Articles sur la sécurité

informatique du CERN
Ecrit par l’équipe de sécurité informatique du CERN ([Link] Version d’août 2018.

This publication is released under a Creative Commons Attribution-NonCommercial-

ShareAlike 4.0 International License.
Sommaire
Sécurité des ordinateurs ........................................................................................................... 8
Pour l’éducation des utilisateurs (2018) ................................................................................. 8
Logiciels malveillants, rançongiciels, etc. (2018) .................................................................... 10
Gagner de l'argent avec la publicité (2018) ........................................................................... 11
« Doxware »: le nouveau rançongiciel (2018) ........................................................................ 12
Pourquoi vous avez un nouveau lecteur PDF (2017) .............................................................. 14
« WannaCry » ? Pensez aux patchs ! (2017) .......................................................................... 15
Attaque de point d'eau (2016) ............................................................................................. 16
Les grands moyens ? Un mal nécessaire... (2016) .................................................................. 17
Le DNS à la rescousse ! (2016) ............................................................................................. 18
Trucs de Noël pour votre sécurité (2016) .............................................................................. 19
Session ouverte, vie privée exposée (2016) .......................................................................... 19
Flash, le pire du pire (2016) ................................................................................................. 20
Rançongiciel — quand il est déjà trop tard... (2016) .............................................................. 20
Sécurité Mac — rien pour le passé (2016)............................................................................. 21
Clés USB, les tueurs silencieux (2015) ................................................................................... 22
Au revoir la sécurité sur Windows XP… Bienvenue aux virus ! (2014)...................................... 23
Agilité pour les ordinateurs (2014) ....................................................................................... 24
Ne mettez pas votre famille en danger (2013) ...................................................................... 25
Avez-vous reçu un appel de « Microsoft »? La façon sociale d'infecter votre PC (2012) ........... 27
Infecter Windows, Linux et Mac en une seule fois (2012) ...................................................... 27
Pris ! Les Macs ont perdu leur innocence (2012) ................................................................... 28
Vous avez trouvé une clé USB ? Allez-y, infectez votre PC ! (2012) ......................................... 29
Le premier virus PC fête ses 25 ans (2011) ............................................................................ 30
Sécurité des smartphones et du Cloud ..................................................................................... 31
Voyages : quelques recommandations (2017) ....................................................................... 31
Pokémon GO… Attention aux chausse-trapes ! (2016)........................................................... 32
Je connais le moindre de vos déplacements... depuis toujours ! (2016) .................................. 33
Le talon d’Achille d’Android. Encore… (2016) ........................................................................ 34
Nouveaux capotages pour votre vie privée (2015)................................................................. 34
Le talon d’achille d’Android? (2015) ..................................................................................... 35
IT ou pas IT, telle est la question (2015)................................................................................ 36
Votre entrée dans le nuage peut se faire au prix de votre mot de passe (2014)....................... 37
Votre iPhone comme un « key-logger » (2014) ..................................................................... 38
2|Pa ge
 Sauvegardés et disparus... (2013)......................................................................................... 39
« Bring Your Own Disaster » (Apportez votre propre désastre) (2013) .................................... 40
Android est le nouveau Windows (2013) .............................................................................. 41
Prison ou « Prism » ? Vos données en garde à vue (2013)...................................................... 42
... et merci pour vos données mobiles ! (2012)...................................................................... 43
Une photo pour contrôler votre téléphone (2012) ................................................................ 44
Smartphone perdu — votre vie privée avec (2012) ............................................................... 45
Lorsque le « Lion » mange vos données (2012) ..................................................................... 46
Votre Android est-il fiévreux ? (2012)................................................................................... 46
iPhones, Androids : l'histoire se répète (2011) ...................................................................... 47
Envoyez vos données dans le « Cloud » et faites-les ... se vaporiser (2011) ............................. 48
Sécurité du réseau et du centre de calcul ................................................................................. 50
Les failles Spectre et Meltdown (2018) ................................................................................. 50
Renforcer la détection des intrusions (2018)......................................................................... 51
Cyberattaques, aux grands maux les grands remèdes (2017) ................................................. 53
Match amical pour le CERN (2017) ....................................................................................... 54
Une attaque, plus de sécurité (2017).................................................................................... 55
Une surveillance transparente pour votre protection (2016) ................................................. 56
Prendre « Dirty Cow » par les cornes (2016) ......................................................................... 57
Pirater le CERN — tout le monde y gagne… (2015) ................................................................ 58
« HeartBleed », un désastre pour votre vie privée (2014) ...................................................... 59
Après « Prism » et « Tempora » : quel degré de surveillance est acceptable pour le CERN ?
(2013) ................................................................................................................................ 60
L'attrait pour le chiffrement sans fil (2013) ........................................................................... 62
Pourquoi j'aime les coupures de courant... (2012)................................................................. 63
Comptes et mots de passe ...................................................................................................... 64
Faux concours de mots de passe sécurisés (2018) ................................................................. 64
Faire confiance à sa mémoire ou à un gestionnaire numérique (2018) ................................... 65
Améliorez votre mot de passe (2016) ................................................................................... 66
Quelle est la valeur de votre mot de passe ? (2016) .............................................................. 68
Qui êtes-vous? (2016) ......................................................................................................... 69
La protection de votre vie privée au CERN est importante (2015)........................................... 70
Concours CERN de mots de passe sécurisés (2015) ............................................................... 71
Oups, qu'est-ce que cela ? (2015) ........................................................................................ 72
Ne copiez-collez pas les mots de passe (2014) ...................................................................... 73
Quand une personne part, les droits d'accès restent (2014) .................................................. 74
3|Pa ge
 Les maths à votre secours ! (2013) ....................................................................................... 75
Pas de certificat, pas de chocolat (2013) ............................................................................... 77
Ne me tentez pas! (2013) .................................................................................................... 78
Ne laissez pas Chrome exposer vos mots de passe (2013)...................................................... 79
Créativité@CERN (2013)...................................................................................................... 80
Entraînez votre cerveau : ne mettez pas votre mot de passe sur papier ! (2012) ..................... 81
1 000 mots de passe exposés, qu'en est-il du vôtre ? (2011) .................................................. 81
Les vacances approchent — Les mots de passe partent (2011) .............................................. 82
Qu'est-ce qu’une bonne brosse à dents, heu, mot de passe ? (2011)...................................... 83
Qu'est-ce que votre mot de passe et votre brosse à dents ont en commun ? (2011) ............... 84
Sécurité des courriels et des sites Web .................................................................................... 85
Un clic pour vous sensibiliser (2018)..................................................................................... 85
Curieux, prenez garde aux liens ! (2018) ............................................................................... 86
Le Higgs n’envoie pas de courriels (2017) ............................................................................. 87
Halte aux courriels indésirables! (2017) ................................................................................ 88
Un clic et patatras… (Encore) (2017)..................................................................................... 89
Protégez vos clics (2017) ..................................................................................................... 90
Nul ne peut se fier aux courriels et nous ne pouvons rien y faire (2016) ................................. 91
Censurer le web ? Pas au CERN (2016) ................................................................................. 94
« New_invoice.zip » (2015).................................................................................................. 94
Bien riposté, FP! (2015) ....................................................................................................... 96
« Conpherencing » — le nouveau « Phishing » (2014) ........................................................... 97
Jekyll ou Hyde ? Mieux vaut naviguer en toute sécurité (2013) .............................................. 98
Naviguer sur Internet : au revoir l'anonymat ! (2012) ............................................................ 99
Évitez les fuites de courrier (2012) ......................................................................................100
Ne détruisez pas votre web (2012) ......................................................................................101
Vous avez reçu une e-carte « Hallmark » ? Supprimez-la ! (2011)..........................................102
Inutile, le chiffrement ?! (2011) ..........................................................................................102
Sécurité des systèmes de contrôle & IoT .................................................................................104
Souriez, vous êtes filmés! (2018).........................................................................................104
Objets connectés : les murs ont des oreilles (2017) ..............................................................105
IoT, des trésors caches (2017) .............................................................................................106
Protégez votre installation : un « jeu sérieux » sur la cybersécurité des systèmes de contrôle
(2015) ...............................................................................................................................107
Votre voiture, mes commandes (2015)................................................................................108
Paranoïa d'aujourd'hui, réalité de demain (2014).................................................................109
4|Pa ge
 Notre vie en symbiose (2014) .............................................................................................110
Les cyber-attaques et les risques pour le CERN (2013) ..........................................................112
Pirater les systèmes de contrôle, éteindre les lumières (2013) ..............................................113
Pirater les systèmes de contrôle, éteindre... les accélérateurs ? (2013) .................................114
Développement sécurisé de logiciels ......................................................................................116
Gitlab CI peut vous aider (2017) ..........................................................................................116
Responsabilité pour les logiciels (2016) ...............................................................................117
Meilleur code, moins de problèmes (2016) ..........................................................................118
SAHARA - la sécurité aussi élevée que raisonnablement possible (2015) ...............................119
Professionnalisme aussi pour la sécurité (2015) ...................................................................120
Votre code est-il sain ? (2015).............................................................................................121
Comment réussir le déploiement de logiciel (2014) ..............................................................121
Participez au challenge WhiteHat du CERN ! (2014) .............................................................123
Le marathon de la sécurité (2015) .......................................................................................124
Le marathon de la sécurité, partie 2 (2015) .........................................................................124
Améliorez les logiciels, mais évitez les gaffes ! (2014) ...........................................................125
Cessez de combattre seul, laissez la synergie gouverner ! (2013) ..........................................127
Pourquoi ne puis-je pas poursuivre en justice mon fournisseur de logiciels ? (2013) ..............128
Dressez votre défense : une base pour la sécurité (2011) .....................................................130
Ecrivez-vous du code sécurisé? (2011).................................................................................131
... Un exemple de code vulnérable (2011) ............................................................................132
Protection des données et de la vie privée ..............................................................................134
La sécurité informatique et votre vie privée (2017) ..............................................................134
La confidentialité est l'affaire de tous (2015) .......................................................................134
Imprimer en toute confidentialité (2015).............................................................................135
« 1984 », 30 ans après — à quel point Orwell avait-il vu juste ? (2014)..................................136
Travailler sur des données sensibles dans un lieu public (2014) ............................................138
Bientôt une politique de protection des données pragmatique pour une Organisation ouverte
(2014) ...............................................................................................................................139
« Privé », c'est privé à quel point? (2014) ............................................................................140
PC publics : déconnectez-vous ou perdez tout (2013) ...........................................................140
Jouons à cache-cache! (2012) .............................................................................................141
Votre vie privée est primordiale ! (2012) .............................................................................142
« Clas-si-fié (/klasifje/) » — qu'est-ce que c'est ? (2012) .......................................................143
La protection des données pour tous (2012) ........................................................................144
Comment se débarrasser vraiment de données confidentielles ? (2012) ...............................145
5|Pa ge
 Classé confidentiel (2011)...................................................................................................146
La vie privée, qui s'en soucie ? (2011) ..................................................................................146
Droits d’auteurs.....................................................................................................................148
Musique, vidéos et risques (2018) .......................................................................................148
Télécharger des films illégalement n'est pas anodin (2015) ..................................................148
Supplique au Père Noël (2015)............................................................................................149
Avez-vous 30000 CHF à perdre ? (2015) ..............................................................................150
Protégez le CERN — respectez les droits d'auteur (2014)......................................................151
Pour une meilleure image de l'Organisation (2014) ..............................................................152
Mauvaises (Re)Présentations (2013) ...................................................................................153
Licences de logiciels : soyez honnêtes ! (2012) .....................................................................154
Règles et Politique du CERN ...................................................................................................155
Attention à la puissance de calcul (2018) .............................................................................155
Chers étudiants d'été (2018)...............................................................................................156
Règles informatiques : permis ou pas ? (2018) .....................................................................157
Etudiants d’été, attendez une minute! (2017) ......................................................................158
Abus virtuel, conséquences réelles (2017) ...........................................................................159
Du bon usage des ordinateurs publics (2017).......................................................................161
Etudiants d’été ? Quelques recommandations de bienvenue (2016) .....................................161
« Hello World! » — Bienvenue au CERN (2015) ....................................................................163
Au nom du CERN (2015) .....................................................................................................164
Publier à tort et à travers (2015) .........................................................................................165
Médias sociaux — les bonnes pratiques (2014) ....................................................................166
La bévue mise à nu (2013) ..................................................................................................167
La « sécurité », c'est VOUS! (2012) ......................................................................................168
Pourquoi la « sécurité » ce n'est pas MOI... (2012) ...............................................................168
La sécurité a besoin de vous (2010) .....................................................................................169
Divers ...................................................................................................................................171
Espace numérique et théorie du carreau cassé (2018)..........................................................171
Prenez-la au sérieux (2018) ................................................................................................172
Et dans la vie réelle ? (2017) ...............................................................................................173
A propos de problèmes de sécurité (2017) ..........................................................................174
WhiteHats au service du CERN (2016) .................................................................................175
Le dilemme de la défense fractale (2015) ............................................................................176
A Genève, en Suisse romande et au-delà (2014) ..................................................................178

6|Pa ge
La fin du chiffrement (2014) ...............................................................................................179
Un Petit Conte du Mouton Noir de –ITÉ (2013) ....................................................................181
Le CERN : numériquement ouvert, aussi (2013) ...................................................................182
Sécurité contre nations : une bataille perdue ? (2013)..........................................................183
Bingo de sécurité (2011) .....................................................................................................185
Bingo de sécurité pour les paranoïaques (2011) ...................................................................186
Bingo de sécurité pour les administrateurs (2011) ...............................................................187
Contrôlez la sécurité informatique maintenant et régulièrement ! (2009) .............................188

7|Pa ge
Sécurité des ordinateurs
Une vieille arnaque peut en cacher une nouvelle
[à publier]
L'argent a toujours attisé cupidité et malveillance. Parmi les moyens d’extorsion, le
chantage, qui remonte à l'Antiquité, est l’un des plus courants. Et il sévit également dans
le monde numérique, sous des formes très variées. Nous avons évoqué certaines d'entre
elles dans de précédents articles du Bulletin (« Logiciels malveillants, rançongiciels, «
doxwares » & Co »). Récemment, une vieille arnaque par courrier électronique est
réapparue, mais dans une nouvelle version, plus astucieuse, et donc potentiellement plus
crédible…
Un message reçu au CERN ou ailleurs prétend que votre ordinateur a été piraté et que celui-
ci est entièrement accessible. Cela ne semble pas impossible, car les ordinateurs présentent
toujours certaines failles qui n'ont pas encore été corrigées (par vous ou par le développeur
du système d'exploitation). « Entièrement accessible » signifie que le pirate a accès à tout
ce qui se trouve sur votre ordinateur : les documents stockés (photos, vidéos, relevés de
compte, etc.), la mémoire tampon de votre clavier, de sorte que toutes vos frappes – y
compris les mots de passe saisis – pourront être récupérées et enregistrées, votre écran et
tout ce qui s'y s'affiche, ainsi que le microphone et la caméra web connectés à l'ordinateur.
Dans ce dernier cas, le pirate aurait la possibilité d’espionner toutes les activités effectuées
autour de votre ordinateur (voir également notre article du Bulletin intitulé « Curieux,
prenez garde aux liens ! »). Et il pourrait ainsi vous faire de sales coups... En prétendant
détenir un enregistrement du streaming en direct de votre webcam au moment où votre
ordinateur accédait à des vidéos intimes et privées, le pirate peut vous menacer de publier
ces dernières à tous vos contacts enregistrés localement à moins que vous ne lui versiez
une rançon en bitcoins. Mais quelle est la nouveauté aujourd’hui ? Et bien le courriel
envoyé à la victime, non seulement fait état de cette menace, mais fait également
référence à un véritable mot de passe précédemment lié à son adresse électronique, ce qui
rend l'arnaque encore plus crédible !!!
Mais comment cela est-il possible ? Les mots de passe sont nécessaires à la protection de
vos données sur tout service web : les applications INDICO et EDH du CERN, Facebook,
Twitter, Amazon, etc. Ils sont toujours stockés en combinaison avec un identificateur (votre
adresse électronique) pour le service web en question – mais pas toujours d'une façon
parfaitement sûre. Au CERN, nous protégeons votre mot de passe conformément aux
bonnes pratiques, en le convertissant en une chaîne non récupérable (techniquement, on
procède à un « hachage salé »), mais il est possible que d'autres sites stockent votre mot
de passe sans cryptage, en texte clair. Si ces sites web sont infiltrés, tous les mots de passe
en texte clair seront révélés et l'accès à toutes les autres données ne sera plus du tout
protégé. À partir de là, toutes les données pourront être considérées à tort comme
publiques. Cela se produit bien plus souvent que vous ne l'imaginez
8|Pa ge
([Link] À chaque fois que l'équipe de la sécurité informatique du
CERN s'aperçoit qu'un mot de passe lié à votre adresse électronique du CERN ou à une
autre adresse enregistrée par le CERN n'est plus secret, elle vous tient immédiatement au
courant.
Par conséquent, si vous recevez un courriel frauduleux vous faisant du chantage, NE
PANIQUEZ PAS ! Et ne payez aucune rançon ! La seule chose que vous devez faire est de
changer le mot de passe révélé dans le courriel (du moins si vous savez à quel compte il est
associé). Envisagez la fermeture du compte en question. Pour être plus proactif, rappelez-
vous les principes de base qui vous permettent de protéger votre vie numérique :
maintenez toujours à jour vos appareils en utilisant la fonction de mise à jour automatique
de votre système d'exploitation (« WannaCry ? Pensez aux patchs ! ») ; choisissez des mots
de passe complexes et/ou longs et gardez-les pour vous (« Faux concours CERN de mots de
passe sécurisés ») ; utilisez des mots de passe différents pour des sites différents et des
usages différents ; et ne cliquez pas sur des liens dans des courriels ou sur des pages web
qui n'inspirent pas confiance ou qui vous semblent louches (« Un clic pour vous
sensibiliser ») !

Pour l’éducation des utilisateurs (2018)

[Link]
Au fil des ans, nous avons essayé de vous sensibiliser aux problèmes liés à la sécurité informatique,
et ce, de différentes manières : posters, vidéos, cours, présentations, rapports mensuels et articles
dans le Bulletin. Nous aimerions maintenant aller un peu plus loin et mettre en place une
rétroaction haptique en cas d’action contraire à la sécurité, grâce au clavier à rétroaction (« Digital
Feedback Keyboard », DFK).
De nos jours, l’utilisation d’un ordinateur ne va pas sans risque. Naviguer sur une page web
douteuse, ouvrir un fichier joint malveillant ou télécharger un module d’extension ou un logiciel
corrompu peut rapidement infecter votre ordinateur, détruire ses systèmes de protection et laisser
complètement sans protection votre travail et vos données, et par voie de conséquence le CERN
(voir les articles « Attaques de point d'eau » et « Un clic et patatras »). Le pirate qui « s’empare »
de votre ordinateur a également accès à votre compte informatique. En effet, généralement il
installe dans votre ordinateur un programme malveillant, qui enregistre la moindre de vos frappes
(y compris le mot de passe de votre compte), permet de vous espionner via votre webcam ou votre
microphone, fouille votre disque dur à la recherche de documents intéressants, et, cerise sur le
gâteau, essaye parfois de vous extorquer de l’argent (« Rançongiciel - Quand il est déjà trop tard »).
Il est souvent difficile d’avoir le bon réflexe, et de réfléchir avant de cliquer. Les personnes qui
utiliseront ces nouveaux claviers à rétroaction recevront directement, via une série de petites
électrodes intégrées dans les touches, des signaux d’alerte lorsqu’une action n’est pas sûre. Les
électrodes enverront une petite décharge de quelques volts à chaque action potentiellement
dangereuse (ouvrir un fichier joint infecté, taper son mot de passe CERN sur une page web
n’appartenant pas au CERN, ou naviguer sur une page web suspecte). Des tensions plus élevées
pourront être appliquées lors de l’ouverture d’applications qui contreviennent directement aux
règles informatiques du CERN ou sont illégales, comme c’est le cas des logiciels utilisant des licences
piratées ( « Avez-vous 30 000 CHF à perdre? ») ou portant atteinte aux droits d’auteur (« Protégez
9|Pa ge
le CERN – Respectez les droits d’auteur »).Au bout d’un moment, la rétroaction électrique vous aura
appris à intégrer le principe « réfléchir avant de cliquer »! « En gros, c’est le même principe que les
clôtures électrifiées qui sont dissuasives pour les vaches », explique Chris Lloyd de l’équipe des
achats informatiques.
Une première phase pilote débutera le 1er avril, avec une centaine de membres du personnel
choisis au hasard. D’autres services ayant déjà fait savoir qu’ils étaient intéressés pour une
utilisation spécifique (e-Learning, évaluations MERIT, achats onéreux), la phase pilote pourrait
rapidement être étendue à tout le CERN. Le service des achats du CERN et le département IT
étudient actuellement la logistique qui permettrait de distribuer les claviers à rétroaction à chaque
membre du personnel. Si vous préférez ne pas participer à cette phase pilote, commencez dès
maintenant à mettre en pratique le principe « réfléchir avant de cliquer ». Soyez vigilants quand
vous recevez un courriel étrange (« Comment identifier des courriels malicieux »), et ne cliquez pas
sur des liens douteux par simple curiosité. Réfléchissez avant.

Logiciels malveillants, rançongiciels, etc. (2018)

[Link]
doxware-and
Au siècle dernier, il était facile de préserver la sécurité informatique. Le danger était à l’époque
limité à la possibilité que des personnes utilisent un ordinateur pour diffuser des fichiers ou, au
pire, les effacer. Mais la situation a évolué depuis. Aujourd’hui, votre ordinateur et votre
smartphone sont des éléments essentiels de votre vie et des personnes mal intentionnées sont aux
aguets, prêtes à les prendre en otage pour vous extorquer de l’argent.
Le monde a changé. Les agresseurs d’aujourd’hui ne sont plus des hackeurs en herbe qui se cachent
dans leur chambre, comme le suggère Hollywood. Le film « WarGames » est totalement dépassé.
Des entreprises illégales, avec une structure rappelant celle de la Mafia, les ont remplacés. Leurs
différentes activités (direction, attaques contre les utilisateurs finaux, exploitation informatique,
chantage et exfiltration d’argent) sont séparées, et certaines parfois sous-traitées à des entités plus
petites ou simplement achetées à des tierces parties. Voici comment peuvent se dérouler leurs
opérations:
1. Des experts sans scrupules créent des logiciels malveillants pour exploiter des failles encore
inconnues dans votre système d’exploitation ou votre application préférés ;
2. D’autres établissent des listes d’adresses électroniques auxquelles ils envoient un logiciel
malveillant en pièce jointe (par exemple sous la forme d’un document PDF ou Microsoft
Office infecté). Ils effectuent aussi des campagnes par e-mail où il est demandé aux
destinataires de cliquer sur un lien malicieux (voir notre article du Bulletin « Protégez vos
clics »). Le site web rattaché à ce lien a déjà été compromis par d’autres malfaiteurs, qui
ont réussi à y installer des logiciels malveillants (comme de fausses publicités) ;
3. Le logiciel malveillant n’est que le véhicule. Les responsables de ces entreprises illégales
décident ensuite de l’étape suivante : lancer un rançongiciel, un « doxware », ou
simplement semer la pagaille 1 . S’il s’agit d’argent, les malfaiteurs fournissent

1
Si vous êtes perdu, cet article pourra vous être utile :
10 | P a g e
 l’infrastructure nécessaire pour le soutirer (« payez 300 dollars en bitcoins ») et récoltent
ainsi la monnaie virtuelle ;
4. Enfin, d’autres groupes convertissent l’argent virtuel en dollars véritables – de l’argent
propre dont l’origine ne peut être retracée...
S’attaquer à votre vie est devenu une véritable entreprise commerciale, bien qu’illégale. Il y a
beaucoup d’argent à la clé et il y aura toujours quelqu’un qui sera prêt à payer. Faites-en sorte que
cela ne soit pas vous!
1. Veillez à ce que tous vos ordinateurs, ordinateurs portables, smartphones et tablettes
soient à jour. Faites-en sorte que le mécanisme de mise à jour de votre système
d’exploitation soit activé et assurez-vous que tout nouveau correctif de sécurité est
appliqué automatiquement. Si possible, exécutez un logiciel antivirus fiable sur votre
système d’exploitation, et rappelez-vous que le logiciel antivirus du CERN pour les
ordinateurs Windows et Mac est gratuit, même pour un usage à domicile. Cela devrait
éviter la propagation de certaines variantes des logiciels malveillants mentionnés au point
1;
2. Pour vous prémunir des menaces décrites au point 2, évitez de cliquer sur les liens ou
d’ouvrir les pièces jointes de courriels non sollicités. Vérifiez d’abord le contexte : ce
courriel vous est-il adressé personnellement ? Présente-t-il un intérêt pour vous ? Vous
semble-t-il légitime ? En cas de doute, contactez-nous à
l’adresse [Link]@[Link]. Il en va de même lorsque vous naviguez sur le web :
surveillez vos clics. En cas de doute, mieux vaut « s’arrêter – réfléchir – ne pas cliquer ». Et
à nouveau, n’hésitez pas à nous contacter ;
3. Enfin, faites une sauvegarde de vos données importantes. Les données CERN devraient être
sauvegardées sur AFS, DFS ou EOS – des services conçus pour stocker les données de façon
fiable. À la maison, faites une sauvegarde sur un disque dur externe (mais ne le laissez pas
connecté en permanence !) ou achetez un périphérique de stockage en réseau (NAS). Si
vous êtes malheureusement victime d’un chantage, refusez de payer la rançon.
Vous éviterez ainsi les points 3 et 4. Il y a peu de chance que vous récupériez vos données. Si
votre ordinateur est infecté par un rançongiciel, vous pourrez peut-être récupérer vos
fichiers à l’aide des outils fournis sur le site web
suivant: [Link] (qui contient également
d’excellents conseils sur la manière de se prémunir de ce type de menaces).
Il s’agit de votre vie et de vos appareils informatiques. Ne vous laissez pas avoir.

Gagner de l'argent avec la publicité (2018)

[Link]
money-ads
La publicité représente une source importante de revenus sur Internet. Consulter un site, déplacer
votre souris, cliquer : tout est comptabilisé et converti en argent payé par les publicitaires aux
propriétaires du site web où s’affiche la publicité. En soi, cette pratique n'est pas mauvaise, car elle

[Link]
malicious-software.
11 | P a g e
permet d'offrir aux internautes du contenu « librement accessible » 1 tout en garantissant une
source de revenus pour les fournisseurs de contenus. Malheureusement, les entreprises qui
proposent de la publicité en ligne ne sont pas toutes honnêtes et il arrive que certaines publicités
soient utilisées pour diffuser des logiciels malveillants.
Comme il est indiqué dans un précédent article (« Logiciels malveillants, rançongiciels, etc. »), les
attaques contre les ordinateurs finaux représentent un commerce très juteux, de l'ordre de
plusieurs milliards de dollars, pratiqué par des entreprises illégales. De nombreux vecteurs
d'attaque différents sont employés, tels que l’hameçonnage (« phishing »), des pièces jointes
malveillantes ou des attaques ciblées contre des entreprises et leurs employés. Les pirates
informatiques peuvent même essayer d'infiltrer les sites web d’institutions de renom et y cacher
des logiciels malveillants. Si, par malchance, un internaute accède à l’un de ces sites web, son
ordinateur sera infecté et sa vie privée partira en fumée (lire l'article « Attaque de point d'eau »).
Il arrive aussi que des personnes mal intentionnées réussissent à acheter de l’espace publicitaire
auprès d’une grande régie publicitaire voir
[Link] en espérant que leurs publicités
malveillantes soient diffusées et apparaissent sur les sites web de grands organismes.
Concrètement, leurs publicités malveillantes promeuvent de faux produits ou services, mais, en
coulisses, celles-ci tentent d'exploiter les vulnérabilités de votre navigateur web, de ses modules
d’extension, ou de votre système d'exploitation.
Même si les régies publicitaires font en général du bon travail en bloquant ces publicités
malveillantes, c'est un peu le jeu du chat et de la souris. Les publicités malveillantes peuvent
contaminer des sites web légitimes et populaires : médias d'information, sites de transports publics,
fils Facebook ou Twitter, etc. En pareils cas, notre slogan « S'arrêter – réfléchir – ne pas cliquer »
ne suffit pas. Vous devez impérativement mettre à jour votre système d'exploitation et toutes ses
applications, en particulier votre navigateur web. Assurez-vous que la fonction de mise à jour de
votre système est paramétrée sur « automatique » de façon à ce que vos dispositifs téléchargent
et appliquent les correctifs concernés dans les plus brefs délais. Si possible, installez et exécutez un
logiciel antivirus et rappelez-vous que le logiciel antivirus du CERN pour les ordinateurs Windows
et Mac est gratuit pour vous, même pour un usage à domicile.

« Doxware »: le nouveau rançongiciel (2018)

[Link]
Vous vous souvenez de « WannaCry », le rançongiciel qui a sévi début 2017 et encryptait toutes les
données des ordinateurs qu'il infectait ? À moins de payer la rançon exigée par les pirates, les
victimes pouvaient être sûres de perdre toutes leurs données. Et même si elles décidaient de mettre
la main au porte-monnaie, rien ne leur garantissait qu'elles allaient les récupérer. C'est d'ailleurs
pour cette raison que nous déconseillons toujours de céder au chantage. Aujourd'hui, les
cybercriminels sont passés à la vitesse supérieure. Auparavant, ils bloquaient l'accès aux
ordinateurs, les empêchaient de fonctionner, cherchaient à propager leur virus ou à ridiculiser leurs

1
« Librement accessible » a été mis entre guillemets car, malheureusement, les publicités sont souvent
associées aujourd'hui à des algorithmes qui surveillent votre activité et tentent de recueillir davantage
d'informations sur vous et votre ordinateur (par exemple, votre position, la langue de votre clavier, votre
type de système d'exploitation, etc.). Si cela vous ennuie, envisagez l’utilisation de logiciels de blocage de
publicités ou d’extensions de navigateurs, qui renforceront la protection de vos données.
12 | P a g e
propriétaires. Puis ils ont détourné des réseaux pour envoyer des pourriels dans le monde entier,
ou attaquer des sites ou des services sur le web. Ils sont ensuite devenus « silencieux », surveillant
l'activité des internautes et dérobant leurs données bancaires ou leurs mots de passe, et sont
revenus en force avec des rançongiciels comme « WannaCry », qui prenaient les données des
internautes en otage (« Rançongiciel - quand il est déjà trop tard »). Aujourd'hui, c'est avec les
« doxwares » qu'ils passent à l'attaque.
Pour nombre d'entre nous, notre ordinateur, et a fortiori notre ordinateur portable, notre
smartphone ou notre tablette, donnent accès à un concentré de données personnelles : photos,
vidéos et documents privés, données bancaires ou comptes sur les réseaux sociaux (comme
Facebook ou Twitter), voire applications contenant des informations sur notre état de santé. Savez-
vous où est votre smartphone à cet instant précis ? Vous souvenez-vous de ce que vous avez
ressenti la dernière fois que vous l'avez égaré ? Nous avons tous beaucoup à perdre en cas
d'attaque visant nos appareils numériques. Les pirates ne manquent pas d'imagination : les
rançongiciels détruisent vos fichiers ; d'autres logiciels malveillants comme « Dridex » cherchent à
vous extorquer de l'argent et prennent en otage vos données bancaires et l'historique de vos
transactions ; d'autres encore volent les mots de passe de vos comptes sur les réseaux sociaux.
Vous pensiez avoir tout vu ? C'est que vous n'avez pas encore entendu parler des « doxwares ». Ce
néologisme vient de l'anglais « doxing » (où « dox » est une abréviation de « documents »).
L'activité consiste à se procurer puis à rendre publics des informations privées et aisément traçables
sur un individu ou une organisation. Tout comme les rançongiciels, les « doxwares » encryptent le
disque dur de l'ordinateur contaminé et exigent une rançon pour le décrypter. Mais avec les
« doxwares », une sauvegarde externe ne résout pas le problème, car les pirates menacent de
diffuser en ligne toutes les données privées dérobées si la rançon n'est pas payée. Choix cornélien
n'est-ce pas ?
Voilà de quoi nous rappeler que la sécurité de nos appareils numériques est essentielle à la
protection de notre vie privée. Des mises à jour régulières de vos ordinateurs, smartphones ou
tablettes sont le b.a.-ba de la sécurité informatique. Si elles sont correctement réalisées, elles
éliminent à tout le moins les vulnérabilités connues des systèmes et rendent le piratage de vos
appareils plus difficile.
 Si vous possédez un ordinateur personnel et votre propre système d'exploitation Windows,
vérifiez la disponibilité de mises à jour depuis le bouton « Démarrage ». Vous pouvez aussi
configurer votre ordinateur à effectuer les mises à jour automatiquement, ce qui est
généralement recommandé.
 Sur les systèmes d'exploitation Linux, assurez-vous d'exécuter régulièrement le
gestionnaire « Yum update », ou, mieux encore, autorisez les mises à jour automatiques.
N'oubliez pas de redémarrer votre ordinateur après l'installation d'un nouveau noyau, afin
que les correctifs soient correctement appliqués.
 Si vous avez un Mac, installez les mises à jours en passant par le menu Apple.
 Pour les appareils fonctionnant sous iOS et Android, vérifiez vos préférences système.
Installez un antivirus sur votre ordinateur Mac ou Windows pour lui offrir une protection
supplémentaire. Si vous êtes membre du personnel du CERN, vous pouvez bénéficier d'un antivirus
gratuit. Les antivirus du CERN pour Windows et pour Mac peuvent aussi être utilisés chez vous
gratuitement. Si possible, désinstallez Acrobat Reader, Flash et Java, car ces logiciels sont
fréquemment utilisés pour s'introduire dans les ordinateurs. Sinon, veillez à ce que toutes les
applications sur votre ordinateur, notamment les trois citées ci-dessus, soient régulièrement mises
13 | P a g e
à jour. Si vous avez des doutes (et utilisez Windows comme système d'exploitation), vous pouvez
installer et exécuter le programme développé par Secunia, qui vérifie que tous vos logiciels soient
à jour. Soyez vigilants avec vos mots de passe et ne les saisissez que sur des sites auxquels vous
faites entièrement confiance. Ne transmettez jamais votre mot de passe par courriel, même si on
vous le demande. Utilisez des mots de passe différents pour des services web différents. Enfin,
rappelez-vous que les virus se transmettent principalement par des courriels ou des sites web
malveillants. Pour cette raison, ARRÊTEZ-VOUS — RÉFLÉCHISSEZ — NE CLIQUEZ PAS sur un lien ou
une pièce jointe douteux. Ne cliquez que lorsque vous êtes sûr de l'origine du lien ou de la pièce
jointe. Voici quelques pistes pour vous aider à identifier les courriels malveillants. La tâche est
effectivement difficile. Mais c'est avant tout les faiblesses de la nature humaine que les pirates
tentent d'exploiter.

Pourquoi vous avez un nouveau lecteur PDF (2017)

[Link]
Garder ses appareils à jour pour que les vulnérabilités et faiblesses connues ne puissent pas être
exploitées par des personnes mal intentionnées fait partie des bonnes pratiques de base dans le
domaine de la sécurité informatique. Le problème est que ces vulnérabilités et faiblesses ne sont
justement pas toujours connues. Toutes ne sont pas signalées ou publiées immédiatement après
leur découverte. Il existe généralement un délai de grâce d'environ trois mois accordé par les
personnes pratiquant la « divulgation responsable » aux propriétaires de logiciels, pour que ces
derniers puissent réparer les failles, avant qu'elles ne soient rendues publiques. Au moment de leur
publication, les mesures prises sont documentées et appliquées grâce au mécanisme de mise à jour
standard. Cependant, certaines personnes, organisations ou entreprises optent parfois pour une
approche bien différente. Au lieu de pratiquer la divulgation responsable, elles collectent des
données sur les vulnérabilités et faiblesses pour les vendre au plus offrant (souvent sur le marché
noir), ou les utiliser à de mauvaises fins (espionnage, cyberattaques, etc.).
Une autre bonne pratique permet toutefois de limiter les risques en matière de sécurité
informatique : la réduction de l'exposition aux attaques. Moins il y a de logiciels installés sur un
appareil, mieux ils sont programmés ; moins un logiciel est répandu sur le marché, plus la surface
d'attaque est limitée. Un logiciel qui n'est pas installé ou exécuté sur un appareil ne présente aucun
risque pour ce dernier. Un logiciel de qualité, programmé dans le respect des bonnes pratiques de
sécurité, est plus difficile à exploiter. Enfin, un logiciel utilisé par peu de personnes ne sera
probablement pas pris pour cible par les pirates informatiques, puisque le détourner ne présente
pas un intérêt financier suffisant.
Tous systèmes d'exploitation confondus (Windows, Mac et Linux), parmi les applications présentant
le plus de failles signalées en 2017 figurent Microsoft Edge, Safari d'Apple, Adobe Acrobat et
Acrobat Reader, et Java JDK et JRE d'Oracle. Même si ce ne sont que quelques applications parmi
d'autres, celles que nous avons citées dominent le marché de l'informatique et sont installées sur
de nombreux appareils différents, dont probablement le vôtre. Mais en avez-vous vraiment
besoin ? N'existe-t-il pas des logiciels similaires moins connus et donc moins susceptibles d'être
exploités ?
Il en existe bel et bien. Et c'est la raison principale pour laquelle le CERN a retenu récemment, pour
ses lecteurs PDF par défaut, les logiciels PDF-XChange pour Windows et PDF Expert pour Mac.
Couplés à d'autres éléments de sécurité (à savoir le moteur de filtrage sophistiqué que le CERN

14 | P a g e
utilise pour éliminer le spam), ces nouveaux lecteurs par défaut ne seront pas infectés par des
documents PDF contaminés visant les failles du lecteur PDF qui domine le marché. Même si ces
logiciels ne sont pas, en soi, nécessairement moins vulnérables, la probabilité que quelqu'un
cherche à les exploiter est bien plus faible, puisque la majorité des pirates informatiques s'en
prennent aux logiciels les plus couramment utilisés – ceux de la liste mentionnée ci-dessus.
Vous voulez faire plus ? Passez en revue les logiciels installés sur vos appareils, en particulier s'il
figurent dans la liste suivante : [Link]
Désinstallez les applications que vous n'utilisez que très peu, voire pas du tout, afin de limiter votre
exposition. Pensez à opter pour d'autres logiciels. Pour remplacer votre navigateur ou votre lecteur
PDF préférés, vous avez le choix entre nombre de solutions de qualité (mieux sécurisées), et parfois
gratuites. Enfin, pensez à mettre vos logiciels à jour régulièrement. Pour vous faciliter la tâche,
utilisez Secunia, un logiciel qui vérifie si vos autres logiciels sont à jour.

« WannaCry » ? Pensez aux patchs ! (2017)

[Link]
patched
Ce mois de mai s'est avéré redoutable pour la sécurité informatique, avec la
cyberattaque « WannaCry », (ou « WannaCrypt »), qui a frappé le monde entier, affectant de
nombreux systèmes Microsoft Windows. Utilisant un ancien exploit développé par l'Agence de
sécurité nationale américaine (NSA) et publié sur Internet par le groupe de hackers Shadow Brokers,
WannaCry a essayé d'infecter des ordinateurs fonctionnant avec un système d'explo itation
antérieur à Windows 10 (c.-à-d. Windows XP, Windows 7, Windows 8 et Windows Server 2008) sur
lesquels aucun correctif de sécurité (ou « patch ») n'avait été déployé. Microsoft avait fourni depuis
longtemps déjà des correctifs pour palier à cette vulnérabilité sous-jacente, ce qui montre bien
l'importance de les déployer.
Et si vous ne l'avez pas fait ? WannaCry installe un « ransomware », ou « rançongiciel » en français
(« Rançongiciel - Quand il est déjà trop tard... »), c'est-à-dire un logiciel qui chiffre divers fichiers :
documents MS Office, photos, films, fichiers système, etc. Le logiciel essaie également d'identifier
et de chiffrer les données sauvegardées dans les périphériques de stockage externes. La seule façon
de récupérer vos fichiers est de payer la rançon de 300 USD (voir la photo), ce qui ne garantit pas
toutefois que vous recevrez la clé de décryptage de vos fichiers...
Comment se prémunir contre WannaCry ? Comme tout logiciel malveillant, il se transmet avant
tout par courrier électronique (voir notre article du Bulletin intitulé « Un clic, et patatras
(encore) »). Le réflexe : « Stop! réfléchir avant de cliquer! » est donc plus que jamais d'actualité.
Heureusement, cette fois-ci, le système de messagerie du CERN et son système de filtrage anti-
spam ont réussi à identifier et à mettre en quarantaine les courriels entrants potentiellement
malveillants. Surtout, un correctif avait déjà été déployé sur tous les ordinateurs Windows gérés de
manière centralisée pour les protéger de ce genre d'attaque. Microsoft avait diffusé les mises à jour
correspondantes en mars 2017 (MS17-010).
L'avenir appartient à ceux qui se lèvent tôt ! Ces ordinateurs-là n'ont pas été infectés. Sur tous les
autres ordinateurs, des mises à jour de sécurité sont à effectuer régulièrement : un petit effort
aujourd'hui pourrait vous éviter une tonne d'ennuis plus tard. C'est la raison pour laquelle nous
insistons pour une mise à jour automatique de vos ordinateurs Windows, Linux ou Mac, mais aussi
de vos téléphones portables et tablettes Android et iOS (voir nos articles du Bulletin intitulés
15 | P a g e
« Agilité pour les ordinateurs » et « Android est le nouveau Windows »). Maintenir votre ordinateur
à jour avec « Windows Update » (Windows), « Software Update » (Mac) ou « YUM auto-update »
(Linux) est un premier pas essentiel pour le sécuriser. Sans oublier la nécessité d'un bon antivirus :
Windows Defender, l'antivirus par défaut de Windows, a tout de suite détecté WannaCry, tout
comme l'auraient probablement fait la plupart des autres antivirus. La solution antivirus du CERN
peut être téléchargée et utilisée gratuitement, même sur vos ordinateurs personnels !
En réalité, les rares ordinateurs qui ont été infectés cette fois-ci étaient des ordinateurs mal
protégés appartenant à des personnes en visite au CERN. Espérons pour elles que leurs fichiers
avaient fait l'objet de sauvegardes récentes... Par chance il s'est avéré que les créateurs de
WannaCry avaient inclus dans leur code un « interrupteur ». Cet interrupteur vérifie l'existence
d'un nom de domaine particulier sur Internet ; s'il le trouve, il empêche l'exécution de WannaCry.
L'interrupteur a été décelé par un spécialiste de la sécurité informatique, qui s'est empressé de
faire en sorte que le nom de domaine existe.
Pour plus d’information sur ce sujet, venez assister au séminaire « Ransomware: Trick or Treat » le
jeudi 1er juin 2017 à 14h00 dans l’amphithéâtre IT (31/3-004) :
[Link]

Attaque de point d'eau (2016)

[Link]
Comme un lion en embuscade près d’un point d’eau, à l’affût de sa prochaine victime, un logiciel
malveillant peut vous prendre par surprise.
Comme certains d’entre vous ont pu le remarquer, l’équipe de la Sécurité informatique du CERN a
dû, il y a quelques semaines, bloquer le site d’information [Link] car celui-ci distribuait des
logiciels malveillants. Ce blocage faisait suite à des mesures similaires prises par d’autres
organisations suisses. Il s’agissait d’une mesure protectrice, visant à éviter que nos ordinateurs
portables ou fixes, nos tablettes et nos smartphones soient compromis.
Malheureusement, ce n’est pas la première fois que nous voyons de telles attaques de type drive-
by et waterhole (en français, « point d’eau ») : lorsque vous visitez un tel site compromis, du code
malicieux, caché sur ce dernier, le plus souvent par le biais d’un site tiers, est téléchargé et exécuté
sur votre ordinateur afin de l’infecter (infection qui fonctionnera le plus souvent sous Windows ou
Android, plus rarement sous Mac), d’où le nom drive-by (expression anglaise signifiant « en
conduisant », ici « en passant », aussi utilisée pour les fusillades au volant). Qui plus est, comme
[Link] est un site web très fréquenté, en particulier par les membres et utilisateurs du CERN,
cela en fait une position d’attaque parfaite contre le CERN (ou d’autres organisations basées à
Genève) : au lieu de s’attaquer directement à ces organisations, ce qui pourrait être difficile étant
donné l’attention qu’elles portent à la sécurité informatique, pourquoi ne pas s’attaquer à un site
externe, ayant un intérêt moindre pour la sécurité informatique, mais très visible et utilisé par votre
cible finale ? Cette idée est vieille comme le monde: elle reprend l’image d’un lion en embuscade
près d’un point d’eau, à l’affût de sa prochaine victime, d’où le nom waterhole. Il est déjà arrivé
que des sites web importants dans le bassin genevois aient été utilisés pour de telles attaques. En
particulier, [Link] a atterri sur nos bureaux à plusieurs reprises dans le passé...
La protection contre de telles attaques est difficile: le code malicieux exploite le plus souvent des
zero-day programmes, c'est-à-dire des logiciels malveillants exploitant des vulnérabilités qui ne

16 | P a g e
sont pas encore publiquement connues lors de leur utilisation. Nous vous recommandons de
maintenir vos systèmes à jour (Windows Update, Mac Update, « Yum » auto-update ou tout autre
mécanisme de mise à jour automatique et permanent) et d’utiliser un antivirus (jetez un œil aux
solutions proposées gratuitement). Cependant, cela ne vous protégera guère contre les zero-day,
puisque, par définition, ni les fournisseurs de logiciels ou systèmes d’exploitation, ni votre antivirus,
ne connaîtront la vulnérabilité utilisée. Quoi qu’il en soit, soyez vigilants! Si vous voulez faire preuve
de plus de vigilance, surfez sur le net à partir d’un ordinateur fonctionnant sous Linux, qui est pour
le moment statistiquement moins exposé à ce type d’attaque. Ou alors évitez simplement ces sites.
Souvenez-vous: arrêtez-vous, réfléchissez, ne cliquez pas ! Si vous doutez d’un lien sur lequel vous
allez cliquer, abstenez-vous.

Les grands moyens ? Un mal nécessaire... (2016)

[Link]
Chaque semaine, nous constatons encore et toujours que des PC et portables du CERN se font
infecter. Même si un logiciel antivirus local devrait vous fournir une protection de base, aucun
antivirus ne pourra jamais détecter à temps toutes les menaces. Sans parler du nettoyage d'une
infection, qui n'est jamais complet. Si l’antivirus n'arrive pas à contenir l'infection immédiatement,
il est impératif de réinstaller votre PC ou portable dès que possible et de changer tous vos mots de
passe pour plus de tranquillité !
Une multitude de vecteurs peuvent infecter votre PC : manque de vigilance en navigant sur le web
vous menant sur un site malicieux (rappelez-vous, prenez le temps de réfléchir avant de cliquer) ;
installation de logiciels ou d’extensions d'origine incertaine, aux effets secondaires inconnus ; clefs
USB infectées qui trouvent leur chemin jusqu'à votre PC ou votre portable ; ouverture de pièces
jointes à un courriel au contenu douteux. Une fois que vous êtes tombés dans l’un de ces pièges,
l'infection va se nicher dans les profondeurs de votre système d'exploitation Windows, Mac ou
Linux. Elle va essayer de rester silencieuse, et passer à l’action: vol de données, récupération de
mots de passe, capture du trafic réseau, captures d'écran, cryptage de votre disque dur (puis
chantage), attaque d'autres équipements, plate-forme de stockage d’images pornographiques et
de contenus illégaux, etc.
Les logiciels antivirus sont supposés vous fournir une première ligne de défense. En analysant
l'activité de votre ordinateur, ils sont censés prévenir les actions malicieuses et empêcher leur
exécution. De quoi prévenir toute infection. Mais les actions et comportements malicieux ne sont
pas tous détectés avant leur impact. Les logiciels antivirus ont besoin de signatures à jour pour les
reconnaître. Et le processus de mise à jour peut prendre du temps. Votre ordinateur peut donc être
infecté avant que l’antivirus n’ait pu arrêter l'intrus. C'est pourquoi vous devez continuer à rester
vigilants et faire preuve de bon sens. Prenez garde!
Une fois que votre ordinateur est infecté et que l'antivirus ne peut plus contenir l'infection, tout est
perdu! L'infection est alors profondément enfouie et ancrée dans votre système d'exploitation.
C’en est fini pour votre ordinateur et vos mots de passe. Il va alors falloir penser sérieusement à
réinstaller intégralement votre ordinateur. Si nous constatons, via l'un de nos mécanismes de
détection, que votre ordinateur a été infecté, c’est ce que nous vous demanderons de faire et votre
ordinateur sera coupé du réseau en attendant. Il vous sera alors vivement recommandé de changer
tous les mots de passe stockés localement, ainsi que tous les mots de passe tapés récemment sur
l’ordinateur en question. L'infection peut en effet les avoir récupérés. De la même façon, les cartes

17 | P a g e
de crédit dont les numéros ont été entrés sur l’ordinateur infecté devront être surveillées
attentivement. Peut-être l'infection vous a-t-elle aussi volé vos coordonnées bancaires? Une bonne
raison pour être très attentif. Vous le voyez, les grands moyens sont – malheureusement –
nécessaires.
Juste une dernière chose : si vous travaillez au CERN ou pour le CERN, le logiciel antivirus du CERN
vous est fourni gratuitement pour Mac (lien en anglais) et Windows (lien en anglais). Si vous voulez
aller plus loin, nous vous recommandons d'acheter « Malwarebytes » ou « Spybot Search &
Destroy », voire les deux. Enfin, nous avons élaboré un document de référence en matière de
sécurité informatique pour les PC de bureau, qui est également valable pour vos ordinateurs
personnels à la maison.

Le DNS à la rescousse ! (2016)

[Link]
Les incidents liés à des sites web victimes d’une infection « en passant » (drive-by infection) se
multiplient, tout comme les ordinateurs bloqués par des rançongiciels (ransomwares).
Rappelons qu’il est essentiel de mettre à jour et de corriger régulièrement son système
d’exploitation, d'utiliser un antivirus avec une base virale à jour, et d’avoir le réflexe : « Stop – Je
réfléchis – Je ne clique pas ». Mais nous pouvons aller encore plus loin pour protéger nos
ordinateurs : appeler le DNS à la rescousse.
Le DNS, acronyme de Domain Name System (ou système de noms de domaine), traduit les adresses
web des sites que vous visitez (comme « [Link] ») en un format utilisable par la machine
(l'adresse IP, ici [Link]). Depuis des années, nous surveillons les requêtes DNS envoyées par
votre navigateur favori (il s’agit en fait de votre système d'exploitation, mais ça n'a pas
d'importance ici) et nous vous informons automatiquement si votre ordinateur essaie d’accéder à
un site connu pour héberger un contenu malveillant, lequel pourrait infecter votre ordinateur et
compromettre votre mot de passe et vos données, et vous rendre la vie très difficile. En parallèle,
nous avons utilisé, et continuerons d'utiliser, le DNS pour bloquer certaines adresses web dont on
sait qu’elles sont malveillantes et employées pour nuire à l’Organisation. De la même façon, nous
bloquons certains domaines dont le nom ressemble étrangement à « [Link] », comme « [Link] »
ou « [Link] » (aviez-vous remarqué la différence ?) afin de protéger le CERN contre le typo-
squattage.
Mais le DNS peut faire encore mieux. Grâce à l'équipe réseau du département IT, son infrastructure
a été renforcée et le nouveau dispositif est plus résistant aux attaques par déni de service (« DoS »
pour denial-of-service en anglais). Il présente aussi d'autres avantages, comme le pare-feu DNS.
Notre fournisseur d’accès, SWITCH, collecte et fournit une liste de domaines malveillants notoires,
dont la configuration DNS peut être intégrée par le nouveau DNS, ce qui permet de les bloquer
automatiquement. Par conséquent, la prochaine fois que vous tomberez sur une de nos pages
d’alerte au hameçonnage (quand un site tente de voler votre mot de passe) ou aux logiciels
malveillants, vous nous devrez une fière chandelle. Votre ordinateur sera probablement passé tout
près de l'infection1.

1
Attention, nous ne pouvons protéger vos ordinateurs que lorsqu'ils sont connectés au réseau CERN. Chez
vous, le logiciel frauduleux pourrait bien réussir son attaque !
18 | P a g e
Trucs de Noël pour votre sécurité (2016)
[Link]
your-security
Sécuriser votre laptop, ordinateur ou donnés est difficile ? Pas du tout ! Vous ne l’avez peut-être
pas remarqué, mais le département IT fournit un large éventail d’outils qui amélioreront
certainement la sécurité de vos données et ordinateurs fixes ou portables. Permettez-nous d’en
présenter quelques-uns ici, pour votre protection :
1. Antivirus : La solution antivirus choisie par le CERN est gratuite pour votre ordinateur
professionnel fixe ou portable, mais aussi pour vos appareils Windows ou Mac personnels,
par exemples ceux que vous avez chez vous. Installez-le ! Si vous préférez profiter d’une
assistance plus poussée, rejoignez le système de gestion Windows du CERN (Computer
Management Framework en anglais) ou le libre-service Mac. Les ordinateurs Windows
administrés centralement sont installés par défaut avec un antivirus lui-aussi géré
centralement.
2. Chiffrement de disque dur : Le CERN fournit une solution de chiffrement gérée
centralement pour les ordinateurs Windows (Bitlocker) mais aussi Mac (Filevault) et Linux
CentOS (LUKS). Ces solutions ont l’avantage d’être complètement transparentes : vous
n’avez nul besoin de gérer la sauvegarde ou la récupération de vos fichiers importants.
Contactez simplement le Service Desk pour faire chiffrer votre disque dur !
3. Renforcement : L’équipe de sécurité informatique du CERN et l’équipe de support des
ordinateurs de bureau Windows travaillent, en ce moment même, sur le renforcement au
maximum de la sécurité des ordinateurs (tout en les gardant utilisables). Une ébauche est
disponible ici. Mais attention, cela s’adresse aux plus paranoïaques d’entre nous ou à des
conditions de travail particulières.
4. Sécurisez les échanges de données : Au lieu de placer des fichiers confidentiels sur Dropbox
ou des services similaires, utilisez CERNbox, un service de synchronisation de fichiers pour
le CERN, supporté par tout ordinateur portable ou fixe ainsi que les téléphones portables
et tablettes Android et iOS. Bien que les données demeurent bien en sécurité au CERN,
elles sont disponibles et peuvent être partagées dans le monde entier.
En dehors de ces quatre éléments, le département IT du CERN fournit aussi toute une gamme de
services centraux pour vous éviter de réinventer la roue : bases de données à la demande,
hébergement web Drupal, Java ou Sharepoint, solutions de stockage de données et sauvegardes
centraux (AFS, DFS, CASTOR, Tivoli, pour n’en citer que quelques-unes). Vous trouverez une liste
exhaustive ici. Vous pouvez aussi consulter sur une page dédiée une comparaison des services
commerciaux/hors-site et des services similaires proposés en interne par le département IT.

Session ouverte, vie privée exposée (2016)

[Link]
open-life
Notre vie réelle est inextricablement liée au monde numérique. Courrier et documents personnels,
publications privées sur les réseaux sociaux, photos et vidéos de famille, musique et films
préférés... Un petit tour sur votre disque dur peut livrer les mêmes informations qu'une inspection

19 | P a g e
de votre appartement. Il est donc aussi étrange de quitter son bureau en laissant son ordinateur
allumé et sa session ouverte que de quitter sa maison sans fermer la porte à clef.
Il suffirait d’une petite promenade dans n’importe quel bâtiment administratif du CERN durant la
pause de midi pour tout savoir sur la vie privée de nos collègues. Portes de bureaux non fermées à
clef, écrans d'ordinateur déverrouillés et sessions ouvertes, locaux vides... Et voilà ! Avec un peu de
malveillance et de culot, le curieux peut s'asseoir dans votre salon et tout connaître de votre vie. Il
ne s’agit pas de cas isolés ; les exemples sont nombreux ! Portes ouvertes à la maison ! Toute votre
vie privée est dévoilée.
Pour votre bien, protégez votre vie privée, protégez votre ordinateur. Verrouillez votre écran
lorsque vous laissez votre ordinateur portable sans surveillance (dans votre bureau, lors d'une
réunion), même si ce n'est que le temps de récupérer des documents à l'imprimante ou d’aller
chercher un café. Une combinaison de touches et votre écran est verrouillé : « Windows-L » pour
les appareils Windows, « ctrl-alt-L » pour Linux (selon les distributions) ou « control-shift-power »
pour les Macbooks. Pensez également à protéger votre ordinateur portable à l’aide d'un antivol (un
cadenas « Kensington » ) et à fermer à clef la porte de votre bureau quand vous partez : il n’est pas
rare que des ordinateurs laissés dans des bureaux se volatilisent.

Flash, le pire du pire (2016)

[Link]
Se faire flasher par un radar sur l'autoroute est ennuyeux, mais c'est généralement de votre faute :
vous alliez trop vite. Il semble que, de nos jours, utiliser la technologie Flash sur votre ordinateur
est tout aussi problématique : cette année, le logiciel Adobe Flash Player s'est hissé à la première
place du classement des logiciels à la source d'infections de PC et portables (voir cet article - en
anglais) .
Encore récemment, une nouvelle vulnérabilité de la technologie Flash a été découverte (voir cet
article – en anglais). Elle concerne tous les systèmes d'exploitation : Windows, Mac, Linux et
Chrome OS. Une pour tous, tous vulnérables. C'est d'ailleurs la principale raison expliquant
l'ascension de Flash dans le Top 10 des vulnérabilités les plus courantes. Les premières attaques
exploitant cette vulnérabilité ont déjà été repérées (voir cet article - en anglais) et c'est donc notre
responsabilité à tous de mettre à jour nos systèmes au plus vite (voir cet article - en anglais). Comme
d'habitude, les utilisateurs de PC sous Windows gérés par le CERN n'ont pas à s'inquiéter. Leurs PC
seront automatiquement mis à jour.
Mais, plus généralement, pourquoi continuons-nous d’utiliser Flash ? Cette technologie a fait son
temps, et on a tout gagner à utiliser plutôt HTML5, plus souple et plus moderne. C'est pour cela que
le département IT s’efforce d’éliminer toute dépendance à Flash dans ses services centraux et
pense supprimer son installation de tous les PC gérés de façon centralisée. Quant au logiciel Acrobat
Reader, d’Adobe, autre membre du Top 10, il pourrait également être supprimé. Bien entendu, des
logiciels alternatifs seront proposés dans les deux cas. Alors, pourquoi auriez-vous encore besoin
de la technologie Flash dans votre travail ? N'hésitez pas à nous faire part de votre opinion sur le
sujet.

Rançongiciel — quand il est déjà trop tard... (2016)

[Link]
20 | P a g e
Un rançongiciel (« ransomware ») est un logiciel malveillant qui restreint d’une façon ou d’une
autre l’accès à l’ordinateur infecté et demande à l’utilisateur de payer une rançon pour lever ces
restrictions.
Certains rançongiciels chiffrent systématiquement les données présentes sur le disque dur,
lesquelles deviennent alors difficiles ou impossibles à lire sans payer la rançon exigée pour obtenir
la clef de déchiffrement ; d’autres verrouillent simplement le système et affichent des messages
cherchant à leurrer l’utilisateur pour qu’il paye... ([Link]
Il n’est pas rare de voir des systèmes être victimes de ce type de logiciels malveillants. Les
ordinateurs, fixes ou portables, en particulier ceux utilisant Windows (statistiquement), peuvent
facilement être infectés par un rançongiciel si l’utilisateur ne fait pas attention : par exemple s’il
ouvre le fichier joint à un courriel non sollicité (voir nos suggestions pour détecter de tels courriels),
ou s’il clique sur un lien pointant vers un site malicieux (voir notre article sur notre campagne de
sensibilisation).
Que pouvez-vous faire si vous êtes victime d’un rançongiciel ? Tout d’abord, éteignez
immédiatement l’ordinateur infecté. Coupez simplement le courant. Cela empêchera le logiciel
malveillant de s’attaquer à davantage de fichiers. Ensuite, ne payez pas, ne répondez pas et
contactez-nous via [Link]@[Link]. Nous avons peut-être des outils capables de
déverrouiller votre ordinateur. Pour vos données, il est déjà trop tard. Mais si vous avez été
vigilants, vous avez des sauvegardes qui nous permettront de restaurer vos fichiers. Les dossiers
standard sur les ordinateurs Windows gérés centralement sont automatiquement sauvegardés sur
le système de stockage DFS du CERN. Vous pouvez aussi activer les sauvegardes DFS sur des
systèmes Mac ou Linux (voir ici) ou, alternativement, utiliser AFS ou CERNBox. Si tout est perdu,
nous pouvons toujours vous offrir une boisson chaude pour atténuer la douleur.
Comment pouvez-vous vous protéger ? Avant toute chose, effectuez en permanence des
sauvegardes de vos fichiers (voir plus haut). Gardez vos systèmes d’exploitation à jour en activant
les mises à jour automatiques sous Windows, Mac ou Linux (« yum auto-update »). Si vous ne
voulez pas le faire vous-même, déléguez cette responsabilité au département IT du CERN. Pour les
ordinateurs Mac ou Windows, installez un antivirus adéquat. Rappelez-vous que le CERN fourni une
solution gratuite pouvant être utilisée au bureau ou chez vous. Gardez en tête les règles de bases :
arrêtez-vous - réfléchissez - ne cliquez pas si un courriel, fichier joint ou lien vous semble suspect,
bizarre ou ne vous est pas réellement adressé (jetez de nouveau un coup d’œil à nos
recommandations pour détecter les mauvais courriels). Enfin, évitez d’installer des logiciels au
hasard venant de sites web douteux. « Gratuit » ne veux pas forcément dire sans supplément...
certains logiciels ou applications « gratuits » installent des rançongiciels cachés !

Sécurité Mac — rien pour le passé (2016)

[Link]
Seuls des logiciels à jour peuvent être exempts de vulnérabilités connues et donc vous garantir un
minimum de sécurité.
Négliger les mises à jour régulières, c'est mettre votre machine en danger – et par là même votre
compte, votre mot de passe, vos données, vos photos, vos vidéos, et votre argent. C'est pourquoi
les mises à jour régulières et automatiques sont d'une importance capitale. Mais Microsoft, Google,
Apple et autre ne nous aident pas toujours.

21 | P a g e
Les différents vendeurs de logiciels organisent leurs mises à jour de façons différentes. Un désastre
pour Android, non pas à cause de Google, mais du fait de la lenteur avec laquelle de nombreux
vendeurs de téléphones adaptent leur code (voir « Le talon d’Achille d’Android ») ; Microsoft
fournit ses mises à jour pour Windows 7, Windows 8 et Windows 10 avec ses « mises à jour du
mardi ». Tout ce que vous avez à faire est de garder activée la fonctionnalité de mise à jour
automatique (c'est le cas par défaut !). Bien que des mises à jour automatiques soient aussi fournies
pour les Macs de chez Apple, la politique d'Apple en la matière est bien plus restrictive (et non
documentée) : Apple ne fournit des mises à jour que pour la version la plus récente de son système
d'exploitation (dite « El Capitan »). Les versions plus anciennes de MacOS ne reçoivent aucune mise
à jour de sécurité, ou seulement pour une partie des vulnérabilités connues sur ces versions !
Donc, ne vous croyez pas en sécurité, même si Apple fournit encore des mises à jour pour OS X 10.9
ou 10.10. Elles ne résolvent pas la plupart des problèmes de sécurité connus pour ces versions. Pire
encore, le fait qu'Apple fournisse des mises à jour (mais pas de mise à jour de sécurité) pour des
versions encore plus anciennes de ses systèmes ne veut pas dire que ces versions sont encore prises
en charge. C'est pourquoi toute version de OS X autre que 10.11.3 est vulnérable à toutes sortes
d'attaques (par exemple lorsque vous allez sur une page web malicieuse, que vous installez un
logiciel compromis ou que vous lisez un mail malicieux, etc.). S'il s'avère que votre Mac ne
fonctionne pas sous « El Capitan » (vous pouvez le vérifier dans le menu Apple, sous « About This
Mac »), nous vous recommandons vivement de le mettre à jour dès que possible en allant sur cette
page : [Link] (en
anglais). Cependant, notez qu'il peut y avoir des incompatibilités entre « El Capitan » et certains
progiciels (généralement anciens). Vous pouvez trouver une liste de ces problèmes ici. Cela ne veut
pas dire que vous ne devez pas faire de mise à jour.

Clés USB, les tueurs silencieux (2015)

[Link]
Oh ! Vous venez de trouver une clé USB au restaurant n°1 du CERN ? Comme vous êtes honnête,
vous souhaitez la rendre à son propriétaire... Mais qui est-il ? Peut-être que le contenu pourra vous
le dire ? En la connectant à votre ordinateur, vous pourriez ainsi trouver le nom du propriétaire.
Mais attendez, que se passera-t-il si le contenu est malveillant…?
En effet, les clés USB sont un bon outil pour infecter PC et ordinateurs portables. Il y a quelques
années, plusieurs dizaines (!) d'ordinateurs portables ont été infectés lors d'une conférence, après
qu’un participant eut fait circuler une clé USB – malheureusement infectée – contenant des
informations sur les départs des vols. De même, nous avons assisté à une cascade d'infections dans
les départements FP et EN, où certaines clés USB ont circulé, infectant les ordinateurs les uns après
les autres... Ce qui s’est soldé par la réinstallation massive de nombreux PC.
Certaines clés USB sont encore pires. Elles prétendent être un « simple clavier » (cette clé USB est
nommée « RubberDucky » ; voir ici pour plus d’informations) mais, une fois insérées, exécutent une
séquence de frappes préprogrammée destinée à exfiltrer des informations de votre ordinateur ou
de le compromettre. D'autres ont un logiciel malveillant compilé directement dans leur puce et non
pas dans leur zone de stockage. Par exemple, ces e-cigarettes, qui sont chargées via un câble USB.
Pire encore, la prochaine génération de fausses clés USB pourrait être capable de détruire une
partie de votre ordinateur ! Aucune solution technique ne permet de protéger votre machine de

22 | P a g e
cela ! Alors, que pouvez-vous faire ? Tout d'abord, n'insérez pas de clés USB dans votre appareil si
vous n’en connaissez pas la provenance.
Si vous avez trouvé une clé USB, veuillez la remettre à l’équipe de la Sécurité informatique du CERN
([Link]@[Link]). Nous avons les moyens de faire face à des clés infectées. Par ailleurs,
utilisez un logiciel antivirus décent, en mesure de détecter les menaces connues stockées dans la
mémoire d'une clé USB. Laissez parfois ce logiciel faire une analyse complète. Le logiciel antivirus
du CERN est disponible ici pour Windows et là pour Mac, et peut également être utilisé pour
protéger vos ordinateurs à la maison.
Enfin, afin d'aider votre logiciel antivirus, appliquez à votre ordinateur portable, PC, tablette ou
smartphone toutes les mises à jour et tous les correctifs logiciels les plus récents. Activez les « Mises
à jour Windows » ou les « Mises à jour logicielles » sur Mac, et réglez-les sur « télécharger et
installer automatiquement ». Pour Linux, utilisez par exemple « yum auto-update ». Les PC et
ordinateurs portables CERN sont déjà centralement mis à jour à l'aide de CMF. Si vous gérez votre
propre PC, vérifiez les paramètres « Autorun » / « Autostart » pour les clés USB. Dans le cas où votre
PC ou ordinateur portable est géré par CERN IT, tout va bien.
Et soyez vigilants. Signalez-nous les clés USB suspectes en écrivant à [Link]@[Link].
Si vous êtes vraiment paranoïaque et souhaitez simplement utiliser votre port USB pour charger
par exemple votre téléphone mobile, vous pouvez acheter une clé USB « Umbrella », qui bloque la
connexion de données et laisse seulement passer le courant.

Au revoir la sécurité sur Windows XP… Bienvenue aux

virus ! (2014)
[Link]
Repose en paix, Windows XP. Depuis ta naissance, le 25 octobre 2001, tu as bravement lutté pour
ta survie dans le rude monde qu’est internet. Tu as été la victime de « Melissa », « Sasser » et «
Conficker », et tu as apporté au CERN une dernière infection à grande échelle avec « Blaster », en
2004.
Après avoir été mis à jour vers « SP2 », tu as découvert les cycles de vie de développement logiciel,
les « Mardis patch » et un pare-feu local rejetant tout par défaut. Au final, tu as vécu plus longtemps
que ton drôle de frère « Vista » et survécu comme le vilain petit canard au joli M. Mac. Mais tous
ces hauts et ces bas sont maintenant terminés. Le 8 avril 2014, tu as été soumis, pour la dernière
fois, à des mises à jour de sécurité. Mais ces traitements qui te maintenaient en vie vont être
arrêtés. Game over.
À présent, tu es un zombi : censé être mort mais gardé actif par ton maître/propriétaire/utilisateur.
Ils ne se rendent peut-être même pas compte que tu poses désormais un problème de sécurité. Les
virus et les vers sont à l’affût, chassant tout Windows XP encore connecté à internet.
Non protégé et nu, tu es désormais une cible d'infection facile 1. Naviguer sur internet et lire des
courriels avec toi revient à jouer à la roulette russe. La meilleure solution serait que ton maître
t'offre un lifting et te mette à jour vers Windows 7 (ou Windows 8.1). Autrement, ton maître peut

1
De nombreuses sociétés, dont Microsoft, vont continuer à fournir des signatures anti-virus, mais, même
équipé d’une armure, tu resteras un zombi, avec de nombreux points faibles.
23 | P a g e
te déconnecter d'internet (sur [Link] sélectionnez « Upgrade » et décochez
« Internet Connectivity », tout en bas de la page), ou mieux encore, de tout réseau (coupez
simplement le câble). Te garder sur un réseau séparé et isolé pourrait aussi faire l'affaire. Là, tu
pourrais finalement attendre ta retraite... Il en va de même pour tes amis, Windows 95/98/NT/2000
et Windows server 2003, aussi bien que pour tes ennemis jurés, CERN Scientific Linux 3 et 4 et
MacOS avant la version 10.6 (« Snow Leopard »). Ils ne devraient plus être ici, eux non plus. Allez-
vous-en!

Agilité pour les ordinateurs (2014)

[Link]
Je viens de faire l’inventaire de tous les gadgets numériques qui sont connectés à mon réseau sans
fil à la maison : deux ordinateurs portables Windows, deux tablettes de générations différentes, les
deux iPods de mes enfants, un iPhone, un Apple TV, un vieil iMac, la Wii U, un téléviseur Sony, une
chaîne stéréo Sony, le routeur Wi-Fi (bien sûr!) et un périphérique de stockage en réseau ainsi que
deux téléphones IP. Je suis sûr que d'autres personnes en ont beaucoup plus.
Je pourrais même avoir à l'avenir une voiture qui parle « internet », une machine à café connectée
à internet, un compteur intelligent (voir «Pirater les systèmes de contrôle, éteindre les lumières !
»), et je pourrais même un jour connecter mes panneaux solaires à ce réseau Wi-Fi. Voilà donc un
vaste espace des phases pour les vulnérabilités qui attendent d'être exploitées par des attaquants
!
Par conséquent, verrouiller mon routeur Wi-Fi et bloquer tous les accès entrants est devenu
obligatoire. Mais il y a toujours une menace en interne : mes enfants surfant le web ... C’est
pourquoi appliquer les correctifs (patchs) et garder tous les systèmes à jour est aussi devenu
important. Mais étant donné le nombre d'appareils, il faudrait que je passe tous les « Patch Tuesday
» - un jour dans le mois où Microsoft publie ses dernières mises à jour - à courir d’un système à
l’autre pour mettre à jour tous les systèmes d'exploitation, firmwares et applications ? Je trouve
déjà très fastidieux de garder mon iPhone et ses applications à jour. J'ai l'impression d’être obligé,
un jour sur deux, d'appliquer de nouvelles mises à jour à l’une ou l’autre de certaines applications
... Comment faire, avec cette foule de systèmes présents dans ma maison ? Eh bien, ce n'est pas
possible. Et ce n’est pas possible non plus dans un grand centre de calcul comme le nôtre. Ce mois-
ci, Microsoft a publié deux correctifs critiques : « MS14-066 » et « MS14-068 ». Vous pouvez
imaginer l’énorme surcharge de travail pour de nombreux administrateurs système, et cela deux
fois de suite.
Nous avons donc besoin d'un changement de paradigme. Entrer dans « l'agilité ». Dans un avenir
proche, je m'attends à ce que les mises à jour de sécurité se glissent clandestinement dans mes
périphériques (si j’ai activé l’option) pour réaliser les mises à jour et assurer leur protection.
L'application de correctifs doit devenir « agile », c'est-à-dire que les mises à jour sont
automatiquement appliquées une fois qu'elles sont disponibles. Et cela doit s'appliquer à tout : PC,
ordinateurs portables, téléphones intelligents, systèmes embarqués, dispositifs de contrôle, ... -
indépendamment de la criticité. Plus besoin d'attendre le « Patch Tuesday » et plus besoin de courir

24 | P a g e
après tous mes appareils pour appuyer sur des boutons1. Et plus de redémarrages m’empêchant
complètement de travailler. Mais nous n'en sommes pas encore là.
Pourtant, nous devrions au moins essayer de devenir plus agile. Un bon départ serait d'activer «
Windows Update », « Software Update » pour Mac, « yum auto-update » pour Linux, etc., dans la
mesure du possible. Non seulement sur les PC de bureau, les ordinateurs portables et les tablettes,
mais aussi sur les dispositifs de contrôle, les systèmes SCADA, les nœuds de calcul et les serveurs
des centres informatiques. Plus un système est critique, plus nous devrions nous préoccuper des
correctifs non appliqués et plus nous devrions investir sur l'installation rapide et agile des correctifs.
D'autres protections de sécurité peuvent aussi être mises en place, mais seulement si les
circonstances le justifient. Nous devrions parler aux vendeurs de ces systèmes et déployer des outils
afin de faciliter la gestion des mises à jour. L'utilisation de « Puppet », comme nous le faisons dans
« l'Infrastructure Agile » du CERN pour la gestion des centres informatiques de Meyrin et de Wigner,
est un bon début. Les cycles de mise à niveau sont devenus plus courts. Cependant, il y a encore de
la place pour des améliorations, comme les incidents de sécurité autour de « Heartbleed », «
Shellshock » et « Poddle » l'ont montré : alors que la plupart des serveurs utilisés dans le centre
informatique et pour les systèmes de contrôle ont été corrigés rapidement, de nombreux systèmes
isolés sont restés vulnérables pendant un mois (!). Une gestion plus efficace (et plus rapide !) de la
configuration devient importante afin d'éviter de laisser des lacunes dans la sécurisation de ces
systèmes.
En conclusion : vos systèmes sont-ils agiles ? En combien de temps pouvez-vous appliquer un
correctif de sécurité si on vous le demande immédiatement ? Si la réponse est « dans la journée »
- Félicitations. Si la réponse est « l'été prochain », vous avez du souci à vous faire.

