<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> <link rel="stylesheet" href="/style.css" type="text/css" /> <script type="text/javascript" src="/jquery.min.js"></script> <title>CERN Computer Security Information</title> <script type="text/javascript"> $(document).ready(function(){ // Menu highlight var path = location.pathname.split("/"); if ( path ) { $('#main_menu a[href*="' + path[1] + '"][class!="noselect"]').addClass('selected'); // path[3] = /security/<xxxxx>/ $('#sidebar ul.sidemenu li[class!="noselect"]:has(a[href$="' + path.reverse()[0] + '"])').addClass('selected'); } // Add icon to external links $('a[id!=logo-img]').filter(function() { return this.hostname && this.hostname !== location.hostname;   }).after(' <img src="/images/external_link.png" alt="external link" title="external link"/>'); }); </script> </head> <body> <div id="wrap"> <div id="top-bg"></div> <!--header --> <div id="header"> <div id="logo-text"> <a id="logo-img" href="https://home.cern/"><img src="/images/CERNLogo2.png" width="59" height="59" style="margin: 10px" alt="CERN Logo"/></a><div id="logo-text-big"><a href="/home/fr/index.shtml" title="">CERN Computer Security</a></div> </div> <div id="header-logo"><a href="/services/fr/emergency.shtml"><img width=335 src="/images/emergency.png" alt="Computer Emergencies"/></a></div> </div> <!--header ends--> <div id="header-photo"></div> <!-- navigation starts--> <div id="nav"> <ul id="main_menu"> <li><a class="noselect" href="/home/en/index.shtml"><img src="/images/gb.png" alt="EN" title="EN"/></a></li> <li><a href="/home/fr/index.shtml">Accueil</a></li> <li><a href="/rules/fr/index.shtml">R&egrave;gles informatiques</a></li> <li><a href="/recommendations/fr/index.shtml">Recommandations</a></li> <li><a href="/training/fr/index.shtml">Formation</a></li> <li><a href="/services/fr/index.shtml">Services</a></li> <li><a class="secured" href="/reports/fr/index.shtml">Rapports &amp; Pr&eacute;sentations</a></li> </ul> </div> <!-- navigation ends--> <!-- content-wrap starts --> <div id="content-wrap"> <div id="main"> <h2>Les notifications de login à distance</h2> <p>L'objectif de la « notification de login à distance » est d'envoyer une notification aux utilisateurs afin de détecter si certains comptes pourraient être compromis.</p> <p>Nous avons observé un certains nombre de machines (Linux ou Windows) et d'applications Web compromises en dehors du CERN, dans des laboratoires ou des universités en particulier, et qui tentent de voler mot de passe de ceux qui se connectent à ces services. Les utilisateurs ne remarquent pas nécessairement que leur mot de passe a été dérobé, et continue à se connecter au CERN via SSH, le CERN SSO, ou le service Windows Terminal. Ces connections s'effectuent la plupart du temps à partir d'un <i>certain nombre d'emplacements géographiques définis</i>, par exemple, de la maison, d'université, ... Les attaquants ayant volé le mot de passe d'un utilisateur, vont également tenter de ce connecter au CERN, mais pas nécessairement de l'endroit « habituel » de l'utilisateur.</p> <p>Par conséquent, chaque fois que l'équipe de sécurité détecte une connexion à partir d'un emplacement « jamais » utilisé auparavant (dans les mois précédents), l'utilisateur recevra une sorte de « notification de login à distance ». Ce « nouvel » emplacement géographique peut être un lieu de la conférence ou un hôtel utilisé lors de déplacements privés ou professionnels. Pour chaque nouvelle connexion et sa notification, il y a deux possibilités:</p> <ul> <li>Si cette connexion est une connexion légitime, par exemple, dans le cas où vous vous êtes véritablement connecté à partir d'un hôtel ou depuis chez vos amis, tout va bien et aucune réponse de votre part n'est attendue;</li> <li>Si cette connexion n'a pas été initiée par vous, <b>contactez <a href="Computer.Security@cern.ch">Computer.Security@cern.ch</a></b>, car cela signifie que votre compte a très probablement été compromis;</li> <li>En cas de doute, nous vous recommandons de <a href="https://account.cern.ch/account/CERNAccount/ChangePassword.aspx">changer votre mot de passe</a>.