L'infrastructure informatique du CERN est vaste et hétérogène, dynamique et complexe. La sécuriser s’apparente à un marathon. Il faut essayer de devancer les nouveaux déploiements afin d’assurer une protection convenable, même si, souvent, on a toujours un temps de retard et on ne peut alors que tenter de reprendre le contrôle. Le Bureau de la sécurité informatique n’a pas attendu l'audit 2023 sur la cybersécurité pour chercher à corriger les failles les plus évidentes dans la sécurité informatique du CERN, et il poursuivra ses efforts en 2025 et au-delà.

Des mesures très précoces visant à garder le contrôle avaient été mises en place dès les années 2 000, lorsque le pare-feu du périmètre extérieur du CERN est passé de « ouvert la plupart du temps » à « fermé avec contrôle des ouvertures ». Depuis, tous les accès entrants nécessitent une ouverture spécifique tandis que le trafic sortant est bloqué par défaut sur tous les ports dits « inférieurs » (c'est-à-dire les ports 0-1023/tcp et udp). Ce faisant, le CERN a retrouvé de la visibilité et repris le contrôle sur le genre de trafic qui entre et sort du CERN, garantissant ainsi une protection adéquate et la détection précoce d’un problème. Première faille corrigée.

Toujours dans les années 2 000, le réseau technique (TN) a été dissocié de ce qui s’appelait alors le réseau à usage général (GPN), de sorte que seuls les hôtes formellement autorisés pouvaient communiquer entre les deux mondes. Bien que cela ait fourni un premier niveau de contrôle et de protection, le mécanisme « fiable/exposé » basé sur de simples adresses IP et des listes de contrôle d'accès (ACL) est resté simple, vague et encore trop ouvert. C’est pourquoi ce mécanisme sera remplacé durant le troisième long arrêt (LS3) par une paire de pare-feu entièrement redondants, mieux à même de filtrer et de choisir entre un trafic désirable ou indésirable. Lors du déploiement de ces pare-feu, tous les services informatiques centraux et certains systèmes de contrôle devront établir clairement quelles parties (par exemple, le « front-end ») doivent rester ouvertes entre les réseaux, une restriction basée sur la nécessité, et non parce que c’est pratique. Deuxième faille corrigée.

De même, le réseau actuel du campus (c'est-à-dire une grande partie du réseau à usage général, hébergeant les ordinateurs de bureau et le réseau sans fil) sera dissocié des réseaux du centre de données du CERN par un ensemble similaire de pare-feu. Quant au réseau technique, les clients du département IT du CERN auront accès uniquement aux serveurs et services nécessaires ; les « procédés internes » demeureront dans les centres de données et ne seront plus accessibles aux tiers. Troisième faille corrigée.

En ce qui concerne la sphère web du CERN, à savoir sa « présence sur internet », plusieurs tests de pénétration différents ont mis au jour à plusieurs reprises des faiblesses, des erreurs de configuration et des vulnérabilités. Aujourd'hui encore, c'est le webmaster qui décide quel site web peut être vu par le public ou non, sans que le Bureau de la sécurité informatique n’intervienne. En déployant un pare-feu d’application web (WAF), une couche de contrôle et de protection sera ajoutée et permettra de repérer les erreurs les plus grossières. Établir des « principes de sécurité » obligatoires aidera les propriétaires de sites web à améliorer encore plus la sécurité de leurs sites. Deux autres failles corrigées.

Alors qu’une nouvelle application de messagerie a déjà corrigé des failles liées aux courriels malveillants, aux tentatives d’hameçonnage, etc., le déploiement, en 2024, de mesures contre la mystification (« SPF/DKIM/DMARK »), ainsi que le déploiement prochain de mesures de protection contre l'usurpation d’identité, protégeront davantage les boîtes aux lettres électroniques du CERN contre les personnes malveillantes. Une pierre deux coup qui aura permis de corriger simultanément plusieurs failles.

Passons aux comptes CERN. En février 2025 a pris fin une campagne de deux ans visant à déployer l'authentification à deux facteurs (2FA) sur tous les comptes primaires et secondaires du CERN. Elle a pris fin du moins pour le dispositif d'authentification unique (SSO) du CERN, qui protège désormais l'accès de nombreux sites web du CERN. Une faille importante a ainsi été corrigée. D'autres failles le seront avec le déploiement de l’authentification à deux facteurs pour le service Linux interactif du CERN (LXPLUS) et le service Windows Terminal (CERNTS). Par ailleurs, des discussions ont été lancées quant à la manière d’améliorer la sécurité des comptes dits de service (authentification à deux facteurs ?) et de mieux différencier les comptes secondaires (comptes alternatifs utilisés par des personnes) des comptes de service (pour les applications et les tâches automatisées). Bien que cela ne soit pas encore confirmé, les règles du CERN en matière de mots de passe devraient changer cette année, abandonnant la pratique du « mélange de lettres majuscules et minuscules, de chiffres et de symboles » pour la remplacer par une phrase passe de 15 caractères: « Fais de ta vie un rêve, et d’un rêve, une réalité », et même « Mmm Mmm Mmm Mmm » deviendront des mots de passe acceptables. La faille créée par des règles en matière de mots de passe trop faibles devrait être bientôt corrigée.

Qu’il subsiste des failles est bien sûr normal. Et de nouvelles feront leur apparition. Avec le Comité de sécurité informatique, les règles subsidiaires existantes et les nouvelles, régies par les Règles informatiques du CERN, ont été approuvées officiellement, tout comme le seront les règles futures, ce qui permettra de contrôler le paysage informatique du CERN, vaste et hétérogène, dynamique et complexe, d’apporter des niveaux de protection supplémentaires et de remédier aux futures failles (de sécurité).

________

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, Lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.