La clé USB nous a bien rendu service dans le passé... Et elle est utile encore aujourd'hui, même s'il existe désormais des méthodes plus simples pour envoyer des fichiers ou des documents d'un appareil à un autre, comme le service gratuit et polyvalent CERNBox ou l'outil commercial Dropbox. Ces méthodes sont même plus sûres et plus flexibles !
Le seul ennui avec les clés USB, c'est qu'elles sont comme des boîtes de chocolats : « On ne sait jamais sur quoi on va tomber » (Forrest Gump, 1994). En effet, comment savoir si la clé USB que vous vous apprêtez à brancher à votre ordinateur contient des fichiers infectés, des virus, des logiciels illégaux, des logiciels soumis à des droits d'auteur ou à des conditions de licence particulières ? Vous ne pouvez jamais en être sûr, même si votre clé est flambant neuve. Au CERN, il y a eu des cas où des clés USB sont arrivées de l'usine déjà infectées, alors qu'elles étaient encore à l'intérieur de leur emballage plastique scellé... Le risque pour votre ordinateur et pour le CERN ne doit pas être négligé : en fonction du type d'infection ou de virus et de la date de la dernière mise à jour de votre système d'exploitation, votre ordinateur pourrait être immédiatement infecté. C'est un risque qui touche particulièrement les appareils qui ne peuvent pas être mis à jour de façon systématique, comme certains systèmes de contrôle-commande servant à assurer le fonctionnement des accélérateurs, de l'infrastructure ou des expériences.
Pire, nos outils de détection automatique repèrent régulièrement des logiciels piratés ou des documents soumis à des droits d'auteur transmis par des clés USB personnelles qui ont d'abord été utilisées dans un cadre privé. Bien sûr, ce que vous faites chez vous ne nous regarde pas et n'a à répondre que de la législation du pays où vous résidez, mais une fois que la clé est branchée au CERN, l'utilisation de logiciels piratés ou de matériel soumis à des droits d'auteur peut être lourde de conséquences pour l’Organisation (voir nos articles du Bulletin à ce sujet : « Avez-vous 30 000 CHF à perdre ? », et « Musique, vidéos et risques »).
Alors aidez-nous à protéger vos appareils, la réputation du CERN ainsi que le bon fonctionnement des accélérateurs, de l'infrastructure et des expériences ! N'apportez pas votre clé USB privée au CERN (et s'il le faut vraiment, formatez-la avant). Si vous utilisez la clé USB d'une autre personne, soyez extrêmement vigilant. À moins de savoir précisément ce qu'elles contiennent, mieux vaut simplement s'abstenir d'utiliser des clés USB, en particulier celles trouvées « par hasard » (par exemple une clé égarée par quelqu'un, trouvée par terre ou donnée par un inconnu). À la place, utilisez CERNBox. Cet outil contient suffisamment d'espace pour des fichiers voumineux, se synchronise avec vos dossiers personnels du CERN, est accessible à distance (même sur un appareil mobile) et fournit un accès anonyme pour le partage de documents avec d'autres personnes. Et, s'il vous plaît, faites preuve d'une extrême vigilance si vous utilisez une clé USB pour transférer des données dans les systèmes de contrôle-commande de la production hébergés sur le réseau technique ou sur le réseau d'une expérience. La règlementation correspondante, à savoir la politique de sécurité sur les systèmes de contrôle-commande (CNIC) (paragraphe 6.2.1) prévoit ce qui suit : « La connexion de clés USB au réseau technique ou aux réseaux des expériences doit être évitée à tout prix et d'autres méthodes de transfert de fichiers [...] doivent été employées chaque fois que cela est possible. Le non-respect de cette règle sera considéré comme une faute professionnelle mettant en danger le réseau technique ou les réseaux des expériences ». Enfin, il va sans dire que le fait de maintenir votre système d'exploitation à jour et d'utiliser un logiciel anti-virus de bonne qualité (vous pouvez obtenir celui du CERN gratuitement) vous permettra dans tous les cas d'être mieux protégé.
_________
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel. Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch