Bêtisier "Universités et Numérique"

  1. Données sensibles dans une université (ZRR)
  2. Somnambulisme du Professeur Tournesol : 1er Prix
  3. Impossible de lire la gazette de l'université sans cloud américain
  4. Florilège
    1. Rapport de Conjoncture de l'INS2I
    2. Recommandations de l'INS2I sur la présentation des logiciels
  5. Pratiques de Développement Logiciel à l'INRIA
    1. Observations Générales
    2. Détails des observations avec liens

Données sensibles dans une université (ZRR)

Définition dans Wikipédia : zone à régime restrictif (ZRR) est une zone à accès réglementé dans le cadre de la protection du potentiel scientifique et technique national, lequel comporte cinq niveaux de protection imbriqués :

  • une liste de secteurs scientifiques et techniques dits « protégés », objets d'un « annuaire national » recensant leurs laboratoires ;
  • une liste de spécialités dont les savoir-faire sont susceptibles d'être détournés à des fins de terrorisme ou de prolifération d'armes de destruction massive et de leurs vecteurs, établie par un arrêté confidentiel Défense ;
  • des « zones protégées », délimitées soit par des autorités militaires, soit par des autorités civiles ;
  • dans les laboratoires relevant d'un secteur protégé, parmi les zones protégées, des ZRR, dont l'accès (physique ou électronique) est soumis à autorisation spéciale ;
  • à l'intérieur des ZRR, éventuellement, des « locaux sensibles », à la protection renforcée.

1. Somnambulisme du Professeur Tournesol : 1er Prix

J'ai fait partie du Jury du Prix de Thèse en Informatique "Gilles Khan" deux années de suite (après j'ai du me retirer pour raisons perso). La première année, je me suis appreçu qu'il y avait un hack pour télécharger tout le site destiné aux membres du Jury (outre qu'on leur demandait de confirmer une exception SSL (ce qu'il ne faut jamais faire dès que c'est un tout petit peu sécurisé...).

Quand j'ai expliqué ça au gars qui a fait le site (à un moment, tout le monde se demandait comment je pouvais utiliser le site alors que le serveur était down...), je me suis fait engeuler parce que j'avais fait quelque-chose de pas bien. Mais ils le font encore...

Voir aussi les témoignages d'Edouard Snowden, ancien administrateur système à la CIA et à la NSA : "Je pouvais tout voir"...

Consultez les rapports

Consultez les dossiers des finalistes :

Dossier 1, Dossier 2, Dossier 3, Dossier 4, Dossier 5, Dossier 6, Dossier 7, Dossier 8, Dossier 9, Dossier 10, Dossier 11

2. Impossible de lire la gazette de l'université sans cloud américain

Mon université a souscrit un partenariat avec microsoft pour la suite Office 365 qui donne les fonctionnalités de traitement de texte, tableur, présentations, qui sont des fonctionnalés héritées de MS Office, sauf que tous les documents sont maintenant stockées dans le cloud microsoft.

Non seulement mon université invite ses personnels à stocker leurs documents dans le cloud microsoft, mais je ne peux même plus consulter la gazette interne de l'université sans créer un compte microsoft et me connecter au cloud microsoft !

Voir aussi les témoignages d'Edouard Snowden, ancien administrateur système à la CIA et à la NSA : "Je pouvais tout voir"...

Références :

Windows 10, Office Online users get new warning over data privacy
German state bans Office 365 in schools, citing privacy concerns
Microsoft Office 365 banned in some schools over privacy concerns

a) Annonce par mail pour
les personnels de l'université
b) Le lien renvoie vers une page
de connexion qui n'est pas l'ENT, mais
un site de Microsoft
c) Je n'ai pas le cookie de chez Microsoft
Je dois me connecter
à mon compte Microsoft
d) Comme je n'aime pas Windows
je n'ai pas de compte Microsoft
Je dois créer un compte Microsoft

Figure 1. Nouvelle procédure pour lire le journal interne de mon université

3. Florilège

a) Rapport de Conjoncture de l'INS2I

  1. Bien que la section 7 soit la plus proche thématiquement de la réflexion sur la conception et l'ingénierie logicielle, la description de la conjoncture accorde, de manière disproportionnée, une place insignifiances aux problèmes de passage à l'échelle des systèmes informatique distribuée, et affiche une grave méconnaissances des enjeux technologiques et des méthodologies afférentes, faisant une impasse totale sur les architectures réparties et architectures orientées services, qui sont au coeur de la mise en oeuvre technologique des ce que l'on appelle communément l'intelligence artificielle.
  2. L'accent est mis systématiquement sur les aspects algorithmiques et optimisation, alors que les mathématiques impliquées sont relativement classiques, et que l'essentiel de la valeur du logiciel, qui fait défaut dans notre économie, provient de la masse de données récoltée et traitée, qui est issue de services logiciels de masse.
  3. On peut ajouter en outre que les enjeux de sécurité des données personnelles et du respect de la vie privée sont beaucoup plus sensible au niveau de la mise en oeuvre technologique que cryptographique à proprement parler. Or les aspects techniques de la protection des données sont gravement négligés par les deux sections de l'INS2I, au point que ces propres systèmes d'information, ainsi que ceux du CNRS, sont de véritables passoires.

