Parfois, lorsque l'on travaille au département IT, on se croirait presque sur l'Olympe : nombre de nos collègues d'IT disposent de pouvoirs quasi-divins pour gérer leurs services informatiques. Presque tous les services informatiques fournis de façon centrale sont essentiels au fonctionnement du CERN et à l'exploitation des accélérateurs, de l'infrastructure et des expériences, et sont indispensables à la communauté des utilisateurs, que ceux-ci soient sur place ou à l'étranger. De nouvelles améliorations seront apportées au système de sécurité afin d'assurer le maintien de ces services même si ces dieux venaient à perdre leurs pouvoirs.
Le département IT du CERN fournit une multitude de services informatiques différents, permettant de faire fonctionner les accélérateurs et les expériences, de stocker et d'analyser des données, et de faciliter la vie de notre communauté d'utilisateurs. Dans une certaine mesure, toutes les activités menées au CERN dépendent des services informatiques fournis par le département IT, et cette dépendance est bien souvent cruciale. De plus, du fait de la manière dont l'infrastructure informatique et le centre de données du CERN sont gérés, de nombreux services sont liés, dépendent les uns des autres ou s'influencent mutuellement, ce qui renforce le caractère critique de ces services informatiques. Par nécessité, à peu près tous nos collègues du département IT doivent gérer et superviser un ou plusieurs services informatiques ; ils peuvent donc y accéder sans restriction et les configurer librement. En raison de l'aspect crucial de ces services, il est capital que seuls nos spécialistes de l’informatique puissent y avoir accès et qu'aucune personne non autorisée (surtout les pirates) ne puisse y entrer. Autrement, les pirates seraient en mesure de semer le chaos en prenant le contrôle des services informatiques du CERN, en mettant à mal ou en sabotant les opérations, en supprimant ou en modifiant des données, en volant et en révélant des documents confidentiels, en lisant des courriels personnels, etc. Jusqu'à présent, la protection de l'accès n'était fondée que sur un seul élément : « quelque chose que vous connaissez », c'est-à-dire votre mot de passe. Avec leur mot de passe CERN, nos collègues d'IT peuvent, tout comme vous, accéder à leur messagerie et à leur PC ; mais c'est également la seule clé dont ils ont besoin pour gérer les services informatiques dont ils sont responsables. Si leur mot de passe tombe aux mains d'un pirate, toute leur vie numérique (et la vôtre !) est exposée (voir notre article du Bulletin « Sécurité informatique : protégez votre famille »). Mais cela peut être pire, car les opérations du CERN pourraient être en danger.
Mais les choses vont changer. Le département IT va mettre en place un système d'authentification à deux facteurs. En plus du mot de passe, soit « quelque chose qu'ils connaissent », les gestionnaires et les administrateurs de services informatiques doivent désormais aussi présenter « quelque chose qu'ils possèdent » pour se connecter aux services informatiques dont ils ont la charge. Cet objet « qu'ils possèdent » peut être un téléphone portable sur lequel est installée l'application « Google Authenticator », qui produit également des mots de passe à usage unique, ou encore un appareil muni d'une clé USB fabriqué par Yubico (appelé « Yubikey »). Peut-être avez-vous déjà fait l'expérience de l'authentification à deux facteurs avec votre banque. La banque suisse UBS, par exemple, propose une petite « calculatrice de poche » qui fonctionne exactement de cette manière. (Facebook, Instagram, Twitter et Google ont eux aussi leur propre système à deux facteurs !). L'utilisation d'un élément matériel complique grandement le travail des pirates : en plus de voler les mots de passe de nos collègues d'IT, ils devraient désormais également mettre la main sur ce sésame... Cela nécessiterait qu'ils soient présents physiquement sur place, ce qui est peu probable. Qui plus est, ne remarqueriez-vous pas immédiatement le vol de votre smartphone ? Ainsi, l'authentification à deux facteurs arrive à la rescousse afin de rendre les services informatiques du CERN plus sûrs et ses opérations plus fiables. De telles protections finiront aussi par être utilisées pour l'accès aux systèmes de contrôle-commande critiques.
__________
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.