Sécurité informatique : votre entrée dans le nuage peut se faire au prix de votre mot de passe

Permettez-moi de vous raconter une petite histoire qui est récemment arrivée à l'une de nos collègues. Elle cherchait un client de messagerie agréable pour son tout nouveau smartphone Android. Elle a trouvé plusieurs applications répondant à ses besoins, qu’elle a toutes installées sur son téléphone - en les configurant avec son mot de passe CERN, pour qu'elle puisse également accéder à ses mails professionnels - et a toutes testées minutieusement. Finalement, pleinement satisfaite de l'une d'elles,  elle a supprimé les autres applications.

 

Mais sa satisfaction n'a pas duré longtemps : dans les jours suivants, elle s'est rendu compte que de nombreux nouveaux mails de sa boîte aux lettres CERN étaient mystérieusement marqués comme « lus » alors qu'elle n'y avait jamais accédé ! Une analyse approfondie des journaux d'activités de sa messagerie CERN a permis de montrer que le fournisseur de l’une des applications de messagerie testées continuait à télécharger ses mails - bien qu'elle ait désinstallé l'application correspondante... En fait, son mot de passe CERN avait abouti dans le Cloud, qui continuait d'accéder à sa boîte aux lettres (ce que fait également Google, si vous laissez Gmail récupérer vos messages dans votre boîte aux lettres CERN). Ni les conditions d'utilisation de ce fournisseur de messagerie,  ni sa politique de confidentialité ne mentionnaient cette fonctionnalité, et ses mails n'ont pas été détruits malgré la suppression de l’application... Au final, elle a dû changer son mot de passe CERN pour bloquer l'accès.

Ainsi, faites attention à l'endroit où votre mot de passe CERN se retrouve. Certaines applications promettent de « réunir tous vos mails, contacts et calendriers à un seul endroit ». Tant que votre mot de passe reste sur votre téléphone, vous conservez toujours un peu de contrôle (sauf s’il est volé ou piraté). Les clients de messagerie iOS et Android fonctionnent de cette façon. Mais une fois que votre mot de passe est configuré avec votre fournisseur de « nuage » préféré (par exemple Gmail) ou transmis à un fournisseur de « nuage » (par exemple mail.ru), vous êtes contraint de leur faire entièrement confiance sur le fait qu'ils s’assurent de la protection et de la confidentialité de ce mot de passe, et qu'ils ne l'utilisent pas de manière illicite...

Si vous travaillez sur des dossiers confidentiels au CERN, ou si vous partagez régulièrement des données sensibles (comme nos collègues des départements FP et HR, ou les unités DG et HSE), ce serait leur accorder un peu trop de confiance, vous ne pensez pas ? Réfléchissez-y à deux fois. Les documents sensibles du CERN ne doivent jamais être rendus accessibles à des tiers en dehors du cadre professionnel. Révéler intentionnellement ou accidentellement des données sensibles constitue une violation de la Politique de protection des données du CERN (en projet : http://cern.ch/dpp) et est considéré comme une faute professionnelle.

Évitez donc de transférer vos courriels professionnels à des fournisseurs de messagerie externes, car il peut y avoir des impacts sur les privilèges et immunités du CERN en tant qu'organisation intergouvernementale (voir aussi l’article « Évitez les fuites de courrier »). Le système de courrier électronique du CERN offre des fonctionnalités très similaires. Évitez également de partager des données sensibles ou restreintes à l'aide de systèmes de stockage externes, tels que Pastebin, Dropbox ou Google Drive. Dans la plupart des cas, l'accès internet du DFS du CERN (CERN Webdav, CERNbox, OneDrive du CERN (vous devez être enregistré ici), ou CERN « Paste ») sont des alternatives tout à fait satisfaisantes !


Partagez vos idées ! N'hésitez pas à contacter l'équipe de sécurité informatique
ou à consulter notre site web.

Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).


Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.

par Computer Security Team