Sécurité informatique : plus beau le CERN

View in

2 octobre, 2025

|

Par Computer Security Office

Berceau du World Wide Web, le CERN offre au monde entier une pléthore de sites web intéressants. Outre CDS, EDMS, Indico et Zenodo, qui sont des services web centraux du CERN, il y a également Drupal, SharePoint et WordPress dont le contenu est plus ou moins modéré, ainsi que les services DFS et OpenShift, qui hébergent plus de 10 000 sites web différents, truffés d'informations sur le CERN, les projets et les plans, les systèmes et les services, les technologies et les mises en oeuvre, les conférences et les réunions, les travaux et les comptes rendus, les réalisations personnelles et les réussites, etc. Si nombre de ces 10 000 sites web sont de véritables joyaux, d'autres sont des horreurs : certains d'entre eux sont entièrement vides, d'autres sont défectueux et donnent des codes d'erreur. Il peut s'agir de sites d'essai, de sites pour dire seulement « Bonjour tout le monde », de sites abandonnés ou orphelins. Plusieurs ne sont plus consultés depuis très longtemps. Ils font néanmoins tous partie de la sphère web du CERN.

Ces sites web abandonnés ou défectueux non seulement sont laids ou inutiles et donnent une impression négative de notre Organisation, des moteurs de recherche y collectent également des informations qui sont ensuite indexées ; ces sites servent aussi à entraîner des modèles d'intelligence artificielle. Certains, mis en miroir, entrent dans les annales de la mémoire infiniment profonde d'internet. Est-ce là l'image que le CERN souhaite donner ? Ou devrions-nous faire peau neuve ? Nous refaire une beauté ?

Sur le plan de la sécurité, les sites web abandonnés, vides ou défectueux constituent un risque. De même que les voitures abandonnées ou les maisons aux vitres cassées dans certains quartiers invitent à la destruction et incitent à la criminalité (selon la « théorie dite de la vitre brisée »), les sites web défectueux invitent les pirates informatiques et les hackeurs amateurs (script kiddies) à les explorer plus en profondeur (lire également à ce sujet notre article intitulé « Espace numérique et théorie du carreau cassé »). Ils y recherchent des vulnérabilités ou des données confidentielles, qui peuvent émerger en raison du manque de maintenance du site web, de messages d'erreur trop verbeux, de pages d'accueil par défaut divulguant des informations internes, d'une structure de dossiers non protégée ou de fonctions cachées exposées par erreur. Rien donc de particulièrement attrayant...

Nous pouvons faire mieux que cela. Montrons-nous donc sous notre plus beau jour. Mettons-nous sur notre trente et un. Et rafraîchissons notre présence sur le web. Juste un peu, sans exagérer. Il s'agit de veiller à ce que tout site web qui est hébergé au CERN et visible sur internet...

• ait un propriétaire, ne soit pas abandonné, que les sites orphelins trouvent un nouveau foyer et que les sites obsolètes et anciens soient définitivement supprimés. Plus personne ne s'intéresse vraiment au lycée Eichendorff de Coblence, en Allemagne (ABI - 1973 - Eichendorff Gymnasium Koblenz), n'est-ce pas ?
• fournisse aussitôt des informations lisibles et cohérentes (et non un simple « Bonjour tout le monde » ou « Stefan était ici ») et dispose d'une bonne page d'accueil, même s'il n'était pas prévu qu'on y accéde (les résolutions DNS, les scanners automatiques et les recherches sur le web pourraient toutefois toujours les trouver) ;
• vous redirige, autrement, vers la page web « home.cern » ou le département, le groupe, la section ou le service correspondant ;
• soit fonctionnel, entretenu et à jour ;
• détecte toute erreur éventuelle, notamment lorsque le site web héberge du contenu dynamique, et les indique de manière claire mais concise ;
• ne donne aucune information de débogage ou de traçage ;
• utilise le système d'authentification unique (SSO) du CERN au lieu de fournir un identifiant local susceptible d'être exploité, et
• utilise CERNBox, EOS ou xroot/xrddcp au lieu d'exposer directement les fichiers dans une arborescence de répertoires non formatée.

Les principes de sécurité pour les applications web (« Security Principles for Web Applications »), établis et approuvés par le Comité de sécurité informatique visent à donner davantage de conseils (techniques). S'il est déjà attendu que l'on se conforme à ces principes, le Bureau de la sécurité informatique prévoit en 2026 de renforcer leur mise en application afin de repérer les bogues et les mauvaises configurations et de rendre notre présence sur le web plus sûre et plus plaisante.

Merci de nous aider à y parvenir !

_______

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d'informations, poser des questions ou obtenir de l'aide, visitez notre site ou contactez-nous à l'adresse [email protected].