View in

English

Sécurité informatique : espace numérique et théorie du carreau cassé

Connaissez-vous la théorie du carreau cassé ? D'après cette théorie, émise en 1982 par des spécialistes des sciences sociales, la délinquance et les comportements antisociaux seraient plus présents dans des environnements où des incivilités – vandalisme, alcoolisation sur la voie publique, resquillage – ont déjà créé une atmosphère de non-respect de la loi. Cette théorie a été adoptée par la municipalité de New York, qui espérait faire baisser la délinquance en créant un environnement urbain plus positif, ce qui conduirait à un plus grand respect de la loi. Nous devons essayer d'appliquer la même théorie à l'organisation des services informatiques accessibles depuis Internet.

L'essentiel des services informatiques au CERN est géré par nos collègues du département IT, mais ce n'est pas tout. En complément des services proposés par IT, les utilisateurs peuvent créer des services ouverts sur Internet. Par ailleurs, les expériences et le secteur des accélérateurs exploitent également, de façon autonome, des services informatiques ouverts sur Internet. L'équipe de la sécurité informatique surveille les ouvertures pratiquées dans le pare-feu extérieur et évalue le niveau de risque avant d'autoriser toute nouvelle ouverture, mais il est très fastidieux de maintenir ce niveau de sécurité pour tous les services ouverts. En effet, la sécurité informatique est en évolution constante, ce qui était sûr hier pourrait ne plus l'être demain (voyez les exemples passés des vulnérabilités logicielles Shellshock et POODLE). De plus, selon le principe bien connu « on ne touche pas à un système qui marche », la négligence s'installe et conduit à une dégradation de la sécurité des services ouverts.

Quelques contrôles effectués récemment ont révélé des failles liées à l'exposition à Internet de certains services informatiques du CERN. La sécurité de certains de ces services n'est plus parfaitement assurée. Ainsi, on constate que certains certificats sont venus à expiration, ou sont attribués de façon anarchique (par exemple auto-signés, ou sans chaîne de confiance) ; certains canaux chiffrés utilisent des méthodes désormais dépassées ; parfois, les pages de renvoi sont absentes ou le logiciel n'est plus à jour. Dans tous ces cas, les responsables des services informatiques en question ont, naturellement, été alertés !

Cependant, comme à New York, un service dégradé constitue une incitation pour les malfaiteurs à se livrer à leurs coupables activités. Nous devons donc veiller à la sûreté et au caractère professionnel de notre présence sur Internet. Appliquons les méthodes éprouvées de la municipalité de New York. Nous scrutons déjà le réseau pour repérer les pages web vulnérables et les configurations dépassées, nous vérifions déjà si les ouvertures dans les pare-feu sont justifiées et nous alertons les personnes responsables des services en question. Mais il faut faire plus. Premièrement, nous devons envisager d'adapter les configurations par défaut concernant les services générés de façon centrale afin d'améliorer le niveau de sécurité de la configuration de base. Deuxièmement, nous demandons à tous les responsables de services informatiques, en particulier si l'exploitation de ce service n'est pas leur tâche principale, de faire preuve de vigilance. Ne les laissez pas se dégrader ! Veillez à faire les mises à jour et à vérifier régulièrement que les versions installées sont les plus récentes. Vérifiez les certificats et veillez à les renouveler à temps. Prévoyez une page de renvoi ou, si ce n'est pas possible, faites en sorte que les visiteurs soient redirigés vers « home.cern ». Enfin, passez en revue toutes les ouvertures dans les pare-feu et, si elles ne sont plus utiles, demandez-nous de les supprimer. Donc, pour 2019 et après, aidez-nous à éviter les carreaux cassés dans notre espace numérique !

_________

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site web ou contactez-nous à l’adresse Computer.Security@cern.ch.