15 minutes pour couler Internet

"Dans l'avenir, chacun aura ses 15 minutes de célébrité." Telle est la phrase mythique de l'artiste américain défunt Andy Warhol, qui a inspiré un chercheur californien de l'université de Berkeley dans l'intitulé de son théorique ver. Selon Nicholas C Weaver, qui a mis à jour mi-août son rapport, le risque existe d'un ver actif de type Code Red, c'est à dire se déployant sans intervention humaine et exploitant une faille d'un produit particulièrement perméable comme - cite-t-il - Internet Information Server ou certains clients peer-to-peer. Pour cela, une simple liste de serveurs vulnérables à haut débit suffirait. En regardant les schémas mis à la disposition du lecteur, des yeux équarquillés ne peuvent que constater la vitesse de propagation d'un tel ver. Selon l'auteur, il suffirait d'une minute pour que les 10 000 premiers ordinateurs de la liste soient infectés à raison de 100 scans par seconde et de une seconde par machine. Sur une population de un million de machines vulnérables, 99 % seraient infectés en l'espace de 6 minutes et 30 secondes.

Une théorie inutile, qui ne tient pas debout
A grand renfort de détours et de malices, Nicholas C Weaver tente de justifier sa théorie. Mais aujourd'hui, celle-ci apparaît tout simplement peu probable. D'une part, l'auteur s'appuie sur la perméabilité de produits comme IIS. Mais rappelons que depuis sa mise à jour après l'incident Code Red et selon une étude technique de Netcraft (lire article), seuls 2 % de ces serveurs sont restés vulnérables à des vers exploitant ce type de failles. Le ver Warhol risquerait donc tout bonnement de ne pas trouver vulnérabilité à son attaque.

Notons ensuite que la soi-disant vitesse fulgurante s'appuie sur un Internet qui serait totalement à haut débit. Face à l'évocation d'une telle utopie, l'on est en droit de se demander sur quels fondements réels repose la théorie. Du reste, c'est aussi sans compter les systèmes de sécurité basés sur la surveillance d'anomalies qui tendent à se généraliser chez les hébergeurs, les opérateurs et les ISP. Quant à l'exploitation des clients peer-to-peer, n'en parlons même pas. Régulièrement corrigés de façon automatique, ces programmes sont souvent installés sur des postes déconnectés d'Internet une bonne partie du temps. Enfin, que dire de la présence d'un firewall si la faille exploitée concerne des ports TCP/IP fermés...

Bref, pour la plupart des experts en sécurité, et notamment le directeur des laboratoires McAfee-Avert Vincent Gullotto cité à ce sujet dans l'interview parue aujourd'hui, représente une menace non pour ce qu'il décrit techniquement mais pour l'idée qu'il véhicule. Une idée qui pourrait en susciter d'autres.