View in

English

Sécurité informatique : réflexions sur les mots de passe

Il est essentiel de protéger votre mot de passe CERN dans la mesure où il donne accès à votre compte informatique, et donc à votre vie privée, à votre travail et à toutes vos données les plus précieuses. L'équipe chargée de la sécurité informatique du CERN s'efforce d'identifier les mots de passe qui ont été découverts et divulgués afin de déceler les dysfonctionnements de vos habitudes de connexion, mais il est temps d'aller plus loin.

Aujourd’hui, votre mot de passe CERN est la seule protection contre les pirates informatiques qui cherchent à accéder aux nombreux services web du CERN. La perte, la découverte ou le vol de votre mot de passe auraient de graves conséquences pour les accélérateurs, les expériences et les infrastructures informatiques du CERN. Il est donc vital qu’il soit le mieux protégé possible. Si l'authentification dite à deux facteurs, par exemple, constitue une protection efficace pour votre compte CERN, elle pourrait toutefois se révéler insuffisante.

Ainsi, à compter du 1er avril, les équipes en charge de la gestion des identités et de la sécurité informatique prévoient :

  • de réinitialiser les mots de passe utilisés par plus d'une personne au CERN ; un message vous informera, par exemple, que tel mot de passe est déjà utilisé par « stefan24 ». Vous serez alors prié d'en utiliser un autre ;
  • de contribuer davantage à la création de mots de passe en s'appuyant sur MathGPT de Microsoft afin d'identifier les mots de passe faibles (« n p + e - + v ») et forts (« Δ 0 p + π -») ;
  • d'exiger que les mots de passe soient écrits uniquement avec les polices de caractères « Courier New » ou « Comic Sans MS », ce qui les rend plus difficiles à utiliser pour des tentatives d’hameçonnage ;
  • d'imposer l'authentification à deux facteurs à tous ceux qui sont tombés dans le piège de la campagne de sensibilisation au hameçonnage 2020, 2021 ou 2022. Il est également envisagé de leur interdire à perpétuité l'accès à toutes les ressources informatiques du CERN ; cette mesure fait l’objet de discussions au niveau de la Direction ;
  • de mettre en place un système d’authentification à deux facteurs supplémentaire qui exigerait de se connecter simultanément à Google Workspace et à Azure AD de Microsoft dans un délai d'une minute (à confirmer) ;
  • d'étudier, en collaboration avec l'unité HSE et, en particulier, avec le Service médical, la possibilité de déployer l'authentification à trois facteurs dans l'ensemble du CERN. Outre les facteurs d'authentification déjà utilisés aujourd'hui (« quelque chose que vous connaissez », à savoir les mots de passe, et « quelque chose que vous possédez », c'est-à-dire un jeton matériel comme votre smartphone), le troisième facteur serait « quelque chose qui vous constitue », et serait basé sur un échantillon de votre ADN ou de votre sang ;
  • de créer une API « CQCB » à haut débit capable de faire face à un très grand nombre de demandes d'accès à distance, qui sont gourmandes en ressources, pour éviter le déni et le blocage de service comme cela est arrivé par le passé ;
  • d'ajouter le nouveau dispositif d'authentification « ZoomID » au portail d’authentification unique du CERN. « ZoomID » permet de vous connecter à l’aide de la reconnaissance faciale (comme Face ID sur les appareils Apple). Le portail d’enregistrement sera ouvert prochainement.

À nouveau, il est crucial de protéger votre mot de passe contre des attaques malveillantes afin de protéger votre travail au CERN, ainsi que les accélérateurs, les expériences, l'infrastructure informatique et les données de l'Organisation. Compte tenu des difficultés et des résistances rencontrées lors du déploiement de l'authentification à deux facteurs auprès de certaines communautés « critiques » au CERN, nous pensons qu'avec ces nouvelles mesures il sera plus facile et agréable de se connecter au CERN tout en protégeant les comptes informatiques de la manière la plus efficace.

 

 

... Bien que le sujet de la sécurité informatique soit évidemment sérieux, les suggestions de cet article sont une plaisanterie pour le 1er avril. Pour plus de conseils, rendez-vous dans le prochain Bulletin.

_____

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.