SACoche : Évaluer par compétences et estimer la maitrise du socle commun

Menu de gauche
Utilisation Utilisation sur un serveur académique Liste des serveurs académiques Utilisation sur le serveur Sésamath Conditions & accès Ajouter son établissement Établissement de démonstration Installation sur son propre serveur Configuration minimale Conditions & téléchargement Procédure d’installation Procédure de mise à jour Installation d’un serveur local Installation sur clef USB Questions / réponses Où échanger autour de SACoche ? Combien d’établissements utilisent SACoche ? Dois-je inscrire la SEGPA ou le collège ? Le serveur Sésamath a-t-il plus de fonctionnalités ? Le serveur Sésamath est-il assez robuste ? SACoche est-il sécurisé ? Avec quels navigateurs SACoche est-il compatible ? Existe-t-il une application pour smartphone / tablette ? Peut-on transférer sa base sur un autre serveur ? J’ai changé d’établissement ; comment faire ? J’ai décompressé les fichiers, mais lequel lancer ? Pourquoi ai-je une erreur 500 après une mise à jour ? Pourquoi ai-je des erreurs d’écriture à l’installation ? Pourquoi ai-je un gros problème de mise en page ? Pourquoi "dernière version non détectée" s’affiche ? Comment optimiser la configuration de son serveur ? Puis-je nettoyer manuellement le dossier __tmp ? SACoche est un projet de Support / Contact	↑ Sommaire du dossier SACoche est-il sécurisé ? Introduction Les paragraphes suivants indiquent les précautions prises pour sécuriser l’application. Cependant, aucun programme ne peut prétendre être à l’abri d’une faille de sécurité (on en trouve fréquemment dans tous les logiciels). Le code source de SACoche étant libre, chacun peut s’assurer de sa robustesse, et nous faire part de tout défaut. C’est ainsi que Mathieu Degrange, que nous remercions vivement, nous a signalé en février 2016 et en décembre 2022 des vulnérabilités qui ont été corrigées rapidement. De façon plus générale, l’application est mise à jour régulièrement, en toute transparence. Enfin, rappelons qu’une application ultra-sécurisée n’est pas le seul élément à considérer : utiliser un serveur d’hébergement bien configuré et régulièrement mis à jour est tout aussi important les utilisateurs constituent souvent le maillon faible de la sécurité (mot de passe dévoilé, session laissée ouverte, etc.) Protections mises en œuvre Principes généraux SACoche utilise un code professionnel pour échanger avec la base de données. SACoche nettoie les données reçues, par formulaire, fichier, ou adresse web. SACoche nettoie les données affichées dans les pages et documents. SACoche vérifie la présence d’un jeton de validité pour les formulaires. SACoche détecte une modification d’adresse IP ou de navigateur pour contrer un vol de session. SACoche utilise le mécanisme de sécurité "Content Security Policy". SACoche vérifie si l’utilisateur a un profil autorisé pour accéder à la page appelée. SACoche bloque l’affichage de fichiers de code non destinés à être appelés directement. SACoche intègre aux noms de fichiers créés par l’application une chaine aléatoire. SACoche efface les fichiers créés par l’application au bout d’une durée adaptée. SACoche est ainsi protégé des attaques exploitant les vulnérabilités habituelles : injection SQL include PHP cross-site scripting (XSS) Cross-Site Request Forgery (CSRF) Cross-site cooking Enfin, aucune donnée personnelle enregistrée n’est sensible, seul le minimum étant conservé par SACoche pour son fonctionnement. Authentification SACoche demande au navigateur de ne pas mémoriser le nom d’utilisateur et le mot de passe (mais il peut ne pas en tenir compte). SACoche impose plusieurs secondes d’attente entre deux tentatives, ce qui empêche les attaques par force brute. Mots de passe Les mots de passe générés provisoirement comportent 8 caractères (lettres et chiffres). Les mots de passe ne sont pas enregistrés en clair mais cryptés, avec un algorithme irréversible, puissant (Blowfish ou supérieur), couplé à un salage aléatoire (qui empêche une recherche à partir de son empreinte en utilisant une table arc-en-ciel). Quand on change son mot de passe, SACoche donne un indicateur de sa robustesse et impose un minimum de 6 caractères. Formulaire externe En cas de demande de contact d’un administrateur, ou d’envoi d’un nouveau mot de passe, SACoche demande de résoudre un Captcha en imposant un délai pour répondre, afin d’éviter l’envoi de courriels par des robots. Protocole sécurisé Un serveur hébergeant SACoche peut être configuré pour utiliser le protocole https, afin d’assurer que les données transitant sur Internet sont chiffrées. Ce n’est pas au niveau de l’application SACoche mais de la configuration du serveur que ceci se paramètre, indépendamment des applications. Ce protocole est recommandé par la cnil, même si intercepter un échange http n’est pas à la portée du 1^er venu (de plus, les données envoyées à SACoche ne sont pas sensibles). Le serveur Sésamath hébergeant SACoche utilise ce protocole https (avec un certificat SSL imposant au navigateur l’utilisation d’un algorithme connu comme sûr). Serveur Le serveur utilisé par Sésamath est un serveur dédié situé en France (Roubaix, 59) chez un hébergeur reconnu. Ce serveur est hautement sécurisé : accès règlementés par badges et scanner d’empreinte digitale, vidéo surveillance couplée à des détecteurs de mouvement. Des élèves disent qu’ils ont piraté le site ! Une fois qu’une page internet est chargée, il est possible d’en modifier les éléments affichés (textes, images, etc.) à volonté, et même pourquoi pas tout effacer (quel que soit le site). Les navigateurs possèdent des outils de développement intégrés qui permettent aisément cette manipulation. Cependant, il ne s’agit aucunement d’une faille logicielle ! En effet, les données enregistrées sur le serveur ne sont, elles, ni modifiées ni supprimées. Des élèves qui s’amusent ainsi croient souvent "avoir piraté le site", mais ce n’est qu’un leurre, car aucune de leur manipulation n’est enregistrée. Ainsi, recharger la page fait immédiatement réapparaitre les bonnes informations.