Des contraintes techniques à dépasser
La mise en place de Olinebook a été décidée collégialement pour permettre un suivi informatisé de la validation du socle commun. Ce n’est pas sans négociation et persuasion que cet outil a été mis en place, certains y voyant un outil de contrôle ou un outil supplémentaire.
Les premières craintes reposaient sur les difficultés techniques. Diverses séances de présentation et d’aide ont été proposées. Les commentaires émis au cours de l’enquête menée auprès des équipes éducatives permettent de souligner qu’une aide technique est encore nécessaire. Il faut donc envisager de nouvelles séances de formation en début d’année scolaire.
Les difficultés de saisie et la charge de travail ressentie par certains enseignants résultent également de la mise en place de référentiels trop détaillés. La gestion de nombreux items devient lourde. Il faut repenser les référentiels plus simplement.
Un outil sous-exploité
82,5 % des enseignants participent aux évaluations des items du socle sur Olinebook.Le pourcentage paraît important mais l’enquête réalisée auprès des 40 enseignants et du personnel éducatif souligne le relâchement que certains ont ressenti au cours de l’année. Outil trop compliqué, référentiels trop détaillés, les inconvénients ont parfois été un frein à une utilisation optimale. De ce fait, beaucoup ont saisi les résultats de leurs évaluations par « obligation ». Peu ont véritablement utilisé l’outil pour un suivi personnalisé de l’élève. Ainsi, seulement 23 % des utilisateurs éditent les bilans, mais seuls deux enseignants les transmettent aux élèves ou à la famille. Le bulletin de notes est pour le moment perçu comme le moyen unique de suivi de la scolarité. Un avenir prometteur ? Forte de l’expérience réalisée cette année avec Olinebook, la prochaine rentrée va permettre de corriger certaines erreurs : meilleure formation des enseignants, simplification des référentiels disciplinaires en place pour des évaluations plus concises et rapides. Plusieurs enseignants témoignent de la richesse de l’outil pour lequel il faut au moins deux années de pratique pour une maîtrise idéale : une année pour le connaître, une autre pour savoir utiliser pleinement toutes les fonctions. Enfin, afin de compléter idéalement l’outil, des moyens de remédiation doivent être associés.
Pourquoi attaquent-ils votre site ? Ni le skiddy, ni le mafieux ne vous visent personnellement. Les uns le font pour le jeu, les autres pour l’argent. Il est peu probable qu’on vous vise personnellement. Certains skiddies effacent des sites et se cachent derrière des pseudo slogans politiques et anti-occidentaux, histoire de vous faire peur, de se donner de l’importance et se prendre au sérieux. Il n’en est rien.
Comment savent-ils que mon site a une faille de sécurité ?
Réponse: Google ou tout autre moteur de recherche ! Il cherche un fichier précis comme login.php, confip.php ou autres, et, combiné avec quelques mots-clés, ils savent quel CMS, blog ou e-commerce vous utilisez. Ils essaieront alors de lancer un script pour tester si l’attaque fonctionne. Il ne font même pas ça manuellement, car ils ont des logiciels qui le font automatiquement !!! Leurs logiciels testent chaque URL listée par Google à la recherche de la faille. C’est aussi simple que ça. Ils vous trouvent par hasard.
Qui sont les pirates ?
Les premiers sont des “skiddy”, des jeunes (“kid” en anglais, “kiddy” pour petit jeune) qui utilisent des scripts prêts à l’emploi (le “s” de skiddy) qu’on trouve facilement sur le web pour exploiter les failles d’un CMS, blog, e-commerce, etc. Ils ne font qu’utiliser ces scripts comme on utilise un logiciel. Ce ne sont pas des “petits génies”, ils ne programment pas et n’inventent rien. Ils se lancent des défis à celui qui effacera ou violera le plus de sites web. Les autres, bien plus dangereux, sont des pirates au service d’une mafia afin de prendre le contrôle de votre site web via une faille de votre CMS, blog ou e-commerce pour le convertir en plateforme d’envoi de spams ou de phishing, ou en automate pour violer d'autres ordinateurs. Ceux-là créent leurs propres scripts qu’ils ne partagent pas avec une communauté. Ils font cela pour l’argent; les mafieux les payent en fonction du nombre de sites web piratés, d’identifiants et mot de passe récoltés, de moyens de paiements interceptés, d’ordinateurs personnels dont ils ont pris le contrôle à l’insu du malheureux propriétaire (c’est-à-dire votre PC et chez vous en profitant de votre connexion à internet en programmant un malware par exemple).
COMMENTAIRE
On peut lutter contre les pirates et les hackeurs et protéger son site internet en suivant ces simples conseils. Ils sont assez efficaces pour se défendre des attaques automatiques et donneront du travail à celui qui vise spécifiquement à pénétrer votre site pour diverses raisons.
Prenez ces conseils comme une liste de bonnes pratiques qu’un professionnel doit appliquer au minium. Ici, vous n’aurez que des recommandations relatives à l’hébergement d’un site internet à destination du client et du web-développeur. Vous n’apprendrez pas à protéger un serveur web comme un administrateur système doit le faire, car cela fait partie de sa formation.
L’idée derrière cette liste exhaustive de conseils est qu’il faut prendre la menace avec sérieux. C’est comme un cambriolage, on prend d’abord des mesures de préventions pour éviter les risques. On sait que l’effraction est toujours possible pour qui s’en donne les moyens et le temps. Maintenant, ce qui dissuade un malfaiteur est justement le temps et l’effort qu’il devra consacrer à casser les protections. Si c’est trop long et compliqué, il passera son chemin. On placera donc toute une série de verrous sur le site internet pour lutter contre ce genre d’attaque.
LE FICHIER .HTACCESS
Je vous propose 10 astuces pour sécuriser votre site web. Elles sont très efficaces et permettent de stopper beaucoup de tentatives de piratages avant que votre CMS, blog ou e-commerce entre en action. Donc, dans une certaine mesure, si votre logiciel a une faille, peut-être que ces règles éviteront qu’elle ne soit exploitée. N’installez pas ces règles en une fois, suivez les conseils d’installations et de tests en bas de la 10è astuce. Appliquez au moins les règles 4, 5 et 6 qui sont très efficaces, elles vous protégerons de 90% des attaques automatiques tout en ayant peu de risque de bloquer votre site internet.
Créez le fichier .htaccess avec un logiciel de texte simple (tout sauf Word). Appelez-le “txt.htaccess”, envoyez-le par FTP dans votre dossier www et renommez-le en “.htaccess”. Si le fichier existe déjà, ajoutez les règles décrites ci-après à la suite du texte. Puis donnez-lui par FTP les droits 404 ou 444. Il ne sera pas modifiable.
Voici une suite de commandes qui permettent de sécuriser votre site web.
1- Register_Globals sur OFF:
Si vous utilisez PHP 5.4 ou supérieur, il est inutile de s’en préoccuper. Depuis la version 4.2 de PHP, cette fonction est sur OFF et elle est obsolète depuis PHP 5.4; c’est tant mieux pour la sécurité. Or, certains hébergeurs mettent encore ce paramètre sur ON sur les serveurs mutualisés. Vérifiez cela avec votre hébergeur et corrigez-le si nécessaire. -= INDISPENSABLE =-
Un conseil: si un script exige que le paramètre PHP Register_Globals soit sur ON, trouvez un autre script concurrent.
