Une fois de plus, bravo à tous ceux qui ont participé au « Business loto » paru dans l’édition du Bulletin du 13 février 2024. La pizza hawaïenne est vite partie. Mais certaines personnes se sont demandé pourquoi leurs réponses n'étaient pas correctes... Explications :
- 1A « Il n’existe aucun logiciel malveillant pour les appareils Apple » – C’était un slogan utilisé par le passé, à l’époque où Windows de Microsoft détenait la plus grande part du marché. Mais cela a changé. Et comme les personnes possédant un MacBook sont perçues comme ayant davantage de moyens, le butin est plus important... ;
- 1B « Les applications proposées par Google Play Store sont inoffensives » – En fait, quiconque peut pousser une application sur Google Play Store. Comme ce site n'est ni contrôlé ni validé, c’est devenu un dépotoir, source de nombreux logiciels malveillants. L'Apple Store est plus sûr à cet égard, car Apple le contrôle étroitement (par souci de rentabilité) et admet uniquement les applications qui respectent ses politiques ; cela ne signifie pas pour autant qu'il n'y a aucun problème ;
- 1C « La sécurité est la responsabilité de chacun » – Tout à fait ! Compte tenu de l'environnement académique du CERN, de son ouverture et de la liberté dont vous disposez en matière de ressources informatiques (légales), il est impossible pour l'équipe de la sécurité informatique d'assumer la responsabilité de vos actifs numériques. Aussi nous comptons sur vous pour les sécuriser, et nous sommes heureux de vous y aider ;
- 1D « Un serveur SSH sur port 2222/TCP est plus sûr » – C’est faux. C'est ce qu'on appelle la « sécurité par l'obscurité », car SSH fonctionne habituellement sur port 22/TCP. Changer cela pourrait protéger uniquement des attaques légères, et réduire ainsi le niveau de bruit informatique. Les experts utilisent des outils de reconnaissance, tels que « nmap », qui repèrent le protocole de réseau SSH quel que soit le port utilisé ;
- 1E « Le filtrage des pourriels et des logiciels malveillants est efficace à 100 % » – Si seulement ! Au CERN, il est possible d’utiliser l'adresse électronique de l’Organisation pour des questions personnelles, on parle et écrit dans plusieurs langues, et de fréquents courriels s’échangent au sein de l’importante communauté universitaire. Il est donc difficile, en ce qui concerne de nombreux courriels, de savoir s'il s'agit de pourriels ou non. Nous faisons de notre mieux, mais il est vrai que nous pouvons encore nous améliorer ;
- 2A « L’authentification à deux facteurs est un grand pas en avant pour la protection des comptes » – Oui, c’est vrai. Avec l’authentification à deux facteurs, il ne suffit plus de voler à distance votre mot de passe, par hameçonnage par exemple. Le pirate aurait également besoin d’avoir un accès physique à votre smartphone ou à votre jeton matériel, ce qui semble difficile lorsqu’on sait que la plupart des pirates ne se trouvent pas à proximité. De plus, vous remarqueriez rapidement le vol de votre smartphone ou de votre jeton, non ?
- 2B « Les courriels provenant de @cern.ch sont légitimes » – les courriels peuvent être facilement usurpés. Cela signifie qu'un courriel n'est pas forcément envoyé depuis un service de messagerie « cern.ch », mais depuis un autre (par exemple, « gmail.com »). C'est ce qu'on appelle une « attaque par usurpation d’identité » (spoofing) et c'est la raison pour laquelle tant de courriels sont actuellement mis en quarantaine dans nos dispositifs de messagerie, l'expéditeur ayant usurpé consciemment ou accidentellement une adresse électronique ;
- 2C « Je ne peux pas être une cible car je n'intéresse pas les pirates informatiques » – Ne soyez pas aussi modeste. Vous présentez de l’intérêt, même si vous ne travaillez pas sur un projet confidentiel, top secret ou très important. Vous pourriez juste être le point d'entrée. L'assistant personnel à travers lequel attaquer le patron, le collègue derrière lequel se cacher pour tromper les autres, ou bien encore le patient zéro pour infecter et compromettre d’autres personnes ;
- 2D « Les sauvegardes ne peuvent pas être modifiées » – Tant qu'elles restent connectées et accessibles à distance et qu'elles ne sont pas immuables, la plupart des sauvegardes peuvent être modifiées. Le CERN veille tout particulièrement à sécuriser vos sauvegardes, mais si vous laissez votre disque dur externe connecté à votre ordinateur portable, certains logiciels malveillants le considéreront simplement comme un dossier de plus à chiffrer afin de réclamer une rançon.
- 2E « Je n’ai rien à cacher » –Vraiment ? Pouvez-vous me donner le code PIN de votre carte de crédit ? Est-ce que je peux installer une caméra chez vous ? Accéder au dossier contenant les photos supprimées de votre smartphone ?
- 3A « Jamais je ne me ferais hameçonner » – C’est ce que disaient de nombreuses personnes avant de se faire hameçonner. Avec nos campagnes d’hameçonnage annuelles, 10 % des titulaires de comptes du CERN se font généralement attraper.
- 3B « Seul le lien derrière un texte/code QR fait foi » – OUI! N’importe quoi peut s’afficher (pour la lisibilité ou l'obscurcissement). C’est seulement une fois que vous passez votre souris sur le lien ou que vous vérifiez le texte affiché juste avant de prendre le code QR en photo que la véritable destination est révélée.
