L'un des aspects positifs d'internet et du World Wide Web est leur caractère international, à l'image du CERN – communication sans frontière, partage sans limite de l'information, interconnexion du monde et de ses habitants. Mais c'est aussi leur inconvénient : l’interconnectabilité internationale permet aujourd'hui de diffuser de fausses informations et de manipuler des élections, et de mener des attaques à distance contre n'importe quelle cible dans le monde, y compris contre le CERN. C'est la raison pour laquelle il est si important de collaborer et de répondre aux incidents au niveau international. En effet, un incident aux antipodes pourrait affecter directement les services informatiques du CERN, ce qui est déjà arrivé.
Ainsi un serveur compromis d’une université située très loin du CERN, pourrait être utilisé pour se connecter au Laboratoire. Avec les mots de passe volés, un pirate informatique pourrait alors essayer d’atteindre d'autres cibles, de se propager latéralement. Il pourrait, par exemple, tenter de s'introduire dans les systèmes du CERN et causer des dégâts. De telles attaques ont été observées à maintes reprises par le passé (comme « Phalanx » ou « Busywinman »). Plus récemment des comptes utilisateurs de la grappe Linux interactive du CERN (« LXPLUS ») affichaient un comportement inhabituel. Détecté rapidement, cela n’a causé aucun dommage. L’analyse de l'incident a permis toutefois de remonter jusqu'à des centres informatiques à l'étranger qui ont dû, en conséquence, réinstaller l’ensemble de leur centre informatique. Un incident similaire a eu lieu en 2022, ainsi qu’au télescope ALMA, ou à proximité de l’accélérateur BESSY II.
Le champ d'action du Bureau de la sécurité informatique du CERN doit donc être étendu, de grande envergure et multiple. Au sein de notre communauté de physique, le Bureau de la sécurité informatique est en contact étroit avec les laboratoires nationaux Fermi et Lawrence Berkeley, aux États-Unis, organisant des réunions mensuelles pour discuter de la cybersécurité : configuration des réseaux, connexions à distance, authentification à deux facteurs, etc. Les discussions portent sur ce qui fonctionne, sur ce qui est efficace et sur les pièges. De même, le CERN participe à l’analyse de la cybersécurité pour l'Observatoire européen du Sud (ESO). À plus grande échelle, de nombreux instituts européens et paneuropéens qui exploitent des sources de photons et de neutrons (par exemple SESAME et SOLEIL) échangent régulièrement sur la cybersécurité des systèmes de contrôle de leurs accélérateurs et lignes de faisceaux. Depuis 2007, le CERN organise un atelier consacré à la cybersécurité des systèmes de contrôle (CS2HEP) lors de chaque édition de la conférence ICALEPCS (International Conference on Accelerator and Large Experimental Physics Control Systems). La prochaine édition aura lieu en septembre au cas où vous voudriez vous inscrire.
Mais le CERN ne se réduit pas aux « systèmes de contrôle ». Pensez aux données : une multitude de mesures provenant des expériences sont exportées du niveau 0 du CERN vers la Grille de calcul mondiale pour le LHC (WLCG) à des fins de stockage, de traitement, de calcul et d'analyse. Avec environ 150 centres informatiques de niveaux 1, 2 et 3 interconnectés par l’intermédiaire de l'European Grid Initiative (EGI) et de l'US Open Science Grid (OSG), ce vaste réseau, considéré comme « l’Instagram des physiciens », permet d’examiner les analyses de physique des uns et des autres, mais constitue également une cible privilégiée pour les pirates informatiques qui tentent d’y accéder par portage (piggyback) et d’obtenir des cryptomonnaies. Le pirate qui a eu le plus de succès a gagné 2 000 dollars des États-Unis en bitcoins et a fini en prison. Le CERN coordonne habituellement la réponse aux incidents du WLCG avec le responsable de la sécurité informatique du WLCG, tandis que c’est un membre du Bureau de la sécurité informatique du CERN qui est responsable de la réponse aux incidents de l’EGI. Ils ont tous deux repris à organiser des réunions avec toutes les « organisations virtuelles » des expériences LHC et leurs centres de données, afin de reprendre contact, d’établir des liens de confiance, de discuter à nouveau des bonnes pratiques, de fournir des lignes directrices et de les aider à améliorer leurs systèmes de contrôle et de protection, ainsi que leurs procédures.
De même, le Bureau de la sécurité informatique collabore avec d'autres entités internationales faisant partie de notre communauté mondiale de la recherche et de l’enseignement universitaires, comme ESnet, dont un ancien expert du Bureau de la sécurité informatique du CERN vient d’assumer la responsabilité. Ou SAFER, un groupe d’intervention créé par le CERN pour répondre aux incidents. L’objectif peut être de renforcer nos liens avec l'Académie chinoise des sciences, de créer des réseaux de pairs en Amérique du Sud (« RedCLARA ») ou de participer au « Research and Education Networks Information Sharing & Analysis Center » (REN-ISAC), qui réunit des membres provenant de tous les pays de l’alliance « Five Eyes » (AUS, CAN, NZ, UK, US), ainsi que du CERN.
Au-delà du monde universitaire, le Bureau de la sécurité informatique est en contact étroit avec les instances de cybersécurité de nos deux États hôtes (à savoir l'ANSSI pour la France et MELANI/OFCS pour la Suisse), ainsi qu'avec d'autres organisations internationales basées à Genève, dont les responsables de la sécurité informatique se réunissent de temps en temps pour discuter des incidents et des projets de renforcement de leur dispositif de sécurité.
Il est évident qu'à l'instar d’internet et du World Wide Web, la collaboration, la coordination et la réponse aux incidents en matière de sécurité doivent être internationales. C'est donc ce que nous nous efforçons de faire : instaurer le dialogue, collaborer, partager. Nous agissons de même avec vous et votre communauté. Il vous suffit de nous contacter à l’adresse Computer.Security@cern.ch.
__________
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.