View in

English

Sécurité informatique : c’est parti pour la prime au bogue !

|

« Le programme #BugBounty au CERN débute aujourd’hui ! Saviez-vous que le World Wide Web qui fait aujourd’hui partie de notre quotidien a été créé au CERN ? Grâce à cette invention fondamentale, vous avez dorénavant la possibilité d’aider le service informatique du CERN à déceler d’éventuelles failles. Les personnes qui découvriront et révéleront des vulnérabilités encore inconnues recevront une prime pouvant atteindre 210 CHF. Participez au programme pour agir concrètement et révéler les trous noirs du monde numérique du CERN. #Cybersécurité ». Voici l’annonce publiée par l’entreprise de sécurité choisie par le CERN à l’intention de sa communauté de hackers pour les inviter à pirater le CERN.

Après une analyse informatique complète menée par une autre entreprise externe dans le but de déceler d’éventuelles failles dans le système de sécurité de la sphère internet du CERN, nous sommes passés à l’étape suivante : la « prime au bogue » (« Bug Bounty »). L’analyse de sécurité se voulait vaste, ciblant environ 2 500 ports ouverts sur internet des serveurs du pare-feu périmétrique externe du CERN et près de 7 500 sites web en libre accès et non protégés par le système d’authentification unique du CERN (SSO) ; la prime au bogue ratissera encore plus large. Tandis que l’analyse automatique a généré plus de 35 000 résultats non vérifiés, dont la majorité étaient liés (à tort !) à d’anciennes versions (mais avec des correctifs de sécurité rétroportés), ainsi que plusieurs dizaines de problèmes plus importants comme, essentiellement, des problèmes de script intersites et quelques vulnérabilités mineures concernant des injections de commande, le programme décèlera, vérifiera et validera des failles plus complexes qui pourraient potentiellement mener à la prise de contrôle de toute l’infrastructure informatique du CERN. Par exemple, pirater des sites web pour pénétrer dans le système d’exploitation du serveur sous-jacent, tirer profit d’une base de données mal protégée pour accéder à des informations confidentielles ou (potentiellement à l’aide des deux méthodes précédentes) compromettre des serveurs pour avoir la mainmise sur le réseau interne du CERN, puis s’y déployer pour trouver des cibles plus intéressantes (comme les serveurs AD/LDAP du CERN).

En parallèle, de nombreux étudiants de l’Institut de technologie de Deggendorf, en Allemagne, exploreront pour la première fois cet automne la sphère internet du CERN dans le cadre du WhiteHat Challenge du CERN, aux côtés des étudiants de l’Université des sciences appliquées de St. Pölten, en Autriche, qui participent une nouvelle fois à ce défi. Par le passé, le projet WhiteHat Challenge a permis de déceler une multitude de vulnérabilités et de défauts de configurations complexes.

La « prime au bogue » dont il est fait mention au début de cet article a, comme son nom l’indique, un coût pour le CERN puisqu’il s’agit d’inciter les hackers à participer au programme. Les hackers seront payés en fonction de la gravité des failles exposées, qui seront évaluées selon un système d’évaluation standardisé de la criticité des vulnérabilités (« Common Vulnerability Scoring System » [CVSS]). Chaque vulnérabilité leur rapportera 2 francs suisses élevés à la puissance du score de gravité de la faille décelée, soit 2CVSS francs suisses, ce qui équivaut à un maximum de 1 024 CHF pour les plus importantes (et probablement davantage dans l’avenir). Toutefois (quelle chance !), contrairement à ce qui avait été annoncé plus tôt dans l’année dans un article controversé du Bulletin, nous ne répercuterons pas encore les coûts sur les propriétaires des sites web vulnérables. Cependant, nous les en informerons afin de leur donner une idée du coût que la négligence, le manque de formation ou la simple ignorance entraîne pour le CERN. Ce n’est qu’un montant symbolique ; une personne malveillante ne demandera pas de récompense, mais ira plus loin pour créer davantage de dégâts dans le but de saboter le CERN, d’exfiltrer des données ou de rançonner l’Organisation pour obtenir bien plus d’argent que ce que ne coûte les primes aux bogues. Aussi, efforçons-nous de limiter le plus possible les coûts pour le CERN. Protégez vos sites web !

_____

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.