Pas de certificat, pas de chocolat

Êtes-vous déjà prêts à utiliser des certificats pour vous connecter au CERN ou pour utiliser le réseau wifi partout à travers le monde ? Non, je ne parle pas de votre certificat de naissance, ni d'un certificat médical ou d'un certificat de diplôme. Je fais référence aux « certificats numériques » utilisés pour vous authentifier là où vous utilisez traditionnellement un mot de passe.

 

Ces certificats fournissent une alternative fiable pour éviter de devoir taper vos mots de passe. Tout comme les autres certificats cités précédemment, un certificat numérique est un document officiel qui prouve qui vous êtes, vos qualifications, etc. Votre certificat numérique personnel CERN est lié à votre identité numérique au CERN. En cela, un certificat numérique est semblable à un mot de passe. C'est un moyen d'identification qu'il ne faut partager avec personne ! Si je possède un certificat numérique émis pour vous, je peux me faire passer pour vous et prendre le contrôle de votre boîte mail, de vos sessions web et de bien plus...

Les certificats numériques lient votre identité numérique à une infrastructure à clés publiques (PKI). Cette dernière est basée sur une constatation mathématique simple : il est plus facile de multiplier que de diviser, ce qui explique la difficulté à factoriser des nombres premiers (voyez par exemple 8633=89*97, alors imaginez des nombres premiers avec des milliers de chiffres). En utilisant un algorithme sophistiqué, cette difficulté est utilisée pour créer une paire de certificats : un « public » et un « privé ».

Le certificat public peut être partagé pour que d'autres puissent, par exemple, chiffrer des emails que vous seriez le seul capable de lire, en utilisant votre certificat privé. À l'inverse, votre certificat privé peut être utilisé pour prouver que vous être celui que vous prétendez être si votre correspondant connaît votre certificat public. Au CERN, vos certificats numériques sont signés par l'autorité de certification du CERN afin de prouver votre identité. Il s'agit, bien entendu, d'une version très simplifiée de la méthode (pour plus de détails, lisez le standard X.509), mais cela peut vous donner une idée de ce que qu'il se passe en coulisses...

Au sein de la communauté des hautes énergies et notamment au CERN, les certificats sont utilisés dans un certain nombre d'endroits. Par exemple, pour soumettre une tâche à la grille du LHC (Worldwide LHC Computing Grid, WLCG), vous avez besoin d'un certificat émis par le CERN ou votre institut d'origine. Le CERN fait partie de l'International Grid Trust Federation (IGTF/EUGridPMA), qui établit des relations de confiance entre les membres de la communauté de la grille, au niveau des politiques et de l'implémentation. Cette fédération garantit que votre certificat CERN est reconnu de façon internationale par tous les partenaires IGTF ; un bel exemple de relation de confiance internationale entre pairs.

Si vous voulez vous authentifier au CERN via le portail d'authentification unique (Single Sign-on), un certificat CERN en est un moyen fiable. Un deuxième certificat dédié devra être stocké sur votre carte d'accès CERN, notamment si certains sites particuliers vous demandent une authentification à deux facteurs (c'est-à-dire quelque chose que vous savez, un mot de passe, et quelque chose que vous avez, votre carte d'accès CERN contenant ce certificat).

Vous pouvez aussi utiliser votre certificat pour signer numériquement vos emails et ainsi prouver que vous en êtes l'auteur. Enfin, grâce au CERN Networking Group, votre certificat CERN installé sur votre smartphone, tablette ou ordinateur portable vous permet de bénéficier d'une connexion sans fil gratuite et facile d'accès dans tous les lieux où le réseau sans fil « eduroam » est présent (en voir la liste complète).

Ainsi, pour bénéficier des avantages d'un certificat numérique CERN, créez le vôtre sur le site de l'autorité de certification du CERN, et suivez la procédure pour l'installer sur vos ordinateurs, portables, tablettes ou smartphones. Cependant, souvenez-vous que ce certificat doit être conservé comme votre brosse à dent (ou votre mot de passe) : vous ne devez jamais le partager. Si celui-ci, ou tout appareil le contenant, est perdu ou volé, merci de révoquer immédiatement votre certificat sur ce même site afin d'empêcher toute utilisation frauduleuse de votre compte CERN.


Pour de plus amples informations, consultez le site de l'autorité de certification du CERN. Ou inscrivez-vous à nos cours dédiés à la programmation sécurisée.

Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).

Et bien sûr, n'hésitez pas à contacter l'équipe de sécurité informatique ou à consulter notre site web.


Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.

par Computer Security Team