Pour tester sa sécurité, l'Organisation européenne pour la recherche nucléaire mène régulièrement des campagnes d'envergure, notamment via 23 000 emails piégés à son personnel. Signalons aussi des tentatives de vol via de fausses factures. Le CERN, habitué à publier des articles sur la cybersécurité, vient de franchir une étape avec son dernier billet : « Sécurité informatique : réflexions sur les mots de passe ».
Omniprésents, les mots de passe sont la nouvelle cible du CERN dans sa dernière communication : « La perte, la découverte ou le vol de votre mot de passe auraient de graves conséquences pour les accélérateurs, les expériences et les infrastructures informatiques du CERN. Il est donc vital qu’il soit le mieux protégé possible ». Dès le début du mois prochain, de nouvelles mesures sont ainsi mises en place.
- CERN : « nous devons réfléchir au véritable sens du mot "libre" et à ses limites »
- Cybersécurité au CERN : plus de 1 800 personnes sont tombées dans le piège d’un faux email
Partage de mot de passe : le CERN dit « NON »
Irréductibles, les utilisateurs qui se partagent encore des mots de passe vont déchanter : « un message vous informera, par exemple, que tel mot de passe est déjà utilisé par « stefan24 ». Vous serez alors prié d'en utiliser un autre ». Cela signifie par contre que le CERN a, d’une manière ou d’une autre, accès aux mots de passe en clair, ce qui est contraire aux règles élémentaires de sécurité. Sans compter que l’utilisateur pourra accéder au compte de son confrère ; on espère que les deux seront obligés d’en changer !
Surveillant de près la complexité du mot de passe, leur création doit s'appuyer « sur MathGPT de Microsoft afin d'identifier les mots de passe faibles (« n → p + e - + v ») et forts (« Δ 0 → p + π -») ». Le choix d’une solution Microsoft peut surprendre avec le projet Microsoft Alternatives (MALt) lancé en 2019 – renommé depuis Microservice Architecture on Libre Technology (MALT) – et la réflexion sur le sens du mot libre lancée l’année dernière. Au début de l’année, nous avions contacté le CERN, avec pour seule réponse : « Malheureusement, nous n’avons trouvé personne de disponible pour répondre à vos questions », renvoyant simplement vers un billet de blog.
- CERN : « nous devons réfléchir au véritable sens du mot "libre" et à ses limites »
- Le CERN revient sur son projet Microsoft Alternatives (MALt) pour passer sur des solutions open source
Surprenant, surtout quand on connait l'histoire des polices, le CERN impose « que les mots de passe soient écrits uniquement avec les polices de caractères « Courier New » ou « Comic Sans MS », ce qui les rend plus difficiles à utiliser pour des tentatives d’hameçonnage ». Aucune étude ne confirme cette affirmation, mais le Comic Sans MS et le CERN entretiennent une longue histoire d’amour.
Deux facteurs obligatoires pour certains, bientôt trois et quatre ?
On enchaine avec « l'authentification à deux facteurs à tous ceux qui sont tombés dans le piège de la campagne de sensibilisation à l'hameçonnage 2020, 2021 ou 2022 ». Il aurait été plus simple de l'imposer à tout le monde, un choix étrange d’autant que la double authentification est déjà possible depuis 2021.
Nonobstant, la suite nous semble aller trop loin : « Il est également envisagé de leur interdire à perpétuité l'accès à toutes les ressources informatiques du CERN ; cette mesure fait l’objet de discussions au niveau de la Direction ». Ne comprenant pas trop où le CERN veut aller avec le point suivant, nous vous le livrons tel quel : « mettre en place un système d’authentification à deux facteurs supplémentaire qui exigerait de se connecter simultanément à Google Workspace et à Azure AD de Microsoft dans un délai d'une minute (à confirmer) ». On a du mal à comprendre alors que l'Organisation cherchait il n'y a encore pas si longtemps à se débarrasser intégralement des outils de Microsoft et Google.
Avec l'unité HSE et, en particulier, avec le Service médical, le CERN étudie « la possibilité de déployer l'authentification à trois facteurs ». L’histoire récente nous montre en effet que même une authentification à deux facteurs peut être contournée, Microsoft en a récemment fait les frais. S’ajoute à cela les failles autours des protocoles de communications sur les SMS. Et que ce passera-t-il ensuite pour les derniers récalcitrants ? Une obligation de passer à quatre facteurs ?
- Une vaste campagne de phishing contre des clients Microsoft 365 contourne l'authentification multifacteurs
- SS7 : après des interceptions de SMS, la sécurité des réseaux mobiles en question
API CQCB, ZoomID pour éviter des actes malveillants
Vient ensuite une nouvelle « API CQCB à haut débit capable de faire face à un très grand nombre de demandes d'accès à distance, qui sont gourmandes en ressources, pour éviter le déni et le blocage de service comme cela est arrivé par le passé ».
Reste un dernier point : ZoomID. Cette fonctionnalité sera rattachée au portail d’authentification du CERN afin de « permet de vous connecter à l’aide de la reconnaissance faciale (comme Face ID sur les appareils Apple) ».
Impassible, le CERN rappelle les enjeux : protéger à la fois le travail des chercheurs, mais aussi « les accélérateurs, les expériences, l'infrastructure informatique et les données de l'organisation ». Imaginez qu’une personne malintentionnée prenne le contrôle de l’accélérateur !
La temporalité de cette annonce ne doit probablement rien au hasard : le Grand collisionneur de hadrons vient de sortir de son deuxième long arrêt technique et les expériences sont en train de reprendre doucement. Fin 2022, un « incident » était venu jouer les troubles-fête. Si les expériences ont repris, la cause n’était pas formellement identifiée, mais un problème de cybersécurité pourrait expliquer ce revirement de situation et le billet de blog du jour. L’urgence de la situation explique peut-être le côté brouillon de certains points. Dans tous les cas, un portail dédié sera bientôt mis en place.
