Grâce à une analyse en cours des vulnérabilités liées à la présence du CERN sur internet, menée par une société spécialisée externe, l'équipe de sécurité informatique du Laboratoire s’apprête à effectuer des tests de pénétration contre certaines cibles visibles sur la Toile. Le CERN envisage en outre de participer au programme Bug Bounty (un article du Bulletin est déjà prévu à ce sujet). Ainsi nous nous préparons à une évaluation approfondie des faiblesses, des mauvaises configurations et des vulnérabilités au sein du CERN – sur le réseau du campus, le réseau technique et les réseaux dédiés aux différentes expériences.
Les réseaux du CERN sont nombreux, étendus et interconnectés de manière complexe, avec des dizaines de milliers d'appareils enregistrés qui se connectent régulièrement ou sont connectés en permanence, des appareils personnels non contrôlés ou des appareils appartenant à l’internet des objets, qui sont vulnérables par nature et non corrigibles, divers conteneurs et machines virtuelles exécutant des applications arbitraires, mais aussi près de dix mille sites web menant vers des millions de pages web. C’est pour cette raison que l'analyse des vulnérabilités et les tests de pénétration d'un tel environnement sont si complexes, compliqués et fastidieux. Aussi avons-nous décidé de réduire pendant 24 heures, le premier lundi du mois prochain, les protections du pare-feu périmétrique externe pour permettre à toute personne intéressée de s’introduire dans les systèmes du CERN. En ouvrant le pare-feu, autorisant tout trafic entrant, nous faciliterons le travail de la société externe chargée de l’analyse des vulnérabilités du CERN, mais aussi celui des étudiants participant à notre programme WhiteHat, des chasseurs Bug Bounty qui espèrent voir leur nom mentionné sur notre page Kudos, et de toute autre personne, malveillante ou non.
Bien entendu, toutes ces personnes dotées d’une bonne éthique qui scruteront le CERN pendant ces 24 heures sont censées éviter de causer des dommages, et nous signaler immédiatement toutes les vulnérabilités détectées afin de pouvoir les traiter, contrôler, réduire et corriger. Au cas où les analyses et les tests devaient être effectués par des personnes malveillantes, notre système de détection d'intrusion basé sur le réseau, qui est connecté au pare-feu périmétrique externe, restera vigilant et surveillera toutes les activités afin d'identifier à temps leurs mauvaises actions, comme nous y sommes parvenus par le passé. Exceptionnellement, l'équipe de sécurité informatique assurera ses fonctions 24 heures sur 24 et 7 jours sur 7. Nous comptons également sur la solidité et la résilience de vos systèmes, appareils, machines virtuelles/conteneurs et sites web mis à jour, même si nous ne sommes pas en mesure de garantir qu’ils ne subiront aucun dommage. Ce risque est également la raison pour laquelle nous n'ouvrirons le pare-feu que pendant 24 heures : ce laps de temps serré devrait permettre de limiter les éventuels dommages collatéraux.
Donc, préparez-vous : lundi prochain, 1er avril, de 00 h 00 à 23 h 59, nous en apprendrons davantage sur la sécurité du réseau interne du CERN, pour pouvoir ensuite améliorer tous les systèmes qui y sont connectés.
_______
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.