Ahah, on avait la même au lycée ! :')

<GN>
avaient bloqués l'accès
avaient bloqué l'accès.

se sont aperçus
se sont aperçu.
</GN>

Il faut tout de même savoir que dans la plupart des écoles, collèges et lycées (voire dans les écoles supérieures dépendant du service publique), le filtrage est géré par des solutions déployées au niveau régional, et ne dépendent donc pas des compétences des personnes sur place.

Il faut également savoir que le blocage des url passant par le protocole https a été assez longue à mettre en place, et n'est toujours pas généralisées d'ailleurs (le lycée où je travaille ne dispose d'une solution le permettant que depuis quelques semaines par exemple - auparavant nous contournions le problème en paramétrant une redirection DNS, faute de mieux).

De même, il faut garder à l'esprit que tout élève/étudiant est tenu de respecter la charte informatique de son établissement, qui stipule en général qu'il s'engage à ne pas contourner les protections mises en place sur ledit établissement, ce qui aurait pu donc légitimement valoir un avertissement.

Après, de là à l'accuser de piratage, il y tout de même une marge... il faut rester mesuré et être conscient des limites des solutions que l'on déploie. Je discute régulièrement avec mes élèves de notre système de protection et de ses limites et je ne leur cache pas qu'il y ait des failles (il y en a toujours), mais je leur demande de jouer le jeu, d'autant qu'ils s'y sont engagés en signant le règlement.

Dans le cas présent, je pense qu'un simple rappel au règlement et à la charte aurait suffit.

Bref, ce n'est pas toi le PEBKAC, car il y a en effet une faille. Reste à savoir s'ils en étaient conscients, s'ils avaient les moyens techniques pour faire mieux, et surtout s'ils ont vraiment cru que l'élève avait piraté le réseau, c'est là à mon avis le seul élément permettant de savoir si ce sont des PEBKACs ou non.

Mouais enfin, utiliser du HTTPS, une faille, c'est un peu fort de café.
Tous les sites sécurisés l'utilisent (pas de blabla sur l'accès à un site sécurisé depuis une connexion partagée, merci).

Ce serait plus simple de te connecter directement avec le compte de GN, tu sais...

Si on m'imite, je veux que ce soit fait correctement ! Du blöd !
ils se sont aperçus ; Le participe passé des verbes pronominaux non réfléchis (dont l'action ne se reporte pas sur le ou les sujets) est toujours variable. Ils s'accordent en genre et en nombre avec le pronom personnel réfléchi (et donc le sujet) placé devant le participe passé tout comme les verbes essentiellement pronominaux.

@mini : Un logiciel de blocage est censé bloquer tout accès à une liste de sites définie, s'il ne le fait pas (ou pas complètement) c'est bien qu'il comporte une faille.

"Il faut également savoir que le blocage des url passant par le protocole https a été assez longue à mettre en place,"
Ne suffit-il pas de filtrer sur le domaine, voire site pourquoi pas, quel que soit le protocole utilisé ?

@Acorah : dans ce cas là c'est peut-être plus une erreur de paramétrage que du logiciel lui même.

Edit : je corrige la forme interrogative de ma phrase, GN est dans les parages aujourd'hui.

Honnêtement, même si apparemment ce n'est pas la faute de l'administrateur, je ne vois pas en quoi c'est une infraction à la charte. Le site n'a pas été filtré, il n'est pas censé deviner qu'il ne devrait pas le consulter.

@Acorah : Faille dans le sens exploitation de faille. Passer par du https sur un site est un cas tout à fait banal d'utilisation, ne témoignant pas d'une recherche active et délibérée de fraude. Pas plus que l'accès à un FTP ouvert sans mot de passe.

"De même, il faut garder à l'esprit que tout élève/étudiant est tenu de respecter la charte informatique de son établissement, qui stipule en général qu'il s'engage à ne pas contourner les protections mises en place sur ledit établissement, ce qui aurait pu donc légitimement valoir un avertissement."

Je vais sur un moteur de recherche, je tape le nom d'un réseau social, je clique sur le premier lien. Pas de bol, ce lien est en HTTPS, il s'affiche.
A quel moment je n'ai pas respecter la charte informatique?