Ne mettez pas votre famille en danger (2013)

[Link]
Est-il facile de se faire piéger par la cyber-criminalité? De voler un mot de passe de banque en ligne?
De perdre des photos? C'est plus facile que vous ne le pensez. Un simple clic pour ouvrir une pièce
jointe malveillante ou accéder à une page web malveillante suffit pour mettre votre famille en
danger.
Parfois, les adversaires vous appellent même pour arriver à leurs fins. Une fois leur logiciel
malveillant installé sur votre ordinateur à la maison, il enregistre toutes vos activités, surveille vos
activités bancaires en ligne, vole vos mots de passe, active le micro et la caméra de votre ordinateur
et envoie toutes ces données à l'adversaire. Il est alors libre de prélever de l'argent de votre compte
bancaire, de commander des livres avec votre mot de passe Amazon, de défigurer vos profils
Facebook, d'envoyer des messages étranges à vos pairs ou de poster les images capturées de votre
fille jouant devant l'ordinateur sur des sites web douteux. Non seulement vous pouvez perdre
beaucoup d'argent, mais vous pouvez aussi être extrêmement embarrassé par des envois de
messages étranges en votre nom ou par la diffusion publique de vos images privées.
Ainsi, ne mettez pas votre famille en danger! Pensez à l'état de sécurité de vos ordinateurs à la
maison! Nos mises en garde pour la protection des réseaux et des ordinateurs du CERN sont
également valables pour l'utilisation à la maison : restreindre les accès, mettre à jour et exécuter

1
À noter que les mises à jour normales, pour de nouvelles fonctionnalités, par exemple, continueraient à
demander le consentement de l'utilisateur afin d'éviter l’installation d'une fonctionnalité indésirable.
25 | P a g e
un logiciel antivirus, ne pas partager les mots de passe et s'arrêter - réfléchir - cliquer avant
d'accéder aux sites web douteux. Voici quelques conseils simples pour rendre votre vie de famille
plus sûre.
Si vous avez votre propre point d'accès sans fil (un boîtier connecté à votre ligne téléphoniq ue),
assurez-vous que la communication est chiffrée en utilisant au moins le protocole WPA2 et un mot
de passe fort. Cela permettra de protéger votre famille contre un individu surveillant votre
connexion réseau. Les protocoles WPA ou WEP peuvent facilement être cassés. Vérifiez aussi
régulièrement que le firmware (logiciel interne) de votre matériel est toujours à jour.
Habituellement, vous pouvez faire les deux à partir du menu de configuration de votre point d'accès
sans fil.
Pour les mises à jour :
 Si vous avez un ordinateur personnel avec votre propre système d'exploitation Windows,
vérifiez les « Mises à jour Windows » dans la liste des programmes du bouton Démarrer.
Utilisez la méthode recommandée de mises à jour « automatiques » !
 Sur les distributions Linux, assurez-vous que vous exécutez régulièrement « yum update »
(ou la commande équivalente pour votre distribution). Mieux encore, activez les mises à
jour automatiques. N'oubliez pas de redémarrer votre ordinateur quand un nouveau noyau
est installé, afin de bien appliquer les correctifs!
 Pour les ordinateurs Apple, utilisez le mécanisme de mises à jour logicielles qui est
accessible dans le menu Pomme.
Le logiciel anti-virus du CERN pour Windows et Mac peut également être utilisé à la maison,
gratuitement! Assurez-vous également de mettre à jour régulièrement vos logiciels Acrobat Reader,
Adobe Flash, Java et tous les autres. Si vous avez un doute (et si vous utilisez un système Windows),
vous pouvez installer et exécuter cette application de Secunia qui vérifie que les logiciels de votre
ordinateur sont à jour.
En ce qui concerne vos mots de passe, choisissez-les avec soin et n'utilisez pas le même mot de
passe sur des sites différents, y compris le CERN. Jetez un œil sur les règles du CERN pour les mots
de passe qui sont également valables pour votre utilisation personnelle. Prenez particulièrement
soin de votre mot de passe de banque en ligne ! Pour une meilleure protection, les banques
emploient généralement un jeton matériel supplémentaire pour les comptes en ligne (c'est
pourquoi vous avez cette petite calculatrice de poche). Éventuellement, vous pouvez utiliser des
techniques similaires pour vos comptes Google+ (avec Google Authenticator) ou Facebook.
Avons-nous mentionné cela avant? Arrêtez-vous - Réfléchissez - Cliquez lorsque vous naviguez sur
le web. Visitez seulement les sites que vous jugez dignes de confiance!
Enfin, partagez cette information avec votre conjoint et vos enfants. Dites-leur tout! Faites-leur
prendre conscience des risques lors de l'utilisation d'un ordinateur connecté à internet et
comprendre que la « sécurité informatique » est comme la sécurité routière - regarder à gauche-
droite-gauche en traversant une route. Si vous désirez en savoir plus, voici quelques cours en ligne
faciles pour approfondir ce sujet.

26 | P a g e
Avez-vous reçu un appel de « Microsoft »? La façon
sociale d'infecter votre PC (2012)
[Link]
Avez-vous récemment été appelé par « Microsoft Security »? À la maison ?! Alors méfiez-vous: il
s'agit de faux appels qui essaient de vous faire installer des logiciels malveillants sur votre PC
(personnel)!
Cette escroquerie est actuellement répandue à travers la région de Genève ciblant de nombreuses
organisations et entreprises internationales. Si vous recevez un tel appel, il suffit de l'ignorer et de
raccrocher. Si vous avez été piégé par cette escroquerie et avez suivi leurs demandes, veuillez s'il
vous plaît nous contacter via [Link]@[Link].
Ce type d'escroquerie est appelé « Social Engineering ». Un certain agent du centre d'appel «
Microsoft » vous informe que votre PC est infecté et essaiera de vous convaincre de télécharger un
logiciel à partir du Web. Si vous le faites - BANG - votre PC est compromis et vos données locales
sont en danger. Dans d'autres escroqueries de « Social Engineering », les attaquants essaient de
vous convaincre de leur donner votre mot de passe ou des documents sensibles. Ainsi, rappelons
que le réel Microsoft ne vous appellera jamais - et certainement pas à votre domicile. Pas plus
qu'Apple, l'équipe de sécurité informatique du CERN ou le Service Desk du CERN (sauf si vous leurs
avez demandé). Si quelqu'un le fait, contentez-vous de l'ignorer, de raccrocher et de nous informer
via [Link]@[Link]. En particulier, si quelqu'un vous demande votre mot de passe.
Il vaut mieux être conscient et proactif! Rappelez-vous que vos mots de passe sont les vôtres - et
seulement les vôtres. Aucune personne légitime ne vous les demandera: ni le Service Desk du CERN,
ni l'équipe de sécurité informatique, ni votre superviseur. De plus, PayPal, Facebook, Google, Apple,
Microsoft, UBS, etc. ne vous demanderont jamais vos mots de passe. Mettre à jour régulièrement
les PCs Windows ou Linux, ainsi que les Macs d'Apple est obligatoire, et la meilleure défense que
votre PC / Mac puisse avoir - à la maison comme au CERN. Pour Windows et Mac, il est même
fortement recommandé d'exécuter un logiciel antivirus. L'antivirus du CERN est également
disponible gratuitement pour votre PC ou Mac à la maison. Finalement, faire attention (ARRETEZ-
VOUS - PENSEZ - CLIQUEZ!) lors de la navigation sur le web ou de l'ouverture d'e-mails est une
bonne habitude pour la protection de vos biens.
Suivez ces conseils simples pour un niveau de base de sensibilisation à la sécurité informatique...
au CERN comme à la maison !

Infecter Windows, Linux et Mac en une seule fois

(2012)
[Link]
Vous aimez toujours plaisanter sur Windows, pensant que c'est un système d'exploitation non
sécurisé? Attendez une seconde! Récemment, une vulnérabilité a été publiée pour Java 7.
Elle affecte les PC Windows/Linux et Macs, Internet Explorer, Safari et Firefox. En fait, elle affecte
tous les ordinateurs ayant l'extension Java 7 activée dans leur navigateur (Java 6 et les versions
antérieures ne sont pas affectées). Une fois que vous visitez un site malveillant (et il y en a déjà

27 | P a g e
beaucoup dans la nature), votre ordinateur est infecté ... « Game over » pour vous. Et ce n'est pas
la première fois.
Depuis déjà un certain temps, les attaquants ne ciblent plus le système d'exploitation lui-même,
mais visent plutôt des vulnérabilités inhérentes à Acrobat Reader, Adobe Flash ou Java, par
exemple. Ce sont tous des plug-ins standards ajoutés dans votre navigateur favori qui rendent votre
navigation sur le Web confortable (ou impossible lorsque vous les désinstallez). Cependant, un seul
site web compromis est suffisant pour sonder les vulnérabilités des plug-ins de votre navigateur, et
éventuellement infecter votre PC. Vous n'êtes même pas en sécurité si vous utilisez Mozilla Firefox
ou Google Chrome au lieu d'Internet Explorer: si vous négligez les mises à jour de vos logiciels
Acrobat Reader, Adobe Flash ou Java, votre PC sera infecté. Point final. Pire encore, ces plug-ins
sont également partie intégrante de votre navigateur pour les PC sous Linux ou les Macs - et donc
les vulnérabilités et les risques d'infection pourraient aussi en devenir parties intégrantes!
Rappelons que, au CERN, tous les PC infectés doivent être complètement réinstallés! Ainsi, faites-
vous une faveur. Prenez soin de tous les logiciels installés et appliquez les correctifs en temps
opportun:
 Si vous utilisez un ordinateur Windows géré centralement ou localement, permettez à ce
petit icône orange clignotant « CMF » dans la barre des tâches d'appliquer tous les
correctifs en attente dans la soirée. Et laissez-le faire un redémarrage à la fin !
 Si vous avez un ordinateur personnel avec votre propre système d'exploitation Windows,
vérifiez « Windows Update » dans la liste des programmes du bouton Démarrer. Basculez
vers la méthode « automatique » recommandée pour les mises à jour!
 Sur les distributions Linux, assurez-vous que vous exécutez régulièrement "yum update".
Ou mieux encore, activez les mises à jour automatiques. N'oubliez pas de redémarrer votre
ordinateur quand un nouveau noyau est installé, afin de bien appliquer les correctifs!
 Pour les Apple Macs, utilisez le mécanisme de mises à jour logicielles qui est accessible dans
le menu Apple.
Aussi, assurez-vous que vous mettez à jour régulièrement vos logiciels Acrobat Reader, Adobe
Flash, Java et tous les autres. Habituellement, ils vous avertissent lorsque vous devez le faire. Si
votre logiciel est supporté de manière centrale par le département IT du CERN, ils feront attention.
Toutefois, s'il s'agit d'un programme que vous avez téléchargé et installé à partir d'Internet, c'est à
vous de vous assurer qu'il est bien à jour et patché... En cas de doute (si vous utilisez un système
Windows), vous pouvez installer et exécuter ce programme de Secunia qui vérifie votre ordinateur
à la recherche de logiciels obsolètes.

Pris ! Les Macs ont perdu leur innocence (2012)

[Link]
Vous croyez toujours que votre Mac est sécurisé, car les PC Microsoft tombent sous les virus et les
vers, mais pas les Macs? Réveillez-vous! Cette année a connu la première compromission majeure
de Macs à travers le monde1. Qu'en est-il du vôtre?

1
Curieusement, le toute premier virus (appelé « Elk Cloner ») a attaqué les Macs déjà en 1981, cinq ans
avant le premier virus pour IBM/DOS (voir ici).
28 | P a g e
Le cheval de Troie « Flashback » affecte la variante Apple de Java et compromet les Macs via des
infections soi-disant « drive-by », c'est-à-dire lorsque vous visitez un site web bien préparé (infecté
!) - et ce n'est pas nécessairement un site avec un contenu douteux, mais un des plus populaires et
bien digne de confiance. Les entreprises de sécurité à travers le monde suivaient ce cheval de Troie
depuis un certain temps et ont estimé que plus d'un demi-million de Macs ont été compromis.
Connectés à quelques serveurs centraux de « commande et contrôle », les Macs compromis ont
ensuite alimenté l'activité malveillante des « adversaires » ! Heureusement, les entreprises de
sécurité étaient désormais en mesure de prendre le contrôle de ces serveurs de « commande et
contrôle » et d'arrêter leur activité malveillante.
Ainsi, utilisateurs de Mac, sachez que, d'une part mettre à jour en temps opportun, et d'autre part
utiliser un logiciel anti-virus sont également bons pour votre Mac (et vos nerfs). Gardez votre
système d'exploitation à jour en utilisant le mécanisme de « Mise à jour de logiciels… » qui est
accessible dans le menu « Apple ». Si vous avez une ancienne version de Mac OS, installez MacOS
10.6 ou 10.7 en suivant les instructions fournies par le CERN Mac Support. Vous pouvez savoir quelle
version du système d'exploitation est installé sur votre Mac en cliquant sur le « À propos de ce Mac
» dans le menu « Apple ».
VEUILLEZ NOTER que l'exécution de « Mise à jour de logiciels… » ne met pas à jour vers de nouvelles
versions majeures du système d'exploitation ! Afin de changer pour une nouvelle version majeure
(par exemple 10.6 ou 10.7), vous devez explicitement installer cette version.
Par ailleurs, obtenez le logiciel anti-virus gratuit du CERN. Enfin, utilisez les droits « administrateur
» uniquement lorsque c'est nécessaire, sinon, conservez les droits « utilisateur » restreints. Mais
notez aussi qu'Apple peut encore s’améliorer: il leur a fallu des mois pour publier le correctif
approprié - ce qui est long comparé au cycle mensuel de mise à jour de Microsoft.

Vous avez trouvé une clé USB ? Allez-y, infectez votre

PC ! (2012)
[Link]
Pas si vite! Attendez. Ne faites rien s'il vous plaît! Les clés USB ne sont pas si innocentes. Elles
peuvent rapidement se muer en bêtes méchantes malveillantes! Récemment, au moins deux des
expériences de physique en ont souffert, leurs PC de contrôle et d'acquisition de données ayant été
infectés par des clés USB détenant un code malveillant. Un peu plus tôt, en 2008, une série
d'ordinateurs portables avait été infectée lors d'une conférence d'informatique, où une clé USB
infectée circulait. Pas de chance pour ceux qui avaient un système d'exploitation Windows et qui
ont inséré cette clé...
Donc, vous avez trouvé une clé USB à la cafétéria? Faites attention. S'il s'agissait d'une sucette, vous
ne la ramasseriez pas pour la lécher ensuite, n'est-ce pas ? Alors méfiez-vous des clés USB dont
vous ne connaissez pas l'origine ou l'utilisation précédente. Elles pourraient infecter votre PC une
fois branchées. Pour ne pas prendre de risques, n'acceptez et ne partagez que les clés USB
provenant d'une personne de confiance. Utilisez un logiciel anti-virus à jour sur votre PC, assurez-
vous que le système d'exploitation est aussi mis à jour régulièrement, et désactiver la fonction «
Lecture automatique » (qui doit déjà être désactivée par défaut sur les systèmes récents).
Si vous êtes associés à la maintenance ou au développement des systèmes de contrôle des
accélérateurs ou des expériences, notez que l'utilisation de clés USB sur de tels systèmes est
29 | P a g e
strictement limitée. Toute violation (entraînant une infection ultérieure d'un PC de contrôle) est
considérée comme une faute professionnelle.

Le premier virus PC fête ses 25 ans (2011)

[Link]
Le redoutable virus informatique infectant les PC fête ses vingt-cinq ans. En effet, le premier virus
informatique pour PC est apparu en janvier 1986. Baptisé « ©Brain », il avait été conçu pour infecter
les PC fonctionnant sous système DOS. Malgré son caractère plutôt inoffensif et les intentions
prétendument honnêtes de ses créateurs, son apparition annonçait une ère nouvelle. Les virus et
les vers d’aujourd’hui sont nuisibles et conçus dans un but lucratif. Ils attaquent tout ce qui est
connecté à un réseau: les PC sous Windows, mais aussi sous Linux et les Mac; les iPhones et autres
téléphones mobiles; le système d’exploitation peut directement être touché, mais également les
applications comme Adobe Reader (PDF), Firefox, etc.
Alors, faites-en sorte que vos ordinateurs soient protégés des virus et des logiciels malveillants.
Tout ordinateur connecté sans protection à Internet est une proie potentielle pour les virus, qui
peuvent l’infecter dans la minute qui suit! Veillez à maintenir la protection de votre système.
 Activez les installations automatiques et régulières des mises à jour et des correctifs. Si
possible, utilisez les systèmes d’exploitation gérés par le département IT du CERN;
 Utilisez des logiciels antivirus. L’antivirus du CERN est gratuit, même pour une utilisation
privée;
 N’installez jamais des logiciels ou des plug-ins douteux. Les logiciels à l’origine suspecte
sont susceptibles d’infecter ou d’endommager votre ordinateur;
 N’ouvrez jamais des courriels ou des pièces jointes non sollicités ou suspects. Effacez-les
directement s’ils ne vous concernent pas ou s’ils vous paraissent louches. En cas de doute,
contactez le [Link]@[Link];
 Réfléchissez avant de cliquer. Ne cliquez pas sur des liens douteux, mais seulement sur ceux
dont l’origine vous paraît fiable.
P.S.: La toute première alerte au virus informatique au CERN dont nous ayons connaissance date
d’octobre 1989 « Computer Virus Warning to all users of IBM Compatible PCs ». Ce conseil reste
toujours d’actualité: « Ne paniquez pas… Croisez les doigts » :-)
Chose intéressante, le premier virus infectant les Mac (nommé "Elk Cloner") est né cinq ans plus
tôt, en 1981 ! Et le tout premier virus de l'histoire de l'informatique, "Creeper", est apparu encore
plus tôt, dans les années 70.

30 | P a g e
Sécurité des smartphones et du Cloud
Voyages : quelques recommandations (2017)
[Link]
recommendations
La saison des conférences de l’automne approche à grands pas. Avez-vous déjà pensé au meilleur
moyen de protéger votre ordinateur portable et votre smartphone, et donc vos données et vos
documents, ou vos photos et vidéos (privées ?), lorsque vous êtes en déplacement ? Voici quelques
recommandations...
La meilleure solution est bien entendu de laisser votre ordinateur chez vous. Déconnectez-vous de
Facebook, de WhatsApp, de vos courriels, etc. pendant quelques jours, détendez-vous et profitez
de votre conférence. Souvenez-vous qu’il n’est pas question d’utiliser une borne ou un terminal
internet dans le hall de réception de l’hôtel, car les ordinateurs peuvent être infectés et capables
de pirater votre mot de passe. Si vous ne pouvez pas vous séparer de votre ordinateur portable (et
les raisons peuvent être nombreuses), la solution est d’emporter avec vous un ordinateur qui ne
contienne pas de données importantes et que vous pourrez entièrement réinstaller à votre retour.
Toutes vos données professionnelles peuvent être conservées au CERN. Il est possible d'y accéder
par le système de fichiers distribués (DFS) du CERN ou par le service CERNBox. Cette option est
particulièrement utile si vous voyagez souvent et que le risque de vol est élevé. Si ce n’est pas
possible, une troisième possibilité s'offre à vous : cryptez les données qui se trouvent sur votre
ordinateur afin qu’elles soient protégées de manière adéquate. Le CERN propose des logiciels de
chiffrement complet de disque pour les ordinateurs portables Windows (« Bitlocker ») ainsi que
pour les Macbooks (« Filevault ») et les ordinateurs fonctionnant sous Linux CentOS (« LUKS » ). Il
est aussi utile de réaliser une sauvegarde juste avant vos déplacements. Au cas où...
Concernant votre smartphone, la meilleure solution est une fois encore de le laisser chez vous et
de vous procurer un simple téléphone portable traditionnel. De cette manière, vous serez
atteignable en cas d'urgence, et vous ne perdrez aucune donnée. Là encore, si ce n’est pas possible,
éteignez votre téléphone portable lorsque vous ne l’utilisez pas et assurez-vous qu'un mot de passe
complexe (de plus de quatre chiffres !) soit demandé lorsque vous l'allumez. Ne connectez jamais
votre téléphone à une station d’accueil qui ne vous appartient pas, car vos données pourraient être
récupérées via cet appareil. Il est préférable d’utiliser votre propre chargeur et adaptateur USB.
Vous pouvez aussi acheter un dispositif « Umbrella USB », grâce auquel vous pourrez recharger
votre téléphone depuis n’importe quel port USB, mais en bloquant physiquement la transmission
de données.
Enfin, si vous partez en voyage officiel et emportez avec vous un appareil appartenant au CERN
(ordinateur portable, iPad, smartphone), n’oubliez pas d’y faire figurer la plaque « PROPRIÉTÉ
CERN », qui atteste que votre appareil appartient au CERN et bénéficie ainsi de l’inviolabilité
(valable seulement pour les appareils CERN disponibles au Guichet Urgences des Magasins CERN).
L’inviolabilité s’applique uniquement dans les États membres et les États membres associés du
CERN. Cela ne signifie toutefois pas que les agents chargés du contrôle aux frontières de ces États
connaissent le statut international du CERN. Par précaution, veillez à éteindre complètement votre
appareil CERN avant de passer la douane. Si on vous demande de l’allumer, il est recommandé
d’expliquer posément que votre appareil bénéficie de l’inviolabilité conférée aux biens du CERN et
31 | P a g e
que vous vous opposez à la fouille. Si vous êtes dans l’obligation de fournir le mot de passe et le
code PIN, informez-nous de cet accès non autorisé au plus vite à l'adresse
[Link]@[Link]. Nous aimerions également être informés au cas où un agent des
douanes ou des forces de l’ordre saisirait votre appareil, même pendant quelques minutes, ou y
connecterait quoi que ce soit. Dans ce cas, nous prendrons les mesures nécessaires afin d’éviter
qu’un tiers puisse s’y connecter à distance, et remplacerons votre appareil si besoin.

Pokémon GO… Attention aux chausse-trapes ! (2016)

[Link]
Jouez-vous déjà, comme des millions de personnes, au jeu actuellement numéro 1 sur iOS et
Android, Pokémon GO ? Vous promenez-vous dans le monde réel à la recherche de Pokémons
sauvages virtuels ? Amusez-vous et attrapez-les tous... Mais faites attention à vous, physiquement
et informatiquement !
Si vous ne connaissez pas encore Pokémon GO, il s’agit d’un jeu Android et iOS qui incite votre
avatar virtuel à chasser de mignons petits monstres appelés Pokémons (si vous avez mon âge et
que vous avez des enfants, oui, il s’agit bien des mêmes Pokémons que ceux des jeux vidéos, dessins
animés et jeux de cartes). Le but ultime du jeu est de trouver et collectionner les 150 espèces
différentes de Pokémons. La position de votre smartphone est affichée sur une carte similaire à
Google Map, qui vous donne des indices sur la position de ces créatures. Des techniques de réalité
virtuelle sont alors utilisées pour projeter des Pokémons virtuels sur l’image issue de la caméra de
votre smartphone, afin que vous puissiez lancer des « Poké Balls » virtuelles sur eux, et ainsi les
attraper. Il est possible de trouver ces Poké Balls, ainsi que d’autres objets virtuels, dans des
endroits particuliers appelés « Poké Stops ». Plus vous attrapez de Pokémons, plus vous devenez
fort (consultez cette page Wikipédia pour plus de détails). Rien de bien méchant donc.
En effet, du point de vue de votre santé, Pokémon GO est intéressant, puisqu’il vous encourage à
aller physiquement vous promener à l’extérieur, ce qui est naturellement bénéfique pour nous
tous. Mais il y a un hic : le jeu ne sait pas à quels endroits vous ne devez pas ou ne devriez pas aller !
Se promener en ayant les yeux collés à un écran présente déjà un risque, alors regardez bien où
vous allez : évitez routes, escaliers, fossés, bouches d’égout ouvertes, etc. ! En outre, jouer à cette
application en roulant à vélo ou en conduisant est, cela va sans dire, une idée stupide.
De plus, le jeu place des Pokémons à des endroits soi-disant adaptés (selon son algorithme)… mais
le cimetière d’Arlington, près de Washington D.C., a déjà dû demander aux joueurs de s’abstenir de
jouer à l’intérieur de son enceinte. Il en va de même pour les hôpitaux et, bien entendu, pour le
CERN : certains bâtiments, cavernes, tunnels et autres lieux du CERN sont très clairement interdits
d’accès, sauf pour les activités professionnelles. Ne partez pas à la chasse aux Pokémons dans ces
endroits, vous pourriez vous mettre en danger. D’autres lieux peuvent également être interdits
d’accès, comme par exemple les propriétés privées... Pire, certains criminels utilisent ce jeu pour
attirer des joueurs dans des endroits déserts, afin de pouvoir les dépouiller de leurs effets
personnels. Alors, pensez avant tout à votre sécurité ! Soyez attentifs à votre environnement, restez
raisonnables… et ne soyez pas trop distraits.
D’un point de vue informatique, les risques ne sont pas inexistants non plus : Pokémon GO n’a pas
encore été publié dans tous les pays, vous pourriez donc être tentés de télécharger l’application à
partir de sites douteux... Mais « douteux » implique que vous pourriez obtenir d’avantage que ce
que vous souhaitiez : une infection complète de votre smartphone par exemple (voir l’article « Le
32 | P a g e
talon d’Achille d’Android »). Il vaut donc mieux attendre et ne télécharger cette application qu’à
partir de l’App Store (iOS) ou de Google Play (Android).
Par ailleurs, Pokémon GO, comme beaucoup d’autres applications, enregistre en permanence votre
position géographique et peut donc en apprendre beaucoup sur votre vie privée. Enfin, des
personnes malveillantes profitent aussi de cette nouvelle mode ; alors que des courriels malicieux
inondent déjà sans arrêt internet, sont maintenant apparus les premiers courriels de phishing ciblés
sur Pokémon GO. Ceux-ci essayent de tromper des joueurs et de les faire cliquer sur des liens
malicieux (vous trouverez sous le lien suivant des conseils pour identifier les courriels malicieux).

Je connais le moindre de vos déplacements... depuis

toujours ! (2016)
[Link]
D’accord, pas tout à fait « depuis toujours ». Mais en pratique, si vous êtes un jour passé près de
mon bureau avec votre téléphone portable sur vous, je peux le savoir. Et ce, grâce aux fonctions de
communication sans fil de votre téléphone.
Comment ça marche ? Chaque réseau sans fil possède un nom SSID (Service Set Identifier). Au
CERN, par exemple, vous pouvez trouver « eduroam », « CERN » ou encore « CERNn » (tout autre
nom de réseau est suspect et ne devrait pas être utilisé). Lorsque vous vous connectez à un réseau
sans fil, votre téléphone garde une trace du nom de ce réseau pour pouvoir le réutiliser plus tard.
Si votre téléphone détecte un réseau sans fil, il essaie alors les noms qu’il a déjà mémorisés jusqu'à
obtenir une réponse positive, puis établit la connexion. Et plus votre téléphone est ancien, plus il
s'est connecté à un grand nombre de réseaux à travers le monde, plus il « se souvient » d’où il a
été. Et c'est là que j'entre en scène.
Un réseau abusif spécialement configuré, tel que PineApple, peut se faire passer pour n'importe
quel réseau sans fil1. Il envoie juste une balise que votre téléphone va recevoir et à laquelle il va
répondre. Le réseau abusif va alors enregistrer toutes les requêtes émanant de votre téléphone,
lequel va tester tous les noms de réseau de sa liste : « CERN », « StefanWLAN », « GVAairport »,
« Swisscom », « SBB-FREE », « HyattAtlantaGuest », « AmsterdamRoaming », « ITUwifi » ... Et
clairement, la plupart du temps, le nom du réseau fournit bien assez d'informations pour savoir où
vous étiez.
Alors, comment se protéger ? Tout d'abord, désactivez l'option qui permet de se connecter à un
réseau sans fil automatiquement. De cette façon, vous verrez les noms des réseaux auxquels vous
pouvez vous connecter et vous devrez les confirmer. Vous pouvez également désactiver
complètement les fonctions de communication sans fil de votre téléphone et les activer
uniquement dans un endroit que vous connaissez et dans lequel vous avez confiance. Une remise
à zéro de vos paramètres réseau constituerait une protection supplémentaire, mais vous serez alors
dans l’obligation de reconfigurer les réseaux que vous utilisez régulièrement... Enfin, vous pourriez
supprimer le SSID de votre compte iCloud ou Google et réinstaller le système d'exploitation du
téléphone pour effacer complètement les noms de réseau stockés. Mais il faudrait être vraiment
paranoïaque pour aller jusque-là, non ?...

1
Il va sans dire que le déploiement d'un tel point d'accès au CERN viole les règles informatiques du CERN.
33 | P a g e
Le talon d’Achille d’Android. Encore… (2016)
[Link]
Environ 1 milliard de téléphones portables ont à nouveau été victimes du talon d’Achille d’Android.
Android se retrouve dans une situation semblable à celle rencontrée avec la vulnérabilité
Stagefright l’été dernier (voir l’article « Le talon d’Achille d’Android ? »). Mais tandis que « la mère
de toutes les vulnérabilités Android » s’appuyait sur la librairie de lecture multimédia, cette fois, la
cible est le pilote de la puce électrique LTE de Qualcomm. Et comme par le passé, tandis qu’un
correctif a très rapidement été publié, la difficulté consiste à pouvoir en bénéficier sur vos appareils
Android : les fabricants de téléphones portables et les opérateurs mettent un temps effroyable à
les diffuser…
Que faire pour remédier à ce problème ? Il n’y a malheureusement rien que vous puissiez faire, sauf
attendre. Si vous utilisez certains types de téléphones portables intelligents, vous êtes plus
particulièrement exposés (par exemple : HTC One M9 et HTC 10 ; LG G4, G5 et V10 ; Samsung Galaxy
S7 et S7 Edge). QuadRooter s’appuie sur quatre failles du pilote de la puce des communications
mobiles des téléphones portables intelligents Android. Il suffit d’une seule application malveillante
pour exploiter ces failles… Une fois installée, elle devient « root », le maître et commandant en chef
de votre téléphone portable intelligent. Heureusement, jusqu’à présent, aucune exploitation
publique de cette vulnérabilité n’a été rapportée… Stratégies de défense possibles ? La
recommandation habituelle serait d'appliquer le correctif correspondant, qui a déjà été publié par
Google. Malheureusement, cela dépend de votre fabriquant et de votre opérateur, qui doivent
l'adapter à votre téléphone et le diffuser. Et cela, si l'on se réfère aux expériences passées, peut
prendre beaucoup de temps, voire même ne jamais se produire (voir cet article - en anglais). Sinon,
vous pouvez essayer de recompiler vous-même votre système d'exploitation Android, mais cela
relève de l'exploit – à tenter uniquement par les experts.
Le futur nous réserve donc quelques surprises. Non seulement pour Android, mais aussi pour
beaucoup d'autres appareils : la divulgation de nouvelles vulnérabilités sera de plus en plus rapide.
« Patcher », c'est-à-dire corriger ces vulnérabilités, devra donc se faire de plus en plus rapidement.
Avec tous ces téléphones intelligents, ces réfrigérateurs et voitures interconnectées, ces compteurs
électriques intelligents, sans parler de l'internet des objets (voir l’article « Notre vie en symbiose »),
un nouveau modèle pour l'application des correctifs est nécessaire. Pour le moment, nos méthodes
pour « patcher » sont trop rigides et trop lentes (voir l’article « Agilité pour les ordinateurs »). Et ce
talon d’Achille d’Android n'est qu'un exemple parmi tant d'autres.
N.B. : si vous pensiez que l’iOS d’Apple est plus sûr… Hum. Malheureusement non, comme la faille
avec le récent Pegasus l’a montré. Cependant, Apple a la main sur les mises à jour, ce qui permet
d’installer les correctifs rapidement (pour les versions iOS 9 et supérieures).

Nouveaux capotages pour votre vie privée (2015)

[Link]
Bien que nous vous ayons déjà fait part, dans des articles précédents, de nos inquiétudes
concernant votre vie privée lorsque vous utilisez un smartphone ou des services d’informatique en
nuage (voir par exemple « ... Et merci pour vos données mobiles » et « Prison ou “Prismˮ ? Vos
données en garde à vue »), les dernières nouvelles nous poussent encore une fois à aborder le sujet,
car même après les révélations d’Edward Snowden, rien ne semble vraiment s’améliorer !
34 | P a g e
Commençons par Microsoft et son initiative visant à créer un client de messagerie Outlook sur les
téléphones Android et iOS. Cette application joue le rôle de boîte mail pour les comptes mail
Exchange, Outlook, iCloud, Google et Yahoo, de la même façon que peuvent le faire d'autres clients
de messagerie, tels que celui existant sous iOS.
Malheureusement, vos courriels ne sont pas collectés et stockés localement sur votre téléphone.
Ils sont collectés par des serveurs gérés par Microsoft, tout comme les données présentes dans
votre calendrier. Comment? Vos identifiants de connexion à votre compte Exchange, iCloud ou
Gmail… (y compris votre mot de passe) sont simplement envoyés à ces serveurs Microsoft, qui
peuvent ensuite récupérer directement toutes ces informations. Ainsi, si vous utilisez cette
application pour lire vos courriels du CERN, votre mot de passe CERN passe entre les mains de
Microsoft. Le Parlement européen a considéré ce problème comme très sérieux, au point
d’interdire à ses membres l’utilisation de cette application sur tous leurs appareils et comptes
professionnels, et, de leur imposer, au cas où ils l’utiliseraient déjà, de la désinstaller et de changer
leur mot de passe. Peut-être est-il également temps pour vous de reconsidérer, le cas échéant,
l'utilisation de cette application, et de changer votre mot de passe CERN...
À cet égard, Microsoft est très différent de l'iCloud d'Apple ou de Gmail. L'iCloud d'Apple contient
bien une copie chiffrée de votre mot de passe CERN - par l’intermédiaire de vos sauvegardes iOS -
mais pas de copie lisible. Gmail n'a quant à lui aucune connaissance de votre mot de passe, si vous
lui transmettez simplement vos courriels CERN (si vous êtes membre du personnel CERN, nous vous
invitons cependant à ne pas transmettre de la sorte vos courriels à des tiers tels que Google. Voir
« Évitez les fuites de courrier »).
La société Apple a elle aussi quelques soucis avec la protection de votre vie privée (si vous y croyez
encore) : le client de messagerie d'Apple a une fonctionnalité qui permet de bloquer explicitement
le suivi des courriels1, empêchant l'expéditeur de savoir si vous avez lu son message. Or, le moteur
de recherche Spotlight d'Apple indexe vos courriels… et a donc besoin de les lire, lui aussi ! Et c'est
là que le bât blesse: Spotlight télécharge les ressources incluses dans vos courriels au lieu de les
bloquer, informant malgré vous l'expéditeur que vous avez bien reçu son message.
En deux mots : faites attention ! Protégez votre vie privée et votre mot de passe CERN. Certaines
applications et certains programmes collectent plus d'informations que vous le pensez. Laissez le
soin au service mail du CERN de garder vos courriels et ne les transmettez pas à des fournisseurs
mail tiers.

Le talon d’achille d’Android? (2015)

[Link]
« L'équivalent pour les téléphones de la vulnérabilité logicielle Heartbleed », « La mère de toutes
les vulnérabilités Android », c'est ainsi que les médias parlent de la dernière vulnérabilité (voir cet
article en anglais) qui touche tous les appareils Android. Bien que Google ait rapidement proposé
un correctif, un problème de taille reste à résoudre : appliquer ce correctif à vos appareils Android,

1
Techniquement parlant, ce suivi est réalisé en analysant un objet du message contenant un identifiant
unique (par exemple une image intégrée dans le courriel), qui sera téléchargé depuis le client de
messagerie. Lorsque vous regardez le message, ce téléchargement suffit à l’expéditeur pour savoir que vous
avez regardé son courriel (et donc que vous l'avez bien reçu)
35 | P a g e
alors même que les fabricants de téléphones portables et les opérateurs mobiles restent
incroyablement lents à le diffuser.
Que pouvez-vous faire pour obtenir ce correctif ? Globalement rien, si ce n'est attendre. Vous êtes
complètement exposé dès lors que vous utilisez une version récente du système d'exploitation
Android (supérieure ou égale à 2.2). Cette vulnérabilité, qui touche « Stagefright », la librairie
responsable de la lecture multimédia sous Android, peut être exploitée par un simple message
MMS, et vous ne serez même pas capable de vous en rendre compte. L'attaque contre votre
téléphone Android se produit dès le prétraitement du message, c'est-à-dire dès que celui-ci frappe
à votre porte. Aucun avertissement, rien. Pire, les personnes ayant découvert cette vulnérabilité
ont l'intention d’en publier tous les détails lors de la prochaine conférence BlackHat, en août. Dès
lors, on ne peut que s'attendre à ce qu'un certain nombre de pirates informatiques sautent sur
l'occasion et utilisent cette vulnérabilité à leurs propres fins. Tout ce dont ils auront besoin est le
numéro de votre téléphone Android.
Existe-t-il d'autres moyens de protection ? La recommandation habituelle serait d'appliquer le
correctif correspondant, qui a déjà été publié par Google. Malheureusement, cela dépend de votre
fabriquant et de votre opérateur, qui doivent l'adapter à votre téléphone et le diffuser. Et cela, si
l'on se réfère aux expériences passées (voir cet article en anglais), peut prendre beaucoup de temps,
voire même ne jamais se produire (voir cet autre article en anglais). Sinon, vous pouvez essayer de
recompiler vous-même votre système d'exploitation Android, mais cela relève de l'exploit – à tenter
uniquement par les experts. Comme mesure provisoire, vous pouvez cependant désactiver la
réception des MMS sur votre téléphone. Ces recommandations sont disponibles à la fin de cet
article (en anglais).
Le futur nous réserve donc quelques surprises. Non seulement pour Android, mais aussi pour
beaucoup d'autres appareils : la divulgation de nouvelles vulnérabilités sera de plus en plus rapide.
« Patcher », c'est-à-dire corriger ces vulnérabilités, devra donc se faire de plus en plus rapidement.
Avec tous ces téléphones intelligents, l'internet des objets, des réfrigérateurs et des voitures
interconnectées, des compteurs électriques intelligents… (voir l’article du Bulletin intitulé « Notre
vie en symbiose »), un nouveau modèle pour l'application des correctifs est nécessaire. Pour le
moment, nos méthodes pour « patcher » sont trop rigides et trop lentes (voir notre article du
Bulletin intitulé « Agilité pour les ordinateurs »). Et ce talon d’Achille d’Android n'est qu'un exemple
parmi beaucoup d'autres.

IT ou pas IT, telle est la question (2015)

[Link]
Depuis notre article du Bulletin intitulé « Sécurité informatique : comment réussir le déploiement
de logiciel » (voir ici), nous avons été régulièrement confrontés aux problèmes que posent les
services informatiques « standard », qui sont répliqués au sein du CERN, et sont même confiés à
des entreprises extérieures.
L'expérience nous a démontré que ces systèmes non centralisés sont plus sujets aux failles de
sécurité et que, sur le long terme, ils sont moins bien gérés, quand ils ne sont pas tout bonnement
orphelins ! S'ils sont hébergés à l'extérieur du CERN, il existe aussi des risques de fuite de données
sensibles - des problèmes de sécurité face auxquels le CERN n'aurait pas la possibilité d'intervenir
ou de réagir.

36 | P a g e
Prenons l’exemple de ce diaporama, créé par un consultant externe et aujourd’hui hébergé dans le
« cloud » ... Même si le « cloud » s’est avéré bien pratique pour le consultant - qui a régulièrement
utilisé ce service - son contenu a malheureusement été perdu, une fois le travail du consultant
terminé, et que personne au CERN n'a pu en reprendre la responsabilité. Prenons encore cette page
web, développée par un étudiant d'été qui a eu recours à une société d'hébergement web externe.
Il s'est avéré que le site web était défectueux et qu’il divulguait des données, mais ni l'étudiant ni
l'hébergeur n'étaient capables de résoudre ce problème ou prêts à le faire. Ou encore ce
questionnaire, contenant des informations personnelles sur certains de nos collègues, et dont les
données ont malencontreusement été dévoilées au grand public. Ou le développement
d'applications web réalisé par un ancien collègue, qui a plus tard dû être remboursé par DAI.
Le CERN a la chance de compter de nombreux groupes de compétences différents : le Service
médical pour notre santé, les pompiers pour notre sécurité, le groupe Radioprotection pour les
questions de radiations, le département FP pour ce qui concerne les contrats et achats, le groupe
Refroidissement & ventilation, la section Métrologie pour les mesures, des groupes techniques
compétents pour la conception de PCB, le Service juridique, le Département des ressources
humaines, etc.
Heureusement, il en va de même pour les questions informatiques, et le département IT est là pour
vous aider. Bien sûr, les outils de la vie moderne –smartphones, Facebook, Twitter - nous ont
rapprochés de l’informatique, mais n’ont pas tous fait de nous des experts en informatique. S'il est
aujourd'hui facile d'ouvrir un compte Dropbox, de créer un questionnaire SurveyMonkey ou de
mettre en place une page web avec Wordpress ou Joomla, cela ne signifie pas que c'est toujours
dans l’intérêt général du CERN.
De même que nous consultons les départements FP ou HR, le Service médical, le Service juridique,
ou le groupe Radioprotection pour leurs compétences respectives, ne devrions-nous pas profiter
davantage de l'expertise et des connaissances de nos collègues du département IT ?
Ainsi, si vous envisagez de démarrer un projet utilisant des technologies IT (sites web, serveurs
autonomes, stockage sur disque, services d’informatique en nuage externes, etc.), ou si vous en
êtes déjà au stade du développement, nous vous invitons à nous consulter via
[Link]@[Link] ou à prendre contact avec nos collègues du département IT.
Cela vous permettra de vous concentrer sur le cœur de votre projet, tandis que le département IT
s’assurera que les technologies utilisées sont entièrement prises en charge et sécurisées, mises à
jour et intégralement sauvegardées, et que la politique de protection des données du CERN est
respectée.
Sur le long terme, cela ne peut (et ne doit) que vous être bénéfique ! Vous trouverez des exemples
ici.

Votre entrée dans le nuage peut se faire au prix de

votre mot de passe (2014)
[Link]
Permettez-moi de vous raconter une petite histoire qui est récemment arrivée à l'une de nos
collègues. Elle cherchait un client de messagerie agréable pour son tout nouveau smartphone
Android. Elle a trouvé plusieurs applications répondant à ses besoins, qu’elle a toutes installées sur

37 | P a g e
son téléphone - en les configurant avec son mot de passe CERN, pour qu'elle puisse également
accéder à ses mails professionnels - et a toutes testées minutieusement. Finalement, pleinement
satisfaite de l'une d’elles, elle a supprimé les autres applications.
Mais sa satisfaction n'a pas duré longtemps : dans les jours suivants, elle s'est rendu compte que
de nombreux nouveaux mails de sa boîte aux lettres CERN étaient mystérieusement marqués
comme « lus » alors qu'elle n'y avait jamais accédé ! Une analyse approfondie des journaux
d'activités de sa messagerie CERN a permis de montrer que le fournisseur de l’une des applications
de messagerie testées continuait à télécharger ses mails - bien qu'elle ait désinstallé l'application
correspondante... En fait, son mot de passe CERN avait abouti dans le Cloud, qui con tinuait
d'accéder à sa boîte aux lettres (ce que fait également Google, si vous laissez Gmail récupérer vos
messages dans votre boîte aux lettres CERN). Ni les conditions d'utilisation de ce fournisseur de
messagerie, ni sa politique de confidentialité ne mentionnaient cette fonctionnalité, et ses mails
n'ont pas été détruits malgré la suppression de l’application... Au final, elle a dû changer son mot
de passe CERN pour bloquer l'accès.
Ainsi, faites attention à l'endroit où votre mot de passe CERN se retrouve. Certaines applications
promettent de « réunir tous vos mails, contacts et calendriers à un seul endroit ». Tant que votre
mot de passe reste sur votre téléphone, vous conservez toujours un peu de contrôle (sauf s’il est
volé ou piraté). Les clients de messagerie iOS et Android fonctionnent de cette façon. Mais une fois
que votre mot de passe est configuré avec votre fournisseur de « nuage » préféré (par exemple
Gmail) ou transmis à un fournisseur de « nuage » (par exemple [Link]), vous êtes contraint de leur
faire entièrement confiance sur le fait qu'ils s’assurent de la protection et de la confidentialité de
ce mot de passe, et qu'ils ne l'utilisent pas de manière illicite...
Si vous travaillez sur des dossiers confidentiels au CERN, ou si vous partagez régulièrement des
données sensibles (comme nos collègues des départements FP et HR, ou les unités DG et HSE), ce
serait leur accorder un peu trop de confiance, vous ne pensez pas ? Réfléchissez-y à deux fois. Les
documents sensibles du CERN ne doivent jamais être rendus accessibles à des tiers en dehors du
cadre professionnel. Révéler intentionnellement ou accidentellement des données sensibles
constitue une violation de la Politique de protection des données du CERN (en projet :
[Link] et est considéré comme une faute professionnelle.
Évitez donc de transférer vos courriels professionnels à des fournisseurs de messagerie externes,
car il peut y avoir des impacts sur les privilèges et immunités du CERN en tant qu'organisation
intergouvernementale (voir aussi l’article « Évitez les fuites de courrier »). Le système de courrier
électronique du CERN offre des fonctionnalités très similaires. Évitez également de partager des
données sensibles ou restreintes à l'aide de systèmes de stockage externes, tels que Pastebin,
Dropbox ou Google Drive. Dans la plupart des cas, l'accès internet du DFS du CERN (CERN Webdav,
CERNbox, OneDrive du CERN (vous devez être enregistré ici), ou CERN « Paste ») sont des
alternatives tout à fait satisfaisantes !

Votre iPhone comme un « key-logger » (2014)

[Link]
Dans le passé, nous avons à plusieurs reprises travaillées sur les risques de sécurité informatique
liés à l'utilisation de smartphones. Aujourd’hui voici de quoi vous rendre paranoïaques: saviez-vous
que votre smartphone peut même être abusé pour espionner les frappes du clavier de votre PC !

38 | P a g e
En fait, l'accéléromètre, le gyroscope et les capteurs d'orientation à l'intérieur du téléphone, utilisés
pour déterminer son inclinaison et ses mouvements, peuvent aussi déterminer les lettres que vous
tapez sur votre ordinateur. Ainsi, il agit comme un «key-logger1» matériel ! Les seules conditions
sont que votre smartphone soit à proximité de votre clavier d'ordinateur et qu'il exécute
l'application malveillante correspondante. Le reste est fait par les capteurs de haute précision qui
permettent d'enregistrer les vibrations du clavier et, par la suite, les lettres que vous tapez. Dans
une étude dédiée, les étudiants de Georgia Tech College of Computing étaient en mesure de
décoder des phrases complètes avec jusqu'à 80 pour cent de précision en utilisant un iPhone2. Par
ailleurs, les claviers émettent suffisamment de signaux électriques pour permettre de reconstruire
vos frappes au clavier... D'autres chercheurs ont réussi à extraire des clés de chiffrement privées
simplement en écoutant le bruit électronique de l'ordinateur.
Cependant, souriez. Jusqu'à aujourd'hui, ces attaques très ciblées n'ont jamais été observées contre
le CERN. Toutefois, cela ne signifie pas que votre iPhone (ou votre téléphone Android) est un petit
gadget innocent. Au contraire : il s'agit d'un PC de poche à part entière qui doit être pris en charge
correctement. Mettez-le à jour régulièrement et méfiez-vous si vous installez des applications
tierces car certaines applications malveillantes sont connues pour infecter les smartphones (voir
aussi notre article sur « iPhones, Androids : l'histoire se répète » et « Votre Android est-il fiévreux
?»). D'autres applications sont très gloutonnes et transmettent beaucoup trop d'informations
personnelles stockées sur votre téléphone à leur centre de données, par exemple votre position,
votre carnet d'adresses, vos données locales, pour une agrégation approfondie, des analyses et,
vraisemblablement, du marketing ultérieur (plus de détails dans « Smartphone perdu -
Confidentialité disparue »).

Sauvegardés et disparus... (2013)

[Link]
Vous souvenez-vous comme il est facile de perdre vos mots de passe pour les applications web («
Ne laissez pas Chrome exposer vos mots de passe » (voir ici)? Cette fois, nous voyons plus grand, et
allons discuter de la facilité de perdre les mots de passe de tous les points d'accès sans fil que vous
avez visités jusqu'ici. Vous avez juste besoin d'avoir Android sur votre smartphone...
Apparemment, Google capturait déjà les points d'accès sans fil pendant sa campagne Streetview,
mais l’entreprise a été contrainte de cesser cette pratique, notamment après la plainte de
défenseurs de la protection des données. De toute façon, cela avait été fait « par erreur ».
Avec Android, qui domine aujourd'hui le marché des smartphones, Google est de retour. Android
(version 2.2 et plus) offre une fonctionnalité utile qui, par défaut, stocke les identifiants (SSID) et
les mots de passe des points d'accès sans fil, de sorte qu'ils ne vous soient pas demandés à chaque
connexion. La partie intéressante est que, lorsque les données du smartphone sont
automatiquement sauvegardées dans les centres de données Google, les SSID et les mots de passe
associés ne sont pas chiffrés. Ainsi, Google a un accès complet à ces données et pourrait,
potentiellement, produire un « plan d'accès gratuit » à de nombreux points d'accès sans fil dans le

1
Enregistreur de frappes
2
De manière similaire, la même fonction peut également être détournée pour « déduire la survenance de
tapes sur l'écran tactile ainsi que les positions de ces tapes ». Par ailleurs, des résultats similaires peuvent
être obtenus « à travers la caméra et le microphone ».

39 | P a g e
monde entier. Pour sûr, cela aiderait certaines agences gouvernementales anonymes. Et en plus
des mots de passe wifi, votre trousseau de clés est maintenant aussi automatiquement synchronisé,
et avec, vos mots de passe CERN et privés. Sans parler de toutes vos autres données (photos, mails,
vidéos, applications...), qui se vaporisent une fois sauvegardées dans le cloud de Google (voir l'un
de nos articles du Bulletin à ce sujet: « Envoyez vos données dans le « Cloud » et faites-les ... se
vaporiser »).
Cependant, les Macs d'Apple ou les iPhones ne sont pas plus sûrs. Une fois qu'iCloud a été activé,
votre appareil duplique régulièrement toutes les informations dans les centres de calcul d’Apple:
applications, musiques et films pourraient ne pas poser de problème, car vous les avez très
probablement achetés via la boutique iTunes. Mais qu'en est-il de vos agendas, mails, photos et
films? Il est à la discrétion d'Apple d'analyser ces données et de les utiliser à des fins publicitaires
(ou pour les agences mentionnées ci-dessus). Pire encore, alors qu’aujourd'hui vous pouvez
toujours désactiver la fonctionnalité « iCloud » (iOS > Paramètres > Général > Utilisation), à l'avenir,
cela pourrait ne plus être possible (notamment avec OS X Mavericks).
En termes plus directs, cela impliquerait que les utilisateurs d'iOS seraient forcés par Apple de
fournir toutes leurs données (ou d'abandonner leur iPhone). De plus, Apple n'est pas le seul à viser
vos données. LinkedIn a récemment publié une application qui dévie tous vos mails via leurs
serveurs centraux pour l'extraction de données. Ainsi, avec la NSA et le GCHQ nous espionnant d'un
côté, et les grandes entreprises comme Apple et Google faisant de même de l'autre, que nous reste-
t-il, à part soupirer, baisser les bras et laisser faire ? Détruire notre téléphone et revenir à l'âge de
pierre de la communication? Se rallier et espérer que les politiciens s'attaquent à ce sujet? Être
moins paranoïaques que les membres de la sécurité du CERN? Nous sommes très curieux de
connaître votre avis sur la question!

« Bring Your Own Disaster » (Apportez votre propre

désastre) (2013)
[Link]
Avez-vous déjà entendu parler de « BYOD » ? Non, ce n'est pas un groupe de pop. Essayez encore...
Il s'agit d'un acronyme pour « Bring Your Own Device » (en français « AVEC » pour « Apportez Votre
Équipement personnel de Communication »), qui décrit une pratique autorisée depuis des siècles
au CERN : la possibilité d’apporter son propre ordinateur portable, smartphone ou PDA (Personal
Digital Assistant), de les utiliser dans les locaux du CERN et de les connecter au réseau des bureaux
du CERN.
Aussi pratique cela soit-il, il y a aussi un côté obscur. Le principal avantage, bien sûr, est d'avoir un
environnement de travail numérique à l'écoute de vos besoins et préférences. Cela vous permet de
continuer à travailler « à la maison ». De plus, votre musique, vos carnets d'adresses et de liens
restent toujours avec vous. Mais c'est aussi une responsabilité... car si le vol d'ordinateur existe à
l'extérieur du CERN, il a également lieu à l’intérieur. En France, 30% des ordinateurs volés l'ont été
dans des voitures ou à la maison et 10% au cours de voyages. Au CERN, en moyenne une fois par
mois, un ordinateur portable est déclaré volé à l'équipe de Sécurité informatique.
Et cela peut devenir une catastrophe à part entière : avec la perte de votre ordinateur portable,
disparaissent votre musique, vos photos, vos vidéos, votre thèse de doctorat, mais aussi
probablement des documents privés, des e-mails, des relevés bancaires (dans le cache de votre
40 | P a g e
navigateur ?), des mots de passe stockés (par exemple celui de votre accès sans fil à la maison)...
Pire, des données sensibles de l'Organisation peuvent aussi être perdues : les contrats, les résultats
préliminaires d'expériences de physique, des évaluations MARS, des procédures judiciaires, des
dossiers médicaux, des candidatures...
Or seuls 15% des ordinateurs portables déclarés volés étaient chiffrés. Et le vôtre ? Protégez votre
vie privée et évitez que les voleurs ne mettent vos photos sur Internet 1 ! Ainsi, vous protégerez
également les données sensibles de l'Organisation. En d’autres termes, prenez garde ! Utilisez les
fonctionnalités « Bitlocker » et « FileVault » incluses respectivement sur les PC Windows et Mac
afin de chiffrer votre disque dur. Pour Linux, de nombreuses solutions logicielles comme «
TrueCrypt » vous donnent les moyens de protéger vos données locales. Cependant, prenez bien
soin du mot de passe correspondant, car si vous le perdez, vos données cryptées le seront
également. À noter également qu'il n'y a actuellement pas de solution supportée par le CERN.
Faites des sauvegardes régulières afin que vous ne perdiez pas votre « vie » dans le cas où votre
ordinateur portable disparaîtrait : vous pouvez synchroniser votre ordinateur portable
professionnel avec DFS ou AFS, sauvegarder votre ordinateur privé ou appareil Android sur un
disque USB externe, ou utiliser Time Capsule pour Mac ou iTunes pour les appareils iOS. Enfin, si
votre ordinateur portable CERN est volé, faites un rapport aux sapeurs-pompiers du CERN.
Et quant aux smartphones... en moyenne, toutes les 30 secondes, un téléphone portable est volé
en France. Vous pourriez avoir la possibilité de pouvoir faire un nettoyage à distance pour retirer le
contenu, mais si le voleur retire la carte SIM assez rapidement, ce sera impossible. Les codes PIN
standards à 4 chiffres peuvent être cassés en quelques minutes. Il est donc préférable de choisir
plus de chiffres. Et non, il n'existe pas de vrai bon logiciel de cryptage pour protéger vos contenus...
Ainsi, il est recommandé de garder ses deux yeux sur son smartphone en permanence.

Android est le nouveau Windows (2013)

[Link]
Vous rappelez-vous des premières attaques de virus, au début des années 2000 ? « Blaster », « I
love you », et « Slammer » attaquaient alors le système d'exploitation Microsoft Windows, que très
légèrement protégé à cette époque.
Fortement mis à mal par le passé, Microsoft a depuis essayé de s'améliorer, et est finalement arrivé
au même niveau que d'autres fournisseurs de logiciels. Aujourd'hui, Microsoft peut même être
heureux qu’Android prenne le dessus, du moins sur les plateformes nomades.
Selon l'édition 2013 du Rapport Sophos sur les menaces pour la sécurité : « Android est la plus
grosse cible actuelle ». Aussi, les dispositifs Android en Australie et aux États-Unis ont-ils été sujets
à plus d'attaques de malwares, réussies ou non, que les PC au cours des trois derniers mois. La
compagnie de sécurité Kaspersky a affirmé récemment que 99 % des menaces mobiles étaient
dirigées à l’encontre des dispositifs Android. Chanceux sont les utilisateurs d'iPhone, ou encore de
bon vieux Nokia sans aucune connexion internet.
Mais pourquoi Android est-il une cible privilégiée ? C'est en partie pour la même raison que
Microsoft l’était dans le passé : la part de marché. Plus de 50 % des dispositifs nomades

1
Cela rappelle le cas d'une jeune femme dont les photos prises par son petit ami avec son smartphone ont
été postées sur un site pornographique populaire par les voleurs de son téléphone (rappelez vous notre
article du Bulletin : « Smartphone perdu - votre vie privée avec ».
41 | P a g e
fonctionnent sous le système d'exploitation Android. De plus, le marché des applications Android
est hétérogène et incontrôlé, tout le contraire de l'Apple store, centralisé sur iTunes. Cette
hétérogénéité rend la tâche facile aux attaquants, qui peuvent publier et distribuer leurs
applications malicieuses. Cependant, selon Katja Locker de SWITCHcert, l'une des raisons
principales est que seuls 10 % des dispositifs fonctionnent avec la version plus récente d'Android,
appelée « Jelly Bean ». La version « Gingerbread », vieille de deux ans, alimente encore 47% des
dispositifs. Katja cite l'expert IT Michael Kroker, qui estime que ce n'est pas la faute des utilisateurs,
et qu'au cours des 24 derniers mois, Google « n'a pas réussi à responsabiliser les constructeurs et
les fournisseurs et à les amener à convaincre leurs utilisateurs de mettre leur système à jour ». En
comparaison, l'iOS6 d'Apple a eu un taux de conversion de 60 %, un mois à peine après sa sortie.
Comment pouvez-vous alors améliorer cela ? Évidemment, en mettant à jour votre système avec la
dernière version (« Jelly Bean », version 4.2). Si vous ne le pouvez pas, faites attention en installant
des applications. Ne téléchargez que les applications provenant de sources fiables. Prenez garde
aux URL malicieuses et aux codes QR (voir notre article dans le Bulletin du CERN « Une photo pour
contrôler votre téléphone »). ARRÊTEZ-VOUS, PENSEZ, CLIQUEZ peut aussi être utile. Enfin, vous
pouvez envisager d'installer des applications de détection antimalware spécifiques, telles que Avast
ou ESET.

Prison ou « Prism » ? Vos données en garde à vue

(2013)
[Link]
« Envoyez vos données dans le cloud et faites-les... se vaporiser » était un de nos articles du Bulletin
en 2011. Nous avons été imprécis. Nous aurions dû le titrer « Envoyez vos données dans le cloud et
mettez-les à disposition d'une agence de sécurité nationale ».
Ce qui a longtemps été redouté a récemment été confirmé par Edward Snowden : avec des liens
dans Microsoft, Google, Facebook, Apple, Skype, AOL et Yahoo, « Prism », le programme de
surveillance de la NSA (Agence de sécurité américaine), surveille les e-mails, chats, vidéos, photos,
données stockées ou transmises ainsi que les vidéo-conférences, principalement d’étrangers
utilisant ces services... Voici donc que nos données sont prises au piège... et analysées.
Mais elles ne sont pas seulement prises au piège par la NSA. Si vous avez synchronisé vos fichiers,
musiques et photos avec le iCloud d’Apple, le SkyDrive de Microsoft ou avec Dropbox ; si vous avez
reçu des appels téléphoniques ou des messages sur Skype1 ; si vous avez géré vos mails avec Gmail
ou Hotmail ; ou si vous avez installé une application tierce sur votre smartphone, soyez sûr que vos
données ont déjà été analysées. Car Google, Facebook ou Dropbox décortiquent vos données
privées pour établir votre profil et identifier vos intérêts, vos préférences de consommateur,
convertir votre identité digitale en un modèle statistique composé de zéros et de uns. Scientia
potentia est (« le savoir est pouvoir ») - mais seulement pour ces compagnies.
Laissez-nous donc vous encourager à réétudier une fois de plus les conséquences de votre
utilisation des services cloud à des fins professionnelles, mais aussi dans votre vie privée. La

1
Microsoft, le nouveau propriétaire de Skype, s’est récemment fait reprocher le fait que lorsque les
utilisateurs « envoient des URL HTTPS par le service de messagerie instantané, ces URL reçoivent une visite
non annoncée de Microsoft HQ à Redmond ». Microsoft a répondu que ceci avait pour objectif de filtrer les
spams et les sites frauduleux, mais cet argument n’a pas vraiment convaincu les experts en sécurité.
42 | P a g e
protection des données est la responsabilité de tous - en particulier lorsque nous traitons des
données appartenant à l'Organisation. Assurez-vous qu’il n’y ait pas de fuites de documents
sensibles ou de fichiers personnels via ces services. Ceci inclut les données fournies à des
applications de commodité comme les services de réduction d’URL (comme [Link]) ou les
outils de questionnaires en ligne (tels que SurveyMonkey). Évitez d’installer des programmes qui se
synchronisent avec le stockage cloud (comme le module « Dropbox ») sur votre PC, et n’utilisez pas
les applications pair-à-pair qui exportent le contenu de certains dossiers locaux sur internet. « Évitez
les fuites de courrier », surtout lorsque les e-mails de votre adresse CERN sont automatiquement
redirigés vers un fournisseur de courrier externe comme Hotmail ou Gmail.
Rappelez-vous en revanche que le CERN fournit des services similaires (il faut avouer que ceux-ci
ne sont pas toujours aussi confortables d’utilisation, mais ils sont par contre bien mieux contrôlés)
: votre boîte e-mail du CERN est disponible depuis internet, tout comme vos fichiers stockés sur DFS
ou AFS. CERN GO et les services Sharepoint fournissent des réductions d’URL ainsi que des outils
pour créer des questionnaires. Les sessions à distance sont possibles en passant par le cluster
LXPLUS ou le service CERN Windows terminal. Pourquoi donc ne pas utiliser un service en lequel
vous pouvez avoir confiance et qui est en conformité avec les règles du CERN (comme les lignes de
base de sécurité du CERN et la nouvelle politique de protection des données personnelles du CERN)
? Vérifiez les différentes façons de se connecter sur internet depuis le CERN ici.
Finalement, sachez que naviguer sur internet n’est pas anonyme du tout. Selon le navigateur que
vous utilisez, il révèle déjà de nombreuses informations: la langue locale, la zone horaire, la taille
de l’écran, les modules installés, les polices système disponibles, etc. Comme ces paramètres
peuvent beaucoup varier, cela signifie que la probabilité que vous et moi ayons les mêmes
paramètres est très faible. Pour cette raison, cette information peut être utilisée pour cibler votre
navigateur et vous identifier de façon unique lorsque vous naviguez sur le web... Si vous ne le croyez
pas, vérifiez Panopticlick et notez que quelques modules de navigateurs comme Stealher, ou les
paramètres de sécurité comme la navigation privée peuvent mettre les chances de votre côté.
Notez également que si vous êtes connecté avec votre compte Google ou Facebook, ils peuvent
établir un profil de votre activité, même en dehors de leurs domaines. Ceci est principalement dû à
l’utilisation très répandue des annonces/analyses de Google et des boutons « J’aime » de Facebook:
le code intégré est directement réinjecté dans votre profil Google et Facebook... Pour un peu plus
de confidentialité, déconnectez-vous à chaque fois que vous n’avez pas besoin d’être connecté, et
prévoyez d’installer quelque chose comme le module Ghostery dans votre navigateur.

... et merci pour vos données mobiles ! (2012)

[Link]
Vous souvenez-vous de nos articles parus dans le Bulletin intitulés: « Smartphone perdu - votre vie
privée avec » et « Votre vie privée est primordiale »?... Parallèle intéressant: nous avons récemment
appris qu'un membre senior du personnel du CERN a rendu son ancien smartphone au service
Télécom du CERN en échange d'un neuf. Devinez ce qu'il y avait encore dans ce téléphone? Tous
ses e-mails, ainsi qu'une multitude de données personnelles. Le concept de « vie privée » vous
rappelle-t-il quelque chose?
En effet, le smartphone d'aujourd'hui clone votre personnalité dans le monde numérique. Comme
un secrétaire personnel numérique, il stocke tous vos e-mails et vos messages échangés avec votre
famille, vos amis, et vos collègues ; il contient des photos et des vidéos des moments forts de votre

43 | P a g e
vie, organise votre musique et vos films préférés, ainsi qu'une multitude d'autres renseignements
personnels stockés dans les applications de votre choix (comme les données GPS de vos sessions
de jogging, vos mots de passe, l'accès à vos comptes Facebook ou profils Twitter, vos informations
bancaires, vos réservations de vols et d'hôtels). Votre téléphone pourrait aussi être utilisé pour
effectuer des paiements dans les magasins.
Mais que faire lorsque votre téléphone devient obsolète? La destruction physique est bien sûr le
choix le plus évident (et nous vous encourageons à jeter un œil à la politique de destruction de
données du CERN). Mais « obsolète » pour vous ne signifie pas « sans valeur » pour quelqu'un
d'autre. Ainsi, vous pourriez vouloir le transmettre à un collègue ou au service Télécom du CERN. Si
c'est le vôtre, vous pourriez le donner à un membre de votre famille ou de vos amis, ou encore, le
vendre sur eBay. Avant de le faire, réfléchissez-y à deux fois !
N'oubliez pas de « nettoyer » votre téléphone avant! Réinitialisez-le avec les paramètres d'usine,
et retirez la carte SIM. Le service Télécom du CERN fournit les détails sur la façon de procéder pour
toutes les grandes marques de téléphone du CERN. Notez également qu'il est possible de « nettoyer
» votre téléphone mobile à distance en cas de perte ou de vol. C'est encore mieux si vous protégez
toujours votre smartphone contre les accès non autorisés en le verrouillant avec un code PIN ou un
motif à reproduire sur l'écran. Et pendant que vous y êtes: qu'en est-il de votre ou de vos
ordinateurs portables?

Une photo pour contrôler votre téléphone (2012)

[Link]
Avez-vous déjà vu ces carrés noirs et blancs (photo ci-dessous) appelés « Codes Quick Response »
? Ces balises QR sont les formes à deux dimensions des codes EAN (pour « International Article
Number », les barres noires et blanches numérisées à la caisse de Migros) encodant par exemple
une adresse web. Numériser ces codes avec votre téléphone peut vous conduire vers une page
web, envoyer un SMS ou un e-mail en fonction du contenu de la balise. Super, n'est-ce pas ?
Attendez... Pouvez-vous avoir confiance en ces balises QR ? Que faire si la balise QR mène à quelque
chose de malveillant ? Pour information, il a été révélé récemment l'existence d'une vulnérabilité
pour la gestion des codes USSD pour les appareils Android antérieurs à la version 4.1.1.
Le code USSD permet de réinitialiser le téléphone ou de bloquer la carte SIM. Combiné avec un clic
sur un lien malveillant ou un scan d'une balise QR, c'est une combinaison mortelle pour votre
téléphone, qui peut ainsi être converti en une brique inutile.
Dans le passé, nous avons suggéré « Arrêtez-vous - Pensez - Cliquez ! » avant de naviguer sur des
pages web, de cliquer sur des liens étranges, ou d'ouvrir des pièces jointes. À cet égard, les balises
QR sont peu différentes des liens internet fournis par les services d'URL courtes comme « [Link] »
ou « [Link] » 1. Vous ne savez pas où ces liens vous conduiront.
Ainsi, utiliser une balise QR pourrait compromettre votre téléphone mobile, comme un mauvais
lien pourrait infecter votre PC. Par conséquent, méfiez-vous! De la même façon que vous devez
faire attention où vous cliquez, n'utilisez que les balises QR provenant de sources de confiance!
Profitez de la fonction de prévisualisation de votre mobile pour comprendre ce que contient la

1
Si vous souhaitez raccourcir une URL CERN, consultez le nouveau service IT. Jetez un œil !

44 | P a g e
balise QR, et ne continuez que lorsque vous êtes rassuré (cliquez ici pour apprendre à le faire pour
les services d'URL courtes). De nombreux téléphones mobiles affichent une fenêtre pop-up avec le
contenu de la balise QR que vous devez approuver.
En fait, c'est là que la vulnérabilité Android susmentionnée entre en jeu... Testez si vous êtes affecté
à cette adresse. Une fenêtre de confirmation devrait apparaître si tout va bien et vous devez
simplement cliquer sur « Annuler ». Dans l'autre cas, votre code « IMEI » sera affiché
immédiatement: votre téléphone Android est affecté. Nous vous recommandons de le mettre à
jour vers la version 4.1.1, si possible, ou ARRETEZ-VOUS - PENSEZ - CLIQUEZ.

Smartphone perdu — votre vie privée avec (2012)

[Link]
Qui ne possède pas d'iPhone, d'Android ou de Blackberry de nos jours ? Vous êtes chanceux si vous
n'en avez pas ! Dans les éditions précédentes (Bulletin 06/07 - 2012 et Bulletin 32/33/34 - 2011),
nous avons mis en évidence leur manque de sécurité. Mais qu'advientrait-il si vous perdiez votre
smartphone, ou si on vous le volait ?
Aujourd'hui, un smartphone clone votre personnalité dans le monde numérique. Votre téléphone
archive tous vos mails et communications avec votre famille, vos amis, vos proches et collègues. Il
contient les photos et vidéos de vos meilleurs moments. Il contient votre musique et vos films
préférés et des tas d'autres renseignements personnels stockés dans vos applications favorites
(comme les traces GPS de vos parcours de jogging, vos mots de passe, votre profil Facebook ou
Twitter, vos vols et réservations d'hôtel, voire vos informations bancaires). À l'avenir, votre
téléphone pourrait également être utilisé pour effectuer des paiements dans les magasins.
Avez-vous déjà pensé à ce que vous ressentiriez dans le cas où votre smartphone serait perdu ou
volé ? Tout nu ? Je pourrais maintenant tout savoir sur vos amis et vos secrets. Honteux ? Quand je
rendrai vos photos privées publiques. Embarrassé ? Quand je me moquerai de vos goûts musicaux
bizarres. Impuissant ? Une fois que j'aurai utilisé votre carte SIM pour appeler mes amis en
Australie.
Il n'y a pas de solution miracle pour résoudre le problème. La protection la plus facile à mettre en
place est bien sûr la désactivation des fonctionnalités non utilisées et s'abstenir de stocker trop
d'informations sur votre smartphone. Sauvegardez le contenu régulièrement et purgez les photos
et données inutiles. Essayez également de réduire la capacité de rétention de votre boîte mail
locale, afin que les mails les plus anciens soient purgés automatiquement. Notez qu'il est aussi
possible d'effacer les données de votre smartphone à distance en cas de perte ou de vol 1. Enfin,
protégez votre téléphone mobile contre les accès non autorisés en le verrouillant avec un code PIN
ou un mécanisme similaire.
Et pendant que vous y êtes : qu'en est-il de votre ordinateur portable ?

1
Le service de messagerie du CERN permet d'effacer à distance votre téléphone. L'option est disponible à
partir de l'interface webmail du CERN et vous pouvez obtenir plus de renseignements ici. Notez que sur les
smartphones récents (iPhone, Android, etc), le processus d'effacement permet de supprimer toutes les
données (y compris photos, musique et applications) et de restaurer les réglages d'usine du téléphone.
45 | P a g e
Lorsque le « Lion » mange vos données (2012)
[Link]
Bienvenue au « Mountain Lion », le plus récent système d'exploitation d'Apple pour Mac. Plus de
200 nouvelles fonctions utiles sont livrées avec cette version1. Mais attendez! Nouveau et utile?
Avec ce Lion est également disponible une intégration complète dans Apple « iCloud », le même
iCloud déjà utilisé pour les iPhone et iPad.
Alors que iCloud peut être très utile si vous voulez synchroniser ou sauvegarder vos données, c’est
un « trou noir » pour la vie privée et les documents confidentiels. ICloud synchronise non seulement
vos photos, musiques et vidéos, mais il en fait de même avec vos e-mails, les entrées d'agenda et
les mots de passe (sous forme cryptée). Avec « Mountain Lion », même vos documents Microsoft
Word stockés localement sur votre Mac peuvent être enregistrés dans les centres de calculs Apple.
Ce qu'Apple a l'intention de faire avec ces masses de données est incertain. Bien sûr, ils ne se
contentent pas de le faire parce qu'ils sont aimables; ils ont surtout une entreprise à gérer et à faire
prospérer. Alors, peut-être vont-ils adopter la façon dont Google et Facebook vous identifient et
analysent vos activités...
Et c'est là que les problèmes commencent. Si vous activez iCloud sur votre Mac (ou iPhone/iPad),
des informations sensibles du CERN pourraient s'échapper de l'Organisation. Cela pourrait avoir des
conséquences sérieuses, car les prestataires externes ne garantissent pas nécessairement le même
niveau de confidentialité des données fournies par le CERN, vu qu'ils sont soumis à des législations
nationales qui sont moins protectrices. En outre, une fois les documents du CERN transférés, il y a
des implications pour les privilèges et immunités du CERN en tant qu'organisation
intergouvernementale. Nous allons perdre le contrôle de nos actifs sensibles...
Bien sûr, ce n'est pas une question de Mac uniquement. Si vous faites suivre vos e-mails du CERN à
tout fournisseur de messagerie externe comme [Link] et, par conséquent, créez « les fuites de
courrier » ou « envoyez vos données dans le « Cloud » pour les ... vaporiser ! » pour Dropbox ou
Rapidshare par exemple, une protection adéquate de ces données ne peut plus être garantie. Pire
encore, cela ne peut pas être inversé: une fois que les documents sont hors du CERN, ils sont
complètement hors de contrôle. Et tout récemment, Dropbox s’est fait voler une liste d'adresses e-
mail de certains de leurs clients par un « pirate ».
Par conséquent, réfléchissez si vous activez iCloud sur votre Mac, iPhone ou iPad, ou si vous utilisez
Dropbox, Gmail & Cie. Pour les données professionnelles, rappelons que le CERN est aussi un
fournisseur de services de « cloud computing ». Votre boîte aux lettres du CERN est aussi disponible
à partir d'Internet, ainsi que vos fichiers stockés sur DFS ou sur AFS. La connexion à distance est
possible grâce à la grappe LXPLUS ou CERN Windows Terminal Service. Alors, pourquoi ne pas
utiliser un service en qui vous pouvez faire confiance? Vérifiez les différents moyens de se
connecter au CERN par Internet ici.

