Sécurité informatique : pirater le CERN - tout le monde y gagne…
Le premier tour du challenge WhiteHat CERN est terminé (voir ici). Fin mars, une dizaine d'étudiants de la Fachhochschule St. Pölten (Autriche) ont attaqué le CERN...
Ces attaques se sont déroulées dans le cadre de leur programme d'études pour devenir experts en informatique et en sécurité informatique. Les tests d’intrusion et la recherche de vulnérabilités font partie de leur formation; en d’autres termes, ils doivent trouver les faiblesses des systèmes informatiques.
Habituellement, ces tests sont réalisés dans des environnements de travail tels que « Google Gruyère », le « Damn Vulnerable Web Application », ou « WebGoat » et « Hackademic » de l'OWASP. Cependant, bien que ces environnements soient en principe utiles, ils ressemblent rarement à la réalité opérationnelle sur internet. Le CERN a donc décidé d’offrir aux professeurs de sécurité informatique la possibilité d'utiliser l'écosystème web du CERN, ainsi que les autres systèmes accessibles depuis internet, comme terrain de jeu. Permettre aux étudiants d'apprendre à réaliser des tests d’intrusion et des analyses de vulnérabilité contre des cibles réelles et opérationnelles est une opération gagnante pour tous.
Les étudiants y gagnent, car ils apprennent à élaborer des stratégies dans un environnement réel – ce qui est à la fois un avantage et un inconvénient car, en réalité, ce n'est pas aussi facile que dans un environnement de travail dédié, et il y a une certaine probabilité pour que les étudiants ne trouvent rien (dans le cas où le niveau de sécurité du système qu'ils ont testé est plus élevé que leurs compétences et leur expertise, par exemple). Pour les professeurs, c'est une opération gagnante, car ils n'ont pas besoin de s'embêter avec la mise en place d'un environnement de travail, et peuvent se concentrer sur leur enseignement. Et le CERN y gagne aussi ! Le CERN est attaqué en permanence de toute façon. Mais le « côté obscur » ne nous dira jamais ce qu'il a trouvé.
Les élèves, eux, devront le dire. Formellement, l'université participante, le professeur superviseur et le CERN signent un protocole d'accord (Memorandum of Understanding – MoU). Une partie de ce protocole d'accord est un « code d’éthique » indiquant les règles de base à suivre pour les tests contre le CERN. L'éthique fait également partie des cours, avant le début des tests d’intrusion à proprement parler commencent.
Une dizaine d'étudiants de l'Université de Rotterdam ont réalisé leurs exercices d’intrusion ce mois-ci. La HEIG VD à Yverdon prépare également ses étudiants. Et quatre autres universités à travers le monde sont actuellement dans le processus de signature du protocole d'accord.
En parallèle, le personnel du CERN et 57 utilisateurs ont passé avec succès les deux formations WhiteHat d'une demi-journée, signé le même « Code d’éthique », et sont maintenant prêts à tester les services informatiques du CERN. Des sessions de formation approfondies ont aussi commencé. Vous pouvez trouver plus d'informations sur le challenge WhiteHat CERN à cette adresse, et vous pouvez également vous inscrire sur la liste des candidats WhiteHat.
Grâce à ces tests, vous pourrez comprendre, dans le cas où votre service ou système a été piraté, pourquoi il n'est pas suffisamment robuste. Toute personne mal intentionnée aurait pu en faire de même, mais soit elle ne s'en est pas donné la peine, soit elle ne l'a tout simplement pas repéré. Prenez cela comme un avantage et contactez-nous pour améliorer la sécurité et la protection de votre service : Computer.Security@cern.ch.
N'hésitez pas à contacter l'équipe de sécurité informatique
ou à consulter notre site web.
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).
Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.
par Stefan Lueders, Computer Security Team
