Sécurité informatique : améliorez votre mot de passe

Par le passé, nous vous avons maintes fois répété combien il est important de bien choisir son mot de passe – qui doit être complexe et unique – pour votre compte CERN (voir l’article : « Oups, qu'est-ce que cela ? » - voir ici), mais aussi pour vos comptes Facebook, Amazon et tous les autres (voir l’article : « Quelle est la valeur de votre mot de passe ? » - voir ici). Une précaution toujours valable, mais peut-être plus suffisante...

 

Bien sûr, avoir un mot de passe complexe (avec des lettres, symboles, nombres, formules mathématiques, titres de chanson ou de poème – voir nos recommandations (en anglais)) est toujours nécessaire. Ne pas utiliser le même mot de passe sur différents sites, et surtout, ne jamais le partager, est primordial (« Votre mot de passe est comme votre brosse à dent - ne le partagez pas et changez-le régulièrement »). Mais ce n'est pas toujours suffisant. Un mot de passe n’est pas seulement perdu lorsqu'on le devine ou le force via une attaque par dictionnaire (d'où la nécessité de choisir un mot de passe complexe qui ne se figure dans aucun dictionnaire), il l’est aussi lorsqu'on vous espionne. Et un pirate peut espionner un mot de passe complexe tout aussi facilement qu'un mot de passe simple, juste en installant un logiciel qui enregistre l'activité du clavier de votre machine. « S’arrêter-réfléchir-cliquer » est la seule manière de se protéger contre de telles attaques et leurs conséquences : ne cliquez pas sur des liens douteux, et ne cliquez que si vous avez une entière con­fiance en leur origine. Malheureusement, comme l'a démontré notre dernière campagne de prévention (« Un clic et patatras… »), mettre en place un tel logiciel dans notre environnement est relativement simple pour un pirate informatique. Cette campagne a en effet montré qu’un pirate aurait facilement pu prendre le contrôle de 10 à 20 % des machines Windows du CERN et, à partir de là, espionner une grande partie des mots de passe du Laboratoire.

Les conséquences ? Terribles si vous êtes responsable d'un service informatique, si vous faites fonctionner un accélérateur ou une expérience, ou si vous gérez les finances du CERN. Une fois en possession de votre mot de passe et des droits affiliés, le pirate va d'abord prendre son temps et vous espionner. Comprendre comment vous travaillez. Observer quand et comment vous accédez à vos ressources et à vos services. Récupérer de l'information. Et le jour J, il sera en mesure de se faire passer pour vous et de frapper fort : il pourra essayer de stopper vos services, manipuler vos accélérateurs ou vos expériences, ou voler de l’argent. À vos dépends et à ceux de l'Organisation.

La solution ? Tout d’abord, améliorer votre mot de passe (« ce que vous connaissez »), puis le renforcer grâce à un deuxième gage de votre identité (« ce que vous possédez ») : une preuve matérielle comme votre téléphone, votre carte d'accès CERN ou une clé USB dédiée. Les banques demandent très souvent à leurs clients d’utiliser de « petites calculatrices » pour s’authentifier. En jargon technique, on appelle cela l'authentification multifactorielle. Et grâce à la collaboration entre le département IT, le département BE et le groupe FAP/AIS, nous évaluons actuellement comment l'accès aux ressources du Centre de calcul, au réseau des accélérateurs et à leurs systèmes de contrôle, ainsi qu’aux systèmes financiers pourrait être mieux protégé via une telle authentification. Bien sûr, cela créera quelques inconvénients mineurs, mais nous nous efforcerons de les réduire autant que possible. Une authentification un peu plus longue pour un travail beaucoup plus sécurisé : le jeu n’en vaut-il pas la chandelle ? Pour plus de détails, rendez-vous ici ou contactez-nous à : Computer.Security@cern.ch.

Et pensez aussi à la valeur de vos mots de passe personnels : Facebook, Twitter, Google, Amazon. Quels dégâts un pirate pourrait-il faire dans votre vie personnelle s’il avait connaissance de votre mot de passe ? Il pourrait entrer dans vos cercles privés, envoyer des messages en votre nom, dépenser votre argent, etc. Pour des raisons similaires à celles qui ont poussé le CERN à s’orienter vers l’authentification multifactorielle, Google et Facebook (et d'autres) vous proposent d'opter pour ce même type d’authentification. Et nous vous recommandons fortement d'en faire usage, afin de vous protéger.
 


N'hésitez pas à contacter l'équipe de la Sécurité informatique ou à consulter notre site web.

Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).


Accédez à la collection complète d'articles de l'équipe de la Sécurité informatique ici.

par Stefan Lueders, Computer Security Team