Les vulnérabilités qui en résultent peuvent rester dormantes jusqu’à ce qu’une personne mal intentionnée les découvre et décide de frapper fort. Dans le passé, des incidents de sécurité informatique ont mis en danger la réputation du CERN : sites web défacés avec des messages à connotation négative pour l’Organisation, fichiers contenant des « hashes » de mots de passe, données à accès restreint publiées, etc. À la racine du problème, de la négligence !
En consultant la liste du top 10 des erreurs de développement web, vous constaterez que les bévues les plus fréquentes sont : 1) ne pas filtrer les données en entrée, par exemple accepter « < » ou « > » dans les champs de saisie alors que vous n’attendez qu’un nombre ; 2) le manque de validation de ces données : vous vous attendiez à une date de naissance, alors pourquoi acceptez-vous des lettres ou le mois numéro 13 ? ; 3) ne pas gérer correctement les sessions, l’authentification et l’autorisation, par exemple lors de l’utilisation de « cookies », de jetons de sécurité (« tokens ») ou du chiffrement fait maison... Les possibilités d’erreur sont nombreuses, mais ce n’est pas une fatalité. Vous pouvez sécuriser votre application web et la rendre inattaquable en suivant quelques étapes faciles et rapides. Prévenez les incidents de sécurité informatique en suivant notre cours pratique consacré au développement de programmes sécurisés (en anglais uniquement : « Developing secure software » ). Le prochain cours aura lieu le 14 mars prochain et il reste encore quelques places... Inscrivez-vous vite !
Après avoir suivi ce cours, si vous en voulez encore plus, l’équipe de sécurité informatique du CERN, avec l’aide d’un « WhiteHat » de l’équipe réseau mondialement reconnu, propose des cours de formation en profondeur sur les tests d’intrusion et la détection de vulnérabilités (en anglais uniquement : https://indico.cern.ch/category/6159/). Une centaine de personnes ont déjà participé à nos formations pratiques. Vous voulez apprendre à déjouer les hackers? Inscrivez-vous simplement ici ?
N'hésitez pas à contacter l'équipe de la Sécurité informatique ou à consulter notre site web.
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).
Accédez à la collection complète d'articles de l'équipe de la Sécurité informatique ici.