Mise à jour le 6 février à 9:13 : ajouts des réactions de l'association Ouvre-boîte contactée par Next.
Article publié initialement le 5 février à 15:06
Début novembre 2023, le Tribunal administratif de Paris a rejeté la demande de l'association Ouvre-boîte qui voulait accéder au code source complet de Parcoursup. Il confirme que les vulnérabilités dans le code évoquées par le ministère sont évoquées « à bon droit » pour rejeter la demande.
Parcoursup et la demande de publication de son code source, c'est maintenant une longue histoire. Déjà, en 2018, Next INpact saisissait la CADA pour y avoir accès. En vain, en tout cas pour l'intégralité du code.
Pourtant, le gouvernement qui a mis en place la plateforme avait promis de publier le code de cette plateforme qui concerne tous les lycéens de France. « La totalité des algorithmes seront publiés », affirmait sur Public Sénat le 24 avril 2018 Frédérique Vidal, ministre de l'Enseignement supérieur et de la recherche de l'époque.
99 % du code non publié en 2020 selon la Cour des comptes
Une partie du code a, certes, été publiée (accessible maintenant sur un Gitlab hébergé sur un sous-domaine de mim-libre.fr possédé par le ministère de l'Éducation après avoir déménagé du Gitlab de Framasoft).
Mais pour l'association Ouvre-boîte, elle n'est que la partie émergée de l'iceberg. D'une part, il reste les fameux « algorithmes locaux » de sélection des étudiants, le conseil d'État s'étant opposé à leur publication.
D'autre part, comme le faisait remarquer la Cour des comptes en février 2020 dans un premier bilan de la loi qui a créé Parcoursup [PDF], « à ce jour, une très faible partie du code de Parcoursup a été rendue publique. Le code publié par le MESRI le 21 mai 2018 représente au plus 1 % du nombre de lignes de code et moins de 2 % des fichiers produits dans le cadre de l’exercice des missions dévolues à l’opérateur de la plateforme ».
En particulier, l'analyse du code faite par la Cour des comptes dans le tableau ci-dessous, relevait que la plupart du code SQL n'était pas publié.
Relance de la procédure par Ouvre-boîte
L'association Ouvre-boîte s'est appuyée sur ce constat de la Cour des comptes pour faire une nouvelle demande du code source SQL complet de Parcoursup au ministère en juin 2020, puis a saisi la CADA deux mois après.
Ces demandes n'ayant pas reçu de réponse, l'association a déposé une requête auprès du Tribunal administratif de Paris en octobre 2021 (finalement, la CADA a donné un avis favorable début 2022 mais le ministère n'a pas répondu).
Ouvre-boîte rappelait dans sa requête que le Code des relations entre le public et l'administration prévoit que « sont considérés comme documents administratifs, au sens des titres Ier, III et IV du présent livre, quels que soient leur date, leur lieu de conservation, leur forme et leur support, les documents produits ou reçus, dans le cadre de leur mission de service public, par l'État, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission. Constituent de tels documents notamment les dossiers, rapports, études, comptes rendus, procès-verbaux, statistiques, instructions, circulaires, notes et réponses ministérielles, correspondances, avis, prévisions, codes sources et décisions ».
Des vulnérabilités qui porteraient « atteinte à la sécurité des systèmes d’information de l’administration »
Mais deux ans après, le tribunal administratif a donné raison au ministère. Dans sa décision [PDF], la cour justifie son refus par le fait que « des recommandations du prestataire externe en cybersécurité du ministère chargé de l’enseignement supérieur, en date du 7 septembre 2022 », expliquent que « la publication en ligne du code source complet de l’application Parcoursup en laisserait apparaître les vulnérabilités et serait, ainsi, susceptible de porter atteinte à la sécurité des systèmes d’information de l’administration ».
Le média Acteurs Publics s'est procuré une note [PDF] sur laquelle s'est appuyé le ministère pour justifier cette position. Elle est rédigée par le responsable du pôle national de compétence en sécurité des systèmes d’information du ministère de l’Éducation nationale.
Obscurité et confidentialité, une nuance peu visible
Dans cette note, il se justifie d'utiliser « la sécurité par la confidentialité comme moyen de défense en profondeur » pour Parcoursup et insiste pour que celle-ci ne soit pas confondue avec la « mauvaise pratique appelée sécurité par l’obscurité ». La différence (peu convaincante) serait dans les buts qui diffèrent entre l'une et l'autre.
Résultat, il juge que « dans le cas de Parcoursup, cette divulgation [du code] correspond à une prise de risques qui n’apporte rien au regard de la nécessaire transparence vis-à-vis des usagers ». C'est en tout cas le même résultat qu'avec la sécurité par l'obscurité : le code n'est pas publié.