Votre Android est-il fiévreux ? (2012)

[Link]
Vous pourriez avoir entendu parler de botnets, c'est-à-dire des réseaux d'ordinateurs (Windows)
infectés, qui sont involontairement sous le contrôle d'un tiers malveillant. Des exemples publics de

1
Cette nouvelle version est disponible sur CERN DFS.
46 | P a g e
botnets en action sont les attaques contre le FBI, le département américain de la Justice, ou contre
Universal et Warner Music en tant que représailles à la fermeture de [Link]. Mais avez-
vous déjà entendu parler d'un botnet fait de « téléphones Android »?
Certaines applications disponibles à partir de votre app store préféré sont malveillantes et tentent
de voler vos données privées une fois installées, ou composent automatiquement des numéros de
téléphone coûteux.
Malheureusement, le modèle ouvert des applications Android n'emploie ni contrôle de qualité, ni
procédure d'approbation. Plusieurs applications Android, par exemple des applications de papier
peint ou des clips sonores, ont déjà été identifiées comme étant malveillantes. Symantec a rapporté
récemment au moins 13 applications malveillantes différentes qui sont soupçonnées d'étendre un
botnet de milliers de téléphones mobiles... Si vous exécutez des applications de « iApps7 Inc »
comme « Counter Elite Force » ou « Heart Live Wallpaper », ou de « Ogre Games » (par exemple «
Balloon Game », « Deal & Be Millionaire », ou « Wild Man »), ou de « redmicapps », alors méfiez-
vous, votre téléphone pourrait avoir été compromis.
Pour plus de détails et de mesures d'atténuation, vérifier l'avis de Symantec correspondant. Les
iPhone, iPads, etc., sont moins affectés puisque Apple contrôle étroitement son App Store. Mais le
risque demeure élevé pour ceux qui ont « déverrouillé » leur appareil iOS. En règle générale, soyez
conscient que les téléphones mobiles doivent être protégés comme les ordinateurs normaux:
gardez votre système à jour, permettez l'installation automatique des mises à jour régulières ou
correctives, et n'installez pas de logiciels non fiables ou provenant de sources non fiables.
Vérifiez nos directives pour la protection de votre PC ici. Beaucoup de choses peuvent aussi être
appliquées directement à votre téléphone mobile.

iPhones, Androids : l'histoire se répète (2011)

[Link]
Rappelez-vous le temps où tout le monde dénigrait Bill Gates, parce que son système d'exploitation
était peu sûr et la principale cible des logiciels malveillants ? Alors que Microsoft a amélioré ce point
(ou a essayé), le monde informatique a continué d'évoluer et le nouvel objectif est désormais votre
téléphone mobile. Le marché Android et iPhone est encore en croissance. Pouvez-vous vivre sans
votre téléphone mobile aujourd’hui? Bien sûr que non. Les téléphones portables sont devenus une
partie de notre être.
Ils sont avec nous tout le temps et enregistrent chaque pas que nous faisons (voir l'application
iPhoneTracker). Vous inquiétez-vous du fait que votre iPhone envoie un « jeton unique » à chaque
entreprise qui souhaite vous localiser, vous et votre activité, avec précision? Il y a 15 ans, il y eu une
rébellion et des mesures judiciaires contre le numéro de série unique des Intel Pentium II / III
destiné à faire la même chose (voir cet article de CNN). Aussi, pensez dès maintenant à la quantité
de choses confidentielles ou sensibles que vous avez déjà stockée sur votre téléphone (par
exemple, vos mails, musique, photos, références) ? Dans le futur, vous pourriez même être en
mesure de payer avec votre téléphone. Les premiers plans ont déjà fait surface dans toutes les
grosses sociétés Internet. Cela fera de votre téléphone mobile un objectif encore plus précieux pour
les attaquants - cyber-attaquants ou simples voleurs!
Nous ne voulons pas « crier au loup » ici, mais vous faire prendre conscience que le monde brillant
des iPhones et Android a un aussi côté obscur. Par conséquent, méfiez-vous! Certaines applications
47 | P a g e
disponibles à partir de votre App Store préféré sont malveillantes et essaient de voler vos données
privées une fois installées ou composent automatiquement des numéros de téléphone
coûteux. Malheureusement, le modèle ouvert pour les applications Android ne comprend ni
contrôle de qualité, ni procédure d'approbation. Plusieurs applications Android, par exemple les
applications de papiers peints ou des clips sonores, ont déjà été identifiées comme étant
malveillantes. Pour l'iPhone, cela semble un peu mieux puisque Apple contrôle étroitement son
App Store. Mais le risque demeure élevé pour ceux qui ont « jail-breaké » leur iPhone.
Enfin, si vous voulez errer incognito, coupez les services de géolocalisation de votre téléphone
portable, et rappelez-vous qu'un « jeton unique » pourrait toujours vous identifier auprès des
entreprises correspondant à vos applications. Utilisez votre bon sens avant d'installer une nouvelle
application ou un clip audio. Vérifiez les autorisations que l'application demande. Si vous voulez
juste, par exemple, une boussole et qu'on vous demande l'accès à votre carnet d'adresses et une
connexion Internet, ne l'installez pas. En cas de doute, ne l'installez pas. Afin de protéger votre
téléphone mobile contre le vol, verrouillez-le par un code PIN, assurez-vous que vous avez des
sauvegardes récentes, et familiarisez-vous avec des façons de nettoyer votre téléphone mobile à
distance, s'il est perdu ou volé1.

Envoyez vos données dans le « Cloud » et faites-les ...

se vaporiser (2011)
[Link]
« Cloud computing » --- le terme est aussi nébuleux que les vrais nuages.
Au fond, cela signifie stocker des données quelque part sur Internet. Cela a certes des avantages,
car ces données seront disponibles à tout moment et de n'importe où. Par exemple, la boîte aux
lettres de Google est disponible partout ; « Dropbox » fournit un stockage central pour tout type
de fichiers ; « ZAPR » et « TeamViewer », une fois installés, vous permettent de partager vos fichiers
locaux par simple envoi de liens, ou en donnant à des tierces personnes un accès distant complet à
votre PC, respectivement. De plus, il y a un nombre croissant de services de synchronisation des «
Clouds » (par exemple « iCloud » / « MobileMe », « Firefox Sync », « Dropbox ») qui fournissent des
sauvegardes (semi-)automatiques de tous les fichiers locaux d'un ordinateur portable, PC ou
téléphone mobile.
Mais attendez. Qu'est-ce qui est réellement transféré dans le « Cloud »? Les dossiers personnels
comme les relevés bancaires? Les mots de passe, particulièrement celui du CERN, aussi? «
Sauvegarder » englobe généralement tout, y compris les mots de passe et les relevés bancaires. Par
ailleurs, ces données sont-elles correctement protégées? Le degré réel de sécurité fournis par un
service « Cloud » est souvent extrêmement difficile à trouver pour les utilisateurs. Tout récemment,
« Dropbox » a confirmé que « l'erreur d'un programmeur a provoqué une brèche de sécurité
temporaire qui a permis d'utiliser n'importe quel mot de passe pour accéder à n'importe quel
compte utilisateur » et, par conséquent, toutes les données utilisateur. Là, les mots de passe et les
relevés bancaires se vaporisent...

1
Le Service Mail du CERN prévoit une possibilité d'effacer à distance la boîte de réception de votre
téléphone : connectez-vous au CERN webmail ([Link] sélectionnez "Options" et "Voir toutes
les options" et cliquez ensuite sur "Téléphone" . L'option "Wipe Device" peut ensuite être utilisée pour
effacer toutes les informations Exchange.
48 | P a g e
Aussi, soyez prudent lorsque vous utilisez les services « Cloud ». Assurez-vous que vous n'avez pas
de fuite de fichiers sensibles ou personnels vers ces services. En particulier, évitez d'installer des
programmes sur votre PC qui synchronisent avec des emplacements de stockage « Cloud » (comme
le plug-in « Dropbox »), ou, pire, d'ouvrir votre ordinateur pour l'accès distant depuis n'importe où
(comme « TeamViewer »). N'utilisez pas d'applications pair-à-pair qui exportent le contenu de
certains dossiers locaux sur l'Internet. Enfin, n'enregistrez pas votre compte et mot de passe du
CERN avec des services « Cloud » externes (par exemple Google Mail). Vous vous êtes engagés à
protéger votre mot de passe du CERN contre toute divulgation...
Rappelez-vous que le CERN est aussi un fournisseur de services « Cloud ». Votre boîte aux lettres
du CERN est également disponible depuis l'Internet ainsi que vos fichiers stockés sur DFS ou sur
AFS. Une connexion à distance est possible grâce au cluster LXPLUS ou le Service de Terminal
Windows du CERN. Alors pourquoi ne pas utiliser un service de confiance? Vérifiez les différents
moyens de se connecter au CERN depuis Internet ici.

49 | P a g e
Sécurité du réseau et du centre de calcul
Les failles Spectre et Meltdown (2018)
[Link]
just-beginning
Le début de l'année a été marqué par deux failles de sécurité, appelées Meltdown et Spectre. Dans
les deux cas, selon une approche différente, un utilisateur local peut accéder à la mémoire de votre
système et faire un mauvais usage de son contenu à des fins malveillantes. Voyons-en quoi cela est
néfaste et pourquoi cela risque de s’aggraver dans l'avenir.
D'un point de vue technique, Meltdown brise le mécanisme qui empêche des applications
utilisateur d'accéder à l’espace mémoire protégé d’un système. Il a été confirmé que cette faille
existait dans tous les processeurs Intel produits depuis 1995, à l'exception des processeurs Itanium
et Atom d’Intel produits avant 2013. Cela concerne les ordinateurs des marques les plus connues,
telles qu'Apple, Microsoft, Dell, HP ou Lenovo. Spectre procède de façon similaire, mais permet à
un pirate informatique d'utiliser la mémoire cache d'une unité centrale, en tant que canal auxiliaire,
pour lire arbitrairement la mémoire de n’importe quel processus en cours d'exécution. Spectre
affecte non seulement les processeurs Intel, mais aussi les processeurs AMD et ARM. Cela concerne
entre autres les ordinateurs, les tablettes et les smartphones produits par Apple, Microsoft, Dell,
HP, Google ou Lenovo. Toutefois, la faille Spectre est bien plus difficile à exploiter que la faille
Meltdown dans la mesure où sa surface d'attaque est limitée aux processus d'espace utilisateur,
par exemple, les navigateurs web ou les applications de bureau.
Abstraction faite des aspects techniques, les failles Spectre et Meltdown permettent à un pirate
informatique de télécharger le contenu de la mémoire de votre dispositif et de le disséquer hors
ligne pour en extraire vos mots de passe, clés SSH privées ou certificats, ou toute autre information
intéressante. Heureusement, la mémoire ne contient pas une indication bien visible du type : « Les
mots de passe sont ici ! ». Par conséquent, tout processus d'extraction serait lent et lourd, et pas
très simple à exécuter. Ainsi, alors que le principe a bien été démontré, aucune exploitation
systématique de Spectre ou Meltdown n'a encore été rapportée.
Jusqu’ici, tout va bien ? Pas vraiment. Tout d'abord, et c'est ce qui est pour l'instant le plus
problématique, les solutions dépendent grandement de votre matériel informatique, autrement
dit de votre ensemble de puces. Alors que des solutions seront apportées à temps aux ensembles
de puces les plus récents et les plus utilisés, ce ne sera pas forcément le cas pour d'autres matériels
: le BIOS de votre ordinateur, ou encore à votre dispositif de type internet des objets (lire l'article
du Bulletin intitulé « IoT, des trésors cachés ». Nous risquons donc de nous retrouver avec de
nombreux appareils intégrés qui ne recevront jamais de solutions pour pallier les failles Spectre ou
Meltdown... D’autre part, il est à craindre que l'application des correctifs actuellement prévus ne
ralentisse inévitablement les ordinateurs, quels qu'ils soient : en effet, en fonction de l'utilisation
de votre ordinateur, les baisses de performance peuvent varier entre quelques pourcents et 30 %.
Mais pas de panique (pour l'instant), car de nouvelles solutions pourraient corriger également ce
problème. Enfin, Intel, et probablement d'autres fournisseurs, sont censés connaître ces failles
depuis un moment maintenant. Cela peut vouloir dire que des personnes mal intentionnées ont
déjà exploité ces failles bien avant qu'elles soient publiquement connues. Cependant, pour l'instant,
aucun rapport ne l'a confirmé. Pour toutes ces raisons, il se peut qu'on ne soit qu'au début du
50 | P a g e
problème. Les spécialistes de la sécurité informatique comme les pirates informatiques vont
inévitablement s’intéresser rapidement à d’autres failles matérielles. Souvenez-vous de la faille
POODLE touchant le protocole SSLv3, détectée suite à la faille Heartbleed, présente dans la
bibliothèque de cryptographie open source OpenSSL ; Spectre et Meltdown sont peut-être les
premières failles connues à ce jour qui exploitent les faiblesses de votre matériel informatique, mais
ce ne sont certainement pas les dernières... Les prochaines générations de ces failles pourraient
bien être plus intrusives et plus faciles à exploiter, et risquent de ne pas être rapidement connues
du public. Un régal pour les organismes de sécurité et les criminels, mais un fardeau pour tous les
responsables de la sécurité informatique, dont nous faisons partie...
Ce n’est donc qu’un début. Préparez-vous à d’autres rebondissements. Mais prenez les devants !
Vérifiez que tous vos systèmes sont automatiquement mis à jour lorsque le fournisseur de votre
matériel ou de votre système d'exploitation installe de nouveaux correctifs. Utilisez les mécanismes
de mise à jour standard (automatiques) de vos équipements Windows, Linux, Mac, Android ou iOS.
Et gardez un œil sur vos appareils intégrés. Essayez de les maintenir également à jour. Ou, si ce
n'est pas possible, ne les connectez pas à l'internet et empêchez quiconque d'y avoir accès.
Rendez-vous ici pour avoir des précisions sur la stratégie adoptée par le CERN concernant les failles
Spectre et Meltdown.

Renforcer la détection des intrusions (2018)

[Link]
detection
Le contrôle automatique et autonome des activités numériques sur le réseau du CERN, les
passerelles entre le CERN et Internet et les clusters de calcul du CERN, ainsi que des activités liées
aux services web du CERN, est un élément essentiel pour garantir la protection des activités du
CERN et sa réputation. Nous assurons ce contrôle afin de détecter les tentatives d'infiltration,
réussies ou non (« Une attaque, plus de sécurité »), ou d'analyser toute vulnérabilité de nos
infrastructures informatiques (« Match amical pour le CERN »), et, évidemment, de détecter toute
utilisation abusive de nos installations informatiques à des fins malhonnêtes (« Abus virtuel,
conséquences réelles »). Ainsi, le nouveau Centre d'opérations de sécurité du CERN (SOC) a
récemment été mis en place dans le but de gérer les ressources informatiques et réseau qui ne
cessent de s'accroître. Il vérifiera automatiquement les activités malveillantes, alertera l'équipe de
la sécurité informatique et les utilisateurs finaux en cas d'incident, et fournira toutes les
informations nécessaires à la réalisation d'analyses d'incidents (actuels ou passés).
Les données de renseignement sur les menaces, autrement dit les informations structurées sur
divers incidents de sécurité informatique actuels ou passés, sont au cœur des activités du nouveau
Centre d'opérations de sécurité. Ces données comprennent notamment les indicateurs de
compromission (Indicators of Compromise, ou IoC), comme les adresses IP ou les domaines
malveillants, ou encore les signatures (« empreintes numériques ») de différents échantillons de
logiciels malveillants. Les indicateurs de compromission sont établis d'après les résultats d'études
menées sur des incidents de sécurité informatique découverts au CERN, mais ils sont aussi reçus
d'organisations partenaires. En participant aux travaux de groupes de confiance approuvés,
l'équipe de la sécurité informatique du CERN échange automatiquement les données de
renseignement sur les menaces avec ses organisations partenaires. Cet échange de données est
géré par un outil open-source appelé Malware Information Sharing Platform, ou MISP, qui recouvre

51 | P a g e
non seulement les indicateurs de compromission, mais aussi les stratégies, les techniques et les
procédures utilisées par les différents auteurs ou groupes d'auteurs de menaces. Le fait qu'une
activité informatique au CERN soit liée à de telles données de renseignement sur les menaces
indique un éventuel problème : les ressources informatiques du CERN peuvent avoir été piratées,
détournées ou rendues vulnérables...
De nombreux systèmes de détection d’intrusions (Intrusion Detection Systems, ou IDS) ont ainsi été
mis en place au CERN. Au niveau du réseau, à savoir du pare-feu externe du CERN et des frontières
entre les réseaux internes (les « passerelles »), un système de détection d’intrusions basé sur
réseau (« Snort ») recherche simplement les différentes activités malveillantes présentes dans le
flux de données. Un autre système, plus sophistiqué (« BroIDS »), extrait les adresses IP et les
numéros de ports source et destination, les volumes de données transférées ainsi que certaines
métadonnées d'applications de haut niveau. De la même manière, des systèmes de détection
d’intrusions basés sur hôte recueillent des informations provenant des clusters de calcul du CERN
dans le Centre de données (par ex. « LXPLUS » ou « LXBATCH »), du portail du système
d’identification unique du Laboratoire, des services LDAP et Active Directory, des serveurs web
gérés de manière centralisée, du serveur de noms de domaine, et de plusieurs autres sources (pour
consulter la liste complète des sources, se reporter à notre politique de confidentialité). Toutes ces
données de sécurité sont traitées en temps réel et complétées par des informations telles que le
nom de l'hôte lié à une adresse IP donnée (dans les cas où la source de données contient
uniquement des adresses IP) ou ses informations géographiques (« GeoIP »). Toutes les données
sont enregistrées dans deux systèmes différents (« Elastic Search » et « HDFS ») ; l'un permet de
retrouver et de visualiser facilement les données via des tableaux de bord en ligne, l'autre, destiné
au stockage à plus long terme des données, permet de conserver celles-ci jusqu'à un an maximum.
Le Centre d'opérations de sécurité compare automatiquement, d'un coup de baguette magique,
tous types de données de sécurité avec des indicateurs de compromission connus et émet un e
alerte à chaque fois qu'un de ces indicateurs est détecté. Les méthodes de détection d’intrusions
les plus sophistiquées utilisent des règles complexes et établissent des corrélations entre plusieurs
sources de données. Par la suite, les alertes émises passent par une étape supplémentaire
d'agrégation visant à mettre en corrélation des alertes similaires (par ex. de nombreux appareils du
CERN sont victimes des mêmes logiciels malveillants) de manière à identifier les causes profondes
communes. L'incorporation d'un contexte supplémentaire sur l'activité détectée nous permet aussi
de rejeter facilement les fausses alertes. Une fois qu'un incident de sécurité est détecté et confirmé,
une solution se met en place. L'environnement pédagogique propre au CERN et la liberté qui en
découle font que la sécurité informatique du Laboratoire a été déléguée à ses utilisateurs. À ce titre,
pour la plupart des incidents de sécurité, l'utilisateur final touché recevra une notification
automatique l'informant du problème. Le portail de sécurité informatique du CERN apporte
davantage de conseils sur la résolution de différents types d'incidents de sécurité (avec ou sans
l'aide de l'équipe de la sécurité informatique). L'équipe de la sécurité informatique du CERN dispose
d'outils spécifiques pour le traitement des incidents de sécurité à grande échelle (le « FIR » et le
« Hive »). Mais, grâce à ce nouveau Centre d'opérations de sécurité, nous espérons que de tels
incidents se raréfieront. En assurant la surveillance et la détection des intrusions, nous devrions
être en mesure de nous adapter au développement du Centre de données du CERN et à la constante
augmentation du trafic des données depuis et vers Internet, afin de garantir la protection des
activités du CERN et sa réputation.

52 | P a g e
Cyberattaques, aux grands maux les grands remèdes
(2017)
[Link]
Une cyberattaque réussie passe toujours par un ordinateur compromis. Une fois que le
cybercriminel entre en « possession » du PC, il peut y installer des logiciels permettant d'espionner
son utilisateur, de récupérer des données ou des mots de passe, d'activer le micro ou la webcam
ou encore de manipuler les logiciels, les applications ainsi que les transactions effectuées par
l'utilisateur. Il vaut donc mieux essayer de tout mettre en œuvre pour prévenir cette première
infection. Les PC sous Windows étant les plus vulnérables, voici les mesures de « durcissement »
que le département IT prend pour sécuriser les appareils fixes ou portables qu’il gère.
Bien sûr, les ordinateurs sous Windows ne sont pas les seuls à faire l'objet d'attaques. Les systèmes
Linux, les MacBook et les appareils utilisant Android et iOS ne sont pas épargnés. Cependant,
Windows possède une grande part du marché, et est par conséquent spécialement visé par les
programmes malveillants. De plus, le secteur administratif du CERN, qui manie beaucoup de
données sensibles, utilise essentiellement Windows. Certes, une bonne partie des systèmes
Windows est toujours gérée de manière centralisée par le département IT, et celui-ci peut
facilement venir en aide aux utilisateurs pour les protéger des menaces informatiques. Mais le CERN
est un environnement de type académique, et pour la plupart des autres plateformes, la
philosophie en place est « AVEC » (« Apportez votre équipement personnel de communication »,
en anglais « Bring Your Own Device »). Cette liberté s'accompagne de la responsabilité, pour les
utilisateurs, de mettre en place les mesures de protection adéquates. Au CERN, vous êtes le premier
responsable de la sécurité de vos appareils...
Cependant, si vous utilisez un ordinateur géré par le département IT, ce dernier vous aidera à faire
face à cette responsabilité, en particulier si vous maniez beaucoup de données sensibles dans votre
travail ou si vous avez régulièrement besoin d'aller sur des pages web qui ne sont pas toujours sûres
ou d'ouvrir des courriels et des pièces jointes non sollicités (comme nos collègues du secteur
administratif, des achats, de la haute direction ou des secrétariats). La configuration sécurisée que
nous avons mise en place pour les PC sous Windows protège davantage votre ordinateur.
La première règle pour sécuriser votre PC est d'utiliser Windows 10 au lieu de Windows 7. En effet,
Windows 10 est doté d'un dispositif de sécurité amélioré, à la pointe de la technologie (présentant
certes quelques problèmes à régler concernant la confidentialité), et de mesures de protection
additionnelles. Le chiffrement complet du disque dur est activé par défaut (sans diminution de la
performance, ne vous inquiétez pas), et des outils spécialisés anti-vulnérabilités vous protègent
contre les liens malicieux et contre les téléchargements (cachés) de programmes malveillants à
partir de sites internet infectés. Le pare-feu local est configuré de manière à inhiber certaines
charges malicieuses utilisant Windows Powershell. En outre, nous avons activé des options de
connexion et de traçabilité supplémentaires au cas où un cybercriminel arrivait à le franchir.
Par ailleurs, nous bloquons les droits d'exécution des programmes afin de prévenir l'exécution de
macros malicieuses, et d'éviter par exemple que des fichiers malveillants Word ou Excel ne
provoquent une catastrophe. Avoir recours à un autre lecteur PDF qu'Adobe Reader et limiter (voire
désactiver) Adobe Flash sont des moyens simples permettant d'éliminer deux vecteurs courants
d'attaques. En effet, les failles de sécurité de ces logiciels sont souvent exploitées par les
cybercriminels pour accéder sans autorisation aux systèmes Windows (ou appareils MacOS). Nous

53 | P a g e
réfléchissons même à mettre en place de faux processus faisant croire aux programmes
malveillants que le PC en question est ce qu'on appelle un « pot de miel » utilisé par des chercheurs
en sécurité informatique : beaucoup les évitent afin de ne pas révéler leur fonctionnement
interne...
Concernant l'utilisateur, les droits d'administrateur pour l'utilisateur standard seront supprimés et
l'exécution de logiciels à partir du profil utilisateur sera limitée (il n'y en a normalement pas besoin
à partir de cet emplacement et les logiciels malveillants s'en servent souvent). Pour aller sur
internet, lire des courriels non sollicités ou encore ouvrir des pièces jointes inconnues, il est
également possible d'utiliser une configuration sécurisée dans un autre environnement, virtuel, afin
d'éviter une infection de l'ordinateur principal.
Bien évidemment, nous faisons tout notre possible pour rendre ces ordinateurs aussi pratiques et
intuitifs que possible pour vous, dans votre travail quotidien. Plus l'utilisation que vous faites de
votre ordinateur sera classique, plus il sera simple d'avoir un environnement protégé. Certaines de
ces mesures feront sûrement partie de la configuration normale des ordinateurs Windows gérés
par le département IT, et pourraient être rejointes par d'autres, destinées aux utilisateurs de Mac
par exemple. Tenez-vous au courant ! Si vous souhaitez participer à notre programme pilote,
envoyez-nous un courriel à [Link]@[Link].

Match amical pour le CERN (2017)

[Link]
poking
Début septembre, les systèmes informatiques du CERN ont subi un assaut. Des hackers ont tenté
de se frayer un chemin pour entrer dans l'infrastructure Windows du CERN afin de s'emparer des
contrôleurs de domaine centraux, essentiels au système. Et ces hackers, qui étaient en fait des
experts de l'Université de Toronto, ont fait un excellent travail.
Vérifier la robustesse des dispositifs de défense des systèmes de sécurité informatique du CERN fait
partie de notre liste de bonnes pratiques, et il est évidemment préférable de repérer les failles
existantes sous le feu d'un tir ami que de tomber sous les coups de pirates informatiques cherchant
à les exploiter à des fins malhonnêtes. Pour cette raison, l'équipe de Sécurité informatique du CERN
s'applique constamment à examiner et mettre à l'épreuve les différents services informatiques,
systèmes de contrôle, applications web et logiciels installés et utilisés au CERN.
Un regard extérieur peut toutefois permettre de voir les choses sous un nouvel éclairage et de
mettre en lumière des faiblesses et des vulnérabilités qui ont échappé à nos vérifications internes.
C'est là qu'interviennent Allan Stojanovic et son équipe de hackeurs professionnels, de l'Université
de Toronto ; ils ont relevé le défi et tenté de s'introduire dans les systèmes du CERN, plus
précisément dans son infrastructure informatique Windows.
Le premier week-end de septembre 2017, Allan Stojanovic et ses collègues ont analysé
l'infrastructure informatique du CERN telle qu'elle est accessible depuis le web : c'était la phase de
reconnaissance. Après avoir identifié les points d'intérêt potentiels, ils ont lancé l'assaut sur les
serveurs et les sites web faisant partie de l'infrastructure Windows, c'est-à-dire qu'ils ont tenté de
pirater des installations informatiques normalement protégées par le pare-feu externe du CERN.
Une fois dans le système, leur mandat les habilitait à aller le plus loin possible, afin de montrer qu'ils
étaient en mesure de se saisir des droits d'administrateur sur les contrôleurs de domaine centraux,
54 | P a g e
soit les serveurs qui se trouvent au cœur de l'infrastructure Windows. En obtenant les droits
d'administrateur sur ces serveurs, ils auraient pu avoir un accès illimité à tous les autres systèmes
Windows du CERN gérés de manière centralisée. Afin d'éviter de causer des dommages par
inadvertance, chaque étape de leur progression était coordonnée avec le responsable de la Sécurité
informatique du CERN et autorisée par lui.
Après trois jours d'attaques intenses, une certaine dose de frustration et beaucoup de café et de
pizza, le siège a été levé. À la fin de l'exercice, Allan Stojanovic a fourni au CERN un rapport détaillé
sur les failles importantes, moins importantes et collatérales du système informatique. Nous
remercions chaleureusement Allan et toute son équipe pour le travail accompli ; les failles repérées
ont aujourd'hui été corrigées.
Et ce n'est pas tout. Le département IT et l'équipe de sécurité informatique envisagent de travailler
à nouveau avec des entreprises et des équipes professionnelles afin de mettre en lumière d'autres
éléments à améliorer dans le cadre du projet CERN WhiteHat Challenge. Étant donné la complexité
et la taille du système informatique du CERN, il doit forcément y avoir encore des faiblesses à
corriger.
Vous pouvez vous aussi vous joindre à la chasse aux failles : si vous souhaitez développer vos
compétences en matière de test de pénétration et de recherche de vulnérabilités, repérer les failles
et déterminer les points sur lesquels la sécurité informatique du CERN dans son ensemble – ou celle
de votre propre service informatique, système de contrôle, application web ou logiciel – peut être
améliorée, inscrivez-vous au CERN WhiteHat Challenge ici. Environ 140 personnes et six universités
ont déjà rejoint l'aventure ; grâce à leur travail, la sécurité informatique au CERN s'améliore sans
cesse.

Une attaque, plus de sécurité (2017)

[Link]
Le CERN a subi au cours de l'été 2015 une attaque intense ; des cybercriminels essayaient de
prendre en main des ordinateurs personnels et de s'en prendre à certains de nos documents
publics. Cette attaque n'a duré que quelques jours et finalement n'a pas réussi, mais elle a conduit
à prendre des mesures pour renforcer la protection au CERN.
Le CERN, avec sa culture d'ouverture de type universitaire a toujours fait l'objet de cyberattaques
de différents types, de même que toutes les entreprises et les instituts dans le monde entier. Grâce
à votre vigilance, ces attaques peuvent généralement être contrées. Les sessions de formation et
les campagnes de sensibilisation se sont montrées très utiles en bien des occasions. Néanmoins, les
choses pourraient encore être améliorées (voir notre article du Bulletin : « Un clic, et patatras
(encore) »). La sécurité informatique est une cible mouvante, et les mesures de défense nécessitent
des adaptations et des ajustements constants. L'attaque mentionnée plus haut à l'été 2015 et
l'exercice de gestion de crise lancé par la Direction du CERN en 2016 nous ont amenés à redoubler
d'efforts de protection. Grâce au soutien de la Direction du CERN, quatre initiatives de sécurité
importantes ont été lancées :
 Le service de la messagerie électronique, en collaboration avec l'équipe de la sécurité
informatique, a déployé un outil dédié qui analyse automatiquement tous vos messages
électroniques (voir aussi « Protégez vos clics »). L’outil « Fireeye EX » simule même
l’activité d’utilisateurs en essayant de déclencher tout contenu malveillant présent dans les

55 | P a g e
 courriels envoyés. Il est maintenant pleinement opérationnel et de nombreuses vagues de
logiciels malveillants, tels que le Dridex ont été ainsi écartés de votre boîte de réception.
 Quant aux messages qui passent à travers ces filtres, l'équipe Windows du département IT
a commencé à déployer des PC Windows à la sécurité renforcée, destinés aux collègues
appelés régulièrement à ouvrir des pièces jointes non sollicitées, en particulier des fichiers
pdf. S'ils sont infectés, ces pdf pourraient sans aucun doute infecter le PC et les comptes
informatiques locaux. Les PC Windows à protection renforcée sont moins vulnérables, du
fait d'une série de mesures de protection supplémentaires (par exemple, des droits
d'administrateur retirés, un lecteur de pdf de type différent, la désactivation de Flash, des
restrictions d'exécution pour les macros et les commandes locales). Un projet pilote est
déjà en cours auprès de nos collègues du secteur des finances et des ressources humaines.
Un grand merci à tous les participants !
 Grâce à une collaboration entre le secteur des accélérateurs et de la technologie et le
département IT, des protections d'accès supplémentaires sont à l'horizon ; la possibilité
d'une authentification multi-facteur (utilisation d'un jeton matériel en plus de votre mot de
passe) est à l'étude ; ce système pourrait être déployé sur des hôtes Windows et Linux
Bastion dédiés (voir notre article « Améliorez votre mot de passe »). Ces bastions (bien
nommés!) serviront de portail pour tout accès à distance interactif avec le réseau
d'accélérateurs du CERN (« réseau technique ») ainsi que pour l'accès administrateur au
Centre de calcul du CERN.
 Enfin, conformément à une nouvelle stratégie définie par le département des Faisceaux et
le groupe de travail chargé de l'infrastructure informatique et de réseau pour les contrôles
(CNIC), nos collègues du service de virtualisation OpenStack ont commencé à étudier les
moyens de fournir des machines virtuelles dédiées pour la mise au point de systèmes de
contrôle sur le réseau d'accélérateurs. Alors que ces machines virtuelles sont actuellement
situées sur le réseau administratif du CERN, elles devraient être rapprochées des dispositifs
du système de contrôle pour faciliter le développement et les essais.
Bien évidemment, nous faisons tout notre possible pour que ces mesures supplémentaires
s'avèrent aussi indolores et transparentes que possibles dans votre travail quotidien. Cependant,
nous comptons sur vous pour veiller à ce que les activités du CERN soient réalisées avec le maximum
de sécurité.

Une surveillance transparente pour votre protection

(2016)
[Link]
La sécurité informatique peut être assurée de deux manières : dans le plus grand secret, derrière
des rideaux noirs et avec la plus grande discrétion, ou alors de manière ouverte, à travers des
examens approfondis et transparents. Nous estimons que seule la seconde option est compatible
avec le CERN. C'est ainsi que nous procédons depuis toujours. Voici donc un rappel sur les moyens
de surveillance dont nous disposons pour garantir une réponse rapide aux incidents de sécurité
informatique.
Nous surveillons tout le trafic réseau du CERN, qu’il soit entrant ou sortant. Des outils automatiques
recherchent des comportements suspects, par exemple la connexion à des adresses IP, pages web
ou domaines connus pour être malveillants. Ces automatismes vérifient aussi qu’aucun fichier
56 | P a g e
malveillant n’est téléchargé. Enfin, ils analysent statistiquement l'ensemble des connexions pour
identifier les comportements inhabituels. À cela s'ajoute l'analyse automatique de l'historique issu
des serveurs de noms de domaines, permettant une redondance de l'analyse.
Nous scannons en permanence le réseau utilisateur du CERN et tenons à jour un inven taire des
services détectés sur chaque machine : serveurs web, serveurs SSH… L'antivirus, installé sur les
ordinateurs Windows gérés centralement, envoie à nos experts en virus informatiques des alertes
pour toute activité malveillante ou suspecte. De même, tous les courriels qui entrant et sortant du
CERN sont automatiquement analysés par les filtres anti-pourriels de Microsoft. Des outils
statistiques identifient les comptes mail qui envoient des pourriels : il est assez rare que des
utilisateurs arrivent à envoyer plus de 3 000 mails légitimes en un jour...
Nous surveillons vos connexions au CERN par SSH ou par le portail d'authentification unique du
CERN ([Link]). Si l'origine de ces connexions nous paraît inhabituelle (soyez indulgents si elles
ne l’étaient finalement pas), nous vous avertissons automatiquement en vous demandant de
vérifier l'activité concernée. Nous inspectons aussi l'activité sur nos clusters de calculs centraux :
commandes lancées (avec leurs paramètres), activités et connexions réseaux, manipulations du
noyau (« kernel ») ou des logiciels installés… Enfin, nous surveillons des flux d'informations externes
qui, selon leur nature, nous donnent des informations sur des sites web compromis ou vulnérables,
ou qui publient directement des listes de mots de passe volés, etc. Le service « Alertes » fourni par
Google nous aide, lui aussi.
La plupart de ces sources d'informations sont regroupées dans un seul et même système d'analyse.
Celui-ci doit être en mesure d'analyser en temps réel environ un téraoctet de données chaque jour.
Dans le cas où votre compte/site/machine apparaîtrait comme compromis ou infecté, vous
recevriez une notification automatique. Espérons ensemble que cela ne vous arrivera jamais !
Toutes ces données sont conservées pendant un an en cas de nécessité (par exemple dans le cadre
d’une enquête sur un incident informatique) avant d'être définitivement supprimées. Leur accès
est limité exclusivement aux membres de l'équipe de la Sécurité informatique du CERN.
Cependant, soyez assurés que l'équipe de la Sécurité informatique n'a en aucun cas le droit de
fouiller dans vos données pour s'amuser. Tous nos accès sont soumis aux règles informatiques du
CERN (OC5). Les accès directs à votre courrier électronique ou à n'importe lequel de vos fichiers
personnels enregistrés sur les systèmes de fichiers du CERN sont strictement réglementés par la
politique de protection des données du CERN (en cours de rédaction) et ses politiques subsidiaires
(par exemple ici). Ils nécessitent l'autorisation officielle du directeur général. Toute violation de ces
règles est considérée comme une faute professionnelle et impliquerait le licenciement du membre
fautif de l'équipe.

Prendre « Dirty Cow » par les cornes (2016)

[Link]
cern
Quelle ne fut pas ma satisfaction de voir, le soir du vendredi 21 octobre 2016, avec quelle rapidité
le département IT du CERN, les expériences LHC, les équipes du secteur Accélérateur et nombre
d’autres personnes se sont hâtés de protéger leurs systèmes Linux contre une nouvelle et
importante faille de sécurité surnommée « Dirty Cow » (ou CVE-2016-5195). ArsTechnica a qualifié
cette faille « du plus sérieux bogue en matière d'élévation de privilèges que Linux ait jamais connu
», ce qui était suffisamment alarmant pour nous pousser à nous protéger avant le week-end !
57 | P a g e
Il semble que les problèmes de sécurité informatique aient tendance à se manifester en fin de
semaine. « Dirty Cow » est une faille particulièrement sévère qui permet à tout utilisateur local
d'obtenir des privilèges d'administrateur et de contrôler ainsi le système Linux correspondant. Les
systèmes utilisant Scientific Linux CERN (SLC) 5 et 6 semblaient au premier abord avoir été
préservés, contrairement à Centos 7. Quelques membres courageux du département IT ont
cependant prouvé le contraire après avoir passé le jeudi soir à analyser en profondeur les vecteurs
d'exploitation possibles. Ils ont ainsi découvert que les systèmes utilisant SLC 5 et 6 étaient eux -
aussi vulnérables. Malheureusement, comme aucun correctif n'était disponible immédiatement, le
Centre de Calcul du CERN courait un véritable risque en matière de sécurité, en particulier pour ses
systèmes Linux interactifs, comme LXPLUS, LXBATCH et plusieurs autres services Linux interactifs
au sein des expériences et des accélérateurs. Le risque était d'autant plus élevé que le week-end
approchait.
Heureusement le département IT a trouvé une mesure provisoire de protection. De longues heures
ont été nécessaires ce vendredi pour préparer des modules noyaux « System Tap » et prouver que
les conséquences de cette mesure temporaire sur les systèmes Linux étaient minimes (en effet,
seules les fonctions de débogage ont été touchées). Enfin, vers quinze heures, le feu vert a été
donné pour le déploiement massif sur les milliers de serveurs Linux LXBATCH et les centaines de
serveurs LXPLUS du Centre de Calcul du CERN. Enfin, un avertissement officiel a été envoyé à tous
les intéressés, y compris SWAN, ATLAS et CMS, qui ont rapidement appliqué la solution provisoire
à leurs systèmes. Tard dans la nuit, tous les services d'importance critique avaient été sécurisés et
étaient prêts à fonctionner pendant le week-end. Bravo le CERN ! Félicitations à tous !
Addendum : La mesure provisoire de protection n'est plus nécessaire. La faille CVE-2016-5195 peut
être corrigée en utilisant la version la plus récente du noyau Linux disponible via les répertoires
YUM. Il est temps de mettre à jour (et de redémarrer !) votre système !

Pirater le CERN — tout le monde y gagne… (2015)

[Link]
Le premier tour du challenge WhiteHat CERN est terminé (voir ici). Fin mars, une dizaine d'étudiants
de la Fachhochschule St. Pölten (Autriche) ont attaqué le CERN...
Ces attaques se sont déroulées dans le cadre de leur programme d'études pour devenir experts en
informatique et en sécurité informatique. Les tests d’intrusion et la recherche de vulnérabilités font
partie de leur formation; en d’autres termes, ils doivent trouver les faiblesses des systèmes
informatiques.
Habituellement, ces tests sont réalisés dans des environnements de travail tels que « Google
Gruyère », le « Damn Vulnerable Web Application », ou « WebGoat » et « Hackademic » de
l'OWASP. Cependant, bien que ces environnements soient en principe utiles, ils ressemblent
rarement à la réalité opérationnelle sur internet. Le CERN a donc décidé d’offrir aux professeurs de
sécurité informatique la possibilité d'utiliser l'écosystème web du CERN, ainsi que les autres
systèmes accessibles depuis internet, comme terrain de jeu. Permettre aux étudiants d'apprendre
à réaliser des tests d’intrusion et des analyses de vulnérabilité contre des cibles réelles et
opérationnelles est une opération gagnante pour tous.
Les étudiants y gagnent, car ils apprennent à élaborer des stratégies dans un environnement réel –
ce qui est à la fois un avantage et un inconvénient car, en réalité, ce n'est pas aussi facile que dans

58 | P a g e
un environnement de travail dédié, et il y a une certaine probabilité pour que les étudiants ne
trouvent rien (dans le cas où le niveau de sécurité du système qu'ils ont testé est plus élevé que
leurs compétences et leur expertise, par exemple). Pour les professeurs, c'est une opération
gagnante, car ils n'ont pas besoin de s'embêter avec la mise en place d'un environnement de travail,
et peuvent se concentrer sur leur enseignement. Et le CERN y gagne aussi ! Le CERN est attaqué en
permanence de toute façon. Mais le « côté obscur » ne nous dira jamais ce qu'il a trouvé.
Les élèves, eux, devront le dire. Formellement, l'université participante, le professeur superviseur
et le CERN signent un protocole d'accord (Memorandum of Understanding – MoU). Une partie de
ce protocole d'accord est un « code d’éthique » indiquant les règles de base à suivre pour les tests
contre le CERN. L'éthique fait également partie des cours, avant le début des tests d’intrusion à
proprement parler commencent.
Une dizaine d'étudiants de l'Université de Rotterdam ont réalisé leurs exercices d’intrusion ce mois-
ci. La HEIG VD à Yverdon prépare également ses étudiants. Et quatre autres universités à travers le
monde sont actuellement dans le processus de signature du protocole d'accord.
En parallèle, le personnel du CERN et 57 utilisateurs ont passé avec succès les deux formations
WhiteHat d'une demi-journée, signé le même « Code d’éthique », et sont maintenant prêts à tester
les services informatiques du CERN. Des sessions de formation approfondies ont aussi commencé.
Vous pouvez trouver plus d'informations sur le challenge WhiteHat CERN à cette adresse, et vous
pouvez également vous inscrire sur la liste des candidats WhiteHat.
Grâce à ces tests, vous pourrez comprendre, dans le cas où votre service ou système a été piraté,
pourquoi il n'est pas suffisamment robuste. Toute personne mal intentionnée aurait pu en faire de
même, mais soit elle ne s'en est pas donné la peine, soit elle ne l'a tout simplement pas repéré.
Prenez cela comme un avantage et contactez-nous pour améliorer la sécurité et la protection de
votre service : [Link]@[Link].

« HeartBleed », un désastre pour votre vie privée

(2014)
[Link]
« Sur une échelle de 1 à 10, cet incident vaut un 11 », a déclaré Bruce Schneier, expert en sécurité
informatique reconnu (voir ici). En effet, cette vulnérabilité critique, appelée « Heartbleed », touche
toute personne qui se fie à la sécurité des communications et au respect de la vie privée sur
internet. Vous ne pouvez pas l'éviter, alors voyons comment cela vous concerne.
« Heartbleed » est une vulnérabilité pour OpenSSL (CVE-2014-0160), un logiciel qui implémente les
protocoles principaux de sécurisation des échanges sur internet, « Secure Socket Layer (SSL) » et «
Transport Layer Security (TLS) », et qui fournit une bibliothèque cryptographique généraliste. Les
protocoles SSL et TLS sont utilisés pour chiffrer toute communication entre un client et un serveur
et protégeaient votre communication contre l'écoute et l’espionnage... jusqu'en 2012, date à
laquelle cette erreur a été introduite. En l'exploitant, n'importe qui peut obtenir les premiers 64 kB
de mémoire d'un serveur ou d'un client qui utilisent OpenSSL (qui ne sont pas nécessairement des
serveurs web) et peut potentiellement acquérir non seulement le contenu de messages sécurisés,
tels que des mots de passe transmis via https, mais aussi les clefs SSL utilisées pour sécuriser les
communications (voir ici pour plus de détails).

59 | P a g e
Cette vulnérabilité est catastrophique car OpenSSL est utilisé par un nombre important
d'applications : les distributions Linux, le système de stockage Netapp, les systèmes de VPN Cisco
ou Juniper, le logiciel de gestion HP... C'est donc sans surprise que Facebook, Yahoo et même
Google sont concernés. Le CERN n'est pas une exception. Heureusement, nous prenons la sécurité
informatique très au sérieux, et avons donc pris les mesures nécessaires pour prévenir une
potentielle exploitation de cette vulnérabilité. LXPLUS, CERN Eduroam, le service mail du CERN, le
portail « Single Sign-On », la plupart des serveurs web gérés centralement ainsi que les applications
majeures du CERN (par exemple EDMS, EDH) n'ont heureusement pas été affectés. De même, EGI
et OSG ont lancé leurs procédures d'intervention d'urgence pour s'assurer que l'infrastructure de
la Grille reste sûre.
Que pouvez-vous faire?
 Grâce à beaucoup de nos collègues du CERN (au département IT, aux départements
techniques et aux expériences LHC), notre infrastructure est opérationnelle.
 En tant que mesure préventive, il vous a probablement déjà été demandé de changer le
mot de passe de tous vos comptes CERN (ce que vous pouvez faire sur
[Link]
 Si vous possédez votre propre serveur web/de fichier/..., utilisant un système d'exploitation
Linux, tel que CERN Scientific Linux 6, assurez-vous de bien appliquer toutes les mises à jour
disponibles dès que possible (par exemple en utilisant « yum update »). SLC5 et Windows
Server ne sont pas concernés.
 Si vous utilisez Microsoft Windows, Apple MacOS X, iOS ou Linux sur votre
ordinateur/tablette de travail et que vous utilisez un navigateur web tel que Chrome,
Firefox ou Internet Explorer, vous ne devriez pas être touché par cette vulnérabilité. Cela
est aussi valable pour vos ordinateurs personnels.
 Si vous utilisez des services web extérieurs, tels que Facebook, Google, Yahoo et autres,
renseignez-vous auprès d'eux et envisagez de changer vos mots de passe pour ces services.
Ils ont probablement déjà corrigé cette vulnérabilité.

Après « Prism » et « Tempora » : quel degré de

surveillance est acceptable pour le CERN ? (2013)
[Link]
Que de tumulte créé par les révélations d’Edward Snowden sur les opérations de surveillance «
Prism » et « Tempora », dirigées respectivement par la NSA américaine et le GCHQ britannique !
Pourquoi cette chasse aux sorcières contre un dénonciateur occupe-t-elle tant le devant de la scène
médiatique alors que le fait que deux pays aient violé nos vies numériques pendant des années ne
choque personne ?
À travers ces opérations, ils collectent une quantité non négligeable de trafic internet - ils capturent
autant de données par jour que ce que le LHC produit par an (voir l’article du Guardian – en anglais)
! Cela démontre également que la fiction de Georges Orwell - « 1984 » - a fini par prendre corps.
Quel degré de confidentialité sommes-nous prêts à céder pour nous protéger contre des attaques
« terroristes » ? Quel degré de surveillance de nos activités internet est justifié pour se sentir plus
en « sécurité » ? Et quel degré de surveillance est acceptable dans l’environnement académique du
CERN ?

60 | P a g e
Le CERN, plus grand laboratoire de physique des hautes énergies du monde, demeure du LHC, est
une cible de choix pour les pirates et autres attaques informatiques. Le CERN se doit donc de
protéger pro-activement ses biens afin d’assurer son fonctionnement et de préserver sa bonne
réputation. Or, cette protection (et la prévention des accidents) est principalement votre
responsabilité puisque, au CERN, vous êtes responsable de sécuriser vos ordinateurs, réseaux,
données, systèmes et services. Bien-sûr, l’équipe de la Sécurité informatique se tient à votre
disposition pour vous aider à assumer cette responsabilité (voir nos articles du Bulletin « La
“Sécurité”, c'est VOUS ! » et « Pourquoi la "Sécurité" ce n'est pas MOI... »).
Cela dit, la protection ne représente qu’un des aspects importants de la sécurité informatique. La
détection d’abus, d’attaques et d’infiltration en est un autre. En conséquence, l’équipe de la
Sécurité informatique utilise également une série d’outils automatiques de détection d’intrusion.
Ces systèmes, axés sur les réseaux, inspectent le trafic réseau entre le CERN et internet en temps
réel grâce à des modèles malveillants en utilisant « Snort ». Tout le trafic web est notamment
analysé en direct et enregistré pour une durée d’un an afin de faciliter la recherche d’incidents
rétrospectivement. D'autres systèmes de détection d’intrusion en temps réel sont basés sur
l'analyse statistique du trafic réseau agrégé, appelé « flows » ; les données sont également
enregistrées pour un an. En parallèle, les requêtes de résolution DNS (i.e. le processus convertissant
les noms de domaine comme « [Link] » en adresses IP lisibles par la machine) sont
comparées à une liste de domaines malveillants. S’il y a une correspondance, la résolution est
automatiquement bloquée.
Outre la surveillance réseau, des outils de détection d’intrusion axés sur l’hôte sont utilisés sur tous
les clusters Linux publics. Ils surveillent les activités suspectes telles que les tentatives de connexion
illicites, les schémas de connexion étranges, les appels systèmes et les commandes inhabituelles ou
dangereuses. Le logiciel anti-virus central fourni est employé pour détecter les fichiers et
programmes malveillants sur les PC Windows gérés de manière centralisée1. Enfin, nous scannons
en permanence les pages web et les serveurs web pour surveiller les vulnérabilités basiques (par
exemple celles classées parmi les dix risques de sécurité web les plus critiques par « OWASP »), les
systèmes de fichiers pour les informations d'authentification non protégées comme les clés privées
SSH sans protection ou les mots de passe stockés dans des fichiers publiquement lisibles, ainsi que
les dispositifs connectés à nos réseaux pour un inventaire à jour des services informatiques actifs.
Si certaines données sensibles circulent entre les mains de l’équipe de la Sécurité informatique, cela
n’implique pas que vous soyez espionnés, vous et vos activités. En fait, nous ne l’avons jamais fait,
ne le faisons pas, et ne prévoyons pas de le faire. Tout d’abord, nous estimons grandement la
déclaration sur la vie privée numérique du CERN relative à la protection des données personnelles,
ainsi que la politique planifiée de protection des données du CERN. En plus, la mention de l'article
IV des Règles informatiques du CERN (OC5) définit clairement l’étendue de notre travail. Les outils
de surveillance mentionnés ci-dessus sont mis en œuvre de manière autonome et pointent
automatiquement les parties concernées. C’est uniquement lorsqu’une activité suspecte a été
reportée que les membres de l’équipe de la Sécurité informatique prennent le relais et essaient de
comprendre les détails de l’incident, évaluent son impact et engagent les procédures. De même,
nous n’intervenons jamais sans accord si des requêtes légitimes requièrent l’accès aux boîtes mail
ou aux fichiers privés stockés sur AFS ou DFS. Les procédures pour accéder à de telles données sont
précisément définies dans OC5.

1
Obtenez-en une copie pour votre usage personnel ici pour les PC Windows et là pour les Mac.
61 | P a g e
L'attrait pour le chiffrement sans fil (2013)
[Link]
Suite à notre article « Jekyll ou Hyde ? Mieux vaut naviguer en toute sécurité » paru dans le dernier
numéro du Bulletin, certaines personnes se sont demandé pourquoi le réseau sans fil du CERN
n'était pas chiffré...
Il existe de nombreuses explications. La plus simple étant l’ergonomie: la communication et la
gestion des clés d'accès correspondantes deviennent très difficiles étant donné le grand nombre
d'appareils sans fil présents sur le réseau du CERN. Les clés deviendraient rapidement publiques,
par exemple lors de conférences, et seraient écrites sur des tableaux. Ensuite, il y a tous les
appareils qui ne peuvent pas être configurés facilement pour utiliser des protocoles de chiffrement
- un fait qui engendrerait beaucoup d'appels au Service Desk du CERN... Mais notre argument
principal est que le chiffrement sans fil est trompeur.
En effet, il ne protège que le réseau sans fil contre les accès non autorisés (et le réseau du CERN a
déjà d'autres moyens pour se protéger contre cela). Vous pourriez avoir un faux sentiment de
sécurité, le trafic étant chiffré entre votre appareil et le point d'accès sans fil… mais il ne l'est plus
au-delà. Car en réalité, le trafic transite par internet en clair au-delà des quelques premiers mètres
sans fil (sauf si vous prenez des mesures de protection supplémentaires).
Par conséquent, ne vous laissez pas leurrer par le chiffrement sans fil ! Si vous voulez être sûr quant
à la protection de votre vie privée et à la qualité du chiffrement, assurez-vous que le trafic soit
chiffré tout au long du parcours, à partir de votre application locale jusqu'au service distant que
vous utilisez. Vérifiez le « S » (« sécurisé ») dans votre protocole de communication:
 « HTTPS » pour la navigation web sécurisée, comme affiché dans la barre d'adresse de votre
navigateur ;
 « IMAPS » / « POPS » pour le transfert de courriers électroniques sécurisés, la valeur par
défaut pour accéder à votre boîte aux lettres CERN ;
 « SSH » et « SCP » pour un accès à distance sécurisé et le transfert de données,
principalement sur des PC Linux. « SSH » peut même être utilisé pour chiffrer d'autres
protocoles, une technique appelée « tunnel » ;
 sur les PC Windows, il y a aussi « RDP », le « Remote Desktop Protocol », qui est aussi
chiffré.
Bien sûr, le chiffrement ne se limite pas à cela. Afin de protéger votre vie privée et de déjouer la
surveillance, vous pouvez bénéficier de services d' « anonymisation » comme Anomizer ou le réseau
Tor. Ils cachent votre adresse IP et acheminent le trafic à travers un réseau de « proxy », rendant
l'identification des intermédiaires de routage très difficile.
Si vous hébergez des données sensibles ou confidentielles (voir la nouvelle Politique de protection
des données au CERN), des protections d'accès et le chiffrement des données sont un must ! Cela
est particulièrement vrai si vous gardez ce genre de données sur une clé USB ou un ordinateur
portable, qui peuvent tous deux être facilement perdus ou volés... TrueCrypt est un bon outil libre
de chiffrement à la volée des données stockées pour Windows, Mac et Linux.

62 | P a g e
Pourquoi j'aime les coupures de courant... (2012)
[Link]
Coupures de courant accidentelles - une crainte permanente lorsque l'on exploite des accélérateurs
ou des services informatiques, car il faut beaucoup de temps pour s'en remettre. Même si je suis
vraiment désolé pour ceux qui sont sous pression pour que leur service soit à nouveau opérationnel,
et si je regrette profondément la perte de temps d'arrêt et de disponibilité, je dois admettre que
j'aime bien les coupures d'électricité : les coupures d'électricité font redémarrer les ordinateurs !
Et le redémarrage des ordinateurs au CERN provoque l'application automatique de tous les
correctifs logiciels en attente.
Mais ne croyez pas que je suis égoïste, et que j'approuve les coupures d'électricité. Pas
nécessairement! Je suis déjà heureux si vous-même mettez régulièrement à jour votre (vos)
ordinateur(s), « régulièrement » signifiant au moins une fois par mois:
 Si vous avez un ordinateur Windows central, ou géré localement, donnez une chance à ce
petit icône orange clignotant « CMF », dans la barre des tâches, d'appliquer tous les
correctifs en attente, dans la soirée. De plus, laissez-le redémarrer l'ordinateur à la fin!
 Si vous avez un ordinateur personnel avec votre propre système d'exploitation Windows,
vérifiez « Windows Update » dans la liste des programmes du bouton « Démarrer ».
Basculez vers la méthode « automatique » de mise à jour qui est recommandée!
 Sur les distributions Linux, assurez-vous que vous exécutez régulièrement « yum update ».
Ou mieux encore, permettez les mises à jour automatiques. N'oubliez pas de redémarrer
votre ordinateur quand un nouveau noyau est installé, afin de bien appliquer les patchs du
noyau!
 Pour les Macs d'Apple, utilisez le mécanisme de mise à jour logicielle qui est accessible dans
le menu Pomme.
 Enfin, familiarisez-vous sur la façon de mettre à jour vos appareils mobiles, par exemple,
iPhones, iPads ou les téléphones Android.
Bien sûr, le système d'exploitation n'est pas le seul qui doit être mis à jour. Faites attention aux
messages de notification émis lors de l'exécution de vos applications préférées. Si votre application
est gérée de manière centralisée par le département IT du CERN, ils feront le nécessaire. Toutefois,
s'il s'agit d'un programme que vous avez téléchargé et installé à partir d'Internet, c'est à vous de
vous assurer qu'il est bien à jour et patché... Si vous avez un doute (et que vous utilisez un système
Windows), vous pouvez installer et exécuter ce programme légitime de Secunia, qui vérifie votre
ordinateur à la recherche de logiciels obsolètes.
Ainsi, aidez-nous à nous affranchir de la nécessité des coupures de courant : mettez à jour votre
ordinateur au moment opportun.

63 | P a g e
Comptes et mots de passe
Faux concours de mots de passe sécurisés (2018)
[Link]
competition-not
Bon. Apparemment notre « concours du mot de passe le plus sécurisé », annoncé dans le dernier
numéro du Bulletin, a été facilement repéré comme étant un poisson d'avril... Félicitations à tous
ceux et celles qui n'ont pas mordu à l'hameçon. J'espère que tous les autres sauront garder le
sourire :) Nos excuses à ceux qui espéraient rencontrer des personnes possédant un mot de passe
semblable au leur.
En fait, sécuriser son mot de passe est l’une des pierres angulaires de la sécurité au CERN (et ailleurs
aussi). Rappelez-vous qu'à l'heure actuelle, votre mot de passe est, dans bien des cas, votre seule
clé d'accès à un service informatique (ou, dans le cas du CERN, à tous les services informatiques via
son portail d’authentification unique), et également votre seule protection. Perdre cette clé signifie
exposer tous vos documents et toutes vos données. Si votre mot de passe CERN venait à tomber
entre les mains d'une personne malveillante, cette dernière pourrait faire mauvais usage des
ressources informatiques de l'Organisation, comme envoyer des pourriels dans le monde entier en
utilisant votre adresse électronique, instancier des machines virtuelles dans le centre de calcul afin
de générer illégalement de la crypto-monnaie, télécharger auprès de la bibliothèque du CERN des
revues numériques auxquelles le Laboratoire a souscrit, espionner votre travail pour attaquer
ensuite les services informatiques ou les systèmes de contrôle sur lesquels vous travaillez ou que
vous gérez, ou encore se servir de votre ordinateur pour en pirater d'autres, au CERN ou ailleurs.
Chez vous, perdre la protection de votre ordinateur peut mettre votre vie privée en danger en
exposant votre profil Facebook, vos fils Twitter, vos messages Instagram, vos services bancaires en
ligne, ainsi que vos photos et vidéos stockées dans votre ordinateur. En volant le mot de passe de
votre ordinateur, les pirates peuvent en prendre totalement le contrôle et enregistrer ainsi tout ce
que vous tapez sur votre clavier, vous observer à travers la webcam ou vous écouter grâce au
microphone intégré.
C'est la raison pour laquelle un mot de passe est personnel et doit le rester. Le CERN ne garde pas
en mémoire votre mot de passe, juste des fragments pêle-mêle sous forme d'une empreinte
mathématique protégée correctement par des spécialistes de la gestion des identités du
département IT. Le Service Desk et l'équipe en charge de la sécurité informatique ne connaissent
pas votre mot de passe, et ne veulent pas le connaître. Il est donc inutile de le leur donner. S'ils ont
besoin d'accéder à des ressources informatiques liées à votre compte, des procédures existent pour
lesquelles votre mot de passe n'est pas nécessaire (voir les dispositions relatives à l'« Accès par des
tiers aux comptes et aux données des utilisateurs » des Règles informatiques du CERN). De même,
vous n'avez pas à divulguer votre mot de passe à des tiers, comme vos collègues ou votre
superviseur. D'ailleurs, cela ne devrait jamais vous être demandé. Si le cas devait se présenter,
contactez-nous pour nous en expliquer la raison et nous trouverons un moyen pour vous éviter de
le faire. Souvenez-vous, tout comme pour votre brosse à dent, ne partagez votre mot de passe avec
personne et changez-le régulièrement.
Personne ne doit pouvoir deviner votre mot de passe. Rendez-le compliqué en mélangeant des
lettres, des symboles et des chiffres. Plus il est long, plus il est fiable. Pensez à des phrases, par
64 | P a g e
exemple « Maître Corbeau, sur un arbre perché, tenait en son bec un fromage. », qui devient « MC,
suap, tesbuf. » Ou bien, si vous avez un esprit mathématique, utilisez des formules comme «
DeltaX*DeltaP>=h/2Pi » (pour les physiciens*) ou « a**2+b^2=sqr(c) » (pour les ingénieurs et les
techniciens*). Dans tous les cas, ne réutilisez jamais vos mots de passe. Créez un mot de passe
différent pour chaque service, par exemple un pour le CERN, un autre pour Facebook et, bien
évidemment, un autre encore pour votre banque. Si vous avez de la difficulté à vous souvenir de
tous vos mots de passe, utilisez un gestionnaire comme « Keepass », « Trousseau » de Apple ou
même les gestionnaires de mots de passe intégrés dans Internet Explorer/Edge, Firefox, Safari (c.-
à-d. « Trousseau » de Apple) et Chrome. Toutefois, en utilisant de telles applications, vous mettez
en quelque sorte tous vos œufs dans le même panier. Il est peut-être préférable de créer plusieurs
petits paniers pour différents usages.
N'oubliez pas que chez vous, c'est votre vie privée qui est en jeu. Au CERN, ce sont les activités et
la réputation du Laboratoire. Cela vaut la peine de les protéger. Nous vous remercions de faire les
efforts nécessaires !

Faire confiance à sa mémoire ou à un gestionnaire

numérique (2018)
[Link]
password-managers
Le mot de passe, c'est la clef qui ouvre la porte de notre vie numérique. Nous avons un mot de
passe Facebook pour garder contact avec nos amis, Instagram pour partager nos photos, Amazon
et PayPal pour faire des achats, iCloud (ou similaire) pour stocker nos photos, nos vidéos et notre
musique, et enfin un mot de passe « NICE » pour nos activités professionnelles au CERN. Ne pas
protéger son mot de passe, c'est se rendre vulnérable. C'est donner la possibilité à une personne
mal intentionnée d'en apprendre énormément sur notre vie privée (et professionnelle !). C'est
laisser quelqu'un fouiller dans nos affaires, et ce, à notre insu. On comprendra dès lors aisément
qu'il faut faire autant attention à ses mots de passe qu'aux clefs de sa voiture ou de son logement,
qu'à sa carte de crédit ou à son smartphone, sous peine de graves conséquences sur notre vie.
Un bon mot de passe est facile à retenir, est unique pour chaque service numérique, n'a jamais été
communiqué à qui que ce soit et est suffisamment complexe pour ne pas pouvoir être deviné par
un humain ou un outil informatique (notamment en utilisant des attaques dites par dictionnaire,
qui consistent à essayer des mots du dictionnaire ou des combinaisons de mots).
Malheureusement, « facile à retenir », « unique » et « suffisamment complexe » sont des notions
qui peuvent paraître contradictoires. Difficile parfois de se souvenir de dizaines de mots de passe
et de se rappeler à quels sites ils correspondent. Si nos grands-mères n'avaient aucun mal à
mémoriser nombre de numéros de téléphone, c'est autrement plus difficile pour nous. Pourtant, il
existe bien quelques moyens mnémotechniques:
 Choisir un extrait d'une chanson ou d'une poésie et utiliser la première lettre de chaque
mot. Par exemple « Maître Corbeau, sur un arbre perché, tenait en son bec un fromage. »,
qui devient « MC, suap, tesbuf. » ;
 Utiliser une longue phrase telle que « Maître-Corbeau-Sur-Un-Arbre-Perché-Tenait-En-
Son-Bec-Un-Fromage. » ou une formule mathématique comme « sin^2(x)+cos^2(x)=1 » ;

65 | P a g e
  Alterner les minuscules et les majuscules, et intercaler des consonnes et des voyelles, pour
créer des mots dépourvus de sens, qui sont généralement prononçables, et donc faciles à
retenir. Par exemple, « Weze-Xupe » ou « DediNida3 » ;
 Choisir deux mots courts (ou un mot long que l'on segmente) et intercaler des signes de
ponctuation ou des chiffres. Par exemple, « p1gu1+v0lant » ou « ordI!!NAteuR ».
La chose la plus simple à faire est évidemment de réduire le nombre de mots de passe que l'on
utilise. Par exemple, ceux des comptes Google ou Facebook peuvent être utilisés pour des services
que les deux géants ne proposent pas. Par ailleurs, le CERN travaille activement à la mise en place
d'une gestion fédérée des identités, solution qui permettrait d'utiliser l'identifiant et le mot de
passe CERN pour accéder à des services numériques d'autres instituts et universités, et vice versa.
Qui plus est, rien ne vous empêche d'utiliser des mots de passe faciles comme « 123456 » pour des
sites où vous ne publiez rien de personnel, qui ne présentent aucun risque financier et sur lesquels
une personne mal intentionnée ne peut pas vous nuire (par exemple lorsque vous vous inscrivez à
une lettre d'information). Et s'il s'agit de sites que vous consultez rarement et que vous oubliez
votre mot de passe, vous n'avez qu'à en générer un nouveau.
Pour des services numériques plus importants, l'utilisation d'un gestionnaire de mots de passe, qui
permet de stocker tous vos mots de passe et de les protéger avec un mot de passe maître, long et
complexe, peut s'avérer judicieuse. Il en existe plusieurs sur le marché : « Lastpass » , « Keepass » ,
« Trousseau » d'Apple, voire le gestionnaire de mots de passe intégré d'Internet Explorer, de
Firefox, de Safari (par exemple le « Trousseau » d'Apple) ou de Chrome. Mais avant de commencer
à les utiliser, mieux vaut s'assurer que l'on veut bien mettre tous ses œufs dans le même panier. Si
l'appareil qui exécute le gestionnaire de mots de passe est compromis, tous les mots de passe
pourraient l'être aussi, et pas uniquement ceux qui ont été saisis récemment sur cet appareil. Si le
gestionnaire est mal conçu ou s'avère vulnérable, tous les mots de passe sont à risque. Enfin, si vous
perdez l'appareil concerné, vous ne pourrez plus faire appel qu'à votre mémoire. Sans compter le
risque de perte de contrôle, car certains logiciels, « Lastpass » par exemple, stockent les mots de
passe sur un « nuage ». Au bout du compte, il vous appartient de peser le pour et le contre entre
« praticité » et « risque ».
Quel que soit votre choix, il peut s'avérer judicieux d'opter pour l'authentification multi facteur
lorsque c'est possible. Vous l'utilisez déjà pour vos transactions bancaires en ligne, ainsi que sur
Google, Facebook et Twitter. D'autres sites offrent eux aussi ce type de protection.
L'authentification multi facteur sera bientôt mise en place au CERN pour les accès privilégiés aux
services informatiques, le réseau technique et les transactions financières (voir l'article du Bulletin
intitulé « Sécurité informatique : améliorer votre mot de passe »).

Améliorez votre mot de passe (2016)

[Link]
Par le passé, nous vous avons maintes fois répété combien il est important de bien choisir son mot
de passe – qui doit être complexe et unique – pour votre compte CERN (voir l’article : « Oups,
qu'est-ce que cela ? » - voir ici), mais aussi pour vos comptes Facebook, Amazon et tous les autres
(voir l’article : « Quelle est la valeur de votre mot de passe ? » - voir ici). Une précaution toujours
valable, mais peut-être plus suffisante...
Bien sûr, avoir un mot de passe complexe (avec des lettres, symboles, nombres, formules
mathématiques, titres de chanson ou de poème – voir nos recommandations (en anglais)) est
66 | P a g e
toujours nécessaire. Ne pas utiliser le même mot de passe sur différents sites, et surtout, ne jamais
le partager, est primordial (« Votre mot de passe est comme votre brosse à dent - ne le partagez
pas et changez-le régulièrement »). Mais ce n'est pas toujours suffisant. Un mot de passe n’est pas
seulement perdu lorsqu'on le devine ou le force via une attaque par dictionnaire (d'où la nécessité
de choisir un mot de passe complexe qui ne se figure dans aucun dictionnaire), il l’est aussi lorsqu'on
vous espionne. Et un pirate peut espionner un mot de passe complexe tout aussi facilement qu'un
mot de passe simple, juste en installant un logiciel qui enregistre l'activité du clavier de votre
machine. « S’arrêter-réfléchir-cliquer » est la seule manière de se protéger contre de telles attaques
et leurs conséquences : ne cliquez pas sur des liens douteux, et ne cliquez que si vous avez une
entière confiance en leur origine. Malheureusement, comme l'a démontré notre dernière
campagne de prévention (« Un clic et patatras… »), mettre en place un tel logiciel dans notre
environnement est relativement simple pour un pirate informatique. Cette campagne a en effet
montré qu’un pirate aurait facilement pu prendre le contrôle de 10 à 20 % des machines Windows
du CERN et, à partir de là, espionner une grande partie des mots de passe du Laboratoire.
Les conséquences ? Terribles si vous êtes responsable d'un service informatique, si vous faites
fonctionner un accélérateur ou une expérience, ou si vous gérez les finances du CERN. Une fois en
possession de votre mot de passe et des droits affiliés, le pirate va d'abord prendre son temps et
vous espionner. Comprendre comment vous travaillez. Observer quand et comment vous accédez
à vos ressources et à vos services. Récupérer de l'information. Et le jour J, il sera en mesure de se
faire passer pour vous et de frapper fort : il pourra essayer de stopper vos services, manipuler vos
accélérateurs ou vos expériences, ou voler de l’argent. À vos dépends et à ceux de l'Organisation.
La solution ? Tout d’abord, améliorer votre mot de passe (« ce que vous connaissez »), puis le
renforcer grâce à un deuxième gage de votre identité (« ce que vous possédez ») : une preuve
matérielle comme votre téléphone, votre carte d'accès CERN ou une clé USB dédiée. Les banques
demandent très souvent à leurs clients d’utiliser de « petites calculatrices » pour s’authentifier. En
jargon technique, on appelle cela l'authentification multifactorielle. Et grâce à la collaboration entre
le département IT, le département BE et le groupe FAP/AIS, nous évaluons actuellement comment
l'accès aux ressources du Centre de calcul, au réseau des accélérateurs et à leurs systèmes de
contrôle, ainsi qu’aux systèmes financiers pourrait être mieux protégé via une telle authentification.
Bien sûr, cela créera quelques inconvénients mineurs, mais nous nous efforcerons de les réduire
autant que possible. Une authentification un peu plus longue pour un travail beaucoup plus
sécurisé : le jeu n’en vaut-il pas la chandelle ? Pour plus de détails, rendez-vous ici ou contactez-
nous à : [Link]@[Link].
Et pensez aussi à la valeur de vos mots de passe personnels : Facebook, Twitter, Google, Amazon.
Quels dégâts un pirate pourrait-il faire dans votre vie personnelle s’il avait connaissance de votre
mot de passe ? Il pourrait entrer dans vos cercles privés, envoyer des messages en votre nom,
dépenser votre argent, etc. Pour des raisons similaires à celles qui ont poussé le CERN à s’orienter
vers l’authentification multifactorielle, Google et Facebook (et d'autres) vous proposent d'opter
pour ce même type d’authentification. Et nous vous recommandons fortement d'en faire usage,
afin de vous protéger.

67 | P a g e
Quelle est la valeur de votre mot de passe ? (2016)
[Link]
Évidemment votre mot de passe a une valeur puisqu'il vous permet d'accéder à votre PC, à votre
page Facebook, à vos achats sur Amazon, à vos tweets et à une multitude de services fournis par le
CERN. Mais vous êtes-vous déjà demandé quelle était sa valeur pour une personne malintentionnée
?
Grâce à votre mot de passe, je peux prendre le contrôle de votre PC. Je peux installer des logiciels
de façon à mettre en route votre micro et écouter vos conversations et tout ce qui se passe autour
de vous tant que votre PC est allumé. Je peux prendre des captures d'écran régulièrement et
surveiller votre travail. À partir de là, je peux analyser vos habitudes de travail, votre comportement
sur la toile, la façon dont vous écrivez vos mails... Très intéressant, notamment si j'ai l'intention de
me faire passer pour vous (par exemple pour attaquer le CERN et les systèmes sur lesquels vous
travaillez). En outre, en ayant accès à votre PC, je peux installer ce qu'on appelle un « keylogger »
(enregistreur de frappe) et enregistrer tout ce que vous tapez au clavier. Cela inclut tous vos autres
mots de passe : Amazon, PayPal, Facebook, Tweeter. Bien évidemment, grâce à ces mots de passe,
je peux faire mon shopping à vos frais...
Alors, quelle est la valeur de votre mot de passe pour une personne malintentionnée ? Quelques
euros ? Un peu plus ou un peu moins, selon le type de compte. Il existe même des pages web au
marché noir sur lesquelles des malfaiteurs vendent et achètent des noms de compte avec les mots
de passe associés. Pensez à ce qu'un pirate pourrait faire avec votre mot de passe CERN… Première
ligne d'attaque : accéder à votre boîte mail pour envoyer des spams au monde entier. Cela rapporte
de l'argent grâce aux personnes qui y répondent et grâce à l'envoi de mails d'hameçonnage qui
permettent de récupérer d'autres mots de passe. Autre ligne d’attaque : l'accès aux bibliothèques
de logiciels du CERN et à notre bibliothèque de revues numériques – leur téléchargement en masse
et leur revente au marché noir est également source de revenus… aux frais du CERN !
L'accès à votre PC permet aussi de manipuler votre travail. Si vous travaillez dans la finance par
exemple, un pirate peut voler de l'argent au CERN. Si vous avez accès à des ressources de calcul, les
pirates pourraient les utiliser à leurs fins : faire chanter des sites web externes en les menaçant de
rendre leurs pages web inaccessibles ou faire tourner des programmes de calcul de bitcoins ou de
craquage de mots de passe. Si vous avez accès à des systèmes de contrôle, une attaque ciblée peut
même détourner vos droits et stopper vos systèmes.
La question pourrait donc être : est-ce que votre mot de passe est déjà en vente ? Espérons que
non. Vous n'avez qu'à suivre quelques étapes simples pour conserver votre mot de passe, chez vous
et au CERN : assurez-vous de mettre à jour vos PC et portables et d’utiliser un antivirus. N'installez
aucun logiciel téléchargé sur un site douteux. Surfez de façon responsable : prenez le temps de
réfléchir avant de cliquer. Il existe des extensions et des plugins pour les navigateurs qui peuvent
vous aider (par exemple « HTTPS Everywhere », « Ghostery » et « uBlock Origin »). Gardez votre
mot de passe pour vous, ne le partagez pas, ne le tapez pas sur des pages web dont vous n'êtes pas
sûrs. N'utilisez pas le même mot de passe sur des sites différents. Et choisissez un mot de passe
complexe. Le titre et l'interprète d'une chanson que vous aimez (« Money4Nothing---DireStraits »),
une formule mathématique (« DeltaX*DeltaP>=h/4pi »), ou un poème
(« 3quarksforMusterMark! »). Si votre cerveau n'arrive plus à suivre, utilisez un gestionnaire de
mots de passe comme KeePass ou LastPass. Rappelez-vous ce qui est en jeu : si vous perdez votre
mot de passe, vous serez sans défense dans le monde numérique.
68 | P a g e
Qui êtes-vous? (2016)
[Link]
Dans le monde réel, la réponse à cette question est claire. Vous avez beau être complexe et avoir
plusieurs visages, en tant qu’être humain, vous êtes clairement défini. Vous pouvez assez
simplement prouver votre identité, par exemple en montrant votre carte d’identité ou en
demandant à quelqu’un d’attester de votre identité. Il existe tout un ensemble de caractéristiques
qui vous sont propres. Les personnes que vous côtoyez peuvent s’enquérir de certaines d’entre
elles, par exemple demander votre prénom au café du coin, ou votre pointure au club de bowling.
Seules les personnes en qui vous avez totalement confiance connaissent toutes vos
caractéristiques... et encore !
Sur internet, votre identité est une toute autre affaire. Elle est fragmentée. Chaque segment de
votre identité est accessible par un nom d’utilisateur et un mot de passe. De temps en temps,
certains segments sont oubliés ou perdus dans les méandres du net. L’accumulation de centaines
de comptes qui définissent votre « identité » crée des problèmes de sécurité. Pouvez-vous vous
souvenir de tous ces comptes ? Vous est-il possible d’utiliser des mots de passe spécifiques et
suffisamment solides pour chacun d’entre eux ? Trop souvent la réponse est non, et plusieurs
segments de votre identité peuvent alors être dérobés par des personnes mal intentionnées (lisez
cet article (en anglais) pour plus de détails).
Et si on pouvait avoir une seule et unique identité sur internet ? Vous avez peut-être remarqué que
la possibilité de créer des comptes sur certains sites en utilisant vos comptes Google ou Facebook
est de plus en plus courante. Les caractéristiques venant de chacun des services sur lesquels vous
vous identifiez peuvent alors être ajoutées à votre profil social. Ainsi, une représentation de plus
en plus complète de votre « identité » se crée peu à peu sur internet.
La prochaine fois que vous vous identifiez sur le portail d’authentification du CERN (Single Sign-on
- SSO), déroulez la page jusqu’en bas : vous trouverez une option vous permettant de vous identifier
par l’intermédiaire d’une organisation connue, comme par exemple votre université d’origine. Le
CERN a en effet établi une relation de confiance avec certaines institutions et il les autorise à se
porter garant de vous et à attester de votre identité. En permettant l’authentification à partir
d’organisations fiables, nous limitons la création de comptes inutiles ayant des mots de passe peu
solides. De votre côté, en utilisant cette forme d’authentification, appelée aussi « authentification
fédérée » (Federated Login), vous limitez la fragmentation de votre identité. Vous serez toujours
en mesure de faire le choix par vous-même de séparer ou non vos identités sociales et votre identité
dans le monde scientifique.
Ce concept s’appelle la gestion fédérée de l’identité (Federated Identity Management). Vous
pouvez dès à présent accéder à des ressources venant d’autres organisations et d’autres pays en
utilisant votre compte CERN : par exemple Foodle, outil permettant de planifier des meetings et de
créer des sondages - essayez-le ! Le CERN s’est montré un partenaire fiable, et ce service, basé en
Norvège, nous autorise donc à utiliser son application.