Références :

Rapport de conjonctures de l'INS2I
Comment récupérer très simplement tout ou partie de la base de données des informations sur les personnels des administrations et unités du CNRS
Ci-dessus : Somnambulisme du Professeur Tournesol : 1er Prix
Comment il faut répéter à l'INS2I d'arrêter d'exiger qu'on envoie nos projets de recherche dans des PDF non sécurisés par e-mail
Présentation pour non spécialistes des architectures distribuées
Présentation pour non spécialistes des bases de l'IA (sémantique et optimisation)

b) Recommandations de l'INS2I sur la présentation des logiciels

Il faut se réjouir que l'INS2I se soit préoccupé en 2019 de spécifier des critères d'évaluation du logiciel, prouvant un nouvelle fois son avance en matière d'innovation, à la pointe des concepts technologiques, avec un souci constant de privilégier la Qualité et l'Excellence sur la quantité.

S'agissant des recommandations de présentation des logiciels (destinée à leur évaluation), des critères quantitatifs tels que le nombre de lignes, qui sont inversement reliés à la qualité du code (notion de factorisation) sont privilégiés, alors que les bonnes pratiques patiemment élaborées par les personnes qui développent réellement du code sont superbement ignorées.

La notion d'architecture logicielle, de conception objet, et de design pattern, au coeur de la maintenabilité et évolutivité du logiciel, et de la productivité des développeurs, ne sont même pas mentionnées.

Références :

Conseils de la Section 7 du CoNRS pour la présentation des productions logicielles
Exemple de guidelines utilisées par les professionnels du secteur (1)
Exemple de guidelines utilisées par les professionnels du secteur (2)
Le Professeur Tournesol, Médaillé d'Argent du CNRS, explique la fiabilité du logiciel
Introduction à la méthodologie des tests unitaires

5. Pratiques de Développement Logiciel à l'INRIA

Il m'a régulièrement été reproché de vouloir toujours "ré-inventer la roue" en matière de logiciels scientifiques, alors que les collègues ont pasé beaucoup de temps à développer des programmes très pratiques, qui sont Open Source. Voici quelques éléments qui m'ont systématiquement conduit à conclure qu'il n'y a rien à en tirer (au delà du fait que pour mon projet d'entreprise, j'ai le droit de souhaiter capitaliser mon propre soft, dont je maîtrise l'évolution et la licence...)

5.a. Observations Générales

J'ai visité la page sur les dix logiciels stars d'Inria, qui présente les principaux logiciels développés par l'Institut National de Recherche en Sciences et Technologies du Numérique . La page anonce :

"Avec près de 1 500 références, les logiciels produits par les équipes de recherche représentent pour l'institut un patrimoine en constante évolution, qui est aussi mis à la disposition des développeurs et des entreprises dans une logique d’open science. Tour d’horizon de 10 logiciels stars créés chez Inria."


J'ai voulu évaluer (rapidement, parce que, normalement, c'est à l'INRIA de le faire) la qualité du code, des pratiques, et de la documentation. J'en ai pris les trois parmi premiers de la liste (Coq, MedInria et SOFA), vraiment sans messimiser l'évaulation, plutôt au hasard (voir le répertoire avec tous les sources, fraîchement téléchargés). On peut noter, en général :

  • Le logiciel est mal organisé, sans utilisation de namespace pour éviter les collisions et structurer le code en packages, avec des dizaines de classes aux responsabilités non documentées dans un même répertoire, sans avoir d'architecture trois tiers clairement apparente, lorsqu'il y a une IHM.
  • Les logiciels n'utilisent pas tous d'outils automatiques de configuration, gestion de dépendance et compilation comme CMake
  • Le code source n'est pas documenté (ou très peu). Seul 1 des logiciels sur les trois génère une documentation avec DOxygen, mais les explications sont généralement inutiles, ne spécifient pas du tout les attendus des opérations et leurs entrées sorties, et ne précisent pas les responsabilités des classes. Il n'y a pas de structuration en packages. Enfin, la documentation du logiciel rédigée "à la main" ne présente pas d'organisation par conception Objet, et n'utilise pas UML.

Voir un exemple de documentation de code que je fournis à mes étudiants de développement Web côté serveur. Voir aussi ma fiche récapitulative de conventions et syntaxe UML pour mon cours de programmation objet (en C#). Voir aussi des exemple de fichiers sources de classes dans l'un de mes polycopiés orientés objets.

5.b. Détails des observations avec liens

Logiciel Coq :

Logiciel MedInria :

Logiciel SOFA :