NOUVEAU ! Une meilleure sécurité grâce à une authentification multi-facteurs

Vous êtes-vous déjà senti inquiet lorsque vous utilisez votre mot de passe pour vous connecter à des applications critiques telles que des systèmes de contrôle d'accélérateurs ou d'expériences, en tant qu'administrateur de services informatiques, ou pour autoriser des commandes d'un montant important avec EDH ? Vous avez raison, dans le cas où votre mot de passe serait perdu ou volé, la personne chanceuse ou le voleur mal intentionné pourrait en effet utiliser vos droits d'accès et faire des ravages dans l'Organisation.

 

Une situation quasi similaire s'est produite en 2011, quand Rubén Santamarta, un chercheur en sécurité bien connu, nous a signalé qu’il avait découvert un mot de passe fournissant l’accès en lecture à des contrôles de cryogénie du LHC. On ne pouvait pas être plus proche du désastre… Heureusement, le mot de passe permettait seulement un accès en lecture (mais pas de modifications). Et heureusement, Rubén Santamarta a eu l’amabilité de partager sa découverte avec nous.

Afin de s'améliorer sur ce point, le portail de « Single Sign-On » du CERN offre désormais les outils pour une « authentification à deux facteurs ». L'« authentification » est le processus grâce auquel vous prouvez numériquement qui vous êtes. Habituellement, votre identité est vérifiée grâce à votre mot de passe. Comme vous ne devez jamais (!) partager votre mot de passe, vous êtes le seul à pouvoir fournir le mot de passe correspondant à votre identité numérique. Votre identité est alors correctement authentifiée. Au CERN, vous avez un mot de passe attaché à votre compte CERN, le portail de « Single Sign-On » étant le point central pour l'authentification (des applications spécifiques peuvent demander des comptes et mots de passe supplémentaires, mais nous essayons de les restreindre, car mémoriser de nombreux mots de passe est difficile).



Cependant, pour les applications critiques mentionnées plus haut*, ou celles utilisées au sein du Département des finances du CERN ou de l'équipe de la Sécurité informatique, connaître « seulement » un mot de passe pourrait ne pas être suffisant, les mots de passe étant régulièrement volés ou perdus. L' « authentification à deux facteurs » est une méthode améliorée, qui exige non seulement que vous connaissiez un mot de passe, mais que vous possédiez aussi un jeton matériel. Comme il n'y a pas de second facteur convenant à tous les besoins, le portail de « Single Sign-On » vous permet de vous authentifier avec n'importe lequel de ces quatre facteurs matériels :



  • Votre téléphone portable CERN. Lors de la connexion, vous êtes invité à fournir un code d'authentification à 6 chiffres envoyé à ce téléphone par SMS,
  • Votre smartphone personnel utilisant l'application « Google Authenticator ». Lors de la connexion, vous êtes invité à fournir un code d'authentification à six chiffres calculé par « Google Authenticator »,
  • Un jeton USB Yubikey. Lors de la connexion, l'appui sur le seul bouton de la Yubikey produit un mot de passe long à usage unique,
  • Votre carte d'accès CERN avec une puce intégrée spéciale. Lors de la connexion, vous insérez cette carte dans un lecteur de cartes à puce, et vous entrez votre code PIN pour déverrouiller le certificat stocké.



 

 

C'est à vous de choisir votre(vos) jeton(s) préféré(s). Un téléphone mobile CERN peut être obtenu auprès du Labo Telecom ; « Google Authenticator » est téléchargeable depuis votre App Store préféré (p.ex. iTunes) ; les Yubikeys seront bientôt disponibles auprès des magasins CERN (pour le moment, veuillez contacter l'équipe de la Sécurité informatique) ; les cartes d'accès CERN compatibles avec une puce visible dorée seront bientôt disponibles auprès du Service d'enregistrement (pour le moment, veuillez contacter l'équipe de la Sécurité informatique).

La seule tâche restante avant d'utiliser vos jetons matériels est de les lier à votre compte CERN grâce à l'une des stations libre-service SSO, par exemple au Service d'enregistrement (bâtiment 55), au bureau de Service Desk (bâtiment 55, 2e étage), ou au secrétariat IT (bâtiment 31 2-017 - vous aurez besoin de votre carte d'accès CERN pour cette dernière). Une fois configurés, tous vos jetons matériels sont énumérés dans la section « Gestion du compte » du portail de ressources. De là, vous avez aussi la possibilité de les supprimer, par exemple si votre jeton a été perdu, volé, ou tout simplement si vous n'en avez plus besoin.



*Vous pourriez penser à d'autres applications critiques, et nous encourageons tous les propriétaires de services à réfléchir à la question de l'authentification à deux facteurs. Peut-être est-elle un bon moyen de protéger votre application ?

Pour plus d'informations sur l'authentification multi-facteurs, lisez nos recommandations de sécurité informatique, consultez notre site web ou contactez-nous à Computer.Security@cern.ch.

Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).

Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.

par Computer Security Team