur dans le coffre Co:Writer ou Snap&Read ?
Une liste d'inventaire, un résumé des données et leur analyse. C'est tout.
Rien qui vaille la peine d'être volé.
La lettre à la maison lorsque les données sont violées
Si (ou lorsque) le serveur de votre extension est piraté, conformément à la loi de l'Ontario (je suis désolé, mais je n'ai tout simplement pas les moyens de confirmer si c'est le cas dans chaque province et territoire. Veuillez publier des commentaires et des courriels sur la situation dans votre région), l'entreprise/le fournisseur d'extension doit (toutes les citations ici sont tirées des Lignes directrices sur le protocole en cas de violation de la vie privée pour les organisations gouvernementales, mai 2014, par le Commissaire à l'information et à la protection de la vie privée de l'Ontario, site Web : http://www.ipc.on.ca )
…informer sans délai l’établissement de tout vol, perte ou utilisation ou divulgation non autorisée de renseignements personnels… (p. 19)
Une fois que l’entreprise a avisé la commission scolaire, celle-ci doit à son tour :
informer les personnes dont la vie privée a été violée, par téléphone ou par écrit
dans le cadre d’un « plan de gestion des incidents » qui garantit,
..que des mécanismes juridiques, techniques et organisationnels soient en place pour que les violations réelles ou suspectées de la vie privée soient signalées et traitées en temps opportun…
Donc, en gros, le proverbial appel téléphonique ou probablement (puisque de nombreux étudiants doivent être avertis) la note à la maison.
Si les serveurs d'une application comme Co:Writer ou Snap&Read sont piratés, cette note d'accueil pourra mettre en évidence les métadonnées décrites ci-dessus. Aucune donnée personnelle n'a pu être consultée par celui qui a piraté les serveurs car il n'y a aucune donnée personnelle sur les serveurs.
La note d'accueil d'une extension qui collecte ces données parce qu'elle envoie toutes ces informations au cloud pour être traitées, devra détailler ces informations compromises.
C'est une note de ce genre qui a forcé au moins un district scolaire aux États-Unis, à ma connaissance, à abandonner un outil de lecture/écriture basé sur des extensions en raison d'une faille de sécurité du serveur. Les parents ont lu la note et ont exigé que l'abonnement aux extensions soit annulé.
Ce district utilise désormais Co:Writer et Snap&Read.
