Le Bureau de la sécurité informatique a récemment signalé un incident de cybersécurité au niveau d’un site distant du niveau 2 de la Grille de calcul mondiale pour le LHC (WLCG). Les attaquants ayant infiltré en profondeur des dizaines de serveurs, dont ils ont pris le contrôle pour miner des cryptomonnaies, le site s’est retrouvé compromis jusqu’aux os. Et ce pendant des mois. Si le butin des attaquants pourrait s’élever à plusieurs dizaines de milliers de dollars, les coûts pour le site du niveau 2 s’annoncent également considérables. Faisons les comptes :

• Au lieu d’effectuer des calculs de physique, certains nœuds minaient des cryptomonnaies. Aussi de l’électricité financée par le niveau 2 était convertie en Bitcoin avant de finir dans la poche des attaquants. De plus, pendant ce temps, les ressources de calcul ne pouvaient pas être allouées à de l’analyse pour la physique.
• Le site est déconnecté depuis que l’attaque a été détectée, en octobre 2024. Après plusieurs mois sans pouvoir utiliser les nœuds de calcul, les pertes sèches peuvent être estimées à environ 5 % de la puissance de calcul investie du site (en supposant une durée de vie du matériel de huit ans).
• Vient s’y ajouter le coût des atteintes à la réputation, causées par la mauvaise publicité et les critiques des médias.
• L’ensemble de l’équipe d’administration système s’efforce depuis de répondre à l’incident, ce qui retarde inévitablement tout nouveau développement de logiciels. Une équipe de cinq personnes occupées pendant quatre mois correspond à 20 mois-personne (MP) en termes de salaires versés pour ne rien produire. Durant ces derniers mois, le Bureau de la sécurité informatique du CERN a également investi environ 0,5 MP en conseils, investigations et expertise.
• Le rétablissement complet du site nécessitera encore plus de temps et de ressources, et exigera des fonds pour des consultations, des analyses et peut-être même des formations auprès d’organismes extérieurs pour éviter que cet incident ne se reproduise.

Bien entendu, nous ne pouvons pas dévoiler la devise locale ni les salaires moyens, c’est pourquoi nous ne diffusons pas de chiffres. Mais en valeurs abstraites, sur l’ensemble des six ou huit mois dédiés à la détection, la réponse et la réinstallation, le coût de l’attaque s’élèvera à 30–40 MP et à 10 % de l’investissement du site en calcul, soit à 10 % de sa capacité de calcul dédiée, des chiffres qui sont loin d’être négligeables.

Ces valeurs doivent surtout être comparées aux coûts de mise en œuvre au préalable de mesures de sécurité adéquates. En réalité, « au préalable » ne veut pas dire grand-chose, puisque de toute façon, ces mêmes mesures de sécurité devront être mises en place après un incident. Toutes les personnes chargées de réaliser des audits ou de répondre à des incidents, et, dans ce cas précis, les attaquants eux-mêmes (!), nous incitent à mettre en place de telles mesures. Et en investissant 40 MP et 10 % des dépenses de fonctionnement d'un centre de calcul, il est déjà possible de disposer de mécanismes de sécurité efficaces, comme des pare-feux, une meilleure surveillance et de meilleures configurations. Et vous, alors ? Êtes-vous prêt à agir avant ou après un incident ?

_____

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité information au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.