Sécurité informatique : Participez au challenge WhiteHat du CERN !

Au cours des derniers mois, plusieurs utilisateurs du CERN nous ont signalé des vulnérabilités qu'ils avaient trouvées dans des services informatiques et des serveurs au CERN. Tous les points relevés étaient pertinents, beaucoup étaient intéressants, certains étaient même surprenants. Il est primordial de déceler les faiblesses avant que certaines personnes mal intentionnées ne le fassent et les exploitent. Cela nous aide à protéger le fonctionnement de nos accélérateurs et de nos expériences, mais aussi plus généralement la réputation de l'Organisation. C’est pourquoi nous aimerions exprimer notre gratitude aux personnes ayant signalé ces problèmes. Merci et bravo !

 

À cette occasion, nous aimerions également relancer la chasse aux bugs, vulnérabilités et configurations vulnérables dans les applications, pages web et systèmes du CERN. Vous vous rappelez peut-être d'une initiative similaire en 2012 (« Jouons à cache-cache ! »), qui consistait à vous demander de rechercher sur les pages web du CERN les informations sensibles ou confidentielles et de nous envoyer vos trouvailles. Un nombre assez important de documents sensibles ont été trouvés, et ont pu être retirés. Cependant, nous devons être prudents avant d'aller plus loin : toutes nos applications ne sont pas suffisamment robustes pour résister à des analyses de vulnérabilité et à des tests d'intrusion. Il faut impérativement éviter qu’un test aléatoire sur les applications, les pages  web ou les systèmes du CERN entrave leur fonctionnement, aboutisse à la suppression de contenus ou rende des données indisponibles. Pour cette raison, un certain niveau d’entraînement et de coordination est nécessaire.

Participez avec nous au challenge WhiteHat du CERN ! Pour vous permettre de vous préparer avant de vous lancer dans cette recherche, nous prévoyons d'organiser, au début de l'automne, un atelier d'une demi-journée sur les analyses de sécurité, les tests d'intrusion et les problèmes d'éthique en la matière. Les seuls prérequis nécessaires sont des compétences en programmation ou des connaissances en administration de systèmes/services. Lorsque vous aurez participé à cet atelier et réalisé les exercices, vous pourrez  mener des tests d'intrusion sur les applications, pages web et systèmes du CERN de votre choix. Tout ce que vous aurez alors besoin de faire sera de nous indiquer ce que vous souhaitez tester. Nous conviendrons avec les administrateurs du service concerné du moment où ces tests pourront être effectués. Vous aurez alors le champ libre pour mesurer vos compétences en matière d'analyse de sécurité et de test d'intrusion face à des applications réelles et à de vraies machines. Une situation gagnant-gagnant : vous gagnerez une expérience de  la recherche de failles de sécurité, et nous pourrons améliorer la sécurité et la robustesse des systèmes que vous aurez testés ! Si devenir un WhiteHat officiel du CERN vous intéresse, inscrivez-vous en envoyant un courrier électronique intitulé « Make me a CERN WhiteHat » à Computer.Security@cern.ch.



Mais attention : vos seules motivations devront être la  curiosité désintéressée et le goût du défi. En compensation, nous ne pourrons vous offrir que nos félicitations, un bon livre sur les problématiques de sécurité, une lettre d'appréciation transmise à votre superviseur et la mention de vos trouvailles dans notre rapport mensuel. Bien entendu, cette expérience constituera aussi un point très positif sur votre CV. Cependant, aucune récompense financière ne sera offerte (nous avons d’ailleurs toujours refusé d’offrir de telles récompenses par le passé). Si vous voulez vous faire un peu d'argent, il sera plus profitable pour vous de rechercher des bugs et des faiblesses, par exemple, pour Google (entre 100 $ et 20 000 $), Facebook (500 $), Microsoft (jusqu'à 100 000 $), ou d’autres. Notez cependant qu'une telle recherche  au bénéfice de tiers relève de votre activité personnelle et que vous ne devez pas utiliser pour cela le réseau du CERN, car cela constituerait une violation des règles informatiques du CERN.


N'hésitez pas à contacter l'équipe de sécurité informatique
ou à consulter notre site web.

Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).


Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.

par Computer Security Team