Annonces concernant la sécurité informatique du CERN

(Les annonces précédentes se trouvent ici.)

Alertes de sécurité pour Spectre et Meltdown

Le début de cette nouvelle année a été fortement marqué par les vulnérabilités connues sous le nom de Meltdown et Spectre. Meltdown permet de contourner les protections qui empêchent les applications d'accéder à l'espace mémoire privilégié du système. Cette vulnérabilité existe sur tous les processeurs Intel sortis depuis 1995 sauf les processeurs Intel Atom d'avant 2013 et les processeurs Intel Intanium. Cela inclus les ordinateurs vendus par la plupart des vendeurs, comme Apple, Microsoft, Dell, HP et Lenovo. Spectre est similaire mais permet plus généralement à un attaquant d'utiliser le cache présent dans les processeur comme un canal auxiliaire pour lire arbitrairement la mémoire de n'importe quel processus. Contrairement à Meltdown, Spectre n'est pas restreint à Intel mais affecte aussi les processeurs AMD et ARM. Ainsi cette vulnérabilité touche non seulement les ordinateurs mais aussi certains tablettes et téléphones portables. La bonne nouvelle est que Spectre est plus difficile à exploiter, mais d’un autre coté il est théoriquement possible de l'exploiter à partir d'un simple site web attaquant votre navigateur... Cependant, bien qu'un certain nombre de programmes démontrent la faisabilité d'une exploitation, aucune exploitation systématique de Spectre ou Meltdown n'a été reporté pour le moment. Quoi qu'il en soit, nous recommandons à tous nos utilisateurs de garder leurs systèmes à jour en utilisant les mécanismes de mise à jour standards (et automatiques) de leurs équipements Windows, Linux, Max, Android ou iOS.

(Plus de détails (en anglais uniquement) ici)

La sécurité a besoin de vous

« La liberté académique est un bien très précieux, mais, comme toute liberté, elle implique une responsabilité... C'est la responsabilité de chacun et chacune d'entre nous, et non pas simplement des experts du département IT, de protéger notre infrastructure informatique, en trouvant un juste équilibre entre la sécurité, la liberté académique et le fonctionnement harmonieux de nos outils... Au CERN, la sécurité repose en partie sur vous. »

(Lisez plus dans le CERN Bulletin)

Aperçu

Dû à l'environnement académique unique du CERN et à la liberté académique qui lui est associée, la sécurité informatique a été déléguée aux utilisateurs du CERN:

Au CERN, les utilisateurs sont les premiers responsables de la sécurité de leurs PCs, données, systèmes & services.

L'équipe de sécurité informatique - et le département IT - sont prêts à aider les utilisateurs à assumer cette responsabilité et à les assister dans cette tache. Sur ce site Web, vous trouverez:

  • Les règles informatiques du CERN, c.-à-d. ce que vous pouvez faire et ne pas faire lorsque vous utilisez les installations informatiques du CERN;
  • Des recommandations, c.-à-d. des astuces, conseils & « best practices » destinés à vous aider à assumer correctement cette responsabilité;
  • Des formations et du matériel pour débutants & experts;
  • Les services offerts pour vous par l'équipe de sécurité informatique; et
  • Des rapports & présentations dont des rapports mensuels, thèses, rapports de conférences, présentations et plus encore.