Après « Prism » et « Tempora » : quel degré de surveillance est acceptable pour le CERN ?
Que de tumulte créé par les révélations d’Edward Snowden sur les opérations de surveillance « Prism » et « Tempora », dirigées respectivement par la NSA américaine et le GCHQ britannique ! Pourquoi cette chasse aux sorcières contre un dénonciateur occupe-t-elle tant le devant de la scène médiatique alors que le fait que deux pays aient violé nos vies numériques pendant des années ne choque personne ?
_image.jpg?subformat=icon)
À travers ces opérations, ils collectent une quantité non négligeable de trafic internet - ils capturent autant de données par jour que ce que le LHC produit par an (voir l’article du Guardian – en anglais) ! Cela démontre également que la fiction de Georges Orwell - « 1984 » - a fini par prendre corps. Quel degré de confidentialité sommes-nous prêts à céder pour nous protéger contre des attaques « terroristes » ? Quel degré de surveillance de nos activités internet est justifié pour se sentir plus en « sécurité » ? Et quel degré de surveillance est acceptable dans l’environnement académique du CERN ?
Le CERN, plus grand laboratoire de physique des hautes énergies du monde, demeure du LHC, est une cible de choix pour les pirates et autres attaques informatiques. Le CERN se doit donc de protéger pro-activement ses biens afin d’assurer son fonctionnement et de préserver sa bonne réputation. Or, cette protection (et la prévention des accidents) est principalement votre responsabilité puisque, au CERN, vous êtes responsable de sécuriser vos ordinateurs, réseaux, données, systèmes et services. Bien-sûr, l’équipe de la Sécurité informatique se tient à votre disposition pour vous aider à assumer cette responsabilité (voir nos articles du Bulletin « La “Sécurité”, c'est VOUS ! » et « Pourquoi la "Sécurité" ce n'est pas MOI... »).
Cela dit, la protection ne représente qu’un des aspects importants de la sécurité informatique. La détection d’abus, d’attaques et d’infiltration en est un autre. En conséquence, l’équipe de la Sécurité informatique utilise également une série d’outils automatiques de détection d’intrusion. Ces systèmes, axés sur les réseaux, inspectent le trafic réseau entre le CERN et internet en temps réel grâce à des modèles malveillants en utilisant « Snort ». Tout le trafic web est notamment analysé en direct et enregistré pour une durée d’un an afin de faciliter la recherche d’incidents rétrospectivement. D'autres systèmes de détection d’intrusion en temps réel sont basés sur l'analyse statistique du trafic réseau agrégé, appelé « flows » ; les données sont également enregistrées pour un an. En parallèle, les requêtes de résolution DNS (i.e. le processus convertissant les noms de domaine comme « www.cern.ch » en adresses IP lisibles par la machine) sont comparées à une liste de domaines malveillants. S’il y a une correspondance, la résolution est automatiquement bloquée.
Outre la surveillance réseau, des outils de détection d’intrusion axés sur l’hôte sont utilisés sur tous les clusters Linux publics. Ils surveillent les activités suspectes telles que les tentatives de connexion illicites, les schémas de connexion étranges, les appels systèmes et les commandes inhabituelles ou dangereuses. Le logiciel anti-virus central fourni est employé pour détecter les fichiers et programmes malveillants sur les PC Windows gérés de manière centralisée*. Enfin, nous scannons en permanence les pages web et les serveurs web pour surveiller les vulnérabilités basiques (par exemple celles classées parmi les dix risques de sécurité web les plus critiques par « OWASP »), les systèmes de fichiers pour les informations d'authentification non protégées comme les clés privées SSH sans protection ou les mots de passe stockés dans des fichiers publiquement lisibles, ainsi que les dispositifs connectés à nos réseaux pour un inventaire à jour des services informatiques actifs.
Si certaines données sensibles circulent entre les mains de l’équipe de la Sécurité informatique, cela n’implique pas que vous soyez espionnés, vous et vos activités. En fait, nous ne l’avons jamais fait, ne le faisons pas, et ne prévoyons pas de le faire. Tout d’abord, nous estimons grandement la déclaration sur la vie privée numérique du CERN relative à la protection des données personnelles, ainsi que la politique planifiée de protection des données du CERN. En plus, la mention de l'article IV des Règles informatiques du CERN (OC5) définit clairement l’étendue de notre travail. Les outils de surveillance mentionnés ci-dessus sont mis en oeuvre de manière autonome et pointent automatiquement les parties concernées. C’est uniquement lorsqu’une activité suspecte a été reportée que les membres de l’équipe de la Sécurité informatique prennent le relais et essaient de comprendre les détails de l’incident, évaluent son impact et engagent les procédures. De même, nous n’intervenons jamais sans accord si des requêtes légitimes requièrent l’accès aux boîtes mail ou aux fichiers privés stockés sur AFS ou DFS. Les procédures pour accéder à de telles données sont précisément définies dans OC5.
Au CERN, nous avons établi un compromis entre liberté académique et mesures de surveillance de protection. Nous sommes toutefois intéressés par votre opinion : quel degré de surveillance est acceptable pour le CERN ? Merci de nous écrire à Computer.Security@cern.ch.
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel.
Pour plus d'informations, contactez l'équipe de sécurité informatique ou consultez notre site web.
* Obtenez-en une copie pour votre usage personnel ici pour les PC Windows et là pour les Mac.
Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.
