Sécurité informatique : au nom du CERN
Cet été, le site de rencontre américano-canadien Ashley Madison a été piraté (voir ici) par un groupe de « hackers » qui a réussi à récupérer une quantité impressionnante d'informations confidentielles : adresses postales, dates de naissance, adresses électroniques, origines ethniques, genres, noms, mots de passe, historiques de paiement, numéros de téléphone, questions de sécurité, préférences sexuelles, noms d'utilisateur, activités sur le site web...
Dans un premier temps, les pirates informatiques ont voulu faire chanter Ashley Madison en l’enjoignant de fermer ses portes. Leur chantage ayant échoué, ils ont finalement rendu leurs trophées de guerre publics sur internet : plus de 30 millions d’adresses électroniques ! Un eldorado pour les malfaiteurs !
Que peuvent-ils en faire ? Certains essaieront peut-être de faire chanter les personnes dont l’adresse électronique a été rendue publique en les menaçant de révéler leur infidélité à leur conjoint (« Donnez-moi tant d’argent ou je dirai à votre époux/épouse que vous étiez à la recherche d'une liaison amoureuse »). D'autres pourraient cibler les personnes ayant utilisé leur adresse électronique professionnelle. Un certain nombre d'adresses étaient en effet liées à des organisations gouvernementales (« Donnez-moi le document X, donnez-moi accès à Y ou je dirai à votre supérieur/la presse à quelles activités vous vous adonnez au bureau »). La liste piratée contenait six adresses électroniques appartenant à certains de nos collègues, dont trois étaient encore valides. Le piratage a même fait l’objet d’un reportage vidéo (voir plus particulièrement à 1'19") de la Radio Télévision Suisse.
Et il ne s'agit pas de la première fuite de la sorte ! Adobe a perdu plus de 150 millions de comptes accompagnés de leurs mots de passe chiffrés (qui ont rapidement été déchiffrés). Adult Friend Finder a perdu les informations de quatre millions de ses utilisateurs en mai dernier. Les coordonnées des clients français et belges de Domino’s Pizza ont été publiées après une tentative de chantage ratée. Le site du magazine Forbes a été attaqué en 2014, exposant les comptes de plus d'un million d'utilisateurs. YouPorn s'est fait voler 26 000 adresses électroniques et les mots de passe associés.
Et ce n’est pas non plus la première fois que l'on retrouve des adresses électroniques du CERN dans de telles listes*. Cela soulève la question suivante : pourquoi utiliser votre adresse CERN pour une activité qui relève de votre vie privée et qui n'a aucune relation avec votre travail au CERN… Bien que le CERN tolère l'utilisation de ses ressources informatiques à des fins privées, il ne faut pas trop tirer sur la corde... C'est pourquoi, si vous vous enregistrez sur des sites web ou des services en ligne qui n'ont rien à voir avec votre activité au CERN, nous vous invitons à utiliser une adresse électronique privée.
*Si vous voulez savoir si votre adresse électronique (privée ou non) a été compromise, nous vous recommandons ce site : https://haveibeenpwned.com.
N'hésitez pas à contacter l'équipe de sécurité informatique ou à consulter notre site web.
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).
Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.
par Stefan Lueders, Computer Security Team