69 | P a g e
La protection de votre vie privée au CERN est
importante (2015)
[Link]
Bravo à tous ceux et celles qui ont compris que notre dernier article dans le Bulletin (« Concours
CERN de mots de passe sécurisés » - voir ici) était un poisson d'avril ! Il n'y a évidemment pas
d'analyse, pas de jury, et il n'y aura pas de compétition. Par conséquent, nous avons le regret de
vous informer qu'il n'y aura pas de vainqueur non plus... Évidemment, l'extension de l'historique
des mots de passe et l'idée d'interdire ceux utilisés par d'autres utilisateurs n’ont également aucun
sens.
En réalité, les équipes responsables de la sécurité informatique, du service des comptes
informatiques CERN, du portail d'authentification (Single Sign-On), ainsi que le Service Desk ne
connaissent pas votre mot de passe et n'ont aucune raison de le connaître. Vos mots de passe sont
en effet « salés » et « hachés » au moyen de fonctions de hachage cryptographiques telles que
SHA256 avec salage (et donc non réversibles). Ainsi, il n'y a pas de base de données contenant vos
mots de passe en clair, et personne d'autre que vous ne peut les connaître... sauf, bien entendu, si
vous les avez révélés, intentionnellement ou par accident.
Souvenez-vous que votre mot de passe est le vôtre, et le vôtre uniquement, alors ne le donnez à
personne ! Soyez particulièrement attentifs aux courriels d'hameçonnage (ou « phishing ») qui
tentent de vous convaincre d’envoyer votre mot de passe. Personne de légitime ne vous
demandera votre mot de passe : ni nous, ni le Service Desk, ni votre superviseur. Il en va de même
pour Google, Amazon, votre banque et tout autre service sur internet. N’entrez jamais votre mot
de passe CERN sur des pages web qui ne ressemblent pas au portail d'authentification CERN Single
Sign-On ̶ nous faisons de notre mieux pour que toutes les authentifications se fassent par ce portail.
Vérifiez aussi que la page en question est en « https:// » et qu’elle fait partie du domaine « [Link]
» (actuellement, le portail d'authentification est accessible via [Link]
Dans le cas exceptionnel où nous devrions accéder à votre compte, votre boîte mail, ou vos dossiers
privés (tels que « Mes Documents » sur DFS (Distributed File System) ou « private » sur AFS (Andrew
File System)), des procédures strictes sont appliquées. Imaginons par exemple qu’un de vos
étudiants soit en vacances en Amazonie, injoignable par téléphone ou courriel, et que vous, en tant
que superviseur, ayez besoin d'un document stocké dans sa boîte mail... Les procédures pour
accéder à ce document sont régies par la politique du CERN sur l'« Accès par des tiers aux comptes
et données des utilisateurs ». Soyez prêt à fournir toutes les informations qui pourront vous être
demandées. Le responsable de la sécurité informatique examinera votre requête en vue de son
éventuelle approbation sur la base des informations dont il dispose. Afin de garantir une
transparence totale, le propriétaire légitime du document sera informé de cet accès, afin qu'il
puisse en contester le bien-fondé a posteriori. En revanche, si vous avez besoin d'un accès complet
et illimité à des comptes ou données ne vous appartenant pas, l'approbation écrite du Directeur
général du CERN est nécessaire, ainsi que l’intervention du Service juridique du CERN et du chef du
département IT.

70 | P a g e
Concours CERN de mots de passe sécurisés (2015)
[Link]
competition
Voici revenue l’heure du nettoyage de printemps sur le portail CERN d'identification unique (CERN
Single Sign-On). Nous allons profiter de cette occasion pour examiner l’ensemble des 20 000 mots
de passe utilisés sur les comptes CERN primaires et secondaires, et sur les comptes de service. Cette
campagne a trois objectifs : identifier les mots de passe en double, étendre l'historique des mots
de passe à tous les comptes du CERN, et désigner les « meilleurs » mots de passe et les « plus
créatifs » utilisés au CERN.
Le premier objectif – l'identification des mots de passe en double – permettra de mettre en
évidence les mots de passe identiques ou similaires utilisés pour différents comptes. À partir du 1 er
avril, nous allons interdire la réutilisation d'un mot de passe si quelqu'un d'autre l'a déjà utilisé.
Néanmoins, nous aviserons les utilisateurs concernés à l'avance et leur fournirons les adresses
électroniques des collègues utilisant un mot de passe identique ou similaire. Cette fonctionnalité
permettra de former des groupes d'intérêt et de partage d'expérience.
En parallèle, nous allons étendre l'historique des mots de passe à tous les comptes du CERN. Cet
historique évite actuellement que vous réutilisiez l'un de vos propres mots de passe. Cette fonction
s'étendra aux mots de passe de n'importe quel utilisateur. Une fois qu'un mot de passe aura été
utilisé par l'un des 20 000 comptes CERN, il ne pourra plus jamais être employé.
Enfin, nous avons formé un jury mixte de collègues des départements HR et IT qui récompensera
les mots de passe les plus sûrs et complexes, les plus longs, les plus créatifs ou prosaïques, les plus
drôles et les plus inspirants utilisés au CERN. La sélection se fera sur la base de données des mots
de passe CERN. Les mots de passe gagnants et les noms de leurs propriétaires seront publiés dans
le prochain numéro du Bulletin. Si vous voulez être sûr que votre mot de passe figure dans la base
de sélection, indiquez-nous votre nom de compte (ne nous envoyez PAS votre mot de passe, votre
mot de passe est le vôtre et seulement le vôtre).
Voici quelques conseils pour vous aider à choisir des mots de passe sécurisés :
 Choisissez une ligne ou deux de votre chanson préférée ou d’un poème, et utilisez la
première lettre de chaque mot. Par exemple: « In Xanadu did Kubla Kahn a stately pleasure
dome decree! » devient « IXdKKaspdd! ». Les formules mathématiques sont aussi valables
: « a**2+sqr (b)==c^2 » ;
 Utilisez un mot de passe long comme la phrase même «
InXanaduDidKublaKahnAStately_PleasureDomeDecree! » ;
 Alternez entre une consonne et une ou deux voyelles en mélangeant majuscules et
minuscules. Cela donne des mots dépourvus de sens qui sont habituellement prononçables,
et donc faciles à retenir. Par exemple : « Weze-Xupe » ou « DediNida3 » ;
 Choisissez deux mots courts (ou un long que vous coupez en deux) et reliez-les avec un ou
plusieurs signes de ponctuation. Par exemple: « dogs+F18 » ou « comP!!UTer ».
Rappelez-vous que votre mot de passe est votre « brosse à dents » - une brosse à dents que vous
ne partagez pas et que vous changez régulièrement. Ni vos collègues, ni votre superviseur, le
Service Desk ou l'équipe de la Sécurité informatique n'ont de raisons valables de vous le demander.
Ils ne devraient pas le faire et ne le feront jamais. Cela est également valable pour toute entreprise

71 | P a g e
extérieure : UBS, PayPal, Amazon, Facebook ou Google ne vous demanderont jamais votre mot de
passe !

Oups, qu'est-ce que cela ? (2015)

[Link]
Vous aimez les énigmes, le jeu des sept erreurs ou le jeu de cache-cache « Où est Charlie ? » ? Alors
jetez un œil à la photo ci-dessous, et tentez de trouver l'erreur.

C'est difficile à voir : sur l'autocollant jaune en bas à droite du moniteur est inscrit un mot de passe
permettant d'accéder à l'application web visible à l'écran. Surprenant ! Heureusement, cet
autocollant a rapidement été enlevé par les personnes concernées et le mot de passe a été changé.
Bien entendu, nous devons tous faire des efforts : les mots de passe ne doivent jamais être collés à
l'écran, au clavier, ou au bureau.
Vous vous souvenez peut-être de nos nombreuses campagnes de sensibilisation : votre mot de
passe est comme une brosse à dent. Vous ne le partagez pas et vous en changez régulièrement. Ni
vos collègues, ni votre superviseur, ni le Service Desk, et encore moins l'équipe de la sécurité
informatique, n'ont de raisons valables de vous demander de le communiquer. Ils ne devraient
jamais le faire et ne le feront jamais. Il en va de même des entreprises telles qu’UBS, PayPal,
Amazon, Facebook ou Google - elles ne vous demanderont jamais votre mot de passe ! Votre mot
de passe est à vous et uniquement à vous. Dans ce cas précis, le mot de passe n'était pas personnel,
mais partagé entre différents collaborateurs pour accéder à une ressource partagée, l'application
web visible à l'écran. Quoi qu'il en soit, nous devons mieux faire !
La plupart des comptes partagés sont désormais obsolètes et doivent, dès que possible, être
remplacés par des e-groupes. Faites de même : assurez-vous que le compte personnel de chacun
des membres de votre équipe fait partie d'un e-groupe et limitez l'accès à votre application ou à
votre service à ces derniers. Tous les services web du CERN permettent facilement cette opération ;
il faut utiliser le portail d'authentification unique (SSO) du CERN. Si vous utilisez une application
commerciale qui nécessite absolument un mot de passe partagé, mettez-le dans un fichier chiffré

72 | P a g e
sur AFS ou utilisez un coffre-fort pour mots de passe : par exemple KeePass ou Password Safe. Notez
cependant qu'une telle utilisation se fait à vos risques et périls : ni l'équipe de la sécurité
informatique du CERN ni le département informatique ne cautionnent ces outils. Et de toute façon,
n'écrivez jamais de mot de passe sur une page web ou dans un fichier partagé, qu'ils soient publics
ou d'accès restreint. Si ce mot de passe fait partie du programme et n'est pas modifiable, cherchez
des alternatives et assurez-vous (vérifiez !) que le code source du programme ne le révèle pas. Et,
bien entendu, ne l'écrivez pas sur un papillon collé à votre écran ou à votre clavier, ou dissimulé
sous celui-ci ou dans le tiroir d'à côté.
Pour couronner le tout, le mot de passe écrit sur cet autocollant jaune était « Administrator »…
Souvenez-vous que de bons mots de passe doivent être créatifs (voir l’article « Créativité@CERN »),
mais aussi complexes et différents pour chaque site web (« Sécurité informatique : ne copiez-collez
pas les mots de passe » ), tout en restant privés, c'est-à-dire connus et utilisés par une seule
personne (« Ne laissez pas Chrome exposer vos mots de passe »), et secrets, c'est-à-dire qu’ils ne
doivent être écrits en clair sur aucun document, aucun programme, aucun morceau de papier
(« Sauvegardés et disparus... »). Enfin et surtout, un bon mot de passe doit rester facilement
mémorisable, afin qu'il n'y ait pas besoin de l'écrire. Les règles au CERN sont les suivantes : au moins
huit caractères avec un mélange d'au moins trois des différentes catégories de caractères (lettres
majuscules, lettres minuscules, chiffres, symboles), tout en évitant les mots figurant dans les
dictionnaires des langues principales. Si vous suivez ces règles, votre mot de passe devrait pouvoir
résister pendant un temps raisonnable, par exemple une semaine, aux programmes d’attaque
spécialisés. Pour plus d’informations, consultez nos recommandations.

Ne copiez-collez pas les mots de passe (2014)

[Link]
Qu'est-ce que les cheveux, les parapluies, les guerres et les mots de passe ont en commun ? Au fil
du temps, on finit par les perdre.
Bien que le phénomène soit inévitable, nous pouvons au moins vous aider à en réduire l'impact
pour ce qui concerne les mots de passe. Des millions de mots de passe sont volés ou perdus chaque
année. En partie du fait d’utilisateurs inattentifs tombant dans le piège du « Phishing », où des
personnes mal intentionnées demandent directement aux gens leurs mots de passe, et ceux-ci le
donnent volontairement ; en partie du fait de sites web plus ou moins populaires qui ont été
compromis et dont la base de données de mots de passe a été dérobée.
Par exemple, au cours des dernières années : eBay a demandé à ses 145 millions d'utilisateurs de
changer leurs mots de passe ; LinkedIn a perdu 6,5 millions de mots de passe sous forme de « hash
»* ; le piratage du service CERN HyperNews a rendu publics 4 745 « hashs » de mots de passe. Tout
récemment, 860 000 noms d'utilisateurs, adresses électroniques et « hashs » de mots de passe ont
été volés dans le forum MacRumors, et Adobe a perdu un dossier de 150 millions de combinaisons
adresse e-mail - mot de passe. Aïe ! Au CERN, 746 personnes ont été informées que leur adresse
e-mail du CERN avait été trouvée parmi ces combinaisons. Et il n'est pas improbable que certaines
personnes aient utilisé un mot de passe similaire au CERN. En tout cas, c’est ce que pourraient
laisser penser quelques indications mnémotechniques également dévoilées : « cern id », « nice pw
dec 2011 » et « wie edh », mais aussi « us the year of LHC startup ».
Donc relevez ce petit défi. Nous sommes des gens créatifs ! Les bons praticiens de la sécurité
utilisent des mots de passe complexes et différents pour chaque site. Un bon mot de passe doit
73 | P a g e
être privé (utilisé et connu par une seule personne) ; secret (il ne doit pas apparaître en clair dans
un fichier ou un programme, ou sur un morceau de papier accroché sur l'écran) ; facile à retenir
(donc pas besoin de l'écrire) ; au moins 8 caractères avec un mélange d'au moins trois des éléments
suivants : lettres majuscules, lettres minuscules, chiffres et symboles. Il ne doit pas être inscrit dans
un dictionnaire d'une langue majeure ; ni facile à deviner par un programme dans un délai
raisonnable, par exemple moins d'une semaine.
Un bon mot de passe est une œuvre d'art. Voici quelques conseils pour vous aider à choisir de bons
mots de passe :
 Choisissez un ou deux vers d'une chanson ou d'un poème, et utilisez la première lettre de
chaque mot. Par exemple, « Maître Corbeau sur un arbre perché / Tenait en son bec un
fromage » devient « MCsuap/Tesbuf ». Les formules mathématiques fonctionnent
également bien : « a**2+sqr(b)==c^2 ».
 Utilisez un mot de passe long comme par exemple « /TenaitEnSonBecUnFromage ».
 Alternez entre une consonne et une ou deux voyelles en mélangeant majuscules et
minuscules. Ceci permet d'obtenir des mots absurdes qui sont habituellement
prononçables, et donc facile à retenir. Par exemple : « Weze-Xupe » ou « DediNida3 ».
 Choisissez deux mots courts (ou un long que vous fractionnez) et réunissez-les avec un ou
plusieurs signes de ponctuation. Par exemple : « dogs+F18 » ou « comP!!Uter ».
Rappelez-vous qu’un mot de passe est comme une brosse à dents : une brosse à dents, vous ne la
partagez pas et vous la changez régulièrement. La même chose est valable pour votre mot de passe.
Ni vos collègues, ni votre superviseur, ni le ServiceDesk ou l'équipe de sécurité informatique n’ont
de raison valable de le demander. Ils ne doivent pas le faire et ne le feront jamais. La même chose
est valable pour toute entreprise extérieure : UBS, PayPal, Amazon, Facebook, Google ne vous
demanderont jamais votre mot de passe ! Votre mot de passe est à vous et à vous seulement.
Si vous avez encore du mal à vous rappeler tous vos mots de passe, utilisez un de ces gestionnaires
de mots de passe : KeePass ou Password Safe (mais il faut noter que l'utilisation est à vos propres
risques. Ni l'équipe de sécurité du CERN, ni le département informatique ne supportent ces outils).
Par contre, évitez d'utiliser le stockage de mots de passe proposé par votre navigateur, par exemple
Chrome, Firefox ou Internet Explorer, car les mots de passe ne sont pas toujours stockés de manière
sécurisée (voir à ce sujet notre article du Bulletin « Ne laissez pas Chrome exposer vos mots de
passe »). En particulier, si vous perdez votre appareil, vous pouvez ainsi donner l'accès à vos sites
web préférés ! Une autre bonne raison de ressaisir à chaque fois votre mot de passe, surtout sur
les smartphones, c'est qu'un mot de passe codé en dur pourrait terminer dans les sauvegardes de
l'appareil --- stockées quelque part dans le nuage (« Sauvegardés et disparus... »).

Quand une personne part, les droits d'accès restent

(2014)
[Link]
Nous avons récemment été contactés par un chef de projet embarrassé, car il venait tout juste de
se rendre compte qu'un étudiant, parti fin 2013, avait encore, en février 2014, accès en lecture à
tous les projets : « Comment est-ce possible ?! Dans n'importe quelle autre entreprise, les droits
d'accès seraient révoqués à l'instant même où le contrat de travail prend fin. » Mais il n’en est pas
ainsi au CERN.
74 | P a g e
Depuis toujours, le CERN est un site ouvert, avec une communauté ouverte. Les contrôles d'accès
physiques sont réduits, et vous avez simplement besoin de votre carte d'accès CERN à portée de
main. Des restrictions supplémentaires ont uniquement été mises en place quand la sécurité des
biens et des personnes l'exigeait, et le CERN ne vous oblige pas à porter ostensiblement votre carte
d'accès. Il en est de même pour le monde numérique. Une fois enregistré au CERN, par contrat, via
l’expérience à laquelle vous appartenez, ou via le Bureau des utilisateurs, vous possédez un compte
informatique qui vous garantit un accès à une large variété de services informatiques. Par exemple
l'année dernière, 9730 étudiants/techniciens/ingénieurs/chercheurs/membres du personnel ont
rejoint le CERN. Et autant l’ont quitté, leur contrat avec l’Organisation ou leur université ayant pris
fin. Cependant, une partie de ces personnes reviendront au CERN, avec un nouveau contrat avec
l’Organisation ou avec une autre université. Il n'est en effet pas rare que des étudiants ayant obtenu
un diplôme de master dans une université poursuivent leur carrière par un doctorat sur leur sujet
de recherche dans une autre université.
Si nous avions fait le choix strict des entreprises « normales », nous aurions immédiatement fermé
leur compte, supprimé toutes leurs données, etc., pour nous rendre compte quelques semaines
plus tard qu'ils sont de retour. Quel gâchis ! Par conséquent, le CERN a décidé d'accorder un délai
de deux mois après la fin d'un contrat, deux mois pendant lesquels les comptes informatiques CERN
sont gardés actifs. Si une personne revient, rien n'aura changé dans sa sphère numérique CERN.
Après ce délai, le compte sera automatiquement bloqué et toutes les données (courriels, dossiers,
etc.) seront supprimées après quatre mois supplémentaires. Le chef de projet mentionné
précédemment l'a appris à ses dépens. Il était préoccupé, puisque son projet portait sur des
données sensibles qui devaient être correctement protégées et accessibles aux seules personnes
concernées.
Personne ne devrait ne serait-ce qu'être tenté d'abuser d'accès trop ouverts (voir notre article du
Bulletin « Ne me tentez pas »), sans parler des potentielles fuites de données ou des utilisations
abusives... Ainsi, si vous voulez être prudent et protéger correctement vos données, services et
dossiers, relisez notre article du Bulletin « Sécurité informatique : ‘privé’, c'est privé à quel point ?
». En général, les gens ne sont pas malveillants et, s’ils l'étaient, ils auraient déjà eu le temps d'agir.
Cependant, si nécessaire, vous pouvez nous demander en écrivant à [Link]@[Link]
de bloquer un compte prématurément en nous fournissant une justification écrite de la part du
superviseur correspondant, de sa hiérarchie ou de son chef d'équipe.

Les maths à votre secours ! (2013)

[Link]
Vous souvenez-vous de notre article intitulé « Créativité@CERN » dans lequel nous abordions la
problématique de la création de bons mots de passe, faciles à mémoriser? Vu les commentaires
que nous avons reçus, cela ne semble toujours pas être si simple…
Adoptons donc une autre approche: celle du mathématicien/physicien/ingénieur. Pour eux,
l'utilisation de formules mathématiques est pain quotidien: « Formule du binôme d'extension », «
Loi de Pythagore », intégrales ou dérivés, transformées de Fourier ou Laplace - pour n'en citer que
quelques-unes ; et les formules de physique : « Équations de Maxwell », « Équation de
Schrödinger », modèle standard de Lagrange... Alors pourquoi ne pas faire de votre formule
mathématique ou physique préférée votre mot de passe ?

75 | P a g e
Les mots de passe doivent être longs (au moins 8 caractères) avec un mélange d'au moins trois des
éléments suivants: lettres majuscules, lettres minuscules, chiffres et symboles. «
sin^2(x)+cos^2(x)=1 », « e^ipi=-1 », « Intégrale[x^n,x]=x^(n+1)/(n+1) » ou « ihbar*dPsi/dt=HPsi »
feraient par exemple parfaitement l’affaire ! La variété est infinie, et vous êtes déjà habitués à les
mémoriser depuis l'école ou l'université ! Et si vous avez l'habitude de Latex ou Mathematica, vous
saurez même comment écrire ces formules sans symboles mathématiques...

L'équation Lagrangienne du modèle standard.

Utiliser des formules est en somme une assez bonne technique, du moment que vous n’oubliez pas
les règles de base pour créer de bons mots de passe : ceux-ci doivent être privés (utilisés et connus
par vous seul), secrets (ils ne doivent pas apparaître en clair dans un fichier ou un programme, ou
sur un morceau de papier épinglé à l'écran), faciles à retenir (de sorte qu'il n'est pas nécessaire de
l'écrire), ne figurant pas dans un dictionnaire d'une langue majeure, et difficiles à deviner par un
quelconque programme dans un délai raisonnable. Et bien sûr, vous êtes priés de ne pas mettre
tous vos œufs dans le même panier et d’éviter de réutiliser votre mot de passe sur des sites
différents ou à des fins différentes. La diversité des formules est assez grande pour pouvoir en
choisir (et en mémoriser!) quelques-unes de plus pour couvrir tous vos mots de passe ! Enfin,
n'oubliez pas que « votre mot de passe est comme votre brosse à dents » : vous ne le partagez pas
et le changer régulièrement. Ni vos collègues, ni votre supérieur, ni le Service Desk, ni l'équipe de
Sécurité informatique n’ont de raison valable de vous le demander. Ils ne le doivent pas et ne le
feront jamais. Ceci est également valable pour les entreprises extérieures: UBS, Paypal, Amazon,
Facebook, Google… ne vous demanderont jamais votre mot de passe !

76 | P a g e
Pas de certificat, pas de chocolat (2013)
[Link]
Êtes-vous déjà prêts à utiliser des certificats pour vous connecter au CERN ou pour utiliser le réseau
wifi partout à travers le monde ? Non, je ne parle pas de votre certificat de naissance, ni d'un
certificat médical ou d'un certificat de diplôme. Je fais référence aux « certificats numériques »
utilisés pour vous authentifier là où vous utilisez traditionnellement un mot de passe.
Ces certificats fournissent une alternative fiable pour éviter de devoir taper vos mots de passe. Tout
comme les autres certificats cités précédemment, un certificat numérique est un document officiel
qui prouve qui vous êtes, vos qualifications, etc. Votre certificat numérique personnel CERN est lié
à votre identité numérique au CERN. En cela, un certificat numérique est semblable à un mot de
passe. C'est un moyen d'identification qu'il ne faut partager avec personne ! Si je possède un
certificat numérique émis pour vous, je peux me faire passer pour vous et prendre le contrôle de
votre boîte mail, de vos sessions web et de bien plus...
Les certificats numériques lient votre identité numérique à une infrastructure à clés publiques (PKI).
Cette dernière est basée sur une constatation mathématique simple : il est plus facile de multiplier
que de diviser, ce qui explique la difficulté à factoriser des nombres premiers (voyez par exemple
8633=89*97, alors imaginez des nombres premiers avec des milliers de chiffres). En utilisant un
algorithme sophistiqué, cette difficulté est utilisée pour créer une paire de certificats : un « public »
et un « privé ».
Le certificat public peut être partagé pour que d'autres puissent, par exemple, chiffrer des emails
que vous seriez le seul capable de lire, en utilisant votre certificat privé. À l'inverse, votre certificat
privé peut être utilisé pour prouver que vous être celui que vous prétendez être si votre
correspondant connaît votre certificat public. Au CERN, vos certificats numériques sont signés par
l'autorité de certification du CERN afin de prouver votre identité. Il s'agit, bien entendu, d'une
version très simplifiée de la méthode (pour plus de détails, lisez le standard X.509), mais cela peut
vous donner une idée de ce que qu'il se passe en coulisses...
Au sein de la communauté des hautes énergies et notamment au CERN, les certificats sont utilisés
dans un certain nombre d'endroits. Par exemple, pour soumettre une tâche à la grille du LHC
(Worldwide LHC Computing Grid, WLCG), vous avez besoin d'un certificat émis par le CERN ou votre
institut d'origine. Le CERN fait partie de l'International Grid Trust Federation (IGTF/EUGridPMA),
qui établit des relations de confiance entre les membres de la communauté de la grille, au niveau
des politiques et de l'implémentation. Cette fédération garantit que votre certificat CERN est
reconnu de façon internationale par tous les partenaires IGTF ; un bel exemple de relation de
confiance internationale entre pairs.
Si vous voulez vous authentifier au CERN via le portail d'authentification unique (Single Sign-on), un
certificat CERN en est un moyen fiable. Un deuxième certificat dédié devra être stocké sur votre
carte d'accès CERN, notamment si certains sites particuliers vous demandent une authentification
à deux facteurs (c'est-à-dire quelque chose que vous savez, un mot de passe, et quelque chose que
vous avez, votre carte d'accès CERN contenant ce certificat).
Vous pouvez aussi utiliser votre certificat pour signer numériquement vos emails et ainsi prouver
que vous en êtes l'auteur. Enfin, grâce au CERN Networking Group, votre certificat CERN installé sur
votre smartphone, tablette ou ordinateur portable vous permet de bénéficier d'une connexion sans

77 | P a g e
fil gratuite et facile d'accès dans tous les lieux où le réseau sans fil « eduroam » est présent (en voir
la liste complète).
Ainsi, pour bénéficier des avantages d'un certificat numérique CERN, créez le vôtre sur le site de
l'autorité de certification du CERN, et suivez la procédure pour l'installer sur vos ordinateurs,
portables, tablettes ou smartphones. Cependant, souvenez-vous que ce certificat doit être
conservé comme votre brosse à dent (ou votre mot de passe) : vous ne devez jamais le partager. Si
celui-ci, ou tout appareil le contenant, est perdu ou volé, merci de révoquer immédiatement votre
certificat sur ce même site afin d'empêcher toute utilisation frauduleuse de votre compte CERN.

Ne me tentez pas! (2013)

[Link]
Vous est-il déjà arrivé, durant votre carrière au CERN, de changer d’activités, de fonctions ou de
responsabilités tout en gardant l'accès à vos « vieux » systèmes de contrôle ou services
informatiques? Accéder à ces systèmes - pour lesquels vous n’avez plus de responsabilités - pour
aider quelqu’un sur la base de vos travaux et expériences antérieurs peut paraître innocent mais...
Examinons de plus près les (mauvaises) conséquences que cela peut avoir.
Dans une ancienne vie, je travaillais pour un développeur de logiciels et expert systèmes pour le
système de sécurité du détecteur (Detector Safety System), un système de commandes utilisé dans
les expériences du LHC. Après le déploiement de ce système, de nouvelles responsabilités m’ont
été assignées, qui m’ont finalement amené à rejoindre l’équipe de la Sécurité informatique du
CERN. Ce système a depuis été pris en main par une nouvelle équipe de personnes compétentes.
Cependant, mon expérience sur le « Detector Safety System » n’ayant pas disparu, j’ai été maintenu
sur la liste d’experts, avec toutes les autorisations d’accès nécessaires. J’ai été honoré, me sentant
estimé et indispensable. Mais, avec le temps, le fait que j'ai toujours l’accès a été oublié. Au fil du
temps, le système a changé, le logiciel ayant été adapté, et des exigences et commandes ayant été
rajoutées. Or, que ce serait-il passé si, en cas de problème, j’avais été sollicité et que j’avais tout
bouleversé?... Au final, je me suis donc arrangé pour que tous mes droits d’accès soient révoqués.
Mais n’est-ce pas de la tentation? Plus il y a d'accès, mieux c’est ?! J’aurais pu utiliser mon
autorisation pour copier le code et le réutiliser dans un autre projet. J’aurais pu avoir accès aux PC
pour réaliser quelques tests ne pouvant être exécutés que sur des systèmes opérationnels. J’aurais
pu être malveillant et empêcher les expériences du LHC de fonctionner… En conclusion, plus il y a
d'accès, pire c'est1! Si j’avais fait mauvais usage de mon accès sur ces systèmes et logiciels, et si
j’avais tout ruiné, je suis certain que l’on aurait pu considérer ceci comme une faute professionnelle.
Alors, ne me tentez pas, ni moi ni personne! Si vous gérez un service, un système ou un logiciel, et
que vous ne voulez pas prendre de risques, instaurez des procédures sur la façon de gérer les droits
d’accès des personnes quittant votre équipe, et appliquez-les! Car au final, c’est vous qui assumerez
les conséquences dans le cas où l’indésirable se produit. Cela pourrait devenir votre faute
professionnelle!

1
Notez que ceci est également la raison pour laquelle vous devez traiter votre mot de passe comme votre
brosse à dents. Vous ne devez pas le partager ! Sinon, vous pourriez en tenter d’autres…
78 | P a g e
Ne laissez pas Chrome exposer vos mots de passe
(2013)
[Link]
Luttez-vous encore pour vous souvenir de votre mot de passe ? (Malgré nos efforts pour vous aider
: « Entraînez votre cerveau : ne mettez pas votre mot de passe sur papier ! », « Créativité@CERN »
et « Les maths à votre secours ! »). Alors, vous avez peut-être envisagé d’utiliser la fonctionnalité «
Sauvez votre mot de passe » dans votre navigateur Chrome, Firefox ou Internet Explorer, pour
stocker vos mots de passe Facebook, CERN, Twitter, Amazon, eBay... Mais prenez garde : ceux-ci
pourraient être facilement lisibles !
Si la fonctionnalité correspondante est activée, Chrome, Firefox, Internet Explorer et autre vous
permettent de retenir vos mots de passe pour des sites spécifiques une fois que vous vous êtes
identifié une première fois. Cependant, comme les mots de passe sont stockés en texte clair, ils
peuvent quand même être lus par n'importe qui ayant accès à votre ordinateur : pour Chrome,
tapez juste « chrome://settings/passwords » et cliquez sur le mot de passe que vous voulez révéler ;
pour Firefox, allez dans « Options > Sécurité > Mots de passe enregistrés » et cliquez sur « Afficher
les mots de passe ». Internet Explorer ne fournit pas de méthode aussi « simple », mais d'autres
outils le font1.
Si vous êtes conscient des problématiques de sécurité et voulez rester hors de danger, n’entrez
jamais votre mot de passe sur un ordinateur que vous ne possédez pas ou en lequel vous n'avez
pas confiance. Les ordinateurs publics comme ceux des cybercafés, hôtels, conférences ou les
ordinateurs près du bureau des utilisateurs du CERN, dans la bibliothèque du CERN ou du centre de
formation du CERN sont de bons exemples. Si vous devez le faire, utilisez la navigation privée, par
exemple, les fenêtres de navigation privées dans Chrome ou Firefox et la navigation « InPrivate »
dans Internet Explorer. Envisagez aussi de changer votre mot de passe une fois que vous retournez
sur votre ordinateur personnel. Pour stocker vos mots de passe sur votre propre ordinateur,
protégez-les avec un mot de passe principal. Dans Firefox, l'option est dans « Options > Sécurité >
Utiliser un mot de passe principal ». Pour Chrome et Internet Explorer, le mot de passe principal est
lié au compte connecté. Autrement, vous pouvez aussi utiliser un gestionnaire de mots de passe
générique tel que KeePass ou Password Safe2.
Cependant, Google a fait une déclaration importante concernant les mots de passe, en soulignant
que la sécurité de vos mots de passe sur votre propre ordinateur dépend fortement de qui y a accès.
Et ils ont raison. La sécurité finale de vos mots de passe individuels dépend fortement du niveau de
protection de votre ordinateur : vos applications, en particulier le système d'exploitation et votre
navigateur, sont-elles mises à jour régulièrement ? De quelle façon naviguez-vous sur internet et
gérez-vous vos emails (« Jekyll ou Hyde ? Mieux vaut naviguer en toute sécurité ») ? Et surtout,
quelle est la force du mot de passe de votre compte ? Vous pouvez trouver des recommandations
sur le choix d'un bon mot de passe sur notre site web.

1
Vous trouverez ici un document très intéressant (en anglais) à ce sujet.
2
Notez que leur utilisation engage votre responsabilité. Ni l’équipe de la Sécurité informatique ni le
département IT ne cautionnent l’utilisation de ces outils.

79 | P a g e
Créativité@CERN (2013)
[Link]
Ne sommes-nous pas innovateurs et créatifs? Construire des accélérateurs complexes et des
analyses sophistiquées en physique n’est pas facile et nécessite bon nombre d'excellents cerveaux.
Certains équipements sont même de purs chefs-d'œuvre, et mériteraient d'être présentés dans un
musée d'art. Certains logiciels s’appuient sur toute la finesse de l'informatique pour optimiser le
dernier petit morceau de puissance de calcul. Oui, nous le sommes. Innovation et créativité
composent notre « surnom ».
Pourtant, je me demande pourquoi ces formidables qualités sont perdues lorsqu'il s'agit de mots
de passe? De récentes analyses de sécurité informatique ont révélé une série de mots de passe non
protégés et, j'espère que vous serez d'accord, « Operator1 », « SamFox » ou « admin123 » ne
reflètent pas notre capacité d'innovation (et pourraient même être pris comme une insulte). Je
crois que nous pouvons faire beaucoup mieux que cela, et je vous encourage à être créatif@CERN!
Relevez ce petit défi. Je suis sûr que vous pouvez faire mieux que vos collègues!
Votre vrai mot de passe, cela dit, doit être privé (il est utilisé et connu par une seule personne),
secret (il n'apparaît pas en clair dans un fichier ou un programme, ou sur un morceau de papier sur
votre écran), facile à retenir (il n'est donc pas nécessaire de l'écrire), d’au moins 8 caractères avec
un mélange d'au moins trois des critères suivants : lettres majuscules, lettres minuscules, chiffres
et symboles, ne figurant dans le dictionnaire d'aucune langue majeure, et n’étant pas facile à
deviner par n'importe quel programme dans un délai raisonnable (moins d'une semaine, par
exemple).
 Un bon mot de passe est une œuvre d'art. Voici quelques conseils pour vous aider à choisir
de bons mots de passe :
 Choisissez une ou deux lignes d'une chanson ou d'un poème, et utiliser la première lettre
de chaque mot. Par exemple, « In Xanadu did Kubla Kahn a stately pleasure dome decree!
» devient « IXdKKaspdd! ».
 Utilisez un long mot de passe, comme la phrase :
« InXanaduDidKublaKahnAStatelyPleasureDomeDecree! » elle-même.
 Alternez entre une consonne et une ou deux voyelles avec un mélange de majuscules et de
minuscules. Cela génère des mots dépourvus de sens qui sont habituellement
prononçables, et donc facile à retenir. Par exemple: « Weze-Xupe » ou « DediNida3 ».
 Choisissez deux mots courts (ou un gros que vous partagez) et concaténez-les avec un ou
plusieurs caractères de ponctuation entre eux. Par exemple: « dogs+F18 » ou « comP!!UTer
».
Enfin, rappelez-vous que votre « mot de passe est comme votre brosse à dents » : vous ne le
partagez pas et vous le changez régulièrement. Ni vos collègues, ni votre supérieur hiérarchique, ni
le ServiceDesk, ni l'équipe de Sécurité informatique n’ont une raison valable de vous le demander.
Ils ne le doivent pas et ne le feront jamais. Idem pour les entreprises extérieures: UBS, PayPal,
Amazon, Facebook, Google ne vous demanderont jamais votre mot de passe ! Votre mot de passe
est à vous - seulement à vous.

80 | P a g e
Entraînez votre cerveau : ne mettez pas votre mot de
passe sur papier ! (2012)
[Link]
Je reconnais complètement que construire un bon mot de passe peut-être difficile. Et s'en souvenir
pendant un certain temps n'est pas facile non plus. Toutefois, le noter sur une feuille de papier et
le cacher dans un tiroir de votre bureau (ou même le mettre sur un pense-bête autocollant sur
votre moniteur) n'est pas une solution valable. Cela viole les règles informatiques du CERN.
Vous pouvez faire mieux! Entraînez votre cerveau! Voici quelques conseils pour vous aider à choisir
de bons mots de passe:
 Choisissez une ou deux lignes d'une chanson ou d'un poème, et utilisez la première lettre
de chaque mot. Par exemple, « In Xanadu did Kubla Kahn a stately pleasure dome decree!
» devient « IXdKKaspdd! »;
 Utilisez un mot de passe long comme la phrase:
« InXanaduDidKublaKahnAStatelyPleasureDomeDecree! » elle-même;
 Alternez entre une consonne et une ou deux voyelles avec un mélange de majuscules /
minuscules. Cela crée des mots dépourvus de sens qui sont habituellement prononçables,
et donc facile à retenir. Par exemple: « Weze-Xupe » ou « DediNida3 » ;
 Choisissez deux mots courts (ou un long que vous divisez) et reliez-les avec un ou plusieurs
caractères de ponctuation. Par exemple: « les chiens + F18 » ou «!CompUter ».
Pour plus de conseils sur la façon de choisir un bon mot de passe, consultez cette page.
Rappelez-vous également qu'aucune personne légitime ne vous demandera jamais votre mot de
passe. Jamais! Ainsi, si vous y êtes invités par votre superviseur ou chef d'équipe, le ServiceDesk ou
par quelqu'un d'autre (comme ces faux appels téléphoniques prétendant venir de Microsoft),
refusez! Ils ne doivent pas vous demander votre mot de passe. Votre mot de passe est personnel!
Au lieu de cela, signalez-le à [Link]@[Link] et nous prendrons les mesures
appropriées. Si vous pensez que votre mot de passe peut avoir été exposé ou volé, alors changez-
le ici.
Bien sûr, ceci est aussi valable pour tous les autres mots de passe, par exemple, ceux que vous
utilisez chez Amazon, Twitter ou Facebook. Cependant, n'utilisez pas le même mot de passe pour
tous ces sites, car cela pourrait augmenter le risque d'exposition. Vous pouvez faire mieux et utiliser
un mot de passe distinct pour chaque site. Encore une fois : entraînez votre cerveau !

1 000 mots de passe exposés, qu'en est-il du vôtre ?

(2011)
[Link]
Dans les trois derniers numéros du Bulletin, nous avons souligné l'importance de la confidentialité
de vos mots de passe. Rappelez-vous: votre mot de passe doit être traité comme une brosse à
dents, ne le partagez pas, et changez-le régulièrement ! Et ce n'est pas seulement valable pour votre
mot de passe du CERN, mais aussi pour tous ceux que vous utilisez pour vous connecter à votre
université ou laboratoire, aux portails Facebook ou Twitter, ou à d'autres sites Web.

81 | P a g e
Malheureusement, les contrôles de sécurité récents ont révélé une large faille au CERN. En
seulement une semaine, plus de 1 000 mots de passe différents ont été transmis en texte clair en -
dehors du pare-feu de périmètre extérieur du CERN. « Texte clair » signifiant que le mot de passe
est lisible par n'importe quel individu pouvant intercepter la communication.
Vérifiez que votre connexion Web est sécurisée! Cela peut facilement être vu dans la barre
d'adresse de votre navigateur Web. Si l'adresse commence par "https", c'est bon. Si ce n'est que
"http" (sans "S"), votre mot de passe est vulnérable et peut être facilement récupéré par un tiers.
Protégez-vous! Ne tapez jamais votre mot de passe dans une page "http" à moins que celui-ci soit
sans importance pour vous et non utilisé par ailleurs. Changez-le si vous l'avez fait dans le passé. Si
vous connaissez les propriétaires de ces sites Web, par exemple l'équipe de sécurité, contactez-les
et informez-les de cette faille. Ils seront heureux de s'améliorer. Enfin, consultez nos
recommandations pour les mots de passe ici.

Les vacances approchent — Les mots de passe partent

(2011)
[Link]
La saison des vacances approche et avec, les meilleures chances de perdre votre mot de passe !!
Si vous souhaitez accéder à votre boîte aux lettres CERN ou aux autres installations informatiques
du CERN depuis un café Internet à votre hôtel, résistez et réfléchissez-y à deux fois. Est-ce que le
PC local est digne de confiance? Il ne l'est très probablement pas. Il pourrait ne jamais avoir été mis
à jour, et ainsi, avoir été infecté par de nombreux virus informatiques depuis longtemps. Pire, des
personnes malicieuses pourraient y avoir installé des outils pour voler votre mot de passe lorsque
vous le tapez. Par conséquent, il est préférable d'utiliser votre propre ordinateur portable ou un
téléphone mobile pour de telles activités. Si vous avez décidé de vous connecter au CERN depuis
un ordinateur non sécurisé et que vous avez tapé votre mot de passe CERN, envisagez sérieusement
de le changer en allant à [Link] et ce dès que vous avez accès à un ordinateur
digne de confiance.
Toutefois, faites également attention lorsque vous utilisez votre propre ordinateur portable ou
appareil mobile : les communications sans fil peuvent être interceptées. De nombreux points
d'accès sans fil, par exemple dans les aéroports, ne chiffrent pas et ne protègent pas le trafic réseau
par défaut. Lorsque vous accédez à des pages Web sensibles comme votre boîte aux lettres CERN,
votre compte bancaire ou votre profil Facebook, vous devez vous assurer que vous utilisez des
protocoles chiffrés. Par exemple, recherchez "HTTPS" dans votre barre d'adresse du navigateur (et
éviter "HTTP"). Si vous vous connectez directement aux serveurs de messagerie CERN, cependant,
vous êtes en sécurité: ils n'acceptent que les connexions chiffrées.
Enfin, prenez soin de votre ordinateur portable. Des milliers de portables sont perdus chaque année
dans les aéroports internationaux, sans parler de ceux qui sont volés. Et comme si ce n’était pas
assez grave, la perte d'un ordinateur portable CERN détenant des documents sensibles ou
confidentiels peut également devenir gênante pour l'Organisation. Optez pour le chiffrement de
vos données ou envisagez de laisser un tel ordinateur portable à la maison. Souvenez-vous, la perte
d'un ordinateur portable avec des données confidentielles du CERN pourrait être considérée
comme une faute professionnelle...

82 | P a g e
Bonnes vacances et profitez-en bien !

Qu'est-ce qu’une bonne brosse à dents, heu, mot de

passe ? (2011)
[Link]
Vous rappelez-vous de la réponse ? « Votre mot de passe doit être traité de la même manière
qu'une brosse à dents : vous ne le partagez pas et vous le changez régulièrement ! » Après notre
article paru dans le précédent Bulletin du CERN, nous avons reçu plusieurs questions sur la
manière de choisir un bon mot de passe et comment ne pas l'oublier par la suite… Donc, allons-y.
Un bon mot de passe est :
 Privé : il est utilisé et connu par une seule personne ;
 Secret : il n'apparaît jamais non chiffré (dans aucun fichier ou programme, ni même sur
un bout de papier collé sur l'écran) ;
 Facile à retenir : afin qu'il ne soit pas nécessaire de l'écrire ;
 Long de huit caractères au minimum et avec un mélange d'au minimum trois des points
suivants : lettres majuscules, lettres minuscules, chiffres et symboles ;
 Absent du dictionnaire des langues les plus courantes et non déchiffrable par un
programme dans une limite de temps raisonnable.
Il existe quelques astuces pour vous aider à choisir de bons mots de passe :
 Choisissez une ligne ou deux d'une chanson ou d'un poème et utilisez la première lettre
de chaque mot. Par exemple, « In Xanadu did Kubla Kahn a stately pleasure dome decree
» devient « IXdKKaspdd » ;
 Alternez les consonnes et les voyelles : choisissez une consonne, puis une ou deux
voyelles, le tout écrit en majuscules et minuscules. Cela vous donne des mots sans aucun
sens mais que l'on peut généralement prononcer, ils sont donc faciles à retenir. Par
exemple : « Weze-Xupe » ou « DediNida3 » ;
 Choisissez deux mots courts (ou un long que vous coupez en deux) et reliez-les avec des
caractères de ponctuation. Par exemple: « dogs+F18 » ou « comP!!UTer ».
Si vous avez besoin de plusieurs mots de passe, un pour le CERN, un autre pour Facebook, eBay
ou Amazon par exemple, ne réutilisez PAS le même mot de passe pour tous les services. Utilisez
différents mots de passe pour différents usages. Pour ne pas les oublier, vous pouvez prendre
votre CD de musique favori et lui appliquer les règles dictées ci-dessus. Comme alternative, vous
pouvez utiliser l'un de outils de gestion de mots de passe suivants: KeePass Password Safe,
Passwordsafe (veuillez noter que l'utilisation de ces logiciels est à vos « risques et périls ».
L'équipe de sécurité informatique et le département IT ne fournissent pas de support
informatique pour ces outils).

83 | P a g e
Qu'est-ce que votre mot de passe et votre brosse à
dents ont en commun ? (2011)
[Link]
Votre mot de passe est votre carte d'accès dans le monde numérique. eBay, Amazon, Facebook,
Twitter, FNAL, DESY, CERN - tous demandent votre mot de passe pour vous authentifier et prouver
que vous êtes-vous. Et vice versa. C'est-à-dire que si je connais votre mot de passe, je peux me faire
passer pour vous et acheter sur eBay ou Amazon avec votre argent, publier des messages
désagréables sur votre Twitter ou Facebook, ou encore abuser des services CERN/DESY/FNAL en
votre nom !
En effet, des comptes CERN ont été compromis dans le passé pour envoyer des e-mails non désirés,
communément appelés SPAM. Êtes-vous enthousiaste à l'idée d'éliminer des dizaines de milliers
de réponses à ces messages dans votre boîte aux lettres électronique? Ce n'est pas très amusant.
Est-ce que vous me donneriez votre carte bancaire et son code PIN ? Bien sûr que non! Appliquez
également la même règle pour vos identifiants numériques tels que vos mots de passe, clés SSH,
certificats, carte du CERN, etc. Soyez particulièrement attentif à toute tentative de vol de votre mot
de passe. Le personnel informatique du CERN, ainsi que l'équipe de sécurité informatique, ne vous
demanderont jamais votre mot de passe (de même, une personne légitime ne vous demandera
jamais votre mot de passe Facebook, FNAL, eBay...). Donc, méfiez-vous des messages demandant
votre mot de passe, que ce soit par e-mail ou par quelque autre moyen. Ne l'envoyez jamais par e-
mail et utilisez-le seulement dans les sites web que vous connaissez et auxquels vous faites
confiance.
Rappelez-vous : votre mot de passe doit être traité de la même manière qu'une brosse à dents :
vous ne le partagez pas et vous le changez régulièrement !
Pour plus d'informations et des astuces afin de vous aider à choisir de bons mots de passe, rendez -
vous ici.

84 | P a g e
Sécurité des courriels et des sites Web
Un clic pour vous sensibiliser (2018)
[Link]
awareness
Un mois après notre article « Curieux, prenez garde aux liens ! » paru fin février dans le Bulletin,
nous avons mené notre « campagne de clics » annuelle. Environ 20937 courriers électroniques
« suspects », basés sur un modèle créé par des étudiants de l’Université de Rotterdam avec
uniquement des informations qu’ils ont pu trouver sur les pages web publiques du CERN, ont été
envoyés à toutes les personnes ayant une adresse électronique CERN. Un grand nombre de
personnes nous ont immédiatement informés de ces messages malicieux, quelques-unes se sont
rendu compte qu’il s’agissait de notre campagne de sensibilisation, et certains destinataires ont
cliqué...
Vous êtes toujours curieux? Regardez ces exemples de « phishing » envoyés par un certain
“[Link] @ [Link]” ; ce message demandant de vérifier votre adresse électronique
pour un compte « CERN Lightweight » (“support @ [Link]”) ; celui-ci vous demandant de
confirmer votre compte pour la « mise à jour des pensions du CERN », envoyé par « [Link] @
[Link] » ; ou cette demande issue de l’adresse « évaluation pour les étudiants et enseignants du
CERN », envoyée par « outreach @ [Link] » et vous invitant à formuler des commentaires sur leur
nouveau site web... oui, beaucoup d’adresses d’expéditeurs sont étranges. « David Marquinais,
chef de l’appui utilisateurs » et « Fabien Delacroix, directeur du CERN »... n’existent pas. Il en va de
même pour « [Link] » et « [Link] » (qui, dans une police de petite taille, ressemble à
« [Link] »). Le CERN utilise uniquement « [Link] » et « .cern ». Si vous lisez les textes contenus
dans ces messages, les liens qui y figurent paraissent étranges et ne semblent pas avoir de rapport
avec le CERN. Ces individus mal intentionnés (dans le cas présent les étudiants de
Rotterdam) essaient pourtant de vous faire croire que ces messages sont authentiques. Afin que
vous cliquiez sur les liens, et que vous tombiez dans le piège.
Le fait de cliquer n’a pas eu de conséquences fâcheuses... cette fois-ci. Mais dans la réalité, face à
de réels courriers électroniques malveillants, un seul clic peut être fatal à votre ordinateur; un seul
clic peut suffire à l’infecter, à le mettre en danger. Avec un seul clic, un attaquant pourrait être en
mesure d’installer un logiciel sur votre ordinateur (PC, Mac ou portable, moins probablement sur
des systèmes Linux) qui enregistre chaque caractère que vous tapez sur le clavier, de manière à
récupérer vos mots de passe Facebook ou Twitter, ceux vous permettant d’accéder à votre compte
CERN, et même ceux donnant accès à votre compte en banque. Les attaquants peuvent allumer
votre webcam et votre micro afin de vous espionner. Il peuvent télécharger vos documents et les
crypter afin de vous soutirer de l’argent ; et si vous ne faites pas ce qu’ils demandent, ils peuvent
également les rendre publics. Et là, c’est « game over ».
Heureusement, ce n’était cette fois-ci qu’une campagne de prévention; environ 15,2 % des
destinataires se seraient retrouvés « game over ». C’est-à-dire que 15,2 % des personnes ont cliqué
sur les liens contenus dans les messages. Leurs ordinateurs infectés constitueraient à présent une
menace pour l’Organisation. Par rapport aux années précédentes, le chiffres a baissé (18,7 % en
2017 et 16,5 % en 2016). D’autres organisations ont reporté des « taux de clics » comparables. Mais
en fin de compte, ce pourcentage n’est pas très important, car le taux de personnes qui cliquent
85 | P a g e
augmente avec le niveau de sophistication du courrier électronique. Les messages ciblés et bien
faits sont plus difficiles à détecter, et les « taux de clics » sont alors plus élevés. Il faut aussi dire,
pour être honnêtes, qu’un grand nombre de personnes nous ont informés immédiatement après
avoir reçu ce courrier électronique suspect. Grâce à eux, nous aurions été en mesure de bloquer
rapidement le site web, lien ou courrier électronique malveillant. Grâce à eux, nous aurions été en
mesure de mettre en garde les autres. Évidemment, nous ne l’avons pas fait cette fois-ci. Mais dans
une situation réelle, si vous nous informez rapidement via l’adresse [Link]@[Link],
cela peut grandement nous aider à assurer la sécurité du CERN et à réduire l’impact d’une attaque.
C’est pour cela que nous menons ces campagnes de sensibilisation, qui vous aident à identifier
rapidement les courriers électroniques étranges, à faire preuve de vigilance, et à éviter de cliquer
avant de perdre votre vie privée... Et avant de donner accès au CERN à des personnes
malintentionnées. Faites preuve de bon sens. Il est bien entendu difficile de vous protéger d es
messages bien ciblés et sophistiqués, mais vous pouvez déjà vous protéger de ceux qui sont faciles
à détecter. C’est comme dans la vie réelle. Par exemple, si un inconnu nous donne un sachet de
poudre blanche et nous demande de traverser la frontière avec, nous refusons et nous éloignons,
non? Il en va de même dans le monde numérique: si un courrier électronique, son auteur, le
contexte, la langue, le style, les liens et URL qu’il contient, etc., paraissent bizarres, c’est très simple:
ne cliquez pas! Détruisez-le. Et, si vous avez des doutes, envoyez-le nous afin que nous puissions
vérifier. Si quelque chose paraît malveillant, prévenez-nous!

Curieux, prenez garde aux liens ! (2018)

[Link]
Le courrier électronique, quelle fabuleuse invention. Tout comme la messagerie instantanée. Et le
web. Toute cette interconnectivité... Partout, des mots-clés soulignés de bleu, des liens, des URL,
des redirections : tous nous renvoient vers d'autres informations, d'autres photos de chats, d'autres
distractions. C'est extraordinaire, un véritable Noël à portée de clic : toujours plus de cadeaux à
déballer. Une infinité de cadeaux ! Pourtant, certains d'entre eux peuvent contenir une mauvaise
surprise...
Tout repose sur la confiance que vous accordez à la personne qui a rédigé le courriel, le message
instantané ou la page Web, ou à la personne qui a créé les liens et les URL... et au Père Noël pour
les cadeaux. Et s'il ne fallait pas faire confiance ? Vous iriez vous balader à 4 heures du matin dans
une ruelle sombre, sans issue, réputée malfamée ? Vous vous risqueriez à retirer sa pâtée à un
chien de garde affamé ? Vous accepteriez de transporter un colis confié par un inconnu, quitte à
finir en prison pour possession de drogue ? Vous ouvririez votre porte au sosie d’un tueur en série
recherché depuis longtemps par la police dans votre région ?
Certainement pas ! Mais alors, comment expliquer que de si nombreuses personnes n'écoutent pas
leur bon sens et cliquent sur des liens contenus dans des courriels envoyés par des inconnus,
ouvrent des pièces jointes dont elles ne connaissent pas l'auteur, cliquent sur des pages web sans
être sûres de leur origine ? Un clic malencontreux et votre ordinateur peut se retrouver infesté. Un
seul virus et votre vie numérique n'est plus protégée. Pour nombre d'entre nous, notre ordinateur,
et a fortiori notre ordinateur portable, notre smartphone ou notre tablette, donnent accès à un
concentré de données personnelles : photos, vidéos et documents privés, données bancaires ou
comptes sur les réseaux sociaux (Facebook ou Twitter, ou encore des sites de streaming audio ou
vidéo), voire applications contenant des informations sur notre état de santé. Un seul virus, et ces

86 | P a g e
photos, vidéos, documents, coordonnées bancaires et profils personnels, accès aux webcams,
microphones et données médicales, se retrouvent entre les mains de personnes mal intentionnées.
Adieu données, vie privée, vie numérique ! (Voir notre article du Bulletin « Doxware » : le nouveau
rançongiciel.)
Alors, faites preuve de bon sens ! Si une personne que vous connaissez à peine vous envoie une
lettre d'amour, c’est suspect. Même chose pour cette pièce jointe de Deutsche Telekom si vous
n'avez jamais vécu en Allemagne, ou ce courriel rédigé dans une langue que vous ne parlez pas.
Votre star préférée ne vous enverra jamais de photos d'elle nue et votre banque ne vous
demandera jamais de réinitialiser votre mot de passe. Ce message qui vous annonce que vous avez
gagné des milliers de dollars sans rien faire est une arnaque, de même que tout ce qu'on vous offre
gratuitement sur l’internet. Pour apprendre à reconnaître un courriel malveillant, reportez-vous à
cette page (en anglais) : [Link]
Seuls les imprudents cliquent sur les liens et mettent leur vie numérique en danger.

Le Higgs n’envoie pas de courriels (2017)

[Link]
« Le boson de Higgs n’existe pas ! » Voici le message qu’ont reçu récemment un certain nombre de
nos collègues du CERN et de membres de notre communauté de recherche du monde entier. Nous
pourrions bien sûr avoir une discussion technique sur les résultats de physique produits par le LHC.
Mais ce n’est toutefois pas le sujet ici. Comme l’ont remarqué nombre de ceux qui l’ont reçu, ce
message semblait avoir été envoyé depuis l’adresse « [Link] [at] [Link] », c’est-à-dire
l’adresse de notre Directrice générale. Ne vous inquiétez pas ; le message ne venait pas d’elle, et
son compte de messagerie n’a pas été piraté. Le problème était en fait lié au fonctionnement
technique du protocole de courriers électroniques et à la manière dont il peut être détourné,
comme dans le cas présent.
Techniquement, les courriers électroniques sont transmis comme des courriers postaux. Dans une
lettre ordinaire, vous pouvez mettre le contenu ou l’opinion que vous voulez : des mots d’amour
ou des menaces, des faits authentiques ou des informations inventées… Et vous pouvez noter sur
l’enveloppe le nom d’expéditeur qui vous chante, et n’importe quelle adresse d’expédition – non
pas la vôtre, mais celle d’un tiers, comme par exemple celle de notre Directrice générale. Enfin, et
cela semble évident, les courriers électroniques peuvent être envoyés à n’importe quelle adresse
électronique (valide ou non). Notre Organisation étant par nature ouverte et institutionnelle, les
adresses électroniques CERN sont publiées sur l’annuaire du CERN, et elles peuvent apparaître sur
beaucoup d’autres pages : listes des participants à une conférence, membres d’une expérience,
listes de gestionnaires de services, listes de roulement pour les expériences, etc.
Il n’existe donc pas de bon moyen technique pouvant bloquer tous les courriers électroniques
envoyés depuis des adresses factices, depuis n’importe où dans le monde. Au niveau local, protéger
les comptes de messagerie CERN n’est pas si simple non plus. Alors que notre filtre anti-spam
s’évertuait à bloquer ces faux messages, le pirate a modifié plusieurs fois son approche dans le but
de contourner les filtres (il a même exprimé sa frustration face à notre filtrage en envoyant
quelques messages intitulés « […] you Service Desk »). Nos gestionnaires de services de messagerie
ont ainsi dû jouer au chat et à la souris... ils ont gagné la plupart du temps, mais quelques courriers
électroniques sont passés à travers les mailles du filet. Nous nous en excusons.

87 | P a g e
Pour ceux qui ont des connaissances techniques : oui, les programmes « SPF », « DMARC » et
« DKIM » pourraient en théorie nous aider, mais toutes ces méthodes ont également leurs
inconvénients, qui peuvent entraîner des problèmes de transmission ou de compatibilité, surtout
avec les listes de distribution standard (voir l’expérience menée par Yahoo! en 2014). Mais cela
pourrait s’améliorer à l’avenir ; par exemple, les logiciels d’envoi de listes de distribution essaient
de s’adapter à ces programmes (voir par ex. [Link]

Halte aux courriels indésirables! (2017)

[Link]
Saviez-vous qu'environ 83 % de tous les messages adressés au CERN sont identifiés comme
indésirables et rejetés ? Le service courriel du département IT travaille dur pour endiguer la vague
permanente de courriels indésirables déferlant sur le CERN, et récemment, un système d'analyse
automatique des contenus malveillants dans les courriels a été déployé. Malgré tout, certains
courriels indésirables, en particulier les plus sophistiqués, se retrouvent dans nos boîtes de
réception. C'est alors à vous de savoir les reconnaître. Voici quelques idées pour vous simplifier la
tâche.
Bien sûr, nos recommandations habituelles sont valables ici aussi : La devise « arrêtez-vous –
réfléchissez – ne cliquez pas » (« protégez vos clics »), ainsi que notre campagne de chasse aux clics
(« un clic et patatras… (Encore) »). Mais pourquoi ne pas commencer par réduire le nombre de
courriels en général, et nous simplifier la vie en tentant de reconnaître les messages inoffensifs ?
 Premièrement, arrêtons de nous spammer mutuellement, encore et encore (voir
« Ménageons nos boîtes mail ! Utilisez votre messagerie à bon escient »). Certes, les
champs « CC » et « CCI » (« BCC » dans les messageries en anglais) offrent beaucoup
d'espace, mais est-ce une raison pour mettre n'importe qui en copie ? Ne devrait-on pas se
limiter à envoyer les courriels aux personnes qui ont vraiment besoin de les lire ? Et est-il
bien nécessaire de cliquer sur « Répondre à tous » juste pour dire merci à l'expéditeur, en
particulier si ce « tous » est un e-groupe de plusieurs centaines de personnes ! Il n'y a donc
aucun intérêt à mettre autant d'adresses dans le champs « Destinataire » ou « CC », acte
qui pourrait de plus être considéré comme une atteinte à la vie privée. À cet égard, il est
mieux d'utiliser le champ « CCI ». Enfin, ce courriel (et tout échange de courriels successifs)
est-il indispensable, et ne serait-il pas plus sympathique d'aller voir le ou la destinataire et
de lui offrir un café ?
 Deuxièmement, pensez à signer vos courriels avec votre certificat CERN. Votre signature
numérique est une assurance, pour le destinataire, que le message a bien été envoyé
depuis votre adresse CERN et qu'il ne s'agit pas d'une contrefaçon provenant d'un pirate...
Vous pouvez facilement activer la signature numérique en suivant ces instructions. Ces
signatures ne sont toutefois pas reconnues en dehors du CERN, et ne sont donc valables
que sur les messageries CERN.
 Enfin, si vous gérez un système d'envoi de messages automatiques (pour le compte du
CERN), faites-en sorte qu'ils ne ressemblent pas à des courriels indésirables ! Il est
important que le champ « Expéditeur » renvoie à votre service (et pas à un obscur mot-clé).
Dans l'idéal, l'expéditeur doit figurer dans l'annuaire du CERN ; le sujet doit être clair et
précis ; dans l'introduction, l'expéditeur doit s'adresser directement au destinataire en
employant le nom en usage au CERN (celui de l'annuaire) ; le message est censé être

88 | P a g e
 impeccable, sans coquille et précis ; les URL et les liens internet insérés doivent être écrits
en entier et renvoyer à des sites hébergés par le CERN (commençant par
« HTTPS://[Link]/... ») ; il faut que les pièces jointes aient des titres clairs et soient
mentionnées dans le corps du message ; enfin, la signature de votre courriel doit identifier
clairement qui vous êtes et être adaptée à l'objet du message.
Agir ainsi n'éliminera pas les courriels indésirables venant de l'extérieur, mais permettra de réduire
ceux qui ne sont pas vraiment souhaités en interne, pour pouvoir nous concentrer sur les
« véritables » courriels. Si vous continuez à recevoir des spams, signalez-le à spam-
report@[Link] (ou créez un ticket).

Un clic et patatras… (Encore) (2017)

[Link]
reloaded
Naviguer sur internet n’est pas aussi simple qu’il y paraît… Un clic malencontreux et tous vos mots
de passe (CERN, Facebook, PayPal, Amazon, etc.) peuvent être dérobés, toutes vos activités
(mouvements et clics de souris, mots tapés, captures d’écran, enregistrements du microphone et
de la webcam) peuvent être clandestinement surveillées, tous vos documents confidentiels
peuvent être récupérés, et un accès au CERN pour de futures attaques être ouvert (ce que l’on
appelle aussi « backdoor »). Et vous voilà dans l’obligation de réinstaller votre ordinateur et de
changer tous vos mots de passe ! L’un de nos collègues l’a appris à ses dépendances. L’été dernier,
un clic malheureux a en effet permis à des pirates d’infiltrer le CERN. Heureusement, aucun dégât
réel n’a été à déplorer. Toutefois, les coûts liés à l’enquête sur cet incident se chiffrent tout de
même à plusieurs dizaines de milliers de francs suisses ; sans compter le temps perdu à essayer de
comprendre les intentions de ces pirates et l’étendue de leur infiltration…
Pour vous sensibiliser au risque encouru lorsque vous cliquez sur un lien contenu dans un courriel
non sollicité, récemment l’équipe de la sécurité informatique a remmené une campagne de «
chasse aux clics », en vous envoyant des courriels destinés à vous leurrer et à vous faire cliquer sur
un lien malicieux. Ceux et celles qui, par imprudence, ont eu le malheur de cliquer sur l’un de ces
liens ont alors été redirigés vers une page d’information expliquant « comment repérer les courriels
malicieux ». Le taux de clics est bien entendu proportionnel à la sophistication et au ciblage du
courriel : plus l’apparence et le contenu du courriel sont sophistiqués et ciblés (jusqu’au point
même où seuls des experts peuvent faire la différence), plus la probabilité qu’une victime clique est
élevée. C’est pourquoi, pour être les plus neutres possibles (nous aurions en effet pu écrire des
courriels sur lesquels vous auriez cliqué sans hésiter), nous avons réutilisé les e-mails faux conçus
pour nous par des étudiants de l'Université de Rotterdam pour la campagne de l'année dernière.
Ensuite, leur condition aux limites était d'utiliser uniquement des informations publiquement
disponibles sur les sites web du CERN ou leur imagination.
Malgré ces restrictions, certains courriels étaient si bien construits qu’ils auraient pu tromper
n’importe qui au CERN. Un résultat qui fait froid dans le dos. Les experts appellent cela « une
attaque sophistiquée et ciblée » (Advanced Persistent Threat - APT). Nous avons finalement
sélectionné cinq faux courriels qui nous semblaient simples et facilement identifiables comme
malicieux par leurs destinataires…
Et pourtant ! Le taux de clics nous a prouvé le contraire : encore une fois, nous avons obtenu un
taux moyen de 18% (comparable au nombre de l'an dernier)! Un destinataire sur cinq a cliqué sur
89 | P a g e
le lien... Si ces courriels avaient réellement été malicieux, cliquer aurait pu entraîner tout ce qui est
décrit au début de cet article. Un simple clic aurait également pu avoir de lourdes conséquences
opérationnelles et financières pour le CERN…
Si vous avez été pris par surprise par cette arnaque (toutes nos excuses !), laissez-nous vous
expliquer comment mieux identifier de tels courriels.

Pour terminer sur une note plus positive, vous êtes quand même nombreux à avoir correctement
identifié ces faux courriels comme malicieux. Nous avons reçu des centaines de tickets via
ServiceNow nous informant que de tels courriels étaient en circulation. Bravo ! Dans tous les cas,
restez vigilants. Cliquez seulement si vous êtes sûrs de vous. En cas de doute, contactez-nous.
Et il se peut que nous menions une nouvelle campagne au cours de l’année prochaine, avec des
courriels encore plus sophistiqués… Alors ouvrez l’œil !

Protégez vos clics (2017)

[Link]
Aujourd’hui, les « liens » sont la menace principale pour votre système d’exploitation et, par
conséquent, pour vos données professionnelles et privées. Un seul « clic » de votre part peut
permettre à un pirate de mettre en danger votre appareil et de commencer à fouiner dans votre
vie. Nous continuons à compter sur vous pour faire attention lorsque vous cliquez (rappelez-vous
nos recommandations : « arrêtez-vous – réfléchissez – ne cliquez pas »), mais le département IT du
CERN prépare des mesures supplémentaires pour votre protection.
En effet, des liens ou URL malicieux insérés dans des sites web ou des courriels, ou des PDF
malicieux (pièces jointes ou téléchargements) peuvent profiter des vulnérabilités inhérentes de
votre système d’exploitation. Il est plus probable que cela arrive si vous utilisez un système
d’exploitation Microsoft Windows ou que vous avez un smartphone fonctionnant avec Android,
mais c’est possible aussi si vous utilisez MacOS, et ce n’est pas complètement impossible si vous
utilisez Linux ou Apple iOS. Si vous avez innocemment cliqué sur un lien, un URL ou un PDF
malicieux, un élément logiciel habilement programmé est exécuté ; il se greffe sur votre système
90 | P a g e
d’exploitation et en prend clandestinement le contrôle. Avec ce clic malencontreux, l’adversaire a
désormais accès à l’intégralité de vos données stockées localement : logiciels, documents, photos,
vidéos… il peut lire vos courriers électroniques, prendre des instantanés de vos activités. Avec votre
clic malheureux, l’adversaire pourrait aussi enclencher votre webcam et votre micro, c’est-à-dire
vous voir et vous entendre. Avec ce seul clic, vous êtes sans défense. Votre vie est exposée. Et en
plus, il est peu probable que vous vous en rendiez compte…
L’année passée, une campagne a été consacrée spécialement à ces clics : des courriers
électroniques non ciblés et non pertinents ont été envoyés à l’ensemble des Cernois et Cernoises,
et nous avons ainsi observé que 20 % des personnes avaient cliqué dessus. 20%! Cela signifie qu’un
pirate pourrait à présent avoir le contrôle d’environ 20 % des PC du CERN… heureusement, il
s’agissait seulement d’une campagne de notre part, visant à vous aider à comprendre les risques
de cliquer (« Un clic et patatras… »). Pendant l’été 2015, nous avions eu moins de chance. Une
attaque ciblée, qui avait commencé par deux courriers électroniques malveillants, avait occupé
l’équipe de sécurité informatique pendant deux mois, et entraîné des coûts non négligeables pour
l’Organisation. Heureusement, les dommages ont été limités par rapport au risque encouru.
Dans tous les cas, appliquer la recommandation « arrêtez-vous – réfléchissez – ne cliquez pas »
constitue votre première ligne de défense – et celle du CERN ! Si vous recevez des courriels qui ne
vous sont pas adressés, ne sont pas dans une langue que vous utilisez habituellement ou dont le
contenu est étrange ou sans rapport avec vos activités, s’ils sont truffés d’erreurs ou que l’adresse
électronique de l’expéditeur ne ressemble pas aux adresses habituelles, soyez sur vos gardes ! Cela
pourrait être un courriel malicieux (consultez cette page pour en savoir plus sur la manière
d’identifier ces courriels malicieux). Mais vous n’êtes pas seul face à cette menace ; le département
IT a récemment déployé un outil capable d’analyser automatiquement tous nos courriels afin de
déceler ce type de contenu malicieux. L’outil « Fireeye EX » simule même l’activité d’utilisateurs
essayant de déclencher tout contenu malicieux présent dans les courriels envoyés. Et puisque les
PDF piégés sont l’une des voies d’attaque les plus utilisées, nous travaillons actuellement en vue de
remplacer notre solution actuelle par une alternative sûre et appropriée. Il s’agirait de remplacer
un ensemble de logiciels notoirement vulnérables par quelque chose qui soit moins susceptible
d’être visé. Enfin, le département IT travaille en ce moment à renforcer davantage la sécurité des
PC Windows afin de les rendre moins sensibles aux clics malencontreux, tout en procédant de façon
entièrement transparente envers vous. Un projet de lignes directrices (en anglais) peut être
consulté à cette page. Mais soyez prudent : pour le moment, il s’adresse uniquement aux experts
et concerne des cas très spécifiques !
Pour assurer votre sécurité, faites attention avant de cliquer !

Nul ne peut se fier aux courriels et nous ne pouvons

rien y faire (2016)
[Link]
Avez-vous déjà reçu un courriel d’un ami ou de quelqu’un que vous connaissez qui vous a surpris
ou choqué? Ou, pire, avez-vous déjà reçu une réponse à un courriel que vous n’avez jamais écrit et
dont le contenu était tout aussi surprenant ou choquant? La faute à l’insécurité du protocole utilisé
par les courriels, où tout ce qui brille n’est pas or...

91 | P a g e
Non, cette fois-ci nous ne vous parlons pas d’« hameçonnage » (« phishing ») ou de fichiers joints
malicieux, mais plutôt des bases mêmes du protocole utilisé par les courriels: SMTP ou « Simple
Mail Transfer Protocol » (protocole simple de transfert de courriel), qui, comme son nom l’indique,
est très simple! Par bien des aspects, les courriels sont similaires aux courriers papier écrits à la
main: vous ne pouvez pas déduire, à partir de l’adresse de l’expéditeur ou du contenu du courrier,
si oui ou non celui-ci a bien été envoyé par la personne qui prétend en être l’auteur. L’usurpation
d’identité n’a jamais été aussi facile qu’avec le protocole SMTP. Grâce à ce protocole simpliste, je
peux prétendre être Mickey, Harry Potter, ou n’importe qui d’autre, et vous envoyer un message
reprenant ou contredisant les opinions et pensées de Mickey, offensant Hermione, vous mentant
franchement, ou vous incitant à me révéler des informations confidentielles, par exemple votre
mot de passe (les fameux « hameçonnages »). Mais le risque n’est pas simplement d’être inondé
de messages indésirables; des messages offensants, bizarres ou embarrassants envoyés en votre
nom pourraient aussi nuire à votre réputation...
Les services de messagerie électronique et de sécurité informatique ne peuvent malheureusement
pas faire grand chose1 . L’usurpation d’adresses électroniques est permise par le protocole lui-
même. Techniquement, nous ne pouvons pas bloquer ou filtrer les adresses d’expédition valides,
mais qui ont été usurpées: cela nuirait fortement aux propriétaires légitimes de ces adresses, leur
interdisant toute communication avec le CERN. De même, nous ne pouvons pas bloquer des
serveurs mails. Et nous ne devons pas le faire, si nous voulons conserver la liberté académique au
CERN (voir notre article « Censurer le web ? Pas au CERN »). Afin de lutter contre les courriels
malicieux, nous déploierons prochainement un système qui analysera dynamiquement tous les
courriels, à la recherche de contenus malicieux, et rejettera les messages problématiques. Mais cela
ne couvrira pas les courriels ayant un contenu en apparence légitime ou valide, mais s’avérant être
faux, offensant ou contradictoire.

