Les FAI face aux virus de l'été : situation sous contrôle
Par JDNet Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/0308/030829_fai.shtml
Lancer l'impression

Vendredi 29 août 2003

En savoir plus
Face à la vague de virus qui a traversé le Web durant le mois d'août (voir l'article), les fournisseurs d'accès à Internet (FAI) étaient en première ligne. Comment ont-ils vécu ces attaques ? Quelles mesures ont-ils prises, notamment pour informer leurs clients ? Bilan de cet été noir.

Tout commence avec le ver Blaster aux alentours du 11 août. "Nous avons relevé les premières alertes à partir de 19h00", se souvient Eric Edelstein, expert au sein du pôle sécurité chez Wanadoo. Et Patrick Puges, directeur technique de la filiale de France Télécom, d'ajouter : "une campagne de communication a immédiatement été lancée en vue d'informer nos abonnés sur les mesures à mettre en oeuvre en vue de protéger leur machine." La même décision est prise chez Tiscali (voir l'encadré).

L'information client avant tout
Chez Free, on constate une augmentation de la bande passante de l'ordre de 10 à 20% dans les heures qui suivent la diffusion du ver. Un pic qui, selon le responsable technique du FAI, n'a engendré aucune conséquence notable sur la disponibilité des accès. Etait-il possible de bloquer les flux porteurs du virus ? "Cette solution n'était pas envisageable, affirme-t-on chez Wanadoo. Blaster se propage en effet en exploitant une faille de Windows liée au port de communication 135 (RPC). Le filtrage de ces transactions aurait entraîné l'arrêt des services client utilisant ce port, le partage de fichiers par exemple."
Reste que les FAI se devaient de protéger leurs propres systèmes... Ce qui était le cas pour les acteurs que nous avons interrogés. Rappelons que le patch permettant de se prémunir contre Blaster est disponible depuis le 16 juillet 2003. Principal enseignement tiré de cet épisode : un processus de veille peut éviter bien des incidents.

Sobig: aussi virulent que I love you
 A partir du 19 août, c'est autour d'une nouvelle version de Sobig (Sobig.f) de rentrer en action. "Il ne s'agit pas d'un ver dangereux, mais la vitesse à laquelle il se diffuse est très impressionnante", nous confiait la semaine dernière Jérôme Lahalle, membre de la cellule de veille technologique du cabinet Lexsi. Très vite, l'arrivée de ce nouveau virus se fait sentir chez les fournisseurs d'accès.

"Nous avons assisté à des montées en charge assez fortes des serveurs de messagerie (d'environ 30%), reconnaît Antoine Levavasseur, responsable technique chez Free. L'activation de règles de filtrage nous a permis d'empêcher la saturation des plates-formes." Le niveau de criticité de ce code ? "Il est comparable à celui du virus I Love You. Malgré tout, cette situation n'avait rien d'exceptionnelle pour nous."

En savoir plus

Même réaction chez Wanadoo : "Sobig.f est un virus classique de type spamer dont le mode de diffusion s'effectue par le biais de mailing de masse, rappelle Eric Edelstein. Pour lui barrer la route, nous disposons par conséquent de procédures préétablies - en vue notamment d'assurer la mise à niveau des solutions de sécurité de nos serveurs de messagerie (antivirus, etc.)."

Blaster: les hébergeurs également concernés
Suite à l'entrée en action de Blaster, Tiscali décide d'alerter par e-mail l'ensemble de ses clients hébergement. "Notre support technique est intervenu pour faciliter la mise à jour des serveurs Web, explique Patrice Rouzaud, responsable technique ingénierie et support B2B chez Tiscali. Nous avons également mis en place des règles de filtrage des ports TCP/UDP utilisés par le virus, les sites Web n'exploitant que très rarement ce type de connexions."









[Antoine Crochet-Damais, JDNet]

Pour tout problème de consultation, écrivez au Webmaster
Copyrights et reproductions . Données personnelles
 Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier
92517 Boulogne Billancourt Cedex, FRANCE