Une cyber-attaque est un accès non autorisé à un ordinateur, à un système d’information ou à une infrastructure avec l’intention malveillante de voler des documents sensibles, compromettre le réseau, vandaliser les ressources ou d’utiliser les ressources informatiques pour d’autres actions malveillantes perpétrées par des individus, des organisations ou des nations.

Dans ce dossier, nous définissons un environnement de calcul HPC comme une ressource de calcul fonctionnant sous le système d’exploitation Linux (OS) avec au moins 500 à 1000 nœuds de calcul totalisant 4000 à 12000 cœurs de calcul. Ils ont tous invariablement en commun un haut débit, une faible latence, et une structure de réseau d’interconnexion haute performance telle qu’Infiniband. Ils disposent également des baies de stockage de l’ordre de centaines de téraoctets à plusieurs pétaoctets. Ces types de ressources sont utilisés simultanément par une moyenne de 200 à 300 utilisateurs au sein de la plupart des environnements de recherche universitaires dans les universités à tout moment même si elles peuvent avoir plus de 1000 utilisateurs au glbal. La complexité de la sécurisation du système augmente avec le nombre d’utilisateurs, car il en résulte davantage de cas de mots de passe perdus ou compromis. Habituellement, dans les clusters HPC seulement quelques noeuds de connexion sont ouverts au réseau public, isolant les nœuds de calcul au sein d’un réseau privé. Les violations de sécurité impliquant les virus informatiques tels que les virus, chevaux de Troie ou les vers informatiques habituellement associés avec Windows ne sont pas couverts ici. Nous ne discuterons que des mesures d’atténuation proactives pour minimiser les interruptions dans le fonctionnement des ressources.

Des environnements HPC partagés
La caractéristique des environnements HPC est que les recherches effectuées sont pour la plupart ouvertes. Ce qui implique que les ressources devraient être facilement accessibles et répondre aux besoins des chercheurs qui collaborent dans le monde entier. Il existe toutefois une nécessité d’un équilibre entre la sécurité et la facilité d’accès. En raison des mesures de prévention d’intrusion la facilité d’accès est moindre sur les systèmes HPC car ils sont potentiellement plus vulnérables. Cependant, il existe beaucoup d’avantages positifs dans l’exploitation d’un environnement HPC dans les universités par rapport aux environnements de calcul tels que les institutions financières. La plus grande inquiétude est que les pirates peuvent vandaliser le système lorsqu’ils ne trouvent pas de données utiles ou d’utiliser ces ressources pour organiser des activités criminelles telles que l’exécution d’un déni de service distribué (DDoS). Toutefois les sites HPC n’ont généralement pas à se soucier d’attaques de déni de service lesquelles sont généralement réalisées à l’encontre des portails web à haut volume tels que les agences de presse ou les sites Web du gouvernement.

Protéger les mots de passe et désactiver les protocoles réseau non chiffrés
Dans les années 1990 les environnements informatiques de la recherche utilisait des protocoles tels que Telnet et FTP où les données entre des ordinateurs distants transitent en clair au format texte. Il était donc facile pour n’importe qui avec une expertise raisonnable d’intercepter la communication et de lire le contenu. Il était tout aussi facile d’écouter un port réseau ouvert et d’enregistrer les frappes des utilisateurs. Aucun des sites HPC que nous connaissons n’utilise plus ces protocoles. Le trafic entre les systèmes HPC connectés via le réseau public ou privé s’effectue exclusivement par l’intermédiaire des protocoles cryptés utilisant OpenSSL tels que ssh, sftp, https, etc. En outre compte tenu du fait que presque toutes les ressources HPC exécutent une version donnée du système d’exploitation Linux, ils se basent tous sur un pare-feu exploitant les Iptables, qui est le principal outil pour restreindre l’accès aux ports de services de réseau depuis l’extérieur. Beaucoup d’entre eux ouvrent seulement quelques ports tels que le port 22 pour SSH. Iptables aide aussi à garantir le fonctionnement du système en cas de « zero day vulnerabilities » en isolant les ressources du réseau extérieur.

L’un des constats des systèmes HPC compromis est l’imprudence des utilisateurs à ne pas protéger leur mot de passe ou en utilisant des mots de passe qui sont faciles à deviner comme «test123». En vertu de la conception du système d’exploitation Linux, l’exploit au niveau de l’utilisateur est souvent limité au contenu local d’un utilisateur individuel parce que les utilisateurs habituels n’ont pas de privilèges élevés et n’ont pas accès aux fichiers des autres utilisateurs ou groupes. Même si la violation de la sécurité par mot de passe compromis est généralement limité à l’environnement de l’utilisateur, un pirate peut aller jusqu’à se connecter en root et élever les privilèges du compte utilisateur compromis. Dans une telle situation l’OS doit être réinstallé avec les noyaux mis à jour. Les noyaux Linux ont connu de fréquentes mises à jour du noyau dans les années 2000 et étaient sensibles au buffer overflow, ce qui est devenu de plus en plus rare de nos jours. Un autre type de problème est de savoir si le package de sécurité lui-même est sensible à des bugs tels que heartbleed dans OpenSSL, détecté en 2014, même si le bug existait depuis de nombreuses années.

