Sécurité informatique : dernière touche pour ...

View in

27 janvier, 2026

|

Par Computer Security Office

Ces deux dernières années, de nombreux dispositifs ont été déployés pour améliorer la sécurité informatique au CERN. Plusieurs changements ont déjà été réalisés suite à l'audit 2023 sur la cybersécurité ; les derniers devraient être apportés en 2026. Dans un numéro précédent du Bulletin, nous avons abordé la question des exigences auxquelles les gestionnaires de services informatiques doivent se conformer. Le présent article traite des modifications qui seront bientôt apportées aux mots de passe et à l'authentification à deux facteurs (2FA). Un prochain article traitera du réseau du CERN.

L'année 2026 devrait voir évoluer rapidement la politique du CERN en matière de mots de passe. Même s'il s'agit d'une combinaison de lettres minuscules et majuscules, de symboles et de chiffres, l'audit a estimé que huit caractères ne sont pas suffisants pour constituer un bon mot de passe. Conformément aux bonnes pratiques, comme celles de la norme NIST 800-63b, les Règles informatiques du CERN exigent des mots de passe d'une longueur minimale de 15 caractères, qui deviennent ainsi des « phrases de passe ». Cela fait beaucoup à mémoriser, mais une phrase de passe est beaucoup plus sûre et difficile à pirater. Et comme il n'est plus nécessaire de recourir à des lettres, des chiffres et des symboles compliqués, une phrase quelconque peut servir de phrase de passe. L'époque des mots de passe tels que « B055man69 », « Joshua », « SamFox99 » ou « a^2+b**2=sqr(c) » est révolue. Place à « Joyeux anniversaire », « Foule sentimentale » ou « Boom Boom Pow ».

Toujours à propos des comptes informatiques, le Bureau de la sécurité informatique prévoit en parallèle un test d'intrusion sur l'Active Directory (AD) du CERN qui sera réalisé par un société externe. L'AD est un service d'annuaire réunissant toutes les informations sur l'informatique au CERN. Elle constitue donc une cible évidente et habituelle pour les attaques par rançongiciel. Si une telle attaque devait réussir, les systèmes informatiques du CERN seraient considérés comme totalement compromis, ce qui entraînerait d'énormes coûts. Il est donc impératif de revoir les paramètres de l'AD actuel, de rechercher les éventuelles failles, d'identifier les vulnérabilités potentielles afin de les corriger rapidement, avant qu'elles ne puissent être exploitées.

Le premier trimestre 2026 devrait voir également se terminer le déploiement de l'authentification à deux facteurs (2FA) au sein de l'Organisation. Alors que la 2FA a été mise en place pour protéger le portail d'authentification unique (« Single Sign-On » ou SSO) en 2023 et 2024, elle n'a été activée sur le service Windows Terminal Services du CERN et le service Linux interactif LXPLUS pour les accès à distance via RDP et SSH qu'en septembre 2025. Même si le processus s'est globalement bien déroulé, il reste un problème : la connexion à distance via RDP et SSH est interrompue lorsque la connexion wifi est coupée ou que votre ordinateur se met en mode veille. Ce point doit encore être corrigé. Vos commentaires sur ce sujet sont les bienvenus. De notre côté, la mise en place avant Pâques 2026 d'un nouveau service VPN marquera un tournant. Le service VPN du CERN a été interrompu en 2007. En effet, à cause de l'exceptionnelle connectivité internet du CERN, le trafic privé ou domestique transitait aussi par le CERN, ce qui présentait un risque pour la vie privée des utilisateurs finaux et la réputation du CERN. Le service VPN sera rétabli avec une meilleure fonctionnalité* et, cette fois, une configuration de tunnel fractionné afin que seul le trafic destiné au CERN puisse transiter.

Affaire à suivre donc. Nous espérons que vous apprécierez ces changements et qu'ils vous permettront de vous connecter à distance plus facilement. Le prochain article portera sur le réseau informatique du CERN et son optimisation.

* Les clients Linux, MacOS et Windows seront pris en charge, de même que le protocole « WireGuard UDP ». Les utilisateurs Android et iOS sont également compatibles. Toutefois, en raison des multiples logiciels clients disponibles, leur prise en charge peut être organisée de manière centralisée.

_______

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d'informations, poser des questions ou obtenir de l'aide, visitez notre site ou contactez-nous à l'adresse [email protected].