View in

English

Sécurité informatique : en chiffres

|

Le CERN fait face à de nombreuses attaques. Elles surviennent pendant les heures de bureau, les week-ends, les vacances, la fermeture annuelle, bref à tout moment. La présence du CERN sur l’internet et en ligne est constamment scrutée pour trouver des failles et des points faibles. Ses comptes informatiques sont la cible de tentatives d'hameçonnage ou d’ingénierie sociale. Les appareils électroniques, ordinateurs portables et PC personnels sont susceptibles d’être piratés. Il est difficile de chiffrer le nombre d’attaques[1] que subit le Laboratoire au quotidien. En revanche, nous pouvons examiner la surface d’attaque du CERN et les diverses mesures prises par l’équipe de la sécurité informatique pour la protéger.

Il suffit de jeter un coup d’œil aux chiffres du services IT du CERN pour constater l’étendue de sa présence numérique et donc de sa surface d’attaque. Le réseau du CERN, avec ses multiples réseaux publiques IPv4 et IPv6 de classe B et de nombreux réseaux privés, repose sur 4 000 commutateurs, 300 routeurs et 5 000 points d’accès sans fil. Il dessert plus de 270 000 appareils enregistrés avec une bande passante fixe de 20 Gb/s. Le CERN a pour principe d’autoriser chaque personne à apporter son propre appareil. Dès lors, les appareils informatiques sont de natures différentes (ordinateurs portables, tablettes, PC, systèmes embarqués, IoT et autres). Ils utilisent toutes sortes de systèmes d’exploitation (de Windows 95 à l’ensemble des distributions Linux en passant par DSP, Xilinx et SoC), ainsi que tous les logiciels imaginables. Ces appareils sont associés à 37 000 comptes informatiques, eux-mêmes liés à des boîtes aux lettres informatiques du CERN.

Le CERN dispose de sept centres de calculs avec jusqu’à 6 000 serveurs/200 000 cœurs de processeur chacun, plus de 30 000 machines virtuelles différentes, et une capacité totale de stockage de données dépassant l’exaoctet et répartie sur plus de 110 000 disques durs/SSD et 50 000 bandes magnétiques. Ces centres de calculs fournissent toutes les capacités informatiques et de stockage, ainsi que l’ensemble des services informatiques et des infrastructures nécessaires à l’exploitation des complexes d’accélérateurs du CERN et des expériences qui y sont rattachées, à l’analyse des données de physique collectées, ainsi qu’aux besoins plus généraux de la communauté scientifiques du CERN (ils fournissent par exemple des systèmes d’exploitation, des applications pour la bureautique, l’ingénierie, les ressources humaines ou la finance, des bases de données, des systèmes d’intégration et de gestions de versions de logiciels, des services de virtualisation et de conteneur, des outils de travail collaboratif ou de conférences audiovisuelles, des systèmes d’impression). Le service web centralise à lui seul plus de 10 000 sites web/1,5 millions de pages web. Des sites et des pages supplémentaires sont hébergés par plus de 500 serveurs web décentralisés.

Toutes ces ressources doivent être surveillées et protégées. Chargée de tout coordonner, l’équipe de la sécurité informatique du CERN doit remplir sa mission qui consiste à prévenir, protéger, détecter et réagir sans gêner l’exploitation des accélérateurs et des expériences du CERN, ni restreindre la liberté intellectuelle du personnel et de la communauté des utilisateurs. Nous procédons comme suit :

