View in

Sécurité informatique : adresses électroniques externes : attention à la confidentialité

5 septembre, 2019

Le service de messagerie du CERN peut être utilisé avec une certaine flexibilité. Une flexibilité peut-être même excessive : certaines pratiques courantes ne sont en effet pas acceptables du point de vue du respect des règles informatiques (circulaire opérationnelle n° 5), car elles peuvent avoir de graves conséquences sur la sécurité de votre mot de passe et sur la confidentialité de certains documents envoyés par mail.

Les courriers électroniques sont comme des enveloppes ouvertes. Toute personne pouvant accéder physiquement à cette enveloppe peut lire la lettre qui se trouve à l’intérieur. Dans la sphère numérique, cela revient au fait que toute personne ayant accès à votre boîte de réception peut lire vos mails. C’est pour cela que le service de messagerie du CERN est hébergé au Laboratoire même, et que l’équipe responsable est soumise à des règles de confidentialité strictes. Les communications par mail au sein du CERN sont chiffrées, mais leur confidentialité n’est plus assurée sitôt qu’elles quittent l’Organisation. Penchons-nous sur certaines pratiques en apparence anodines...

Ainsi, si vous configurez une règle de transfert qui renvoie tous les mails arrivant à votre adresse @cern.ch vers un fournisseur d’hébergement de messagerie tel que Gmail, Yahoo, Mail.ru, GMX.de ou Outlook.com, tous les messages concernés sont à la merci de cet hébergeur tiers. La confidentialité ne dépend plus que de la promesse du fournisseur tiers de la préserver ; elle est donc tributaire de ses intérêts commerciaux. Résultat : aucune garantie, vous n’avez plus que les conditions d’utilisation. La confidentialité des informations, documents et pièces jointes internes au CERN que vous échangez par e-mail disparaît, et tout cela à l’insu de l’expéditeur original. De plus, le transfert de messages électroniques comprenant des informations confidentielles à des fournisseurs tiers met en péril les privilèges et immunités du CERN en tant qu’organisation intergouvernementale (comme expliqué sur la page de configuration du service de messagerie ; voir notre article, assez ancien, du Bulletin « Évitez les fuites de courrier »).

Par ailleurs, en donnant à un fournisseur externe comme Gmail un contrôle total, c’est-à-dire la possibilité de récupérer ou de supprimer des mails sur les serveurs de messagerie du CERN et d’en écrire au nom du CERN, vous compromettez la sécurité du mot de passe. N’oubliez pas que votre mot de passe pour le CERN vous appartient, à vous et à personne d’autre. Vous ne devez en aucun cas le communiquer. Or, pour disposer d’un tel accès intégral, Gmail (ou tout autre fournisseur) doit stocker des mots de passe originaux du CERN au format textuel, et en faire usage directement au nom de l’utilisateur du CERN, afin de se connecter au service de messagerie du CERN et de récupérer les données de la boîte de réception en question. Attention, il ne faut pas confondre ce type de transfert avec l’utilisation d’un client de messagerie local (oui, local !), qui se situe donc sur votre système local (ordinateur, smartphone ou tablette), et qui ne donne pas la main sur vos messages aux fournisseurs tiers*.

Enfin, les messages recelant un contenu confidentiel qui sortent de l’Organisation doivent faire l’objet d’une attention particulière. Le chiffrement de ces contenus confidentiels est la solution la plus courante (bien qu’elle soit relativement complexe). Le mieux est d’opter pour un autre moyen de communication que les mails pour les contenus sensibles. Dans le cas des données à caractère personnel, le Bureau de la protection des données (ODP) du CERN recommande d’éviter autant que possible de recourir aux e-mails. De manière générale, il faut privilégier les espaces sécurisés (consultez l’article du Bulletin intitulé « Une "boîte de dépôt" pour les données confidentielles »).

Et donc ? Aidez-nous à protéger les données, les opérations, les privilèges et les immunités du CERN. Revoyez vos habitudes :

évitez de transférer vos e-mails à un hébergeur de messagerie tiers. Si vous êtes un membre du personnel employé du CERN, son service de messagerie est certainement le plus adapté à vos besoins professionnels ;
ne donnez pas à des hébergeurs tiers l’autorisation de récupérer et de traiter automatiquement vos messages CERN. Protégez vos mots de passe ainsi que votre accès au CERN ;
abstenez-vous d’envoyer par mail des documents confidentiels, surtout s’ils contiennent des données à caractère personnel. Utilisez plutôt CERNBox.

En collaboration avec le service de gestion des comptes du CERN, de même que les services de messagerie et l’équipe de CERNBox, l’équipe en charge de la sécurité informatique du CERN s’applique en permanence à vous proposer des solutions pour que vos communications restent sécurisées.

_________

* À noter que Google a commencé à mettre en place une procédure similaire en restreignant les appels d’accès à distance de l’API vers Gmail. Jusqu’à peu, vous pouviez configurer n’importe quelle application tierce de messagerie pour qu’elle accède à votre compte Gmail et envoie, récupère et supprime des e-mails à distance. Dans un souci de préservation de la confidentialité, toutefois, Google ne propose plus ce service.

Pour en savoir plus sur les incidents et les problèmes de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais uniquement). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.

Computer Security