View in

English

Sécurité informatique : des nouvelles du front numérique

Lors d'un récent contrôle portant sur la sécurité informatique au CERN, la question suivante a été posée : combien d'attaques visent le CERN chaque jour ? Difficile de répondre à une telle question, car il n'existe pas d'étalon universel permettant de définir ou de comptabiliser une attaque. Est-ce qu'une tentative de connexion sur le réseau du CERN constitue une attaque ? Ou faut-il qu'il y ait eu plusieurs connexions depuis la même source ? Ou bien que toutes les connexions se fassent selon le même modèle ? Ou encore qu'elles aient été menées par un même groupe hostile ? Une seule tentative par force brute visant un compte du CERN peut-elle être considérée comme une attaque ? Ou faut-il une série de tentatives d'attaques dites par dictionnaire ? Ou bien une seule attaque par dictionnaire visant plusieurs comptes du CERN ?

Comme vous pouvez le constater, la réponse à cette question ne coule pas de source. Selon d'autres organismes, ce sont 300 à 500 millions d'attaques qui se produisent chaque jour. Ces organismes comptabilisent donc chaque connexion et chaque tentative. Si l’on en croit notre système de détection des intrusions, le CERN est constamment attaqué : c'est un fait. Nuit et jour. À l'instant même où vous lisez ces lignes. Il est rare que les comptes du CERN ne soient pas la cible d'attaques par force brute. Ou que les failles sur le site ou sur les interfaces du CERN ne fassent pas l'objet de tentatives d'exploitation. De même, il est rare que les boîtes mails du CERN ne reçoivent pas de SPAM ou d'e-mails frauduleux (« phishing »). Ou que les ordinateurs du CERN ne soient pas le point de mire de virus, de vers informatiques ou d'autres logiciels malveillants. 300 à 500 millions d'attaques ? Ce n'est pas le chiffre le plus impressionnant.

Regardons de plus près nos statistiques :

  • chaque jour, le Centre d'opérations de sécurité (SOC) passe en revue les activités douteuses et malveillantes et traite ainsi de 3 à 5 To d'historique de données ;
  • le pare-feu du CERN analyse à la vitesse de 40 Gbit par seconde le trafic entrant et sortant et essaie de refuser tout paquet non demandé ou non autorisé. Très prochainement, l’équipe chargée du réseau CERN remplacera son pare-feu par une solution plus puissante qui permettra de filtrer à une vitesse de 200 Gbit par seconde le réseau entrant et sortant et de contrer des attaques élaborées, sophistiquées et ciblées ;
  • généralement, le filtre anti-spam du CERN bloque près de 70 % des deux millions de mails reçus chaque jour au CERN. Quant aux mails qui passent entre les mailles du filet, chaque jour, les filtres de détection de logiciels malveillants développés mettent en quarantaine des courriels envoyés lors d’une cinquantaine de campagnes d'hameçonnage et d’une vingtaine de campagnes utilisant des pièces jointes malveillantes ;
  • chaque mois, le Centre d'opérations de sécurité envoie des dizaines de messages à des collègues dont l'adresse e-mail du CERN ou l'adresse e-mail externe, ainsi que les mots de passe externes et d'autres informations personnelles, ont été divulguées du fait de failles dans les services en nuage sur Internet. D'une façon plus générale, nos outils automatiques alertent également des centaines d'organisations, d'instituts et d'universités sur la probable exposition de centaines de leurs adresses e-mails et de leurs mots de passe ;
  • chaque année, l'équipe en charge de la sécurité informatique organise des dizaines de campagnes visant à informer les membres du personnel et ceux qui gèrent les services informatiques du CERN de l’existence de nouvelles failles (par exemple : TeamViewer, RDP, SMBv1, WordPress, iOS, Flash) et à faire en sorte, lorsque cela est nécessaire, que ces failles soient corrigées aussi vite que possible, avant que les systèmes, les équipements et les comptes ne soient compromis par des personnes malveillantes ;
  • de même, nous recevons chaque année des dizaines de rapports externes de personnes et d'étudiants bienveillants qui participent au projet « CERN WhiteHat Challenge » et qui repèrent des configurations mal protégées ou des installations vulnérables. Ces dernières méritent toutes un suivi afin d'être améliorées ;
  • concernant la prévention, le département IT dirige une série de projets (renforcement des PC grâce à un nouveau système de gestion de l'identité comprenant une authentification à plusieurs facteurs, déploiement d'une nouvelle solution antivirus et de meilleurs outils pour les programmeurs visant à améliorer la cyber-sécurité du CERN.

Malgré le nombre impressionnant d'attaques, ce qui importe réellement c'est le pourcentage d'attaques réussies, qui, espérons-le, restera bas. Dans les cas les plus graves, l'équipe de la sécurité informatique du CERN intervient directement cinq à dix fois par an pour comprendre comment des personnes malveillantes (telles que RockeGroup ou des acteurs financés par un État) ont réussi à pénétrer les systèmes du CERN et quels sont leurs motivations et leur mode d'attaque. Trois personnes ont été licenciées du CERN l'année passée du fait de violations graves des règles informatiques du CERN. De plus, nous aidons divers autres centres de physique des hautes énergies (HEP) et de calcul haute performance (HPC), ainsi que la Grille de calcul mondiale pour le LHC, l'Infrastructure de grille européenne (EGI) et le réseau EOSChub dans nos interventions. Au cours des derniers mois, la communauté institutionnelle a en effet été victime de rançonnage informatique. Enfin, nous aidons énergiquement les institutions de santé suisses afin qu'elles se protègent contre les attaques utilisant le COVID-19 comme prétexte.

______

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, consultez notre rapport mensuel, en anglais. Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.