Dans un scénario où les comptes des utilisateurs sont piratés, souvent leurs propriétaires n’en sont pas conscients. De notre expérience de la gestion d’un cluster HPC pour les 12 dernières années, il est recommandé de faire en sorte que les administrateurs système soient avertis de toute intrusion ou connexion malveillante. Dès que le pirate commence à utiliser les ressources les outils de surveillance qui sont souvent incorporés dans Linux OS peut détecter le comportement anormal du système et un administrateur alerté peut appliquer des actions correctives. Presque toujours les comportements des pirates sont complètement différents de celui du propriétaire du compte. Des activités telles que explosion soudaine de l’activité du réseau, l’augmentation de la latence du réseau, la hausse de la charge processeur, des usages non autorisés en contournant le planificateur de tâches, etc., sont de bons indicateurs de compromis possible. Généralement, les pirates sont exposés en 8 à 10 heures dans de tels scénarios. Souvent, les systèmes touchés sont mis en quarantaine et tous les fichiers journaux sont examinés afin de retracer l’origine de l’attaque comme le délai, la fréquence d’attaque, l’hôte source, le port source, la destination hôte, le port de destination et le protocole ou application utilisé pour attaquer le système. Système qui sera remis en service après l’application des mesures correctives, telles que la notification aux autorités compétentes si nécessaire, la mise à niveau ou la suppression de l’application ou du noyau défectueux ainsi que celle des mises à jour nécessaires.

Certains des centres HOC ne comptent pas sur les utilisateurs à protéger leur mot de passe. Ils ont donc mis en place ce qu’on appelle un Time Password (OTP) où les utilisateurs se voient générer une clé aléatoire afin de se connecter au système. Cependant ce dispositif ajoute au coût d’exploitation des systèmes HPC. Les centres qui n’utilisent pas OTP limitent souvent les tentatives d’accès échouées à trois ou quatre fois et restreignent l’accès au compte pour une période d’une ou deux heures pour minimiser la tentative de la force brute pour casser le mot de passe de l’utilisateur sur le système. Parmi les autres mesures déployées figurent la limitation des applications nécessitant des privilèges administratifs et qui ouvrent les ports TCP / IP pour accéder au réseau externe. Même s’il existe un besoin d’ouvrir un port, la connexion est restreinte à certains groupes d’utilisateurs ou d’hôtes identifiés via l’inscription de leurs adresses dans une base de données iptables.

Les environnements HPC disposent également de quelques comptes privilégiés pour les administrateurs système et le personnel du service technique. Ces comptes ont accès à toutes les ressources sur le système dans le sens que ces utilisateurs peuvent lire, écrire ou effacer le contenu de l’un des comptes. Ainsi, les titulaires de ces comptes doivent prendre des précautions supplémentaires sur tous les périphériques réseau auxquels ils ont accès. Ils doivent accéder à leur compte privilégié de machines distantes ou réseau non sécurisé seulement après l’activation d’un réseau privé virtuel (VPN).

D’autres formes d’attaques sont plus sophistiqué telles que les attaques man-in-the-middle en le faisant apparaître le système de pirate contrôlée pour disposer d’informations similaires au système que les utilisateurs tentent d’accéder à ce processus incitant le les utilisateurs à donner leurs lettres de créance. En d’autres pirates de mots essaient de détourner les extrémités. Pirates expérimentés essaient également de couvrir leurs sentiers et de poursuivre leurs exploiter en installant les rootkits, modifiant le paquetage RPM référentiel, éteindre ou manoeuvrer le logiciel de surveillance et les fichiers journaux. Les hackers sophistiqués sont généralement capables d’obscurcir leurs activités et de désactiver les outils de suivi. Dans de telles situations les administrateurs système doivent compter sur des effets secondaires tels que la bande passante du réseau inhabituelle ou charge CPU rare de détecter l’intrusion. Il est possible que une attaque sophistiquée peut rester inaperçue pendant des mois.

Phishing est une autre façon commune les pirates obtiennent identification de l’utilisateur en incitant les utilisateurs à visiter pirates machines contrôlées. Les utilisateurs qui utilisent des sites populaires de Web de réseautage social sont généralement sensibles à ce genre d’attaque et si elles se produisent à utiliser le même mot de passe pour leurs comptes HPC puis ils invitent les pirates sur des sites de réseautage social pour les systèmes HPC. Sites de réseaux sociaux sont généralement de bonnes cibles pour les pirates parce qu’ils obtiennent l’accès aux utilisateurs des contacts et l’accès à leurs amis et continuent leur exploit. E-mails interceptés sont une autre source de compromis.