View in

English

Sécurité informatique : payer pour chaque vulnérabilité exposée

Mise à jour le 13.05.2024 : Le texte a été modifié pour éliminer la confusion créée par sa formulation quant au programme « Bug Bounty » (étape 3).

_______

Vous souvenez-vous du WhiteHat Challenge du CERN dans le cadre duquel nous avons autorisé des personnes externes au CERN à pirater l’Organisation, à condition qu'elles respectent un ensemble de règles, et formé notre personnel et nos utilisateurs aux tests de pénétration et à l'analyse des vulnérabilités ? Nous souhaitons à présent passer au niveau supérieur...

Les vulnérabilités se cachent partout : dans le système d'exploitation de votre ordinateur de bureau, de votre ordinateur portable ou de votre smartphone ; dans les programmes logiciels que vous exécutez ; dans les applications et le code que vous développez ; dans les pages web, les cadres d’application web et les serveurs web que vous utilisez. Il est essentiel de connaître l'exploitabilité d’une vulnérabilité pour évaluer le risque qu’elle pose : un pirate informatique peut-il tirer un avantage direct de cette vulnérabilité pour commettre un acte malveillant ? Quels sont les obstacles à surmonter au préalable pour y arriver ? À cet égard, les services informatiques directement connectés à internet ou accessibles depuis le Net sont les plus à risque, car chaque vulnérabilité potentielle peut être directement exploitée par les pirates (qui sont légion sur la Toile). Il est donc crucial que cette zone d’attaque, à savoir tous les ports ouverts sur internet des serveurs du pare-feu périmétrique externe du CERN, soit aussi protégée que possible et que toutes les vulnérabilités connues soient éliminées. C’est la raison pour laquelle le CERN a créé le WhiteHat Challenge qui permet aux étudiants en informatique et en sécurité informatique, ainsi qu'au personnel et aux utilisateurs du CERN intéressés, de pirater le CERN.

À présent, et juste à temps pour le nettoyage de printemps 2024, l'équipe de sécurité informatique a décidé de faire preuve d’encore plus de rigueur et d’approfondir les recherches afin de déceler davantage de vulnérabilités, ou des vulnérabilités plus sophistiquées. Pour ce faire, elle a prévu de faire appel à un plus grand nombre de professionnels et de collaborer avec des pirates éthiques, et a adopté une approche en trois étapes (et demie) pour rendre plus sûre la présence du CERN sur internet et ailleurs. Soumis à des règles de base, à un code d'éthique et au cadrage du projet, les pirates sont autorisés à pénétrer dans l'infrastructure du CERN (conformément au contrat et de façon éthique, sans causer de dégâts) afin d'identifier ses vulnérabilités et ses faiblesses :

  1. Au cours de cette première étape, des professionnels externes, ainsi qu’un étudiant du CERN, effectueront une analyse générale des vulnérabilités de l'ensemble de la présence en ligne de l’Organisation afin d'identifier les vulnérabilités les plus évidentes (s'il y en a) et de les corriger ;
  2. lors de la deuxième étape, un test de pénétration approfondi des principaux services, effectué par des pirates éthiques, servira à vérifier que nos mesures de protection sont solides, et sont à même de résister à des vecteurs d'attaque plus complexes ;
  3. une fois les étapes 1 et 2 achevées et les vulnérabilités corrigées, l'équipe de sécurité informatique s'associera pour la troisième étape à un groupe plus large de pirates informatiques éthiques, dans le cadre d’un programme « Bug Bounty », tel que HackerOne ou Bug Bounty Switzerland.

Alors que les deux premières étapes sont intégralement prises en charge par un budget forfaitaire de l’équipe de la sécurité informatique du CERN, celle-ci souhaiterait entamer une discussion sur l'idée d'une facturation croisée pour la troisième étape, qui repose sur le programme « Bug Bounty » – autrement dit « payé par vulnérabilité trouvée » – prise en charge par le propriétaire du système vulnérable correspondant.

C'est cette prime qui incite les pirates éthiques à signaler leurs découvertes. En effet, chaque bogue signalé pour la première fois est récompensé, et contribue ainsi au gagne-pain de la personne qui l’a exposé. Par exemple identifier un problème facile de scripts intersites rapporte 100 CHF ; obtenir des droits super-utilisateur sur un serveur, 500 CHF ; toute information sur les identifiants qui permettent de se déployer sur d’autres services internes, 1 000 CHF, et réussir à compromettre un service permettant de configurer d'autres services (comme Puppet, Git, LDAP ou Active Directory) rapporte 5 000 CHF.

Cette prime devrait également vous motiver ! Au CERN, la sécurité est de la responsabilité de chacun et chacune d’entre nous, aussi les frais liés au Bug Bounty seront partagés. Ainsi, un pirate éthique inscrit au programme Bug Bounty sera récompensé aux frais de votre groupe ou de votre département s’il trouve des failles ou des faiblesses dans une ressource informatique, un service, un système, un appareil ou un site web que vous possédez, gérez ou exploitez, et que l’on constate qu’elles sont dues à la négligence des normes générales de sécurité (parce que vous avez adopté de mauvaises pratiques de programmation, omis de corriger les systèmes, mal géré les secrets et les mots de passe, négligé d’utiliser la page web d'authentification unique (SSO) du CERN, etc.). C'est à vous de choisir : préférez-vous payer les frais liés aux vulnérabilités exposées par un pirate informatique ou que l’on vous encourage à investir davantage pour mettre aux normes générales votre système et votre service, vos appareils et vos sites web ? L’équipe chargée de la sécurité informatique au CERN serait heureuse de vous y aider.

_______

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais uniquement). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.