View in

English

Sécurité info : comment perdre facilement un mot de passe

|

Ayant reçu plusieurs questions à propos de l’article « Une vieille arnaque en cache une nouvelle » publié dans le Bulletin, nous avons décidé de vous expliquer comment perdre facilement votre mot de passe du CERN : réutilisez-le tout simplement sur des services web peu sûrs externes au CERN !

Les mots de passe sont des outils de sécurité nécessaires pour protéger vos données sur n’importe quel service web : les applications INDICO et EDH du CERN, Facebook, Twitter, Amazon, etc. Lorsque vous créez une compte, le mot de passe est généralement stocké avec l’identifiant correspondant (par exemple votre adresse électronique) pour le service en question ; ces deux éléments sont ensuite demandés pour vérifier votre identité lorsque vous vous connectez (processus d’« authentification »). Au CERN, cette opération est gérée par le système de gestion des identités du CERN, avec authentification unique (« CERN SSO »). Vous pouvez ainsi facilement vous connecter à n’importe quel service web ou informatique du CERN. Et puisque tous les services informatiques du CERN doivent utiliser cette solution centrale, vous n’avez à retenir qu’un seul mot de passe, et non une multitude de mots de passe à usage unique. Le portail CERN SSO protège vos mots de passe conformément aux bonnes pratiques, en les convertissant en chaînes non récupérables (« hâchage salé » en jargon technique). Évidemment, comme ces mots de passe CERN donnent accès à de nombreux services, il vous est demandé de suivre des règles de bonne diligence et d’appliquer un certain nombre d’exigences concernant la longueur et la complexité des mots de passe, ainsi que leur date d’expiration (voir notre article du Bulletin « Faire confiance à sa mémoire ou à un gestionnaire numérique »). Dans certains cas, par exemple lorsque l’on accède à des services d’importance critique, le système CERN SSO peut même vous demander d’utiliser un deuxième élément d’authentification (en plus du mot de passe que vous connaissez, un outil que vous avez – comme la « calculatrice » utilisée pour certains services bancaires en ligne). 

Tous les fournisseurs de services web ne font toutefois pas preuve de la même diligence... la sécurité n’est peut-être pas la première de leurs préoccupations. Les mots de passe peuvent ainsi ne pas être traités avec l’attention nécessaire, et être simplement stockés après avoir été cryptés d’une façon simple, ou même conservés sous forme de texte, sans autre protection. Si ces sites web sont infiltrés, tous les mots de passe stockés sous forme de texte se retrouvent exposés, et la protection de l’accès à toutes les données associées est entièrement compromise. Dès lors, toutes les données peuvent devenir publiques, malgré vous. En fait, cela arrive bien plus souvent que vous ne l’imaginez. Le site web https://haveibeenpwned.com/, qui est fiable et digne de confiance, fournit une longue liste de sites web piratés qui ont déjà perdu leurs données. N’hésitez pas à y entrer votre adresse électronique personnelle ou celle du CERN... Vous pourriez avoir une surprise.

Mais cela ne devrait pas vous surprendre. L’équipe de la sécurité informatique du CERN s’est abonnée au service « ;--have i been pwned? » (Me suis-je fait avoir?) ainsi qu’à plusieurs autres. Grâce à ces services, ainsi qu'à nos partenaires (autres équipes de sécurité informatique, universités, industrie, entreprises de sécurité, autorités nationales et organismes officiels), nous parvenons généralement à connaître à l’avance les « dépôts de mots de passe » nouvellement publiés (c’est-à-dire des listes d’adresses électroniques et de mots de passe non cryptés liés à un service web particulier). Nos mécanismes automatiques analysent ces listes et identifient les entrées liées à votre adresse électronique du CERN ou à toute adresse que vous avez enregistrée auprès du CERN (par exemple votre compte « Lightweight » ou une adresse électronique sur laquelle vous faites transférer vos messages). Cela nous permet de vous informer rapidement au cas où votre mot de passe externe a été révélé. Vous devez alors changer ce mot de passe, ou envisager de fermer complètement le compte concerné. De même, nous passons au crible ces dépôts de mots de passe afin d’identifier des mots de passe et adresses électroniques exposés qui sont liés à des sites de la Grille de calcul mondiale pour le LHC, à des universités ou instituts associés, à certaines des organisations internationales basées à Genève, et même à certaines entreprises suisses. Les équipes de sécurité informatique compétentes sont alors informées. C’est un bel exemple de partenariat.  

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.