Il existe différents types d'intelligences. L'intelligence humaine, mesurée en points de QI ; l'intelligence sociale, connue aussi sous le terme de compétence sociale ; l'intelligence artificielle (voir la dernière édition du Bulletin) et ses nombreuses variantes, notamment les « données massives », « l'apprentissage automatique » et les « réseaux neuronaux ». Nous nous pencherons cette fois sur ce qu'on appelle en anglais le « signals intelligence » (SIGINT), à savoir les renseignements d'origine électromagnétique, ou, plus précisément, sur la « threat intelligence » (ThreatINT), c'est-à-dire les renseignements obtenus par des moyens douteux et fournis généralement par des organismes clandestins.
Cela peut sembler un peu suspect, mais en fait il n'y a rien d'étrange à vouloir savoir si des cambrioleurs opèrent dans votre village, si des voleurs s'intéressent à votre marque de voiture ou si des criminels sont à l'affût, prêts à voler les identifiants de votre carte de crédit. Il est préférable d'être vigilant et de connaître leurs intentions avant qu'ils ne commettent un acte malveillant. Cela permet de renforcer vos moyens de défense, d'améliorer votre niveau de protection, bref, de vous préparer.
Il en va de même pour le monde du numérique. Pour protéger le CERN au maximum, plus précisément pour lui permettre de détecter une attaque efficacement et d'être prêt à l'affronter, il est important de recueillir le plus d'informations possible sur les plans des cybercriminels, discutés via des réseaux secrets, mais également sur les vecteurs d'attaque annoncés sur le web clandestin (dark web), ou les identifiants volés et les failles de sécurité informatiques vendus sur les marchés noirs des biens numériques. En d'autres mots, il est essentiel de recueillir des informations sur tout ce qui circule concernant le CERN, ses noms de domaine (cern.ch, .cern, mais aussi zenodo.org, etc.), ses réseaux, ses comptes et toute autre ressource numérique de propriété de l'Organisation, mais également sur les menaces visant le CERN, la Grille de calcul mondiale pour le LHC et les instituts et universités affiliés.
En 2020, après une collecte ponctuelle sur le web clandestin de données « ThreatINT » concernant le CERN et leur analyse, l’équipe de sécurité informatique du CERN a fait appel à une autre société externe spécialisée dans la collecte de ce genre de données. Leur première série d'analyses a révélé plus de 1 000 mots de passe de comptes principaux (31 %) et de comptes externes (69 %) du CERN, utilisés pour se connecter, par exemple, aux pages d'authentification unique (SSO) du CERN, LHC@BOINC ou Zenodo. Alors que la majorité des mots de passe des comptes principaux du CERN se sont avérés être des faux positifs ou provenaient d'anciens dépôts de mots de passe déjà traités il y a longtemps, plus de 60 mots de passe liés à des comptes externes* étaient valables. Les mots de passe avaient été obtenus au moyen de divers voleurs de mots de passe, installés sur les ordinateurs (très probablement personnels) des propriétaires des comptes concernés, après avoir été infectés par un logiciel malveillant. Une fois infecté, chaque mot de passe tapé sur cet ordinateur doit être considéré comme piraté et doit donc être changé (bien entendu APRÈS avoir réinstallé l’ordinateur afin d'éviter que les nouveaux mots de passe ne soient à nouveau piraté). Tant pis pour tous ceux qui n'ont pas encore activé leur protection par authentification à deux facteurs.
Le CERN reçoit à présent presque quotidiennement des informations extrêmement importantes sur les menaces qui pèsent sur de grands instituts de recherche et d'enseignement. Depuis le début de l'année, SAFER – le groupe qui réunit des spécialistes en sécurité informatique du monde entier, y compris du CERN – vient en aide à des organismes victimes d'attaques par rançongiciels en Allemagne, en Australie, en Autriche, au Canada, au Danemark, à Hong Kong, en Islande, en Italie, au Kenya, en Suisse, à Taïwan et aux États-Unis ; nombre d'entre elles ont un lien avec le CERN ou font partie de notre communauté institutionnelle. Les données indiquaient que ces organismes avaient été piratés par des spécialistes en cybermenaces, mais qu'aucun rançongiciel n'avait été déployé... pour l'instant ! La grande qualité et la précision de ces données ont permis aux instituts d'agir, de surveiller, de détecter et, enfin, de contenir et de stopper toute attaque avant qu'il ne soit trop tard.
Il est donc essentiel d'établir de solides relations de confiance et d'échanger des renseignements confidentiels sur les cybermenaces. Le public ne le sait peut-être pas, mais les spécialistes en sécurité informatique des grands instituts de recherche et d'enseignement sont toujours aux aguets en coulisses pour protéger la communauté (voir ici, ici ou là).
Pour protéger le CERN, il est important d'établir des relations de confiance solides et de partager des informations sensibles sur les cybermenaces. Il ne s'agit pas de savoir « si » l'Organisation sera soumise à une attaque, mais « quand ». Grâce aux renseignements d'origine électromagnétique, nous avons la possibilité de le savoir à l'avance. L'information, c'est le pouvoir.
* Les comptes externes permettent d'accéder à des ressources publiques telles que Zenodo.org ou LHC@BOINC. Le piratage des mots de passe de ces comptes ne constitue pas une menace pour le CERN.
_____
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, consultez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.