Introduction

Ce qui suit est le fruit de plusieurs années de pratiques professionnelles et de réflexions collectives, mais aussi ce qui découle d'une volonté de nos tutelles (CNRS et CRU) pour se mettre en conformité légale à ce propos. Aussi il nous semble opportun de vous exposer un certain nombre d'éléments à propos de cette question des traces produites et recueillies par l'usage des ressources informatiques.

Nos routeurs (équipements centraux des réseaux obspm.fr) et tous nos serveurs informatiques prévus pour proposer des services réseaux (courrier électronique, serveur Web, accès distant, etc) produisent un certain nombre de journaux de traces (aussi dénommés fichiers de logs) dans lesquels sont consignées les traces de certaines activités des systèmes et de leur utilisation.

Pour une bonne gestion des ressources communes et pour des raisons de sécurité (nombreuses tentatives d'intrusion par semaine), la DIO est amené à examiner et explorer régulièrement les fichiers de traces de fonctionnement des différents services systèmes et réseau.

Ceci est notamment vrai pour tout ce qui concerne les activités réseaux. Le réseau est à la fois la principale source d'insécurité informatique (c'est par là que les pirates arrivent) et la principale ressource qu'il convient aujourd'hui d'optimiser.

La principale tâche de la DIO est que les serveurs et le réseau fonctionnent au mieux pour rendre les services dont les utilisateurs ont besoin. Pour accomplir cette tâche, il nous faut surveiller le fonctionnement de nos serveurs et veiller à ce que personne (en interne ou depuis l'extérieur) n'abuse volontairement ou involontairement des ressources informatiques au détriment des autres. Dans certains contextes, nous pourrions être amenés à agir sur des ressources des utilisateurs, si un problème grave se manifestait (saturation de ressources, intrusion, détournement de services ...)

Il est donc important que chaque utilisateur soit bien conscient des informations qui sont stockées dans ces journaux, qui sont accessibles dans le cadre de notre travail (ce qui peut aller jusqu'à fournir ces informations à des services de police judiciaire ou à la DCRI (ex-DST) suite à un dépôt de plainte par exemple).

Dans tous les cas, les membres de la DIO sont tenus à un devoir de réserve et de discrétion concernant les informations archivées.

Aussi il nous semble important de vous sensibiliser à l'usage que vous pouvez faire du réseau et aux traces figurant dans les journaux qui découlent de cet usage.

Ce qui suit ne couvre que le périmètre d'action de la DIO. Chaque laboratoire propose également des services informatiques, et donc produit des traces (ou du moins doit pouvoir le faire à la demande de la justice, cela est devenu une obligation légale).

Quelques définitions

Pour la clarté de la suite, voici quelques définitions qu'on utilisera dans la suite

• nom signifie en fait le login ou l'identifiant, autrement dit le nom utilisé pour vous authentifier, par exemple lorsque vous vous connectez sur votre messagerie (c'est-à-dire quelque chose égal au nom d'état civil (ex : « shih ») ou à un raccourci choisi par la personne (ex : « jas »), mais en tout cas quelque chose qui permet, pour les personnes de notre réseau, de savoir sans équivoque de quelle personne physique il s'agit.
• date signifie en fait « date et heure » précises (grâce au protocole de synchronisation des horloges, nommé NTP).
• adresse réseau signifie l'adresse Internet (adresse IP, c'est-à-dire 4 nombres compris entre 0 et 255, qui identifient de façon unique sur Internet l'origine de la connexion. Par exemple pour les machines du réseau de l'Observatoire, ces adresses sont de la forme « 145.238.x.y ». Ces adresses IP se convertissent en le nom Internet de la machine (c'est-à-dire quelque chose de la forme « machine.obspm.fr » ou bien « AVelizy-154-1-26-54.w82-124.abo.wanadoo.fr »).

Liste des traces conservées

Traces du serveur d'allocation d'adresse DHCP

• Notre serveur DHCP (qui permet une allocation automatique d'adresse IP) conserve les dates auxquelles les adresses IP ont été allouées à vos postes informatique sur notre réseau, lors de leur démarrage.

Accès aux services des serveurs Linux

connexions depuis n'importe quel poste informatique vers nos serveurs Linux sous différentes formes et notamment - accès interactif (protocoles XDM, telnet et SSH) ou transfert de fichiers (protocoles FTP et SSH), - accès à la messagerie (protocoles de relève POP, POPS, IMAP, IMAPS et via le serveur webmail), - envoi de messages électroniques authentifiés depuis l'extérieur du site (SMTPS), - accès à un serveur de repository (type subversion).