1
Les principaux acteurs du monde de la messagerie électronique essaient de palier le problème avec de
nouvelles restrictions, comme SPF, DKIM et DMARC. Malheureusement, les listes de diffusion de courriels
peuvent être incompatibles avec ces nouvelles mesures de sécurité. Aucune de ces solutions n’a été
déployée à grande échelle, tout du moins pour le moment...
92 | P a g e
L'Académie royale des sciences de Suède a envoyé cette lettre (en anglais) aux départements de
physique à travers le monde pour dénoncer l'utilisation frauduleuse d'adresses électroniques
appartenant à certains membres de l'Académie.
Cela veut dire qu’il nous faut tous apprendre à vivre avec ce genre de pourriels. Et qu’il nous faut
aussi apprendre à vivre en sachant que quelqu’un peut écrire un message en notre nom... et espérer
que les destinataires nous contacteront s’ils reçoivent un courriel sans queue ni tête. Et vice versa,
si vous voulez vraiment être certain que le courriel que vous venez de recevoir est légitime et a bien
été envoyé par la personne apparaissant comme en étant l’expéditeur, faites appel à votre bon
sens. Vous attendiez-vous à un courriel de sa part? Le contenu et le contexte du courriel font-ils
sens? Si le doute persiste, appelez-la pour vérifier. Pour les plus technophiles d’entre vous,
pourquoi ne pas signer électroniquement vos courriels pour que vos correspondants puissent
vérifier leur origine. Il vous suffit de suivre les instructions suivantes : pour Microsoft Outlook, pour
Mail sous Mac OS, pour Thunderbird, ou pour S/MIME au CERN.
93 | P a g e
Censurer le web ? Pas au CERN (2016)
[Link]
Oups. Nous avons essuyé une série de réponses cinglantes à notre article sur le futur DNS (« Le DNS
à la rescousse » - voir ici). Bien que les critiques furent plutôt constructives, une question est
revenue plusieurs fois : « Comment osez-vous censurer l'accès à internet ? » Laissez-nous clarifier
ce point.
L’équipe de la Sécurité informatique au CERN doit sans cesse trouver un équilibre entre
l'environnement « académique » du CERN, les activités du CERN et la sécurité proprement dite. La
solution de facilité serait d’en faire trop dans un sens ou dans l'autre, mais cela tuer ait notre
« liberté académique » et condamnerait l'Organisation. Et ce n'est bien évidemment pas notre but.
D'un autre côté, le CERN est attaqué en permanence et nous devons tout faire pour repousser ces
attaques, faute de quoi, les activités du CERN pourraient être affectées... Mais alors, quel est le
juste équilibre ?
Concernant l'accès à internet, et en particulier à la Toile, nous ne bloquons pas et ne bloquerons
pas l'accès à un site sur la base de son contenu, sauf - et c'est le point crucial - si ce site héberge un
contenu malicieux susceptible d'avoir un impact sur le fonctionnement des machines ou des
comptes du CERN. Les sites hébergeant des logiciels malveillants en sont un bon exemple puisque
l'accès à ceux-ci peut infecter un grand nombre de machines Windows ou Mac. C'est pour cette
raison que nous avons bloqué le site « [Link] » il y a quelques temps (voir l’article « Attaque de
point d'eau » sur ce sujet). Les sites qui ressemblent à la page d'authentification du CERN, créés
dans le but de réaliser des attaques dites de « hameçonnage » contre le CERN, sont aussi bloqués
par mesure de protection. Et nous bloquons les domaines sosies, c'est-à-dire les domaines dont le
nom ressemble à celui du CERN (comme « [Link] ») ou qui n'en diffère que par une faute de frappe
(comme « [Link] »), de manière à vous protéger contre les attaques de typo-squattage.
Mais c'est tout. Nous ne bloquons pas de pages web à cause d'un contenu, même non désirable,
quel qu'il soit. Ainsi, nous ne bloquons pas les sites pornographiques. Bien entendu, la consultation
de sites pornographiques enfreint les règles de sécurité informatique du CERN (en anglais) et le
Code de conduite, et je doute fort que quiconque au CERN puisse justifier de la nécessité de
consulter de tels sites pour son travail. Toutefois, nous ne les bloquons pas, nous surveillons
seulement leur usage. Donc, pour répondre à ceux qui nous ont demandé « Comment osez-vous
censurer l'accès à internet ? », nous disons : « Nous ne nous permettons pas de censurer l’accès à
internet, puisque nous ne censurons rien. Nous croyons en la valeur de la liberté académique au
CERN et équilibrons nos mesures de sécurité en conséquence. »

« New_invoice.zip » (2015)
[Link]
Merci d'avoir cliqué sur cet article. Mais je me demande, qu'en attendez-vous ? Qu'est-ce qui a
attiré votre attention ? Le titre « New_invoice.zip » ? Vous sentez-vous concerné ? Vous avez peut-
être l'habitude de lire nos articles, et c'est plutôt l’aspect « sécurité informatique » qui vous a attiré
ici ? Mais tout de même… rien d'autre ? Vous devriez peut-être arrêter votre lecture maintenant…
sauf si vous pensez que ce texte vous concerne. Ou parce que vous êtes curieux. Ou parce que vous
pensez y apprendre quelque-chose de nouveau. En fait, c’est ça. « New_invoice.zip » a permis à 40
personnes du CERN d’apprendre quelque-chose. Brutalement, malheureusement.
94 | P a g e
« New_invoice.zip » est le nom de la pièce jointe d'un courriel assez « grossier » envoyé
directement à un certain nombre (beaucoup !) de nos collègues. D'autres l’ont reçu via une liste de
diffusion comme « it-dep ». Le sujet de ce courriel était « invoice » (« facture »), et le contenu du
message « Check the document » (« Vérifiez le document »).

La liste des destinataires était longue et contenait des noms pas nécessairement liés les uns aux
autres. En cliquant sur la pièce jointe « New_invoice.zip », un autre fichier nommé
« invoice_id25769.exe » apparaissait, un fichier qui, une fois ouvert, allait infecter votre ordinateur
Windows.

Insolite ? Malheureusement non. L’envoi et la réception de factures font partie des tâches
quotidiennes effectuées au sein des secrétariats, du département Finances, de l’hôtel ou des
restaurants du CERN... Mais souvenez-vous de nos avertissements répétés concernant les courriels
d’hameçonnage (« phishing ») ou ceux avec un contenu malveillant. Ce courriel-ci en aurait été un
exemple idéal ! Pourtant, plus de 40 personnes du CERN ont cliqué trois fois avant d'accéder au
contenu viral : un premier clic pour ouvrir le courriel, un second pour regarder la pièce jointe, et un
clic final pour ouvrir (en fait « exécuter » !) « invoice_id25769.exe ». Fin de la partie : le PC Windows
a été infecté et le mot de passe utilisateur perdu.
Qu’est-ce qui aurait pu les empêcher de cliquer ? Avant toute chose, beaucoup ont ouvert la pièce
jointe par simple curiosité : « Cela venait d'un collègue et je voulais juste savoir... », même si cela
n’avait rien à voir avec leur activité habituelle. Ni la brièveté du message, ni l'objet « invoice »
(plutôt commun), et ni le fait que cette facture ait été adressée à des dizaines de personnes n’ont
constitué d’obstacles pour aller plus loin.
Enfin, un fichier « .zip » contenant un fichier « .exe ». Savez-vous ce qu’est un « .exe » ? Non ? Dans
ce cas, pourquoi l'ouvrir ? Faites-le pour des « .pdf », des « .doc », des « .xls », des « .ppt » ou des
« .txt », mais jamais pour un « .exe » ! Un « .exe » dans un courriel est synonyme « d’infection de
95 | P a g e
mon ordinateur ». Voilà, cette « facture » constitue une bonne occasion d’apprendre : plus de 40
comptes et 40 PC Windows ont été bloqués après que leurs clients de messagerie ont commencé à
spammer le monde avec des courriels similaires. Au final, plus de 40 PC Windows ont dû être
réinstallés et plus de 40 mots de passe changés. Plus de 40 personnes ont été embêtées et ont
perdu un temps précieux. Simplement parce que leur curiosité a pris le dessus sur leur vigilance...
Soyez prudent, soyez conscient:
 Si vous n’attendez pas un tel courriel, si cela n’a rien à voir avec votre activité, ignorez-le.
 Est-ce que le contenu du message est raisonnable ? Est-il axé et ciblé ? Est-ce qu'il vous dit
quelque-chose ? Est-ce qu'il vous concerne ? Est-il dans votre langue maternelle ou dans
une langue dans laquelle vous communiquez habituellement ? Au contraire, y a-t-il
beaucoup de fautes de frappe ou d'erreurs (par exemple, « Rolf Heuer, Président du
CERN ») ?
 Vérifiez la liste des destinataires. Était-ce un courrier pour vous ou un mélange de
destinataires bizarre ? Pourquoi ont-ils tous reçu le même courriel?
 Examinez les pièces jointes. Les fichiers « .zip » ou « .exe » sont hautement suspects car
leur objectif est de dissimuler leur nature malveillante. Et NON ! Votre antivirus ne vous
protège pas tout le temps.
 Si vous avez un doute, il est préférable de contacter l’expéditeur et de vérifier l’authenticité
du message avec lui avant d’ouvrir le fichier joint - ou de la vérifier avec nous
([Link]@[Link]).
 Soyez prêt. Tôt ou tard un courriel malicieux sera susceptible d’infecter votre ordinateur.
Assurez-vous d’avoir des sauvegardes de vos fichiers, de sorte que vous puissiez facilement
réinstaller votre ordinateur à partir de zéro à tout moment.

Bien riposté, FP! (2015)

[Link]
Nous sommes habitués aux pourriels et aux courriels d'hameçonnage. Mais à la fin de l'année
dernière, un courriel très spécial a surpris l'un de nos collègues du département FP.
Un comptable s'est vu gentiment demander dans un courriel provenant de l’adresse «
[Link]@[Link] » de préparer une opération financière - dans la plus stricte confidentialité. Un
appel téléphonique adressé par le bénéficiaire à ce collègue a essayé d'appuyer cette demande. Il
lui était demandé de n'en parler à personne, mais le texte du message, la conversation
téléphonique et les circonstances lui ont semblé très suspects. Notre collègue a donc consulté sa
hiérarchie, l'audit interne et l’équipe de sécurité informatique. Bien joué, département FP ! C'est
un cas rare de tentative « d'ingénierie sociale », qui a consisté ici à leurrer une personne pour qu'elle
fasse quelque-chose de préjudiciable à l'Organisation.
Le courriel était faux. Au lieu de venir de « [Link]@[Link] », il venait d'un fraudeur présumé,
extérieur au CERN. Le courriel et l'appel téléphonique ont montré que le fraudeur était bien préparé
et visait ce comptable en particulier. Outre les détails techniques de l'opération, cette escroquerie
contenait tous les ingrédients nécessaires pour réussir : les compliments et le renforcement de la
confiance (« Nous effectuons en ce moment une opération financière importante sur laquelle je
travaille depuis quelques mois. Je vous ai choisi pour votre discrétion et votre travail irréprochable
au sein de notre société car je ne veux aucune fuite. ») et l'exigence de stricte confidentialité («

96 | P a g e
Cette OPA (offre public d'achat) doit rester strictement confidentielle, personne d'autre ne doit être
informé pour le moment, y compris vos collègues. » « Merci de ne faire aucune allusion en interne
ou externe à ce dossier, ni même par téléphone. Je suis en séance toute la journée, je vous le répète
veuillez communiquer uniquement par courriel avec [FRAUDSTER] selon la procédure imposée par
l'AMF (autorité des marchés financiers). ») Mais notre collègue n'a pas succombé ! (Michelin, par
contre, semble ne pas avoir été aussi chanceux).
Ainsi, rappelons que le protocole de courriel ne fournit pas de protection contre les fausses
adresses d'expéditeur. À moins que votre expéditeur ne signe numériquement ses courriels, ce
n’est qu'à partir de l'ensemble des éléments (expéditeur, objet, message, circonstances) que vous
pouvez déduire qu’il s’agit d’un courriel légitime ou d’une escroquerie. Notez que vous êtes la
première ligne de défense à cet égard. En cas de doute, consultez un collègue, votre superviseur ou
[Link]@[Link]. Ce cas particulier est un excellent exemple de la manière dont une
fraude peut être déjouée grâce à une vigilance professionnelle appropriée !

« Conpherencing » — le nouveau « Phishing » (2014)

[Link]
Le CERN est régulièrement la cible de ce qu'on appelle le « phishing » ou « hameçonnage » — des
individus malveillants envoient de faux courriels à des personnes du CERN afin de les inciter à
divulguer leur mot de passe CERN (ou d'autres mots de passe). Heureusement, peu de gens
tombent aujourd'hui dans le panneau. Rappelez-vous simplement que votre mot de passe doit être
traité comme votre brosse à dents : vous ne le partagez pas et vous le changez régulièrement (voir
notre article du Bulletin « Qu'est-ce qu'une bonne brosse à dents, heu, mot de passe ? »).
Mais connaissez-vous le « Conpherencing » (oui, avec un « ph » au milieu) ? Le « Conpherencing »,
terme inventé par nous, est similaire au « Phishing ». Mais au lieu d'une fausse page de connexion,
le « Conpherencing » utilise un site web de conférence complet, ressemblant à des s ites de
conférence reconnus. Comme dans notre article « Jekyll ou Hyde ? Mieux vaut naviguer en toute
sécurité », on retrouve sur cet étrange site jumeau un programme scientifique, un comité de
programme, des sponsors et les dates de soumission de résumés.

97 | P a g e
Par exemple, la conférence ICNFP2014 figure sur deux sites différents: la vraie page web de la
conférence est hébergée sur CERN INDICO (ci-dessous, la capture d'écran à gauche) et indique que
la conférence aura lieu en Crète, tandis que son étrange jumeau (à droite) l’annonce à Istanbul. En
y regardant de plus près, on s’aperçoit qu’un sponsor au moins ne savait pas qu’il soutenait
l’événement et a refusé de le faire après. Certains membres du comité de programme ne figurent
pas dans le répertoire des universités auxquelles ils sont censés être affiliés. Cet étrange jumeau a
même copié le texte de synthèse de la conférence. Par ailleurs, ce même serveur web héberge aussi
de nombreuses autres conférences : ICN2014 (sur les nanotechnologies), ICECE2014 (sur
l'ingénierie électrique et informatique), ICC2014 (sur la chimie), ICM2014/ICSMS2014 (sur les
mathématiques), ICP2014 (sur la physique), etc.

Alors, comme pour toute activité dans le World Wide Web, soyez vigilants : réfléchissez avant de
cliquer ! Trop souvent, le but réel d'un site web n'est pas celui que vous pensez...

Jekyll ou Hyde ? Mieux vaut naviguer en toute sécurité

(2013)
[Link]
Surfer sur le web, c'est comme se promener dans Londres en 1886. En général, vous rencontrez le
charmant et gentil Docteur Jekyll, interagissez avec lui, et tout se passe parfaitement bien. Mais
dans d'autres circonstances, pendant la nuit, vous pouvez tomber sur le malveillant et diabolique
M. Hyde, qui veut votre argent et vos secrets, ou abuser de vous.
Comme dans le roman de Stevenson, les bonnes et mauvaises pages web peuvent être très proches
les unes des autres. La plupart des pages web sont là pour vous informer ou pour fournir un service.
Mais à un clic de souris près, une page Google plus bas, il existe de mauvaises pages, dont le but
est de voler votre mot de passe, d’essayer d'infecter votre ordinateur, ou de vous berner afin
d’obtenir des informations personnelles.

98 | P a g e
Par conséquent, rappelez-vous : ARRÊTEZ-VOUS - RÉFLÉCHISSEZ – CLIQUEZ ! devrait être le credo
lorsque vous surfez sur le web. Si vous êtes face à un lien qui semble étrange ou qui contient du
charabia (comme [Link] ignorez-le ! Il vaut
toujours mieux taper des adresses web simples et compréhensibles comme « [Link] »
que de cliquer sur des liens obscurs. Si on vous demande votre mot de passe, soyez vigilant et
demandez-vous si cela est justifié (et n'utilisez pas votre mot de passe CERN pour d'autres sites !).
De plus, vérifiez que la connexion est sécurisée, c'est-à-dire que l'adresse web commence par «
https » et non pas par « http » sans le « S ». Sinon, les correspondances privées et mots de passe
pourraient être interceptés par une personne malicieuse.
Par ailleurs, prenez garde en tapant l'adresse web « [Link] », qui n'est évidemment pas malicieuse,
car juste une petite faute de frappe - « [Link] », « [Link] » ou « [Link] » - et vous entrez dans des
domaines qui ne sont évidemment pas sous notre contrôle... Beaucoup de compagnies ont acheté
ces domaines, communément appelés « Doppelgänger domains » ou « typo domains ». Au CERN,
les plus évidents ont été bloqués dans le DNS du CERN, pour que vous ne soyez pas capables de les
contacter depuis le Laboratoire. Cependant, soyez vigilants à la maison.

Naviguer sur Internet : au revoir l'anonymat ! (2012)

[Link]
Considérez-vous la navigation sur Internet comme privée? Lors de la visite de sites web
quelconques, à quel point pensez-vous être anonyme? Serait-il préoccupant pour vous que Google
ou Facebook puissent déterminer votre comportement de navigation afin de mieux vous cibler avec
des publicités? Avez-vous remarqué que vous recevez déjà des annonces ciblées lorsque vous êtes
connectés sur Google ou Facebook, même si vous êtes en train de visiter des sites web
complètement différents? Si cela vous importe, notez que la navigation anonyme sur Internet est
loin d'être facile.
Tout en étant connectés à Internet, vous révélez une variété d’informations: l'adresse IP de votre
PC, certains paramètres de votre navigateur - comme la langue ou la taille de l'écran - et sans doute,
vos informations de connexion. Alors, à quel point votre navigation est-elle privée?
Vous pourriez avancer que votre adresse IP actuelle a été choisie à partir d'une plage d'adresses et
que, par conséquent, elle change régulièrement, de sorte qu'elle ne pointe pas nécessairement
toujours sur vous. D'autre part, à l'aube de l'IPv6, il n'y a plus besoin d'adresses IP partagées, car la
plage d'adresses IPv6 est considérée comme non exhaustive. Avec IPv6, une adresse IP permanente
pourrait vous être attribuée. Confidentialité... Game over. La meilleure chance pour cela sera la loi.
Déjà aujourd'hui, les adresses IP sont considérées comme des informations personnellement
identifiables (PII) dans certains pays européens, de sorte que le stockage des adresses IP à des fins
de profilage est illégal. Toutefois, pour être sûr, la meilleure chose à faire est d'utiliser ce qu'on
appelle les « services d'anonymisation », mais cela dépend du degré de confiance que vous leur
accordez!
Ensuite, il y a des navigateurs trop bavards. Selon le navigateur que vous utilisez, il expose déjà
beaucoup d’informations: la langue locale, le fuseau horaire, la taille de l'écran, les extensions
installées, les polices systèmes disponibles, etc. Comme ces paramètres peuvent varier
énormément, cela signifie que la probabilité que vous et moi ayons exactement les mêmes
paramètres est très faible. De surcroît, ces informations peuvent être utilisées pour mettre le doigt
sur votre navigateur et vous identifier de façon unique lorsque vous naviguez sur le web... Si vous
99 | P a g e
ne le croyez pas, consultez [Link] et notez que certaines extensions comme «
Stealther », ou que les paramètres de sécurité comme « navigation privée » pourraient modifier la
cote en votre faveur.
Enfin, votre identifiant. Si vous êtes connectés avec votre compte Google ou Facebook, ils peuvent
enregistrer votre activité même en dehors de leurs domaines. Ceci est principalement dû à la large
utilisation de Google Ads/Analytics et du bouton « J'aime » de Facebook : le code embarqué
alimente directement votre profil Google ou Facebook... Pour un peu plus de confiden tialité,
déconnectez-vous dès que vous n'avez plus besoin d'être identifiés, et envisagez d'installer
l'extension « Ghostery » dans votre navigateur.
Alors que pouvez-vous faire d'autre ? Pas grand-chose - car je ne souhaite pas vous inciter à changer
vos habitudes de navigation. Il n'y a pas de solution miracle. Je voulais juste chasser l'illusion que
vous naviguez sur Internet de façon anonyme. Cela n'est pas vrai, et est difficilement possible.

Évitez les fuites de courrier (2012)

[Link]
Au CERN, la confidentialité des données est d'une importance primordiale. C'est pourquoi nous
sommes en train de développer une politique de protection des données exhaustive. Par exemple,
votre boîte mail du CERN et de vos dossiers « privés » sur AFS et DFS sont considérés comme vous
appartenant...
Vous pensiez peut-être ne rien avoir à cacher, mais nous ne parlons pas uniquement des e-mails
personnels: la confidentialité des données s’applique également aux informations financières
(acquisitions, offres), à celles concernant le personnel (contrats, évaluations), les renseignements
médicaux, etc. Tout cela est également considéré comme « privé », même si ces informations sont
d'ordre professionnel. Ces données ne sont pas, sauf cas exceptionnel, consultables par votre
superviseur, les administrateurs des services AFS, DFS ou mail, ou même par l'équipe de sécurité
informatique. Des procédures strictes ont été établies pour les rares cas où un tel accès est
nécessaire, et dans ce cas, l'approbation préalable du CERN Computer Security Officer ou chef du
département IT, du service juridique et du DG sont indispensables (voir les détails ici).
La confidentialité des données n'est pas seulement de la responsabilité de l'Organisation, elle est
également de la vôtre. Il y a des membres du personnel qui utilisent des services mail externes
comme Gmail ou Hotmail, au lieu du service mail du CERN ; envoient des messages électroniques à
partir de leur adresse mail externe et, parfois, font suivre leur courrier CERN à ce fournisseur
externe. Cela pourrait avoir de graves conséquences: un service mail externe ne peut pas garantir
le niveau de confidentialité des données fournies par le CERN, qui est inspiré par la Directive
européenne de protection des données (95/46/CE). Ces fournisseurs de services mail peuvent par
exemple être hors d'Europe et soumis à une autre législation, moins protectrice des utilisateurs. En
outre, le fait de transmettre des mails via ces services externes a des implications sur les privilèges
et immunités du CERN en tant qu'organisation intergouvernementale.
Pour toutes ces raisons, l’équipe de sécurité informatique et le département IT vous encouragent
fortement à utiliser uniquement votre compte de messagerie CERN pour les échanges
professionnels, et pas un service mail externe. De même, vous devriez éviter d'avoir une redirection
automatisée de vos mails du CERN à un service externe.

100 | P a g e
La boîte mail du CERN vous propose plusieurs fonctionnalités intéressantes. Par défaut, toutes les
boîtes mails ont un quota de 2 Go qui peut être augmenté facilement (découvrez comment le faire
ici) et vous pouvez envoyer et recevoir des pièces jointes jusqu'à 30 Mo. De plus, le système de
messagerie du CERN est associé à l'annuaire du CERN, au système e-groups, au service de fax
électroniques, et aux calendriers de chacun afin de pouvoir programmer facilement des réunions,
ainsi qu'à de nombreux autres services. Le service de courrier électronique du CERN supporte
plusieurs clients de messagerie sur de nombreux systèmes d'exploitation, y compris les principaux
navigateurs Internet (lire les détails ici). Par contre, l'envoi de mails à partir d'un service mail
externe (au lieu du service mail du CERN) peut avoir des conséquences. Les mails peuvent par
exemple être rejetés par le système antispam du CERN ou souffrir de restrictions d'envoi à un e-
group.

Ne détruisez pas votre web (2012)

[Link]
Publier ou périr. Étant donné la grande variété d'informations à publier, vous avez la liberté, au
CERN, de déployer votre propre serveur web et de le mettre en ligne sur l'Internet. Les systèmes
de gestion de contenu web comme « Joomla! » ou « WordPress », avec des extensions et des
modules dédiés, facilitent la création rapide d'interfaces chics. Mais attendez. Avec cette liberté
vient aussi la responsabilité !
Votre responsabilité ne s'arrête pas une fois que la connectivité à l'Internet vous est accordée. Non
: c'est à vous de vous assurer que votre serveur web est continuellement sécurisé. Seules les
informations censées être publiques devraient être mises en ligne. Des protections d'accès
appropriées doivent être mises en place pour sécuriser d’autres données, de préférence en utilisant
le portail de « Single Sign-On » du CERN, et certainement avec le protocole HTTPS (HTTP sécurisé)
lors de la transmission des informations sensibles comme les mots de passe. La « sécurisation »
implique également que le système d'exploitation et le système de gestion de contenu doivent être
mis à jour régulièrement.
Si vous n'êtes pas familier avec la configuration des serveurs web ou la programmation
d'applications web, inscrivez-vous à notre cours de sécurité sur ce sujet. De plus, nous vous
encourageons fortement à suivre nos lignes directrices en matière de sécurité, celles-ci vous
donnent des recommandations de base pour sécuriser votre serveur web. Si vous préférez passer
cette responsabilité à quelqu'un d'autre, le département IT propose une variété de systèmes web
de gestion de contenu gérés de manière centralisée, par exemple « Drupal » et « SharePoint », ainsi
que des environnements pour le déploiement de sites web en Java, Perl ou Python. Choisissez l'un
de ceux-ci, et vous n'aurez pas besoin de vous inquiéter de la sécurisation du système d'exploitation
ou des mises à jour de l'environnement web - cela est fourni gratuitement !

101 | P a g e
Vous avez reçu une e-carte « Hallmark » ? Supprimez-
la ! (2011)
[Link]
Noël arrive! C'est la période pour envoyer une jolie carte de Noël à vos proches, et éventuellement
aussi, en recevoir une. Mais attendez ... vous avez déjà eu une carte Hallmark par e-mail, ou deux?
Méfiez-vous.
Il se pourrait que ce ne soit pas seulement vos amis qui vous aient envoyé une carte, mais peut-
être un individu mal-intentionné essayant d'infecter votre PC ou de voler votre mot de passe. En
particulier pendant la saison de Noël, les « attaquants » essaient d'en profiter. Falsifier les e-mails
est facile. Alors qu'il est évident que l'objet et le message peuvent être librement manipulés, saviez-
vous que l'adresse e-mail de l'expéditeur peut également être définie librement? Les « attaquants
» se déguisent de cette façon en quelqu'un de légitime, par exemple [Link]@[Link].
Donc, si vous n'aviez pas prévu de recevoir une e-carte, ou si vous ne connaissez pas l'expéditeur,
il suffit de supprimer cet e-mail. Si l'e-mail vous demande votre mot de passe (CERN), faites-le nous
savoir à [Link]@[Link], et supprimez-le ensuite. Si l'e-mail inclut une pièce jointe, ou
vous demande de cliquer sur un lien, faites attention. Les deux pourraient être détournés pour
infecter votre PC, ou aussi voler votre mot de passe. Si c'était un e-mail d'un ami ou de votre famille,
peut-être est-ce juste le bon moment pour les appeler et leur dire « Merci » avant d'ouvrir la pièce
jointe ou de cliquer sur le lien.
Nous vous souhaitons un Joyeux Noël et une Bonne Année!

Inutile, le chiffrement ?! (2011)

[Link]
Cette semaine, le protocole de transfert de fichiers FTP (File Transfer Protocol) fête son 40e
anniversaire, et - on l'espère - prendra bientôt sa retraite! Tout en étant un moyen agréable et
simple pour transférer des fichiers, il n'est pas du tout sécurisé: le contenu transféré ainsi que le
mot de passe pour l'authentification sont transmis en clair sur le réseau. FTP n'est d’ailleurs pas le
seul protocole communiquant en clair: le trafic web standard (« HTTP ») ou encore les e-mails («
SMTP ») ne sont pas chiffrés non plus.
Ce n'est pas un problème ?... Réfléchissez-y à deux fois ! Aujourd'hui, nous utilisons tous des
connexions sans fil à partir de nos ordinateurs portables et téléphones mobiles. Cela signifie que
votre communication peut être interceptée par n'importe qui1... Et si je pouvais voir les pages web
que vous visitez, ce que vous venez d'écrire dans votre dernier e-mail à votre copain ou copine, ou
quelle commande vous venez d’exécuter? Je pourrais même facilement intercepter votre session
Facebook...
Si cette question vous préoccupe, recherchez le secret et le chiffrement. Habituellement, une
connexion sécurisée est signalée par un « s » dans votre protocole de communication:

1
... si votre point d'accès sans fil ne chiffre pas le trafic en utilisant par exemple le standard recomman dé
WPA2. Au CERN, les points d'accès sans fil n'utilisent pas de chiffrement, afin d'autoriser gratuitement
l'itinérance. Pour chiffrer, il faudrait distribuer un secret partagé entre tous nos utilisateurs, collègues et
invités. On pourrait alors difficilement parler de « secret ».
102 | P a g e
  « HTTPS » pour la navigation web sécurisée, affiché dans la barre d'adresse de votre
navigateur;
 IMAPS/POPS pour le transfert sécurisé des e-mails; par défaut au CERN pour envoyer des
messages aux serveurs mail du CERN ;
 « SSH » et « SCP » pour les accès à distance et les transferts de fichiers sécurisés,
principalement sur les ordinateurs Linux. Sur les ordinateurs Windows, il y a aussi « RDP »
(« Remote Desktop Protocol »), qui est chiffré. « SSH » peut même être utilisé pour chiffrer
d'autres protocoles, cette technique est appelée « tunnelling ».
Bien sûr, le chiffrement ne se limite pas à cela. Si vous hébergez des données sensibles ou
confidentielles, la protection des accès et le chiffrement des données est obligatoire! En particulier,
lorsque vous conservez ces données sur une clé USB ou un ordinateur portable - les deux pouvant
facilement être perdus ou volés pendant un voyage... TrueCrypt est un bon outil libre de
chiffrement des données à la volée, pour les ordinateurs Windows, Mac et Linux.
Si vous cherchez des recommandations ou si vous avez besoin d'aide, visitez notre site web, ou
contactez-nous à [Link]@[Link]. En particulier, vous trouverez les détails pour:
 se connecter au CERN de façon sécurisée,
 chiffrer des connexions avec SSH,
 créer un tunnel via LXPLUS,
 transférer des fichiers avec SSH, et bien plus encore !

103 | P a g e
Sécurité des systèmes de contrôle & IoT
Souriez, vous êtes filmés! (2018)
[Link]
Quel est le point commun entre les webcams, caméras de surveillance, caméras de
vidéoconférence, dispositifs de contrôle, imprimantes et autres objets connectés à internet
utilisant les réseaux du CERN ? Ces dispositifs sont parfois grands ouverts, au sens numérique du
terme : leur configuration ne comprend pas de protection de l’accès, et soit leur protection par mot
de passe est désactivée, soit elle repose encore sur le mot de passe par défaut établi par le vendeur.
Les utilisateurs peuvent ainsi se sentir protégés, alors que ces dispositifs sont librement accessibles
à des personnes mal intentionnées.
Une étude récente, menée par un étudiant en sécurité informatique, s’est penchée sur les pages
web hébergées sur des dispositifs appartenant à ce que l’on appelle « l’internet des objets ». Il s’agit
d’appareils qui ne ressemblent pas forcément à des ordinateurs, à des ordinateurs portables ou à
des smartphones, mais qui disposent de fonctions similaires. Ils fonctionnent avec un certain type
de système d’exploitation Windows ou Linux, peuvent envoyer des courriers électroniques, ont un
adaptateur sans fil, et il est possible de les configurer ou d’y accéder à partir d’un serveur web. Tout
ce dont vous avez besoin pour cela, c’est de l’adresse IP de l’appareil et du mot de passe
correspondant pour vous enregistrer. Et c’est là le nœud du problème : ces dispositifs sont
généralement accompagnés d’un compte par défaut (par exemple « admin ») et d’un mot de passe
par défaut (par exemple « admin », « utilisateur », « 12345 »), que le propriétaire de l’appareil n’est
pas forcément obligé de changer lors de la première utilisation... ce qui est un avantage pour une
personne souhaitant mener une attaque. Étant donné qu’il s’agit de mots de passe par défaut,
établis par le vendeur, il est possible, en connaissant le modèle et la marque, de les chercher sur
une multitude de sites web…
Quel est le risque ? Pensez aux caméras utilisées à la maison ou dans des salles de conférence, ou
à celles qui servent pour le contrôle de sécurité ou pour le contrôle d’accès : avec le mot de passe
par défaut, n’importe qui peut voir ce qu’elles filment. Ainsi, c’en est fini de l’intimité. De même,
des personnes mal intentionnées peuvent activer un micro intégré à un appareil et écouter vos
conversations. Des réunions confidentielles deviennent publiques... l’utilisation de mots de passe
par défaut pour les routeurs exposera aux attaques de tiers tout ce qui transite sur vos réseaux ; il
peut s’agir des pages web auxquelles vous accédez, et même de n’importe quel contenu si vous
n’utilisez pas les canaux de communication cryptés tels que SSH, RDP, VPN ou HTTPS. Pire encore,
le routeur de votre domicile est capable de se connecter à tous les appareils que vous avez chez
vous (c’est sa fonction principale) et la personne qui vous attaque peut par conséquent chercher
les vulnérabilités de chaque appareil et élargir son attaque. Pensez aussi aux dispositifs qui
contrôlent certains processus industriels, certaines machines de forage, des panneaux solaires, des
machines à café, etc. Si un tiers peut librement configurer leurs paramètres, vos machines ou
produits peuvent devenir inutiles. Par exemple, qui voudrait boire un café noir standard alors qu’il
a demandé une ristrette ?
Ainsi, la prochaine fois que vous installez un tout nouveau dispositif sur votre réseau, que ce soit
chez vous ou au CERN, rappelez-vous de changer le mot de passe par défaut. Il en va de même pour
tout autre appareil dont vous héritez et que vous commencez à utiliser : assurez-vous que vous êtes
104 | P a g e
bien la seule personne à connaître le mot de passe. Choisissez un bon mot de passe, qui soit efficace
en termes de sécurité. Rendez-le compliqué en mélangeant des lettres, des symboles et des
chiffres. Ne l’utilisez pour aucun autre appareil, et gardez-le pour vous. Et si vous êtes en manque
d’inspiration, voici quelques conseils :
 Choisissez un extrait d’une ligne ou deux d’une chanson ou d’une poésie et utilisez la
première lettre de chaque mot. Par exemple « Maître Corbeau, sur un arbre perché, tenait
en son bec un fromage. », qui devient « MC, suap, tesbuf. »
 Utilisez une longue phrase telle que « MaîtreCorbeau, SurUnArbrePerché,
TenaitEnSonBecUnFromage. » ou une formule mathématique comme
« sin^2(x)+cos^2(x)=1 ».
 Alternez les minuscules et les majuscules, et intercalez des consonnes et des voyelles ; cela
donne des mots dépourvus de sens, qui sont généralement prononçables, et donc faciles à
retenir. Par exemple « Weze-Xupe » ou « DediNida3 ».
 Choisissez deux mots courts (ou un mot long que l’on segmente) et intercalez entre les deux
des signes de ponctuation ou des chiffres. Par exemple « p1gu1+v0lant » ou
« ordI!!NAteuR ».

Objets connectés : les murs ont des oreilles (2017)

[Link]
ears
Les appareils dits « intelligents », ce n'est pas vraiment nouveau. Après tout, nos machines à laver,
nos aspirateurs, nos cafetières et autres appareils domestiques sont suffisamment intelligents pour
ce que nous attendons d'eux. Ou peut-être pas, justement. Le marché de l'électronique grand public
s'est engagé résolument sur la voie de « l'internet des objets » : des appareils entièrement
interconnectés qui, s'appuyant sur une puissance de calcul centralisée dans le nuage, utilisent
l'intelligence artificielle pour nous faciliter la vie. Vraiment ?
Pour vous donner quelques exemples : un thermostat mis au point par Google constitue un système
domotique complet permettant de gérer la température de chaque pièce. Ces systèmes
mémorisent vos usages quotidiens, si bien que vous n'avez même plus besoin de régler la
température. Certains thermomètres médicaux « intelligents », ou certains grille-pains, ont des
fonctions nouvelles qui les rendent supérieurs aux appareils traditionnels : vous pouvez les
commander par une application de votre téléphone, ou transférer les paramètres à une autre
personne, téléverser des informations sur Facebook, etc. Les assistants virtuels à commande vocale
de nouvelle génération sont dotés d'une webcam qui vous permet d'évaluer votre tenue
vestimentaire. Pour avoir une coiffure impeccable, une brosse intelligente permet d'optimiser le
résultat, en tenant compte des informations météo comme l'humidité et la température de l'air.
Tout ça est formidable. Cependant, l'apparition des objets connectés dans votre quotidien pose le
problème de la confidentialité des données :
 certains téléviseurs sont munis d'un système de reconnaissance vocale qui leur permet
d'écouter ce qui se passe dans votre salon ;
 le fabriquant d'une célèbre poupée a tenté de proposer le même type de système, mais le
produit a suscité l'opposition des défenseurs de la vie privée ;

105 | P a g e
  il est même arrivé qu'un assistant virtuel lance une commande en ligne non souhaitée à
cause d'une phrase prononcée dans un programme télévisé par un animateur : « Alexa
achète-moi une maison de poupée ». L'assistant virtuel s'est empressé de passer la
commande...
Des données enregistrées par un assistant virtuel ont même été utilisées en justice, dans une affaire
de meurtre où Alexa avait enregistré la scène. D’ailleurs, évitez de commettre une infraction si vous
portez un bracelet connecté : les éléments enregistrés pourraient servir de preuve.
Et ce ne sont là que des exemples.
N’oublions pas pour autant l'aspect de sécurité informatique; pour cela, je vous renvoie à
l'article Sécurité informatique : « IoT, des trésors cachés », dans lequel sont décrits plusieurs
risques de sécurité liés à ces dispositifs qui font partie de l'internet des objets. Là encore, on
pourrait citer bien d'autres exemples. En octobre 2016, le botnet Mirai a frappé près d'un million
de clients de Deutsche Telekom en détournant des fonctions d'appareils connectés mal sécurisés.
Cependant, il sera de plus en plus difficile de sécuriser en permanence tous ces appareils ; c'est
pourquoi une protection plus large, par exemple au niveau de votre routeur sans fil, chez vous, ou
le pare-feu du CERN, sont là encore votre dernière ligne de défense. Nous allons vivre une époque
intéressante. Dans quelle mesure sommes-nous prêts à compromettre la sécurité informatique et
la confidentialité de nos données personnelles pour disposer d'appareils plus pratiques ?
C'est à vous de décider, en toute connaissance de cause, de la quantité de données personnelles
que vous acceptez de laisser capter par des entreprises. Vérifiez si vous pouvez maîtriser le choix
des données personnelles que vous acceptez de livrer. Et pour ce qui concerne la sécurité
informatique, vous pouvez encore moins compter sur ces systèmes. Comme l'ont montré nos tests,
mais comme le montrent aussi différents rapports présentés lors de la dernière conférence
BlackHat, il ne faut pas s'attendre à ce que ces appareils soient sécurisés. C'est pourquoi il est
important que votre mur pare-feu, à domicile, soit, comme c'est le cas au CERN, bien verrouillé afin
qu'aucun intrus ne puisse s'infiltrer dans vos appareils.

IoT, des trésors caches (2017)

[Link]
L’internet des objets, c’est quoi ? La notion se réfère à tous les appareils intelligents, qui ne sont
pas nécessairement des ordinateurs de bureau, des ordinateurs portables, des tablettes ou des
téléphones. Au CERN, ces appareils peuvent être reliés au réseau général du CERN (GPN). Et
pourquoi peut-on parler de trésors cachés ? C’est que l’internet des objets est indiscutablement
peu sûr, peu protégé et plein de vulnérabilités. Voyez par exemple ces différents articles : « Notre
vie en symbiose », « Votre voiture, mes commandes » ou « Pirater les systèmes de contrôle,
éteindre les lumières ! ». Il en va de même pour les appareils reliés au réseau GPN : peu sûrs, peu
protégés, une proie idéale pour les pirates de tout poil !
Fin 2016, nous avons effectué un contrôle approfondi de la sécurité informatique du réseau GPN
du CERN1. Lors des précédents contrôles, nous avions visé les ordinateurs portables, les ordinateurs
de bureau, les tablettes et les téléphones ; cette fois, nous avons porté nos efforts sur des objets
moins usuels : systèmes de contrôle intégrés, web cameras, systèmes de contrôle et appareils

1
Et non, les Règles informatiques du CERN ne vous autorisent pas à faire ce genre de contrôle vous-même
! Merci de vous abstenir.
106 | P a g e
munis d’une connexion Ethernet. Nous n’avons pas chômé : voltmètres, écrans de télévision,
oscilloscopes, automates programmables (PLC), convertisseurs Ethernet, alimentations
électriques... Il y avait aussi de nombreux appareils privés, tels que des imprimantes, des
commutateurs réseau, des points d’accès sans fil et des dispositifs VoIP, et ce, malgré le fait que le
département IT du CERN offre des services centralisés de mise en réseau, de téléphonie et
d’impression. C’est déjà très intéressant. Mais ce n’est pas tout. Nombre de ces appareils étaient
accessibles par les mots de passe initiaux donnés par défaut (« admin:admin », ça vous dit quelque
chose ?). D’autres utilisaient des microprogrammes dépassés facilitant la tâche aux pirates désireux
de s’approprier les mots de passe ou même de contourner carrément l’étape d’authentification.
Alors, si vous possédez un système intégré et que vous voulez que l’appareil fonctionne
correctement, veillez à ce que ses paramètres de sécurité soient à jour. Remplacez tout mot de
passe donné par défaut par votre propre mot de passe. Astreignez-vous à suivre les
recommandations du CERN en matière de mots de passe. Assurez-vous également que le
microprogramme utilisé est le plus récent. Sur certains appareils que nous avons contrôlés, un
message d’alerte signalait clairement que le microprogramme en place était dépassé et qu’il fallait
installer une version plus récente… Si un appareil est essentiel pour votre expérience ou pour un
accélérateur du CERN, ne le reliez pas au réseau GPN. Contactez votre expérience ou les
administrateurs de votre réseau technique (technet-admin@[Link]) pour savoir s’il est judicieux
de relier votre appareil au réseau, ou si une autre solution est préférable.

Protégez votre installation : un « jeu sérieux » sur la

cybersécurité des systèmes de contrôle (2015)
[Link]
La cybersécurité des systèmes de contrôle retient de plus en plus l'attention, qu’il s’agisse des
cybercriminels, des médias ou des chercheurs en sécurité.
Après les attaques légendaires « Stuxnet » de 2010 contre une usine d'enrichissement d'uranium
iranienne, l'infiltration de Saudi Aramco en 2012, et les attaques les plus récentes des hauts
fourneaux allemands, nous devons nous être prévoyants. Imaginez ce qui se passerait si des pirates
pouvaient éteindre la lumière à Genève et dans le Pays de Gex pendant un mois (lire l’article «
Pirater les systèmes de contrôle, éteindre les lumières ! »). Ou encore, si des attaquants
réussissaient à infiltrer l'accélérateur ou les systèmes de contrôle du CERN et à nous empêcher de
poursuivre nos activités centrales : délivrer des faisceaux et enregistrer des collisions de particules
(lire l’article « Pirater les systèmes de contrôle, éteindre... les accélérateurs »).
Relevez le défi en protégeant une installation industrielle contre les cyber-menaces! L'équipe de
sécurité informatique, en collaboration avec Kaspersky Lab, organise un « jeu sérieux ». Ce jeu
s’adresse aux spécialistes des systèmes de contrôle et sécurité, aux personnes du secteur IT et aux
supérieurs hiérarchiques, dans le but de les sensibiliser davantage aux risques et problèmes de
sécurité liés au fonctionnement des systèmes de contrôle modernes. Chacune des équipes en
compétition, composée de 4 à 6 personnes, est chargée de gérer une usine de purification de l'eau
de la manière la plus efficace possible. Cette usine se compose de deux lignes de filtration
indépendantes contrôlées par des PLC, des HMI, des stations d'ingénierie et un historique des
données. Au cours des cinq tours du jeu, ces deux lignes de filtration génèrent des revenus, mais
les équipes doivent faire face à des cyber-attaques susceptibles d’avoir des effets sur la

107 | P a g e
performance de l'usine. Pour se défendre, chaque équipe doit prendre des décisions stratégiques,
techniques et de gestion afin de protéger son usine tout en tenant compte de ses contraintes
opérationnelles et en maintenant un niveau élevé de revenus.
Ce jeu simplifie bien sûr de nombreux aspects de la gestion des systèmes complexes de contrôle.
Cela dit, après avoir joué au jeu, vous devriez être en mesure de mieux comprendre:
 Pourquoi une sensibilisation fondamentale à la cyber-sécurité est utile pour remplir la
mission du CERN ;
 Pourquoi le réseau technique et le réseau des expériences doivent être distincts du réseau
des bureaux du CERN ;
 Pourquoi la protection des PLC et autres dispositifs embarqués est un impératif ;
 Pourquoi les changements réguliers de mots de passe, en particulier ceux utilisés pour les
comptes de service, sont essentiels ;
 Pourquoi il est important de garder les PC de contrôle à jour; et quels sont les avantages
des logiciels anti-virus (entre autres).
Et, bien sûr, jouer avec d’autres dans une compétition informelle est amusant : c’est l'équipe qui
aura généré le plus de revenus et qui aura le mieux sécurisé son usine qui l’emportera !
Ce jeu a été créé par Kaspersky Labs, une entreprise de sécurité de renom, qui l’animera dans un
mode interactif à l’aide d’un tapis de jeu simulant l'usine (voir l’image ci-dessous) ainsi que d’iPads
pour les nouvelles annonces et pour la comptabilité des recettes et dépenses (on trouvera un
descriptif ici). Le jeu sera hébergé au CERN, au « Pump Hall » (bâtiment 216) et aura lieu le mardi 3
février 2015, de 16 h à 18 h. Saisissez cette occasion unique ! Inscrivez-vous ici. Les places étant
limitées, les experts en systèmes de contrôle et de sécurité, les techniciens et les ingénieurs seront
prioritaires.

Votre voiture, mes commandes (2015)

[Link]
Nous avons déjà évoqué dans de précédentes éditions du Bulletin, comme dans notre article «
Paranoïa d'aujourd'hui, réalité de demain » (voir ici), l'internet des objets et ses conséquences sur
le plan de la sécurité. Malheureusement, demain est arrivé. À l’occasion de la conférence
BlackHat 2015, des chercheurs ont montré comment ils pouvaient facilement pirater votre voiture
et en prendre le contrôle à distance...
S’ils ne sont passés à l'action que sur une Jeep Cherokee, d'autres ont mené des expériences
similaires sur des Smart, des Ford, des Tesla, des Corvette ou encore des BMW, Chrysler et
Mercedes. La présence toujours plus importante de l'informatique dans les voitures, que ce soit
pour le contrôle du moteur, pour l'air conditionné, pour l'ABS, pour l'ESP, etc., mais aussi pour le
système de radio et de divertissement, pour la navigation ou pour les communications ont permis
la prise de contrôle à distance des voitures. L'omniprésente interface Bluetooth, qui vous permet
de connecter votre téléphone, est le principal vecteur d'attaque. Et à distance. Le module GSM,
présent de série, est un autre vecteur, et il est même en passe de devenir une obligation légale dans
certains États européens pour les appels d'urgence (« eCall »). Les chercheurs mentionnés dans le
premier article ont découvert une faille dans le système GSM « uConnect » de Fiat/Jeep, qui leur a
permis de se connecter à distance à leur Jeep Cherokee, d'en manipuler le logiciel, et finalement de
prendre le contrôle de la radio, de l'air conditionné mais aussi de l'accélérateur ! Imaginez-vous

108 | P a g e
dans cette situation sur l'autoroute... Et les expériences menées sur Ford, Tesla ou Corvette ne sont
pas plus rassurantes.
Les problèmes de sécurité informatique qui ont affecté nos PC dans les années 1990, et qui sont
inhérents aux systèmes de contrôle depuis les années 2000 (« Pirater les systèmes de contrôle,
éteindre les lumières ! »), entrent donc aujourd'hui dans notre vie quotidienne (voir « Notre vie en
symbiose » ) ! Et si la mise à jour des systèmes de contrôle du LHC vous paraît déjà difficile et
complexe, que diriez-vous pour votre maison ? .... Votre voiture ? .... Votre frigo ? .... Votre
télévision ?
P.S. : Si vous possédez une Jeep Cherokee, une mise à jour pour cette vulnérabilité est disponible
ici. Les modèles européens sont censés ne pas être concernés.

Paranoïa d'aujourd'hui, réalité de demain (2014)

[Link]
Quand internet a ouvert ses portes au monde académique, vers la fin des années 1980, rejoint
quelques années plus tard par le World Wide Web, la sécurité informatique, du point de vue du
public, n'était pas vraiment considérée comme faisant parti de l’équation. Toute personne parlant
de vulnérabilités et de problèmes de sécurité (hackers) se voyait rapidement affublée de l’adjectif
« paranoïaque ». Ce n’est qu’après l’épidémie du virus « ILOVEYOU », en 2000, qui a été responsable
de l’infection à grande échelle d'ordinateurs Windows (parmi lesquels un certain nombre
d'ordinateurs au CERN), que la sécurité informatique est devenue une réalité.
De même, les avertissements sur la faiblesse et l'absence de sécurité des systèmes de contrôle émis
par le CERN et tant d'autres (voir notre article du Bulletin intitulé « Pirater les systèmes de contrôle,
éteindre les lumières ») ont été ignorés, jusqu'à ce que l'attaque Stuxnet contre des systèmes de
contrôle en Iran, en 2010, prouve leur pertinence. La réalité a fini par rejoindre la paranoïa. L'année
dernière, la peur paranoïaque d'experts de la sécurité informatique, qui laissaient supposer que
toute l'infrastructure informatique avait pu être infiltrée et mise sur écoute, s'est, à son tour,
révélée être fondée (à en juger par les révélations d'Edward Snowden (voir notre article intitulé «
Sécurité contre Nations : une bataille perdue ? »)). Paranoïa contre réalité : trois coups d'avance.
Et le prochain se rapproche...
Internet est en constante évolution, s'éloignant de plus en plus d'un simple outil de partage de
l’information, et se dirigeant de plus en plus vers un « internet des objets », comprenant tout un
ensemble d'instruments publiant des données en grande quantité, intéressantes ou non, pour tous
ceux qui « écoutent » : beaucoup de consoles de jeu, et même, de télévisions, ont besoin d'une
connexion à internet, pour une « expérience de divertissement enrichie ». Même les voitures sont
connectées puisque leurs systèmes de divertissement peuvent être connectés à votre téléphone.
Dans un futur proche, elles pourraient même discuter entre elles et avec les feux de circulation afin
d'optimiser le trafic. Les « compteurs intelligents » mesureront votre consommation électrique
chez vous en continu et partageront cette information avec votre fournisseur d'énergie,
potentiellement par internet. Nest Labs, récemment acheté par Google, fait de même avec votre
chauffage et votre climatisation. Certaines machines à expresso ont un port USB pour vous
permettre d'ajouter vos recettes préférées et ainsi rendre votre café plus à votre goût. Là aussi,
internet attend au prochain tournant.

109 | P a g e
Le risque perçu par les paranoïaques ? Tous ces équipements utilisent une forme ou une autre de
système d'exploitation. Mais comparés à ceux de nos ordinateurs, les vendeurs de ces équipements
n'ont pas de réelles motivations pour fournir en continu des mises à jour et des patches de sécurité.
Même certains fabricants de smartphones sont très lents pour fournir les mises à jour de firmware
pour leurs gammes de produits plus anciennes. Pourquoi s’attendre à mieux de la part des
fabricants de machines à café connectées à internet ou de systèmes de chauffage contrôlables
depuis votre tablette ? Et la réalité a à nouveau rejoint la paranoïa : des vulnérabilités 1 ont été
identifiées dans des systèmes de chauffage allemands et certains réfrigérateurs (!) se sont révélés
être les expéditeurs de SPAM au monde entier.
Conclusion ? Être paranoïaque n'est pas si mal. Cela signifie peut-être simplement que vous êtes en
avance sur votre temps. Au CERN, nous écoutons davantage notre intuition. Avons-nous
suffisamment de mesures de sécurité en place ? Nos données sont-elles protégées convenablement
? Nos habitudes de développement et de vérification de nos systèmes sont-elles encore adéquates
maintenant que tout est interconnecté ?
Dites-nous dans quel(s) domaine(s) de la sécurité informatique au CERN vous investiriez ; ce qui,
selon vous, nécessite des améliorations ; et ce qui peut simplement être ignoré, en envoyant un
courriel à [Link]@[Link]. Soyez paranoïaques !

Notre vie en symbiose2 (2014)

[Link]
Vous rappelez-vous de nos articles du bulletin sur la cyber-sécurité des systèmes de contrôle («
Pirater les systèmes de contrôle, éteindre les lumières ! » et « Pirater les systèmes de contrôle,
éteindre... les accélérateurs ? ») en début de cette année ? Permettez-moi de faire la lumière là-
dessus depuis une perspective complètement différente.
J'ai été élevé en Europe dans les années 80. Intégré dans toutes les commodités d'une ville
moderne, mon environnement a fait de moi un Cyborg - un homme ligoté à la technologie - aidé
mais également dépendant des logiciels et du matériel : Depuis mon enfance, je mange de la
nourriture emballée par des machines et expédiée par un réseau sophistiqué de navires et camions
la gardant fraîche ou congelée jusqu'à ce qu'elle arrive dans les supermarchés. Je chauffe ma
maison par la magie de l'énergie nucléaire fournie par l'intermédiaire d'un réseau électrique
complexe. En fait, la plupart des équipements et gadgets que j'utilise sont basés sur l'électricité et
j'ai juste besoin d'utiliser une prise de courant. Pendant mes vacances, je voyage en taxi, train et
avion. Et j'apprécie le beau temps à l'extérieur grâce à un système d'air climatisé situé dans le sous-
sol du bâtiment IT du CERN.
Ce système d'air climatisé, un système de contrôle de processus (« Process Control System », PCS),
surveille la température ambiante de la pièce par l'intermédiaire d'un réseau distribué de capteurs.
Une unité centrale intelligente - appelée contrôleur logique programmable (« Programmable Logic
Controller », PLC) - compare les valeurs de température mesurées avec un ensemble de seuils, puis
calcule les nouveaux réglages pour le chauffage ou la climatisation. En plus de cette boucle de

1
Après quoi, le vendeur correspondant a suggéré aux personnes concernées de déconnecter le câble
ethernet…
2
Pour être publié dans le World Federation of Scientists yearbook.
110 | P a g e
régulation de la température (surveiller, calculer, paramétrer), un petit écran - un système SCADA
(système de surveillance et d'acquisition de données) très simple - fixé au mur me permet de lire la
température actuelle de la pièce et de manipuler ses points de réglages. Selon la taille de
l'immeuble, en fonction des processus à contrôler, de nombreux capteurs, PLC, actuateurs et
systèmes SCADA peuvent être combinés et interconnectés pour construire un PCS plus grand et
plus complexe.
De la même manière, tous nos produits et équipements dépendent des nombreux et complexes
PCS : les PCS pour la gestion de l'eau et des déchets, la production et la transmission d'électricité,
le transport public et privé, la communication, la production de pétrole et de gaz, mais aussi pour
les voitures, les aliments et les produits pharmaceutiques. Aujourd'hui, beaucoup de gens vivent
en symbiose avec ces PCS qui rendent leur vie confortable, et l'industrie en dépend. La diversité des
PCS est devenue une « infrastructure critique » (« Critical Infrastructure ») complète et intégrée
fournissant la base fondamentale pour leur survie générale.
Alors, que se passerait-il si un composant ou l'ensemble de cette infrastructure critique tombait en
panne ? Comment votre vie changerait-elle sans eau courante et sans l'élimination appropriée des
déchets, sans électricité, sans nourriture fraîche et congelée ? L'air frais de la salle de conférence
deviendrait chaud et inconfortable. À une échelle plus large, sans eau potable au robinet, nous
devrions revenir aux puits locaux, ou recueillir et chauffer l'eau de pluie afin de la purifier. Une
panne du système d'électricité arrêterait la vie publique : les produits surgelés dans les
supermarchés se réchaufferaient et deviendraient immangeables, les pompes à carburant ne
fonctionneraient plus, les systèmes de maintien en vie dans les hôpitaux cesseraient une fois que
les générateurs diesel locaux seraient à court de carburant... (Tout cela est bien décrit dans le
roman Blackout de M. Elsberg).
Nous comptons sur notre Infrastructure Critique, nous comptons sur les PCS, et nous comptons sur
les technologies derrière les PCS. Dans le passé, les PCS, les PLCs et les systèmes SCADA ainsi que
leurs composants matériels et leurs logiciels étaient propriétaires, construits sur mesure, et
autonomes. L'expertise était centralisée, avec quelques ingénieurs système connaissant leur
système par cœur. Cela a changé au cours des dernières décennies. La pression pour la
consolidation et la rentabilité a poussé les fabricants et les services publics à s'ouvrir. Aujourd'hui,
les PCS modernes emploient les mêmes moyens technologiques utilisés depuis des années dans les
centres informatiques, dans les bureaux et à la maison : le système d'exploitation Windows de
Microsoft pour exécuter les systèmes SCADA ; des navigateurs Web comme interfaces utilisateur ;
des ordinateurs portables et des tablettes remplacent les listes de contrôle sur papier ; des emails
pour diffuser les informations et alertes d'état, le protocole IP pour communiquer entre les
différentes parties d'un PCS ; l'internet pour les accès à distance pour le personnel du support et
les experts...
Malheureusement, tout en bénéficiant de la technologie de l'information standard, les PCS ont
également hérité de ses inconvénients : les défauts de conception dans le matériel, les bogues dans
les composants et applications logiciels, et les vulnérabilités dans les protocoles de communication.
Exploitant ces inconvénients, des cyber-attaquants malveillants et des chercheurs en informatique
bienveillants sondent de nombreux matériels différents, logiciels et protocoles pendant des
années. Encore plus aujourd'hui, les centres informatiques, les systèmes de bureau et les
ordinateurs personnels sont en permanence attaqués. Avec leurs nouvelles bases technologiques,
les PCS ont aussi subi un examen minutieux. L'attaque sophistiquée « Stuxnet » par les États-Unis
et Israël contre le système de contrôle des installations d'enrichissement en uranium de l'Iran en
111 | P a g e
2010 est seulement l'un des cas les plus médiatisés. De nouvelles vulnérabilités affectant les PCS
sont publiés régulièrement sur certaines pages Web, et des modes d'emploi en vue d'attaques
malveillantes circulent largement sur l'Internet. Les dommages causés peuvent être énormes.
Par conséquent, la « protection des infrastructures critiques » (« Critical Infrastructure Protection
») devient impérative. Mais protéger des PCS comme des centres informatiques, les mettre à jour,
utiliser des anti-virus, contrôler les accès s'avére beacoup plus difficile que les attaques. Les PCS
sont construits pour des cas d'utilisation. Les actes malveillants sont rarement pris en compte lors
de leur phase de conception et d'implémentation. Par exemple, redémarrer un PC SCADA va
interrompre temporairement les capacités de surveillance ; mettre à jour le firmware d'un PLC
nécessite généralement de refaire des tests minutieux et probablement une nouvelle certification.
Les deux sont des tâches non anodines et coûteuses qui ne peuvent être faites en accord avec le
cycle mensuel des mises à jour de Microsoft par exemple.
Et donc, une partie (sinon plusieurs) des PCS d'aujourd'hui sont vulnérables aux cyber-attaques
courantes. Non sans raison, Richard Clarke disait « les États-Unis pourrait être en mesure de faire
sauter une centrale nucléaire quelque part, ou un centre de formation terroriste quelque part, mais
un certain nombre de pays pourraient riposter par une cyber-attaque et le système économique du
pays pourrait s'effondrer en représailles... parce que nous ne pouvons pas le défendre aujourd'hui.
» (AP 2011). Nous devons élever nos cyberdéfenses maintenant. Sans protection des infrastructures
critiques, sans systèmes SCADA protégés, notre vie symbiotique moderne est en péril.

Les cyber-attaques et les risques pour le CERN (2013)

[Link]
Dans le Bulletin précédent, nous avons discuté des cyber-risques qu'encourait le complexe
d'accélérateurs. Cependant, en regardant le tableau d'ensemble, les cyber-risques pour le CERN
sont beaucoup plus diversifiés.
Les attaques peuvent non seulement nuire à l'exploitation des accélérateurs ou des expériences,
mais elles peuvent aussi avoir un impact négatif sur le fonctionnement de l'Organisation dans son
ensemble et/ou sur sa réputation. Cela pourrait faire obstacle à notre travail, ou nous faire passer
pour des idiots, et les organismes de financement pourraient finir par se demander si leur argent
était vraiment bien investi au CERN... Des exemples ? Bien sûr, faisons preuve d'imagination !
Quelles seraient les conséquences, si :
 Un ordinateur portable avec des documents sensibles du CERN était perdu ou volé, et
terminait sur eBay ?
 Votre mot de passe était compromis et votre compte de messagerie utilisé abusivement
pour envoyer des messages désagréables à des milliers d'adresses de messagerie externe
?
 Un attaquant parvenait à ajouter des photos de femmes/hommes nu(e)s sur un site
important du CERN, et les partageait sur Twitter ?
 Des documents confidentiels, comme les formulaires de candidature à un emploi ou des
listes de mots de passe, devenaient accidentellement publics ?
 Un membre du personnel téléchargeait du matériel sous copyright et que le CERN était
ensuite poursuivi par le titulaire des droits ?

112 | P a g e
  Un attaquant s'infiltrait dans nos clusters centraux de calcul ou la grille de calcul du LHC, et
attaquait ensuite - disons - le site du Vatican ?
 Une grande partie des PC Windows et des ordinateurs portables connectés au réseau des
bureaux était infectée par un tout nouveau virus ?
Quelle est la probabilité que les faits mentionnés ci-dessus se produisent ? Pour sûr, non nulle ! Par
conséquent, aidez l'Organisation à maintenir les cyber-risques au niveau minimal ! Rappelez-vous
que vous êtes, en première instance, responsables de la sécurité informatique des ordinateurs
portables, smartphones et PC que vous utilisez, des comptes et mots de passe que vous possédez,
des fichiers et documents que vous détenez, des programmes et applications que vous avez
installés ou, en particulier, que vous avez écrits, et des services informatiques et systèmes que vous
gérez. L'équipe de Sécurité informatique est prête à vous aider à assumer cette responsabilité en
assurant la formation et la sensibilisation, des conseils et des audits. Vous pouvez aussi déléguer
cette responsabilité au département informatique, qui gère une multitude de services
informatiques sécurisés.

Pirater les systèmes de contrôle, éteindre les lumières

(2013)
[Link]
Avez-vous déjà entendu parler de « Stuxnet »? « Stuxnet » était une cyber-attaque très
sophistiquée contre le programme nucléaire iranien. Comme dans un film d'espionnage, les
assaillants ont infiltré l'usine d'enrichissement d'uranium à Nantanz, ils ont fait en sorte que des
clés USB infectées soient insérées dans les ordinateurs locaux, et les virus USB ont fait le reste.
Le virus exploitait quatre faiblesses distinctes, jusque-là inconnues dans le système d'exploitation
Windows - elles auraient d'ailleurs pu être vendues sur le marché noir jusqu'à 250 000 $ chacune.
Le virus visait à interrompre la production d'uranium iranien. Dans un premier temps, il a cherché
les ordinateurs infectés dédiés à SCADA (Supervisory Control and Data Acquisition), un logiciel de
Siemens. Une fois que le virus a trouvé ce logiciel, il a essayé d'identifier tous les composants du
système de contrôle, i.e. les PLC (Programmable Logic Controllers) rattachés à ce PC. Si le PLC
correspondait à une certaine marque (Siemens S7) et à une configuration, le virus téléchargeait des
séquences de code supplémentaires dans ce PLC. Ces séquences étaient fatales: clandestinement
et au fil des mois, elles faisaient varier la vitesse de rotation des centrifugeuses d'enrichissement
d'uranium. La rotation non constante détériora l'enrichissement de l'uranium et l'usure provoquée
rendit les centrifugeuses inutilisables. Les attaquants avaient atteint leur objectif...
Bien que cela semble être un exemple rare et tiré par les cheveux, la réalité est en fait bien pire.
Les systèmes de contrôle standard déployés dans les réseaux de distribution d'électricité et de
production d'énergie, ou employés dans presque toutes les lignes de production dans le monde
(voitures, pétrole, produits chimiques...), ne sont absolument pas protégés. Bien qu'ils utilisent des
techniques similaires à celles des PC standard (système d'exploitation Windows, e-mails, web, etc.)
et qu'ils se connectent à des réseaux similaires, la « sécurité » n'a jamais fait partie de leur
conception et, par conséquent, attaquer les PLC reste facile et direct. Éteindre les lumières en
[mettre votre pays favori ici] n'a jamais été aussi facile. Non sans raison, Richard A. Clarke, conseiller
du président américain, a déclaré en 2011 que tant que les États-Unis seront en mesure de faire
sauter une centrale nucléaire quelque part dans le monde, un certain nombre de pays pourrait

113 | P a g e
riposter par une cyber-attaque et « le système économique américain pourrait être complètement
écrasé en représailles... et [ils ne pourraient] pas le défendre aujourd'hui ». Remplacez « américain
» par « du monde entier » et vous obtenez la situation réelle.
Qu'en est-il du CERN? Les accélérateurs, les expériences et l'infrastructure technique sont tous
basés sur les mêmes technologies de systèmes de contrôle avec les mêmes inconvénients,
vulnérabilités et risques de sécurité. Fait intéressant, nos collègues de l'ex-groupe IT/CO
(aujourd'hui EN/ICE) ont créé une variante beaucoup moins sophistiquée de « Stuxnet » déjà en
2004. Des tests dédiés de 2005 à 2007 ont montré qu'un tiers des systèmes de contrôle testés
pouvaient être écrasés par une cyber-attaque en quelques secondes. Par conséquent, un groupe
de travail stratégique, le CNIC - Computing and Networking Infrastructure for Controls - a été
mandaté en 2004 pour améliorer la cyber-sécurité du système de contrôle du CERN. Ce groupe se
joint à des représentants de toutes les expériences du LHC, des secteurs techniques et des
accélérateurs, ainsi que le département informatique et l'équipe de sécurité informatique. Le
résultat a été une politique de sécurité claire des systèmes de contrôle (voir ici) et des actions, par
exemple la séparation du réseau des bureaux (GPN) et du réseau de contrôle (TN), et l'interdiction
des clés USB sur le TN. Aujourd'hui, le CERN est en contact direct avec plusieurs fournisseurs et
organismes gouvernementaux, et collabore avec eux pour améliorer la sécurité des systèmes de
contrôle.
Donc, si vous utilisez des systèmes de contrôle, interrogez-vous: votre configuration est-elle sûre?
Avez-vous des contrôles d'accès appropriés? Mettez-vous à jour régulièrement? Connaissez-vous
la « sécurité »? Si vous ne connaissez pas ou avez des doutes, rejoignez le « CNIC users exchange »
ou contactez-nous via [Link]@[Link].

Pirater les systèmes de contrôle, éteindre... les

accélérateurs ? (2013)
[Link]
En réponse à notre article paru dans le dernier Bulletin, nous avons reçu le commentaire suivant :
« Stuxnet n'essayait-il pas de stopper le programme nucléaire iranien ? Pourquoi tout ce bruit en
ce qui concerne les accélérateurs du CERN ? Ne réalisez-vous pas que la "sécurité informatique"
n'est pas la raison d'être du CERN ? » Je vous remercie pour cette occasion en or d'approfondir la
question.
Étant donné la sophistication de Stuxnet, il aurait été difficile, voire impossible, de détecter une
telle attaque ciblée contre le CERN. Mais là n'est pas la question. Il y a des risques beaucoup plus
simples pour notre complexe d'accélérateurs et notre infrastructure. Et, bien que la « sécurité
informatique n'est [en effet] pas la raison d'être du CERN », il est de la responsabilité de chacun
d'entre nous d'écarter ce risque.
Des exemples ? Il suffit de penser à un virus informatique simple infectant les PC Windows de
contrôle connectés au réseau des accélérateurs (le réseau technique TN), et perturbant leur
fonctionnement. Les PC Windows de contrôle sont assez sensibles car ils ne peuvent pas être mis à
jour aussi rapidement que les ordinateurs de bureau - ni au CERN, ni dans l'industrie. Profitant de
cette opportunité, le virus pourrait pénétrer le système via un PC de développement compromis
connecté au réseau des bureaux ; ou être envoyé via un nouveau terminal « Supervisory Control
And Data Acquisition (SCADA) », lequel aurait déjà été compromis par un fournisseur de systèmes
114 | P a g e
de contrôle ; ou encore être introduit par un ordinateur portable de maintenance connecté
temporairement au TN...
Un autre exemple serait la combinaison d'un nom de compte et d'un mot de passe pour accéder
aux systèmes de contrôle critiques des accélérateurs. Cette combinaison pourrait être divulguée
accidentellement sur un de nos sites web publics. Un attaquant pourrait l'avoir repérée et pourrait
en profiter pour manipuler le système d'une manière défavorable. Un dernier exemple serait celui
d'un code malveillant introduit par un attaquant sur un PC de contrôle basé sur Linux avec la
connectivité au TN. L'attaquant ne sachant pas où il « est », il exécuterait ce code pour scanner le
réseau. Cela pourrait introduire des latences de réseau, et empêcher les autres systèm es de
contrôle de fonctionner correctement.
Impossible ? Pas du tout. Des variations assez inoffensives de ces exemples ont été vues au CERN
dans un passé proche ! Si ces attaques avaient été sérieuses, elles auraient entraîné des mois d'arrêt
de notre programme de physique. Heureusement, elles n'ont eu aucun impact, à ce jour.
Cela durera-t-il ? La « sécurité informatique » doit devenir un élément important pour le complexe
d'accélérateurs (comme « fonctionnalité », « disponibilité », « maintenabilité »; voir l'article « Un
Petit Conte du Mouton Noir de -ITÉ »). La Direction du CERN a déjà approuvé cela en 2004, et a
chargé le groupe de travail stratégique - le CNIC (Computing and Networking Infrastructure for
Controls) - d'améliorer la cyber-sécurité du système de contrôle du CERN. Ce groupe réunit des
représentants de toutes les expériences du LHC, du secteur technique et des accélérateurs, ainsi
que du département informatique et de l'équipe de sécurité informatique. Le résultat a été la
séparation du réseau des bureaux et du TN ; le passage de PC de bureau individuels à des serveurs
Windows et des machines virtuelles pour développer les applications de contrôle ; la mise en place
d'un système d'installation de Windows pour les PC de contrôle (CMF, par la suite utilisé partout
dans le CERN) ; et l'interdiction d'utiliser des clés USB, des ordinateurs portables et des
périphériques sans fil sur le TN. Néanmoins, ces mesures devant être déployées dans un
environnement opérationnel, elles ont dû être adaptées à une multitude de conditions, exceptions
et contournements. Par conséquent, aucune d'elles n'est parfaite, certaines ayant même un fort
impact sur la convivialité et le confort d'utilisation, en particulier pour ceux qui développent et
maintiennent les systèmes de contrôle de l'accélérateur.
Envoyez-nous vos commentaires ! Maintenant que le 1er long arrêt technique est lancé, nous
devons vérifier ensemble comment améliorer la situation pour vous, tout en maintenant un niveau
élevé de sécurité.
Rejoignez le CNIC users exchange ou envoyez un courriel à Technical-
[Link]@[Link]. Si vous utilisez des systèmes de contrôle, consultez la politique
de sécurité du CNIC des systèmes de contrôle : est-ce que votre configuration est sécurisée ? Avez-
vous un contrôle des accès approprié ? Faites-vous les mises à jour en temps opportun ?
Connaissez-vous la « sécurité » ?

115 | P a g e
Développement sécurisé de logiciels
Gitlab CI peut vous aider (2017)
[Link]
gitlab-ci
Un code soigneusement testé est la pierre angulaire d'une pile logicielle fiable et solide. En effet,
rien n'est plus ennuyeux qu'une application qui plante, est défaillante ou ne fonctionne pas comme
elle le devrait, ce qui entraîne perte de temps et de service (!) et donne lieu à un fastidieux
processus de débogage pour trouver l'origine de la faille. Sans parler de la frustration de la
communauté des utilisateurs. S'il est impossible de produire du code sans bogue en raison de la
complexité des logiciels et des compétences limitées de la plupart des programmeurs humains, on
peut limiter de façon significative d'éventuels frais de débogage en réduisant le nombre de bogues
et de failles dès le début du processus de développement. Pour préserver la qualité logicielle, le
département informatique du CERN vous propose, ainsi qu'à vos clients, quelques outils simples
pour gagner du temps et vous éviter de sérieux maux de tête.
Écrire du code parfait est loin d'être facile et nécessite une connaissance approfondie du (des)
langage(s) de programmation utilisé(s) et beaucoup d'expérience. Les défauts et les bogues sont
donc inévitables, même les codeurs les plus qualifiés n'y échappent pas. Ces « Gandalfs du codage »
savent cependant retourner la situation en leur faveur. Ils respectent les bonnes pratiques en
matière de modularité, d'isolation, de simplicité et de lisibilité ; ils valident chaque bit de données
d'entrée et rejettent les données incohérentes ; ils limitent la portée de l'exécution et réduisent le
nombre de privilèges ; ils choisissent les valeurs par défaut les plus sûres ; ils gardent les secrets
secrets et sont attentifs aux messages du compilateur (« gcc -wALL anyone ? », par exemple) qui
très souvent signalent un code non-optimal. Dans l'idéal, la phase de compilation du code devrait
se dérouler sans message d'aucune sorte.
Vous souhaitez devenir un magicien du codage ? Il vous suffit d'appliquer les bonnes pratiques
mentionnées plus haut. C'est encore plus facile si vous utilisez l'instance Gitlab du CERN comme
votre référentiel principal. Gitlab-CI, son outil d'intégration continue, vous permet d’effectuer
facilement et automatiquement des analyses supplémentaires sur le code statique de votre
référentiel, ce qui garantit un code sans failles de sécurité connues et exempt de mauvaises
pratiques. Cela est particulièrement efficace lorsque vous travaillez en groupe ou en équipe car
vous pouvez alors vous concentrer sur votre tâche et non sur quels outils les autres devraient
utiliser et comment. Vous gagnerez ainsi beaucoup de temps car vous n'aurez plus à préparer un
environnement de test pour chaque modification.
Tous ces outils d'analyse statique de code peuvent être téléchargés. Si vous souhaitez savoir
comment mieux sécuriser votre site web, en particulier s'il est directement exposé à Internet,
veuillez voir nos recommandations et nos outils Oracle/APEX. L'une de nos recommandations de
base est simple : pensez à utiliser les services web centraux du département IT du CERN !
Bien entendu, il existe maintes autres possibilités d'améliorer vos logiciels. L’équipe en charge de
la sécurité informatique, en collaboration avec celle responsable de la formation technique du
CERN, a organisé plusieurs cours sur le développement web et les bonnes pratiques en matière de
programmation. Pour ceux que le piratage informatique intéresse, nous donnons régulièrement

116 | P a g e
des cours pratiques de capture de drapeau pour apprendre à tester la résistance aux intrusions de
votre logiciel. Participez au WhiteHat Challenge en septembre 2017 ! Si vous préférez la lecture,
voici une liste d'ouvrages et d'articles sur le sujet.

Responsabilité pour les logiciels (2016)

[Link]
software-liability
L’équipe de sécurité informatique du CERN et nos collègues, ainsi que des étudiants externes
participant au CERN WhiteHat Challenge et des personnes bienveillantes du monde entier
s’emploient à repérer des failles ou des vulnérabilités dans les sites internet ou les logiciels
développés et utilisés au CERN. C’est une course sans fin entre les gens bien intentionnés et les
malfaiteurs qui rêvent d’exploiter ces failles et ces vulnérabilités afin de pénétrer au CERN pour
utiliser nos ressources informatiques à des fins malveillantes.
Pourquoi les logiciels comportent-ils des bugs ? La complexité est bien entendu une des raisons,
mais il faut voir plus loin. L’origine des failles est humaine. Bien souvent, la sécurité des programmes
informatique est négligée en raison de délais serrés, de compétences de programmation
insuffisantes ou de la méconnaissance des bonnes pratiques, et rien n’incite à améliorer les choses.
Les logiciels mis à part, il n'existe pratiquement aucun autre produit au monde où, dans le cas d'un
défaut, c'est au client de subir les conséquences... sauf peut-être dans le cas des drogues ? Dans
n’importe quel autre domaine, lorsqu’il existe des risques pour les utilisateurs, par exemple en
ingénierie ou en médecine, les fabricants doivent être agréés et des audits et des contrôles de
sécurité doivent être réalisés.
Peut-être devrions-nous mettre en place un système de responsabilité encadré par les pouvoirs
publics, pour tous les logiciels vendus ou distribués à grande échelle ? La loi obligerait les
entreprises et les programmateurs de logiciels à verser une récompense lorsqu’une vulnérabilité
est découverte dans un de leurs produits. La somme payée à la première personne qui a découvert
la faille serait déterminée en fonction de directives nationales (voire internationales) : cross-site
scripting : 1 000 EUR, injection SQL : 5 000 EUR, exécution de code à distance : 10 000 EUR. Elle
pourrait même être proportionnelle au nombre d’utilisateurs du logiciel vulnérable. Elle serait ainsi
plus élevée pour un logiciel Microsoft que pour un logiciel très peu utilisé. Les entreprises et les
développeurs ne devraient toutefois payer que pour les logiciels propriétaires, le paiement des
récompenses pour les logiciels libres serait assumé par l’État... Quels seraient les avantages d’un
tel système ? Pour commencer, les entreprises et les développeurs de logiciels devraient veiller à
la sécurité de leurs logiciels. Ils pourraient bien entendu décider qu’il est plus rentable de payer une
récompense et d'améliorer leur logiciel en s’appuyant sur des tests externes ou, mieux encore, ils
pourraient choisir de rendre le code source de leur logiciel libre, ce qui profiterait à tout le monde,
et la récompense en cas de faille serait alors payée par l’État. Ensuite, ce système constituerait une
alternative au marché noir des failles et des vulnérabilités.
Les activités des grey hats, qui gagnent leur vie en vendant des failles, pourraient redevenir légales.
Tous les autres passionnés des technologies de l’information – les étudiants en informatique ou
même vous et moi – qui ne sont jamais devenus grey hat ou black hat pour des raisons d'éthique,
pourraient se former dans le domaine et ainsi disposer d’un revenu supplémentaire. Enfin, chaque
logiciel serait examiné par davantage de personnes ; plus le nombre de personnes testant un
logiciel est grand, plus le nombre de vulnérabilités découvertes est élevé et plus les bases du logiciel

117 | P a g e
sont sûres. Mais le chemin à parcourir jusque-là est encore long, et de nombreux autres éléments
devront sans doute être pris en considération.
Actuellement, nous comptons donc sur VOUS (!) pour mieux sécuriser les logiciels que vous utilisez
ou développez. Au CERN, plusieurs possibilités s’offrent aux développeurs:
 Suivez les directives générales ou les directives relatives aux applications web ou à la
gestion des mots de passe ;
 Lisez un livre sur le sujet ;
 Utilisez nos outils d'analyse statique de code source afin de mieux sécuriser votre code.
Nous proposons même un ensemble de programmes d'analyse statique d'intégration
continue dans le cadre de Gitlab Continuous Integration ;
 Demandez une analyse de sécurité des sites internet que vous administrez ou utilisez l’outil
d’analyse APEX si vous gérez un site internet utilisant Oracle APEX ;
 Participez au White Hat Challenge et apprenez à tester la résistance de votre logiciel aux
intrusions ;
 Contactez-nous à l’adresse [Link]@[Link] si vous avez besoin d'aide !

