L’Université Claude Bernard Lyon 1 fait actuellement parvenir aux étudiants un email pour leur rappeler que leurs adresses scolaires ne doivent pas être utilisées depuis un service tiers. C’est notamment le cas de Gmail qui est actuellement le plus populaire chez les étudiants. L’université craint principalement des soucis de sécurité et un potentiel impact financier.
L’Université Claude Bernard Lyon I fait actuellement parvenir à ses étudiants certains rappels concernant la sécurité des comptes email qui leurs sont fournis. L’avertissement de sécurité vise les utilisateurs de Gmail qui exploitent le service du géant Google pour relever leur courrier sur des comptes tiers via le protocole POP3. Une possibilité offerte depuis de nombreuses années et qui permet de concentrer en un même lieu l’ensemble des boîtes aux lettres.
Problème : l’université y voit un risque de sécurité et rappelle que « l’utilisateur est responsable des opérations effectuées grâce à son identifiant et son mot de passe ; il ne peut les divulguer ou s’approprier ceux d’un autre utilisateur », comme l’indique l’article 3 de la charte informatique de l’établissement.
L'avis de l'université
Nous avons contacté Anne-Lyse Papini, RSSI (responsable sécurité du système d’information) de l’Université Lyon 1 pour lui demander des précisions. Elle nous a ainsi confirmé que l’email n’était envoyé qu’à ceux qui se servaient de Gmail pour relever leurs adresses fournies par l’établissement : « il s’agit de faire respecter la charte qui indique que les identifiants ne doivent jamais être donnés à un tiers ». Or, l’université considère que relever son courrier depuis Gmail revient à donner ses identifiants puisque ces derniers seront stockés chez Google.
Mais pourquoi Gmail en particulier ? La règle est-elle différente avec des services comme ceux de Microsoft ou de Yahoo ? « Non, la règle est la même dans tous les cas » précise la responsable. Cependant, « Gmail est la solution de ce type la plus utilisée par les étudiants, même si cela représente moins de 1 %. Et nous gérons plusieurs milliers de comptes. »
Le courrier envoyé aux étudiants aborde également le cas du CNRS. Anne-Lyse Papini nous confirme que « des laboratoires sont multi-tutelles, certains avec le CNRS ». Or, pour ce dernier, le règlement est strict : « l’utilisation à des fins professionnelles d’un service de messagerie gratuit (Gmail par exemple) est à proscrire. L’adresse de messagerie, utilisée à titre professionnel doit être celle fournie par l’organisme d’appartenance. »
L’université et le CNRS voient en fait d’un mauvais œil les lois en vigueur pour les entreprises étrangères. C’est particulièrement le cas d’une société américaine qui doit obéir au Patriot Act. Pour rappel, ce dernier est une loi qui permet littéralement d’ouvrir les vannes et de réclamer n’importe quelles données dans le cadre d’une enquête.
De fait, la responsable de la sécurité craint des débordements potentiels : « Le canal est ouvert, tout peut arriver. Les données pourraient très bien être interceptées, on ne maîtrise plus la sécurité dans ce genre de cas ». Des inquiétudes qui concernent avant tout les travaux menés dans les zones à accès restreint et qui seraient donc susceptibles de contenir des données vitales sur l’avancement de certaines recherches. Des fuites qui pourraient évidemment avoir un « impact financier » selon Anne-Lyse Papini.
Enfin, la responsable a tenu à préciser qu’une nouvelle charte, plus claire et plus précise, était en préparation.
Et du côté des étudiants ?
Nous nous sommes entretenus avec Emmanuel, étudiant à l’université Claude Bernard Lyon I. Il s’est dit « surpris » par l’email envoyé par l’établissement, et ce pour plusieurs raisons. Il utilise ainsi Gmail pour la consultation de ses comptes depuis 2006, et c’est la première fois que l’université envoie ce genre de courrier.
Il ajoute que le DSI aurait très bien pu cibler les filières sensibles par des listes de diffusion.
L’étudiant soulève également un point intéressant : « On peut comprendre que l’université ne veuille pas que Google enregistre les identifiants sur ses serveurs. Mais comment ça se passe pour des machines sous Chrome OS ou Windows 8 ? Dans tous les cas, la synchronisation des paramètres enregistre ces données ». L’université préfèrerait donc des solutions fixes et sans communication de ce type, telles que Outlook ou Thunderbird, et plus globalement l’ensemble des clients emails traditionnels.
Emmanuel s’est dit enfin « surpris que seul Gmail soit visé ». Pourquoi ? « Parce que sur toutes les dernières années, les étudiants ont souvent utilisé Google Code pour leurs développements ou Google Docs. Il y a eu des remarques sur Google Code, qui causait des problèmes de protection des travaux. L’université nous a ouvert du coup des dépôts Mercurial. Mais c’est étrange du coup que seul Gmail soit visé. »
La réaction de Google
La firme n’est visiblement pas inquiète de la situation, jugée d’ailleurs assez « spécifique ». De fait, elle préfère rappeler qu’elle possède déjà un certain nombre de règles dans le domaine du respect de la vie privée.
Mais les évènements récents profilent également un calendrier particulier. Ainsi, le mois dernier, Google publiait sur son blog officiel des chiffres sur la surveillance effectuée à la demande de la Sécurité Nationale. En 2012 par exemple, on sait que jusqu’à 999 lettres de sécurité ont été envoyées à Google, provoquant la surveillance d’un nombre de comptes allant de 1 000 à 1 999. Aucun chiffre précis n’est publié à la demande du FBI, du département de la Justice et autres organes fédéraux impliqués.
En outre, on rappellera que la CNIL a engagé contre Google une action répressive. En coordination avec ses homologues européens, elle va ouvrir une procédure de contrôle. En ligne de mire, les fameuses règles de confidentialité unifiées valables pour la totalité des services de l’entreprise. Présentées comme plus claires, elles ont été jugées au contraire trop complexes.