  • Tout d’abord, au niveau du réseau, le pare-feu périmétrique externe (Palo Alto 7080, bête de course avec son débit de 2 x 200 Go/s) effectue des inspections approfondies de paquets et bloque des adresses IP, des domaines ou des URL selon des critères préétablis. Au niveau du système de noms de domaine (DNS), nous bloquons 800 domaines malveillants ou « typosquatteurs » connus (comme « CERN.CG ») supplémentaires. Notre fournisseur de réseau SWITCH bloque en plus une centaine de domaines certifiés malveillants chaque jour. Ce système de filtrage DNS est tellement efficace qu’il est utilisé pour protéger les réseaux d’une cinquantaine d’hôpitaux suisses, en collaboration avec le gouvernement suisse, et de quelques hôpitaux français. À ce jour, aucune attaque par rançongiciel n’est à déplorer.
  • Le centre d’opérations de sécurité (SOC) du CERN analyse automatiquement et quotidiennement environ 3 milliards de connexions réseau, 1,2 milliard de demandes DNS, plusieurs centaines de milliers de connexions par identifiant, et 4 milliards de commandes exécutées depuis les grappes informatiques centrales du CERN. Cela génère 3 To de données de sécurité informatique par chaque jour pour un total de 220 To (1 Po non compressé) de données qui sont archivées et stockées pendant 13 mois.
  • Les compétences du SOC s’appuient sur la protection par le renseignement, soit les « indicateurs de compromission » (IoC). À ce jour, le SOC a détecté 22 millions d’adresses IP, de domaines et d’empruntes numériques malveillants que l’on retrouve chez plus de 1 000 organismes similaires. Actuellement, le SOC du CERN surveille activement environ 100 000 IoC.
  • Au bout de la chaîne, des logiciels anti-programmes malveillants surveillent les ordinateurs portables, smartphones et autres appareils. Le logiciel sélectionné, « ESET », protège déjà plus de 500 appareils personnels et plus de 200 PC Windows du CERN gérés de manière centralisée. Nous utilisons également l’application « Threatay », installée sur 2700 PC Windows appartenant au CERN. Tous ces nombres sont en augmentation.
  • L’intégralité des appareils, qu’ils soient hébergés dans les centres de calcul, gérés de manière centralisée ou personnels, sont analysés environ une fois par mois pour chercher des vulnérabilités, des mots de passe peu sûrs et d’autres points faibles. Au total, 24 000 analyses mensuelles génèrent plus de 200 problèmes à régler par les propriétaires des appareils concernés.
  • En ce qui concerne la formation et la sensibilisation, notre équipe propose environ une séance d’information par mois pour les personnes fraîchement arrivées au CERN, ou intéressées. À ce jour, dans le cadre du programme WhiteHat, nous avons formé aux tests de pénétration une centaine de membres du personnel du CERN et plusieurs centaines d’étudiants et d’étudiantes externes. Nous avons également organisé cinq exercices de simulation, certains en collaboration avec les forces de police de Genève et de Gex, qui ont rencontré un franc succès. Enfin, nous avons soumis plus de 325 articles comme celui que vous lisez en ce moment au Bulletin du CERN.
  • La protection des comptes informatiques reste cependant la priorité. Comme vous le savez, l’authentification à deux facteurs a été mise en place pour plus de 6 000 comptes CERN. En parallèle, nous avons envoyé près de 4 770 courriels de notifications à des personnes qui s’étaient connectées au CERN à distance depuis un lieu inhabituel. De plus, nous vérifions si les mots de passe du CERN ou les mots de passe externes utilisés avec des adresses électroniques CERN ont été publiés dans des listes du « dark web ». Étant donné que nous détenons des milliards de combinaisons, entre adresses électroniques et mots de passe, nous surveillons également près de 9 000 universités, organismes et instituts affiliés et leur transmettons chaque jour approximativement 11 000 mots de passe divulgués.
  • En parallèle, les services de filtrage de pourriels et de logiciels malveillants (EOP et MDO de Microsoft ainsi que « ActiveGuard » de Xorlab) analysent quotidiennement environ 115 000 courriels depuis et vers des adresses électroniques @cern.ch, parmi lesquels 10 % sont signalés comme pourriels et 2 % sont mis en quarantaine car potentiellement malveillants.
  • L’équipe du CERN chargée des interventions en cas d’incidents de sécurité informatique (CSIRT) est à disposition si un problème survient. Elle envoie environ 300 alertes automatiques par mois à des utilisateurs et à des propriétaires d’appareils et de comptes informatiques pour leur signaler des problèmes liés à la sécurité. Ces derniers créent à leur tour près de 200 tickets pour demander de l’aide à l’équipe. Heureusement, la plupart de ces incidents restent au niveau local et ne représentent aucun danger. Les incidents majeurs sont peu fréquents au CERN (entre cinq et 10 par an). Cela ne signifie pas pour autant que nous nous tournons les pouces : l’équipe prête assistance à plusieurs universités, instituts et organismes externes pour résoudre leurs problèmes de sécurité informatique et éviter que ceux-ci ne se propagent au CERN. Par exemple, cette année, des dizaines d’universités ont échappé à des attaques par rançongiciel grâce aux renseignements obtenus par nos soins. 
  • Enfin, en ce qui concerne la prévention, nous réalisons chaque année entre 20 et 30 examens et audits approfondis de la sécurité informatique de projets du CERN, nouveaux et anciens. N’hésitez pas à nous contacter à l’adresse suivante pour faire évaluer votre projet : Computer.Security@cern.ch.

Voilà... Il ne manque plus qu’un dernier chiffre essentiel pour compléter le tableau de la sécurité informatique du CERN : le chiffre sept, comme les sept membres de l’équipe, nommément Christos, Liviu, Luna, Pau, Romain, Roman et Srividya, qui vous aident, aux côtés des nombreux autres membres du département IT, à accomplir votre travail de la manière la plus sûre possible sans trop limiter (nous l’espérons) votre créativité, votre flexibilité, vos activités et votre liberté académique. Un grand merci !

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (https://cern.ch/security/reports/en/monthly_reports.shtml) (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site (https://security.web.cern.ch/security/home/fr/index.shtml) ou contactez-nous à l’adresse Computer.Security@cern.ch.

 

[1] Qu’est-ce qu’une « attaque » ? Sa définition reste vague. S’agit-il d’une unique tentative de connexion malveillante ou de l’ensemble des tentatives de connexion par force brute sur un même compte ? De toute une campagne menée par un même groupe criminel ? Peut-être est-ce la recherche systématique des librairies ou des configurations vulnérables pour une adresse IP, ou plutôt l’ensemble de la campagne de reconnaissance menée contre toute la présence en ligne ? Est-ce qu’il s’agit d’une tentative d’ingénierie sociale ciblée sur une seule personne ou d’une campagne qui utilise la même stratégie pour tout le monde ? Le « nombre d’attaques » est donc à prendre avec des pincettes. Il peut être faible (« quelques » campagnes) ou de l’ordre du milliard (si l’on multiplie 100 000 tentatives de connexion par force brute ou table arc-en-ciel par les 40 000 comptes CERN).