Le piratage d’un logiciel de gestion de l’apprentissage remet la question de la souveraineté numérique sous les projecteurs

C’est la fin du trimestre, le stress est déjà à son comble, et voilà qu’à l’occasion d’une ouverture de session sur l’habituelle plateforme de gestion de cours, on se fait asséner le coup de grâce : l’apparition d’un logiciel de rançon. 

C’est la malheureuse expérience qu’ont vécu, début mai, les membres du personnel et de la population étudiante de milliers d’établissements d’enseignement supérieur – dont plusieurs situés au Canada – lorsque le populaire système de gestion de l’apprentissage Canvas a été la cible de piratage. La plateforme Web, conçue et gérée aux États-Unis par l’entreprise Instructure, a émis une première mise en garde le 1^er mai dernier. Instructure a d’abord assuré à sa clientèle que le problème avait été résolu, ce qui n’a pas empêché celle-ci de recevoir des avis de piratage la semaine suivante. Le 11 mai, l’entreprise a finalement indiqué qu’elle était parvenue à une entente avec les pirates, et affirmé que les hors-la-loi du Web avaient détruit toutes les données (noms, numéros de cartes étudiantes, adresses courriel, etc.) qui avaient été volées. 

À l’heure actuelle, la majorité des utilisatrices et utilisateurs de Canvas sont donc fort probablement de retour à leur quotidien de fin de trimestre, la puissante plateforme numérique leur permettant de réaliser des tâches essentielles en cette période corsée de l’année : diffusion des contenus de cours, consignation des notes, et communication entre corps professoral et population étudiante, notamment. Mais si cet épisode pourrait s’effacer des mémoires comme le serait une agaçante panne d’électricité, Matt Hatfield, lui, voudrait que l’événement nous rappelle les implications de nos choix en ce qui a trait aux technologies qui occupent notre quotidien. 

« Bien sûr, aucun fournisseur de services n’est à l’abri d’une brèche, mais ce genre de péripétie montre combien le Canada cède sa précieuse souveraineté et autonomie numérique, étant donné le nombre des systèmes essentiels utilisés qui sont opérés par des plateformes privées en dehors du pays », explique-t-il. 

M. Hatfield est directeur général d’OpenMedia, un organisme à but non lucratif de Vancouver qui analyse les menaces économiques, politiques et sociales du Web au Canada. L’organisme a auparavant mené des campagnes de sensibilisation touchant à des sujets comme les conséquences de cadres législatifs tels que le projet de loi C-22, mais il s’est récemment tourné surtout vers la promotion de la souveraineté numérique.  

La prise de décisions entre les mains de sociétés aux États-Unis 

On a beaucoup entendu parler du concept de « souveraineté numérique » dans le contexte de la mise sur pied de centres de données importants ou de l’implémentation de l’intelligence artificielle (IA), mais M. Hatfield tient à souligner que les menaces à la souveraineté canadienne ne viennent pas que des technologies qui apparaîtront demain, mais aussi souvent de celles que l’ont utilise déjà, comme les systèmes de gestion de l’apprentissage déployés par les universités depuis les 20 dernières années. Le spécialiste n’est pas non plus convaincu du compte rendu simpliste d’Instructure en ce qui concerne la résolution du problème, et considère que le tout démontre combien la souveraineté devrait être vue comme une question dépassant le simple matériel informatique. 

« Si les données avaient tout bonnement été hébergées sur des serveurs canadiens, ce qui correspond au strict minimum en matière de souveraineté, ça n’aurait rien changé au fait que les décisions sur le terrain ayant entraîné la brèche et la gestion de la crise auraient été menées par une entreprise des États-Unis, sans qu’aucune école ou autorité canadienne n’ait vraiment son mot à dire », soutient-il. 

Pour sa part, le président-directeur général d’Instructure, Steve Daly, a après coup offert des excuses publiques en raison des réticences initiales de l’entreprise à informer sa clientèle de la brèche, en mentionnant qu’ils voulaient, lui et d’autres, obtenir tous les faits avant d’émettre une déclaration. 

« Notre intuition n’était pas fausse, mais nous n’avons pas trouvé le bon point d’équilibre, a-t-il indiqué dans un texte publié sur le site d’Instructure. Nous avons concentré nos énergies du côté de l’enquête et avons négligé de communiquer, alors que notre clientèle avait besoin de mises à jour régulières. Vous l’avez dit on ne peut plus clairement, et c’est une critique valide. Nous changerons notre approche à l’avenir. » 

Des options non-commerciales 

À l’Université de la Colombie-Britannique – l’un des sept établissements canadiens touchés par la cyberattaque – le Centre d’innovation en technologies d’apprentissage a invité le corps enseignant à plutôt utiliser Moodle, une plateforme libre, pour la préparation de leurs contenus de cours. 

Les logiciels dits « libres » rendent leur code source accessible gratuitement, contrairement aux produits commerciaux comme les systèmes d’exploitation de Microsoft et d’Apple, qui sont largement inaccessibles aux parties externes. Ainsi, même les personnes ayant de fortes compétences techniques sont limitées dans les changements qu’elles peuvent apporter à ces logiciels propriétaires, alors que quiconque avec l’expertise nécessaire peut adapter le code d’un logiciel libre à ses besoins. D’un autre côté, les outils commerciaux sont bien plus simples à utiliser pour les personnes moins expérimentées; les outils libres ont tendance à demander plus de connaissances en programmation. 

À la manière des autres logiciels libres, Moodle demande plus de travail de ses utilisatrices et utilisateurs, ce qui rend donc Canvas plus pratique à leurs yeux. Les chiffres le reflètent : dans l’infolettre du secteur des systèmes de gestion de l’apprentissage, EdTech, on a rapporté l’an dernier que Canvas occupait 50 % du marché, alors que Moodle ne pouvait prétendre qu’à un maigre 9 %. 

Malgré tout, cette option moins populaire interpelle Jake Hirsch-Allen, directeur des partenariats du Dais, un groupe de réflexion sur les politiques publiques de l’Université métropolitaine de Toronto. L’établissement n’a pas été confronté à des problèmes de piratage, étant donné qu’il s’appuie sur l’outil de gestion de l’apprentissage Brightspace, de l’entreprise canadienne Desire2Learn (D2L). Bien que le directeur n’ait rien à reprocher à l’outil, il souligne que les efforts nécessaires pour mettre en place des plateformes libres seront avantageux sur le plan de la souveraineté numérique. 

« Ça nous amène à penser différemment, à réfléchir davantage, soutient-il. Et surtout, en ce qui a trait à la souveraineté numérique, ça nous permet de contrôler qui détient nos données et qui influence les valeurs teintant nos algorithmes. À l’ère de l’IA générative, qui est intégrée à la grande majorité des systèmes de gestion de l’apprentissage, ça me semble d’autant plus important. »