Meilleur code, moins de problèmes (2016)

[Link]
À l’origine de beaucoup d’incidents de sécurité informatique, on retrouve une négligence ou des
erreurs non intentionnelles commises par des développeurs web ou des programmeurs. Dans leur
travail effréné, du fait de priorités mal gérées ou simplement de leur ignorance, les principes de
sécurité de base sont omis ou oubliés.
Les vulnérabilités qui en résultent peuvent rester dormantes jusqu’à ce qu’une personne mal
intentionnée les découvre et décide de frapper fort. Dans le passé, des incidents de sécurité
informatique ont mis en danger la réputation du CERN : sites web vandalisé avec des messages à
connotation négative pour l’Organisation, fichiers contenant des « hashes » de mots de passe,
données à accès restreint publiées, etc. À la racine du problème, de la négligence !
En consultant la liste du top 10 des erreurs de développement web, vous constaterez que les bévues
les plus fréquentes sont : 1) ne pas filtrer les données en entrée, par exemple accepter « < » ou
« > » dans les champs de saisie alors que vous n’attendez qu’un nombre ; 2) le manque de validation
de ces données : vous vous attendiez à une date de naissance, alors pourquoi acceptez-vous des
lettres ou le mois numéro 13 ? ; 3) ne pas gérer correctement les sessions, l’authentification et
l’autorisation, par exemple lors de l’utilisation de « cookies », de jetons de sécurité (« tokens ») ou
du chiffrement fait maison... Les possibilités d’erreur sont nombreuses, mais ce n’est pas une
fatalité. Vous pouvez sécuriser votre application web et la rendre inattaquable en suivant quelques
étapes faciles et rapides. Prévenez les incidents de sécurité informatique en suivant notre co urs
pratique consacré au développement de programmes sécurisés (en anglais uniquement :
« Developing secure software » ). Le prochain cours aura lieu le 14 mars prochain et il reste encore
quelques places... Inscrivez-vous vite !
Après avoir suivi ce cours, si vous en voulez encore plus, l’équipe de sécurité informatique du CERN,
avec l’aide d’un « WhiteHat » de l’équipe réseau mondialement reconnu, propose des cours de
formation en profondeur sur les tests d’intrusion et la détection de vulnérabilités (en anglais
uniquement : [Link] Une centaine de personnes ont déjà
118 | P a g e
participé à nos formations pratiques. Vous voulez apprendre à déjouer les hackers? Inscrivez-vous
simplement ici.

SAHARA - la sécurité aussi élevée que

raisonnablement possible (2015)
[Link]
L’expérience montre que nos systèmes et services informatiques ainsi que nos systèmes de
contrôle présentent régulièrement des faiblesses sur le plan de la sécurité informatique. Trop
souvent, nous sommes amenés à utiliser des moyens détournés pour appliquer des mesures de
protection, comme déployer des solutions « bouche-trou », improviser des bricolages ou
simplement accepter qu'il soit trop tard pour modifier quoi que ce soit.
Une manière de faire en contradiction flagrante avec le professionnalisme dont nous faisons preuve
chaque jour. D’autres priorités et le manque de temps nous amènent à ignorer la « sécurité
informatique » ou à ne la considérer que trop tard... Nous pouvons mieux faire: prenons donc
exemple sur la « sécurité des personnes » au CERN!
Le principe « ALARA » (« As Low As Reasonably Achievable ») ou « niveau aussi bas que
raisonnablement possible » en français, est le principe suivi par l’unité HSE au CERN pour
l'exposition aux radiations. Adapté à la sécurité informatique au CERN, le principe deviendrait
« SAHARA » pour « Security As High As Reasonably Achievable » ou « sécurité aussi élevée que
raisonnablement possible » en français. En d’autres termes: toutes les mesures de sécurité
informatique doivent être appliquées – dans la mesure du possible et en fonction de leurs coûts.
Pour ce faire, la sécurité d'un nouveau logiciel, d’un service informatique ou d’un système de
contrôle doit être correctement examinée dès le stade de conception, comme c’est le cas pour
d’autres aspects du projet - tels que ses fonctionnalités, sa disponibilité, sa maintenabilité ou sa
facilité d'utilisation - qui doivent être définis et approuvés à l'avance.
Je me félicite qu'un certain nombre de nos collègues de différents départements, notamment BE,
HR, FP, TE et l'unité HSE, nous aient contactés très tôt dans la mise en œuvre de leurs nouveaux
développements informatiques ou processus d'acquisition pour vérifier leur impact sur le plan de
la sécurité. Bon travail chers collègues; j'espère que d’autres suivront vos pas !
Malheureusement, dans certains cas, l'équipe de la Sécurité informatique est impliquée trop
tardivement dans le processus. Ce fut le cas, une fois encore, avec certains des étudiants d'été de
cette année. Ma crainte de devoir à nouveau décevoir certains de ces étudiants s’est confirmée. En
particulier ceux qui ont dû créer une application web. Les étudiants d'été ont tendance à tout
construire de zéro. Généralement, à la fin de l'été, ils nous demandent d'ouvrir le pare-feu extérieur
du CERN pour leurs applications web. Mais attendez… L'application tourne sur le portable de
l'étudiant… Son superviseur ne sait pas comment maintenir son système d'exploitation « Ubuntu »
… La technologie web et les programmes utilisés sont dépassés… L’application utilise « Joomla » ou
« Wordpress » au lieu de « Drupal » … Elle utilise un identifiant local ou envoie les identifiants et
mots de passe en clair sur internet… Et les pages web elles-mêmes sont vulnérables à des attaques
basiques comme le « cross-site scripting » et les injections SQL… Un échec impressionnant de
niveau cinq qui nous contraints à refuser l’ouverture du pare-feu. Résultat: un étudiant déçu et
frustré de n'avoir, au final, rien produit d'utilisable, un superviseur énervé, et des services
informatiques désolés d'avoir dû anéantir le résultat d'un beau projet.
119 | P a g e
Ainsi, si vous êtes amené à superviser un projet de ce type, assurez-vous que votre étudiant nous
contacte le plus tôt possible: nous parlerons des bonnes et mauvaises pratiques informatiques, des
différents éléments fournis par le département IT du CERN, de la manière de bien concevoir un
logiciel… Vous éviterez ainsi de devoir abandonner le projet de votre étudiant parce qu'il n'est
absolument pas sécurisé - une situation bien désagréable.
En fait, le principe « SAHARA » devrait être appliqué à tous les services informatiques, systèmes de
contrôle, logiciels et applications web au CERN. Préoccupez-vous de la sécurité suffisamment tôt
dans votre projet et vous vous épargnerez bien des pertes de temps et des efforts inutiles. Qui plus
est, vous contribuerez à faire du CERN un environnent de travail plus sécurisé, pour le bien de son
fonctionnement et de sa réputation.

Professionnalisme aussi pour la sécurité (2015)

[Link]
Au CERN, nous faisons preuve de beaucoup de dévouement et de professionnalisme dans tout ce
que nous faisons. C’est indispensable au regard de la complexité et de la sophistication des
dispositifs avec lesquels nous travaillons. Cependant, concernant la sécurité informatique, nous
sommes tous d’accord sur le fait que nous pouvons encore mieux faire.
Dans certains cas, nous avons constaté que certains dispositifs étaient connectés à notre réseau
interne sans un niveau de protection adéquat. De même, dans le but de les communiquer plus
facilement aux collègues, certaines informations sont publiées sur des pages web publiques, parfois
sans avoir suffisamment réfléchi aux importants aspects de la sécurité. Des codes informatiques
sont perdus faute d'un système de gestion de versions ou de systèmes de stockage centraux. Des
systèmes sont arrêtés en raison de fautes de frappe lors de l'entrée d’adresses IP. Des programmes
sont directement développés sur des appareils de production, ce qui contrarie leur exécution, au
point parfois de les empêcher purement et simplement de fonctionner. Des applications, d’une
grande utilité, mais développées sans grande considération pour la sécurité, échouent aux tests de
pénétration ou scans de sécurité les plus élémentaires.
Alors, pourquoi ne pas faire preuve de plus de professionnalisme dans le domaine de la sécurité
informatique ? Posez-vous la question ! Si vous pensez que votre service ou système mérite une
analyse de la sécurité, que vos données ne sont peut-être pas assez protégées, que vos appareils
ne sont pas assez résistants ou robustes, ou que vos accès ou procédures de développement sont
sous-optimaux et devraient être mieux sécurisés, laissez-nous vous aider. De même, s'il y a des
problèmes plus généraux qui nécessitent notre attention du point de vue de la sécurité, faites-le
nous savoir. On citera par exemple des configurations et réglages de systèmes critiques, y compris
les accès à distance à des services informatiques ou à des systèmes de contrôle essentiels, lesquels
devraient être protégés par des mots de passe bien pensés et privés.
Si vous avez le moindre doute, pourquoi ne pas nous laisser vous aider ? Nous pouvons tester vos
applications et renforcer la protection des accès à vos appareils et systèmes critiques. Nous
pouvons améliorer la résistance de vos logiciels, revoir vos procédures de développement et
réduire les risques d'erreurs de configuration.

120 | P a g e
Votre code est-il sain ? (2015)
[Link]
Combien d'entre nous écrivent des codes ? Des logiciels ? Des programmes ? Des scripts ? Combien
d'entre nous sont convenablement formés pour cela ? Écrivons-nous des codes fonctionnels,
propres, sans failles, ni bugs ou vulnérabilités1 ? En d’autres termes : nos codes sont-ils sains ?
Découvrir les faiblesses d'un code n'est pas chose facile (voir notre quiz dans cet article du Bulletin).
C'est pourquoi, afin d'améliorer la qualité de nos codes, de prévenir les erreurs les plus communes,
et d'éviter les bugs et les vulnérabilités pouvant altérer leur fonctionnement, ou les faire
« crasher », ou, pire, permettre à des hackers de les exploiter à des fins malveillantes, l'équipe de
la Sécurité informatique du CERN a mis à jour ses recommandations afin de vérifier la conformité
de vos codes en matière de sécurité.
Les « analyseurs statiques de code » sont des programmes autonomes qui peuvent être utilisés sur
toute votre pile logicielle, qu'elle soit écrite en Java, en C/C++, en Perl, en PHP ou en Python. Ces
analyseurs peuvent détecter certaines faiblesses et erreurs, comme l'utilisation de variables non
déclarées, la présence d'expressions provoquant des dépassements de tampon (« buffer
overflows »), l'utilisation de fonctions dépréciées (comme la dangereuse fonction « strcpy » en C),
et l'absence de contrôle et de filtrage des entrées. Bien sûr, ces outils ne remplacent pas une
vérification du code à quatre yeux, ligne par ligne, mais ils devraient néanmoins devenir standard
pour les architectes logiciels, les développeurs et les programmeurs, afin d'améliorer leurs produits.
Donc, si vous êtes sérieux et professionnel, utilisez-les avant de compiler ou, encore mieux, mariez-
les à vos logiciels d'intégration (comme Bamboo ou Jenkins).
Bien sûr, nous continuerons à vous aider. Lorsque le service Jenkins du CERN entrera en production,
nous vous fournirons une procédure pour utiliser nos analyseurs statiques de code sur Jenkins. En
parallèle, nous avons l'intention de scanner automatiquement tout le code public des dépôts Gitlab,
afin d'y trouver les erreurs les plus évidentes. Chaque vulnérabilité sera automatiquement signalée
au détenteur du dépôt concerné. Vous pouvez également contacter l'un de nos WhiteHats et
l'autoriser à réaliser des tests d'intrusion sur votre application. Enfin, si vous le désirez, vous pouvez
nous contacter pour un audit de sécurité complet de votre code et un examen de votre architecture
logicielle.

Comment réussir le déploiement de logiciel (2014)

[Link]
La période des étudiants d'été a pris fin et nous tenons à féliciter tous ceux qui ont accompli avec
succès leur projet ! En particulier, bravo à ceux qui ont réussi à développer et déployer des
applications Web sophistiquées en cette saison d'été trop courte. Malheureusement, toutes les
applications Web n'ont pas où aller jusqu'au bout, entrer en production et devenir visibles sur
internet. Nous avons dû le refuser... permettez-moi de vous expliquer pourquoi.
La réalisation d'une application Web visible sur internet nécessite une ouverture dans le pare-feu
de périmètre extérieur du CERN. Cette demande est habituellement faite par l'interface web

1
Ok, il faut bien l'admettre, il n'y a pas de codes sans bugs. Même <--? php print "Hello World!"; ?--> est
potentiellement faillible. Malgré tout, nous avons pour but de réduire au minimum les bugs et de les
supprimer quand c'est possible !
121 | P a g e
WebReq du CERN. Dans la procédure standard, l'équipe de sécurité informatique du CERN examine
chaque demande et procède à une évaluation de sécurité. Et c'est là que les choses peuvent se
gâter : souvent, les étudiants ont créé des applications web impressionnantes proposant de
superbes fonctions nouvelles présentant un bel aspect et une bonne convivialité, correspondant à
des besoins précis, qui intègrent des technologies web modernes, des tableaux de bord, des flux
intégrés, des actions dynamiques par clic ou pointage de la souris, etc. Mais dans de nombreux cas,
une vérification approfondie a révélé des problèmes de sécurité:
 Des applications web donnant accès à des comptes locaux via un bouton de connexion:
étant donné que celui-ci est conçu pour les personnes du CERN, pourquoi n'est-il pas
intégré avec l'authentification unique du CERN?
 Des pages de connexion utilisant « HTTP »: il aurait fallu utiliser un protocole crypté («
HTTPS ») afin de protéger les mots de passe sur le réseau.
 Des pages web souffrant des vulnérabilités « habituelles » avec un risque d'extraction
d'informations protégées ou d'injection de commandes: aucune validation des entrées, pas
de filtrage.
 Des serveurs web exécutant des versions périmées du système d'exploitation ou de
l'application web: qui les mettra à jour à l'avenir ? Comment?
 Des serveurs installés sur du matériel caché sous les bureaux ou sur des ordinateurs
portables personnels: qui se chargera des mises à jour futures ?
 Des technologies qui sont semblables à celles fournies par le département IT : il n'est pas
nécessaire de réinventer la roue...
Il est dommage que de tels projets, démarrent parfois (apparemment) sans la consultation des
experts IT. L'équipe de sécurité informatique du CERN est prête à vous donner ces conseils, faire
des tests de pénétration, à évaluer l'empreinte sécuritaire des nouveaux systèmes et à vérifier les
déploiements existants. Nous pouvons vous aider à faire le choix approprié des technologies et vous
assister pour la conception de systèmes (évidemment, l'essentiel du travail sera pour vous…).
Comme nous l'avons écrit dans un précédent article du Bulletin (« Cessez de combattre seul, laissez
la synergie gouverner! »), le département IT peut apporter un appui centralisé pour une longue
liste d'applications et de services. Au lieu de gérer et de mettre à jour vos machines vous-même,
vous pouvez obtenir un serveur géré de manière centralisée ou une machine virtuelle tenue à jour
par le département IT. IT fournit également des serveurs web gérés de manière centralisée, des
systèmes de gestion de contenu, des bases de données, des systèmes de stockage de fichiers et des
applications d'ingénierie, le tout étant bien géré, correctement sécurisé, et maintenu sur le long
terme. En procédant de la sorte, votre responsabilité en matière de sécurité serait déléguée au
département IT et vous n’auriez plus à la gérer vous-même (plus ou moins bien). Votre équipe
pourra alors se concentrer sur son travail de base, et délivrer un beau projet qui ira en production
au profit de votre communauté d'utilisateurs à l'intérieur et à l'extérieur du CERN !
Enfin, la formation dédiée peut également vous aider (« Améliorer les logiciels, mais évitez les
gaffes! »). Le programme de formation du CERN comprend tout un ensemble de formations dédiées
aux développeurs de logiciels. Il vous suffit d'inscrire les personnes de votre équipe!

122 | P a g e
Participez au challenge WhiteHat du CERN ! (2014)
[Link]
Au cours des derniers mois, plusieurs utilisateurs du CERN nous ont signalé des vulnérabilités qu'ils
avaient trouvées dans des services informatiques et des serveurs au CERN. Tous les points relevés
étaient pertinents, beaucoup étaient intéressants, certains étaient même surprenants. Il est
primordial de déceler les faiblesses avant que certaines personnes mal intentionnées ne le fassent
et les exploitent. Cela nous aide à protéger le fonctionnement de nos accélérateurs et de nos
expériences, mais aussi plus généralement la réputation de l'Organisation. C’est pourquoi nous
aimerions exprimer notre gratitude aux personnes ayant signalé ces problèmes. Merci et bravo !
À cette occasion, nous aimerions également relancer la chasse aux bugs, vulnérabilités et
configurations vulnérables dans les applications, pages web et systèmes du CERN. Vous vous
rappelez peut-être d'une initiative similaire en 2012 (« Jouons à cache-cache ! »), qui consistait à
vous demander de rechercher sur les pages web du CERN les informations sensibles ou
confidentielles et de nous envoyer vos trouvailles. Un nombre assez important de documents
sensibles ont été trouvés, et ont pu être retirés. Cependant, nous devons être prudents avant d'aller
plus loin : toutes nos applications ne sont pas suffisamment robustes pour résister à des analyses
de vulnérabilité et à des tests d'intrusion. Il faut impérativement éviter qu’un test aléatoire sur les
applications, les pages web ou les systèmes du CERN entrave leur fonctionnement, aboutisse à la
suppression de contenus ou rende des données indisponibles. Pour cette raison, un certain niveau
d’entraînement et de coordination est nécessaire.
Participez avec nous au challenge WhiteHat du CERN ! Pour vous permettre de vous préparer avant
de vous lancer dans cette recherche, nous prévoyons d'organiser, au début de l'automne, un atelier
d'une demi-journée sur les analyses de sécurité, les tests d'intrusion et les problèmes d'éthique en
la matière. Les seuls prérequis nécessaires sont des compétences en programmation ou des
connaissances en administration de systèmes/services. Lorsque vous aurez participé à cet atelier et
réalisé les exercices, vous pourrez mener des tests d'intrusion sur les applications, pages web et
systèmes du CERN de votre choix. Tout ce que vous aurez alors besoin de faire sera de nous indiquer
ce que vous souhaitez tester. Nous conviendrons avec les administrateurs du service concerné du
moment où ces tests pourront être effectués. Vous aurez alors le champ libre pour mesurer vos
compétences en matière d'analyse de sécurité et de test d'intrusion face à des applications réelles
et à de vraies machines. Une situation gagnant-gagnant : vous gagnerez une expérience de la
recherche de failles de sécurité, et nous pourrons améliorer la sécurité et la robustesse des
systèmes que vous aurez testés ! Si devenir un WhiteHat officiel du CERN vous intéresse, inscrivez-
vous en envoyant un courrier électronique intitulé « Make me a CERN WhiteHat » à
[Link]@[Link].
Mais attention : vos seules motivations devront être la curiosité désintéressée et le goût du défi.
En compensation, nous ne pourrons vous offrir que nos félicitations, un bon livre sur les
problématiques de sécurité, une lettre d'appréciation transmise à votre superviseur et la mention
de vos trouvailles dans notre rapport mensuel. Bien entendu, cette expérience constituera aussi un
point très positif sur votre CV. Cependant, aucune récompense financière ne sera offerte (nous
avons d’ailleurs toujours refusé d’offrir de telles récompenses par le passé). Si vous voulez vous
faire un peu d'argent, il sera plus profitable pour vous de rechercher des bugs et des faiblesses, par
exemple, pour Google (entre 100 $ et 20 000 $), Facebook (500 $), Microsoft (jusqu'à 100 000 $),
ou d’autres. Notez cependant qu'une telle recherche au bénéfice de tiers relève de votre activité

123 | P a g e
personnelle et que vous ne devez pas utiliser pour cela le réseau du CERN, car cela constituerait
une violation des règles informatiques du CERN.

Le marathon de la sécurité (2015)

[Link]
Si vous croyez que la sécurité est un sprint, qu'une bidouille rapide est invulnérable, qu'une
correction de bugs hâtive est suffisante, qu’ajouter des mesures de sécurité aux structures
préexistantes est approprié, laissez-moi vous convaincre du contraire.
Notre meilleur exemple est tiré de la période d’accueil des étudiants d'été. Comme la période
estivale est courte, les projets logiciels doivent être réalisés rapidement, en un seul sprint. Vite,
vite! Mais souvent, cette course se solde par des muscles endoloris: régulièrement, des étudiants
d'été nous contactent avec le souhait de rendre leur projet ou leur serveur web publics sur internet.
Régulièrement, de rapides contrôles de sécurité de ces serveurs web révèlent des problèmes de
performance: l'application web comporte des erreurs ou est basée sur des protocoles non
sécurisés, les logiciels utilisés, les bases de données ou les supports web sont sous-optimaux et non
adéquats pour le projet, le système d'exploitation n'est pas standard et n'a jamais été mis à jour, le
matériel informatique est vieux, etc. Nous refusons ainsi souvent, malheureusement, de rendre
leurs projets publics sur internet. Leur sprint les a conduits à l’hôpital. Game over.
Car au contraire, la sécurité est un marathon. Elle nécessite une préparation approfondie, une
intégration et un planning adéquats. Tout comme courir un marathon peut faire partie intégrante
de votre vie, la sécurité est une partie essentielle du développement informatique. Comme pour
tout marathon, vous devez donc vous préparer correctement. Dans le domaine de la
programmation informatique, « être bien préparé » se traduit par un cycle de développement
logiciel (« software development life-cycle » ou « SDLC » en anglais) adéquat.
Un bon SDLC renforce la programmation avec des phases de conception et des tests répétés. C'est
uniquement à travers des spécifications fonctionnelles clairement définies qu'il est possible de
vérifier si le code produit fonctionne comme prévu, c'est-à-dire s’il répond aux besoins spécifiés. La
sécurité est simplement un autre angle d'approche qui permet de s’assurer que votre code ne peut
pas être corrompu. Nous avons rassemblé une liste de trucs et astuces pour différentes phases de
votre SDLC. D’intéressants livres sur le sujet (en anglais) ont été écrits par R. Anderson (« Security
Engineering ») et G. Mc Graw (« Software Security »). Des outils automatiques, tels que
« flawfinder », peuvent vous aider à mettre en évidence des erreurs simples. Nous avons établi une
longue liste d’outils d'analyse statique pour un certain nombre de langages de programmation.
Vous pouvez passer à l'étape supérieure grâce à des formations régulières. L'équipe de la sécurité
informatique propose des formations sur le développement et la programmation d'applications
web, pour C/C++, Java, Perl, Python et PHP. Rendez-vous sur notre site web, à la page training.

Le marathon de la sécurité, partie 2 (2015)

[Link]
Vous souvenez-vous de notre dernier article intitulé « Le marathon de la sécurité » (voir ici)? Nous
y expliquions pourquoi croire que la sécurité est un sprint, qu'une bidouille rapide est invulnérable,
qu'une correction de bugs hâtive est suffisante, qu’ajouter des mesures de sécurité aux structures
préexistantes est approprié… était une mauvaise idée.
124 | P a g e
Et bien sachez que la sécurité est un marathon, pour nous aussi. À maintes reprises, nous nous
sommes sentis à l’abri, à l’aise avec la position qu’a adoptée le CERN en matière de sécurité : des
moyens de protection dédiés installés sur les machines individuelles, des moyens de sécurité
déployés individuellement par les administrateurs de service, l'attention et la vigilance de nos
utilisateurs, et la réactivité du management. Cependant, encore et encore, nous découvrons
ensuite que ce sentiment est inapproprié, que les protections et les mesures de sécurité sont
incomplètes, que la conscience du problème de la sécurité informatique a disparu. Alors, à maintes
reprises, malheureusement, nous nous retrouvons à la case départ et devons résoudre, à nouveau,
les mêmes problèmes avec les mêmes personnes.
La sécurité est donc bien un marathon, pour nous aussi. Parfois, cela s’apparente même à une
course d'obstacles en équilibre sur une poutre: vous devez esquiver des obstacles tout en
maintenant votre équilibre. Comme pour tout marathon, la sécurité nécessite beaucoup d'aide et
de supports extérieurs. Et elle demande par ailleurs une grande résistance à la frustration, un
soupçon d'entêtement et beaucoup de persévérance. Et pardon à tous ceux que nous avons
poussés trop loin, la poutre est parfois très fine. Soyez indulgents. Laissez-nous continuer à protéger
les systèmes informatiques du CERN et à les maintenir en toute sécurité. Essayez de ne pas répéter
les erreurs du passé, il y a suffisamment d'opportunités pour en faire de nouvelles. Si vous
maintenez un service informatique ou développez un programme informatique (qui ne le fait pas
de nos jours?), merci de suivre ces quelques règles:
Ne réinventez pas la roue. Facilitez-vous la tâche et utilisez les services centraux fournis par le
département informatique du CERN ;
 Suivez la formation adaptée à votre langage de programmation favori ;
 Programmez soigneusement et suivez en détail un cycle de développement logiciel
complet ;
 Utilisez des outils d'analyse statique pour détecter d’éventuelles erreurs de base dans votre
code ;
 Suivez nos « Baselines de sécurité » pour mettre en place votre service dans les règles.

Améliorez les logiciels, mais évitez les gaffes ! (2014)

[Link]
Récemment, une grave vulnérabilité des appareils Apple (consistant en une gestion incorrecte du
chiffrement) a été rendue publique. Cette vulnérabilité a rendu la protection SSL/TLS inutile, et a
permis à un attaquant qui « écoutait » un réseau sans fil de capturer ou de modifier des données
dans les sessions chiffrées.
En d'autres termes, toutes les données confidentielles telles que les mots de passe, les informations
bancaires, etc., ont pu être détournées par une attaque ciblée. Bien qu'Apple ait rapidement fourni
des correctifs de sécurité pour les appareils iOS et Mac, c'est un remarquable exemple montrant
que de petites erreurs peuvent conduire à de gros trous de sécurité. Voici le code correspondant,
extrait du dépôt Open Source d'Apple. Pouvez-vous repérer le problème ?
1 static OSStatus
2 SSLVerifySignedServerKeyExchange(SSLContext *ctx, bool isRsa, SSLBuffer signedParams, uint8_t
*signature, UInt16 signatureLen)
3{

125 | P a g e
4 OSStatus err;
5 ..
6 if ((err = [Link](&hashCtx, &serverRandom)) != 0)
7 goto fail;
8 if ((err = [Link](&hashCtx, &signedParams)) != 0)
9 goto fail;
10 goto fail;
11 if ((err = [Link](&hashCtx, &hashOut)) != 0)
12 goto fail;
13 ...
14 fail:
15 SSLFreeBuffer(&signedHashes);
16 SSLFreeBuffer(&hashCtx);
17 return err;
18 }
Vous y êtes ?!
Le bug a été introduit à la ligne 10, probablement en raison d’un copier/coller de trop. Alors que le
« goto » de la ligne 9 n'est exécuté que si l'instruction « if » de la ligne 8 est vraie, le « goto »
supplémentaire de la ligne 10 contourne les contrôles de sécurité suivants, laissant la connexion
SSL non vérifiée.
De tels bugs se produisent aussi au CERN ! La sécurité fait partie intégrante du logiciel, de la même
manière que la disponibilité, la fonctionnalité, la maintenabilité et la convivialité. Un code plus sûr
signifie moins d'interventions pour corriger les problèmes, ce qui augmente la disponibilité et
améliore la maintenabilité. Un code plus sûr signifie de meilleurs contrôles des interfaces utilisateur
et des entrées fournies par l'utilisateur, améliorant ainsi la convivialité et la fonctionnalité. Par
conséquent, nous vous recommandons fortement de faire des tests approfondis de votre logiciel
avant son déploiement. Plus simple : activez les avertissements de votre compilateur (« gcc -Wall-
Wextra - Werror » pour C/C++ ou « javac- Werror - Xlint: all » pour Java) et vérifiez les paramètres
de votre éditeur de texte favori ou de votre environnement de développement.
N'hésitez pas à utiliser plusieurs compilateurs sur votre code : « clang » est une bonne alternative
à « gcc ». Il peut vous aider à identifier les problèmes et dispose d'une sortie joliment colorée. Les
avertissements du compilateur peuvent aussi vous informer de pratiques de programmation sous-
optimales. De plus, utilisez des outils d'analyse statique de code. Ces outils sont censés examiner
votre code rapidement, recherchant les potentiels bugs et vulnérabilités communes (liés à la
sécurité ou non), augmentant ainsi la fiabilité et la sécurité de vos programmes. Cette même page
web fournit également des recommandations sur la façon de garder les « secrets » secrets, sur la
façon de sécuriser les applications web, ainsi qu'une « liste de contrôles de sécurité ».
Bien sûr, n'hésitez pas à nous contacter en écrivant à [Link]@[Link] pour des conseils
ou un audit de sécurité complet, ou assistez à nos sessions de formation sur la programmation
sécurisée prévues au printemps et en été :
 Developing secure software (4 heures)
 Secure coding in C/C++ (1 jour)
 Secure coding in Perl (1 jour)
 Secure coding in Python (1 jour)
126 | P a g e
  Securing Java Applications (1 jour)
 Securing Java and Web Applications (1 jour)
 Securing PHP Web Applications (1 jour)

Cessez de combattre seul, laissez la synergie

gouverner ! (2013)
[Link]
Il semblerait que le CERN ait encore beaucoup de main-d'œuvre en trop, est-ce vrai ?... Nous
pensions pourtant que, pendant le LS1, les ressources étaient rares, et que tout le monde était
vraiment très occupé. Mais non. Plus que jamais, nous recevons des demandes pour des ouvertures
de pare-feu pour des serveurs web autonomes ayant des bases de données locales et des
applications web personnalisées.
Nous parlons ici d’applications logicielles « nouvellement » déployées ayant des fonctions similaires
à des applications préexistantes. Nous rencontrons du matériel informatique et des équipements
de réseau gérés de multiples façons par plusieurs personnes. Et des logiciels commerciaux ou des
services « cloud » qui ressemblent étrangement à des services informatiques existants au CERN
sont achetés ou loués, comme SurveyMonkey vs Sharepoint ou [Link] vs [Link]/go.
Pourquoi, par exemple, le CERN gère-t-il deux magasins de documents - CDS et EDMS - qui
fournissent des fonctionnalités et des flux de travail similaires? Un seul ne serait-il pas suffisant? Et
quatre (ou plus!) systèmes de tickets JIRA ? Pourquoi y a-t-il de nombreuses instances locales de
Git, des dizaines de serveurs fournissant la gestion de contenu web Drupal, et plusieurs Twikis ?
Pourquoi réinventons-nous la roue, encore et encore ? Pourquoi consacrons-nous des ressources à
la duplication d'activités sur des services similaires?
La pulsion naturelle pour le nouveau, pour jouer, pour apprendre, pour lutter pour quelque chose
de mieux peut en partie l’expliquer. C'est en effet beaucoup plus amusant de construire quelque-
chose soi-même plutôt que de « seulement » utiliser des solutions existantes. Et comme les
solutions existantes ne correspondent jamais exactement à vos besoins, c’est un bon prétexte pour
repartir de zéro.
Cela dit, nous avons plus d’une fois refusé d'ouvrir le pare-feu de périmètre extérieur du CERN pour
un service indépendant résidant sous le bureau d'un physicien. Non pas parce que ces services sont
« mauvais » - au contraire, ils fournissent habituellement beaucoup de nouvelles fonctionnalités et
une interface agréable - mais parce que, dans les coulisses, la configuration n'est pas toujours
optimale, la maintenance à long terme n'est pas garantie, et les mesures de sécurité manquent.
D’où le refus d’ouvrir les pare-feu correspondants, et la nécessité pour le développeur
correspondant de repartir de zéro.
Au final, est-ce vraiment dans l'intérêt de l'Organisation de recommencer à zéro encore et encore?
Ne devrions-nous pas mieux gérer nos ressources? Est-il vraiment beaucoup plus amusant de
prendre de nouvelles routes plutôt que d'améliorer celles qui existent déjà ? Configurer un serveur
web Drupal, un Twiki, une instance JIRA, ou une base de données n'est pas sorcier ; les maintenir
viables et sécurisés sur le long terme est plus difficile. Or, la viabilité à long terme et un
fonctionnement stable sont essentiels pour un bon service. Mais tout cela nécessite un travail
supplémentaire, un travail dur, qui n'est pas forcément aussi amusant que la mise en place initiale
de la machine.
127 | P a g e
De plus, pour nous, la gestion de la sécurité d'un service central, fourni, maintenu et sécurisé par
des professionnels formés et engagés est beaucoup plus facile que celle d'une cacophonie
d'instances siégeant dans des endroits aléatoires. Alors, pourquoi ne pas simplement utiliser les
services centraux fournis sans frais par le département IT? Idéalement, cela vous fait gagner du
temps pour quelque chose de plus important - si vous acceptez que la solution d'IT ait des limites
(éventuellement acceptables) et puisse ne pas toujours correspondre à vos besoins à 100%. Mais
allons plus loin! Nous devons abandonner l’idée qu’IT n'est pas en mesure de fournir ceci ou cela à
100%. Au lieu de gaspiller des ressources avec des solutions autonomes individuelles, nous devrions
faire équipe et permettre au département IT de fournir les solutions idéales ! Nous devrions arrêter
de nous battre seul, mais conjuguer nos efforts avec le département IT pour fournir des services
informatiques durables pour tous! Laissez la synergie gouverner, et du temps libre pour les vrais
défis !
Votre point de vue nous intéresse! Envoyez-nous un courriel à [Link]@[Link].
Envie de participer à fournir un meilleur service ? Prenez part à nos sessions de formation
spécifiques sur la programmation sécurisée prévues pour septembre 2013 :
 Secure coding in C/C++ (1 jour)
 Secure coding in Perl (1 jour)
 Secure coding in Python (1 jour)
 Securing Java Applications (1 jour)
 Securing Java and Web Applications (1 jour)
 Securing PHP Web Applications (1 jour)
 Developing secure software (4 heures)

Pourquoi ne puis-je pas poursuivre en justice mon

fournisseur de logiciels ? (2013)
[Link]
Imaginez: vous venez d'acheter une nouvelle voiture, d'y fixer vos plaques vertes et vous prenez
l'autoroute pour voir si la limite de vitesse à 250 km/h du compteur est réelle. Malheureusement,
il y a trop de trafic et vous devez ralentir. Vous appuyez sur vos freins, mais ceux-ci ne répondent
pas. Vous franchissez la barrière de sécurité, entrez dans un champ et réussissez finalement à
arrêter votre véhicule. Par chance, vous n'êtes pas blessé, mais la voiture est une épave...
Heureusement, rien n'est perdu, car la «sécurité» est garantie par le fabricant, et vous pouvez donc
attaquer celui-ci en justice pour être indemnisé. En outre, si la cause se révèle être un défaut de
conception, il devra rappeler tous les autres véhicules pour corriger celui-ci , à ses propres frais. De
fait, les obligations légales et les pressions des clients et des clubs automobiles assurent la
production de voitures fiables et, en particulier, sûres.
Imaginez maintenant que vous venez de télécharger un nouveau navigateur web. Vous l'installez
sur votre ordinateur portable et surfez sur internet. Mais votre nouveau navigateur a des défauts,
et l'une de ses vulnérabilités est rapidement exploitée à des fins malveillantes. Les attaquants
parviennent à voler vos comptes Amazon, eBay et Paypal, et font leurs courses avec votre argent.
Vous n'êtes pas la seule victime : des centaines de milliers d'autres personnes sont affectées, et les
pertes totales sont estimées à des millions d'euros. Vous avez beau essayer de contacter le

128 | P a g e
fournisseur du logiciel, vous vous heurtez à un silence total. Après quelques mois, enfin, après que
des entreprises de sécurité et les médias ont rappporté les risques de sécurité liés à ce navigateurs
web, le fournisseur publie une courte annonce et reconnaît les faits.
Tout comme je m’attends à ce que ma voiture soit sûre, je m'attends à ce que les logiciels que
j'utilise soient sécurisés. Malheureusement, ça ne semble pas être le cas. Qui doit donc assumer la
responsabilité, le fournisseur ou l'utilisateur de logiciels informatiques? Pourquoi la sécurité
informatique n'est-elle pas traitée comme la sécurité automobile? Cette discordance est peut-être
due au fait que beaucoup de logiciels contiennent des failles dès leur conception, et qu'un certain
nombre de technologies, valides dans la plupart des cas, sont parfois détournées - ce dont
beaucoup d'entreprises ne se préoccupent pas. L'argent et les règlementations sont les meilleures
façons d'obtenir des logiciels raisonnablement sécurisés. Mais il n'y a (pour le moment) aucune
réglementation forçant Adobe, Apple, Microsoft ou Siemens à être conformes.
Microsoft, blâmé par le passé pour ses systèmes d'exploitation pré-Windows XP SP2 mal sécurisés,
a compris la leçon et encourage activement le développement de logiciels sécurisés. L'argent a été
leur énergie motrice. Apple donne l'impression de fournir des logiciels correctement sécurisés, mais
communique très mal au sujet de nouvelles vulnérabilités. Siemens a compris la leçon après
l'attaque Stuxnet contre leurs PLC et réexamine désormais comment intégrer la « sécurité » à ses
critères de développement.
Cela dit, nous sommes encore seuls face aux conséquences. Nous devons subir les répercussions
financières de leurs vulnérabilités. Nous devons mettre en place des mesures de protection et de
détection. Nous devons supporter les coûts de mise à jour et de logiciels anti-virus. Nous devons
faire des audits... Imaginez un instant si vous deviez en faire de même pour votre voiture! Avons-
nous besoin de règlementations et de lois pour obliger les vendeurs de logiciels informatiques à
fournir de meilleurs codes - qui soient sécurisés par définition - et des appareils mieux protégés?
Nous sommes intéressés par votre avis sur la question: écrivez-nous à [Link]@[Link].

Au passage, quelle serait, pour vous, une bonne motivation pour fournir du code sécurisé ?
Souvenez-vous de notre article du Bulletin « Un petit conte du mouton noir de -ITÉ ». La sécurité
doit devenir une part entière du problème, au même titre que la disponibilité, la fonctionnalité, la
maintenabilité et la convivialité. Du code plus sécurisé entraîne moins d’interventions de réparation
et, de fait, augmente la disponibilité tout en améliorant la maintenabilité. Du code plus sécurisé
signifie un meilleur contrôle des interfaces et des entrées utilisateurs, et ainsi, plus de convivialité
et de fonctionnalité. Si vous voulez apprendre comment mieux faire ou pour des conseils ou un
audit de sécurité complet, contactez-nous à [Link]@[Link] ; ou jetez un coup d’œil à
nos formations dédiées à la programmation sécurisée prévue pour septembre 2013 :
 Secure coding in C/C++ (1 jour)
 Secure coding in Perl (1 jour)
 Secure coding in Python (1 jour)
 Securing Java Applications (1 jour)
 Securing Java and Web Applications (1 jour)
 Securing PHP Web Applications (1 jour)
 Developing secure software (4 heures)

129 | P a g e
Dressez votre défense : une base pour la sécurité
(2011)
[Link]
Il y a un déséquilibre injuste: la sécurité (informatique) d'un système ou d'un service est aussi forte
que le maillon le plus faible de la chaîne de protection. Cela fournit aux attaquants un avantage
incroyable: ils peuvent choisir quand attaquer, où et avec quels moyens. Les défenseurs, eux, sont
en permanence sous pression: ils doivent protéger à tout moment l'ensemble des actifs contre
toutes les éventualités. Pour la sécurité informatique, cela signifie que chaque système
informatique, chaque compte, chaque site web et chaque service doivent être correctement
protégés, toujours.
Au CERN, en particulier, les services visibles depuis Internet sont sondés en permanence. Les sites
web et les serveurs sont continuellement balayés par les adversaires à la recherche de
vulnérabilités; les attaquants essaient de façon répétée de deviner les mots de passe des
utilisateurs sur nos passerelles d'accès à distance comme LXPLUS ou CERNTS; les services
informatiques, pour les grilles de calcul par exemple, sont analysés à maintes reprises par des
personnes malveillantes cherchant à trouver des faiblesses qui peuvent être exploitées. Grâce à la
vigilance des experts des systèmes et des services correspondants, les attaquants n'ont pas eu trop
de succès jusqu'à présent.
Toutefois, l'application des mesures de sécurité de base n'est pas facile, en particulier lorsque vous
n'êtes pas familier avec les concepts de sécurité et les mesures de protection: certains aspects
pourraient être négligés ou omis. Cela pourrait rendre un système ou service vulnérable aux
attaques alors que les experts croient que leur système ou service est sécurisé! Afin de fournir un
meilleur aiguillage, l'équipe de sécurité informatique a publié une série de ce que l'on appelle bases
de sécurité:
 Bases de Sécurité pour les serveurs, les PC et ordinateurs portables (EDMS 1062500),
 Bases de Sécurité pour les services d'hébergement de fichiers (EDMS 1062503)
 Bases de Sécurité pour les services d'hébergement Web (EDMS 1062502),
 Bases de Sécurité pour les appareils industriels embarqués (EDMS 1139163).
Ces bases de sécurité définissent les exigences de sécurité de base et sont censées être
pragmatiques et complètes, mais n'impliquent pas de solutions techniques. Elles devraient servir
de guide pour les experts de système ou de service. Cependant, pour tous les services ou systèmes
critiques, les propriétaires doivent produire un « Document de mise en œuvre de la sécurité » et
indiquer comment leur système ou service répond aux bases de sécurité correspondantes. Le
système ou service doit être mis en œuvre et déployé en conformité avec le « Document de mise
en œuvre ». Le non-respect devra finalement conduire à une connectivité réseau réduite (par
exemple la fermeture de toutes les ouvertures du pare-feu de périmètre externe, l'impossibilité
d'accès aux autres domaines réseaux, ou la déconnexion complète).
Si vous avez besoin d'aide ou de conseils pour la mise en œuvre de mesures de sécurité appropriées,
ou si vous avez des suggestions pour des bases de sécurité supplémentaires, veuillez nous contacter
à [Link]@[Link]. Pour plus d'informations, rendez-vous ici.

130 | P a g e
N.B. : ces experts système ont eu tout juste : Paul Burkimsher (EN/ICE) et Yann Donjoux (DGS/RP)
sont les gagnants du « BINGO de sécurité pour les administrateurs » publié dans le précédent
Bulletin.

Ecrivez-vous du code sécurisé? (2011)

[Link]
Au CERN, nous sommes excellents dans la production de logiciels, comme des jobs d'analyse
complexe, des programmes de contrôle sophistiqués, des outils de surveillance étendue, des
applications Web interactives, etc. Ces logiciels sont généralement très fonctionnels et répondent
assurément aux besoins et aux exigences définis par son auteur. Toutefois, en raison de contraintes
de temps ou tout simplement par ignorance, les aspects de sécurité sont souvent négligés. Dans le
passé, il a, par la suite, été encore plus embarrassant pour l'auteur de découvrir que son code était
imparfait et avait été détourné pour pénétrer les ordinateurs du CERN, des pages web ou pour voler
des données...
Ainsi, si vous avez le plaisir ou le devoir de produire des applications logicielles, prenez du temps
avant pour vous familiariser avec les pratiques de bonne programmation. Elles devraient non
seulement éviter des failles de sécurité de base dans votre code, mais aussi améliorer la lisibilité, la
maintenabilité, ainsi que l'efficacité de celui-ci. On trouvera les règles de base pour une bonne
programmation, ainsi qu'une liste d'ouvrages de référence sur le développement logiciel, dans la
section destinée aux développeurs logiciels sur notre page web. Vous pouvez également tester
facilement vos logiciels vous-même. Vérifiez soigneusement les avertissements de votre
compilateur et utilisez les analyseurs de code statiques suggérés. De plus, les formations techniques
HR fournissent bien sûr d'excellents cours sur la programmation sécurisée en Java, C++, Python,
Perl et les langages web. Les prochains cours pratiques, d'une journée, portent sur la sécurisation
de PHP, Java et les applications Web (27, 28 et 29 septembre respectivement) ainsi que sur la
programmation sécurisée en Python (28 octobre). Il y a encore des places disponibles ! Enfin,
n'hésitez pas à contacter [Link]@[Link] si vous préférez un examen externe de votre
logiciel !
Alors qu'en est-il de vos compétences dans l'écriture de logiciels sécurisés ?
Si vous voulez gagner l'un des trois livres merveilleux sur la sécurité logicielle, veuillez vérifier ce
court programme ci-dessous et envoyez les failles de programmation que vous avez identifiées le
12 Septembre au plus tard à [Link]@[Link] :
1 /* Safely Exec program: drop privileges to user uid and group
2 * gid, and use chroot to restrict file system access to jail
3 * directory. Also, don’t allow program to run as a
4 * privileged user or group */
5 void ExecUid(int uid, int gid, char *jailDir, char *prog, char *const
argv[])
6{
7 if (uid == 0 || gid == 0) {
8 FailExit(“ExecUid: root uid or gid not allowed”);
9}
10
11 chroot(jailDir); /* restrict access to this dir */
131 | P a g e
12
13 setuid(uid); /* drop privs */
14 setgid(gid);
15
16 fprintf(LOGFILE, “Execvp of %s as uid=%d gid=%d\n”, prog, uid, gid);
17 fflush(LOGFILE);
18
19 execvp(prog, argv);
20}
(Avec l'aimable autorisation de Barton Miller, University of Wisconsin, Madison, US)
Bien sûr, si vous avez des questions, suggestions ou commentaires, veuillez contacter
[Link]@[Link] ou rendez-nous visite à l'adresse [Link]

... Un exemple de code vulnérable (2011)

[Link]
Vous souvenez-vous de notre petit exercice dans le dernier numéro du Bulletin?
Nous nous demandions si le code suivant avait été bien écrit:
1 /* Safely Exec program: drop privileges to user uid and group
2 * gid, and use chroot to restrict file system access to jail
3 * directory. Also, don’t allow program to run as a
4 * privileged user or group */
5 void ExecUid(int uid, int gid, char *jailDir, char *prog, char *const
argv[])
6{
7 if (uid == 0 || gid == 0) {
8 FailExit(“ExecUid: root uid or gid not allowed”);
9}
10
11 chroot(jailDir); /* restrict access to this dir */
12
13 setuid(uid); /* drop privs */
14 setgid(gid);
15
16 fprintf(LOGFILE, “Execvp of %s as uid=%d gid=%d\n”, prog, uid, gid);
17 fflush(LOGFILE);
18
19 execvp(prog, argv);
20}
(Courtesy of Barton Miller, University of Wisconsin, Madison, US)
En effet, il n'était pas si bien écrit car il contenait au moins 13 défauts:
1. Ligne 1: spécifications incomplètes: tourne-t-il des commandes *arbitraires* ou juste
quelques-unes choisies ? Qui vérifie les erreurs ? La fonction ou l'appelant ? Fonctionne-t-

132 | P a g e
 il avec des prisons chroot *arbitraires* ? Qu'en est-il de la sûreté des threads ? Est-ce prévu
pour s'exécuter dans un environnement multithread ?
2. Ligne 5: Selon la plateforme, il peut y avoir des problèmes liés aux nombres entiers.
3. Ligne 5: Pas d'assainissement de "jailDir". Par exemple "/" ne fera rien.
4. Ligne 11: Pas de vérifications des erreurs sur "chroot". chroot ("lkjhkjlhkljh") ou chroot
(NULL) permettrait de contourner la prison.
5. Ligne 11: "chdir (jailDir)" manquant avant le chroot, ou chroot ("/") après.
6. Ligne 11: Pas de vérifications des erreurs.
7. Lignes 13/14: setuid & setgid s'exécutent dans le mauvais ordre.
8. Lignes 13/14: Pas de contrôles des erreurs, de sorte que l'attaquant peut choisir un nombre
aléatoire pour les uid et gid et exécuter le programme en tant que root.
9. Ligne 16: LOGFILE est-il réellement ouvert ? Cela peut faire planter le programme, ou le
rendre exploitable.
10. Ligne 19: Pas d'assainissement de prog, cela peut engendrer des déréférences du pointeur
NULL, des plantages, etc, et rendre le code exploitable.
11. Ligne 19: Pas d'assainissement d’environnement.
12. Ligne 19: Pas de gestion des erreurs: si execvp () retourne cela signifie qu'il y a une erreur
qui doit être gérée. La spécification est faible dans ce cas.
13. Si le programme s'exécute dans un environnement multithread, l'assainissement devra
faire des copies privées de jailDir, prog et argv[] et effectuer les vérifications sur eux.
Les gagnants des trois merveilleux livres sur la sécurité des logiciels sont Bertrand Lefort (BE/OP),
Paolo Torelli (externe) et Remi Mommsen (CMS). Félicitations !!!
Vous pensez que ce n'est pas facile? C'est vrai --- et c'est l'avantage de tout attaquant. Il a juste à
trouver quelques défauts pour exploiter ce code et prendre le contrôle du serveur correspondant.
Ainsi, s'il vous plaît, veuillez vérifier les règles de base pour une bonne programmation ainsi que les
livres essentiels sur le développement logiciel dans la section pour les développeurs de logiciels sur
notre page web de sécurité. En outre, vous pouvez aussi tester facilement vos logiciels vous-même.
Vérifiez soigneusement les avertissements de votre compilateur et utilisez un des analyseurs
statiques de code que nous suggérons. De plus, les formations techniques HR fournissent des
excellents cours sur la programmation sécurisée en Java, C++, Python, Perl et langages web. Les
prochains cours pratiques, d'une journée, sont sur la sécurisation de PHP, Java et les applications
web les 27, 28 et 29 septembre (respectivement) ainsi que sur la programmation sécurisée en
Python (28 octobre). Il y a encore des places disponibles!

133 | P a g e
Protection des données et de la vie privée
La sécurité informatique et votre vie privée (2017)
[Link]
privacy
Le délégué à la sécurité informatique du CERN et son équipe sont mandatés par l’Organisation pour
protéger ses utilisateurs, ses activités et sa réputation contre les cyberattaques. Pour s’acquitter de
ce mandat, la prévention, la protection et la détection sont essentielles. L’équipe a par conséquent
les moyens de surveiller toute activité numérique ayant lieu au CERN. Nous sommes pleinement
conscients de la confiance que l’Organisation nous accorde, et nous agissons donc avec la plus
grande attention et la plus grande intégrité. Nous voudrions néanmoins dire encore une fois à quel
point la transparence en tant que telle est cruciale pour tout service de sécurité (voir aussi notre
article dans le Bulletin « Une surveillance transparente pour votre protection »).
La déclaration sur le respect de la sphère privée numérique de l’équipe de sécurité
informatique décrit dans quelles circonstances et conditions l’équipe de sécurité informatique du
CERN peut accéder à des informations sur vous et votre utilisation des installations informatiques
du CERN, les récolter, les utiliser et les partager, et la manière dont l’équipe protège ces
informations. Elle énumère les possibilités de détection dont nous disposons et indiques-en quoi
celles-ci peuvent concerner votre sphère privée. Elle précise les règles auxquelles nous sommes
soumis lorsque nous accédons à nos informations de surveillance ou, dans des cas strictement
contrôlés, à vos données. Nous sommes conscients que cette transparence pourrait aussi être
utilisée pour des cyberattaques visant le CERN, mais nous pensons néanmoins que notre
transparence envers vous est cruciale, et que vous devez être au courant de ce que nous faisons.

La confidentialité est l'affaire de tous (2015)

[Link]
Récemment, un fichier zip contenant des informations confidentielles a été rendu public par erreur
sur l'un des sites web du CERN, l'intention étant, à l'origine, de partager ce fichier uniquement avec
les membres d’un comité.
Lors de la mise en ligne du document, les droits d’accès à ce fichier n’ont pas bien été évalués, et
le fichier a été rendu accessible, non seulement aux membres du comité, mais à toute personne
visitant la page web en question ! Ce n’est malheureusement pas la première fois qu’une telle chose
se produit... Nous avons déjà trouvé des documents rendus accessibles à une audience bien plus
large que celle envisagée initialement.
Le CERN prend très au sérieux la confidentialité des données. Les documents confidentiels ou
sensibles (selon la nomenclature définie dans la politique de protection de données du CERN, en
anglais) nécessitent un traitement professionnel et la mise en place de droits d'accès clairs et limités
aux personnes ayant réellement besoin de les consulter. De ce fait, ils ne doivent pas être diffusés
trop largement par courriel sous la forme de pièces jointes et encore moins être stockés sur de
quelconques sites web publics dans le but de les partager. Ils doivent être stockés à leur

134 | P a g e
emplacement initial (AFS, Alfresco, CDS, DFS, EDMS, INDICO, Sharepoint) et leurs droits d'accès
doivent être adaptés.
Le niveau de protection est clairement mentionné dans EDMS (« Accès public », « Accès restreint »,
etc.) et INDICO (« Public », « Restreint » ; s’il n’est pas mentionné, vérifiez le niveau d’accès dans
l'onglet « Protection »). Pour AFS et DFS, les instructions pour protéger vos fichiers sont
consultables ici (pour AFS) et là (pour DFS).
La confidentialité est l'affaire de tous ! Réfléchissez-y à deux fois avant de transmettre des
documents sensibles. Agissez avec professionnalisme et faites preuve de discernement. Laissez le
document à son emplacement d’origine et ne transmettez que son lien ou l’adresse de son
emplacement.
Vous pouvez également utiliser CERNbox, qui vous permet de partager des documents, même avec
des personnes n'ayant pas de compte au CERN. Cependant, pensez bien à configurer avec soin les
droits d'accès de façon aussi restrictive que possible. Rappelez-vous que les membres du personnel
sont tenus responsables du maintien de la confidentialité des données qui leur sont confiées. Tout
manquement pourrait avoir des conséquences administratives, voire disciplinaires.

Imprimer en toute confidentialité (2015)

[Link]
Avez-vous déjà hésité à imprimer un document confidentiel en utilisant les imprimantes du CERN ?
Vous êtes-vous déjà précipité sur l'imprimante après avoir lancé une impression, afin que personne
ne puisse lire votre document ? Grâce à la nouvelle infrastructure d'impression, ces temps sont
désormais révolus !
Un certain nombre d'entre nous imprime régulièrement des documents confidentiels, tels que des
relevés de salaire, des « MARS », des réponses à des appels d'offre, des ébauches de publication,
etc. La prochaine politique de protection des données du CERN exigera de chacun de nous le respect
de la confidentialité de ces documents et, comme l'indique le mot « confidentiel », un contrôle
strict de l'accès aux données « confidentielles » ou sensibles. Que peut-on alors faire des
imprimantes publiques situées dans un certain nombre de bâtiments, couloirs et au tres espaces

135 | P a g e
partagés, qui sont non seulement accessibles aux employés et utilisateurs du CERN, mais aussi aux
visiteurs et invités ? Certaines de ces imprimantes sont même installées à proximité des
restaurants, ou près des passages empruntés par les visites guidées. Il est évident que cela entre en
contradiction avec les impératifs de protection des documents confidentiels.
Au CERN, la nouvelle infrastructure d'impression est désormais capable d'assurer la confidentialité
de vos documents : vous pouvez envoyer un travail d'impression, qui ne sera pas effectué tant que
vous n'aurez pas entré un code PIN sur la machine. Ainsi, la prochaine fois que vous aurez besoin
d'imprimer un document confidentiel, allez dans les propriétés de l’imprimante (1) et sélectionnez
Secure Print comme méthode d'impression (2). Lorsque vous appuierez sur le bouton Print, une
nouvelle fenêtre apparaîtra, vous demandant d'entrer un code PIN (3). Vous trouverez ci-contre
une sélection de captures d’écran montrant les différentes étapes à suivre sous Windows. Vous
trouverez les instructions pour Linux et Mac ici.
Lorsque vous aurez entré ce code PIN, votre document sera envoyé à l'imprimante de votre choix,
même si nous vous recommandons l’utilisation des imprimantes de la marque Canon, plus faciles à
utiliser. Celui-ci ne sera néanmoins pas imprimé immédiatement. L'imprimante attendra 12 heures
(4 heures sur certains modèles) : vous devrez alors appuyer sur le bouton SCAN/PRINT, choisir
l'option Secure Print (4), sélectionner le document que vous souhaitez imprimer (5), appuyer sur le
bouton Print et entrer le code PIN choisi précédemment (6). (Attention, ces étapes peuvent varier
selon l'imprimante).
Vos documents sont ainsi imprimés uniquement après avoir entré le bon code PIN. Et, comme vous
êtes alors face à l'imprimante, vous pouvez être confiant quant au respect de la confidentialité.

« 1984 », 30 ans après — à quel point Orwell avait-il

vu juste ? (2014)
[Link]
L'année 2014 célèbre les 30 ans du roman 1984 écrit par le visionnaire George Orwell en 1947-48,
ainsi que les 25 ans du World Wide Web inventé au CERN. Pour l’occasion, CinéGlobe (le Festival
international de films au CERN) et le festival anglais Latitude organisent une table ronde sur les
implications techniques et socioculturelles d’une connectivité ininterrompue à l’heure de la
surveillance d'internet intitulée : « À quel point notre monde est-il proche du cauchemar d'Orwell
? ».
1984 décrit le destin de Winston Smith et de son histoire d’amour avec Julia. L'histoire se déroule
au cœur d’Oceania, l'une des trois superpuissances - en guerre perpétuelle - qui se partagent le
globe. Oceania est une dictature, interdisant tout libre arbitre (considéré comme un crime par la
pensée), réécrivant le passé à sa convenance (en contrôlant le langage « Novlangue ») et surveillant
en permanence ses citoyens (« Big Brother »). Heureusement, ni l'année 1984, ni 2014 n'ont connu
de dictatures mondiales (bien que des dictatures locales aient apparu et disparu dans des états
tentant de trouver leur voie vers la démocratie). Internet (via le World Wide Web), Twitter et
Facebook ont même participé à renverser certaines dictatures, même si le résultat reste incertain.
Orwell avait tort sur ce point.
Cependant, qu'en est-il du libre arbitre ? Nous pouvons croire agir librement, mais les médias et
internet ne réduisent-ils pas progressivement le cadre de nos pensées ? Face à un flot continu
d'information, nous devons être sélectif. Il est naturel d'écouter, de lire et de regarder ce que l'on
136 | P a g e
aime, en ignorant ce qui nous plaît moins. Vos sources médias préférées, les fils RSS, les tweets et
vos groupes Facebook ou Google+ vous façonnent déjà, et ce, à votre propre demande. Par
exemple, avez-vous remarqué que les publicités diffusées sur internet reflètent souvent les
recherches et achats récemment effectués (merci Google AdSense) ?
Une étude psychologique conduite sur Facebook a récemment été publiée : l'algorithme triant le
contenu et les commentaires du réseau social a été manipulé pour tester deux groupes
d'utilisateurs non consentants. Un premier groupe recevait de l'information « positive », tandis que
le second avait accès à de l’information « négative ». Au final, il semblerait que l'humeur des
participants n'ait pas été fortement influencée, mais le mal était fait : Facebook avait usé de ses
moyens techniques pour influencer les informations qui nourrissent les pensées, les attitudes et les
choix de ses utilisateurs... Et avec les capacités de profilage de Google, qui permettent de savoir ce
qui nous intéresse, qui peut garantir l’objectivité du résultat de nos recherches ? Par exemple, si je
cherche « vins côtes-du-rhône », obtiendrai-je (moi qui préfère les jus de fruits) les exacts mêmes
résultats que vous (grand connaisseur) ?
Avec le monopole actuel de quelques moteurs de recherche (et de quelques sources d'information),
la boîte de Pandore permettant de modifier le passé a été ouverte1. Certaines nations bloquent
déjà des sites web jugés inappropriés. Dans un futur pas si lointain, les moteurs de recherche
principaux pourraient non seulement nous présenter ce que nous aimons, mais aussi supprimer
complètement de leurs archives les informations non souhaitées – et ils pourraient aussi bien
supprimer les informations sujettes au « droit à l'oubli », ainsi que les informations en contradiction
avec leurs valeurs ou opinions. Orwell avait aussi partiellement raison à ce sujet.
Enfin « Big Brother ». La surveillance permanente des citoyens par leur propre gouvernement a déjà
été discutée dans certains articles du Bulletin (notamment « Sécurité contre nations : une bataille
perdue ? »). Mais à la place du « Télécran » d’Orwell pour nous espionner, nous avons déjà déployé
par nous-mêmes un certain nombre d'outils de surveillance : les téléphones portables traquent
notre position, les réseaux sociaux rassemblent nos opinions et sentiments, le « Cloud » contient
nos données personnelles, les caméras de nos téléphones portables ou les « Google glasses »
enregistrent nos impressions en direct, même les informations sur notre santé sont transmises à
des portails web dédiés via des bracelets intelligents. Bientôt, nous aurons peut-être un petit robot
« Jibo » pour nous aider à la maison.
Ainsi, bien (trop ?) souvent, nous abandonnons volontairement une partie de notre intimité en
échange de fonctionnalités supplémentaires. Mais parfois, cela arrive contre notre gré : certains
écrans de télévision LG ont été surpris à enregistrer et à transmettre au fabricant les habitudes
télévisées de ses utilisateurs. La « Kinect » de la nouvelle Xbox One de Microsoft a aussi été
soupçonnée des mêmes faits. Dans un futur proche, des compteurs intelligents contrôleront de
près notre consommation électrique, permettant ainsi aux fournisseurs d’électricité de savoir si
nous sommes chez nous ou non, et ce que nous y faisons. Orwell avait encore une fois raison, mais
il a largement sous-estimé la capacité de surveillance de nos gouvernements, ignoré la participation
des entreprises privées, ainsi que notre propre et volontaire contribution.
Finalement, à quel point Orwell avait-il vu juste ? Très peu. Nous avons largement dépassé
l'imagination de George Orwell. Et nous devrions commencer à discuter des implications sociales
et de notre responsabilité personnelle. Un bon début serait de repenser à ce que l'on expose sur

1
En fait, l'histoire a montré que de grandes puissances ont changé le passé, encore et encore !
137 | P a g e
Facebook, Google+ et Twitter, et pourquoi pas, d’utiliser des moteurs de recherche alternatifs tels
que « DuckDuckGo » ou « StartPage ».

Travailler sur des données sensibles dans un lieu

public (2014)
[Link]
Diantre! Qu'il était contrarié! Je rentre tout juste d'un long voyage professionnel: neuf heures
d'avion d'un seul coup. Comme d’habitude, c'est une aubaine pour répondre à des courriels dus
depuis longtemps, pour écrire de nouveaux documents et pour préparer mes prochaines
présentations. La personne à côté de moi pensait probablement la même chose. De temps en
temps, mon regard s'attardait sur son écran, suivant ce sur quoi il était en train de travailler. La
curiosité fait partie de mon travail et les écrans d'ordinateurs attirent le regard. La discrétion fait
aussi partie de mon travail, mais étant donné le peu d'espace de la classe économique d'un Airbus,
son écran miroitait à mes yeux et il lui était impossible d'aller ailleurs ou de repositionner son
écran… Il avait l'air d'être de plus en plus mal à l'aise. Après quelques temps, il a abandonné et lu
des journaux à la place, clairement contrarié. Il aurait pu se protéger bien plus efficacement.
Cela vous est-il déjà arrivé? Dans un avion? Dans un train? Au restaurant? Ou même lors d'une
conférence ou d'un séminaire? Cela vous importe-t-il ? Si tel est le cas, avez-vous déjà envisagé de
coller un « filtre de confidentialité » à l'écran de votre ordinateur portable? De tels filtres,
techniquement parlant de simples filtres polariseurs, bloquent toute vision latérale sur votre écran
tandis que vous gardez une vision parfaite, pour peu que vous soyez en face de votre écran. Toute
une gamme de filtres de confidentialité est disponible à travers le magasin du CERN. Faites
simplement une « Demande de matériel (Magasin) » sur EDH, cliquez sur « Distrelec » et cherchez
« privacy filter ». Prenez bien soin de choisir la taille adaptée à votre écran. Avec ce genre de
protection, vous vous sentirez bien plus à l'aise pour travailler lors de vos déplacements dans le
tram, dans un train, au restaurant… ou dans un avion !
Mais au fait, quelle est la valeur de la sensibilité de votre travail ? S'il vous arrive régulièrement de
manipuler des documents confidentiels et si vous voyagez souvent, pourquoi ne pas investir
quelques francs dans un filtre de confidentialité? Qui sait, votre prochain vol pour Noël est peut-
être déjà réservé! Notez aussi que la prochaine politique de protection des données du CERN, la
CERN data protection policy, exigera de chacun d'entre nous le respect de la confidentialité des
données lorsque nous manipulons des données sensibles telles que les appels d'offre, les MARS, les
fichiers personnels, etc.
PS : Notez aussi qu'un certain nombre de salles de conférence, et certaines salles de contrôle, sont
équipées de caméras de visioconférence. Il se peut que vous soyez filmé lorsque vous travaillez sur
votre ordinateur. Il est plus que gênant d'être immortalisé lorsque l'on se gratte le nez ou que l'on
consulte des pages web ayant clairement peu de relation avec le travail. Afin de vous informer au
mieux, l'équipe de support de la visioconférence au CERN installe en ce moment des signes « On
Air » dans toutes les salles de conférence.

138 | P a g e
Bientôt une politique de protection des données
pragmatique pour une Organisation ouverte (2014)
[Link]
Comme toute autre organisation ou employeur, le CERN détient des données confidentielles, par
exemple, des dossiers médicaux, des fichiers personnels, des dossiers traitant de cas de
harcèlement, des clauses de non divulgation et autres contrats, numéros de carte de crédit, ou
résultats scientifiques non publiés. Du fait d’un manque de clarté quant aux responsabilités et
obligations, nos procédures actuelles se révèlent parfois inadaptées pour la protection de tels
documents.
Certains documents ont ainsi été rendus publics par erreur (cf. la publication prématurée des vidéos
relatives à l’annonce du « Higgs » en 2012) ; des informations confidentielles ont accidentellement
été divulguées (par exemple, les mots de passe utilisés pour accéder aux systèmes de contrôle des
accélérateurs et des expériences en 2011) ; des ordinateurs portables ont été perdus ou même
volés (comme l'un des ordinateurs d'une délégation lors d'un voyage officiel), emportant avec eux
les données et courriels privés. Fort heureusement, un terme devrait bientôt être mis à de telles
pertes de données ainsi qu’au manque de clarté relatif à nos obligations en la matière.
Lors de sa dernière réunion, la proposition d’une politique de protection des données (Data
Protection Policy, DPP) globale pour le CERN, adaptée à l’environnement ouvert qu’est
l'Organisation, a été présentée au Directoire. Cette politique doit établir des règles pour une
classification systématique des données, pour leur conservation et leurs utilisations postérieures,
mais établit aussi quand et comment détruire ces données au sein de l'Organisation.
Cette politique sera aussi globaliste que possible et aussi pragmatique que nécessaire, et va aider
le CERN à être conforme aux standards internationaux de protection des données, sans pour autant
affaiblir son environnement ouvert et académique. Une attention particulière sera portée aux
règles concernant la confidentialité et l’utilisation des données personnelles (actuellement
partiellement protégées par la Circulaire administrative 10). Les procédures d'utilisation des autres
données (par exemple, celles conservées par le département HSE) seront développées en
collaboration étroite avec les départements et expériences concernés.
Cette ébauche a été préparée par un petit groupe de travail regroupant des membres des
départements GS, HR et IT, ainsi que du Service juridique du CERN et de l'équipe de Sécurité
informatique. En parallèle, ce groupe de travail est en contact avec les fournisseurs de services dans
IT et GS, afin de commencer à appliquer à leurs services informatiques des recommandations
similaires pour l’utilisation des données, pour unifier la classification, le stockage et la protection
des données, et pour fournir les systèmes adaptés au stockage de chaque niveau de classification.
En outre, ce groupe organisera des formations de sensibilisation à la protection des données pour
les personnes clés, suggérera des solutions simples et rapides à mettre en place pour améliorer la
protection des données dans l'unité DG ainsi que dans les départements FP et HR, telles que le
déploiement d'outils permettant de crypter facilement les disques d’ordinateurs portables (plus
d'information à ce sujet ici), d’aider les départements et expériences à examiner et à adapter leurs
recommandations internes de gestion des données pour les mettre en conformité avec la nouvelle
politique de protection, et les assister dans l’établissement de bonnes pratiques.

139 | P a g e
« Privé », c'est privé à quel point? (2014)
[Link]
Quelle surprise cela serait si vous découvriez que tout le monde au CERN peut accéder à votre
dossier « Mes Documents » sur Windows, ou à votre dossier d’accueil AFS ?... Lire vos lettres privées
?... Regarder vos photos privées ?... Se plonger dans vos documents confidentiels ?... Embarrassant
? C'est pourtant arrivé à d'autres.
Les paramètres de contrôle d’accès des systèmes de fichiers centralisés AFS et DFS peuvent
facilement être mal configurés par l’utilisateur. Les services AFS et DFS du département IT vous
fournissent tous les outils pour protéger vos documents, mais vous êtes le seul à savoir quels
documents doivent être accessibles à qui.
Mais prenez garde ! Il est facile de faire une erreur, cela est déjà arrivé. Les paramètres DFS sont
complexes et héritent habituellement des droits des dossiers parents. De petites erreurs se
propagent ainsi rapidement à tous les autres dossiers. Les paramètres AFS possèdent quant à eux
des commandes spéciales (« fs setacl ») à la place des commandes POSix « chmod ». Actuellement,
les outils automatiques garantissent uniquement que vos dossiers AFS « ~/private » et votre dossier
d’accueil ne soient pas lisibles par le monde entier (rendez-vous ici pour de plus amples détails). Il
n'existe pas encore d'outils automatiques similaires pour DFS, qui n’est toutefois accessible qu’aux
personnes du CERN.
Ceci dit, nous ne pouvons pas faire davantage que ce que nous venons d’énoncer : la responsabilité
vous revient de vérifier que vos dossiers sont correctement protégés et qu’ils ne sont pas
(accidentellement) ouverts. Demandez à des collègues de confiance d’essayer d’accéder à vos
documents protégés. Si ceux-ci ne sont pas destinés à être vus par d’autres personnes, ils ne
devraient pas y avoir accès. S’ils y ont accès, jetez un œil à ces liens sur le contrôle d’accès AFS (ici)
et DFS (là). Et n’oubliez pas que votre dossier « public » est destiné (et forcé) à être public. Tout
document placé dans ce dossier est partagé avec tout le CERN.
Le respect de votre vie privée est une priorité pour le CERN. L’Organisation prend grand soin de
protéger les données personnelles qui lui sont confiées. Nos collègues maîtrisant les systèmes de
fichiers AFS et DFS ont tous signé une clause spéciale qui stipule que leurs « fonctions, autorisant
l’accès à des informations confidentielles et/ou sensibles, impliquent de fortes conformités aux
règles inscrites dans Circulaire opérationnelle 5 (i.e. les règles informatiques du CERN) et en
particulier celles qui gouvernent la confidentialité. » L’accès à vos fichiers et dossiers AFS et DFS est
donc soumis à des procédures strictes dans les rares cas où nous devons y accéder.

PC publics : déconnectez-vous ou perdez tout (2013)

[Link]
Utilisez-vous régulièrement l'un des terminaux Windows ou Linux publics dans la bibliothèque du
CERN ou devant le bureau des utilisateurs ? Donnez-vous régulièrement des conférences ou
organisez-vous des réunions, des ateliers ou des séminaires ? Avez-vous récemment assisté à une
session de formation au Centre de formation du CERN ?... Si vous avez répondu par « oui » au moins
une fois, nous avons une requête : DÉCONNECTEZ-VOUS pour protéger vos données !
Vous vous rappelez peut-être que le CERN considère que « Votre vie privée est primordiale ! ». Mais
cela a un prix. Ces derniers mois, nous avons reçu plusieurs rapports de personnes vigilantes qui

140 | P a g e
ont repéré des sessions utilisateur ouvertes sur des ordinateurs publics au CERN. Les utilisateurs
ont simplement oublié de se déconnecter une fois leur travail, leur formation ou leur réunion
terminés. De fait, leur session est restée active en leur absence. Pire encore, le CERN utilisant un
portail central d’authentification unique (« Single Sign-On », SSO), leurs identifiants de connexion
permettaient à toute personne malveillante au CERN de démarrer un navigateur web et d'accéder
à la boîte aux lettres de ces utilisateurs, à leurs fichiers DFS ou à leurs documents EDH...
Heureusement, aucun abus ne nous a été signalé jusqu'à présent. Les personnes vigilantes
mentionnées étaient toutes assez aimables pour silencieusement déconnecter les utilisateurs...
Par conséquent, pensez à vous déconnecter depuis votre navigateur web après avoir téléchargé
une présentation sur Indico ou EDMS en utilisant votre mot de passe CERN sur le PC d'une
conférence. Déconnectez-vous de votre session Vidyo à la fin de votre conférence téléphonique.
Déconnectez-vous de l'ordinateur à la fin de votre formation ou, dans le cas où la session se poursuit
le lendemain, verrouillez l'écran avec un mot de passe. Déconnectez-vous des ordinateurs publics
dans la bibliothèque du CERN ou devant le bureau des utilisateurs lorsque vous avez terminé votre
travail. Allez jusqu'à redémarrer le PC si vous ne pouvez pas vous déconnecter pour quelque raison
que ce soit. Enfin, déconnectez vos collègues si vous voyez qu'ils sont encore connectés. Et contenez
votre curiosité : n'essayez pas d'abuser de leur session, cela constituant une violation directe des
règles informatiques du CERN (OC5 III-15).

