La meilleure façon de protéger votre compte, votre ordinateur et vos données est d’utiliser un mot de passe unique et suffisamment complexe combiné à un deuxième facteur d’authentification, c’est-à-dire, en plus du mot de passe, un objet que vous avez en votre possession, comme votre smartphone ou un jeton matériel. Ce processus d’authentification, connu sous le nom d’authentification à deux facteurs (« 2FA »), représente un sérieux obstacle pour les cybercriminels, qui devront alors non seulement récupérer votre mot de passe, opération qui peut être réalisée de manière virtuelle (« Le CERN a fait l’objet d’une nouvelle attaque par hameçonnage »), mais aussi voler « physiquement » votre jeton matériel. Comme annoncé dans le Bulletin en novembre 2021 (« Mise en place de l’authentification multifacteur pour tous »), le CERN s’apprête à déployer l’authentification à deux facteurs pour une partie de la communauté du CERN dès le deuxième trimestre 2022. En vous authentifiant, vous pourrez cliquer en toute sécurité.

En 2020, le CERN a privilégié le déploiement de l’authentification à deux facteurs pour les spécialistes ayant besoin d’accéder à certains services informatiques et de les gérer. Ce sont notamment les personnes qui ont accès à des systèmes de contrôle critiques (via les Remote Operations Gateways [ ROG ] du département BE, par exemple), à des systèmes informatiques (en utilisant Foreman, par exemple) ou à des données sensibles. Or, cette approche a entraîné une certaine confusion chez de nombreux utilisateurs (quand utiliser uniquement son mot de passe et quand utiliser l’authentification multifacteur ?). Et elle n’a pas non plus permis de tirer pleinement profit de l’authentification à deux facteurs, car la meilleure façon d’assurer la sécurité des comptes est de procéder à un déploiement complet, cohérent et approfondi de l’authentification à deux facteurs, qui est considérée comme la meilleure des protections ; d’ailleurs, votre banque l’utilise déjà, et vous l’utilisez peut-être aussi en dehors du CERN.

Ainsi, à partir du deuxième trimestre 2022, les spécialistes mentionnés plus haut, en raison de leurs responsabilités et de la nature critique de leurs comptes, devront utiliser l’authentification à deux facteurs pour se connecter à n’importe quelle application web du CERN. Le nouveau portail d’authentification unique (« Single Sign-On ») en ligne du CERN les obligera à s’authentifier avec leur mot de passe et leur deuxième facteur d’authentification pour tous les sites web associés au nouveau SSO* du CERN, que ce soit pour accéder à un système de contrôle critique, gérer un service informatique très important ou simplement consulter l’annuaire du CERN ou une autre page web CERN associée au SSO.

Deux jetons matériels sont actuellement pris en charge :

• une application qui se trouve sur votre smartphone et qui génère un mot de passe unique – ce qui fait de votre smartphone le deuxième jeton matériel – ou
• une clé de sécurité USB physique (« Yubikey », par exemple) qui utilise une paire de clés privée/publique spécifique au CERN (https://webauthn.guide/) pour la deuxième étape d’authentification.

Une fois authentifié, vous pourrez continuer à travailler normalement dans la mesure où la session de votre navigateur restera active pendant 12 heures, ou jusqu’à ce que vous fermiez votre navigateur ou qu'un autre navigateur ou appareil soit utilisé. Ainsi, ces spécialistes, et donc leurs comptes, leurs données et leurs applications et, par conséquent le CERN, pourront bénéficier de la meilleure des protections contre l’usurpation d’identité et l’exposition des mots de passe.

Les personnes qui utilisent les infrastructures informatiques du CERN uniquement pour leurs recherches et leurs activités scientifiques ne sont pas concernées par le déploiement de cette fonction, mais elles peuvent tout de même la choisir via le portail « IT User Portal ». Nous espérons que le plus grand nombre d’entre vous attacheront suffisamment d’importance à leur protection et opteront pour cette sécurité supplémentaire, une étape somme toute courante lorsqu’il s’agit d’accéder à votre compte bancaire par exemple.

Le déploiement de la fonctionnalité « 2FA-WithNewSSO » (« 2FA-WINS ») a commencé et se fera par étape. Toute personne souhaitant améliorer la sécurité et la protection de son compte et de sa vie numérique peut d’ores et déjà se porter volontaire en s'inscrivant ici. Pour les membres du département IT, l'utilisation de l'authentification 2FA pour le nouveau portail web SSO du CERN deviendra obligatoire à compter du deuxième trimestre 2022 et sera ensuite étendue durant l'été à toutes les personnes ayant accès à des systèmes de contrôle critiques. Pour en savoir plus (notamment comment activer un deuxième facteur ou ce qu’il faut faire si vous le perdez), consultez notre page web). Authentifiez-vous pour cliquer en toute sécurité.

* Les applications non basées sur le web, comme les passerelles SSH, continueront à exiger l'authentification à deux facteurs (2FA) au cas par cas. Les authentifications via l'ancien portail d’authentification unique ne seront pas affectées, dans la mesure où l’ancien SSO sera progressivement abandonné.

____

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, consultez notre rapport mensuel (en anglais seulement). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.