Pour tester sa sécurité, l’Organisation européenne pour la recherche nucléaire mène régulièrement des campagnes d’envergure, notamment via 23 000 emails piégés à son personnel. Signalons aussi des tentatives de vol via de fausses factures. Le CERN, habitué à publier des articles sur la cybersécurité, vient de franchir une étape avec son dernier billet : « Sécurité informatique : réflexions sur les mots de passe ».
Omniprésents, les mots de passe sont la nouvelle cible du CERN dans sa dernière communication : « La perte, la découverte ou le vol de votre mot de passe auraient de graves conséquences pour les accélérateurs, les expériences et les infrastructures informatiques du CERN. Il est donc vital qu’il soit le mieux protégé possible ». Dès le début du mois prochain, de nouvelles mesures sont ainsi mises en place.
- CERN : « nous devons réfléchir au véritable sens du mot « libre » et à ses limites »
- Cybersécurité au CERN : plus de 1 800 personnes sont tombées dans le piège d’un faux email
Partage de mot de passe : le CERN dit « NON »
Irréductibles, les utilisateurs qui se partagent encore des mots de passe vont déchanter : « un message vous informera, par exemple, que tel mot de passe est déjà utilisé par « stefan24 ». Vous serez alors prié d’en utiliser un autre ». Cela signifie par contre que le CERN a, d’une manière ou d’une autre, accès aux mots de passe en clair, ce qui est contraire aux règles élémentaires de sécurité. Sans compter que l’utilisateur pourra accéder au compte de son confrère ; on espère que les deux seront obligés d’en changer !
Surveillant de près la complexité du mot de passe, leur création doit s’appuyer « sur MathGPT de Microsoft afin d’identifier les mots de passe faibles (« n → p + e – + v ») et forts (« Δ 0 → p + π –») ». Le choix d’une solution Microsoft peut surprendre avec le projet Microsoft Alternatives (MALt) lancé en 2019 – renommé depuis Microservice Architecture on Libre Technology (MALT) – et la réflexion sur le sens du mot libre lancée l’année dernière. Au début de l’année, nous avions contacté le CERN, avec pour seule réponse : « Malheureusement, nous n’avons trouvé personne de disponible pour répondre à vos questions », renvoyant simplement vers un billet de blog.
- CERN : « nous devons réfléchir au véritable sens du mot « libre » et à ses limites »
- Le CERN revient sur son projet Microsoft Alternatives (MALt) pour passer sur des solutions open source
Surprenant, surtout quand on connait l’histoire des polices, le CERN impose « que les mots de passe soient écrits uniquement avec les polices de caractères « Courier New » ou « Comic Sans MS », ce qui les rend plus difficiles à utiliser pour des tentatives d’hameçonnage ». Aucune étude ne confirme cette affirmation, mais le Comic Sans MS et le CERN entretiennent une longue histoire d’amour.