Quel est le point commun entre les webcams, caméras de surveillance, caméras de vidéoconférence, dispositifs de contrôle, imprimantes et autres objets connectés à internet utilisant les réseaux du CERN ? Ces dispositifs sont parfois grands ouverts, au sens numérique du terme : leur configuration ne comprend pas de protection de l’accès, et soit leur protection par mot de passe est désactivée, soit elle repose encore sur le mot de passe par défaut établi par le vendeur. Les utilisateurs peuvent ainsi se sentir protégés, alors que ces dispositifs sont librement accessibles à des personnes mal intentionnées.

Une étude récente, menée par un étudiant en sécurité informatique, s’est penchée sur les pages web hébergées sur des dispositifs appartenant à ce que l’on appelle « l’internet des objets ». Il s’agit d’appareils qui ne ressemblent pas forcément à des ordinateurs, à des ordinateurs portables ou à des smartphones, mais qui disposent de fonctions similaires. Ils fonctionnent avec un certain type de système d’exploitation Windows ou Linux, peuvent envoyer des courriers électroniques, ont un adaptateur sans fil, et il est possible de les configurer ou d’y accéder à partir d’un serveur web. Tout ce dont vous avez besoin pour cela, c’est de l’adresse IP de l’appareil et du mot de passe correspondant pour vous enregistrer. Et c’est là le nœud du problème : ces dispositifs sont généralement accompagnés d’un compte par défaut (par exemple « admin ») et d’un mot de passe par défaut (par exemple « admin », « utilisateur », « 12345 »), que le propriétaire de l’appareil n’est pas forcément obligé de changer lors de la première utilisation... ce qui est un avantage pour une personne souhaitant mener une attaque. Étant donné qu’il s’agit de mots de passe par défaut, établis par le vendeur, il est possible, en connaissant le modèle et la marque, de les chercher sur une multitude de sites web…

Quel est le risque ? Pensez aux caméras utilisées à la maison ou dans des salles de conférence, ou à celles qui servent pour le contrôle de sécurité ou pour le contrôle d’accès : avec le mot de passe par défaut, n’importe qui peut voir ce qu’elles filment. Ainsi, c’en est fini de l’intimité. De même, des personnes mal intentionnées peuvent activer un micro intégré à un appareil et écouter vos conversations. Des réunions confidentielles deviennent publiques... l’utilisation de mots de passe par défaut pour les routeurs exposera aux attaques de tiers tout ce qui transite sur vos réseaux ; il peut s’agir des pages web auxquelles vous accédez, et même de n’importe quel contenu si vous n’utilisez pas les canaux de communication cryptés tels que SSH, RDP, VPN ou HTTPS. Pire encore, le routeur de votre domicile est capable de se connecter à tous les appareils que vous avez chez vous (c’est sa fonction principale) et la personne qui vous attaque peut par conséquent chercher les vulnérabilités de chaque appareil et élargir son attaque. Pensez aussi aux dispositifs qui contrôlent certains processus industriels, certaines machines de forage, des panneaux solaires, des machines à café, etc. Si un tiers peut librement configurer leurs paramètres, vos machines ou produits peuvent devenir inutiles. Par exemple, qui voudrait boire un café noir standard alors qu’il a demandé un ristretto ?

Ainsi, la prochaine fois que vous installez un tout nouveau dispositif sur votre réseau, que ce soit chez vous ou au CERN, rappelez-vous de changer le mot de passe par défaut. Il en va de même pour tout autre appareil dont vous héritez et que vous commencez à utiliser : assurez-vous que vous êtes bien la seule personne à connaître le mot de passe. Choisissez un bon mot de passe, qui soit efficace en termes de sécurité. Rendez-le compliqué en mélangeant des lettres, des symboles et des chiffres. Ne l’utilisez pour aucun autre appareil, et gardez-le pour vous. Et si vous êtes en manque d’inspiration, voici quelques conseils : 

• Choisissez un extrait d’une ligne ou deux d’une chanson ou d’une poésie et utilisez la première lettre de chaque mot. Par exemple « Maître Corbeau, sur un arbre perché, tenait en son bec un fromage. », qui devient « MC,suap,tesbuf. »
• Utilisez une longue phrase telle que « MaîtreCorbeau,SurUnArbrePerché, TenaitEnSonBecUnFromage. » ou une formule mathématique comme « sin^2(x)+cos^2(x)=1 ».
• Alternez les minuscules et les majuscules, et intercalez des consonnes et des voyelles ; cela donne des mots dépourvus de sens, qui sont généralement prononçables, et donc faciles à retenir. Par exemple « Weze-Xupe » ou « DediNida3 ».
• Choisissez deux mots courts (ou un mot long que l’on segmente) et intercalez entre les deux des signes de ponctuation ou des chiffres. Par exemple « p1gu1+v0lant » ou « ordI!!NAteuR ».

Pascal Oser & Sharad Agarwal pour l'équipe de la sécurité informatique

Si vous souhaitez en savoir plus sur les incidents et les problèmes relatifs à la sécurité informatique au CERN, inscrivez-vous pour recevoir notre rapport mensuel (en anglais). Si vous souhaitez avoir d’autres informations, poser des questions ou obtenir de l’aide,rendez-vous sur notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.