- 3C « Le réseau technique du CERN est sécurisé » – En effet. Mais compte tenu de sa complexité, de son interaction automatique avec les centres de calcul du CERN et de la nécessité pour les experts et les opérateurs de se connecter à distance au réseau technique, il est loin d'être parfaitement sécurisé. Il peut encore être amélioré !
- 3D « C’est une bonne idée d’écrire son mot de passe sur un Post-it » – Oui, si vous souhaitez donner accès à votre ordinateur au personnel d’entretien ou aux visiteurs. Ce qui ne devrait pas être le cas !
- 3E « Les codes QR renvoient toujours à des sites légitimes » – Non, c’est faux. Rien ne le garantit (voir le point 3B) ;
- 4A « Un service VPN (gratuit) me protège » – Mais rappelez-vous, si vous ne payez pas pour le produit, il y a de fortes chances pour que vous soyez le produit. Il n'y a aucune garantie d'anonymat ou de confidentialité avec un VPN gratuit, le fournisseur est libre de partager vos données avec des tiers comme bon lui semble, ou d'utiliser (abusivement) la bande passante de votre réseau à d'autres fins. C'est la raison pour laquelle, par exemple, il est interdit d’utiliser« Hola ! VPN » au CERN. Les VPN payants sont meilleurs, mais ils ne protègent que votre communication, ils ne protègent pas contre le contenu auquel vous accédez. En fin de compte, il s'agit de savoir à qui vous faites le plus confiance : à votre fournisseur d'accès à internet (et donc indirectement au pays dans lequel ce fournisseur opère, ainsi qu’à sa juridiction), ou bien à votre fournisseur de VPN (et au pays où se trouvent ses serveurs).
- 4B « Le mot de passe de mon ordinateur portable protège aussi les données qu’il contient » – En fait, ce mot de passe protège l'accès interactif à votre ordinateur portable. Mais si vous ne prenez pas de précautions supplémentaires pour chiffrer votre disque dur avec Bitlocker (Windows) ou Filevault (MacOS), votre ordinateur portable n’est, aux yeux d’un pirate, qu'un système de stockage de plus non protégé, au même titre qu’une clé USB ;
- 4C « Le gestionnaire de mots de passe de mon navigateur est sécurisé » – Cela dépend beaucoup du type et de la version que vous utilisez. Autrefois, les mots de passe étaient même stockés en clair dans certains navigateurs. Par conséquent, s’il vous est difficile de vous souvenir de vos mots de passe, un gestionnaire de mots de passe hors ligne peut être la solution ;
- 4D « Le CERN n’intéresse pas les pirates informatiques » – C’est faux. Le Chaos Computer Club a infiltré le CERN en 1986 ; au début des années 2000, nous avons repoussé les attaques de « Phalanx », « Windigo » et d’« Ebury » dans nos centres de données et sur la Grille de calcul mondiale pour le LHC (WLCG) ; et aujourd'hui, le CERN est la cible d'attaques par rançongiciel, comme tout le monde ;
- 4E « Les logiciels anti-programmes malveillants du CERN peuvent être téléchargés gratuitement » – Oui, tout à fait ! Pour protéger vos appareils au CERN et à la maison et, plus largement, pour protéger le CERN ;
- 5A « La mention "https" signifie que le site est sécurisé » – Le « s » de « https » indique que la communication est protégée par cryptage et, par conséquent, contre toute interception illicite. Cela ne signifie pas pour autant que le site web qui se cache derrière est fiable ;
- 5B « Le pare-feu périmétrique externe du CERN protège contre toutes les menaces » – Si c’était vrai, le présent article n’aurait pas lieu d’être. Bien que ce pare-feu bloque une grande partie du trafic malveillant et indésirable, il n'est pas à toute épreuve et nécessite d'autres mesures de « défense en profondeur » pour contrer toutes les menaces ;
- 5C « Les services en nuage ne peuvent pas être piratés » – Nous sommes tous logés à la même enseigne, y compris les fournisseurs de services en nuage ! En fait, ils représentent des cibles importantes qui peuvent rapporter gros. Effectivement, des rapports ont fait état par le passé d'une multitude d'attaques réussies contre de grands fournisseurs de services en nuage tels que Okta, Microsoft, LastPass, etc. ;
- 5D « Le cryptage est facile ; la gestion des clés est compliquée » – C’est vrai ! Il existe nombre de bons mécanismes de cryptage sur le marché. Il est toutefois difficile de s'assurer que les clés de décryptage sont stockées correctement et en toute sécurité. Si on les perd, on perd également ses données cryptées. Et la situation deviendrait encore plus délicate si plusieurs personnes, chacune disposant de sa propre clé de décryptage, avaient besoin d'accéder aux données ;
- 5E « Le wifi est toujours sécurisé » – Le wifi n'est qu’un moyen de communication sans fil. Il ne donne aucune indication sur la protection de l'accès ou la communication cryptée. Si vous voulez un wifi sécurisé, assurez-vous que la communication est soumise au protocole WPA3 ou, mieux encore, utilisez toujours des protocoles cryptés SSH ou HTTPS (voir point 5A).
Cela vous semble peut-être compliqué. C'est la raison pour laquelle nous vous tenons régulièrement informés dans nos articles du Bulletin. Alors, à nouveau, FÉLICITATIONS à tous ceux qui ont obtenu cinq bonnes réponses. Et MERCI à vous tous de contribuer à la sécurité du CERN !
______
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.