L'Université d'Edinburgh au Royaume-Uni fut le premier à signaler cet incident de sécurité et a rendu public son rapport sur l'état du supercalculateur ARCHER. Ce dernier a été fermé pour des raisons d'enquête et l'organisation avait prévu faire une nouvelle mise à jour le 18 mai. Le rapport dévoile « une exploitation de la sécurité des nœuds de connexion d'ARCHER » via des clés SSH compromises. Pour éviter de nouvelles intrusions, les mots de passe SSH ont été réinitialisés et donc, tous les utilisateurs devront à leur prochaine connexion sur ARCHER introduire obligatoirement une nouvelle clé SSH et un nouveau mot de passe.
De même, en Allemagne, des incidents de sécurité similaires ont été signalés sur cinq clusters de calcul haute performance et ont été fermés également pour des besoins d'enquête, cela fut révélé dans un communiqué publié par bwHPC, l'organisation qui coordonne les projets de recherche sur les supercalculateurs dans l'État du Baden-Württemberg.
Les supercalculateurs atteints en Allemagne sont notamment :
- le cluster bwUniCluster 2.0 ;
- le cluster ForHLR II à l’institut de technologie de Karlsruhe (KIT) ;
- le supercalcultateur Hawk du Centre de calcul haute performance de Stuttgart (HLRS) de l’Université de Stuttgart ;
- le bwForCluster JUSTUS, supercalculateur de chimie et de sciences quantiques de l’Université d’Ulm ;
- le supercalculateur bioinformatique bwForCluster BinAc de l’Université de Tübingen.
En Suisse, le centre de calcul scientifique (CSCS) de Zurich a aussi coupé l’accès externe à son infrastructure de superordinateurs suite à cette attaque jusqu'à ce qu'un environnement sûr soit rétabli, a annoncé l'organisation le 16 mai sur son site web. Toutefois, les prévisions météorologiques de MétéoSuisse qui sont également calculées au CSCS ne sont pas concernées par cette attaque, a ajouté l'organisation dans sa déclaration. Elle a également précisé être en contact avec MELANI, le centre national de cybersécurité pour avoir plus d'informations sur le sujet.
En Espagne, un incident de sécurité informatique similaire a été suspecté dans un superordinateur situé à Barcelone. Il a été fermé en conséquence.
Selon l’analyse de Chris Doman, cofondateur de Cado security, l'exploit utilisé pour passer en root semble impliquer la faille CVE-2019-15666. Elle est présente dans le noyau Linux jusqu’à la version 5.0.19. Le problème, une mauvaise validation de répertoire peut entraîner un accès hors limites.
Quelques semaines plutôt, de nombreuses organisations qui ont vu leurs supercalculateurs tomber en panne avaient annoncé qu’elles accordaient la priorité à la recherche sur l’épidémie de COVID-19. En l’absence de preuves officielles, l’on ne pourrait confirmer que toutes ces intrusions ont été perpétrées par un même groupe, a déclaré Doman et dans le même but c’est-à-dire ralentir les recherches autour de la pandémie de COVID-19. Néanmoins, des noms de fichiers malveillants similaires et des indicateurs de réseau suggèrent qu’il pourrait s’agir du même groupe d’attaquants, a ajouté Doman.
Sources : ARCHER, bwHPC
Et vous ?
Qu'en pensez-vous ?
Selon vous, ces intrusions ont-elles été effectuées par le même groupe d'attaquants ?
Voir aussi
CoronaCoin : les développeurs de cryptomonnaie s'emparent du coronavirus pour créer un nouveau jeton morbide, dont le prix augmentera avec le nombre de personnes qui tombent malades ou meurent
La cryptomonnaie de Facebook, une opportunité de 19 milliards de dollars de revenus
et une nouvelle affaire autre que la publicité, selon Barclays
Cryptomonnaie : le crash du marché laisse des entreprises en faillite dans son sillage, des développeurs étant privés de financement supplémentaire