View in

English

Sécurité informatique : nettoyage de printemps

|

Computer security blog
(Image: CERN)

Le printemps arrive à grands pas et, selon une fameuse tradition, c’est le moment de faire ce que l’on appelle « le ménage de printemps » : nettoyer soigneusement toutes les pièces, refaire les peintures, réparer des carreaux de carrelage cassés, redécorer son intérieur, se débarrasser des vêtements que l’on ne met plus (ou qui, allez savoir pourquoi, ne sont plus à votre taille), jeter les objets qui ne font que prendre la poussière. Et, par la même occasion, pourquoi ne jetteriez-vous pas un coup d’œil à vos ressources numériques, en particulier celles hébergées par le CERN ?

En effet, vos ressources numériques méritent elles aussi un bon nettoyage, quelques réglages, un dépoussiérage, et doivent même parfois être supprimées. Il est admis que la création de ressources numériques est une opération simple qui répond généralement à un besoin. L’incitation à la création est une réalité. Le problème est qu’une fois qu’un dispositif, une machine virtuelle, un contenant, un site web, une application ou un programme est déployé et opérationnel, il est rare que l’on ait envie de s’occuper de sa maintenance. En effet, si la ressource fonctionne correctement, à quoi bon ? Beaucoup de ressources sont ainsi laissées à l’abandon, et continuent de consommer de l’énergie et d’augmenter le nombre de cycles exécutés par le processeur, de bloquer l’espace disque, d’absorber la bande passante du réseau, et elles représentent un risque croissant pour la sécurité informatique. La vulnérabilité la plus récente, « log4shell », a elle aussi mis ce problème en évidence. En effet, lorsqu’il a été demandé aux personnes de corriger la vulnérabilité dans des « conteneurs Openshift » (des dizaines de conteneurs avaient été infectés), près de la moitié de leurs propriétaires ont préféré supprimer la totalité du conteneur car ils n’en avaient plus besoin. Cela signifie donc que 50 % des ressources sont inutilisées.

C’est pour cela que, à l’approche du printemps, nous aimerions vous encourager à passer en revue vos ressources numériques. Aidez-nous à faire des économies en termes d’énergie, de coûts de licence, d’espace disque et de cycles de processeurs, et contribuez à réduire l’exposition du CERN aux cybermenaces, et donc aux cyberattaques. Nous vous invitons à parcourir la liste suivante et à vous assurer que vos ressources sont à jour et disposent des correctifs nécessaires (voir notre article du Bulletin : « La beauté n’est pas toujours là où l’on croit »), ou vous pouvez tout simplement éliminer les ressources dont vous n’avez plus besoin.

  • Pour vos comptes, notamment les comptes secondaires et les comptes de service, rendez-vous sur https://account.cern.ch/account/Management/ MyAccounts.aspx (en anglais). Pour supprimer les comptes individuels, sélectionnez le compte concerné puis cliquez sur « Delete Account » (supprimer le compte) sur la partie droite. Si ce compte est utilisé par d’autres personnes, pensez à les contacter avant de le supprimer.
  • Pour vos appareils (PC, ordinateurs portables, téléphones portables, etc.), rendez-vous sur https://network.cern.ch/sc/fcgi/sc.fcgi? Action=SelectForDisplay (en anglais et accessible uniquement depuis le réseau du CERN) et recherchez votre nom de famille. Pour supprimer un appareil individuel, sélectionnez l’appareil concerné puis cliquez sur « [Remove This Device] » (supprimer cet appareil) en bas de la page.
  • Pour vos sites web (notamment sur Sharepoint et Drupal et les projets Openshift), rendez-vous sur https://webservices-portal.web.cern.ch/my-sites (en anglais). Pour supprimer un site web individuel, sélectionnez le site concerné puis cliquez sur « Delete [SITE NAME] » (supprimer [NOM DU SITE]) dans la barre d’outils de gauche. Attention, pensez à contacter les autres modérateurs potentiels avant de le supprimer.
  • Pour vos bases de données, rendez-vous sur https://resources.web.cern.ch/resources/ Manage/DbOnDemand/Resources. aspx (en anglais) pour les bases de données à la demande, ou sur https://resources.web.cern.ch/resources/ Manage/Oracle/Resources.aspx (en anglais) pour les bases de données Oracle. Pour supprimer un compte individuel se trouvant sur une base de données à la demande, cliquez sur « [delete] » (supprimer) à droite de la base de données ou sélectionnez la base de données Oracle puis cliquez sur « Delete Account » (supprimer le compte) sur la partie droite.
  • Pour vos e-groupes, rendez-vous sur https://e-groups.cern.ch/e-groups/EgroupsSelectShowEgroups OfMember.do# (en anglais). Pour supprimer un e-groupe individuel, sélectionnez le e-groupe concerné puis cliquez sur « Delete » (supprimer) en bas de la page. Attention, pensez à contacter les autres administrateurs potentiels avant de le supprimer.
  • Pour les machines virtuelles, rendez-vous sur https://openstack.cern.ch/project/ (en anglais) et faites un nettoyage pour tous les projets et « tenants ». Les machines virtuelles gérées par Puppet doivent être supprimées au moyen de la commande « ai-kill ».
  • Pour les ouvertures du pare-feu périmétrique externe, suivez les instructions correspondantes selon qu’il s’agit d’un appareil ou d’une machine virtuelle. Pour les appareils, sélectionnez l’appareil concerné puis cliquez sur « [Update this Information] » (mettre l’information à jour) en bas de la page, allez ensuite dans la section « Central Firewall Configuration » (configuration du pare-feu central) de cette nouvelle page, cochez la case « Remove » (supprimer) puis cliquez sur le bouton « Send Request: UPDATE INFORMATION>>> » (envoyer la demande : mettre l’information à jour) en bas de la page. Pour les machines virtuelles, reportez-vous à la configuration de votre Puppet (https://configdocs.web.cern.ch/firewall/cern.html) (en anglais). Enfin, si votre appareil ou votre machine virtuelle fait partie d’un ensemble de pare-feu (https://security.web.cern.ch/services/fr/firewall. shtml), il suffit de le/la retirer de cet ensemble via la page de gestion https://landb.cern.ch/landb/portal/ sets/displaySets (en anglais) ; ou de le/la supprimer à partir du Hiera correspondant, « cernfw_landbset » (https://configdocs.web.cern.ch/firewall/cern.html) (en anglais).
  • Pour vos abonnements, rendez-vous sur https://resources.web.cern.ch/resources/ Manage/ListServices.aspx (en anglais). Pour reconfigurer un service ou vous désabonner, sélectionnez le service concerné et suivez les instructions figurant sur la page qui s’ouvrira.

Nous tenons à vous remercier d’avoir pris le temps de parcourir cette liste. Nous apprécions vos efforts, grâce auxquels nous pourront réduire l’impact environnemental du CERN ainsi que son exposition aux attaques informatiques. Nous vous souhaitons un bon nettoyage de printemps !

_______

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.