Jouons à cache-cache! (2012)

[Link]
Cette semaine, nous souhaitons vous proposer un petit jeu sur internet appelé « Cache-cache
virtuel ». Les règles sont simples: certains de nos collègues ont publié des documents sensibles ou
confidentiels sur les services centraux du CERN comme Indico, CDS, EDMS ou TWiki, ainsi que sur
ses nombreux sites web. Votre mission, si vous l’acceptez: les trouver!
Si vous nous fournissez des documents portant la mention « confidential » (confidentiel), «
classified » (classé secret), « sensitive » (sensible) ou contenant des mots de passe valides en clair,
vous pourrez gagner un livre sur la sécurité informatique. Les seules conditions sont que ces
documents doivent être visibles de l'extérieur du CERN - pas besoin d'un compte CERN pour y
accéder - et qu’ils ne doivent pas vous appartenir ou avoir un lien direct avec votre travail. Amusez-
vous bien!
Plus sérieusement, êtes-vous sûr que vos documents sont vraiment bien protégés? Régulièrement,
nous trouvons des documents confidentiels stockés sur l'un des services centraux du CERN, qui se
sont accidentellement retrouvés publics. Seul notre serment de discrétion nous interdit de donner
des détails. Cependant, vous vous souvenez peut-être de l'article intitulé « Le CERN est une
véritable passoire » paru dans Le Matin en novembre 2009. Il donne une idée de la conséquence
négative que peut avoir la divulgation de certains documents.
Les services centraux du CERN tels que CDS, Indico, EDMS ou TWiki, ainsi que le service web
fournissent des moyens de classer vos documents et de protéger leurs accès. Bien que ces services
soient intrinsèquement sécurisés, c'est à vous de vérifier que vous utilisez correctement leurs
moyens de protection! Ainsi, si vous possédez ou gérez des documents confidentiels, demandez-
vous s'ils sont correctement classés, et si les protections d'accès sont correctement appliquées (par
exemple en utilisant des « e-groupes »)? Les accès sont-ils restreints aux seules personnes en ayant
besoin? Avez-vous essayé de les trouver avec Google en recherchant « [LE TITRE DE VOTRE
141 | P a g e
DOCUMENT SENSIBLE ICI] site:[Link] » ? Si vous constatez que l'un de vos documents s'est
retrouvé public par accident, n'hésitez pas à contacter directement l'équipe d'assistance
correspondante, elle pourra vous apporter de l'aide et des conseils.
Notre défi tient toujours. Peut-être que quelqu'un d'autre trouvera vos documents confidentiels
disponibles publiquement sur un site du CERN. Celui qui envoie les URL/liens d'un document
confidentiel à [Link]@[Link] avant le 14 décembre 2012 peut gagner l'un des trois
livres sur la sécurité informatique1.

Votre vie privée est primordiale ! (2012)

[Link]
Puis-je lire vos e-mails ou vous retrouver lorsque vous naviguez sur le web? Et si j'accédais à tous
vos documents personnels sur les espaces disques DFS ou AFS? Je suppose que vous n'avez rien à
cacher et que toutes vos données sont liées à vos obligations professionnelles... Alors, cela vous
dérangerait-il?
L'utilisation personnelle des installations informatiques du CERN est tolérée (tant que l'utilisation
des ressources et de la bande passante est négligeable). Cela comprend les mails personnels, la
lecture des journaux en ligne, la navigation sur le web à des fins de loisirs, ou le stockage de photos
privées sur votre ordinateur portable. De plus, de nombreuses personnes apportent leurs propres
ordinateurs portables, tablettes ou téléphones mobiles, pour plus de commodité, au lieu d'utiliser
ceux du CERN ; leur vie au CERN est plutôt un mélange entre leur travail pour le CERN, celui pour
leur université et leurs activités de loisir (comme rester en contact avec leurs familles et amis). Cela
implique que les heures de travail et les temps de loisir sont entremêlés, et il en est de même pour
vos e-mails et vos documents.
Le CERN prend grand soin de protéger les données personnelles qui lui sont confiées. Votre vie
privée est primordiale! Par conséquent, les départements GS, HR et IT, en collaboration avec le
Service juridique et l'équipe de sécurité ont rédigé une « Déclaration de confidentialité numérique
du CERN » (en anglais, et qui sera traduite en français après son approbation), qui est censée décrire
comment et quand le CERN recueille, utilise et partage les informations lorsque vous utilisez les
installations informatiques du CERN, et comment le CERN protège les données personnelles
stockées sur ces installations informatiques.
Il ne peut y avoir et il n'y a aucune raison valable pour que l'équipe de sécurité informatique du
CERN, le Service desk, vos collègues ou votre superviseur, aient un accès complet à vos e-mails et
vos données. Votre boîte de messagerie du CERN et vos dossiers « privés » sur AFS et DFS sont
vôtres à 100%, et des procédures strictes ont été établies pour les rares cas où un tel accès est
nécessaire. Donc, si vous voulez garder des choses privées, mettez-les dans ces dossiers. D'autre
part, vos données professionnelles - c'est-à-dire les logiciels, documents, comptes rendus, etc. - ne
doivent jamais y être conservées, mais doivent plutôt être stockées dans des dossiers de projets
dédiés sur DFS ou AFS dans CDS ou dans les services web EDMS.
Des règles aussi strictes s'appliquent également pour accéder aux données de « logs » enregistrées
automatiquement (utilisation des ressources, adresses IP, sites web visités, commandes
interactives, informations d'accès physique et numérique, et enregistrements téléphoniques)

1
Si nous recevons plus de trois réponses correctes et crédibles, nous procéderons à un tirage au sort parmi
celles-ci.
142 | P a g e
créées par votre utilisation des installations informatiques du CERN. Bien que ces données soient
essentielles pour fournir, mesurer, personnaliser et améliorer les services, ainsi que pour surveiller
la sécurité du système, ces droits viennent avec des obligations déjà suivies par le système
correspondant, exprimées depuis des décennies, et maintenant explicitement formulées dans cette
nouvelle Déclaration de confidentialité.
La Déclaration de confidentialité et les procédures pour accéder aux données privées font partie
d'une politique de protection des données plus complète (en anglais, et qui sera traduite en français
après son approbation) actuellement en cours de préparation. Jetez un œil et restez à l’écoute!
Pour plus d'informations, des questions ou de l'aide, consultez notre site web ou contactez-nous
via [Link]@[Link].
NB: Bien que le CERN se soucie de votre vie privée lorsque vous utilisez ses installations
informatiques, il est de votre responsabilité de protéger votre vie privée lorsque vous naviguez sur
internet! Cliquez ici pour voir une sympathique vidéo montrant le niveau de confidentialité qui peut
être derrière « privé ».

« Clas-si-fié (/klasifje/) » — qu'est-ce que c'est ?

(2012)
[Link]
Avez-vous déjà réfléchi à quelles informations devraient ou doivent être classées comme
confidentielles au CERN ? Ou publiques ? Que signifie « confidentiel » de toutes façons ? Le droit
européen, par exemple, impose une protection adéquate de vos dossiers médicaux. Au CERN, des
raisons de sécurité exigent que vos mots de passe soient les vôtres, et uniquement les vôtres
(rappelez-vous : « Votre mot de passe est votre brosse à dents »). Il est dans votre propre intérêt
que vos détails de carte bancaire soient également tenus confidentiels. Mais qu'en est-il de
l'emplacement de votre bureau, de votre numéro de téléphone du CERN, ou de votre photo sur
votre carte officielle du CERN ?
Le CERN travaille actuellement sur une politique cohérente pour la classification des données, avec
la future Politique de protection des données (DPP), actuellement en cours d'élaboration par le
Service juridique du CERN, les départements GS, RH, IT, et l'équipe de sécurité informatique. La
première étape essentielle pour une telle DPP est une définition claire des données qui doivent être
gardées confidentielles et des données pouvant être traitées comme publiques. Le projet de
Politique de classification des données (DCP) propose quatre niveaux de classification : « sensible
», « restreint », « interne » et « public ».
Les « données sensibles » sont l'ensemble des données dont la divulgation pourrait compromettre
la confidentialité des données personnelles et/ou qui pourrait causer des dommages au CERN, à la
réputation du CERN, ou qui pourrait entraver le travail du CERN. Elles sont hautement
confidentielles et une protection appropriée, y compris le cryptage des données ou des moyens
équivalents, est primordiale.
 Les « données restreintes » sont aussi confidentielles. Leur diffusion est nécessaire à des
fins opérationnelles, mais la divulgation large est inacceptable. Par conséquent, cet accès
n'est accordé qu'en cas de nécessité.

143 | P a g e
  Les « données internes » ne sont pas confidentielles en tant que telles, mais sont destinées
à un public interne uniquement. Le public est « le CERN », i.e. tous les membres du
personnel.
 Enfin, les « données publiques » sont destinées à la divulgation, et le public est illimité.
 Nous avons évité d'utiliser le terme « confidentiel » comme un niveau de classification, car
il est utilisé de manière incohérente au CERN et pourrait créer une confusion.
En complément de ce système de classification, il y a une liste d'exemples pour chacun de ces
niveaux. Bien que non exhaustive, elle est destinée à vous donner des conseils sur la façon dont
certaines données du CERN doivent être classées. Il est important d'avoir l'accord des parties
prenantes car le CERN est actuellement dans une phase de transition en ce qui concerne le
traitement des données, et le système de classification sera une évolution majeure.
Les détails complets de ce projet et une liste des exemples sont consultables ici. Comme cette
politique est en cours d'élaboration, nous vous encourageons vivement à nous soumettre vos
commentaires, observations et contributions, en particulier sur la liste des exemples.
Veuillez nous contacter à [Link]@[Link]. Une fois approuvée, la DCP deviendra
obligatoire. Les prochaines étapes sont la définition des politiques pour le stockage, l'accès et le
transfert de tous types de données, quel que soit leur format (numérique ou papier) ou les supports
sur lesquels elles sont hébergées. Restez à l’écoute!
Pour de plus amples informations, consultez notre site web.

La protection des données pour tous (2012)

[Link]
Que de bruit… a été provoqué par deux articles de la dernière édition du Bulletin sur Le nouveau
service de numération du courrier postal et sur La collaboration entre le CERN et Facebook !
En effet, ceux qui ont réagi ont entièrement raison: ouvrir les lettres adressées aux autres et les
scanner est une violation des règles de base de la protection des données. De même, envoyer vos
photos, adresses, comptes informatiques, fichiers et documents personnels à une tierce partie (en
particulier en dehors du CERN) est clairement inacceptable, puisque le CERN considère ces données
comme personnelles. Par exemple, votre boîte mail CERN et vos dossiers « privés » sur AFS et DFS
sont entièrement vôtres. Ni votre superviseur, ni les services AFS/DFS/Mail, ni l'équipe de sécurité
n'ont le droit d'accéder à ces données, en dehors de rares cas où cela est nécessaire, et qui sont
strictement régulés, nécessitant également l'accord explicite du CERN Chief Information Officer
(CIO), du Service juridique, et du DG.
Mais le saviez-vous? Le CERN est en train de développer une politique de protection des données,
et le rôle d'un CIO (ce rôle est actuellement assumé conjointement par le directeur du département
IT et le Computer Security Officer). Mise à part la Circulaire administrative no 10, la protection des
données dépend de chacun. Ce n'est pas un problème pour vous ? Le CERN se base en effet sur une
culture ouverte et il est tentant de se dire que nous n'avons rien à cacher. Perdre des données
scientifiques peut être ennuyeux, mais le problème s'arrête-t-il là? Il reste votre boîte mail et vos
fichiers personnels, financiers et contractuels, vos notes confidentielles, mots de passe et
identifiants, ainsi que vos données médicales. Ces données doivent être protégées de manière
claire et homogène.

144 | P a g e
Il nous faut donc changer. En collaboration avec le Service juridique et les départements GS, HR et
IT, l'équipe de sécurité prépare une politique de protection des données pour stocker, accéder et
transférer tout type de données numériques. Pour le moment, les efforts se concentrent sur la
définition des différents niveaux de confidentialité, par exemple « public », « interne », « restreint
» et « sensible », ainsi qu'une liste exhaustive d'exemples pour chaque niveau (voir ici). Cette
politique sera complétée par des politiques sur le stockage, le transfert et l'accès à ces données. La
liste d'exemples va permettre de clarifier et d'éviter la mauvaise classification et l'assignation à un
système de stockage non adéquat. Enfin, la politique de protection des données inclut une politique
de destruction des données qui a déjà été mise en place (voir ici ; voir également notre article paru
dans le Bulletin 10-11/2012).
Dans tous les cas, la meilleure manière de protéger les données est d'être attentif et prudent ! Si
vous pensez que certains documents, fichiers et données devraient être protégés, faites le
nécessaire. Nous sommes prêts à vous aider.

Comment se débarrasser vraiment de données

confidentielles ? (2012)
[Link]
Avez-vous déjà acheté un ordinateur portable d'occasion sur eBay ? Essayez-le, vous pourriez non
seulement avoir du matériel fonctionnel (normalement), mais aussi découvrir un tas de fichiers
personnels, des photos intrigantes, des documents sensibles, etc. Tout le monde ne se préoccupe
pas de cela et ne nettoie pas correctement les disques durs avant de vendre ou de donner un
ordinateur. Alors, le prochain propriétaire peut aisément fouiller dans les données restantes, et les
utiliser à sa convenance...
En fait, bien nettoyer un disque dur est difficile ! Supprimer les fichiers locaux ou formater le disque
dur purge simplement les fichiers afin qu'ils ne soient pas répertoriés dans le dossier mais, en
général, les données réelles restent intactes sur le disque dur. Des outils disponibles librement
peuvent facilement reconstruire les fichiers et, par conséquent, les exposer. Une meilleure pratique
consiste à se débarrasser de vos fichiers en exécutant des outils comme « Shred » sur la plateforme
Linux (essayez « shred -fuvzn1 [FICHIER] » ou consultez « man shred » pour plus de détails) ou «
File Shredder » de CNET pour le système d'exploitation Windows.
Ces deux outils écrasent les fichiers avec des octets aléatoires de telle sorte qu'il est pratiquement
impossible de reconstruire les données après coup. Cependant, si vous ne pouvez pas exécuter ces
outils - car le disque est cassé ou défectueux - il est préférable de détruire le disque dur. Au CERN,
c'est la procédure recommandée pour des disques détériorés contenant des données
confidentielles ou sensibles (voir la politique de destruction des données au CERN).
Donc, ne soyez pas négligent si vous exécutez un service au CERN qui stocke des données
confidentielles, telles que les informations financières, médicales ou personnelles. Ne permettez
jamais à ces disques durs de quitter l'Organisation, par exemple pour des raisons de maintenance.
Par ailleurs, assurez-vous que vos disques durs sont correctement détruits une fois que vous
renouvelez le PC correspondant. L'équipe de la sécurité informatique, en collaboration avec
l'équipe IT d'opération du Centre de calcul et le service logistique GS, collecte vos disques durs et
bandes magnétiques contenant des données confidentielles. Ils sont stockés dans un conteneur

145 | P a g e
scellé situé dans le Centre de calcul et régulièrement vidés par une société spécialisée dans la
destruction sécurisée des disques durs.
Profitez de ce service pour des raisons de confidentialité, sans aucun coût ! Si vous souhaitez
détruire ou mettre à la poubelle en toute sécurité vos disques durs, bandes, ordinateurs portables
ou clefs USB, merci de les apporter au bureau de l'opérateur du Centre de calcul (bâtiment 513).

Classé confidentiel (2011)

[Link]
Dans le dernier numéro du Bulletin, nous avons discuté des dernières implications pour la vie privée
sur internet. Mais la confidentialité des données personnelles n'est qu'une facette de la protection
des données. La confidentialité en est une autre. Cependant, la confidentialité et la protection des
données sont souvent perçues comme n'étant pas pertinentes dans le milieu académique du CERN.
Mais réfléchissez-y à deux fois ! Au CERN, vos données personnelles, e-mails, dossiers médicaux,
documents financiers et contractuels, formulaires MARS, comptes rendus de réunions de groupe
(et bien sûr votre mot de passe!) sont tous considérés comme sensibles, d'accès restreint, voire
même confidentiels. Et ce n'est pas tout. Les résultats de physique, en particulier lorsqu'ils sont
préliminaires et en attente d'examen, sont aussi sensibles. Tout récemment, un collaborateur
ATLAS a fait un « copier/coller » du résumé d'une note ATLAS sur un blog public extérieur, en dépit
du fait que ce document était clairement identifié comme une « Note interne ». Un tel acte a été
non seulement embarrassant pour la collaboration ATLAS, mais a aussi eu un impact négatif sur la
réputation du CERN - c'est également une violation grave des règles informatiques du CERN;
l'incident a donc été suivi avec les personnes concernées.
Si vous possédez des données, des documents, des codes ou des sites web qui sont censés être
sensibles, confidentiels ou restreints d'accès, assurez-vous qu'ils soient clairement identifiés
comme tels, et que l'accès en soit limité, de manière à ce que seules les personnes ayant besoin de
les lire puissent le faire. AFS, DFS, et le service web central fournissent des moyens de protéger
correctement vos documents. Si vous avez accès à un document à diffusion restreinte, ne violez pas
les règles: ne partagez que les documents qu'avec ceux qui sont autorisées. Si vous avez un doute,
vérifiez avec le propriétaire de ce document, et demandez-lui l'autorisation. Enfin, si vous êtes un
développeur ou administrateur système, veillez à ce que votre code et les serveurs soient sécurisés
et ne permettent pas une fuite de données! En cas de doute, veuillez suivre les cours de formation
technique du CERN appropriés pour la conception de logiciels sécurisés.

La vie privée, qui s'en soucie ? (2011)

[Link]
À la mi-avril, les réseaux Sony « PlayStation » et « Online Entertainment » ont été piratés et les
dossiers de près de 100 millions (!) d'utilisateurs (noms, adresses, dates de naissance, adresses e-
mail) ont été volés. Il semble même que les numéros de carte de crédit de ces utilisateurs aient été
perdus aussi.
Dans une autre affaire, un bug dans le portail de l'emploi de l'UNESCO a permis à tous les candidats
d'accéder aux adresses, numéros de téléphones portables et salaires de centaines de milliers de
demandeurs d'emploi depuis 2006. Mais la perte de données n'est pas seulement un acte

146 | P a g e
accidentel ou malveillant: les Apple iPhone et iPads (et dans une moindre mesure, les appareils
Android) stockent chaque localisation de leurs propriétaires depuis 2008, et il est encore difficile
de savoir si ces données ont été transmises au quartier général d'Apple. Facebook et Google sont
déjà connus pour la récolte de nombreuses données utilisateurs dans le but d'analyser le
comportement de ces derniers. Il est déjà arrivé qu'avant de commettre un crime, les voleurs aient
consulté les profils Facebook et Twitter de leur victime afin de déterminer s’il/elle est actuellement
à la maison, les cartes Google étant utilisées pour vérifier les lieux. Le dernier cas mais pas le
moindre: la compagnie derrière le logiciel de navigation TomTom a vendu les données de vitesse
mesurées par les différents appareils de navigation automobile à la police néerlandaise (qui va
maintenant mettre les radars aux endroits appropriés).
Il semble que la vie privée soit aujourd'hui largement ignorée, du moins sur Internet. Suis-je vieux
jeu si je considère que mon salaire, ma date de naissance, ma vie privée et mes numéros de carte
de crédit ne sont pas vos affaires ?
S'il vous plaît, soyez prudent. Donner trop d'informations signifie abandonner votre vie privée!
Réfléchissez à deux fois avant de fournir des données à caractère personnel à des sites Web, même
bien connus, tels que Facebook ou LinkedIn. Exposez seulement les informations qui sont vraiment
nécessaires, et abstenez-vous d'utiliser les sites qui semblent trop « gourmands ». De plus, n'utilisez
pas le même mot de passe pour différents sites. Enfin, si vous êtes un développeur d'une application
demandant et/ou stockant des données à caractère personnel, veillez à ce que votre code soit
sécurisé et ne permette pas la fuite de données! En cas de doute, veuillez suivre les cours de
formation technique du CERN appropriés pour la conception de logiciels sécurisés.

147 | P a g e
Droits d’auteurs
Musique, vidéos et risques (2018)
[Link]
cern
Vous aimez écouter de la musique tout en travaillant ? Regarder des vidéos pendant votre temps
libre au CERN? Certes, c'est amusant. Et si vos collègues participent, c'est encore mieux.
Généralement ce plaisir n'est pas gratuit. Des artistes gagnent leur vie grâce à ces vidéos ou
productions musicales.
Ainsi, si vous voulez écouter de la musique ou regarder des films au CERN, assurez-vous que vous
possédez les droits correspondants et l'accord de votre superviseur pour le faire pendant vos
heures de travail. Notez que ces droits sont personnels : généralement, vous n'avez pas le droit de
partager de la musique ou des vidéos avec des tiers sans violer les droits d'auteur. Par conséquent,
distribuer et partager de la musique, des vidéos ou toute œuvre soumise aux droits d'auteur est
interdit au CERN et à l'extérieur. Cela viole les règles informatiques du CERN et est en contradiction
avec le code de conduite du CERN qui exige de chacun d'entre nous un comportement éthique et
honnête, et impose de créditer les autres pour leur contribution. La violation du droit d'auteur est
également illégale en différentes manières dans différents pays européens et autres, y compris les
deux États hôtes du CERN.
Violer les droits d'auteur n'est pas un délit mineur. Partager de la musique ou des vidéos via le
réseau du CERN ou depuis des ordinateurs du CERN a une incidence sur l'Organisation, et donne
une mauvaise image de nous tous. Par conséquent, aidez-nous à protéger la réputation et l'intégrité
du CERN. Respectez les droits d'auteur. Les utilisateurs qui violent ces règles s'exposent à de lourdes
conséquences, y compris l’implication de leur superviseur, et, le cas échéant, le paiement de toute
compensation (financière) inhérente à l’infraction.

Télécharger des films illégalement n'est pas anodin

(2015)
[Link]
Chers étudiants d'été, au sein de l'Organisation, vous avez de quoi satisfaire votre curiosité
naturelle et pouvez accumuler autant de connaissances que votre cerveau peut enregistrer. La
liberté quasi sans limite dont vous jouissez au CERN vous le permet. Mais attention : les termes «
liberté » et « sans limite » ne signifient pas que vous pouvez faire ce que vous voulez.
Sachez que lorsque vous utilisez l'infrastructure informatique du CERN, lorsque vous envoyez des
courriels depuis votre adresse CERN, lorsque vous utilisez un ordinateur portable, un téléphone ou
un ordinateur de bureau, vous êtes soumis à un ensemble de règles : les règles informatiques du
CERN. J'aimerais insister sur un point particulier qui concerne le téléchargement de musique, de
vidéos ou de jeux depuis des sites populaires tels que ThePirateBay ou Bittorrent. Le CERN a une
connexion internet fantastique et une très bonne bande passante, notamment pour les
téléchargements.

148 | P a g e
Cependant, cela ne signifie pas que le téléchargement de musique, de vidéos ou de jeux est
autorisé. En fait, il est même interdit ̶ principalement pour deux raisons : premièrement, parce que
le réseau du CERN est avant tout destiné à un usage professionnel, et ces téléchargements entrent
rarement dans ce cadre. Deuxièmement, en raison de l’illégalité de ces activités : le téléchargement
de données protégées par des droits d'auteur, et notamment leur partage, est illégal dans de
nombreux pays européens. Et la violation du droit d'auteur n'est pas anodine, ne la prenez donc
pas à la légère !
Le CERN a reçu par le passé un certain nombre de rappels à l’ordre de la part de grands labels de
l'industrie du divertissement, suite à des violations du droit d'auteur commises par certains
utilisateurs. Cette situation est bien sûr embarrassante pour l'Organisation et nuit à sa réputation,
mais elle a également des conséquences financières pour les auteurs des violations (voir l’article «
Avez-vous 30 000 CHF à perdre ? », paru dans le Bulletin). C'est pourquoi aucune atteinte au droit
d'auteur n'est tolérée au CERN, sous peine de mesures administratives (en plus des conséquences
financières).
Afin d'éviter tout problème, assurez-vous que les clients Bittorrent sont désactivés avant de vous
connecter au réseau CERN, que ce soit par connexion câblée ou wifi. Merci d'éviter également toute
connexion à des sites de téléchargement illégal depuis le réseau du CERN. Profitez plutôt des
nombreuses solutions commerciales, telles que Steam, iTunes, Netflix, MyVideo… Une dernière
recommandation : évitez de consulter des sites à caractère pornographique. Nous surveillons ce
type d'accès et notre rappel à l'ordre serait plutôt embarrassant...

Supplique au Père Noël (2015)

[Link]
Utiliser des logiciels piratés ou avec des licences obtenues illégalement, se servir d’outils appelés «
crack » pour contourner des systèmes d'activation de logiciels, partager de la musique et des films...
tels sont les problèmes auxquels les environnements académiques sont malheureusement
confrontés. Toutes ces pratiques violent les droits d'auteur des propriétaires de logiciels, de films
ou de musiques, et ces propriétaires ne sont pas des Pères Noël...
Le CERN, comme d'autres établissements de recherche, reçoit régulièrement des réclamations de
la part d’entreprises externes qui se plaignent que des ordinateurs portables ou de bureau utilisent
illégalement leurs solutions logicielles ou partagent sur internet leurs films, vidéos ou musique,
violant ainsi leurs droits d'auteur.
Généralement, nous contactons les utilisateurs des appareils concernés pour savoir si ces
accusations sont fondées. Très souvent, leurs réponses se résument à quelque chose du genre : «
Je confirme qu'un logiciel de partage de fichiers a été laissé allumé sur mon ordinateur par erreur
» ou « C'est un fichier qui était sur mon disque USB pour je ne sais quelle raison, je ne l'ai jamais
utilisé ». Comme si ces accusations n'étaient que peccadilles (voir notre article du Bulletin intitulé
« Télécharger des films illégalement n'est pas anodin ») et n'avaient aucune conséquence.
Pourquoi certains d'entre nous pensent pouvoir s'affranchir des règles en vigueur au CERN ? Vous
savez bien : les violations du droit d'auteur, l'utilisation de licences piratées (voir l’article « Avez-
vous 30 000 CHF à perdre ? »), le fait de sous-traiter à des entreprises externes des tâches
informatiques quand le CERN fournit des solutions similaires (« IT ou pas IT, telle est la question »),
dépasser la vitesse maximale autorisée en voiture sur le site du CERN, stationner sur des

149 | P a g e
emplacements interdits... Ne sommes-nous pas censés faire preuve de diligence afin de protéger la
réputation de l'Organisation ? Ne sommes-nous pas tous des professionnels liés par le Code de
conduite de l'Organisation et par ses règles ?
Bien entendu, nous pourrions simplement décider de ne plus donner d’avertissement et de prendre
directement des sanctions plus sévères en faisant intervenir la hiérarchie... Cependant, comme
nous sommes proches de la fin de l'année, faisons ensemble un vœu : que nous agissions tous et
toutes de façon plus responsable et éthique en 2016 !
Votre opinion nous est précieuse : quelles stratégies vous semblent adéquates pour susciter ce
respect qui semble nous manquer ? Envoyez-nous vos idées à [Link]@[Link].

Avez-vous 30000 CHF à perdre ? (2015)

[Link]
Je ne plaisante pas, avez-vous 30 000 CHF dont vous ne faites rien, et dont vous voudriez vous
débarrasser ? Donnez-les-moi... Cet argent ne sera pas investi. Il sera tout bonnement perdu, à
cause d’une bourde, d’une erreur comme chacun d’entre nous peut en commettre. Rien de
dramatique à première vue. Sauf que ce genre d’erreur peut coûter cher… Voici l’histoire.
Récemment, un étudiant travaillant au CERN devait effectuer des simulations complexes sur la
conductivité thermique à l’intérieur d'une structure métallique, sur les contraintes mécaniques
subies par cette structure, ainsi que sur les variations du champ électromagnétique à l'intérieur de
celle-ci. Tous ses collègues utilisaient pour cela une application de simulation commerciale, que
nous appellerons ici « AllSIM ». Or cet étudiant n'a pas réussi à télécharger AllSIM sur son ordinateur
de bureau à partir de DFS. Et la version disponible sur DFS ne répondait de toute façon pas à ses
besoins : il voulait installer cette application sur son ordinateur portable de façon à pouvoir
continuer à travailler même pendant ses déplacements. Malheureusement, la version d'AllSIM
fournie par le CERN n'autorise pas cela, la licence AllSIM du CERN ne couvrant pas l’utilisation en
itinérance. L'étudiant n’a pas cherché une solution de compromis, comme par exemple utiliser le
bureau à distance Windows disponible au CERN (« Windows Terminal Service »). Il a préféré
chercher sur Google, où il a trouvé une version d'AllSIM proposée en téléchargement gratuit. Trois
clics plus tard, il était prêt à travailler.
C’est là qu’on arrive à ces fameux 30 000 CHF. La société qui commercialise AllSIM surveille en
permanence l'utilisation de son application, et est capable d’identifier les installations utilisant des
clés de licence invalides. C’est ainsi que l'équipe de la Sécurité informatique du CERN a reçu un
courriel accusant le Laboratoire d'utiliser une version piratée de cette application, bien que le CERN
possède un nombre de licences suffisant pour couvrir tous ses besoins. La société nous demandait
de cesser définitivement cette activité illégale, d’acheter de nouvelles licences, et de payer des
indemnités au titre d’une atteinte à leurs droits de propriété intellectuelle. Le montant de la
facture, vous l'aurez deviné, était de 30 000 CHF.
L'étudiant, très ennuyé d’apprendre que nous enquêtions sur cette affaire, a été forcé de
reconnaître les faits. La licence qu'il utilisait était piratée et, de fait, pour se simplifier la vie, il
agissait en violation des règles informatiques du CERN. Le CERN a demandé à l’université dont
dépendait cet étudiant de prendre en charge ces frais, et l’université a transmis la facture à
l'étudiant. D’où ma question : avez-vous 30 000 CHF à perdre ?

150 | P a g e
En ne respectant pas les règles informatiques du CERN, en téléchargeant une application piratée et
en portant atteinte aux droits de propriété intellectuelle correspondants, cet étudiant a mis en
danger la réputation du CERN, avec des conséquences financières éventuelles pour le CERN, pour
son université d’affiliation et pour lui-même. Et donc, sauf si vous avez besoin de vous débarrasser
de 30 000 CHF, souvenez-vous que les concepteurs d'applications gagnent leur vie en faisant payer
l'utilisation de celles-ci. Le CERN possède toute une gamme d'applications commerciales, avec les
licences correspondantes, pour une utilisation professionnelle. Si vous ne trouvez pas ce que vous
cherchez, vous pouvez contacter le responsable des licences de logiciels du CERN, Helge Meinhard
(IT/PES).

Protégez le CERN — respectez les droits d'auteur

(2014)
[Link]
Vous êtes physicien(ne) et faites des calculs mathématiques complexes ? Vous êtes webmaster et
intégrez régulièrement du contenu visuel ? Vous faites régulièrement des présentations pour un
large public ? Vous êtes ingénieur(e) et faites des simulations sophistiquées, par exemple, sur des
transferts de chaleur, la stabilité structurelle, des liquides ou des circuits électriques ? Vous êtes
technicien(ne) et utilisez souvent un logiciel de CAO ? Vous aimez écouter de la musique tout en
étant au CERN ? Allez-y…
… mais assurez-vous que vous avez obtenu légitimement ces logiciels/images/musiques/vidéos et
que vous détenez des licences valides pour exécuter vos logiciels. L'utilisation de
logiciels/images/musiques/vidéos illégaux ou piratés n'est pas une broutille. Cela constitue une
violation des règles informatiques du CERN (OC5) et met en danger l'Organisation !
Les vendeurs et créateurs méritent d’être crédités et rémunérés. Par conséquent, assurez-vous que
vous avez les droits correspondants pour utiliser leurs logiciels, c’est-à-dire que vous avez acheté
ces logiciels via des canaux légitimes et que vous utilisez une licence valide et obtenue
honnêtement. Ces prérequis sont également valables pour l’utilisation des « Shareware » et des
logiciels sous licence libre, qui pourraient aussi avoir un coût. Seuls les « Freeware » sont
généralement complètement gratuits. Bien sûr, les logiciels installés à partir des dépôts centraux
du CERN (c'est-à-dire CMF pour les PC Windows, et SWrep pour Linux) sont 100 % légaux et ont
déjà les licences appropriées. Cependant, certaines applications d'ingénierie ont des restrictions
d'utilisation. Une liste des applications d'ingénierie fournies par le CERN est disponible auprès du
département informatique et du groupe EN/ICE. Demandez à votre superviseur si vous n'êtes pas
sûr(e), ou contactez le Service Desk du CERN.
Vérifiez si les images sont publiées sous une licence Creative Commons ; consultez par exemple
Wikimedia ou cet article, ou envisagez de payer une redevance à des banques d’images telles que
[Link] ou [Link]. Cela ne représente qu’un investissement de quelques
francs, pour être tranquille. Si vous souhaitez vraiment utiliser une photo ou un graphique
particuliers, contactez son auteur/propriétaire et demandez-lui son autorisation (mais pensez à en
garder une preuve écrite !). Et bien sûr, prenez le temps de découvrir CDS, le serveur de documents
du CERN. Dans le cas où vous ne trouveriez pas ce que vous cherchez, pourquoi ne pas vous
promener sur le site du CERN, prendre la photo vous-même, et la rendre également disponible sur
CDS ?

151 | P a g e
Quant à écouter de la musique ou regarder des films au CERN, assurez-vous également que vous
possédez les droits correspondants (et l'accord de votre superviseur). Notez que ces droits sont
personnels : généralement, vous n'avez pas le droit de partager de la musique ou des vidéos avec
des tiers sans enfreindre les droits d'auteur. De nos jours, les sociétés cinématographiques
cherchent et détectent activement les téléchargements et partages illégaux. Alors évitez que le
CERN devienne leur cible !
Et vice-versa. Le CERN produit aussi beaucoup de logiciels (et de matériel !). Nous ne facturons rien,
car il est dans l'esprit du Laboratoire de partager, de diffuser la connaissance et de faire que tout
ceci soit utilisé en dehors de l’Organisation. Cependant, nous méritons nous aussi d’être crédités
lorsque des tierces parties utilisent nos produits. Nous veillons également à ce que cet usage reste
dans l'esprit du Laboratoire, c’est-à-dire que les produits du CERN ne soient pas employés à des fins
douteuses. Par conséquent, tous les logiciels de l'Organisation sont censés être publiés sous une
des licences Open Source recommandées par le CERN, telle que GNU GPL v3. Le CERN a lancé un
programme similaire pour le matériel, la licence Open Hardware du CERN, afin de faciliter l'échange
et la réutilisation des schémas matériels. Il y a également des conditions spécifiques d'utilisation
pour les produits audiovisuels du CERN.

Pour une meilleure image de l'Organisation (2014)

[Link]
Faites-vous régulièrement des présentations publiques sur le CERN ou ses activités? Gérez-vous des
pages web publiques hébergées au CERN? Êtes-vous éditeur ou contributeur de publications du
CERN? Hormis (beaucoup) de texte, toutes les bonnes présentations, pages web ou publication s
sont généralement agrémentées de contenus visuels: des graphiques, des photos, et même, des
vidéos. Cependant, avez-vous déjà vérifié si vous possédiez réellement le droit d'utiliser de telles
images ?
Tout récemment, une agence photo a contacté le CERN concernant une image publiée sur une page
web actuellement sous sa responsabilité. Selon elle, cette image est utilisée sans les droits
appropriés, violant ainsi leurs droits d'auteur. Comme la page web datait de 2007 et faisait partie
d'un projet financé par l'UE maintenant terminé, il est difficile de vérifier les faits. L'image
correspondante a donc été retirée, afin de se conformer aux conditions de cette agence.
Nous devons prendre les mesures maximales pour éviter de recevoir des notifications similaires,
tout en veillant à la bonne image de l'Organisation ! Ainsi, en tant que présentateur, webmaster,
éditeur, veuillez-vous assurer que vous détenez les droits appropriés lors de l'utilisation de photos,
graphiques, vidéos ou musiques dans vos présentations, pages web ou publications...
Vérifiez si les images sont publiées sous une licence Creative Commons (consultez par exemple
Wikimedia ou cet article), ou envisagez de payer une redevance à des banques d’images telles que
[Link] ou [Link] - cela ne représente qu’un investissement de quelques
francs, pour être tranquille. Si vous souhaitez vraiment utiliser une photo ou un graphique
particulier, contactez son auteur/propriétaire et demandez-lui son autorisation (mais pensez à en
garder une preuve écrite !). Et bien sûr, prenez le temps de découvrir CDS, le serveur de documents
du CERN. Dans le cas où vous ne trouveriez pas ce que vous cherchez, pourquoi ne pas vous
promener sur le site du CERN, prendre la photo vous-même, et la rendre également disponible sur
CDS ? Rappelez-vous également que la violation du droit d’auteur des images n'est qu'un seul
aspect du problème. Veillez également à respecter les droits d'auteur des applications logicielles et
152 | P a g e
des programmes (« Licences de logiciels : soyez honnêtes ! »), ainsi que les droits d'auteur lors du
téléchargement ou du partage de vidéos et de musiques (« Musique, vidéos et risques pour le CERN
»).

Mauvaises (Re)Présentations (2013)

[Link]
Cette fois encore, nous aimerions aborder le problème des droits d'auteur, mais avec un petit
changement. Après nos articles « Musique, vidéos et risques pour le CERN » et « Licences de
logiciels : soyez honnêtes ! », il s'agit maintenant de l'utilisation de photos, musiques et images «
trouvées » sur internet dans vos présentations, publications, pages web, etc.
Récemment, une vidéo produite pour le CERN, qui contenait une musique de fond empruntée à un
artiste contemporain populaire, a été publiée sur YouTube et Facebook. Malheureusement, les
« producteurs » n'avaient pas correctement acquis les droits nécessaires à l'utilisation de cette
musique. Ils pensaient que l'acheter sur iTunes était suffisant. Mais c’est faux : « acheter » vous
donne le droit d'écouter, pas le droit de distribuer ou de republier. Par conséquent, la vidéo a dû
être retirée de YouTube et de Facebook.
De la même façon, combien d'entre nous utilisent dans leurs présentations des graphiques ou
autres images « trouvées » sur internet ? Combien améliorent leurs pages web avec des photos ou
des polices provenant d’internet ? Est-ce bien prudent ? Schémas, images, photos ou musiques
publiés sur internet conservent un propriétaire, lequel peut réclamer des droits d'auteur lorsque
nous (ré)utilisons ses œuvres. Le fait que ces ressources soient accessibles n'implique pas que nous
puissions les copier ou les réutiliser. Il en est ainsi avec la musique mentionnée précédemment ou
avec les sharewares qui peuvent être utilisés pendant une période d'essai mais doivent être achetés
au bout d'un certain temps. Seuls les freewares sont réellement libres de droits. Pour vous et pour
l'Organisation, il peut être assez gênant de se faire prendre en violation du droit d'auteur, sans
parler des conséquences légales qui peuvent en découler.
Ainsi, pour votre sécurité, vérifiez que vous possédez les droits nécessaires avant d'utiliser de telles
ressources. Si vous ne les avez pas, il existe un certain nombre de dépôts d'images (par exemple
[Link] ou [Link]) sur lesquels vous pouvez acheter des images, graphiques
ou photos. Ce ne sont que quelques euros d'investis pour éviter les ennuis. Si vous désirez vraiment
une image, un graphique ou une photo en particulier, demandez la permission à l'auteur ou au
propriétaire des droits. Au minimum, indiquez l'origine en citant l'URL source. En revanche,
réutiliser de la musique pour l'intégrer à des pages web ou à des publications est plus difficile. Nous
vous conseillons d'éviter de le faire, à moins que vous soyez certain que la musique est libre de
droits et que vous pouvez l'utiliser librement.
Rappelez-vous de plus qu'enfreindre des droits d'auteurs peut avoir des effets néfastes sur la
réputation de l'Organisation, et constitue une violation des règles informatiques du CERN. Essayez
de vous abstenir de partager de la musique ou des vidéos achetées pour votre usage personnel,
vous n'avez généralement pas le droit de les redistribuer. Respectez les conditions d'utilisation et
les droits d'auteurs des logiciels informatiques, en particulier ceux fournis pour des usages
professionnels au CERN. Enfin, faites attention quand vous réutilisez des photos ou images «
trouvées » sur internet dans des présentations ou sur des sites : elles peuvent êtes accompagnées
de frais d'utilisation.

153 | P a g e
Licences de logiciels : soyez honnêtes ! (2012)
[Link]
Vous souvenez-vous de notre article sur les violations des droits d'auteur dans le Bulletin précédent
« Musique, vidéos et risques pour le CERN »? Maintenant soyons plus précis. « La violation du droit
d'auteur » ne signifie pas seulement le téléchargement illégal de musique ou vidéos, mais
s'applique également aux logiciels et applications informatiques.
Les utilisateurs doivent respecter les droits de propriété intellectuelle en conformité avec les règles
informatiques du CERN (OC5). Ne pas obtenir de façon légitime un programme ou les licences
requises pour exécuter un logiciel n'est pas un délit mineur. Cela constitue un viol de la
réglementation du CERN et met en danger l’Organisation!
Les vendeurs méritent des crédits et une rémunération. Par conséquent, assurez-vous que vous
avez les droits correspondants pour utiliser leurs logiciels, c’est-à-dire que vous avez acheté ces
logiciels via des canaux légitimes et que vous utilisez une licence valide et obtenue honnêtement.
Ces prérequis sont également valables pour l’utilisation des « Sharewares » et des logiciels sous
licences libres, qui pourraient aussi avoir un coût. Seuls les « Freeware » sont généralement
complètement gratuits. Bien sûr, les logiciels installés à partir des dépôts centraux du CERN (c'est à
dire CMF pour les PC Windows et SWrep pour Linux) sont 100% légaux et ont déjà les licences
appropriées. Cependant, certaines applications d'ingénierie ont des restrictions d'utilisation.
Consultez le site web correspondant pour plus de détails.
Quiproquo. Le CERN produit aussi beaucoup de logiciels (et de matériel!). Nous ne facturons rien
car il est dans l'esprit du CERN de partager, de diffuser la connaissance et de faire que tout ceci soit
utilisé en dehors de l’Organisation. Cependant, nous méritons le crédit si des tierces parties utilisent
nos produits, et nous veillons à ce que cet usage reste dans l'esprit du Laboratoire, c’est-à-dire qu'ils
ne sont pas utilisés à des fins douteuses. Par conséquent, tous les logiciels de l'Organisation sont
censés être publiés sous une des licences Open Source recommandées par le CERN, telle que GNU
GPL v3. Le CERN a lancé un programme similaire pour le matériel, la licence Open Hardware du
CERN, afin de faciliter l'échange et la réutilisation des schémas matériels. Il y a également des
conditions spécifiques d'utilisation pour les médias audiovisuels du CERN.

154 | P a g e
Règles et Politique du CERN
Attention à la puissance de calcul (2018)
[Link]
professionals-only
Le service OpenStack du CERN vous fournit une puissance de calcul et un espace de stockage
immenses pour la réalisation de vos objectifs professionnels. Vous avez besoin d'un processeur
puissant pour vos analyses ou d'un autre système d'exploitation pour tester vos logiciels ? Vous
voulez disposer d'un service fiable, ultra-performant et facilement évolutif ? OpenStack est la
meilleure des options. D'ailleurs, toutes les expériences du LHC, le secteur des accélérateurs et le
département IT utilisent maintenant OpenStack pour l’analyse de leurs données et leurs services
informatiques. Certes, OpenStack offre une grande puissance de calcul. Mais elle est strictement
réservée à un usage professionnel.
Les règles informatiques du CERN tolèrent l'utilisation des installations informatiques du CERN à
des fins personnelles à condition que celle-ci soit légale, ne relève pas d'une activité politique ou
commerciale, et n'entraîne - et c'est là un point essentiel - qu'un usage minimal des ressources du
CERN (puissance de calcul, bande passante ou capacité de stockage). Déployer une centaine de
machines virtuelles sans que votre département ou votre expérience ne vous l'ait demandé n'est
donc pas autorisé. Un utilisateur a récemment été repéré alors qu'il avait déployé un nombre
important de machines virtuelles pour améliorer le code d'un logiciel qu'il développait dans le cadre
d'un projet personnel. Par le passé, des abus similaires ont eu lieu : des personnes ont tenté de
miner des crypto-monnaies (bitcoin, litcoin ou ether) sur OpenStack, en utilisant BOINC ou la Grille
de calcul mondiale pour le LHC (WLCG). Ces activités n'ont pas manqué d'attirer l'attention des
responsables des services concernés et ont conduit à des sanctions disciplinaires à l'encontre de
leurs auteurs. En effet, le minage de crypto-monnaies peut difficilement passer pour une tâche
professionnelle. Et puisqu'il s'agit d'un moyen d'enrichissement personnel aux dépens du CERN (ou
de la WLCG), cela peut entraîner une action judiciaire. Plus inquiétant encore, le service OpenStack
a fait au moins une fois l'objet d'une attaque ciblée : un individu se faisant passer pour un membre
du personnel du CERN a demandé à pouvoir utiliser 5 000 machines virtuelles, à des fins
malhonnêtes. Une demande aussi excessive n'a évidemment pas manqué de nous mettre la puce à
l'oreille.
Faites preuve de bon sens. Toutes les activités que nous venons de mentionner violent les règles
informatiques du CERN (et les politiques de sécurité de la WLCG), puisqu'elles empêchent une
utilisation optimale des ressources déjà limitées du CERN, consomment de la puissance aux dépens
de l'Organisation et utilisent un service réservé à des fins professionnelles. Un usage personnel
raisonnable est toléré. Un usage excessif ne l'est pas. Le déploiement de dizaines de machines
virtuelles est un abus manifeste. Le téléchargement de grandes quantités de musiques ou de vidéos
(sans parler du viol des droits d'auteur que cela représente), le stockage de centaines de milliers de
photos privées (dont la protection n'est d'ailleurs pas garantie par les règles informatiques du
CERN), la navigation excessive sur le web (qui diminue votre productivité) ou la création de sites
web à des fins politiques ou commerciales ne sont pas admis.

155 | P a g e
Chers étudiants d'été (2018)
[Link]
Bienvenue au CERN ! Durant les semaines à venir, vous allez pouvoir vous imprégner de l’esprit
académique libre du CERN. Vous aurez la possibilité d’apprendre à travers des cours approfondis,
de travailler sur votre sujet de recherche préféré ou sur celui qui vous aura été attribué, et de tisser
votre propre réseau professionnel au cours de soirées. Cependant la « liberté académique », si
chère au CERN, ne veut pas dire qu’il n’existe aucune limite. Au CERN, cette liberté s’accompagne
de responsabilités. Vous trouverez ci-dessous quelques conseils pour pouvoir les assumer au mieux
et en toute sécurité.
Vous êtes le principal responsable de la sécurité informatique de vos ordinateurs portables,
smartphones et ordinateurs de bureau, de votre compte informatique et de son mot de passe, de
vos données, et des programmes, systèmes et services informatiques que vous développez. Dès
lors : prenez le temps de réfléchir avant d’agir. Si vous travaillez sur un projet de développement
logiciel, commencez par suivre les cours appropriés pour que votre code soit exempt de bugs et de
vulnérabilités qui pourraient mettre en péril ses fonctionnalités. S’il vous est demandé de mettre
en place une base de données ou un site web, regardez d’abord du côté des services proposés pa r
le département IT du CERN 1 : ils vous provisionnent de machines virtuelles, une fonctionnalité
comme « Dropbox », des bases de données à la demande ainsi que différents plateforme pour la
publication « web ». Plus besoin de vous embêter avec les problèmes matériels, le système
d’exploitation, les serveurs web, etc. : créez simplement vos pages web ! Notez aussi qu’utiliser des
services externes (comme par exemple un hébergement web en dehors du CERN) n’est pas
recommandé du point de vue de la sécurité informatique. Si vous avez un doute ou que vous avez
besoin d’aide pour concevoir et structurer la partie informatique de votre projet, contactez les « IT
consultants » . Pour ceux d’entre vous qui s’investissent dans les simulations mathématiques, les
tâches d’ingénierie ou la conception de systèmes de contrôle, le CERN peut vous fournir
gratuitement tout un ensemble d’applications d’ingénierie. Vous n’aurez probablement pas besoin
de télécharger des logiciels supplémentaires sur internet, mais si tel devait être le cas,
contactez [Link]@[Link] : le logiciel que vous voulez télécharger pourrait être soumis
à des redevances ou violer le droit d’auteur de tiers.
À propos de règles et de violation du droit d’auteur : écouter de la musique ou regarder des vidéos
pendant la journée ne concerne que vous et votre superviseur. En revanche, le partage de vidéos,
musiques ou logiciels en utilisant le protocole BitTorrent ou autre, rime souvent avec violation du
droit d’auteur et est donc interdit. Le CERN reçoit régulièrement des plaintes de la part
d’entreprises gérant des droits d’auteur, et si vous ne voulez pas avoir à payer des frais en cas
d’infraction, vérifiez bien que vous possédez en toute légalité cette vidéo, cette musique ou ce
logiciel, et que toute application de partage (par exemple via le protocole BitTorrent) est
désactivée. Sachez également qu’il existe aussi un Code de conduite au CERN et des règles
informatiques. Ces dernières stipulent que l’utilisation à des fins personnelles des installations
informatiques du CERN est tolérée, tant que l’impact sur les installations est minime, que l’activité
est légale et non offensante, et n’a pas de caractère commercial. Notez que le fait de se rendre sur
des sites pornographiques est considéré comme inapproprié. Si vous voulez vous éviter une
discussion embarrassante avec l’équipe de la Sécurité informatique, abstenez-vous.

1
Le catalogue complet de ces services est disponible à cette adresse.
156 | P a g e
Enfin, pensez à vos ordinateurs, au CERN et chez vous : assurez-vous de leur « bonne santé ».
Donnez-leur la possibilité de se mettre à jour (activez les mises à jour automatiques Windows, les
mises à jour logiciel Mac ou « yum auto-update » pour Linux), et installez gratuitement une solution
anti-virus digne de ce nom pour votre ordinateur Windows ou Mac ! Faites attention quand vous
naviguez sur internet. Les apparences sont parfois trompeuses et l’infection de votre ordinateur
pourrait nécessiter une réinstallation complète. Alors, en cas de doute, arrêtez-vous, réfléchissez
et ne cliquez pas! Bonne chance et bon été !!!

Règles informatiques : permis ou pas ? (2018)

[Link]
what-isnt
Le CERN a toujours attaché une grande valeur à sa liberté académique, à son caractère international
et à son ouverture, et c’est dans cet esprit qu’il accueille des personnes venues du monde entier,
en leur donnant la possibilité de sortir des sentiers battus, en encourageant la créativité et en
évitant de poser des barrières. C’est grâce à cet environnement ouvert et libre que nous sommes à
même de scruter les énigmes de la nature, de chercher à comprendre l’Univers et ses lois, et de
faire progresser la recherche fondamentale et la technologie. Cet environnement d’ouverture et de
recherche est essentiel pour le fonctionnement du CERN, mais il ne peut néanmoins pas être
totalement exempt de règles.
Les règles peuvent parfois être irritantes, mais elles sont indispensables au bon fonctionnement
d’une organisation telle que le CERN. Certaines règles sont imposées à l’Organisation par les États
hôtes, par exemple en matière de sécurité et de protection contre les rayonnements; d’autres sont
un moyen essentiel de préserver l’indépendance de l’Organisation. Enfin, il existe des règles
élaborées par l’Organisation elle-même afin de permettre une entente paisible et cordiale à
l’intérieur de la communauté de la recherche et, plus généralement, entre les gens. Au CERN, les
Statut et Règlement du personnel, les règles subsidiaires que sont les circulaires administratives et
les circulaires opérationnelles ainsi que le Code de conduite constituent le cadre officiel et juridique
du fonctionnement efficace de l’Organisation : conditions d’emploi et horaires de travail,
traitements et prestations, conditions de travail et règles de sécurité, droits d’accès et systèmes de
contrôle, ainsi que les mesures à prendre dans les cas de problèmes d’alcoolisme, de harcèlement
ou de fraude.
L’utilisation des installations informatiques du CERN est régie par les Règles informatiques du CERN,
énoncées dans la Circulaire opérationnelle n° 5, qui couvre aussi les réseaux avec fil et sans fil et
tous les appareils connectés à ceux-ci, les services relevant du centre de calcul et les systèmes,
données et applications qui y sont hébergés, les nœuds et les grappes de stockage pour le
traitement des données, ainsi que les dispositifs numériques et connectés faisant partie du
complexe d’accélérateurs ou des expériences. Là encore, la liberté académique s’impose, et c’est
pourquoi l’utilisation des installations informatiques à des fins personnelles est tolérée à condition
« qu’elle soit conforme à la Circulaire opérationnelle n°5 et ne porte pas atteinte à des tâches
officielles, y compris celles d’autres utilisateurs ; que sa fréquence et sa durée soient limitées et
qu’elle n’entraîne qu’une utilisation négligeable des ressources du CERN ; qu’elle ne relève pas
d’une activité politique, commerciale et/ou à but lucratif ; qu’elle ne soit pas contraire à la
bienséance ou à la décence ; qu’elle n’enfreigne pas les lois applicables. » Comme on le voit, que
ce soit en ligne ou non, si vous êtes au CERN vous devez respecter le caractère professionnel de

157 | P a g e
l’environnement et vous comporter en conséquence. Le mandat du délégué à la sécurité
informatique du CERN est de protéger les activités et la réputation de l’Organisation contre toute
cybermenace; à cette fin, il est impératif de vérifier que les règles correspondantes sont appliquées.
Comme l’explique l’article du Bulletin intitulé « Une surveillance transparente pour votre
protection », des mesures ont été prises pour valider automatiquement la conformité des activités
personnelles et professionnelles avec la Circulaire opérationnelle n° 5 et son annexe « Règles pour
l’utilisation à des fins personnelles ». Il s’agit généralement de dispositifs intégrés dans nos
systèmes de connexion et de contrôle pour la détection des intrusions, des attaques et des actes
de malveillance, venant de l’intérieur ou de l’extérieur du CERN et visant les installations
informatiques du CERN ; ce point est traité de façon relativement détaillée dans le document relatif
à la politique de confidentialité. Cependant, en sus de nos outils automatiques, l’équipe de la
sécurité informatique du CERN surveille toute activité suspecte signalée par le personnel du CERN,
par les utilisateurs, ou par des tiers extérieurs à l’Organisation (par exemple des universités, des
sociétés de sécurité informatique, des personnes qui font partie de notre réseau de sécurité
informatique, des organismes officiels et la police). Nous nous efforçons de maintenir un accès libre
à l’Internet (y compris pour l’utilisation à des fins personnelles), mais nous pouvons, dans certains
cas rares, bloquer l’accès, par exemple à des sites web hébergeant des contenus malveillants
(contenu propageant des infections lors de la navigation, pages d’hameçonnage imitant le CERN)
ou d’autres types de contenus clairement illégaux. Sachez cependant que vous restez responsable
de vos parcours de navigation sur le web ; le fait que vous puissiez accéder à un site web ne signifie
pas que ce site soit légal ou que sa consultation soit acceptable aux termes de la Circulaire
opérationnelle n° 5.
Par conséquent, abstenez-vous de toute utilisation inappropriée ou illégale des installations
informatiques du CERN, des ordinateurs personnels, portables, etc. du CERN et de tout réseau
appartenant au CERN. Par exemple, veillez à ne pas consulter ou télécharger des contenus
inappropriés (voir « Du bon usage des ordinateurs publics »), ne publiez pas de messages
commerciaux sur des pages web du CERN, ne faites pas de minage de crypto-monnaies, car les
ressources (électricité, cycles des processeurs, etc.) sont requises par le CERN à d’autres fins (voir
« Attention à la puissance de calcul »), ne partagez pas de la musique, des vidéos ou des logiciels si
vous n’avez pas les autorisations requises (voir « Musique, vidéos et risques »). Si vous ne respectez
pas ces consignes, vous devez savoir que les abus virtuels peuvent être détectés, signalés et avoir
des conséquences dans la vie réelle (voir « Abus virtuel, conséquences réelles »)...

Etudiants d’été, attendez une minute! (2017)

[Link]
minute
L’été est arrivé... et avec lui les étudiants d’été 2017. Bienvenue au CERN ! Vous avez devant vous
deux mois remplis de cours exceptionnels, de projets remplis de défis, de possibilités d’étendre
votre réseau de contacts... et d’occasions de vous amuser ! Afin de s’assurer que votre plaisir dure
jusqu’à la fin de l’été, voici quelques recommandations de l’équipe de sécurité informatique du
CERN pour vous et votre superviseur.
Le CERN fonctionne avec un environnement informatique ouvert, probablement similaire à celui de
votre université. Vous pouvez apporter vos propres ordinateurs, tablettes et smartphones et les
connecter à notre intranet. Une adresse électronique CERN vous sera attribuée. Vous pouvez écrire

158 | P a g e
et publier une page web personnelle hébergée par le CERN. Vous pouvez instancier des machines
virtuelles et créer votre propre projet à votre guise. Beaucoup de liberté, beaucoup de flexibilité...
mais le CERN n’est pas pour autant le Far West. Sachez que le CERN possède un ensemble de règles
informatiques qui définissent les limites de votre liberté et de notre flexibilité : celles-ci s’arrêtent
habituellement au moment où le fonctionnement et la réputation de l’Organisation sont en jeu.
Ainsi, naviguer sur des sites web offrant des contenus illégaux, contraires à l’éthique ou offensants
est interdit. Cela inclut les contenus pornographiques. Utiliser illégalement des logiciels ou utiliser
des licences informatiques piratées sur l’un de vos ordinateurs ou sur un ordinateur que vous
utilisez est aussi interdit. Des violations de ces règles ont, par le passé, eu des conséquences non
négligeables pour le CERN (voir notre article « Avez-vous 30000 CHF à perdre ? » ). De manière
similaire, ne partagez pas sur le réseau du CERN de la musique, des vidéos, des films, des jeux ou
des logiciels sous droits d’auteur avec vos collègues, vos amis, ou encore votre famille. Le partage
de tels fichiers est considéré comme une violation du droit d’auteur dans différents pays européens,
y compris les pays hôtes du CERN, et peut nuire à notre réputation (voir notre article « Musique,
vidéos et risques » ). Enfin et surtout, aucune activité politique, commerciale ou à but lucratif, si
elle n’est pas liée à vos fonctions au CERN, ne peut avoir lieu sur le réseau du CERN, ni ne peut
utiliser les ressources du CERN (adresse électronique, sites web, etc.). Soyez simplement
raisonnable !
Si vous travaillez sur un projet lié à l’informatique, au moins en partie, par exemple avec du
développement logiciel, le design de pages web, la mise en place d’une base de données, essayez
de ne pas réinventer la roue. Nous avons vu bien trop de travaux brillants disparaître, laissés à
l’abandon après le départ de leurs créateurs. Donc, si vous travaillez sur un projet de
développement logiciel, commencez par suivre les cours appropriés pour que votre code soit
exempt de bugs et de vulnérabilités qui pourraient mettre en péril ses fonctionnalités. S’il vous est
demandé de mettre en place une base de données ou un site web, regardez d’abord du côté des
services proposés par le département IT du CERN (le catalogue complet de ces services est
disponible ici). Il existe un service de base de données à la demande ainsi que différents services
web. Plus besoin de vous embêter avec les problèmes matériels, le système d’exploitation ou
encore les serveurs web : créez simplement vos pages web ! Notez aussi qu’utiliser des services
externes (par exemple un hébergement web en dehors du CERN) n’est pas recommandé du point
de vue de la sécurité informatique. Si vous avez un doute ou que vous avez besoin d’aide pour
concevoir et structurer la partie informatique de votre projet, contactez-nous à l’adresse
[Link]@[Link]. Pour ceux d’entre vous qui s’investissent dans les simulations
mathématiques, les tâches d’ingénierie ou la conception de systèmes de contrôle, le CERN peut
vous fournir gratuitement tout un ensemble d’applications d’ingénierie. Vous n’aurez
probablement pas besoin de télécharger de logiciels supplémentaires sur internet, mais si tel devait
être le cas, contactez [Link]@[Link] : le logiciel que vous voulez télécharger pourrait
être soumis à des redevances ou violer le droit d’auteur de tiers. Gardez ces quelques principes de
base en tête et profitez de votre été au CERN !

Abus virtuel, conséquences réelles (2017)

[Link]
consequences
L'environnement « académique » du CERN offre une grande liberté pour la recherche et le
développement. On oublie parfois que « liberté » et contexte « académique » ne sont pas
159 | P a g e
synonymes de « permissivité totale », et qu'un comportement inapproprié, voire illégal, ne sera pas
sans conséquence.
Les règles informatiques du CERN, énoncées dans la Circulaire opérationnelle n° 5, sont dictées par
le bon sens et s'appliquent à toute personne utilisant les installations informatiques du CERN :
membres du personnel, utilisateurs, étudiants, sous-traitants, visiteurs, etc. Leur contenu est
simple. Tout ce que vous ne feriez normalement pas dans un lieu public, tout comportement
manifestement illégal, offensant, inapproprié ou immoral n'a pas lieu d'être au CERN. Consulter des
sites pornographiques est un exemple parmi d'autres. Que ce soit dans votre bureau ou sur un
écran en accès public, il s’agit là tout simplement d’un agissement indécent dans un cadre
professionnel, qui a déjà constitué un motif de résiliation de contrat, voire d'interdiction d'accès au
domaine pour certaines personnes. (Voir aussi l'article du Bulletin « Du bon usage des ordinateurs
publics »).
La diffusion de contenus qui présentent l’Organisation de manière négative (ou, pour reprendre les
termes des Statut et Règlement du personnel, qui sont de nature à « porter un préjudice matériel
ou moral à l'Organisation ») est tout aussi inappropriée. Par exemple, partager sur les réseaux
sociaux un contenu inapproprié lié au CERN ou filmé sur son domaine peut susciter des réactions
négatives dans les médias et ainsi porter atteinte à la réputation du Laboratoire. Il est arrivé par
exemple qu'une activité de ce genre demande à l'Organisation de mobiliser d'importantes
ressources pour faire face aux conséquences médiatiques et mettre en place les procédures de suivi
internes qui s'imposaient. Les sanctions disciplinaires ont été prises en collaboration avec les
instituts d'origine des personnes concernées.
Les violations du droit d'auteur et de licences ne sont pas non plus prises à la légère. Une étudiante
s'est trouvée dans une situation bien délicate après avoir téléchargé un logiciel depuis un portail
web douteux, exécuté ce logiciel sans licence valide et envoyé une demande de support en utilisant
le compte CERN de son professeur. L'étudiante a été démasquée par l'entreprise qui commercialise
le logiciel, qui a envoyé la facture pour atteinte à ses droits de propriété intellectuelle au CERN,
lequel l'a transmise à son tour à l'université concernée.
Quand vous utilisez les ressources informatiques du CERN, faites preuve de bon sens. Les
installations informatiques du CERN sont destinées uniquement à un usage professionnel. Si une
activité privée modérée est tolérée (navigation web privée occasionnelle, hébergement de pages
web privées ou activité pour un club du CERN), tout abus sera puni. Vous pensez que miner d es
bitcoins au CERN pour améliorer votre retraite est une bonne idée? Réfléchissez bien! Même si
utiliser la Grille de calcul mondiale pour le LHC pour miner des bitcoins peut sembler tentant, des
règles très strictes sont en vigueur, et les services de sécurité informatique en assurent en
permanence le respect. Toutes les infractions sont systématiquement signalées et font l'objet d'un
suivi. Une personne au moins a cherché à exploiter les ressources du CERN pour créer des bitcoins.
Elle voulait créer de la monnaie virtuelle gratuitement, et en faire supporter les coûts à la
communauté du CERN. Résultat: une enquête officielle.
Mais l'infraction la plus grave, que personne ne peut prétendre trouver acceptable, est le sabotage.
Pirater l'ordinateur d'un collègue pour fausser ses analyses ou supprimer des données est tout à
fait insensé et condamnable. Introduire des portes dérobées dans les services informatiques du
CERN pour pouvoir les utiliser après son départ de l'Organisation l'est tout autant. À chaque fois,
les personnes incriminées ont été remerciées par le CERN ou leur nouvel employeur.

160 | P a g e
Ces exemples ne sont pas destinés à vous faire peur. Nous voulons simplement vous rappeler que,
dans le cadre de votre travail au CERN, vous devez respecter certaines règles, en premier lieu les
Statut et Règlement du personnel, les circulaires administratives et opérationnelles, ainsi que le
Code de conduite du CERN. Ces règles existent pour vous protéger et vous offrir un lieu de travail
où règne le respect. L'utilisation des installations informatiques du CERN est régie par la Circulaire
opérationnelle n° 5, qui vise à protéger l'Organisation, et donc à vous protéger, ainsi que vos
données et votre travail de tout problème portant atteinte au fonctionnement ou à la réputation
de l'Organisation. Si vous ne l'avez pas déjà fait, prenez connaissance des règles de sécurité
informatique et suivez-les!

Du bon usage des ordinateurs publics (2017)

[Link]
browsing
Des ordinateurs sont mis à la disposition du public dans différents lieux du CERN pour que chacun
puisse accéder aux sites web de l'Organisation et à ses autres services informatiques même s'il n'a
ni ordinateur, ni tablette ni smartphone sous la main. Certains sont situés dans la bibliothèque du
Laboratoire ou devant le Bureau des utilisateurs ; d'autres ont été installés dans les salles de
conférence et le centre de formation. Dans tous les cas, il s'agit d'ordinateurs publics situés dans
des lieux publics.
Nous avons reçu ces derniers mois plusieurs plaintes en raison de l'utilisation inappropriée de
certains de ces ordinateurs, notamment pour consulter des sites pornographiques. Rien, sur le plan
professionnel, ne justifie la consultation de ce genre de sites. Il s'agit là d'une violation des règles
informatiques du CERN et de la politique relative à l'utilisation des installations informatiques du
CERN à des fins personnelles. Pire encore, ces sites ont été consultés dans des lieux publics à la vue
de toute personne passant à proximité, y compris des écoliers et des jeunes enfants, qui auraient
pu se sentir embarrassés ou être terriblement choqués ! C'est d'ailleurs la principale raison pour
laquelle nous avons reçu des plaintes.
Aussi, lorsque vous utilisez les ordinateurs publics du CERN, veuillez respecter les règles en vigueur.
Imaginez votre gêne si on vous surprenait ou si vous receviez un avertissement de notre part. Cela
vaut pour toute navigation à des fins privées (consulter vos relevés bancaires en ligne, lire vos
emails ou suivre vos amis sur Facebook). Cet avertissement vaut également pour l'utilisation de vos
ordinateurs portables et tablettes dans des lieux publics tels les restaurants et les cafétérias.
Consulter des sites pornographiques sur votre ordinateur professionnel constitue également une
violation des règles informatiques du CERN.

Etudiants d’été ? Quelques recommandations de

bienvenue (2016)
[Link]
Bienvenue au CERN ! Durant les semaines à venir, vous allez pouvoir vous imprégner de l’esprit
académique libre du CERN. Vous aurez la possibilité d’apprendre à travers des cours approfondis,
de travailler sur votre sujet de recherche préféré ou sur celui qui vous aura été attribué, et de tisser
votre propre réseau professionnel au cours de soirées. Cependant la « liberté académique », si

161 | P a g e
chère au CERN, ne veut pas dire qu’il n’existe aucune limite. Au CERN, cette liberté s’accompagne
de responsabilités. Vous trouverez ci-dessous quelques conseils pour pouvoir les assumer au mieux
et en toute sécurité.
Vous êtes le principal responsable de la sécurité informatique de vos ordinateurs portables,
smartphones et ordinateurs de bureau, de votre compte informatique et de son mot de passe, de
vos données, et des programmes, systèmes et services informatiques que vous développez. Dès
lors : prenez le temps de réfléchir avant d’agir. Si vous travaillez sur un projet de développement
logiciel, commencez par suivre les cours appropriés pour que votre code soit exempt de bugs et de
vulnérabilités qui pourraient mettre en péril ses fonctionnalités. S’il vous est demandé de mettre
en place une base de données ou un site web, regardez d’abord du côté des services proposés par
le département IT du CERN1 : il existe un service de base de données à la demande ainsi que
différents services web. Plus besoin de vous embêter avec les problèmes matériels, le système
d’exploitation, les serveurs web, etc. : créez simplement vos pages web ! Notez aussi qu’utiliser des
services externes (comme par exemple un hébergement web en dehors du CERN) n’est pa s
recommandé du point de vue de la sécurité informatique. Si vous avez un doute ou que vous avez
besoin d’aide pour concevoir et structurer la partie informatique de votre projet, contactez -nous
via [Link]@[Link]. Pour ceux d’entre vous qui s’investissent dans les simulations
mathématiques, les tâches d’ingénierie ou la conception de systèmes de contrôle, le CERN peut
vous fournir gratuitement tout un ensemble d’applications d’ingénierie (voir la liste complète ici).
Vous n’aurez probablement pas besoin de télécharger des logiciels supplémentaires sur internet,
mais si tel devait être le cas, contactez [Link]@[Link] : le logiciel que vous voulez
télécharger pourrait être soumis à des redevances ou violer le droit d’auteur de tiers.
À propos de règles et de violation du droit d’auteur : écouter de la musique ou regarder des vidéos
pendant la journée ne concerne que vous et votre superviseur. En revanche, le partage de vidéos,
musiques ou logiciels en utilisant le protocole BitTorrent ou autre, rime souvent avec violation du
droit d’auteur et est donc interdit. Le CERN reçoit régulièrement des plaintes de la part
d’entreprises gérant des droits d’auteur, et si vous ne voulez pas avoir à payer des frais en cas
d’infraction, vérifiez bien que vous possédez en toute légalité cette vidéo, cette musique ou ce
logiciel, et que toute application de partage (par exemple via le protocole BitTorrent) est
désactivée. Sachez également qu’il existe aussi un Code de conduite au CERN et des règles
informatiques. Ces dernières stipulent que l’utilisation à des fins personnelles des installations
informatiques du CERN est tolérée, tant que l’impact sur les installations est minime, que l’activité
est légale et non offensante, et n’a pas de caractère commercial. Notez que le fait de se rendre sur
des sites pornographiques est considéré comme inapproprié. Si vous voulez vous éviter une
discussion embarrassante avec l’équipe de la Sécurité informatique, abstenez-vous.
Enfin, pensez à vos ordinateurs, au CERN et chez vous : assurez-vous de leur « bonne santé ».
Donnez-leur la possibilité de se mettre à jour (activez les mises à jour automatiques Windows, les
mises à jour logiciel Mac ou « yum auto-update » pour Linux), et installez gratuitement une solution
anti-virus digne de ce nom pour votre ordinateur Windows ou Mac ! Faites attention quand vous
naviguez sur internet. Les apparences sont parfois trompeuses et l’infection de votre ordinateur
pourrait nécessiter une réinstallation complète. Alors, en cas de doute, arrêtez-vous, réfléchissez
et ne cliquez pas ! Bonne chance et bon été !!!

1
Le catalogue complet de ces services est disponible à cette adresse.
162 | P a g e
 « Hello World! » — Bienvenue au CERN (2015)
[Link]
Bienvenue dans l'environnement informatique ouvert, libre et gratuit du CERN. Maintenant que
vous êtes affilié au Laboratoire, vous pouvez avoir un compte informatique CERN, ce qui vous
permet d'enregistrer vos appareils - ordinateurs de bureau et portables, smartphones, tablettes -,
vous donne accès à un large espace de stockage, vous fournit une adresse électronique et vous
permet de créer des sites web, des machines virtuelles, des bases de données, etc.
Vous avez désormais accès à pratiquement tous les services informatiques mis à disposition par les
départements GS et IT : INDICO pour créer et gérer vos réunions et vos conférences, EDMS pour
obtenir l'approbation de vos spécifications techniques, Twiki pour collaborer avec vos collègues, ou
encore la grille de calcul WLCG, etc.
« Ouvert, libre et gratuit » ne veut cependant pas dire que vous pouvez faire tout ce que vous
voulez. Bien que nous essayions de rendre l’accès aux services informatiques du CERN aussi simple
et pratique que possible, il existe quelques règles et limites qu’il convient de respecter, afin de
protéger la réputation et les installations informatiques du CERN, y compris votre compte
informatique, vos appareils, vos données et vos documents.
De votre compte informatique CERN découlent plusieurs responsabilités. Vous êtes la première
personne responsable de la sécurisation et de la protection de votre compte, de vos appareils, de
vos données et des services ou systèmes que vous gérez. Vous êtes également tenu de respecter
les règles informatiques du CERN, qui, pour vous, sont censées être suffisamment légères pour ne
pas gêner votre travail et, pour nous, suffisamment larges pour que nous puissions remplir notre
mandat : protéger le fonctionnement et la réputation de l'Organisation.
Souvenez-vous de vos principales responsabilités:
 Protégez vos ordinateurs. Soyez responsable quand vous les utilisez et gardez-les toujours
à jour. « Windows Update », « Apple Update », « Yum autoupdate » sont vos amis : activez-
les et laissez-les tourner en arrière-plan. Pour Windows ou MacOS, vous pouvez même
obtenir gratuitement un antivirus de la part du CERN, pour votre usage professionnel mais
aussi chez vous ! Pour plus de détails, cliquez ici.
 Restez prudent sur le web et lorsque vous consultez vos courriels. Réfléchissez avant de
cliquer sur n’importe quel lien. Si vous ne connaissez pas son origine ou qu’il ne vous inspire
pas confiance, abstenez-vous de cliquer, car votre ordinateur pourrait se faire infecter. Il
en va de même pour les programmes, « add-ons » ou « plugins » que vous téléchargez sur
internet et installez sur votre système : vous devez avoir confiance en leurs sources - et
même ainsi, vous pourriez compromettre votre ordinateur. Aussi, abstenez-vous d'ouvrir
les pièces jointes de courriels qui ne vous semblent pas destinés (adressés à quelqu'un
d'autre ou provenant d’un contact inconnu), ou qui vous paraissent louches (rédigés dans
une autre langue, contenant des erreurs typographiques ou factuelles, ou qui ne
proviennent pas du domaine ou de l'adresse habituelle de votre contact, etc.).
 Protégez votre mot de passe. Votre mot de passe est le vôtre et uniquement le vôtre. Ne le
communiquez à personne, même s'il s'agit de votre superviseur, du Service Desk ou de
l'équipe de la sécurité informatique. Traitez-le avec autant de précaution que le code de
votre carte bancaire. Soyez inventif : utilisez un mot de passe complexe qui ne peut pas
être deviné facilement. Les mots du dictionnaire ne vous aideront pas, mais, en revanche,

163 | P a g e
 les formules mathématiques peuvent vous donner des idées. Vous trouverez tous nos
conseils ici.
 Protégez vos fichiers et vos données : le monde entier s’intéresse au CERN. Si vous travaillez
sur des données sensibles ou à accès restreint, assurez-vous que seules les personnes ayant
besoin de les consulter y ont accès. Si vous tenez à votre vie privée, faites-en sorte aussi
que vos documents personnels soient protégés correctement. Tous les grands systèmes de
stockage du CERN (AFS, Alfresco, CDS, DFS, EDMS, INDICO, Sharepoint) ont des paramètres
de contrôle et de restriction d'accès. Certains documents, par exemple dans les espaces de
travail AFS, peuvent être publics par défaut ! Lisez la politique de protection des données
du CERN pour plus de détails.
 Respectez les droits d’auteur. Les violations de licences et de droits d’auteur sont des délits
et sont susceptibles d’entacher la réputation et l’intégrité du CERN. Vérifiez que vous avez
le droit d'utiliser tous les logiciels installés sur votre ordinateur. En cas de doute, vérifiez
leur provenance. Sachez que la responsabilité financière liée à une violation de droits
d’auteur peut vous être entièrement transférée. Le montant que vous pourriez avoir à
payer peut facilement atteindre la valeur d'une voiture !
 Suivez les règles informatiques du CERN (consultables ici). Agissez de manière raisonnable
: ne soyez pas agressif, violent, raciste, discriminant ou injuste ! Sachez que le CERN tolère
l'utilisation de ses infrastructures informatiques pour des activités privées, tant que celles-
ci ne sont pas de nature politique ou commerciale, ou illégale. Enfin, abstenez-vous d’aller
sur des sites pornographiques. Sans parler de l'impact que cela pourrait avoir sur la
réputation de l'Organisation, pensez au malaise que cela provoquerait si quelqu'un vous
surprenait, ou si nous devions vous envoyer un courriel vous demandant de justifier vos
pratiques.
Enfin, souvenez-vous que ces règles simples vous permettent de travailler en toute sécurité sur
votre ordinateur, au CERN, mais aussi chez vous. De même que vous faites attention à votre
sécurité dans le monde réel (lorsque vous interagissez avec quelqu’un, en traversant la rue, ou
en conduisant une voiture), faites-y aussi attention dans le monde virtuel, lorsque vous
échangez des courriels, naviguez sur internet ou utilisez des logiciels.

