La meilleure façon de protéger votre compte, votre ordinateur et vos données est d’utiliser un mot de passe unique et suffisamment complexe combiné à un deuxième facteur d’authentification, soit, en plus du mot de passe, un objet que vous avez en votre possession, comme votre smartphone ou un jeton matériel. Ce processus d’authentification, connu sous le nom d’authentification à deux facteurs, représente un sérieux obstacle pour les cybercriminels, qui devront alors non seulement récupérer votre mot de passe, opération qui peut être réalisée de manière virtuelle (« le CERN a fait l’objet d’une nouvelle attaque par hameçonnage »), mais aussi physiquement voler votre jeton matériel. Et nul doute que si votre smartphone venait à disparaître, vous vous en rendriez compte n’est-ce pas ?
En 2020, le CERN s’est concentré sur le déploiement de l’authentification à deux facteurs pour les spécialistes ayant besoin d’accéder à certains services informatiques ou de les gérer ; alors que l’authentification à deux facteurs est en passe de devenir obligatoire pour l’accès à distance aux systèmes de contrôle raccordés au réseau technique du CERN (« protéger l’accélérateur des attaques à distance »), en 2022, nous aimerions passer à l’étape suivante : l’authentification à deux facteurs pour se connecter à n’importe quelle application web du CERN.
Lorsque vous utiliserez cette nouvelle authentification à deux facteurs, le portail d’authentification unique (« Single Sign-On ») en ligne du CERN vous obligera à vous authentifier avec votre mot de passe et votre deuxième facteur d’authentification1, et ce, pour tous les sites web associés au « Single Sign-On » du CERN, que ce soit pour accéder à un système de contrôle critique, gérer un service informatique très important ou simplement consulter l’annuaire du CERN. Il est possible d’utiliser soit une application qui se trouve sur votre smartphone, et qui fait de votre smartphone le deuxième jeton matériel, soit une clé de sécurité USB physique (par exemple, « Yubikey ») qui utilise une paire de clés privée/publique spécifique au CERN pour cette deuxième étape d’authentification. Une fois authentifié, vous pourrez continuer à travailler normalement et votre session restera active pendant 12 heures ou jusqu’à ce que vous changiez de navigateur ou que vous vous connectiez à partir d’un autre appareil. Votre compte, vos données et vous-même bénéficierez ainsi d’une protection renforcée contre l’usurpation d’identité et la divulgation de vos mots de passe.
La mise en œuvre de cette mesure ouvrira la voie à un déploiement plus large par la suite, mais nécessitera de modifier substantiellement la manière dont l’authentification est réalisée aujourd’hui sur le plan technique. C’est pour cela qu’à partir du deuxième trimestre 2022, tous les spécialistes qui ont aujourd’hui déjà accès à des systèmes de contrôle critiques (via les Remote Operations Gateways (ROG) du département BE, par exemple), à des systèmes informatiques (en utilisant Foreman, par exemple) ou à des données sensibles (ceux qui, dans le cadre de leur travail, utilisent déjà une authentification à deux facteurs sur le portail d’authentification unique (« Single Sign-On »), par exemple), verront cette nouvelle fonction d’authentification web à deux facteurs systématiquement activée par défaut compte tenu de la nature critique de leur compte (il leur est possible de choisir de ne pas utiliser cette nouvelle fonctionnalité, mais, dans ce cas, ils perdront leurs accès privilégiés). Cela leur facilitera la connexion et leur évitera de devoir se reconnecter plusieurs fois dans la journée, par authentification unique ou multi-facteurs. Les personnes qui utilisent les infrastructures informatiques du CERN uniquement pour leurs recherches et leurs activités scientifiques pourront choisir cette fonction via le portail « IT User Portal ». Nous espérons que le plus grand nombre d’entre vous attachent suffisamment d’importance à leur protection et opteront pour cette sécurité supplémentaire, une étape somme toute courante lorsqu’il s’agit d’accéder à votre compte bancaire par exemple. Pourquoi ne pas essayer l’authentification à deux facteurs et ainsi assurer la sécurité et la protection de votre compte et de votre vie numérique ? Pour plus de détails (comme comment activer un deuxième facteur ou ce qu’il faut faire si vous le perdez), consultez notre page web.
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel. Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.
1Les applications non basées sur le web, comme les passerelles SSH, continueront à exiger l'authentification à deux facteurs (2FA) uniquement au cas par cas.