Sécurité informatique : oups, qu'est-ce que cela ?
Vous aimez les énigmes, le jeu des sept erreurs ou le jeu de cache-cache « Où est Charlie ? » ? Alors jetez un oeil à la photo ci-dessous, et tentez de trouver l'erreur.
C'est difficile à voir : sur l'autocollant jaune en bas à droite du moniteur est inscrit un mot de passe permettant d'accéder à l'application web visible à l'écran. Surprenant ! Heureusement, cet autocollant a rapidement été enlevé par les personnes concernées et le mot de passe a été changé. Bien entendu, nous devons tous faire des efforts : les mots de passe ne doivent jamais être collés à l'écran, au clavier, ou au bureau.
Vous vous souvenez peut-être de nos nombreuses campagnes de sensibilisation : votre mot de passe est comme une brosse à dent. Vous ne le partagez pas et vous en changez régulièrement. Ni vos collègues, ni votre superviseur, ni le Service Desk, et encore moins l'équipe de la sécurité informatique, n'ont de raisons valables de vous demander de le communiquer. Ils ne devraient jamais le faire et ne le feront jamais. Il en va de même des entreprises telles qu’UBS, Paypal, Amazon, Facebook ou Google - elles ne vous demanderont jamais votre mot de passe ! Votre mot de passe est à vous et uniquement à vous. Dans ce cas précis, le mot de passe n'était pas personnel, mais partagé entre différents collaborateurs pour accéder à une ressource partagée, l'application web visible à l'écran. Quoi qu'il en soit, nous devons mieux faire !
La plupart des comptes partagés sont désormais obsolètes et doivent, dès que possible, être remplacés par des e-groupes. Faites de même : assurez-vous que le compte personnel de chacun des membres de votre équipe fait partie d'un e-groupe et limitez l'accès à votre application ou à votre service à ces derniers. Tous les services web du CERN permettent facilement cette opération ; il faut utiliser le portail d'authentification unique (SSO) du CERN. Si vous utilisez une application commerciale qui nécessite absolument un mot de passe partagé, mettez-le dans un fichier chiffré sur AFS ou utilisez un coffre-fort pour mots de passe : par exemple KeePass ou Password Safe. Notez cependant qu'une telle utilisation se fait à vos risques et périls : ni l'équipe de la sécurité informatique du CERN ni le département informatique ne cautionnent ces outils. Et de toute façon, n'écrivez jamais de mot de passe sur une page web ou dans un fichier partagé, qu'ils soient publics ou d'accès restreint. Si ce mot de passe fait partie du programme et n'est pas modifiable, cherchez des alternatives et assurez-vous (vérifiez !) que le code source du programme ne le révèle pas. Et, bien entendu, ne l'écrivez pas sur un papillon collé à votre écran ou à votre clavier, ou dissimulé sous celui-ci ou dans le tiroir d'à côté.
Pour couronner le tout, le mot de passe écrit sur cet autocollant jaune était « Administrator »… Souvenez-vous que de bons mots de passe doivent être créatifs (voir l’article « Créativité@CERN »), mais aussi complexes et différents pour chaque site web (« Sécurité informatique : ne copiez-collez pas les mots de passe » ), tout en restant privés, c'est-à-dire connus et utilisés par une seule personne (« Ne laissez pas Chrome exposer vos mots de passe »), et secrets, c'est-à-dire qu’ils ne doivent être écrits en clair sur aucun document, aucun programme, aucun morceau de papier (« Sauvegardés et disparus... »). Enfin et surtout, un bon mot de passe doit rester facilement mémorisable, afin qu'il n'y ait pas besoin de l'écrire. Les règles au CERN sont les suivantes : au moins huit caractères avec un mélange d'au moins trois des différentes catégories de caractères (lettres majuscules, lettres minuscules, chiffres, symboles), tout en évitant les mots figurant dans les dictionnaires des langues principales. Si vous suivez ces règles, votre mot de passe devrait pouvoir résister pendant un temps raisonnable, par exemple une semaine, aux programmes d’attaque spécialisés. Pour plus d’informations, consultez nos recommandations.
N'hésitez pas à contacter l'équipe de sécurité informatique
ou à consulter notre site web.
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).
Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.
par Stefan Lueders, Computer Security Team