Cloud Nord 2024 : on y était !
Publié le 24 octobre 2024
Il y a quelques jours, et pendant qu'une partie de notre équipe était en grand nombre au Forum PHP 2024, nos SRE participaient à Cloud Nord, un événement spécialisé dans les technologies Cloud et DevOps qui se déroule depuis quelques années à EuraTechnologies. Pour la troisième année consécutive, notre coopérative sponsorisait l'événement : l'occasion pour nous de rencontrer la communauté locale, de présenter nos services et aussi échanger sur nos opportunités d'emploi dans ce domaine. Entre conférences, keynotes et ateliers, nos SRE vont vous partager quatres talks et ateliers qui les ont marqués.
Faut-il avoir peur de l’IA ?
Dans cette keynote d'ouverture, Manuel Davy nous a présenté les grands principes de l'intelligence artificielle (IA) : comment créer une IA, quels sont les différents types d’IA et quels usages les entreprises en font. Manuel a également balayé les bénéfices et les risques que représentent les différentes formes d’intelligence artificielle. L’IA ne dispose pas de toutes les composantes de la pensée humaine :
- Pensée rationnelle : L’IA n’a qu’une très faible faculté à raisonner.
- Pensée créative : L’IA ne sait pas créer de choses nouvelles ; elle ne sait que hybrider avec des choses qui existent déjà.
- Pensée critique : L’IA n’a pas d’opinion.
- Pensée responsable : L’IA ne comprend pas la morale et l’éthique par elle-même.
- Émotions : L’IA ne ressent pas les émotions. Plusieurs études mettent en avant le fait que c’est la même zone du cerveau qui gère les émotions qui permet aussi de prendre des décisions.
- Intuition : L’IA n’a aucune pensée non verbale.
Aujourd’hui, l’intelligence artificielle représente d’énormes opportunités pour les entreprises et la société :
- Diagnostic médical plus rapide et précis ; par exemple, sur la radiographie, l’IA est en capacité de mettre en avant des éléments anormaux.
- Accessibilité.
- Efficience des organisations.
- Communication universelle.
Cette dernière représente une opportunité de croissance. Selon des études, les entreprises qui utilisent de l’IA sont plus efficaces et dégagent donc plus de croissance que celles qui n’en utilisent pas. Cependant, il faut rester prudents. Les preuves que nous avions connues avant (photo, vidéo et audio) n’en sont plus aujourd’hui. Les IA ont une capacité bluffante à créer des images et des vidéos plus vraies que nature. L’IA est également beaucoup utilisée dans la cybercriminalité : deepfakes, phishing, scan de site et attaques par des robots.
L’IA sert uniquement à remplacer les humains sur des tâches répétitives. La carence de l’IA dans les composantes de la pensée humaine fait qu’il est impossible pour elle de remplacer les humains. Il faut cependant en faire bon usage et garder un esprit critique afin que l’IA ne soit qu’un assistant et non un acteur majeur de nos activités.
Talos chez Ubisoft : serveurs de jeux & plateforme Serverless
Christophe Cantella et Vincent Behar ont parlé de Talos Linux, un système d'exploitation conçu pour Kubernetes. Il permet de monter des clusters sur des machines classiques, telles que des instances EC2 ou des serveurs bare metal. C’est un OS conçu avec le strict minimum, sans packages superflus, et il est piloté à l’aide de l’outil en ligne de commande taloctl.
Ubisoft a récemment acquis une entreprise disposant d'une grande infrastructure physique et d'un nombre conséquent de machines. L'entreprise est donc en train de mettre en place une nouvelle plateforme de serveurs de jeux basée sur des clusters Kubernetes hybrides.
Actuellement, les serveurs de jeux d'Ubisoft sont basés sur des serveurs bare metal. Les joueurs se connectent donc à ces serveurs, et en cas de crash d’une machine, un grand nombre d'utilisateurs est impacté. Cette nouvelle plateforme vise à offrir plus de stabilité et de flexibilité. Cependant, les serveurs de jeux nécessitent une forte puissance de calcul ainsi que des GPU, ce qui rend difficile l’utilisation de fournisseurs de cloud publics sans engendrer des factures mensuelles à six chiffres.
C'est ainsi qu'est née l'idée d'un cluster Kubernetes hybride, avec plusieurs machines servant de contrôle plane hébergées sur des machines gérées chez Azure, et la partie worker sur leurs propres serveurs dans leur datacenter.
