Une cyberattaque réussie passe toujours par un ordinateur compromis. Une fois que le cybercriminel entre en « possession » du PC, il peut y installer des logiciels permettant d'espionner son utilisateur, de récupérer des données ou des mots de passe, d'activer le micro ou la webcam ou encore de manipuler les logiciels, les applications ainsi que les transactions effectuées par l'utilisateur. Il vaut donc mieux essayer de tout mettre en œuvre pour prévenir cette première infection. Les PC sous Windows étant les plus vulnérables, voici les mesures de « durcissement » que le département IT prend pour sécuriser les appareils fixes ou portables qu’il gère.
Bien sûr, les ordinateurs sous Windows ne sont pas les seuls à faire l'objet d'attaques. Les systèmes Linux, les MacBook et les appareils utilisant Android et iOS ne sont pas épargnés. Cependant, Windows possède une grande part du marché, et est par conséquent spécialement visé par les programmes malveillants. De plus, le secteur administratif du CERN, qui manie beaucoup de données sensibles, utilise essentiellement Windows. Certes, une bonne partie des systèmes Windows est toujours gérée de manière centralisée par le département IT, et celui-ci peut facilement venir en aide aux utilisateurs pour les protéger des menaces informatiques. Mais le CERN est un environnement de type académique, et pour la plupart des autres plateformes, la philosophie en place est « AVEC » (« Apportez votre équipement personnel de communication », en anglais « Bring Your Own Device »). Cette liberté s'accompagne de la responsabilité, pour les utilisateurs, de mettre en place les mesures de protection adéquates. Au CERN, vous êtes le premier responsable de la sécurité de vos appareils...
Cependant, si vous utilisez un ordinateur géré par le département IT, ce dernier vous aidera à faire face à cette responsabilité, en particulier si vous maniez beaucoup de données sensibles dans votre travail ou si vous avez régulièrement besoin d'aller sur des pages web qui ne sont pas toujours sûres ou d'ouvrir des courriels et des pièces jointes non sollicités (comme nos collègues du secteur administratif, des achats, de la haute direction ou des secrétariats). La configuration sécurisée que nous avons mise en place pour les PC sous Windows protège davantage votre ordinateur.
La première règle pour sécuriser votre PC est d'utiliser Windows 10 au lieu de Windows 7. En effet, Windows 10 est doté d'un dispositif de sécurité amélioré, à la pointe de la technologie (présentant certes quelques problèmes à régler concernant la confidentialité), et de mesures de protection additionnelles. Le chiffrement complet du disque dur est activé par défaut (sans diminution de la performance, ne vous inquiétez pas), et des outils spécialisés anti-vulnérabilités vous protègent contre les liens malicieux et contre les téléchargements (cachés) de programmes malveillants à partir de sites internet infectés. Le pare-feu local est configuré de manière à inhiber certaines charges malicieuses utilisant Windows Powershell. En outre, nous avons activé des options de connexion et de traçabilité supplémentaires au cas où un cybercriminel arrivait à le franchir.
Par ailleurs, nous bloquons les droits d'exécution des programmes afin de prévenir l'exécution de macros malicieuses, et d'éviter par exemple que des fichiers malveillants Word ou Excel ne provoquent une catastrophe. Avoir recours à un autre lecteur PDF qu'Adobe Reader et limiter (voire désactiver) Adobe Flash sont des moyens simples permettant d'éliminer deux vecteurs courants d'attaques. En effet, les failles de sécurité de ces logiciels sont souvent exploitées par les cybercriminels pour accéder sans autorisation aux systèmes Windows (ou appareils MacOS). Nous réfléchissons même à mettre en place de faux processus faisant croire aux programmes malveillants que le PC en question est ce qu'on appelle un « pot de miel » utilisé par des chercheurs en sécurité informatique : beaucoup les évitent afin de ne pas révéler leur fonctionnement interne...
Concernant l'utilisateur, les droits d'administrateur pour l'utilisateur standard seront supprimés et l'exécution de logiciels à partir du profil utilisateur sera limitée (il n'y en a normalement pas besoin à partir de cet emplacement et les logiciels malveillants s'en servent souvent). Pour aller sur internet, lire des courriels non sollicités ou encore ouvrir des pièces jointes inconnues, il est également possible d'utiliser une configuration sécurisée dans un autre environnement, virtuel, afin d'éviter une infection de l'ordinateur principal.
Bien évidemment, nous faisons tout notre possible pour rendre ces ordinateurs aussi pratiques et intuitifs que possible pour vous, dans votre travail quotidien. Plus l'utilisation que vous faites de votre ordinateur sera classique, plus il sera simple d'avoir un environnement protégé. Certaines de ces mesures feront sûrement partie de la configuration normale des ordinateurs Windows gérés par le département IT, et pourraient être rejointes par d'autres, destinées aux utilisateurs de Mac par exemple. Tenez-vous au courant ! Si vous souhaitez participer à notre programme pilote, envoyez-nous un courriel à Computer.Security@cern.ch.
Pour en savoir plus sur les incidents et les problèmes relatifs à la sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.