Interrogée par Next, l'association Ouvre-boîte n'est pas étonnée par le jugement : « Nous ne sommes pas surpris par la décision du tribunal administratif, le secret de la sécurité des systèmes d’information de l’administration étant un de ces secrets aux contours flous, qu'il est facile d'invoquer de la part d'une administration. Ce secret a ceci de pernicieux (ce n'est pas le seul) qu'il protège davantage les codes sources et les bases de données de mauvaise qualité. Il désincite donc les administrations à adopter de bonnes pratiques en matière de systèmes d'information ».
Sur le réseau social X, anciennement Twitter, le député Renaissance Éric Bothorel a réagi d'un « c’est pas le pire argument de l’année ça ? ».
À nos confrères de l'Informé qui ont publié un article début décembre sur le sujet, Michel Blancard, administrateur et fondateur d’Ouvre-boîte, a expliqué que l'administration s’est engagée, à l'audience, à publier le code en intégralité d’ici décembre 2029. L'association précise à Next que cette publication devrait se faire progressivement d'ici là, selon le représentant du ministère au tribunal.
Ouve-boîte ajoute, dans sa réponse à Next, qu' « il est regrettable que, six ans après la promesse présidentielle d'ouvrir ce code source, le ministère de l'Enseignement supérieur ne soit pas en mesure de réaliser cette dernière ».
Commentaires (36)
#1
#1.1
#1.2
Et pour enfoncer le clou, laisser supposer de l'absence d'ORM (là ok, surprenant mais pas choquant).
Mais comme évoqué, sans les sources, on ne peut statuer de rien.
#1.3
#1.4
En gros si bien fait, la partie en java/go/rust/php/whatever n'a pas a gérer l'intégrité des données (et des relations entre elles), le code dans la base s'en charge, surtout avec la possibilié de faire un rollback s'il y a une erreur en cours de route.
Et plutot que de faire 25 insert into ... qui doivent etre cohérents, la db met a dispo des fontions completes genre select ajout_eleve(...) qui va tout seul créer toutes les entrées nécessaire en une fois
C'est en gros la même séparation quand on fait une appli web avec un frontal en pur html/javascript qui parle a un backend derriere qui ne fait que du REST ou autre truc du genre (donc pas de django ou autre truc du genre) : le developper front n'a pas a écrire de requetes sql, le dev backend ne fait pas du tout de présentation de données, juste des exports json/yaml.
#1.5
Vu le niveau général de l'informatique (un métier de débutant, + une course effrénée à la rentabilité), miser sur cette approche c'est souvent une catastrophe.
#1.6
Les procédures stockées ont le mérite de permettre une abstraction de ce qui se trouve dans les bases, de sécuriser les accès et de garantir que le comportement sera strictement le même quel que soit le language utilié pour se connecter à la base.
J'ai déjà pratiqué un ERP où toutes les relations étaient faites dans le client lourd en java et il y avait des erreurs à la pelle. Il y avait également des tables codées en dur dans les listes déroulantes du code java. Une horreur.
Donc en pratique il faut s'en tenir àau métier et définir une frontière claire: ce sont les api en procédure stockée.
#1.7
On peut tout à fait versionner les modifications faites sur le schéma d'une BDD (et de manière totalement automatisé via des triggers sur les DDL).
C'est tout à fait possible, et assez simplement, de savoir les procédures stockées encore utilisées ou non, à la condition que le code appelant (java, C#, PHP, ...) soit lui aussi nettoyé. Pour ma part, je fais ça en plusieurs temps :
- je récupère la liste des procédures stockées utilisées par le code
- je récupère la liste des procédures stockées utilisées par des procédures stockées
- je retire de la liste de l'ensemble des procédures stockées les 2 premières listes
- et je purge au fur et à mesure les procédures restantes (je les renomme dans un premier temps avant de les supprimer, comme ça, si un cas d'utilisation m'a échappé, je peux la rétablir en un rien de temps).
L'énorme avantage que je vois d'utiliser la BD pour le métier c'est :
- la cohérence des données, via les contraintes (FOREIGN KEY, CHECK, UNIQUE, ...)
- la rapidité d'exécution relativement à la même chose côté code (faire 1 appel à une procédure stockée est bien plus rapide et sûr que x appels encapsulés par une transaction côté code, avec les aller/retour entre le code et le SGBD)
- la facilité de faire des corrections en live
Mais après, c'est comme tout. Il faut une bonne discipline et de bonnes pratiques (mais ces problèmes là, on les retrouve indépendamment du langage choisi). La chose qui change vraiment si je puis dire, c'est qu'il faut passer d'un paradigme séquentiel à un paradigme ensembliste. Cela peut parfois être un peu déroutant au début.