On était dans le même cas il y a quelques semaine mais une MAJ du système de filtration des URL a résolu le problème. Maintenant les sites en HTTPS sont bien bloqué. Comme quoi il n'y a pas que dans les établissements scolaires que ce n'est pas à jour de ce coté là. :)
Vous pensez que le gouvernement anglais ou les banques qui paient le prolongement du support de XP sont à jour dans la filtration URL? J'ai comme un doute :)

J'ai un doute.
Lorsqu'on ouvre une connexion SSL, est-ce que l'URL du site passe en clair ou non ? On voit seulement l'IP du serveur il me semble ?
Parce que si c'est le cas, la seule solution pour filter l'HTTPS, c'est le proxy, un filtrage transparent ne marchera pas.
Dans le cas d'un proxy, la communication est en clair entre le client et le proxy, et le filtrage SSL ne se fait que du proxy au serveur. De ce fait, le proxy sait quel url l'utilisateur souhaite ouvrir et peut le filtrer ou non. Mais le fait qu'il doive du coup lui même négocier l'ouverture du tunnel SSL demande pas mal de puissance. A l'échelle de grosses structures, il ne faut pas de trop petits boitiers.

Il faut bien que l'URL soit convertie par un DNS, donc oui, elle passe en clair pour la résolution.

"Dans le cas d'un proxy, la communication est en clair entre le client et le proxy"
Je te propose de faire un test avec Wireshark, je pense que tu vas être surpris du résultat. C'est chiffré entre le client et le serveur. Si le proxy veut vérifier le flux qui passe, il faut au préalable qu'il soit capable de le déchiffrer.

La flemme de retrouver le pad avec les mots de passe des comptes publics. J'en aurais pour plusieurs heures je pense.

En l'occurrence, c'est réfléchi du coup... Chacun s'est aperçu... Ce n'est pas "tout le monde a aperçu tous les autres"... Donc c'est bien "se sont aperçu" et pas "se sont aperçus".

Si tu fais ce genre de fautes je préfère ne pas t'imiter.

Je maintiens : http://la-conjugaison.nouvelobs.com/regles/orthographe/l-accord-du-par[...]

[Edit]
"En l'occurrence, c'est réfléchi du coup". ben non, justement : "dont l'action ne se reporte pas sur le sujet". ici ils ne s'aperçoivent pas eux même.

J'utilise une faille de mon ordinateur personnel. Pour ne pas avoir à payer la licence pour 8.1 j'utilise Debian. Ne pas répéter car je ne suis pas certain de la légalité de mon astuce, n'ayant pas rétribué Microsoft.

Même pas une petite licence OEM à l'achat de la machine ? (Bon OK, peut-être pas 8.1, voire rien du tout si la machine était sans OS).

Réfléchi ? Ils ont aperçu eux-mêmes ?
Première nouvelle.

En convertissant à la première personne : Nous nous sommes aperçus...

@mini et seb (et d'autres sûrement, mais ma mémoire me fait défaut) : Ce n'est pas ce que dit la loi française. Je laisserais cependant une personne bien plus qualifié que moi en parler : http://www.maitre-eolas.fr/post/2014/02/07/NON%2C-on-ne-peut-pas-%C3%A[...]
Tu es sur un site sur lequel tu sais ne pas pouvoir être normalement ? Nous sommes donc dans le cas d'un accès frauduleux à un système de traitement automatisé de données (pas de niveau de sécurité minimum requis, il suffit d'être conscient d'accéder à un endroit auquel on a normalement pas accès, ce qui est le cas ici puisque le site en http est bloqué : on ne doit normalement pas avoir le droit d'y accéder sur ce réseau). Et de plus, s'il reste, on est dans le cas d'un maintien frauduleux dans un STAD.

@Audrey Azura : Et si on ne sait pas que le site est bloqué ?

Dans mon ancienne entreprise, je me suis aperçu par hasard, une semaine avant de quitter l'entreprise (le départ était déjà prévu ^^) que certains sites que je visitais régulièrement étaient bloqués.
Je visitais toujours "http://example.com", par habitude, et l'admin avait juste bloqué "http://www.example.com" (aucune idée de la raison, puisque je n'ai jamais utilisé cette URL). Je ne suis jamais tombé sur une page annonçant un blocage, comment j'aurais pu savoir que le site était censé être bloqué ? :D

Pour être franc :

"les administrateurs avaient bloqués l'accès à certains sites et réseaux sociaux. Quelle ne fut pas la surprise des élèves lorsqu'ils se sont aperçus que les URL en HTTP étaient « bloquées », mais pas celles en HTTPS"
=> CTLP, cela fait partie de la mission d'enseignement d'un administrateur réseau de convaincre ses utilisateurs d'utiliser HTTPS à la place d'HTTP...

"Quand un responsable informatique à trouvé un élève sur un site « interdit », il l'a accusé d'avoir piraté le réseau. Le pauvre élève a tout de même failli avoir un avertissement de l'école."
=> BEDP et je dirait même admin en mousse

Pas le moindre OS à l'achat. Pour contourner la système je me suis octroyé une machine d'assembleur. Quelle faille.