Au nom du CERN (2015)

[Link]
Cet été, le site de rencontre américano-canadien Ashley Madison a été piraté (voir ici) par un
groupe de « hackers » qui a réussi à récupérer une quantité impressionnante d'informations
confidentielles : adresses postales, dates de naissance, adresses électroniques, origines ethniques,
genres, noms, mots de passe, historiques de paiement, numéros de téléphone, questions de
sécurité, préférences sexuelles, noms d'utilisateur, activités sur le site web...
Dans un premier temps, les pirates informatiques ont voulu faire chanter Ashley Madison en
l’enjoignant de fermer ses portes. Leur chantage ayant échoué, ils ont finalement rendu leurs
trophées de guerre publics sur internet : plus de 30 millions d’adresses électroniques ! Un eldorado
pour les malfaiteurs !
Que peuvent-ils en faire ? Certains essaieront peut-être de faire chanter les personnes dont
l’adresse électronique a été rendue publique en les menaçant de révéler leur infidélité à leur
conjoint (« Donnez-moi tant d’argent ou je dirai à votre époux/épouse que vous étiez à la recherche
164 | P a g e
d'une liaison amoureuse »). D'autres pourraient cibler les personnes ayant utilisé leur adresse
électronique professionnelle. Un certain nombre d'adresses étaient en effet liées à des
organisations gouvernementales (« Donnez-moi le document X, donnez-moi accès à Y ou je dirai à
votre supérieur/la presse à quelles activités vous vous adonnez au bureau »). La liste piratée
contenait six adresses électroniques appartenant à certains de nos collègues, dont trois étaient
encore valides. Le piratage a même fait l’objet d’un reportage vidéo (voir plus particulièrement à
1'19") de la Radio Télévision Suisse.
Et il ne s'agit pas de la première fuite de la sorte ! Adobe a perdu plus de 150 millions de comptes
accompagnés de leurs mots de passe chiffrés (qui ont rapidement été déchiffrés). Adult Friend
Finder a perdu les informations de quatre millions de ses utilisateurs en mai dernier. Les
coordonnées des clients français et belges de Domino’s Pizza ont été publiées après une tentative
de chantage ratée. Le site du magazine Forbes a été attaqué en 2014, exposant les comptes de plus
d'un million d'utilisateurs. YouPorn s'est fait voler 26 000 adresses électroniques et les mots de
passe associés.
Et ce n’est pas non plus la première fois que l'on retrouve des adresses électroniques du CERN dans
de telles listes1. Cela soulève la question suivante : pourquoi utiliser votre adresse CERN pour une
activité qui relève de votre vie privée et qui n'a aucune relation avec votre travail au CERN… Bien
que le CERN tolère l'utilisation de ses ressources informatiques à des fins privées, il ne faut pas trop
tirer sur la corde... C'est pourquoi, si vous vous enregistrez sur des sites web ou des services en
ligne qui n'ont rien à voir avec votre activité au CERN, nous vous invitons à utiliser une adresse
électronique privée.

Publier à tort et à travers (2015)

[Link]
Voici ce qui peut arriver au CERN si vous ne verrouillez pas votre écran...
« Bonjour, je suis à la recherche d'un partenaire, homme ou femme, pour participer à des cours de
salsa. J'ai un corps superbe et j'aime le frotter contre les autres danseurs. J'envisage ensuite de
dîner avec la personne. Si vous pensez pouvoir me suivre et que vous aimez transpirer, envoyez-
moi un message. Restez sexy... »
Voici la traduction d'une annonce postée récemment sur la page web du CERN Market. Certains
trouveront ce message attrayant, d'autres amusant. Personnellement, je m'en fiche complètement.
Mais d'un point de vue professionnel, nous avons dû nous en préoccuper, car il peut paraître
inapproprié et, à ce titre, viole les conditions d'utilisation du CERN Market, ainsi que les règles
informatiques du CERN et l'annexe concernant l'usage à des fins privées des installations
informatiques du CERN.
Nous voudrions donc rappeler ici que le CERN Market est un site public qui peut être utilisé aussi
bien depuis le CERN que depuis l'extérieur. Toutes les publications sont visibles dans le monde
entier. Si l’annonce mentionnée ici est « limite », nous en avons vues, par le passé, qui auraient pu
avoir un impact négatif sur la réputation de l'Organisation, pour peu qu'un journaliste en manque
d'inspiration les ait repérées.

1
Si vous voulez savoir si votre adresse électronique (privée ou non) a été compromise, nous vous
recommandons ce site : [Link]
165 | P a g e
Si vous publiez régulièrement sur le CERN Market, si vous hébergez une ou plusieurs pages web au
CERN ou concernant le CERN, si vous publiez régulièrement des messages sur votre travail au CERN
ou votre opinion sur des problèmes rencontrés au CERN sur Twitter, Facebook..., veuillez s'il vous
plaît le faire avec bon sens : publiez de manière constructive, en respectant le Code de conduite du
CERN et les valeurs qui en sont à la base. Pour plus de détails, vous pouvez consulter le Guide
d'utilisation des réseaux sociaux du CERN.
Enfin, veuillez noter que l'utilisation du CERN Market est limitée aux ventes ou services privés. Les
offres de professionnels (dentistes, services de déménagement, etc.) ne sont pas autorisées et
seront rapidement supprimées.
N.B. : l’exemple cité est en réalité bien pire que cela… L’annonce s'est avérée être une « blague »
publiée sous le nom d'une personne du CERN par l’un de ses collègues. Cette personne avait négligé
une règle de base : toujours verrouiller son écran avec un mot de passe lorsqu’on quitte son bureau.
Son collègue en a profité - notez au passage deux violations supplémentaires des Règles
informatiques du CERN ! - ignorant les conséquences de son geste sur la réputation et l'état
psychologique de sa victime.

Médias sociaux — les bonnes pratiques (2014)

[Link]
Écrivez-vous fréquemment sur un blog? Envoyez-vous des tweets à propos de ce que vous venez
de faire? Animez-vous un profil Facebook? Faites-vous régulièrement des commentaires sur des
forums...?
Beaucoup d'entre nous le font. Les médias sociaux, i.e. Twitter, Facebook, les blogs et forums
publics, ainsi que les commentaires publics des sites web, sont aujourd'hui largement utilisés pour
l'échange d'informations, la sensibilisation et le contact avec le monde. Alors que vous pouvez faire
usage de ces médias à des fins multiples, les frontiètre privé et public, personnel et professionnel,
sont souvent floues.
Il n'est pas toujours facile de trouver le bon équilibre. En tant qu'animal social, vous voulez être
franc, ouvert, communicatif, et vous voulez partager vos connaissances, expériences, opinions,
sentiments, ainsi que la vie avec vos pairs.
Cependant, travaillant au CERN ou pour le CERN, vous ne pouvez pas agir totalement hors-cadre,
car vous devez respecter notre Code de conduite, nos Règles informatiques et, pour le personnel
du CERN, les Statut et règlement du personnel.
Par conséquent, si vos messages mentionnent le CERN ou en font référence, il est utile de vous
assurer que votre sujet, votre message et vos mots sont appropriés. Afin de vous guider, le groupe
Communication du CERN, le département HR, le Service juridique et l’équipe de Sécurité
informatique ont défini des lignes directrices sur la meilleure façon d'utiliser les médias sociaux,
pour votre bénéfice et celui de l'Organisation.
Ces lignes directrices s'appliquent à tous les contributeurs du CERN (i.e. les membres du personnel,
les stagiaires, les boursiers, les associés, les utilisateurs et les étudiants), qui commentent
professionnellement ou personnellement leurs activités au CERN en utilisant les médias sociaux.
Bien sûr, rien de très surprenant à cela. Ces lignes directrices rappellent simplement comment
poster de façon responsable, correcte, claire, raisonnable et, bien sûr, en votre nom.

166 | P a g e
Référez-vous avec prudence à des sources ou des produits externes, et respectez les règles du CERN
et sa réputation, ainsi que les concepts de vie privée, de confidentialité et de propriété
intellectuelle. Tout cela est énoncé de façon simple et claire dans ces lignes directrices. Jetez-y un
œil et profitez de vos activités de communication en ligne !

La bévue mise à nu (2013)

[Link]
Par le passé, nous avons publié divers articles sur une multitude d’aspects concernant la sécurité
informatique et les risques pour le CERN, ainsi que pour votre propre utilisation au CERN ou à la
maison. Certains étaient pertinents pour nous tous, d’autres, seulement pour une minorité. Cette
fois, nous voudrions aborder une question plutôt délicate et heureusement rare: la consultation de
sites web pornographiques et la raison pour laquelle elle est interdite au CERN.
10 000 personnes de cultures et de professions différentes travaillent au CERN, et ce, pendant ou
en dehors des heures de travail traditionnelles - sans compter celles qui séjournent dans un hôtel
du site. Il est naturel que les comportements, intérêts, perceptions et attitudes de chacun varient
significativement. Au CERN, nous tenons beaucoup à cette variété. À cet égard, le campus du
Laboratoire est comparable à une petite ville, et comme dans chaque petite ville, quelques citoyens
sont attirés par la pornographie.
Il n’est pas facile de trouver une définition commune de « pornographie ». Cela dépend de nos
racines culturelles, de nos valeurs et de l’environnement dans lequel nous vivons. Cela dit, si vous
avez un doute sur le fait que certaines pages web contiennent de la pornographie, il est préférable
de supposer que c’est effectivement le cas, et d’agir en conséquence.
La navigation sur des sites web pornographiques, le téléchargement, la capture ou le stockage de
vidéos et de photos pornographiques sont contraires aux valeurs du CERN et à son code de
conduite, et sont interdits par ses règles informatiques. La consultation de pages web pour «
adultes » n’est jamais une activité professionnelle; à la vue de celles-ci, certains collègues
pourraient être irrités, offensés ou choqués, et avoir la sensation d’être harcelés (voir la Circulaire
opérationnelle n° 9). Par ailleurs, visiter de tels sites et télécharger du contenu pornographique met
en danger votre ordinateur, les pages web en question et certains fichiers pouvant en effet contenir
des virus ou d’autres logiciels malveillants. Cela pourrait même constituer une violation des droits
d’auteur du propriétaire du contenu. Finalement, cela met l’Organisation en danger, car de telles
activités peuvent être surveillées par le propriétaire du site ou des tierces personnes (y compris
éventuellement des autorités nationales). Ce ne serait évidemment pas bon pour la réputation du
CERN, surtout si la liste des visiteurs de ces pages venait à être publiée, et que le nom « CERN » y
apparaissait.
Pour les mêmes raisons, l’incitation à la violence, à la discrimination, et au racisme, ainsi que toute
activité inappropriée ne sont pas tolérés. Épargnez-vous l’embarras de recevoir une notification de
la Sécurité informatique vous demandant de justifier (et éventuellement de cesser) une activité
interdite; ou pire, la possibilité d’une action disciplinaire contre vous. Abstenez-vous de regarder
des pages pornographiques et des contenus illégaux lorsque vous êtes connecté aux réseaux du
CERN, même si vous utilisez votre propre machine.

167 | P a g e
La « sécurité », c'est VOUS! (2012)
[Link]
Habituellement, les gens considèrent la « sécurité informatique » comme un problème technique:
pare-feu, détection d'intrusion, antivirus, chiffrement... Moi, non. Je considère que la sécurité
informatique, c'est comme nager ou traverser une route.
En général, vous ne pensez pas activement à votre sécurité. Vous faites seulement cela: vous
déplacez les bras et les jambes, ou vous regardez à « gauche-droite-gauche » (« droite-gauche-
droite » dans les pays du Commonwealth britannique ou au Japon). Cela a été imprimé en nous
pendant notre enfance... Et je crois que nous devrions parvenir à la même chose pour la sécurité
informatique!
Nous avons besoin d'un changement de mentalité, d'un état d'esprit nouveau. La sécurité
informatique commence avec le corps humain assis en face de l'écran, avec l'homme qui configure
un périphérique et la femme qui développe une application. La sécurité informatique est un
problème de personnes, et il peut être résolu uniquement par les gens, pas par la technique. Il est
de notre responsabilité de faire en sorte que notre système d'exploitation
Windows/Linux/Mac/iOS/Android soit régulièrement mis à jour. Il convient de rappeler que les
mots de passe sont personnels et ne doivent jamais être partagés. Nous devons protéger les fichiers
et les documents de manière adéquate. Et avant de créer des applications ou de configurer des
services informatiques, nous devons d'abord suivre une formation appropriée. Tout cela, bien sûr,
est indépendant du CERN et s'applique aussi à votre vie à la maison.
Ainsi, réservez une petite part de votre vie quotidienne à la sécurité informatique - comme nager
ou traverser la route. Je ne demande pas un gros investissement. Seulement, que vous utilisiez
l'informatique de manière sécurisée inconsciemment, à chaque fois que vous touchez un clavier,
une souris ou un écran tactile. Rappelons également que, dans l'environnement académique libre
du CERN, la sécurité informatique vous a été déléguée. Vous êtes, en première instance,
responsable de la sécurité informatique des ordinateurs portables, smartphones et PC que vous
utilisez, des comptes et mots de passe que vous possédez, des fichiers et documents que vous
détenez, des programmes et applications que vous avez installés, et en particulier, ceux que vous
avez créés, et des services informatiques et systèmes que vous gérez. L'équipe de sécurité
informatique est prête à vous aider à assumer cette responsabilité. Sinon, vous pouvez déléguer
cette responsabilité au département informatique qui fournit une multitude de services
informatiques sécurisés.
Au CERN ou à la maison, la sécurité informatique n'est pas complète sans VOUS!

Pourquoi la « sécurité » ce n'est pas MOI... (2012)

[Link]
Merci à tous pour vos commentaires sur notre dernier article du Bulletin intitulé « La sécurité, c'est
VOUS ! ». En effet, je peux confirmer que, au CERN, vous êtes responsables, en première instance,
de la sécurité informatique des ordinateurs portables, des smartphones et des ordinateurs que
vous utilisez, des comptes et mots de passe que vous possédez, des fichiers et documents que vous
détenez, des programmes et applications que vous avez installés ou que vous avez écrits, et des
services informatiques et systèmes que vous gérez. Dans l'environnement académique libre et

168 | P a g e
libéral du CERN, je décline, en tant que responsable de la sécurité informatique, cette responsabilité
générale.
Comment peut-on prendre la responsabilité de quelque chose que l'on ne contrôle pas ? À l'heure
actuelle, je ne contrôle pas le système d'exploitation que vous utilisez, les programmes et
applications que vous installez, les pages web que vous visitez, le logiciel que vous écrivez, les
fichiers et documents que vous créez, et les services informatiques que vous déployez. Vous
imposer et vous limiter à des solutions contrôlées serait en contradiction avec la liberté de travail
académique. Bien sûr, nous pouvons changer cela, mais j'aime aussi cette liberté académique au
CERN. Ce n'est donc probablement pas la bonne marche à suivre.
Au contraire, en effet, je considère que mon rôle se trouve dans la recherche d'un bon équilibre
entre liberté académique, besoins opérationnels de l'Organisation et sécurité informatique - et
vous devez assumer votre part dans cet équilibre. La sécurité informatique vous a été déléguée,
mais vous n'êtes pas seul. L'équipe de Sécurité informatique est prête à vous aider. Nous proposons
des formations, des conseils et des audits, des services de détection et de protection générale, ainsi
que l'appui d'une équipe informatique d'intervention d'urgence (CERT pour Computer Emergency
Response Team). Et il y a le département informatique ! Vous pouvez lui déléguer votre
responsabilité ; il fournit en effet une multitude de services informatiques sécurisés.
Prenez cela comme une offre pour 2013. Appréciez la fin de l'année et commencez la nouvelle
année en toute sécurité !

La sécurité a besoin de vous (2010)

[Link]
La liberté académique est un bien très précieux, mais, comme toute liberté, elle implique une
responsabilité.
Ici, au CERN, et dans la communauté mondiale de la physique des particules en général, nous
bénéficions d’un environnement ouvert, qui nous assure la liberté de choix et la liberté
d’expression. Tout cela correspond à une tradition forte au CERN, mais nous ne devons pas pour
autant prendre les choses à la légère. C’est particulièrement vrai dans le domaine de l’informatique,
car notre transparence et notre visibilité au niveau mondial font de nous une cible idéale. Des
attaques réalisées par le passé sur notre infrastructure informatique ont eu un effet néfaste sur
notre réputation, et nous ont même amenés à modifier la façon dont nous gérons nos services
informatiques.
C’est la responsabilité de chacun et chacune d’entre nous, et non pas simplement des experts du
département IT, de protéger notre infrastructure informatique, en trouvant un juste équilibre entre
la sécurité, la liberté académique et le fonctionnement harmonieux de nos outils. Toute personne
utilisant l’infrastructure informatique du CERN est responsable de la sécurité des ordinateurs
qu’elle utilise, des systèmes d’exploitation qu’elle a choisie, des applications qu’elle installe, des
programmes qu’elle écrit et des données qu’elle conserve. Pour ceux d’entre nous qui gèrent des
services et des systèmes informatiques, la responsabilité s’étend aussi aux services et systèmes
dont ils ont la charge.
Dans l’exercice de cette responsabilité, vous n’êtes pas livrés à vous-même : le département IT et
l’équipe chargée de la sécurité informatique sont là pour vous aider ; le présent numéro du Bulletin
vous en dira plus à ce sujet. Nous avons tous un rôle essentiel à jouer dans la protection de notre

169 | P a g e
liberté académique. Rester vigilant lorsqu’on utilise les infrastructures informatiques, et protéger,
de façon proactive, les ordinateurs et les données, constitue une part essentielle de cette
responsabilité. Au CERN, la sécurité repose en partie sur vous.

170 | P a g e
Divers
Espace numérique et théorie du carreau cassé (2018)
[to be published]
Connaissez-vous la théorie du carreau cassé ? D'après cette théorie, émise en 1982 par des
spécialistes des sciences sociales, la délinquance et les comportements antisociaux soient plus
présents dans des environnements où des incivilités – vandalisme, alcoolisation sur la voie
publique, resquillage – ont déjà créé une atmosphère de non-respect de la loi. Cette théorie a été
adoptée par la municipalité de New York, qui espérait faire baisser la délinquance en créant un
environnement urbain plus positif, qui conduirait à un plus grand respect de la loi. Nous devons
essayer d'appliquer la même théorie à l'organisation des services informatiques accessibles depuis
Internet.
L'essentiel des services informatiques au CERN sont gérés par nos collègues du département IT,
mais ce n'est pas la totalité. En complément des services proposés par IT, les utilisateurs peuvent
créer des services ouverts sur Internet. Par ailleurs, les expériences et le secteur des accélérateurs
exploitent également, de façon autonome, des services informatiques ouverts sur Internet.
L'équipe de la sécurité informatique surveille les ouvertures pratiquées dans le pare-feu extérieur
et évalue le niveau de risque avant d'autoriser toute ouverture nouvelle, mais il est très fastidieux
de maintenir ce niveau de sécurité pour tous les services ouverts. En effet, la sécurité informatique
est en évolution constante ce qui était sûr hier pourrait ne plus l'être demain (voyez les exemples
passés des vulnérabilités logicielles Shellshock et POODLE . De plus, selon le principe bien connu
« on ne touche pas à un système qui marche », la négligence s'installe et conduit à une dégradation
de la sécurité des services ouverts.
Quelques contrôles effectués récemment ont révélé des failles liées à l'exposition à Internet de
certains services informatiques du CERN. La sécurité de certains de ces services n'est plus
parfaitement assurée. Ainsi, on constate que certains certificats sont venus à expiration, ou sont
attribués de façon anarchique (par exemple auto-signés, ou sans chaîne de confiance) ; certains
canaux chiffrés utilisent des méthodes désormais dépassées ; parfois, les pages de renvoi sont
absentes ou le logiciel n'est plus à jour. Dans tous ces cas, les responsables des services
informatiques en question ont, naturellement, été alertés !
Cependant, comme à New York, un service dégradé constitue une incitation pour les malfaiteurs à
se livrer à leurs coupables activités. Nous devons donc veiller à la sûreté et au caractère
professionnel de notre présence sur Internet. Appliquons les méthodes éprouvées de la
municipalité de New York. Nous scrutons déjà le réseau pour repérer les pages web vulnérables et
les configurations dépassées, nous vérifions déjà si les ouvertures dans les pare-feu sont justifiées
et nous alertons les personnes responsables des services en question. Mais il faut faire plus.
Premièrement, nous devons envisager d'adapter les configurations par défaut concernant les
services générés de façon centrale afin d'améliorer le niveau de sécurité de la configuration de base.
Deuxièmement, nous demandons à tous les responsables de services informatiques, en particulier
si l'exploitation de ce service n'est pas leur tâche principale, de faire preuve de vigilance. Ne les
laissez pas se dégrader ! Veillez à faire les mises à jour et à vérifier régulièrement que les versions
installées sont les plus récentes. Vérifiez les certificats et veillez à les renouveler à temps. Prévoyez
une page de renvoi ou, si ce n'est pas possible, faites en sorte que les visiteurs soient redirigés vers
171 | P a g e
« [Link] ». Enfin, passez en revue toutes les ouvertures dans les pare-feu et, si elles ne sont
plus utiles, demandez-nous de les supprimer. Aidez-nous à éviter les carreaux cassés dans notre
espace numérique !

Prenez-la au sérieux (2018)

[Link]
Quand il est question de notre santé ou notre sécurité, nous mettons d'habitude tout en œuvre
pour nous prémunir contre les accidents, les maladies et les autres dangers. C'est un comportement
parfaitement naturel, puisque notre vie en dépend. Comment se fait-il alors que nombre de bonnes
pratiques sont négligées dans le monde virtuel, et que nous avons des pensées telles que « Je n'ai
rien à cacher » ou « Il ne va rien arriver »?
Dans le monde réel, nous prenons de nombreuses précautions de façon automatique et
systématique. Nous regardons à gauche et à droite avant de traverser une route, nous apprenons
à nager lorsque nous sommes enfants, nous ne sortons pas sans manteau en plein hiver, nous
portons un casque en allant faire du vélo et mettons des chaussures de sécurité et un harnais dans
les zones de construction (ce qui est d'ailleurs obligatoire dans certaines zones de travail au CERN).
Nous évitons de passer dans des ruelles sombres la nuit et n'acceptons pas de cadeaux de la part
d'inconnus. (Vous prendrez bien un carré de chocolat?) Nous fermons notre appartement et notre
voiture à clef, et nous gardons secrets nos codes PIN et nos numéros de cartes de crédit. Et si on
nous propose un modèle de voiture amélioré, qui augmente notre sécurité de peut-être 30 % grâce
à un système d'airbags novateur, ne sommes-nous pas enthousiastes à cette idée ?
Pourquoi sommes-nous plus laxistes dans le monde virtuel? Le sommes-nous vraiment? Comme
nous l'avons déjà souligné dans des éditions précédentes du Bulletin, notre vie virtuelle fait partie
intégrante de notre réalité. Nos smartphones et nos ordinateurs contiennent des photos, des
documents et des données sur nous et notre famille que nous ne souhaiterions montrer à personne,
même pas à nos amis les plus proches (Session ouverte, vie privée exposée). Si ces appareils étaient
piratés ou volés, nous nous retrouverions exposés (Smartphone perdu — votre vie privée avec). À
plus grande échelle, la vie de toute notre société est étroitement liée à des systèmes de contrôle
digitaux ou informatiques, et une défaillance de ces systèmes nous ramènerait presque à l'âge de
pierre (Notre vie en symbiose).
Pour assurer votre sécurité informatique, suivez quelques règles simples.
 Choisissez un mot de passe sûr. Certes, les règles concernant les mots de passe peuvent
être énervantes. Mais c'est pour l'heure notre meilleure protection. Après tout, nous
travaillons au CERN : nous sommes capables de créer des choses bien plus complexes que
des mots de passe ! (Faire confiance à sa mémoire ou à un gestionnaire numérique)
 Mettez votre téléphone et votre ordinateur à jour. Il n'y a rien de plus simple: des mises à
jour automatiques sont actuellement intégrées dans tous les systèmes d'exploitation. Tout
ce que vous avez à faire, c'est de ne pas les désactiver. Pour une protection supplémentaire,
installez un antivirus. Il ne vous protège pas de tous les dangers, mais refuseriez-vous le
système d'airbags novateur dont nous parlions tout à l'heure, qui vous apporte 30 % de
sécurité en plus ? (WannaCry? Pensez aux patchs! )

172 | P a g e
  Cryptez vos disques durs. Les ordinateurs portables peuvent être perdus ou volés. Crypter
votre disque permet au moins que les données qui y sont stockées ne puissent pas en être
extraites (Voyages: quelques recommandations).
 Rappelez-vous : s'arrêter – réfléchir – ne pas cliquer. Si vous avez des doutes quant à
l'origine d'une adresse sur le web, d'un lien ou d'un URL, ne cliquez simplement pas dessus.
Si vous recevez un courriel suspect avec une pièce jointe, méfiez-vous. N’ouvrez la pièce
jointe que si vous faites confiance à l'expéditeur et que vous attendiez ce courriel (Un clic
et patatras...).
Enfin, rappelez-vous que vous n'êtes pas seul. Nous sommes là pour vous aider. Si vous avez des
questions à poser ou des suggestions à faire, visitez notre site ou contactez-nous à
l’adresse [Link]@[Link].
Prenez soin de vous, dans le monde réel comme dans le monde numérique, et passez une année
2018 en toute sécurité!

Et dans la vie réelle ? (2017)

[Link]
Pourquoi n'applique-t-on pas les correctifs sur les ordinateurs ? Pourquoi égare-t-on encore les
mots de passe? Pourquoi continue-t-on à ouvrir des pièces jointes malveillantes ? Pourquoi
n'utilise-t-on pas systématiquement le cryptage? La difficulté à comprendre la sécurité
informatique vient-elle principalement du fait que celle-ci n'est pas tangible ? En effet, elle est
impalpable; inodore; inaudible. Si l'on peut toucher, sentir et entendre son ordinateur ou son
téléphone, on ne peut en faire de même avec les applications ou avec les données. La sécurité
informatique est de ce fait un concept abstrait, facile à ignorer, que l'on oublie dès que l'on se
concentre sur autre chose.
Dans le monde réel, nous avons pris l'habitude de nous comporter de manière à ne pas nous mettre
en danger. Nous fermons notre maison à clef et ne laissons pas les fenêtres ouvertes en partant en
vacances. Si une fenêtre ou la serrure d'une porte sont cassées, nous les réparons. Si un tiers nous
demande le code PIN de notre carte bancaire, nous lui disons d'aller voir ailleurs. Il en va de même
si un inconnu nous demande de traverser la frontière avec dans notre poche un sachet de poudre
blanche qu'il nous a donné: nous lui refusons ce service et nous éloignons. Et il va de soi que nous
ne crions pas sur tous les toits les détails de notre vie privée, tels que récents problèmes familiaux,
maladies ou aventures amoureuses.
Nous stockons cependant beaucoup de valeurs (numériques) dans nos ordinateurs : informations
bancaires, correspondance privée, photos et vidéos de famille. Certaines personnes rendent toute
leur vie accessible à travers leur ordinateur (voir article du Bulletin « Session ouverte, vie privée
exposée »), mais ont de la peine à appliquer les mesures de sécurité informatique les plus simples.
Certaines autres répondent à des courriers électroniques reçus de la part d'inconnus, même si le
contexte est inhabituel et le message parfois rédigé dans une langue étrangère, voire fournissent
leur identifiant Apple, les détails de leur compte Office 365 ou leur mot de passe du CERN. Certes,
elles ne donnent pas leur code PIN. Mais les courriers électroniques de ce genre sont semblables à
n'importe quelle interaction non sécurisée avec des inconnus. Seul le contexte rend (ou non) la
personne et la conversation avec elle fiable et digne de confiance. Il en va de même pour les liens
hypertextes : tout segment bleu souligné redirigeant vers une page web n'est rien d'autre qu'un
potentiel « sachet de poudre blanche » offert par un inconnu. Seul le contexte nous indique s'il est
173 | P a g e
digne de confiance ou malveillant. Qui plus est, lorsqu'on n'utilise pas les canaux cryptés (tels que
HTTPS, SSH ou VPN), toute la communication numérique devient publique, qu'on parcoure le web,
qu'on poste sur Facebook ou qu'on lise ses courriers électroniques. Communiquer de façon non
cryptée, c'est crier nos informations à ceux qui veulent nous écouter.
Pensons donc un peu plus au monde réel. Pensons à la manière dont nous protégeons nos valeurs
tangibles. Pensons aux codes PIN, aux sachets donnés dans des ruelles sombres, à la manière dont
nous parlons de notre vie privée ou familiale. Puis transposons cela au monde virtuel. Gardons nos
ordinateurs et smartphones à jour, protégeons nos mots de passe, rappelons-nous qu'il faut
S'ARRÊTER --- RÉFLÉCHIR --- NE PAS CLIQUER, et assurons-nous que nous utilisons « HTTPS » en
naviguant sur le web (en vérifiant que l'on trouve bien « https:// » dans la barre d'adresse URL du
navigateur — le « s » est important).

A propos de problèmes de sécurité (2017)

[Link]
issues
« Stefan, arrête d'être paranoïaque. Il n'arrive rien de bien grave au CERN dans le domaine de la
sécurité informatique. Laisse-nous travailler et arrête de nous mettre des bâtons dans les roues...
». J'éprouve presque de la pitié quand j'entends cela, car mon quotidien et celui de mon équipe est
bien différent...
La vérité est que le CERN est attaqué. En permanence. En ce moment même. Les serveurs web. Les
systèmes de courrier électronique. Nos passerelles interactives. Nos bases de données. Nos
systèmes de fichiers. Nos PC et portables. Nos mots de passe et nos comptes. En outre, le CERN
possède une grande diversité de services informatiques hétérogènes. Plusieurs centres de calcul.
Des dizaines de centres de contrôle. Des centaines de développeurs. Des milliers d'utilisateurs. Des
millions de pages web. Des dizaines de millions de lignes de code. Et autant de possibilités
d'attaques. Certains éléments sont vulnérables, faiblement protégés ou dénués de toute
considération de sécurité. C'est humain. Et c'est normal pour tout système informatique. Mais cela
rend le CERN dans son ensemble vulnérable aux attaques. Et la réussite d'une de ces attaques n'est
qu'une question de temps. En fait, certaines attaques ont déjà réussi par le passé. Comme dans
toute grande entreprise qui possède un important pôle informatique. Et si l'on extrapole, il n'y a
aucune raison de croire que nous sommes désormais à l'abri.
Donc peut-être manquons nous tout simplement de transparence. La transparence est très
importante, et particulièrement en matière de sécurité, pour éviter de donner l'impression que
nous ne faisons que créer du « FUD » (acronyme anglais pour peur, incertitude et doute) pour
justifier notre rôle, que nos contre-mesures ne sont qu'un écran de fumée ou que nous espionnons
tout parce que nous aimons jouer aux policiers. Au contraire, la transparence permet de créer de
la confiance en notre travail, de vous donner une idée de ce que nous faisons, de vous laisser juger
de la pertinence de nos décisions et de vous permettre de questionner notre stratégie. Pour nous,
la transparence envers les utilisateurs, les clients et la communauté est essentielle.
Les articles réguliers publiés dans le Bulletin du CERN sont un exemple de ce qui nous tient éveillés
la nuit. Mais si vous voulez vraiment savoir ce qui se passe au jour le jour, nous publions également
un rapport mensuel de sécurité qui reprend l'ensemble des incidents, problèmes de sécurité,
vulnérabilités importantes et faiblesses détectées, ainsi que les mésaventures et problèmes
rencontrés. Ils sont relativement complets et reflètent bien les problèmes de sécurité du CERN, de
174 | P a g e
ses services et de sa communauté. Nous avons récemment publié notre 125e article dans le Bulletin
et nous arriverons très bientôt à notre 100e rapport mensuel ! Donc si vous voulez en savoir plus
sur les incidents et problèmes de sécurité informatique au CERN, je vous invite à lire nos rapports
(en anglais).
Sur ces bonnes paroles, nous vous souhaitons une année 2017 en toute sécurité !

WhiteHats au service du CERN (2016)

[Link]
Le CERN fait en permanence l’objet d’attaques. L’espace web du CERN, en particulier, avec ses
dizaines de milliers de sites web et ses millions de pages web, est très fréquemment ciblé par des
personnes mal intentionnées, mais aussi, par des chercheurs en sécurité informatique.
Le plus souvent, ces attaques sont vaines et leurs traces disparaissent avec le temps. Mais parfois,
elles sont couronnées de succès et permettent aux attaquants de prendre le contrôle d’un site web
ou même d’un serveur... Il est essentiel que nous découvrions nos faiblesses avant que d’autres ne
le fassent !
Ces personnes mal intentionnées sont habituellement appelées « BlackHats » (« chapeaux noirs »),
car elles abusent de leurs compétences en informatique pour détruire ou mettre hors service des
systèmes en exploitant leurs faiblesses. Les « GrayHats » (« chapeaux gris ») sont plus inoffensifs
et, dans le pire des cas, s’amusent en plaçant des ours en peluche nus ou des messages personnels
(« Je vous ai hacké ») sur les sites web qu’ils compromettent. Enfin et surtout, les « WhiteHats »
(« chapeaux blancs ») signalent les vulnérabilités qu’ils découvrent et nous invitent à les corriger
(vous pouvez retrouver certains d’entre eux à cette adresse), et nous obtempérons volontiers !
Nous voulons davantage de « WhiteHats » !
Ainsi, en 2015, en collaboration avec un certain nombre d’universités de différents pays, nous avons
mis en place le « CERN WhiteHat Challenge ». Après des cours consacrés à l’éthique et aux
techniques d’analyse de la sécurité, les étudiants de ces universités, qui ont suivi des cursus en
sécurité informatique, sont autorisés à tester l’espace web du CERN. Le bénéfice est triple : les
étudiants peuvent s’exercer sur de vrais systèmes en production, leurs professeurs n’ont pas à créer
d’environnements de test artificiels, et le CERN découvre rapidement les faiblesses et vulnérabilités
présentes dans ses pages web. Cette collaboration a bien fonctionné jusqu’à présent : des étudiants
des universités de Rotterdam, Kent et St. Pölten nous ont d’ores et déjà fait part de leurs
découvertes. D’autres universités préparent leurs étudiants pour le semestre prochain...
Mais pourquoi limiterions-nous ce programme à des personnes externes au CERN ? Le « CERN
WhiteHat Challenge » est ouvert aux employés et utilisateurs du CERN qui veulent développer leurs
compétences en tests de pénétration et scans de vulnérabilité. Aucune expertise technique
avancée n’est nécessaire ; vous n’avez besoin que d’une bonne dose de motivation. Toutefois,
avant de pouvoir participer, il vous faudra obligatoirement suivre une série de formations sur
l’éthique et les technologies web, et une introduction aux tests de pénétration et à l’exploitation.
Des formations approfondies (« cross-site scripting », « command line injection », etc.) sont
proposées régulièrement et complètent ce programme initial de formation.
Vous voulez nous aider à sécuriser l’espace web du CERN ? Si vous êtes utilisateur ou membre du
personnel du CERN, et si devenir un « WhiteHat » officiel pour le CERN vous intéresse, vous pouvez

175 | P a g e
vous inscrire sur l’e-groupe « White-Hats-Future-Candidates ». Nous vous inviterons à l’une des
prochaines formations, qui recommenceront à l’automne 2016.

Le dilemme de la défense fractale (2015)

[Link]
Les fractales mathématiques ne sont-elles pas magnifiques? Les ensembles de Mandelbrot et de
Julia, le triangle de Sierpiński, l'éponge de Menger, le flocon de Koch (voir ici)… Basées sur des règles
mathématiques simples, elles se développent rapidement en une mosaïque de facettes légèrement
différentes les unes des autres. Plus vous vous en approchez, plus vous découvrez de nouvelles
caractéristiques et des éléments semblables mais non identiques à l'image globale.
La sécurité informatique est analogue à ces fractales, mais en moins joli : simple au premier abord,
mais de plus en plus complexe à mesure que vous vous intéressez aux détails. Plus vous creusez,
plus la surface d'attaque grandit, et plus les possibilités offertes à des personnes mal intentionnées

se multiplient, tel le flocon de Koch, dont le périmètre grandit exponentiellement à chaque étape.
Ainsi donc, la surface devant être défendue grandit, couche par couche, au fur et à mesure que l'on
suit les bits et les bytes : cela commence au niveau des puces, des contrôleurs et des mémoires
vives, où ils s'assemblent en données et instructions. Ces données, contrôlées par un système
d'exploitation, s'échangent à travers des protocoles (des réseaux) et des interfaces pour donner
naissance à des applications faciles à utiliser. Enfin, avec un clavier et une souris, l'être humain, ou
« wetware », interagit avec ces applications pour donner naissance à plus de bits et de bytes.
Bien que ces abstractions rendent notre vie plus simple en occultant toute la complexité du matériel
informatique et des langages utilisés, elles rajoutent à la zone de défense des méandres dans
lesquels l’expert en sécurité informatique pourra patauger et se perdre. Plus vous évoluez « haut »
dans ces abstractions, plus la défense devient difficile, et plus les possibilités d'attaque sont faciles.
Au cœur même du système, au niveau des processeurs ou de la mémoire vive, la complexité rend
la détection d'attaques sophistiquées impossible. Des chercheurs de Google ont récemment trouvé
176 | P a g e
comment manipuler les données stockées dans la mémoire vive en inversant un grand nombre de
fois certains bits. Disséquer une puce ne permet même pas d’identifier les altérations physiques qui
pourraient avoir été effectuées. Nous ne pouvons qu’espérer que personne n'ait implanté de
matériel malveillant chez nous… (ou bien si ?).
Mais continuons notre ascension dans la complexité : tout le monde sait que tout logiciel contient
des bugs. Les applications et les systèmes d'exploitation sont plus difficiles à défendre vu leur grand
nombre de lignes de code. Une étude explique que, pour chaque millier de lignes de code écrites,
en moyenne 10 à 20 défauts sont introduits (Steve McConnell, « Code Complete », 1993). Ainsi, des
bugs sont découverts régulièrement, des vulnérabilités sont sans cesse publiées. Les logiciels
« open source » sont peut-être une réponse à ce problème, mais qui peut examiner
minutieusement des millions de lignes de code ? Comment s'assurer que les compilateurs, qui
transforment le code lisible des logiciels en code machine, font bien ce qu'ils sont censés faire
(comme le faisait remarquer Ken Thompson dans Reflections on Trusting Trust) ?
Les interfaces (API) et les protocoles, au niveau suivant, ne sont pas plus sûrs. Bien qu'ils soient
souvent restreints et théoriquement définis, ils sont souvent énormes et présents absolument
partout. Le protocole à la base d'internet, « IP », en est un parfait exemple. La version IPv4 avait
ses faiblesses, mais un grand nombre d'entre elles étaient connues et des parades étaient en place.
La version qui se répand de nos jours, IPv6, apporte peu en termes de sécurité, mais beaucoup en
termes de vulnérabilités inconnues. Qui plus est, au fur et à mesure que le code est modifié pour
s’adapter à cette nouvelle version, qui sait combien de nouveaux bugs sont introduits ?
Enfin, tout en haut de la chaîne, il est malheureusement souvent très efficace de s'attaquer
directement à nous, utilisateurs, ou à nos appareils. Notre défense peut facilement être brisée, que
ce soit par persuasion, tromperie ou même agression physique. Quelqu'un de mal intentionné et
d’habile pourra, en utilisant toute la gamme des sentiments et des relations humaines, vous faire
faire pratiquement ce qu'il voudra pour pouvoir contourner les mesures de sécurité : on est là dans
le domaine de la manipulation. Et si le malfaiteur arrive à voler ou à avoir en main ces appareils que
nous utilisons de nos jours - ordinateurs portables, téléphones intelligents, tablettes… - la défense
a évidemment perdu.
 Vous voilà désormais initiés au problème de la défense fractale. Nous avons besoin de vous
pour protéger le CERN. Nous devrions au moins arriver à assurer nos bases :
 Protégez votre ordinateur : tout ordinateur non protégé est susceptible d’être infecté en
quelques minutes seulement. Gardez votre système à jour, utilisez un anti-virus (fourni
gratuitement par le CERN), n'installez pas de logiciel dans lequel vous n’avez pas
entièrement confiance, et verrouillez votre écran avec un mot de passe lorsque vous
quittez votre bureau.
 Soyez prudents avec les courriels que vous recevez et les sites web que vous visitez : des
personnes mal intentionnées peuvent essayer de vous tromper. Prenez le temps de
réfléchir avant de cliquer : n'ouvrez pas de courriels (ni leurs fichiers joints) non attendus
ou suspects, n'installez pas de « plugin » ne venant pas de sources sûres.
 Protégez votre mot de passe : l'exposer peut entraîner une utilisation abusive de votre
compte informatique. C'est pourquoi vous ne devez le partager avec personne. Un bon mot
de passe doit être difficile à deviner et absent de tout dictionnaire. Changez-en
régulièrement, car il pourrait avoir été exposé à votre insu.

177 | P a g e
  Protégez vos données : restreignez l'accès à vos documents et dossiers en suivant le
principe du privilège minimal - assurez-vous que seules les personnes ayant besoin
d'accéder à vos fichiers et à vos données le peuvent.
Enfin, faites une petite place dans votre vie quotidienne pour la sécurité informatique, ici au CERN,
mais aussi chez vous. Essayez de rendre automatiques les gestes d'hygiène informatique qui
s’imposent à chaque fois que vous touchez à un clavier, à une souris ou à un écran tactile. Souvenez-
vous que dans le milieu académique libre qu’est le CERN, la sécurité informatique vous est
déléguée. Vous êtes, en première instance, responsables de la sécurité informatique des
ordinateurs portables, téléphones et autres machines que vous utilisez, des comptes et mots de
passe que vous possédez, des fichiers et documents que vous détenez, des programmes et
applications que vous avez installés ou, tout particulièrement, que vous avez écrits, et des services
et systèmes informatiques dont vous assurez la maintenance. Vous pouvez vous faire aider dans
cette responsabilité par le département informatique, qui peut vous fournir une multitude de
services informatiques sécurisés.

A Genève, en Suisse romande et au-delà (2014)

[Link]
Toute sécurité informatique opérationnelle repose sur des contacts et des collaborations, dans un
cadre officiel ou non, avec une multitude d'organismes nationaux ou internationaux. Ces échanges
permettent de discuter des meilleures pratiques, d’être au courant des vulnérabilités les plus
récentes (parfois même avant leur publication) et de gérer conjointement les incidents de sécurité
informatique. Il se constitue ainsi un réseau de collègues, lequel, si une véritable confiance
s’instaure, peut permettre d'obtenir des informations importantes sur les nouvelles vulnérabilités
ou les attaques en cours, bien avant qu'elles n’apparaissent dans la presse. C’est pourquoi nous
aimerions vous faire découvrir un certain nombre de collègues avec lesquels nous travaillons
régulièrement dans un cadre officiel1.
Tout d’abord, il faut citer SWITCH, notre partenaire pour le réseau Internet en Suisse, ainsi que nos
contacts au sein de la Grille de calcul mondiale pour le LHC (WLCG), du réseau EGI (European Grid
Infrastructure) et du réseau Open Science Grid (OSG) aux États-Unis. Ce sont là des partenaires
essentiels avec qui nous discutons de l'implémentation de solutions de sécurité et de la résolution
d'incidents de sécurité informatique. SWITCH en particulier organise deux fois par an des ateliers
sur la sécurité informatique pour les universités et laboratoires suisses afin de discuter de multiples
aspects de cette question. SWITCH produit également des rapports mensuels qui sont disponibles
sur notre site.
En dehors du cercle académique, on retrouve le « Groupe d'intérêt spécial de sécurité informatique
de Genève » (Geneva Information Security Special Interest Group - GISSIG), qui rassemble les
responsables de la sécurité des systèmes chargés de la sécurité informatique et autres experts en
sécurité informatique de différentes organisations internationales basées à Genève. Généralement
le GISSIG coordonne la mise en œuvre des mesures de sécurité pour les organisations du système

1
En dehors de ces échanges officiels, les spécialistes de la sécurité informatique construisent tout au long de
leur carrière un réseau de collègues avec lesquels ils collaborent dans un esprit de confiance mutuelle.
Néanmoins, ces collègues préfèrent souvent rester anonymes, ce que nous nous devons de respecter...

178 | P a g e
des Nations Unies, mais il s’intéresse aussi aux différentes menaces et solutions applicables à tous
ses membres. Les membres de ce groupe sont, actuellement et par ordre alphabétique : le Centre
international de calcul des Nations Unies, le CERN, le Comité international de la Croix-Rouge et la
Fédération Internationale de la Croix-Rouge et du Croissant Rouge, le Fonds mondial, le Haut-
Commissariat aux droits de l'homme des Nations Unies, le Haut-Commissariat des Nations Unies
pour les réfugiés, l’Office des Nations Unies à Genève, l'Organisation internationale pour les
migrations, l'Organisation internationale du travail, l'Organisation mondiale du commerce,
l'Organisation mondiale de la propriété intellectuelle, l'Organisation mondiale de la santé et l'Union
internationale des télécommunications.
En plus de ces cercles fermés de discussion, trois entités distinctes organisent des forums ouverts
aux organisations, entreprises et individus intéressés par la sécurité informatique, la protection de
la vie privée et des données. Toutes trois organisent régulièrement des séances en soirée pour
présenter et discuter différents aspects de la sécurité informatique. Les séances du GRIFES ont lieu
deux à trois fois par an et sont généralement ouvertes au public sur inscription. Les séances de
l’association CLUSIS sont ouvertes à tous les membres de l'association ; l'équipe de sécurité
informatique de CERN est membre de CLUSIS et tous les membres du personnel du CERN peuvent
participer. Ces événements couvrent un programme étendu à travers un certain nombre de
présentations organisées tous les deux mois. La cotisation annuelle de l'International Information
Systems Security Certification Consortium ((ISC)²) s'élève à environ 20 CHF et vous permet de
participer à leurs réunions. Tous ces événements ont normalement lieu en soirée, n'hésitez pas à y
participer ! Consultez les différents sites web pour trouver les prochains événements. Vous pouvez
également trouver sur le lien ci-après quelques présentations et formations données par l'équipe
de sécurité informatique du CERN à ces organisations.
Enfin, il existe aussi une collaboration moins active entre les organisations, laboratoires et instituts
préoccupés par la sécurité des systèmes de contrôle déployés pour leurs expériences et
accélérateurs (« CS2HEP »). Cette communauté se rencontre tous les deux ans, juste avant la
conférence ICALEPS.

La fin du chiffrement (2014)

[Link]
Argh ! La boîte de Pandore a (encore) été ouverte. Les documents récemment dévoilés par le
sonneur d'alarme Edward Snowden révèlent que le projet « Bullrun » de la NSA s'introduit au cœur
de la confidentialité de nos documents et de notre vie privée.
Dans leurs efforts continus de contourner le principe de vie privée sur internet, l'Agence de sécurité
nationale américaine (National Security Agency, NSA) et le Quartier-général des communications
du gouvernement britannique (British Government Communications Headquarter, GCHQ) ont fait
des progrès significatifs dans le « cassage » de plus ou moins tous les protocoles de chiffrement
basiques, ou ont développé des moyens de les contourner : « Les agences d'espionnage
américaines et britanniques ont cassé avec succès une grande partie du chiffrement en ligne utilisé
par des centaines de millions de personnes pour protéger leurs données privées, leurs transactions
en ligne et leurs mails. » (The Guardian).
Alors, que reste-t-il ? Avec « Prism » et « Tempora », nos communications publiques sur internet
sont déjà filtrées et analysées (voir l’article « Prison ou ‘Prism’ ? Vos données en garde à vue »). «
Bullrun » est l'étape suivante, et il semble capable d'analyser également nos communications
179 | P a g e
privées chiffrées. Selon le New York Times, « la NSA a contourné ou cassé la majeure partie du
chiffrement ou brouillage numérique qui sécurise le commerce mondial et le système bancaire,
protège les données sensibles, telles que les secrets commerciaux ou les données médicales, et
récupère automatiquement les mails, recherches internet, discussions sur internet et appels
téléphoniques des Américains et d'autres personnes à travers le monde ».
Les détails ont été résumés par le professeur Matthew Green, chercheur en cryptographie à
l'Université Johns Hopkins, dans son blog :
 Falsifier les normes nationales (NIST est particulièrement cité) pour promouvoir des
techniques de chiffrement faibles ou vulnérables.
 Influencer les comités de standardisation pour affaiblir les protocoles.
 Travailler avec les vendeurs de logiciels et de matériel informatique pour affaiblir le
chiffrement et les générateurs de nombres aléatoires.
 Attaquer le chiffrement utilisé par la prochaine génération de téléphones 4G.
 Obtenir l’accès, en clair, à un « système majeur de communication vocale et écrite pair-à-
pair » (Skype ?).
 Identifier et casser des clés de chiffrement vulnérables.
 Établir un département de renseignement pour infiltrer l'industrie de télécommunication
mondiale.
 Et le pire de tout : déchiffrer d'une manière ou d'une autre les connections SSL.
Et il n'y a rien que nous puissions faire. La cryptographie est la base de la confiance numérique.
Avec ces révélations, la toile de confiance a été détruite. Peut-être que tant que cela est contrôlé
par des États, c’est acceptable, car il semblerait que ce soit pour notre protection… Mais si les
détails sur « Bullrun » sont encore rares, qu’adviendra-t-il quand cette technologie deviendra
publique (les informations « secret défense » ont tendance à devenir publiques à un moment
donné) ? Qu’adviendra-t-il quand d’éventuels attaquants auront appris comment la NSA a cassé ou
contourné les méthodes de chiffrement ? Les portes seront grandes ouvertes pour les délinquants.
Les interactions bancaires, le commerce en ligne, les échanges de mots de passe… tout cela ne sera
plus sécurisé. L’usurpation d'identité deviendra beaucoup plus facile. Toutes nos bonnes
recommandations pour protéger vos données privées (voir l’article « Jekyll ou Hyde ? Mieux vaut
naviguer en toute sécurité ») deviendront obsolètes.
Comme tout le monde, le CERN sera aussi affecté. Mais comme, la plupart du temps, nous utilisons
des technologies standard, il y a peu de choses que nous puissions faire. Un bon début serait de se
débarrasser de protocoles de chiffrement faibles, tels que DES, de commencer à utiliser des clés
RSA de 3072 bits (4096 bits !) pour le chiffrement à clé public, et enfin, de faire disparaître la
première version du protocole SSH. Nous devrions aussi nous abstenir d'utiliser SSL et passer nos
pages web, sites web et services sur internet à TLS1.0 (1.2 !), puisqu'il existe déjà des faiblesses
connues dans ces protocoles (voir les attaques BEAST et CRIME).
De plus, nous pourrions enfin déployer l'authentification multi-facteur pour protéger davantage les
services informatiques sensibles, tels que le contrôle des accélérateurs, les opérations financières,
ou les signatures importantes sur EDH. Ces technologies, qui demandent, lors de votre
authentification, en plus de votre mot de passe NICE habituel, un code unique envoyé par SMS créé
par une clé USB (« Yubikey ») ou par l'application « GoogleAuthenticator », ou simplement un
certificat installé sur votre carte d'accès CERN, sont d'ores et déjà prêtes à l'emploi.

180 | P a g e
Bien entendu, nous pouvons essayer de faire encore mieux : si vous êtes assez paranoïaque pour
passer à l'action, consultez les cinq conseils du Guardian pour rester sécurisé. Cependant, nous
devrions réfléchir à quelles données doivent être correctement protégées et à ce qui peut être
rendu public. Moins nous classerons de données comme « confidentielles », moins nous devrons
nous préoccuper de les protéger. Les données brutes (« raw ») méritent-elles vraiment d'être
protégées ? Les comptes rendus de réunions sont-ils vraiment confidentiels ? La photo de votre
carte d'accès CERN ne pourrait-elle pas simplement être publiée sur internet ? La nouvelle Politique
de protection des données du CERN (OC11) devrait permettre de faire le point sur la question.

Un Petit Conte du Mouton Noir de –ITÉ (2013)

[Link]
Il était une fois des ingénieurs en informatique du monde antique qui utilisaient l'abréviation « -ITÉ
» comme raccourci pour « Information Technology » (technologie de l'information). C'était une
abréviation appropriée, car elle rappelait à tout le monde les objectifs et les aspects fondamentaux
de la technologie de l'information, lesquels rendaient non seulement les ingénieurs en
informatique, mais aussi leurs clients, heureux.
Chaque fois que les ingénieurs développaient une application ou mettaient en place un service
informatique pour couvrir les besoins de leurs clients, ils se concentraient ardemment sur les quatre
paradigmes de « -ITÉ » :
 Fonctionnal-ITÉ, paradigme s'assurant qu'un service ou une application ait un but et une
raison d'être,
 Disponibil-ITÉ, paradigme veillant à ce qu'un service ou une application soit fonctionnel à
chaque fois qu'un client veut l'utiliser,
 Convivial-ITÉ, paradigme veillant à ce qu'un client ne soit pas dégoûté d’une interface
utilisateur mal conçue, ou qu’il soit déçu par le fonctionnement du service ou de
l'application - évitant ainsi que ceux-ci ne soit abandonnés,
 Maintenabil-ITÉ, paradigme veillant à ce que les développeurs ne soient pas dégoûtés de
l'architecture de l'application ou de la configuration du service - évitant ainsi qu’elles soient
abandonnées.
C'était dans l'intérêt de tout le monde. Suivre ces quatre paradigmes garantissait des applications
et des services correctement conçus. Une situation « gagnant-gagnant » et un paradis pour les
clients.
Mais avec l'avènement d’Internet, le monde sûr et confortable de « -ITÉ » fut menacé par le mal.
Les mauvais développeurs et les attaquants entrèrent en scène et commencèrent à harceler et à
violer les quatre paradigmes. Avec les mauvais développeurs introduisant des vulnérabilités et des
bugs dans les applications, les attaquants exploitèrent une Fonctionnal-ITÉ sous-optimale. Les
attaques par déni de service diminuèrent la Disponibil-ITÉ des services. La Convivial-ITÉ devint une
arme à double tranchant pour les cas d'utilisation familiers. Et la Maintenabil-ITÉ fut mise sous
pression, de plus en plus de services et d'applications étant mis hors service pour pouvoir se rétablir
suite à des attaques réussies.
Il n'a pas fallu attendre trop longtemps pour que les ingénieurs en informatique mettent en place
un cinquième paradigme censé protéger les autres des fléaux et des malfaiteurs d’Internet : Sécur-
ITÉ. Mais Sécur-ITÉ était lourde et n'a jamais été capable de s'intégrer aux autres paradigmes :

181 | P a g e
quand Fonctionnal-ITÉ était la clé, Sécur-ITÉ la rendait compliquée. Lorsque Disponibil-ITÉ était
demandée, Sécur-ITÉ criait « redémarrage ! ». Et quand Convivial-ITÉ avait la priorité, Sécur-ITÉ
mettait des obstacles et des barrières. Seule Maintenabil-ITÉ était heureuse, car elle bénéficiait de
chaque rupture introduite par Sécur-ITÉ. Sécur-ITÉ s'efforça de surmonter ses faiblesses et ses
inconvénients, en vain... Au lieu de cela, elle était perçue comme une « -ITÉ » pour gouverner toutes
les autres... et dans les ténèbres les lier.
Sécur-ITÉ était devenue le mouton noir de la famille. Les ingénieurs en informatique l'ont méprisée
et ignorée, car Sécur-ITÉ introduisait plus de problèmes que de solutions. Elle n'était d'aucune aide.
Les années ont passé dans l'obscurité avec tous les paradigmes luttant pour survivre. Aujourd'hui,
la question est : est-ce que les applications et les services seront capables de poursuivre sans
protection et défense ? Ou le mal finira-t-il par régner et par tuer les paradigmes les uns après les
autres ? Les ingénieurs en informatique ne devraient-ils pas s'arrêter et réfléchir sur la façon dont
Sécur-ITÉ peut devenir un partenaire indissociable des autres paradigmes ?
C'est à vous de décider s’il y a une fin heureuse. Si le mal va sceller le destin de -ITÉ ou si Sécur-ITÉ
sera un jour de retour dans le troupeau. Et si Fonctionnal-ITÉ, Disponibil-ITÉ, Convivial-ITÉ,
Maintenabil-ITÉ et Sécur-ITÉ vivront heureux pour toujours.
Rappelez-vous des articles de l'année dernière (La « sécurité », c'est VOUS ! et Pourquoi la « sécurité
» ce n'est pas MOI)… Sécur-ITÉ a besoin de votre aide : au CERN ou à la maison, la sécurité
informatique n'est pas complète sans VOUS !

Le CERN : numériquement ouvert, aussi (2013)

[Link]
Les portes ouvertes sont à nos portes ! À partir de samedi, nous accueillerons des milliers de
personnes sur le site du CERN. Pas de barrières, pas de frontières !
Depuis des dizaines d'années déjà, nous accueillons au CERN des chercheurs et visiteurs du monde
entier. Nous discutons des résultats de physique, et suivons ou donnons des formations, des
présentations et des conférences. C'est ainsi que la recherche fondamentale doit être et est menée.
Mais avez-vous déjà remarqué combien il est également facile d'être accueilli au CERN dans le
monde numérique ? Une fois que vous avez une affiliation et êtes enregistré au CERN, vous obtenez
un compte informatique CERN et une adresse mail. Vous pouvez faire enregistrer vos portables,
ordinateurs de bureau et smartphones afin de pouvoir utiliser notre réseau sans-fil ; vous pouvez
facilement créer une page web personnelle et profiter d'un important espace disque pour stocker
vos fichiers (AFS et DFS). Le CERN est en effet un campus ouvert, pendant les portes ouvertes, mais
aussi au-delà. Et le CERN est aussi un campus ouvert dans le monde numérique.
Cette culture du campus numérique ouvert implique que vous jouiez un rôle fondamental dans la
« sécurité informatique » au CERN. Avec la liberté académique vient la responsabilité : vous êtes,
en première instance, responsable de la sécurité informatique des portables, smartphones ou
ordinateurs de bureau, des comptes et mots de passe que vous possédez, des fichiers et documents
que vous détenez, des programmes ou applications que vous avez installées ou, en particulier, que
vous avez écrits, et des services et systèmes informatiques que vous gérez. Puisque nous ne
contrôlons pas le système d'exploitation que vous utilisez, les programmes et applications que vous
installez et les sites web que vous consultez, nous déclinons cette responsabilité (voir l’article «
Pourquoi la « sécurité » ce n'est pas moi… »).

182 | P a g e
Nous pourrions faire autrement : nous pourrions bloquer l'accès au réseau à tous les ordinateurs
de bureau et portables non conformes ; nous pourrions fermer complètement le pare-feu extérieur
du CERN et vous refuser l’accès aux sites d'information, à Facebook, à YouTube et autres ; nous
pourrions vous imposer l’installation des systèmes d'exploitation Windows 7 et SLC6 ; et nous
pourrions limiter les langages de programmation utilisés... Mais vous imposer et vous restreindre à
des solutions contrôlées contredirait le principe de liberté de travail académique. En pratique, cela
tuerait tout bonnement cette liberté. C’est pourquoi nous voulons trouver le juste équilibre.
Ainsi, pendant que vous profitez de cette liberté au CERN, cet équilibre a besoin de votre
collaboration, car « La « sécurité », c'est vous ! ». Nous sommes, bien entendu, disposés à vous
aider à assumer cette responsabilité. Si cette responsabilité vous pèse, vous pouvez la déléguer au
département IT, qui fournit une multitude de services informatiques sécurisés, tels que des
systèmes d'exploitation à jour et des anti-virus, un espace de stockage numérique protégé, des
serveurs web et des bases de données sécurisées. Prenez contact avec eux, vous vous éviterez ainsi
de réinventer la roue (voir l’article « Cessez de combattre seul, laissez la synergie gouverner ! ».
Concentrez-vous plutôt sur votre corps de métier et ne vous frottez pas à des problèmes pour
lesquels vous n'êtes pas expert. Évitez de commettre l'erreur que d'autres ont commise en nous
présentant de superbes applications web, fonctionnelles, pleines de gadgets et d'options, mais qui,
après analyse, se sont révélées être imparfaites au point de présenter un risque de sécurité pour
l'Organisation. Lesquelles applications ont finalement dû être mises au rebut par des développeurs
consternés...

Sécurité contre nations : une bataille perdue ? (2013)

[Link]
« Connais ton ennemi » est l'une des recommandations de base de l'ancien stratège militaire chinois
Sun Tzu (544–496 av. J.-C.). Dans le monde informatique, les suspects habituels sont les « script-
kiddies », les criminels et les « hacktivistes », mais il y a aussi les États-nations.
Les entreprises du monde entier se sont préparées, adaptées et ont concentré leurs défenses
contre les trois premiers suspects. Le CERN aussi, malgré sa quête de liberté académique, réévalue
en permanence les méthodes de prévention et de protection contre les attaques informatiques.
Mais lorsque l'on ajoute les États-nations à la liste des adversaires, se défendre devient impossible
pour tous (à moins de posséder énormément d'argent).
Aujourd'hui, les services informatiques les plus populaires d’Occident nous viennent des États-Unis.
Nous savons déjà que les États-Unis et le Royaume-Uni interceptent des informations venant de
Facebook, Google, Yahoo et autres (voir notre article paru dans le Bulletin « Prison ou « Prism » ?
Vos données en garde à vue »). Mais qu'en est-il d'un niveau en-dessous? Aujourd'hui, le matériel
informatique tel que les routeurs, les ordinateurs portables et les smartphones sont construits en
Chine.
Comment pouvons-nous être certains que ces appareils ne contiennent pas des puces destinées à
les manipuler (espionner vos activités, bloquer des systèmes, détruire des données) depuis
l’extérieur. Aujourd'hui, beaucoup de logiciels informatiques sont écrits en Inde. Comment peut-on
être certain que les logiciels ne contiennent pas délibérément des bugs insérés durant la phase
d'implémentation et offrant la possibilité d’espionner vos activités, de bloquer des systèmes, ou de
détruire des données? Le matériel et les logiciels informatiques sont désormais extrêmement
complexes, rendant la détection de fonctionnalités malicieuses difficile (voire impossible !) pour la
183 | P a g e
plupart des organisations : les puces sont le plus souvent scellées, pour, selon les fabricants,
protéger leur propriété intellectuelle. Les logiciels contiennent des millions de lignes de code.
Même si le code est « open-source », le passer au crible peut être coûteux et difficile. Et pensez-
vous que votre compilateur ne rajoute pas de fonctionnalités? Au final, comprendre le code
« assembleur » produit est un défi en soi. Même si vous arrivez à trouver une vulnérabilité, elle sera
considérée comme un bug accidentellement introduit par des programmeurs négligents ou mal
formés, et non comme une modification délibérément injectée. Ce n'est pas sans raison qu'un
certain nombre de pays ont leur propre programme de primes et payent pour des bugs et
vulnérabilités logicielles récemment découvertes, ou qu'ils essayent (et réussissent!) de casser les
protocoles de chiffrement standard. La Russie fait marcher l'un des plus gros marchés noirs de
vulnérabilités et d’informations d'identification informatique.
Bien entendu, beaucoup d'autres nations se préparent pour notre futur informatisé.
Néanmoins, nous sommes à un nouveau tournant. Avec l'internet des objets, un terme déjà inventé
en 1999 par le visionnaire Kevin Ashton, tous nos appareils seront interconnectés dans un futur
proche. Dans les faits, nous vivons déjà en symbiose avec cet internet des objets. Nous restons là,
immobiles, tels des grenouilles flottant dans une eau bouillant progressivement, tandis que des
nations préparent l'internet des objets comme un nouveau champ de bataille qu'il faut infiltrer,
saper et contrôler. Le « Grand Firewall de Chine », tout comme les programmes américains
« Prism », ou anglais « Tempora », qui espionnent des citoyens innocents, sont de premières
entailles faites à l'internet libre. L'attaque informatique « Stuxnet » contre l'Iran, généralement
considérée comme la première jamais conduite, exploitait quatre vulnérabilités différentes, jusque-
là inconnues (vulnérabilités « zero-day »), contre le système d'exploitation Windows XP, et
probablement issues de programmes de primes américains et israéliens. Durant la guerre civile
syrienne, « l’armée électronique syrienne » (« Syrian Electronic Army ») a mis hors ligne la page
d'accueil du New York Times et celle de « [Link] » pour afficher son pouvoir. Elle a aussi
menacé de se venger plus sévèrement si les États-Unis bombardaient la Syrie.
Cependant, sans entrer dans la paranoïa, la bataille est-elle déjà perdue? Notre vie privée est-elle
perdue? Combien de mesures de sécurité sommes-nous prêts à accepter avant que notre monde
devienne celui de George Orwell dans 1984, ou celui d’Aldous Huxley dans Brave New World ? Peut-
être la période de fêtes à venir est-elle le bon moment pour réfléchir et discuter de ce que chacun
d'entre nous peut faire pour qu'internet reste un espace libre et public, et non un champ de bataille
pour nations paranoïaques.
Profitez de la période des fêtes de fin d'année et bonne année 2014 !
Prenez soin de vous, de votre famille et de vos ordinateurs. Souvenez-vous que, chez vous tout
comme au CERN, vous êtes, en première instance, responsables de la sécurité informatique de vos
ordinateurs portables, smartphones et des autres ordinateurs que vous utilisez, des comptes et
mots de passe que vous possédez, des fichiers et documents que vous détenez, des programmes
et applications que vous avez installés ou, en particulier, développés, et des services et systèmes
informatiques que vous gérez. Pour le CERN, l'équipe de la Sécurité informatique est prête à vous
aider à assumer cette responsabilité.

184 | P a g e
Bingo de sécurité (2011)
[Link]
Vous voulez vérifier votre sensibilisation à la sécurité et gagner un des trois livres merveilleux sur
la sécurité informatique ? Il suffit d'imprimer cette page, de marquer celles des 25 bonnes pratiques
ci-dessous que vous suivez déjà aujourd'hui, et de nous renvoyer la feuille,
[Link]@[Link] PO Box G19710, avant le 31 octobre 2011.
Les gagnants1 peuvent nous montrer qu'ils remplissent au moins cinq bonnes pratiques dans une
rangée horizontale, une colonne verticale ou une diagonale, en continu. Pour plus de détails sur la
sécurité informatique du CERN, veuillez s'il vous plaît consulter [Link]
Personnellement...

...j'utilise sur
…je verrouille
…je suis mon ordinateur …j'ai choisi un mot de …j'ai restreint les
l'écran de mon
préoccupé par un antivirus passe accès à mes
ordinateur
la sécurité avec des raisonnablement fichiers et
quand je quitte
informatique. signatures à complexe. données.
mon bureau.
jour.

…je suis
conscient des
…je protège les
risques de …je suis vigilant …je comprends les
documents …je mets à jour
sécurité et des avant d'ouvrir risques qu'il y a à
confidentiels et régulièrement
menaces pour les pièces cliquer sur des liens
ne les rends pas mon ordinateur.
les installations jointes. étranges.
publics.
informatiques
du CERN.

…je ne ...j'ai apporté

divulguerai ma souris à …je respecte les …j'efface
…je n'utilise pas
jamais mon mot l'abri des droits d'auteur et ne immédiatement
d'applications
de passe à animaux partage pas de les messages
interdites.
quelqu'un informatiques musiques ou films. de “Phishing”.
d'autre. du CERN.

…je ne tape
…je n'utilise pas …je sais comment ...je n'ai jamais
…je n'installe jamais mon mot
d'application de contacter installé de points
jamais de plug- de passe CERN
partage de [Link] d’accès sans fil
ins. dans des
fichiers. @[Link] illégitimes.
cybercafés.

1
Si nous avons plus de trois réponses correctes crédibles, il y aura un tirage au sort.
185 | P a g e
 …j'ai suivi une …je ne stocke …j'ai lu, compris
…j'ai des mots de …je protège mon
ou plusieurs pas ma musique et accepté les
passe distincts pour le ordinateur
sessions de ou mes films règles
CERN, Facebook, portable contre le
formation de dans un espace informatiques
Amazon, et autres. vol.
sécurité. public. du CERN.

Bingo de sécurité pour les paranoïaques (2011)

[Link]
Certains se sont plaint que le « Bingo de sécurité » précédent était trop facile... Alors, vous êtes
extrêmement prudents en matière de sécurité informatique? Montrez-le-nous et gagnez l'un des
trois livres merveilleux sur la sécurité informatique! Il suffit d'imprimer cette page, de marquer
celles des 25 bonnes pratiques ci-dessous que vous suivez déjà, et de nous renvoyer la feuille à
[Link]@[Link] ou PO Box G19710 avant le 31 octobre 2011.
Les gagnants1 doivent nous montrer qu'ils suivent au moins cinq bonnes pratiques dans une rangée
horizontale, une colonne verticale ou une diagonale. Pour plus de détails sur la sécurité
informatique du CERN, consultez [Link]
Personnellement...

…je vous …j'utilise toujours …j'utilise

…je chiffre tous les …j'ai activé le plug- rappellerai un téléphone l'authentification
fichiers sur mon in NoScript de toujours pour portable sans multi-facteurs pour
ordinateur. Firefox. vérifier votre messagerie ni me connecter au
identité. Internet. CERN.

…j'ai un filtre de …j'ai supprimé

…je vérifie les …je n'accède jamais
polarisation fixé à …je n'utilise jamais mes comptes
activités sur mon à ma banque à
l'écran de mon de connexion sans Facebook et
ordinateur une travers leur site
ordinateur fil (Wifi ou GSM). Twitter depuis
fois par jour. web.
portable. longtemps.

…je détruis tous …j'utilise des …je ne

…j'ai mis de la
les CD / DVD / clés analyseurs de code communique que …je ne surfe qu'avec
colle Epoxy dans
USB non utilisés statique et je via des protocoles le navigateur web
les ports USB de
qui contiennent vérifie les sorties sécurisés (SSH, Lynx.
mon ordinateur.
des données. du compilateur. HTTPS...).

1
Si nous avons plus de trois réponses correctes crédibles, il y aura un tirage au sort.

186 | P a g e
 ...je regarde dans …je mets une
…je ne possède mon dos lorsque …je réinstalle mon phrase de 16 …je renouvelle mon
pas de carte Visa / j'utilise mon ordinateur tous les lettres comme mot de passe tous
Mastercard. ordinateur dans un 6 mois. mot de passe du les mois.
lieu public. CERN.

…je n'ai jamais

besoin de
…j'accepte …je fais réviser
…je n'imprime privilèges …j'ai abandonné
uniquement les tous les logiciels
jamais via le administrateur ou l'informatique
messages chiffrés que j’écris par mes
réseau. « root » pour mon depuis longtemps.
et signés. collègues.
activité
quotidienne.

Bingo de sécurité pour les administrateurs (2011)

[Link]
Avez-vous déjà pensé à la sécurité de vos services ou systèmes? Montrez-le-nous et gagnez l'un des
trois livres merveilleux sur la sécurité informatique! Il suffit d'imprimer cette page, de marquer
celles des 25 bonnes pratiques ci-dessous que vous suivez déjà, et de nous renvoyer la feuille à
[Link]@[Link] ou PO Box G19710 avant le 14 novembre 2011.
Les gagnants1 doivent nous montrer qu'ils suivent au moins cinq bonnes pratiques dans une rangée
horizontale, une colonne verticale ou une diagonale. Pour plus de détails sur la sécurité
informatique du CERN, consultez [Link]
Mon service ou système…

…suit un cycle de …utilise un pare-

…est patché de …utilise le « Single …a des restrictions
vie de feu local renforcé
façon automatique Sign-On » (SSO) du d’accès physiques
développement pour les entrées et
et régulière. CERN. en place.
logiciel. sorties.

…est maintenu par

…exécute tous les
…enregistre à des
processus / …a un plan de …n'a pas
distance tous les administrateurs
services / reprise après d'ouvertures dans
accès et les qui ont suivi des
applications avec sinistre défini et le pare-feu
actions sessions de
les moindres documenté. externe du CERN.
essentielles. formation en
privilèges.
sécurité.

1
Si nous avons plus de trois réponses correctes crédibles, il y aura un tirage au sort.

187 | P a g e
 …protège BIOS,
…autorise les …adhère aux bases
…n'utilise pas de l'interface IPMI et
accès aux comptes de sécurité pour …a tous les ports
répertoires « boot loader »
privilégiés à très les serveurs du USB désactivés.
partagés. par un mot de
peu de personnes. CERN.
passe.

…est géré par un …a vu l'intégralité …a tous les

…utilise très peu
système de de son code et sa …restreint les processus et
de comptes
gestion de configuration accès utilisateurs. services inutiles
locaux.
configuration. vérifiées. désactivés.

…a été scanné par …contrôle

…exécute un
…n'utilise aucun l’équipe de étroitement …a tous les
système de
mot de passe par sécurité l'accès à tous les modems
détection
défaut. informatique du entrepôts de désactivés.
d'intrusion (IDS).
CERN avec succès. données locaux.

Contrôlez la sécurité informatique maintenant et

régulièrement ! (2009)
[Link]
Le redémarrage du LHC, prévu pour cet automne, mettra de nouveau le CERN sous le feu des
projecteurs. D’où la nécessité d’être encore plus vigilant en matière de sécurité informatique. Le
piratage « défacement » en septembre dernier d’une page web de l’une des expériences LHC nous
appelle à redoubler de prudence. Les pirates informatiques mettent sans arrêt le CERN à l’épreuve
et nous devons faire le maximum pour diminuer les risques à l’avenir.
La sécurité est une responsabilité hiérarchique qui nécessite d’équilibrer l’affectation des
ressources requises pour faire fonctionner les systèmes et pour les protéger. Utilisateurs,
développeurs, experts systèmes, administrateurs ou chef, chacun d’entre nous doit donc sécuriser
ses ressources informatiques (ordinateurs, logiciels, documents, comptes ou mots de passe). Il
n’existe pas de recette miracle pour sécuriser des systèmes si ce n’est de rechercher
minutieusement toutes les vulnérabilités possibles, puis d’y remédier. Si les groupes IT compétents
ainsi que l’équipe responsable de la sécurité informatique peuvent vous conseiller sur des sujets
particuliers, voici quelques règles de base que tous les utilisateurs d’ordinateurs au CERN doivent
suivre:
 Revoyez les droits d’accès à vos ordinateurs, documents (InDiCo, EDMS, TWiki, etc.),
fichiers et répertoires sous AFS, DFS et sur disque local. Ne donnez pas de droit d’accès en
écriture si l’accès en lecture suffit et limitez cet accès exclusivement aux personnes qui en
ont besoin.

188 | P a g e
  Protégez vos sites web. Seuls un nombre limité doivent être librement accessibles et, le cas
échéant, ils ne doivent pas faire apparaître les détails de l’architecture et de la conception
du système, les configurations informatiques ou le code source.
 Assurez-vous que les comptes des personnes qui ont quitté le CERN ont bien été clôturés.
 Réduisez chaque fois que possible le nombre de comptes de service.
 Rendez vos ordinateurs moins vulnérables en enlevant les applications non indispensables,
en désactivant les services superflus (web, FTP, etc.), en utilisant les mises à jour et les
applications de correctifs (patchs) automatiques ainsi que des logiciels antivirus à jour pour
les PC (mais aussi pour les dispositifs intégrés comme les oscilloscopes), en migrant de SLC3
à SLC5, en utilisant des pare-feux locaux afin de bloquer les trafics entrants et sortants qui
ne sont pas prévus.
 Protégez les clés SSH privées.
 Pour les réseaux des expériences, passez en revue les ouvertures du pare-feu central et
déterminez pour chaque cas si le dispositif doit être considéré comme fiable ou exposé à
l’extérieur.
Pour savoir comment améliorer la sécurité informatique, consultez les sites web
[Link] et [Link] qui continent des informations sur l’analyse des
risques, la formation, et des recommandations à l’intention des utilisateurs, développeurs et
administrateurs systèmes. Outre les nombreuses présentations de sensibilisation aux questions de
sécurité, des cours de formation sont également disponibles sur l’écriture de codes et
d’applications web sécurisés (voir [Link]

189 | P a g e