On connait par ces traces - le nom de l'utilisateur sous lequel la connexion se fait, - l'adresse réseau de la machine depuis laquelle la connexion a été faite, - les dates de début et de fin de connexion, - les types d'opérations effectués.

envoi/réception de messages électroniques, vers ou depuis nos machines
On connait - le nom et l'adresse courriel de l'émetteur et du destinataire, - la date de l'envoi/réception.

usage des listes de diffusion (Sympa)
En plus de ce qui précède qui concerne tout envoi de message, on connait la liste des abonnnés le contenu des messages postés, accessibles, selon les listes, aux abonnés, en interne ou à tout Internet accès à un serveur Web (externe ou interne), en utilisant notre système de proxy Web

On connait - l'adresse complète de la page consultée (URL), - la date de la connexion, - l'adresse réseau de la machine depuis laquelle la requête a été faite.

utilisation de la grappe de calcul - connexion sur la frontale (tycho) par ssh/telnet - soumission d'un job via Slurm

On connait par ces traces - Le nom de l'utilisateur sous lequel la connexion se fait, - le nom du job qui a été soumis, - les dates de début et de fin de connexion et de soumission.

Accès aux serveurs d'annuaire/authentification LDAP

• Notre annuaire qui sert à la fois pour l'authentification d'une personne et d'annuaire pour les adresses mails (consultation via un agent de mail type Thunderbird) conserve les traces de chaque connexion. Lors d'une authentification, on conserve
  • L'adresse réseau de la machine qui a fait une demande d'authentification
  • Le nom utilisé pour l'authentification
  • Le succès ou l'échec de l'authentification

  et lors d'une consultation de l'annuaire

  • L'adresse réseau de la machine qui a fait la consultation
  • La partie recherchée dans l'annuaire

Équipements réseau

• Pour se prémunir d'intrusions et d'attaques de toutes sortes, à la fois depuis l'extérieur, un système de filtrage IP est en place depuis plusieurs années. Celui-ci a pour fonction de bloquer des demandes de connexion non souhaitées. Il s'apparente à la notion commune de pare-feu, alias garde-barrière, alias firewall. Il existe en fait un dispositif sur Paris et un autre identique sur Meudon.

  Ce système produit également des traces constituées de quadruplets adresse IP et port TCP ou UDP de la machine à l'origine de la connexion ; adresse IP et port TCP ou UDP de la machine destinatrice de la connexion. Pour chaque quadruplet, nous avons également la date.

  Nous gardons trace (c'est-à-dire le quadruplet et la date) de toutes les tentatives de connexion qui ont été refusées, ainsi que certaines connexions qui ont été autorisées, comme

  • les connexions vers les serveurs de jetons logiciels pour IDL, Matlab et Mathematica,

Par ailleurs, d'autres informations diverses sont également accessibles à la DIO comme

• les adresses réseau, dates et URLs demandées lors des accès aux différents serveurs Web que nous hébergeons,
• de même pour le serveur FTP,
• les sujets et les adresses erronées lors de l'envoi par quelqu'un d'un message à une adresse incorrecte (avec un corps de message vide, c'est-à-dire sans copie du texte initial du message).

L'ensemble de ces traces sont récupérées et conservées sur une machine Linux à laquelle seule la DIO a accès. Elles sont conservées sur une durée de 12 mois, ce qui est la durée minimale et maximale indiquée par les tutelles.

Accès au réseau via Ucopia (sans-fil et filaire)

On connait pour chaque connexion - le nom de l'utilisateur sous lequel la connexion se fait, - l'adresse Ethernet (MAC) de la machine depuis laquelle la connexion a été faite, - les dates de début et de fin de connexion, - les types d'opérations effectués.

pour l'ensemble des connexions d'un même utilisateur - le nombre et le type de connexions réseau (par ports TCP ou UDP) - Accès aux services des serveurs Windows

*A rédiger*

Cadre d'usage de ces informations

Pour en savoir plus et obtenir des informations TRÈS pédagogiques sur comment vous êtes pistés sur Internet, nous vous invitons à lire le site de la CNIL.

En 2004, la CNIL a édité un intéressant rapport sur « La cybersurveillance des salariés dans l'entreprise ».

Fin 2004, suite notamment au vote par le Parlement français de la loi LCEN (Loi sur la Confiance dans l'Economie Numérique), le CNRS a traité de manière globale cette question et a réalisé une déclaration générique auprès de la CNIL.

Voici les pointeurs pour connaitre les détails

• site du Fonctionnaire de Défense du CNRS,
• article sur le sujet des traces dans la revue Sécurité informatique,
• politique de gestion des traces, définie par le CNRS et déclarée à la CNIL,
• décision parue au Bulletin Officiel du CNRS,

Plus récemment le Comité Réseau des Universités a travaillé sur ce sujet, afin de proposer un cadre à chaque établissement d'enseignement supérieur. Le lecteur est invité à lire le dossier en ligne. Nous pensons que notre pratique au quotidien est conforme à la politique définie par le CNRS et aux recommandations du CRU.

Notamment nous avons conscience d'être soumis au secret professionnel dans l'utilisation de ces informations. Nous nous engageons également à suivre la procédure de transmission de ces informations, explicitée dans le document du CNRS.