Jouons à cache-cache !
Cette semaine, nous souhaitons vous proposer un petit jeu sur internet appelé « Cache-cache virtuel ». Les règles sont simples : certains de nos collègues ont publié des documents sensibles ou confidentiels sur les services centraux du CERN comme Indico, CDS, EDMS ou TWiki, ainsi que sur ses nombreux sites web. Votre mission, si vous l'acceptez : les trouver !
Si vous nous fournissez des documents portant la mention confidential (confidentiel), classified (classé secret), sensitive (sensible) ou contenant des mots de passe valides en clair, vous pourrez gagner un livre sur la sécurité informatique. Les seules conditions sont que ces documents doivent être visibles de l'extérieur du CERN - pas besoin d'un compte CERN pour y accéder - et qu’ils ne doivent pas vous appartenir ou avoir un lien direct avec votre travail. Amusez-vous bien !
Plus sérieusement, êtes-vous sûr que vos documents sont vraiment bien protégés ? Régulièrement, nous trouvons des documents confidentiels stockés sur l'un des services centraux du CERN, qui se sont accidentellement retrouvés publics. Seul notre serment de discrétion nous interdit de donner des détails. Cependant, vous vous souvenez peut-être de l'article intitulé « Le CERN est une véritable passoire » paru dans Le Matin en novembre 2009. Il donne une idée de la conséquence négative que peut avoir la divulgation de certains documents.
Les services centraux du CERN tels que CDS, Indico, EDMS ou TWiki, ainsi que le service web fournissent des moyens de classer vos documents et de protéger leurs accès. Bien que ces services soient intrinsèquement sécurisés, c'est à vous de vérifier que vous utilisez correctement leurs moyens de protection ! Ainsi, si vous possédez ou gérez des documents confidentiels, demandez-vous s'ils sont correctement classés, et si les protections d'accès sont correctement appliquées (par exemple en utilisant des « e-groupes ») ? Les accès sont-ils restreints aux seules personnes en ayant besoin ? Avez-vous essayé de les trouver avec Google en recherchant « [LE TITRE DE VOTRE DOCUMENT SENSIBLE ICI] site:cern.ch » ? Si vous constatez que l'un de vos documents s'est retrouvé public par accident, n'hésitez pas à contacter directement l'équipe d'assistance correspondante, elle pourra vous apporter de l'aide et des conseils.
Notre défi tient toujours. Peut-être que quelqu'un d'autre trouvera vos documents confidentiels disponibles publiquement sur un site du CERN. Celui qui envoie les URL/liens d'un document confidentiel à Computer.Security@cern.ch avant le 14 décembre 2012 peut gagner l'un des trois livres sur la sécurité informatique*.
Pour plus d'informations, des questions ou de l'aide, consultez notre site web ou contactez-nous via Computer.Security@cern.ch.
*Si nous recevons plus de trois réponses correctes et crédibles, nous procéderons à un tirage au sort parmi celles-ci.
Accédez à la collection complète d'articles de l'équipe de Sécurité informatique ici.