#2
Au contraire, je pense que l'application a fait l'objet d'audit de sécurité sérieux. J'ai donc du mal à comprendre l'argument.
#2.1
#2.2
#2.3
Loin de baisser, ils en ont repris une couche au début de ce mois.
Mais voir le refus ici motivé "à bon droit" (sic!) par un code qui serait troué, là, bravo, c'est du grand art!
Ce n'est pas précisément de nature à améliorer les choses en prime, au contraire: C'est même une forme particulièrement étonnante, venant de la justice, de la "prime à la merde" qui sévit dans certaines organisations à la dérive.
A ce niveau, on est dans la vérole informatique franchissant la barrière d'espèce, parvenant à se transmettre au droit à travers la jurisprudence! Du grand art, cette décision, chapeau (Black or white? That is the question!) bas!!!
#2.4
D'un autre côté, le mec qui aurait signé un document disant "on y va les gars", soit il comptait changer de vie et de pays ensuite, soit avait un cancer en phase terminale.
Dans une machine comme une grosse boite/une administration, personne ne va signer un papier qui ferait foi.
On y évite la responsabilité individuelle, pour se reposer sur la responsabilité collective.
D'un point de vue purement technique, en lisant le PDF, je me suis dit: ça sent le soft dans lequel tout a tous les droits.
D'un point de vue purement citoyen ayant des enfants dans parcoursup: merci de ne pas divulguer le code avant que le dernier n'ait eu son orientation - avant que des malins n'arrivent à faire buguer le système (qui de mon point de vue fonctionne correctement) de façon à ce que tout le monde soit inscrit en prépa à Stanislas, surtout s'ils n'en ont pas fait la demande.
#2.5
#3
« la sécurité par la confidentialité comme moyen de défense en profondeur »
Ça s'appelle en fait "sécurité par l'obscurité". Peut-être qu'il n'ose pas utiliser l'expression car la pratique n'a pas très bonne réputation.
#4
C'est simple à mes yeux : TOUT code d'une institution publique doit être libre d'accès, sauf si cela met en jeu la sécurité nationale.
Ce devrait un être un droit garantit dès lors que le code est payé par nos impôts.
Cela permettrait à chacun d'avoir un droit de regard quant au bon fonctionnement de ceux-ci, donc de jouer son rôle de citoyen éclairé. En plus de garantir la fiabilité, la sécurité, etc... et renforcer la confiance envers nos institutions (elles ont des choses à cacher, elles ? Pour qui a la ref).
#4.1
#4.3
#4.2
#5
#5.1
#6
#7
Quand tu ponds une usine à gaz inégalitaire et inéquitable, tu n'as pas envie qu'on vienne voir à quel point ton code est politisé...
#7.1
#7.2
Dans l'absolu, j'aurais souvent tendance à privilégier l'incompétence plutôt que la malveillance pour ce genre de dossiers, mais il y a un niveau de "foirage" accompagné d'opacité soigneusement planifiée, le tout accompagné d'un discours et de postures politiques qui rendent la théorie du "juste de l'incompétence" peu crédible.
#7.3
#7.4
"ha vous avez fait sport aujourd'hui ? vous êtes en basquets ! " perso moi je traduit : "bonjour, j'ai aucune idée de ce que je fou là, j'ai absolument aucune idée de ce qu'il ce passe dans le monde réel et encore moins dans les école publiques "
tu me dira comme d'habitude, oui , sauf que là c'est flagrant et elle à enchainer les bourdes en 2 ou 3 jours sans broncher :)
#7.5
Je vais prendre mon cas perso : je suis en soit contre le privé. Mais, quand je vois l'état de l'école publique de nos jours (à laquelle je suis pourtant fermement attaché), ce que m'en rapporte ma femme (qui bosse en primaire) entre les parents, le ministère etc, nous avons choisi au mieux pour nos enfants : une petite école privée de notre commune.
A un moment je suis pragmatique : je souhaite offrir le meilleur avenir possible à mes enfants. Même si ça me fait mal au coeur sur le principe de renier le publique de la sorte. Mais je joue simplement mon rôle de parent, qui a la chance de pouvoir faire ce choix et souhaite le mieux pour ses enfants.
Là où notre Ministre aurait pu faire un constat d'échec des gouvernements successifs et justifier son choix comme une majorité de parents dans la même situation le feraient, proposant ensuite des réformes attendues pour justement redorer l'image de l'école publique, elle n'a fait qu'enfoncer le clou par des justifications hasardeuses qui met juste en lumière l'entre-soit au sein de certaines sphères et une déconnexion totale de la réalité du terrain.
