Un article récent sur la sécurité informatique (voir l’article du Bulletin « Des cadeaux empoisonnés ») a abordé la question de la dépendance – volontaire ou non – du CERN vis-à-vis d’entreprises et de prestataires de services extérieurs, ainsi que de bibliothèques de logiciels et de progiciels, et les risques découlant de ces dépendances du point de vue de la sécurité informatique. Il existe, en principe, des solutions pour gérer les dépendances logicielles ; par contre, les choses se compliquent lorsqu’il s’agit de se protéger contre les dépendances vis-à-vis des prestataires et fournisseurs extérieurs. Une étude succincte réalisée récemment par l’équipe de la sécurité informatique a révélé la partie émergée de l’iceberg.
Les modes d’attaque contre l’Organisation sont multiples. Rechercher des failles sur les sites web du CERN et les autres services du Laboratoire accessibles via internet est un mode d’attaque, tout comme le fait d’infecter votre PC ou votre ordinateur portable, ou d’essayer de vous convaincre de divulguer votre mot de passe. Pour parvenir à leurs fins, les pirates ont recours à différentes techniques, comme l’analyse des vulnérabilités, l’utilisation de logiciels malveillants ou encore les attaques par hameçonnage. Cependant, grâce aux différents moyens de protection qui ont été mis en place, il est probable que les attaques directes se révèlent désormais infructueuses. Ainsi, les pirates changent de stratégie et s’attaquent à présent aux chaînes d’approvisionnement, par exemple en procédant au piratage de progiciels fréquemment utilisés, à l’infection de pages web externes et à des attaques de type « drive-by », ou encore à l’usurpation d’identité. Il existe des méthodes plus sophistiquées, par exemple lorsque les pirates compromettent des entreprises et des fournisseurs moins bien protégés et qu’ils utilisent abusivement leurs ressources pour attaquer les gros poissons. À titre d’exemple, citons ce fournisseur de machines du CERN dont le système de facturation a été piraté dans le but de falsifier des factures et de demander au CERN de s’en acquitter. Ou cet autre fournisseur dont le système de messagerie a été piraté dans le but d’envoyer des courriels, apparemment anodins, qui faisaient référence à de véritables échanges de courriels entre ce fournisseur et les experts du CERN, en vue, une fois de plus, de soutirer de l’argent au CERN.
Récemment, l’équipe de la sécurité informatique du CERN s’est procurée une liste publique d’entreprises ayant été victimes d’attaques de rançonnage et qui, à juste titre, ont refusé de payer la rançon. Les pirates se sont attaqués aux systèmes internes de ces entreprises et ont probablement pris possession des systèmes de facturation et de messagerie électronique. De plus, dans le cas d’attaques par extorsion, il est possible qu’ils aient également réussi à extraire des données commerciales confidentielles. C’est en confrontant cette liste à celle des entreprises répertoriées dans la base de données des fournisseurs du CERN qu’il a été constaté qu’environ cinq (!) entreprises répertoriées étaient victimes chaque mois d’une attaque par rançonnage ou par extorsion. Autrement dit, en moyenne, cinq nouvelles entreprises par mois sont piratées et donc susceptibles d’être utilisées par des personnes malveillantes pour s’infiltrer dans les systèmes du CERN. Il est possible que ces pirates détiennent des données relatives à des opérations, des contrats, des accords de confidentialité et autres informations sensibles de l’Organisation. Mais les entreprises ne vont pas forcément toutes prendre les devants et prévenir leurs clients que leurs données ont été ou pourraient avoir été rendues publiques en raison d’une faille de sécurité. Il se peut donc que le CERN ne soit jamais alerté par un fournisseur. Ainsi, en matière de sécurité informatique, le CERN, comme de nombreuses autres entités, est assis sur une bombe à retardement. Peut-on faire quelque chose ?
À part être encore plus vigilant et attentif, il n’y a pas grand-chose à faire. Nos prestataires et fournisseurs extérieurs sont victimes d’attaques. Par conséquent, si vous êtes en contact avec des entreprises extérieures, faites preuve de vigilance. Il est bien entendu important de leur accorder notre confiance ; toutefois, dès qu’il s’agit, par exemple, de transférer de l’argent ou de modifier des contrats ou des données sensibles, vigilance et méfiance sont de rigueur. Les demandes de modification de coordonnées bancaires, d’IBAN ou de méthodes de transfert doivent vous alerter, tout comme les demandes de versement de montants supérieurs aux montants contractuels, ou de transmission de données à caractère personnel ou de données institutionnelles sensibles, ainsi que les démarches vous incitant à installer des logiciels non sollicités. Efforcez-vous de vérifier ces demandes de modification en vous adressant directement à la personne compétente ou à la personne responsable du contrat, par téléphone, de préférence, car leur messagerie pourrait être infectée et donc aux mains des pirates. Vérifiez également les informations auprès d’autres personnes faisant partie de cette même entreprise et faites valider la réponse par la hiérarchie. Vous pouvez aussi contacter l’équipe chargée des achats du CERN, au sein du département IPT, ou nous envoyer un courriel à l’adresse suivante : Computer.Security@cern.ch. Sur le plan juridique, les Conditions générales des contrats du CERN sont en train d’être révisées afin que nos fournisseurs soient, à l’avenir, contractuellement tenus d’informer le CERN dans le cas où ils seraient victimes d’une cyberattaque victorieuse.
______
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.