@Anonyme : C'est répondu dans l'article. Il faut avoir conscience que cet accès est frauduleux. S'il n'y avait pas de sécurité et que nul part était indiqué que le site était bloqué, je dirais qu'on ne peut prouver qu'il y a eu accès frauduleux. Mais je ne suis pas juriste ^^.

@val070 : vérification faite : le début de la communication (le connect) se fait bien en clair, même si c'est du HTTPS.
Par contre, une fois que le site est identifié et commence à être récupéré, il est bien chiffré.

Quoi ???!!! c'est quoi ce repaire de pirates ??!!!
Je vais vous dénoncer à Hadopi moi !

C'est un complot pour promouvoir le https.

felixlechat

Tu crois que ça passe, devant le juge, de dire "ah non mais écoutez, c'est parce que j'ai vu le site en https et non en http".

Juge "Ah, OK, alors vu l'article 123456, l'admin devient responsable de son bleu consécutif à la gifle, vous êtes acquitté." Ce serait cool, tiens. Parce que ça me paraît difficile de résister...

@Val70 : Pour le filtrage du domaine, tout dépend de la solution adoptée. La solution que nous avions il y a peu dans notre lycée permettait le filtrage d'url, de noms de domaines, et de mots-clés, mais elle restait incapable de filtrer le https. Comme dit plus haut, la seule «solution» que nous avions était de rediriger l'url sur nos serveurs DNS (ce qui, sur les portables des élèves, est également facile à contourner, vous l'admettrez...).

@mini, Noname et Anonyme : Dans l'énoncé du PEBKAC, il est précisé que les URL eh http étaient bloquées et pas celles en https. L'étudiant était donc bien conscient que l'accès au site depuis le réseau était interdit.

La formulation du PEBKAC prend d'ailleurs position en mettant entre guillemets le terme «interdit». L'auteur sous-entend que si le filtrage n'est pas techniquement efficient, alors le site n'est pas interdit, ce qui est bien sûr faux. Dans un cadre professionnel et/ou scolaire, l'accès à certains sites peut être interdit par le règlement sans que des solutions techniques de blocage soient mises place. L'utilisateur n'en est pas moins fautif lorsqu'il contourne ce règlement (même si on est d'accord que la mise en place d'un filtrage efficace est toujours une meilleure solution).

Théoriquement, dans le cas de blocage, la liste des sites/mots-clés/url/ip (rayez les mentions inutiles) bloquées doit être mise à disposition et consultable par les utilisateurs.

Ça va dépendre des cas ; légalement, les infractions doivent avoir un élément moral, i.e. le vilainméchanpabo (copyright : les simplets de l'UMP et du FN) doit être conscient de faire ce qu'il fait (il y a des exceptions : par exemple l'homicide involontaire, pour des raisons évidentes), mais pas forcément du caractère illégal de son action : nul n'est censé ignorer la loi, ce qui ne veut pas dire que tout le monde est censé la connaître, mais que « ah ben je savais pas » n'est pas une excuse. Par exemple, dans le cas d'un accès frauduleux à un STAD, il faut établir que l'accusé a conscience que son accès est frauduleux.

Si les logs montrent que l'élève s'est fait refuser l'accès en http trente secondes avant accéder au site en https, ça n'est pas la même chose que s'il lance le poste, essaie directement d'accéder au site en https, et ça marche.

Cependant, dans l'absolu, il y a une grosse différence entre changer un caractère de l'URL et utiliser un proxy (qui, lui, ne sera pas un accident).

Et finalement, faut pas oublier que globalement, les conseils de discipline d'établissements scolaires et les tribunaux, c'est pas tout à fait la même chose en matière de qualité de jugement.

"homicide involontaire, pour des raisons évidentes".

Ben, pas pour moi. Il se peut que tu sois juriste, et j'en ai vu pas mal avec lesquels j'en ai discuté, et ils n'ont jamais réussi à me convaincre. Une mort qui n'arrive pas par pur accident, en général, on a fait une connerie avant, d'ailleurs nommée (imprudence, mépris d'un règlement, etc) et elle, peut être consciente. Par exemple, analogie voiture mais ce sera simple pour tous, sur un site où on confond ampère et volt, sisi, un gars qui tue un passant parce qu'il roule comme un connard sera jugé non pas pour un truc involontaire, ce qui me paraît cruche, mais pour avoir fait exprès de rouler comme un taré (et là, on est en accord avec l'esprit général qui veut qu'un délit soit fait consciemment). Juristes, mettez-moi plein de moins, je suis habitué.

Personnellement dans mon lycée il est impossible d'accéder à une page HTTPS car les certificats de sécurité du serveurs sont expirés depuis 2 ans, donc oui impossible d'aller simplement sur google de manière sécurisée.