Ces derniers mois, l'équipe chargée de la sécurité informatique et la section IT-PW-IAM (Gestion des accès et des identités) ont commencé à mettre en place l'authentification à deux facteurs (2FA). L'authentification à deux facteurs est considérée comme le Graal pour la protection des comptes informatiques. On la trouve partout (Facebook, Twitter, Gmail, etc.) ; même votre banque l'utilise pour protéger votre argent. Pourtant, nous rencontrons de la résistance. Je commence à me demander pourquoi les membres de la communauté du CERN sont disposés à protéger leur compte bancaire avec l'authentification à deux facteurs, mais évitent de l'utiliser au travail, alors que leur travail est pourtant ce qui fait entrer l'argent sur ce compte...

Comme n'importe quelle organisation, institution ou entreprise, dont beaucoup ont été piratées ou compromises et dont les données ont été volées (voir ici et là), le CERN est la cible d'attaques. Si une attaque par rançonnage contre l'Organisation devait aboutir, les conséquences sur nos activités et notre réputation pourraient être désastreuses. Ce type d'attaques, comme bien d’autres, commence souvent par un clic de votre part sur une pièce jointe ou un lien frauduleux, ou en naviguant sur une page web douteuse, ce qui a pour effet d'infecter votre ordinateur. Les conséquences sur votre ordinateur (certes, parfois très désagréables) sont pour l’instant locales. Mais vous allez probablement devoir ensuite entrer un mot de passe pour utiliser cet appareil désormais compromis, lequel pourra alors être facilement intercepté par l'assaillant qui a infiltré votre appareil. D'autres attaques par rançonnage sont plus directes : le pirate vous demande votre mot de passe, vous le lui donnez directement par le biais d'une fausse page d'authentification. Chaque année, entre 10 et 20 % d'entre nous tombent dans le piège tendu par l'équipe chargée de la sécurité informatique dans le cadre de sa campagne de prévention, ce qui veut dire qu'entre 10 et 20 % des mots de passe de l'Organisation sont divulgués, et donc perdus.

Si les courriels de cette campagne avaient réellement été frauduleux, l'assaillant aurait fait une belle récolte. Imaginez à quoi il aurait pu avoir accès avec votre mot de passe, pensez au pouvoir que vous lui auriez donné et à ce qu'il aurait pu faire s'il avait pu vous regarder travailler sur différents services informatiques, systèmes de contrôle et applications financières. Surtout, pensez à ce qui aurait pu arriver si le pirate avait décidé de passer à l'action : arrêt des accélérateurs, manipulation des expériences, désactivation des systèmes de sécurité, vol d'argent, suppression de fichiers, divulgation de données à caractère personnel, compromission de la réputation du CERN, etc.

Afin de protéger l'Organisation contre ces types d'attaques, nous dressons un immense obstacle sur la route d'un potentiel pirate en sécurisant votre compte avec l'authentification à deux facteurs : le cybercriminel aura non seulement besoin de votre mot de passe, mais aussi de votre second jeton d'identification, qui est matériel (par exemple votre Yubikey ou votre smartphone). Vous savez toujours où se trouve votre smartphone, non ? C'est pourquoi nous pensons que l'authentification à deux facteurs est La protection ultime pour votre compte. Oui, nous reconnaissons que cela ajoute un autre désagrément. Nous avons donc essayé et continuons d'essayer de faciliter autant que possible l'utilisation de l'authentification à deux facteurs.

• Nous l'avons déployée à un seul endroit : la nouvelle page d'authentification unique (« Single Sign-On ») du CERN, et aussi sur certains sites spécifiques, en périphérie du système, comme par exemple les serveurs d'accès distant (« AIADM » et « Remote Operations Gateways »).
• Nous avons procédé à des ajustements pour faire en sorte que l'authentification soit valable 12 heures par navigateur, ce qui veut dire que vous n'aurez à utiliser votre jeton que deux fois par jour, soit un nombre négligeable de fois comparé aux personnes qui vont boire un café ou faire une pause cigarette.
• Vous pouvez choisir quel jeton (la Yubikey ou votre smartphone) utiliser par défaut. Pour cela il vous faut simplement aller sur https://users-portal.web.cern.ch/, cliquer sur « configure multifactor » (« configurer l'authentification multifacteur ») et sélectionner « default login method » (« mode de connexion par défaut »).
• Vous pouvez choisir lequel des deux jetons utiliser à chaque authentification : si vous oubliez l'un, l'autre est à portée de main et peut être utilisé pour réinitialiser le premier en cas de perte. Nous ajouterons plus d'options une fois qu'elles seront compatibles avec notre infrastructure.
• Des procédures existent pour vous aider si vous perdez votre jeton et que vous vous retrouvez sans possibilité de vous authentifier : le Service Desk et l'équipe chargée de la sécurité informatique ont mis en place tous les moyens nécessaires pour une reprise rapide.
• Vous trouverez une liste de questions plus exhaustive dans notre FAQ.

Alors, ne pensez-vous pas que votre compte informatique au CERN mérite le même niveau de protection que votre compte bancaire ? Si votre réponse est oui, essayez l'authentification à deux facteurs et faites-nous savoir si vous êtes satisfait de votre expérience : nous pourrons ainsi l'installer de manière permanente pour votre compte.

_____

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, consultez notre rapport mensuel en anglais. Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.