WhiteHats au service du CERN

Le CERN fait en permanence l’objet d’attaques. L’espace web du CERN, en particulier, avec ses dizaines de milliers de sites web et ses millions de pages web, est très fréquemment ciblé par des personnes mal intentionnées, mais aussi, par des chercheurs en sécurité informatique.

 

Le plus souvent, ces attaques sont vaines et leurs traces disparaissent avec le temps. Mais parfois, elles sont couronnées de succès et permettent aux attaquants de prendre le contrôle d’un site web ou même d’un serveur... Il est essentiel que nous découvrions nos faiblesses avant que d’autres ne le fassent !

Ces personnes mal intentionnées sont habituellement appelées « BlackHats » (« chapeaux noirs »), car elles abusent de leurs compétences en informatique pour détruire ou mettre hors-service des systèmes en exploitant leurs faiblesses. Les « GrayHats » (« chapeaux gris ») sont plus inoffensifs et, dans le pire des cas, s’amusent en plaçant des ours en peluche nus ou des messages personnels (« Je vous ai hacké ») sur les sites web qu’ils compromettent. Enfin et surtout, les « WhiteHats » (« chapeaux blancs ») signalent les vulnérabilités qu’ils découvrent et nous invitent à les corriger (vous pouvez retrouver certains d’entre eux à cette adresse), et nous obtempérons volontiers ! Nous voulons davantage de « WhiteHats » !

Ainsi, en 2015, en collaboration avec un certain nombre d’universités de différents pays, nous avons mis en place le « CERN WhiteHat Challenge ». Après des cours consacrés à l’éthique et aux techniques d’analyse de la sécurité, les étudiants de ces universités, qui ont suivi des cursus en sécurité informatique, sont autorisés à tester l’espace web du CERN. Le bénéfice est triple : les étudiants peuvent s’exercer sur de vrais systèmes en production, leurs professeurs n’ont pas à créer d’environnements de test artificiels, et le CERN découvre rapidement les faiblesses et vulnérabilités présentes dans ses pages web. Cette collaboration a bien fonctionné jusqu’à présent : des étudiants des universités de Rotterdam, Kent et St. Pölten nous ont d’ors et déjà fait part de leurs découvertes. D’autres universités préparent leurs étudiants pour le semestre prochain...

Mais pourquoi limiterions-nous ce programme à des personnes externes au CERN ? Le « CERN WhiteHat Challenge » est ouvert aux employés et utilisateurs du CERN qui veulent développer leurs compétences en tests de pénétration et scans de vulnérabilité. Aucune expertise technique avancée n’est nécessaire ; vous n’avez besoin que d’une bonne dose de motivation. Toutefois, avant de pouvoir participer, il vous faudra obligatoirement suivre une série de formations sur l’éthique et les technologies web, et une introduction aux tests de pénétration et à l’exploitation. Des formations approfondies (« cross-site scripting », « command line injection », etc.) sont proposées régulièrement et complètent ce programme initial de formation.

Vous voulez nous aider à sécuriser l’espace web du CERN ? Si vous êtes utilisateur ou membre du personnel du CERN, et si devenir un « WhiteHat » officiel pour le CERN vous intéresse, vous pouvez vous inscrire sur l’e-groupe « White-Hats-Future-Candidates ». Nous vous inviterons à l’une des prochaines formations, qui recommenceront à l’automne 2016.


N'hésitez pas à contacter l'équipe de la Sécurité informatique ou à consulter notre site web.

Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).


Accédez à la collection complète d'articles de l'équipe de la Sécurité informatique ici.

par Stefan Lueders, Computer Security Team