Après le nouveau portail d'authentification unique, Single Sign-On (« Découvrez la nouvelle page d'authentification unique ») et la prochaine mise en place d'une solution d'authentification multi-facteurs (« Un deuxième facteur à la rescousse »), les équipes en charge de la gestion des identités et de la sécurité informatique se penchent à présent sur l'utilisation des mots de passe au CERN. Préparez-vous à une petite révolution.
Le mot de passe de votre compte CERN est la clé principale pour accéder aux ressources informatiques du CERN telles que la messagerie du CERN, Indico, EDH, EDMS, LXPLUS, etc. Une clé qui vous ouvre toutes les portes. Un unique mot de passe qui, si vous le perdiez, mettrait sérieusement en danger le CERN et vos données (« Protégez votre famille »). Sur le marché noir, des mots de passe de ce type s'achètent 50 USD l'unité. Des personnes malintentionnées peuvent alors détourner l'usage d'un compte CERN, notamment pour envoyer des courriels indésirables, exécuter des tâches informatiques non autorisées sur nos clusters de calcul (comme le minage de crypto-monnaies : « Attention à la puissance de calcul ») ou télécharger « gratuitement » depuis nos bibliothèques numériques des logiciels sous licence CERN ou des publications. Pire encore, le vol d'un mot de passe peut déboucher sur une attaque ciblée visant à prendre le contrôle des services informatiques, voire des accélérateurs ou des expériences. C'est pourquoi nous insistons sur la mise en place d'une solution centrale d'authentification multi-facteurs pour les services les plus importants (« Un deuxième facteur à la rescousse »).
Mais comment fait-on pour perdre un mot de passe ? Dans la majorité des cas, par manque de vigilance. Par exemple, un pirate réussit à vous convaincre de lui communiquer votre mot de passe (« hameçonnage ») ou vous incite à cliquer sur un lien, ce qui infecte entièrement votre ordinateur et permet au pirate de récupérer des mots de passe et de causer plus de dommages encore (« Cliquez… ou pas »). Le deuxième cas de figure est l'attaque par force brute, en essayant de se connecter avec toutes sortes de mots de passe en espérant trouver le bon. Enfin, troisième cas de figure, plus improbable : le vol de la base de données du CERN contenant les mots de passe cryptés. Le département IT suit les pratiques habituelles en matière de technologies de l'information pour protéger les informations confidentielles et faire en sorte que les personnes au CERN ne soient pas victimes de hameçonnage ou d'un virus (« Protégez vos clics »). Des campagnes de sensibilisation (« Je t’aime ») conseillent en principe de S'ARRÊTER – RÉFLÉCHIR – NE PAS CLIQUER afin de protéger vos ressources numériques. Mais nous pouvons faire mieux.
C’est à ce niveau qu'aura lieu une petite révolution. Le nouveau système d'authentification et d'autorisation rendra inutiles les changements annuels de mots de passe. Vous n'aurez plus qu'à choisir un seul mot de passe fiable une fois pour toutes. Ce mot de passe amélioré pourra soit être très complexe, associant comme aujourd'hui majuscules et minuscules, symboles et chiffres, soit correspondre à une phrase de passe très longue (plus de 24 caractères) sans avoir à recourir à ce savant mélange de lettres, symboles et chiffres. À vous de choisir. Bien entendu, votre mot de passe ne devra pas inclure des mots que l'on trouve dans les dictionnaires ou leurs variantes (par exemple, « C3RN »). De même, il ne sera pas possible de réutiliser d'anciens mots de passe, même légèrement modifiés (passer par exemple de « CERN2019 » à « CERN2020 »). En outre, il sera très important de ne pas réutiliser votre mot de passe CERN pour accéder à des services informatiques extérieurs au CERN. Les Instagram, Amazon et Facebook de ce monde méritent bien leur propre mot de passe. S'appuyant sur la base de données HaveIBeenPwned (« Comment perdre facilement un mot de passe ») et sur d'autres du même type, des contrôles automatiques réguliers mis en place au CERN permettront de s'assurer qu'un mot de passe identique à votre mot de passe CERN n'a pas été découvert et rendu public. Si votre mot de passe apparaît sur ces bases de données, on vous demandera d'en choisir un meilleur. Enfin, souvenez-vous qu'un mot de passe c'est comme une brosse à dents : il ne se partage pas ni avec ses collègues, ni avec son superviseur, ni avec nous ou le Service Desk.
Finalement, nous renforcerons notre protection contre les attaques par force brute. Si, en l'espace d'une minute, 30 tentatives de connexion à votre compte échouent, votre compte sera bloqué une minute de plus. Si les tentatives de connexion se poursuivent et continuent à échouer, nous bloquerons votre compte plus longtemps, jusqu'à 15 minutes. Plus généralement, si une adresse IP donnée essaie de se connecter au CERN sur un ou plusieurs comptes et qu'elle échoue 20 fois ou plus en l'espace d'une heure, nous l'empêcherons de se connecter une heure supplémentaire. Nous utiliserons à cet effet le logiciel open source Fail2Ban.
En résumé, grâce au nouveau système d'authentification, vous n'aurez plus à inventer un nouveau mot de passe tous les ans. Cependant, pour protéger au mieux vos ressources numériques, nous examinerons régulièrement la qualité de votre mot de passe et nous bloquerons votre compte si nous considérons que le mot de passe présente des risques (par exemple, s'il a été rendu public ou qu'il y a eu trop de tentatives avortées d'accéder à votre compte). Alors, marché conclu ?
______
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais uniquement). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.