L’année dernière, les équipes chargées de la sécurité informatique et de la gestion des identités du CERN ont déployé à grande échelle l’authentification multifacteur pour les membres du personnel et les utilisateurs. L’ajout d’un deuxième « facteur » d’authentification (« quelque chose que vous possédez ») au premier facteur1 (« quelque chose que vous connaissez », à savoir votre mot de passe) est la solution miracle pour la protection de votre compte informatique CERN. Cette authentification à deux facteurs (2FA) faisait cruellement défaut. En effet, lors de notre dernière campagne de sensibilisation contre l’hameçonnage, en août 2022, plus de 2 000 (!) personnes ont entré leur mot de passe dans une fausse page d’authentification. La 2FA aurait protégé leurs comptes contre tout méfait. Alors un grand merci à vous tous !
En pratique, cette nouvelle protection 2FA est très similaire à celle mise en place pour votre boîte aux lettres électronique Google ou pour votre compte bancaire. N’oubliez pas que votre compte informatique CERN vous octroie potentiellement bien plus de pouvoir que le simple accès à vos courriels et à votre argent. Le vol de votre mot de passe par des pirates malveillants peut donc avoir de très sérieuses conséquences. Une fois votre mot de passe dérobé, les pirates pourraient, par exemple, dévier des faisceaux de particules et provoquer des dégâts inimaginables ; effacer nos précieuses données de physique ou les modifier de sorte qu’aucun résultat ne soit plus intelligible ; utiliser les ressources informatiques du Centre de données pour créer de la cryptomonnaie ou falsifier des factures pour détourner de l’argent ; ou encore accès à des données sensibles appartenant à l’Organisation ou stockées ici.
Après une longue expérience d’utilisation de l’authentification à deux facteurs pour protéger l’accès administrateur au Centre de données du CERN (via le portail « AIADAM »), l’accès aux systèmes de contrôle de nos accélérateurs par les experts (via le portail « Remote Operations Gateways » ou ROG), et le service VPN du CERN, nous avons commencé l’été dernier à utiliser la 2FA pour protéger les applications en ligne du CERN qui sont accessibles par le nouveau portail d’authentification unique (« Single Sign-On » ou SSO).2 Depuis, le nouveau portail SSO du CERN nécessite votre double authentification à peu près toutes les 12 heures lorsque vous travaillez sur le même appareil électronique. C’est tout. De plus, à chaque authentification, vous aurez le choix entre trois options : une application installée sur votre smartphone Android ou Iphone qui génère un mot de passe unique (image du haut dans la photo ci-dessous ; nous recommandons actuellement deux applications sûres qui respectent vos données personnelles : « Aegis Authenticator », et « Raivo OTP », un générateur OTP de poche (image du milieu), ou une clé de sécurité USB (« Yubikey », image du bas). C’est simple comme bonjour, mais potentiellement problématique si vous faites partie de cette frange de la population qui oublie régulièrement sont smartphone ou son trousseau de clé à la maison. Si c’est le cas, faites comme pour votre dosimètre : faites demi-tour et repassez chez vous. Voilà, c’est dit ! La 2FA ajoute ainsi un (léger) désagrément lorsque vous accédez aux installations informatiques du CERN. Toutes nos excuses...
En revanche, comme nous l’avons mentionné plus haut, la 2FA offre un niveau de protection conforme aux normes industrielles les plus récentes qui faisait défaut à l’Organisation. Concrètement, plus de 5 500 propriétaires de comptes utilisent déjà ce type d’authentification : tous les comptes associés aux supports informatiques ATS et FHR, aux départements BE/EN/FAP/IPT/IT/SY/TE, à la Caisse de pensions du CERN, aux services DG-IA/LS/TMC, aux secrétariats du Directoire, aux groupes EP-AGS/AID-DC/CMD/CMG/DI/DT/ESE/LBC/LBD/LBO/SFT/SME, HR-DHO/PXE et RCS-SIS, à l’unité HSE, au secteur IR, aux services SCE-SMS/Site Security, au service de support SERCO, aux membres du personnel employés du département TH et aux utilisateurs des portails AIADM/AITNADM/CS-CCR-DEV/ROG. Seules quelques rares réclamations, questions et autres sollicitations sont remontées jusqu’à nous, et elles ont été très utile pour continuer à améliorer l’authentification multifacteur. Alors, une fois de plus, MERCI beaucoup !
Mais ce n’est pas fini. Certaines communautés du CERN n’ont pas encore adopté la protection 2FA. Nous nous pencherons sur la question d’ici la fin de l’année. Nous étudierons également la possibilité d’étendre ce type de protection à d’autres services tels que les services de terminal du CERN. Nous suivrons également avec intérêt l’évolution des logiciels 2FA. Il se peut que nous ajoutions des jetons 2FA différents pour vous faciliter encore plus la vie. Si vous n’avez pas encore adopté l’authentification 2FA mais souhaitez tenter l’aventure, consultez l’article suivant. Nous vous remercions d’utiliser l’authentification à deux facteurs ! Je compatis avec toutes celles et tous ceux qui ne profitent pas encore de tous ses avantages et bénéfices...
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, consultez notre rapport mensuel en anglais. Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site web ou contactez-nous à l’adresse Computer.Security@cern.ch.
[1] Le troisième et dernier facteur est un élément de vos données biométriques tel que votre empreinte digitale, votre iris (dont le balayage est nécessaire pour entrer dans le complexe d’accélérateurs) ou un échantillon d’ADN ou de sang. Pour des raisons évidentes, aucun de ces éléments ne convient pour accéder à votre compte CERN.
[2] Les sites web utilisant encore l’ancien système d’authentification unique SSO ne sont pas concernés car cet ancien système disparaîtra d’ici la fin de cette année.