Et je critique tout autant une partie de nos politiques qui ont sauté sur l'occasion comme des requins, pour raconter tout et n'importe quoi. Au lieu de mettre en avant leurs propositions pour l'école publique et l'avenir de nos jeunes (parce que bordel, c'est devenu n'importe quoi !).
Sans parler de sociologues que j'ai pu entendre qui osent dire que l'on met nos enfants dans le privé pour de l'entre-soit seulement... bah non. Une (petite) partie sûrement. Une majorité, non. Parce que les enseignants y subissent aussi les mêmes aléas. Dans une moindre mesure certes. Mais ils subissent quand même. Mais pour s'en rendre compte faut sortir un peu la tête des simples chiffres et rapports pour aller constater la réalité du terrain.
P.S : je parle des écoles privés sous contrat avec l'Etat. Pour les autres, elles ne devraient même pas exister du tout à mes yeux.
#7.6
Après moi j'ai passer du cp à la 3eme en privé (contrairement à mes ainés qui était en publique), et au final c'était pire ^^ (des profs ultra catho complétement cinglés avec des méthode archaïques , dénigrement de partout (ma prof principale (chimie) de 3ème qui sort à mon père que les enfants qui ne font pas la filière S ne serviront pas la france alors qu'il enseigne en segpa c'était épique !) .
Dans tous les cas chacun fait le choix qui lui semble le mieux pour ses enfants, tout comme notre ministre.
mais être ministre de l'éducation et dire de but en blanc "l'école publique c'est de la merde" comme ça de but en blanc c'est inadmissible ! bref je ne l'aime pas tout comme le reste du gouvernement ^^
#7.7
Mais globalement, hormis les quelques heures sur l'année "d'éveil à la foi" (qui dans la notre est abordé plus dans un sens culturel que vraiment religieux) qui me font sourire, on a rien à redire de la notre perso. Rien n'est imposé. Ça reste, je pense, tout de même une minorité d'écoles dans ces cas-là. Mais ce sont celles qui font le plus parler.
Et celles-ci devraient clairement fermer. De part l'entre-soit qu'elles installent volontairement. Et de par le prosélytisme qui est hors cadre du contrat avec l'Etat. Il manque encore trop de contrôles et de fermeté de la part de l'Etat sur ces points là...
#7.9
Juste sur ce point là.
Le truc de faire un seul choix pour être sûr d'aller où tu veux, j'y avais pensé tout seul quand j'ai entendu parler de Parcoursup. Et il suffit juste d'être sûr que l'établissement en question est d'accord pour te prendre : 0 risque. Et c'est le seul moyen d'être sûr de où tu vas aller.
Il n'y a pas besoin de lire le code du logiciel pour trouver cette solution, juste d'avoir quelques neurones et de savoir s'en servir.
#7.10
#7.11
Tu n'es pas obligé d'accepter le premier "oui" dans parcoursup, tu as deux étapes: le refus (une fois que tu as des oui, tu peux refuser des choix que tu as mis en "filet"), puis plus tard ton "oui définitif" annule tout le reste.
Exemple vécu:
* Plein de choix en prépa
* Au 1er jour, des choix "secondaires" t'acceptent -> tu peux dire non aux autres choix secondaires
* 3ème semaine, le choix voulu accepte, mais pas en internat (ouille, c'est dur quand même) -> non à tous les choix secondaires
* 5 ème semaine, une place se libère sur le choix voulu + internat -> acceptation définitive et c'est fini.
Le système parcoursup, je le trouve vraiment bien fait. Et les profs accompagnent bien: on fait ses voeux, ses sous-voeux, on ajoute un ou deux voeux de secours ... Dans 99% des cas d'après les profs, les élèves ont ce qu'ils veulent.
Après, les indécrotables narcissique qui croient que le monde les attends depuis 4 milliards d'années, ils posent les mêmes problèmes que sans parcoursup: aucun système n'est à la mesure de leur égo.
#7.8
Je trouve même que par rapport au système d'avant (totalement obscur, soumis à manipulation et favoritisme comme jamais), le système est meilleur, plus réactif, et permet d'ouvrir les horizons (avant on connaissait les écoles de sa ville point barre - maintenant on peut découvrir d'autres choses).
En plus, quand on fait les voeux on sait exactement comment sont prises en compte les note - c'est carrément infiniment plus transparent qu'avant (balancez les bulletins par la poste, vous ne saurez jamais pourquoi vous êtres pris ou pas).
Le hic? Les profs des enfants ont vue sur tous leurs voeux pour donner un avis sur CHACUN (d'où la petite combine de Stanislas)
#8
#9