Quel serait le pire scénario en matière de sécurité informatique ? C’est une question qui nous est souvent posée. Même si cela ne nous empêche pas de dormir profondément, une attaque de rançonnage visant le CERN serait probablement notre plus gros cauchemar. En deuxième place figurerait certainement la perte du mot de passe de l'un des administrateurs système de notre centre de données, ou bien de l'un de nos ingénieurs ou experts qui pilotent et gèrent notre infrastructure technique et nos accélérateurs. Comme nous avons déjà parlé en détail des attaques de rançonnage dans les numéros précédents du Bulletin (« Rançonnage des universités, retour au papier et au stylo ? », « Rançonnage des entreprises : vous êtes le premier concerné »), essayons de comprendre pourquoi votre mot de passe, si vous êtes un expert, nous préoccupe autant.

En fait, et particulièrement en cette période de télétravail, votre mot de passe CERN est le Saint Graal pour accéder à tous vos biens numériques au CERN : votre boîte aux lettres électronique, votre espace de stockage, votre PC et votre ordinateur portable, vos documents et bases de données, les sites web du CERN que vous administrez, les services informatiques que vous utilisez, ou encore les systèmes de contrôle de l'expérience ou de l'accélérateur que vous exploitez ou développez. Vous y accédez avec un unique mot de passe, ce qui constitue une cible facile pour une personne mal intentionnée. Il lui suffit de découvrir un seul mot de passe CERN pour mettre un pied dans la porte. Et selon le détenteur du mot de passe, elle peut accéder à votre boîte aux lettres électronique pour envoyer des pourriels dans le monde entier, à votre espace de stockage pour diffuser vos données publiquement sur internet, à votre PC ou ordinateur portable pour vous espionner, à vos données pour les encoder et vous faire du chantage, à vos sites web pour les vandaliser, ainsi qu'aux services informatiques que vous utilisez, ou aux systèmes de contrôle de l'expérience ou de l'accélérateur que vous exploitez ou développez. Dans ces deux derniers cas, si la personne malveillante a un plan précis ou est suffisamment audacieuse, elle peut se limiter à surveiller vos activités pendant un certain temps. Elle observe ainsi à quel moment vous vous connectez à vos services informatiques, quels sont les paramètres que vous appliquez, de quelle façon vous gérez les paramètres du système de contrôle et comment tout est interconnecté. Le jour J, elle passera à l'attaque en usurpant votre autorité en tant qu'expert. Elle supprimera les services informatiques, effacera les bases de données, arrêtera les faisceaux et exécutera les paramètres du système de contrôle au-delà de ses limites. Un véritable cauchemar, devenu réalité. Des nuits éprouvantes en perspective pour le CERN…

Pour préserver le sommeil du CERN, le département IT a commencé à protéger de plus en plus de voies d'accès privilégié aux services de configuration essentiels grâce à une authentification multifacteur. L'authentification multifacteur vous est certainement familière lorsque vous utilisez les services de votre banque : son application pour smartphone, les SMS qu'elle vous envoie, et le dispositif de poche que vous devez utiliser. Il en va de même pour les services informatiques du CERN pour lesquels les administrateurs système doivent à présent s'identifier en deux temps pour pouvoir utiliser Puppet, Foreman, Tellme, Pwn ou Tbag : d'une part, avec leur mot de passe CERN habituel (« quelque chose qu'ils savent »), et, d'autre part, et c’est là quelque chose de nouveau, avec ce que l'on appelle un deuxième facteur (« quelque chose qu'ils ont »), par exemple un jeton matériel ou une appli dédiée sur leur smartphone qui agit comme un jeton. Dans les prochains mois, de plus en plus de services informatiques essentiels seront protégés ainsi.

Et ce n'est pas tout, car ce scénario cauchemardesque comporte un deuxième volet : l'accès à nos systèmes de contrôle des accélérateurs et à notre infrastructure technique. Ainsi, des discussions ont déjà eu lieu avec le département Faisceaux sur la meilleure façon de protéger également par authentification multifacteur l'accès à distance à cette infrastructure technique, c'est-à-dire au Réseau technique (TN). Une première mesure a déjà été prise pour les responsables informatiques qui doivent accéder aux services hébergés sur le Réseau technique. Nous analyserons ensuite comment les clusters de développement à distance peuvent bénéficier d'une authentification multifacteur et comment l'accès à distance de nos experts peut être mieux protégé... Affaire à suivre ! Vous pouvez également suivre nos discussions lors des réunions du Groupe de travail CNIC. Et aidez-nous à protéger le CERN de ces scénarios catastrophes !

_____

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais uniquement). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.