La communication entre les nodes workers et les contrôles planes est assurée par l’outil fourni par Talos, Kubespan. C’est une solution VPN basée sur WireGuard qui permet une communication chiffrée de bout en bout. Les joueurs se connectent directement aux pods dans les nodes workers, ce qui permet de bénéficier de toute la flexibilité de Kubernetes pour assurer une meilleure réactivité pendant les pics de charge et une stabilité accrue au quotidien.
Si j’étais un hacker, comment est-ce que je prendrais le contrôle de votre cluster Kubernetes ?
Pendant cet atelier, Thibault Lengagne nous a fait exploiter successivement différentes failles de sécurité, pour, en partant d’une faille sur un site, et via une succession d’autres failles exploitant des composants mal configurés, arriver à prendre le contrôle d’un nœud du cluster Kubernetes, puis du cluster, puis de l’ensemble de la souscription AWS sur laquelle se déroulait le labo.
Voici une matrice d’attaque de Kubernetes proposée par Microsoft :
Cet atelier avait lieu sur un cluster volontairement mal configuré pour permettre l’exploitation successive de toutes ces failles, mettant en évidence plusieurs mauvaises pratiques :
- Application non mise à jour (faille ImageMagick).
- Conteneur privilégié + hostPID : cela ne devrait être utilisé que pour de très rares composants systèmes nécessitant cela pour leur fonctionnement, jamais pour un site web.
- Tokens d’authentification AWS dans les Secrets : il est préférable de s’appuyer sur le système de Pod Identity.
- Rôles IAM donnés aux nœuds : ne donner que le strict nécessaire au nœud ; pour tout le reste, passer par les Pod Identity afin de ne donner des privilèges qu’aux Pods qui en ont besoin.
- API Kubernetes exposée en public sans restriction IP.
Cela a également été l’occasion d’évoquer quelques outils permettant d’empêcher ce type d’attaque, notamment :
- Kyverno : via des admission webhooks, il peut interdire ce qui ne respecte pas les politiques, par exemple interdire les conteneurs privilégiés.
- Falco : pour détecter et alerter en cas d’appels système anormaux. Par exemple, dès l’exploitation de la faille ImageMagick, il va notifier : « Redirect STDOUT/STDIN to Network Connection in Container ».
Découvrir Pulumi par la pratique
À travers cet atelier animé par Alexandre Nédélec, nous avons découvert Pulumi, une alternative à Terraform. Au lieu d’utiliser le langage HCL, il offre la possibilité de choisir parmi plusieurs langages : TypeScript, Python, Go, Java et C#. Grâce à l'utilisation de ces langages, Pulumi adopte une approche impérative, c’est-à-dire qu’on décrit comment créer les objets, contrairement à l’approche déclarative de Terraform, où l’on décrit ce qui doit être mis en place.
À la différence de Terraform, Pulumi propose les éléments suivants :
- La gestion des secrets est native et doit obligatoirement être déclarée comme le backend, ce qui permet de les chiffrer dans les états.
- Il est possible d'utiliser plusieurs versions d'un provider simultanément dans un projet, ce qui permet de gérer différentes versions de l'API des cloud providers.
- Grâce à la possibilité d'utiliser les avantages du langage de son choix (éditeur déjà configuré, gestion maîtrisée des modules/librairies, factorisation de code, etc.), Pulumi représente un réel atout pour ceux qui n'utilisent pas encore Terraform.
- L'intégration de requêtes sur une API pour obtenir les variables nécessaires au code IAC est également facilitée.
- Pulumi s'intègre bien dans les processus CI/CD.
À l'année prochaine Cloud Nord !
Nous avons été particulièrement surpris par le haut niveau technique des conférences et ateliers, répartis cette année sur pas moins de quatre tracks, le tout dans une ambiance très conviviale. Comme chaque année, nous avons eu l'opportunité d'apprendre énormément : nouvelles pratiques, speakers inspirants, sujets innovants... Et cerise sur le gâteau, nous avons eu beaucoup de visites sur notre stand. Merci à toute l'équipe d'organisation de Cloud Nord pour cet événement ! Nous avons hâte de revenir l'année prochaine et, qui sait, peut-être soumettre un sujet au CFP cette fois-ci.
