|
| |
| Sécurité |
| Le
ver Sapphire paralyse le Web en quelques heures |
| Se démultipliant à une allure fulgurante, Sapphire a ralentit le réseau sans chercher à le détruire, une chance... Explications et commentaires.
(Mardi 28 janvier 2003) |
|
Samedi au petit matin, après
seulement dix minutes, le ver Sapphire contaminait 12.000
serveurs, 130.000 une heure et demie plus tard puis, se
répliquant à un rythme fulgurant, entre
250.000 et 350.000 machines. La chute de disponibilité
du web mondial a atteint 15% (selon les données
de Matrix.net), mettant même temporairement hors
d'usage cinq des treize serveurs DNS "racines"
de la planète ainsi que les sites de sociétés
telles que Bank of America. Une attaque sans précédent
qui visait plus à ralentir le réseau qu'à
le détruire, heureusement.
D'un nom de code peu explicite, W32.SQLExp.Worm est un
"ver" d'une taille ridiculement faible (376
octets) mais redoutable quand à sa rapidité
de diffusion. Exploitant une faille des serveurs de bases
de données Microsoft SQL Server 2000, le ver se
loge dans la mémoire vive de la machine, n'écrivant
rien sur le disque dur.
Auto-génération
à l'infini
"C'est au travers du
port d'administration de SQL Server (UDP 1434), que le
ver envoie sa trame de données. La réception de ce paquet
de 376 octets entraîne la génération d'une très
longue clé dans la base de registre dont la taille provoque
un dépassement de buffer, donnant au ver les privilèges
nécessaires à son activation. Une fois la machine compromise,
le ver cherche d'autres serveurs du même type en
générant aléatoirement des adresses IP au
travers d'une boucle infinie et se réexpédie via ce même
port", explique François Paget chercheur chez
Network Associates.
"Consommant ainsi de plus en plus de bande passante
pour trouver d'autres serveurs SQL, il provoque un ralentissement,
voire un blocage complet des serveurs de messagerie, des
connexions internet et des réseaux. C'est son premier
effet. Parallèlement, mettant hors d'usage le serveur
de bases de données, il ralentit le site web qui
fait appel à lui, rajoutant à la paralysie
globale" complète Jean-Michel Planche, Président
de Witbe, société qui "surveille"
l'accessibilité du web. C'est ce qu'on appelle
une attaque en déni de service (DoS).
Une
attaque évitable ?
Sans parler de la Corée
du Sud, de l'Inde ou du Japon gravement touchés,
plusieurs serveurs américains tels que ceux de
Unet, Level 3, ou Hewlett Packard sont rapidement tombés.
En Europe, le belge Skynet a subi le même sort,
tout comme l'hébergeur OVH et dans une moindre
mesure, Wanadoo.
Selon Domenico Surace,
fondateur et PDG de l'hébergeur Internet Fr,
avec un peu plus de sensibilisation à la sécurité,
l'attaque aurait pu être moins douloureuse. "Si
déjà les clients paramétraient correctement
leur pare-feu pour accéder à l'administration
de leur serveur et faisait régulièrement
les mises à jour, il y aurait eu moins de problème.
Une autre solution consiste également à
accèder au port d'administration par VPN (Réseau
Privé Virtuel), mais c'est déjà plus
avancé...", précise-t-il. Ce week-end,
Internet Fr a dû intervenir sur cinq serveurs victimes
de surcharge. Tous étaient directement monitorés
par ses clients.
Un
ver déjà connu mais non moins redoutable
Le ver Sapphire est du même
type que le ver "Code Red" qui s'était
attaqué en août 2001 aux systèmes sous Windows
NT. Microsoft avait diffusé un patch correctif
pour ses versions de SQL 7 et son serveur SQL 2000. Aujourd'hui,
l'installation du Service Pack 3 de Microsoft suffit à
s'en prémunir, principalement pour les serveurs
Microsoft SQL 2000 et Microsoft Desktop Engine (MSDE)
2000.
Un ver certes connu mais qui
a été pris très au sérieux
à travers le globe vu son ampleur et sa rapidité
de diffusion. Chez France Telecom, c'est l'activité
FT Longue Distance, chargée de gérer le
réseau "backbone" mondial, qui a sonné
l'alerte en premier. Une cellule de crise a été
mise en place afin de mettre en oeuvre les actions préventives
qui s'imposaient, notamment d'isoler les serveurs touchés
et de couper les passerelles vers l'extérieur,
ce qui a entraîné une coupure d'accès
internet samedi après-midi.
Outre Altlantique, le FBI mobilise toute son énergie,
tentant de localiser le point de départ de l'attaque.
Une tâche difficile car n'importe quel ordinateur
a pu générer le premier exemplaire du ver.
Certaines pistes pourraient mener les enquêteurs
américains du côté de Hong-Kong ou
de certains réseaux de hackers chinois.
L'orage
est passé mais des surcharges subsistent
A l'heure où nous bouclons, le ver a cessé
d'agir dans les proportions qui ont été
celles de samedi matin mais des surcharges parasites rémanentes
sont encore constatées ci et là, comme le
prouvent les données fournies par Witbe qui permettent
de voir que, depuis certains points du globe, les temps
d'accès à d'autres points restent dégradés.
|
|
|
 |
[