</li> </ul> <p>Une notification sera envoyée uniquement lorsqu'un nouveau nom de domaine ou nouvel emplacement géographique est utilisé, mais pas pour toutes les différents adresses IP dans un seul domaine. Par contre, dans tous les cas, le nouveau domaine ou emplacement géographique sera alors placé sur liste blanche, de sorte que vous ne sont pas notifié à répétition si vous reconnectez de nouveau depuis le même emplacement. Il est également possible que l'attaquant se connecte depuis la même machine que vous, auquel cas les « notifications SSH » ne fournissent pas d'aide supplémentaires pour détecter les comptes compromis. Aussi, si l'emplacement géographique d'une de vos connections n'est plus utilisé pendant environ trois mois, il sera purgé de la liste blanche. Vouz pouvez consulter et éffacer vos emplacements graphiques sur <a href="https://my-logins.web.cern.ch/">cette page dédiée</a></p> <p>Veuillez noter que pour les humains, les « emplacements géographiques » sont beaucoup plus faciles à comprendre que les « Adresses IP ». Par conséquent, nous utilisons un service de géolocalisation pour essayer de vous donner une idée de l'emplacement géographique des adresses IP utilisées lors de vos connections. Habituellement, cela fonctionne assez bien, mais il y a parfois des inadéquations. Vous pouvez de votre coté utiliser ce genre de service sur <a href="http://en.utrace.de">http://en.utrace.de</a> en saisissant l'adresse IP que vous souhaitez localiser.</p> <p>A noter également que le CERN offre de multiples façons d'accéder à ses services, y compris Web, Mail, et SSH. Nous travaillons constamment pour améliorer la qualité des « notification de login à distance » », mais il n'est pas encore possible de couvrir tous les services utilisés au CERN. Par conséquent, en fonction du service que vous utilisez, vous recevrez ou non une notification.</p> </div> <!-- main ends --> <!-- SIDEBAR --> <!-- sidebar menu starts --> <div id="sidebar"> <ul class="sidemenu"> <li><a href="/home/en/privacy_statement.shtml">Déclaration de confidentialité (en anglais)</a></li> </ul> <h3>R&eacute;ponse aux incidents de s&eacute;curit&eacute; informatique</h3> <ul class="sidemenu"> <li><a href="/services/fr/emergency.shtml">Urgences</a> <li><a href="/services/fr/sems.shtml">« Self-Mitigation Portal »</a></li> </ul> <h3>Conceil, tests de pénétration et évaluations</h3> <ul class="sidemenu"> <li><a href="/services/fr/reviews.shtml">...sur demande</a> <li><a href="/services/fr/whitehats.shtml">« CERN WhiteHat Challenge »</a> </ul> <h3>Détection d'intrusion machine</h3> <ul class="sidemenu"> <li><a href="/services/fr/csl.shtml">« Logging » central pour la s&eacute;curit&eacute;</a></li> <li><a href="/services/fr/password_dumps.shtml">Notifications de « dump de mot de passe »</a></li> <li><a href="/services/fr/receipts.shtml">Les notifications de login à distance</a></li> </ul> <h3>Contrôle du trafic & surveillance</h3> <ul class="sidemenu"> <li><a href="/services/fr/dns.shtml">Analyse DNS</a></li> <li><a href="/services/fr/dnim.shtml">Analyse statistique du trafic</a></li> <li><a href="/services/fr/ids.shtml">D&eacute;tection des intrusions sur le reseau</a></li> <li><a href="/services/fr/firewall.shtml">Le pare-feu du périmètre extérieur</a></li> <li><a href="/services/fr/spam.shtml">Filtrage « SPAM »</a></li> </ul> <h3>« Scans » de vuln&eacute;rabilit&eacute;s</h3> <ul class="sidemenu"> <li><a href="/services/fr/passwords.shtml">« Crackage » de mots de passe</a></li> <li><a href="/services/fr/device_scans.shtml">Scans des appareils</a></li> <li><a href="/services/fr/web_scans.shtml">Scans des application Web</a></li> <li><a href="/services/fr/network_scans.shtml">Scans du r&eacute;seau</a></li> </ul> </div> <!-- sidebar menu ends --> <!-- content-wrap ends--> </div> <!-- footer starts --> <div id="footer-wrap"> <div id="footer-bottom"> &copy; Copyright 2024<strong> <a href="https://cern.ch/security">CERN Computer Security Office</a></strong> <table> <tr> <td id="footer-info-left"> e-mail: <a href="mailto:Computer.Security@cern.ch">Computer.Security@cern.ch</a><br/> Utilisez la cl&eacute; PGP suivante pour encrypter vos messages : <br/> ID: 0x954CE234B4C6ED84<br/> <a href="https://keys.openpgp.org/vks/v1/by-fingerprint/429D60460EBE8006B04CDF02954CE234B4C6ED84">429D 6046 0EBE 8006 B04C DF02 954C E234 B4C6 ED84</a> </td> <td id="footer-info-right"> T&eacute;l&eacute;phone: +41 22 767 0500<br/> (&Eacute;coutez les instructions enregistr&eacute;es.) </td> </tr> </table> </div> </div> <!-- footer ends--> </div> <!-- wrap ends here --> </body> </html>