Les traces/logs

 Introduction

Nos routeurs et nos serveurs informatiques prévus pour proposer des services réseaux (courrier électronique, serveur Web, accès distant, etc) produisent un certain nombre de journaux de traces (aussi dénommés fichiers de logs) dans lesquels sont consignées les traces d’activités des systèmes et de leur utilisation.

Pour une bonne gestion des ressources communes et pour des raisons de sécurité, la PLM teal est amenée à examiner et explorer ces journaux.

Ceci est notamment vrai pour tout ce qui concerne les activités réseaux. Le réseau est à la fois la principale source d’insécurité informatique (c’est par là que les pirates arrivent) et la principale ressource qu’il convient aujourd’hui d’optimiser.

Notre mission est de les faire fonctionner au mieux. Pour accomplir cette tâche, nous devons veiller à ce que personne n’abuse des ressources au détriment des autres. Nous pouvons être amenés à agir sur des ressources utilisateurs, lorsqu’un problème grave se manifeste (saturation de ressources, intrusion, ...)

Il est donc normal que chaque utilisateur soit bien conscient des informations qui sont stockées dans ces journaux, qui sont accessibles dans le cadre de notre travail (ce qui peut aller jusqu’à fournir ces informations à des services dûment mandatés en cas de dépôt de plainte par exemple).

Aussi il nous semble important de vous sensibiliser à l’usage que vous pouvez faire du réseau et aux traces figurant dans les journaux qui découlent de cet usage.

 Inventaire, par type d’usages, des traces qui sont conservées

Dans tout ce qui suit :

• « nom » signifie login ou email, autrement dit quelque chose égal au nom d’état civil (ex : shih) ou à un raccourci choisi par la personne (ex : jas), mais en tout cas quelque chose qui permet, pour les personnes en charge de l’informatique de la PLM, de savoir de quelle personne physique il s’agit).
• « date » signifie en fait "date et heure" précises.
• « adresse réseau » signifie adresse IP, qui identifie de façon unique sur Internet l’origine de la connexion

Il est donc conservé trace des connexions sous toute forme et notamment :

• depuis n’importe où sur Internet lors d’un accès interactif (protocole SSH) ou lors de transfert de fichiers (par les protocoles SSH et FTP et via le serveur webmail),
• depuis n’importe où sur Internet lors d’une connexion vers le serveur de messagerie (par les protocoles de relève IMAPS, SMTPS et via le serveur webmail).
• depuis n’importe où sur Internet lors de l’établissement d’un tunnel SSH vers n’importe quels services

 > on connaît

• le nom de l’utilisateur sous lequel la connexion se fait,
• l’adresse réseau de la machine depuis laquelle la connexion a été faite
• les dates de début et de fin de connexion.

Lors de l’envoi/réception de messages électroniques, vers ou depuis la PLM on connaît

• le nom et l’adresse courriel de l’émetteur et du destinataire,
• la date de l’envoi/réception.

Pour se prémunir d’intrusions et d’attaques de toutes sortes, à la fois depuis l’extérieur, mais aussi depuis l’intérieur (notamment depuis les machines de sessions), un système de filtrage IP est en place. Celui-ci a pour fonction de bloquer des demandes de connexion non souhaitées. Il s’apparente à la notion commune de pare-feu, alias garde-barrière, alias firewall.

Ce système produit également des traces constituées de quadruplets : adresse IP et port TCP ou UDP de la machine à l’origine de la connexion ; adresse IP et port TCP ou UDP de la machine destinatrice de la connexion. Pour chaque quadruplet, nous avons également la date.

Nous gardons trace (c’est-à-dire le quadruplet et la date) de toutes les tentatives de connexion qui ont été refusées.

 Pour en savoir plus

• Pour en savoir plus sur comment vous êtes pistés sur Internet, nous vous invitons à lire le site de la CNIL http://www.cnil.fr.
• Pour en savoir plus sur la gestion les libertés informatique au CNRS : http://www.cil.cnrs.fr