Le ver Sapphire paralyse le Web en quelques heures
Par JDNet Solutions (Benchmark Group)
URL : http://solutions.journaldunet.com/0301/030128_ver_sapphire.shtml
Lancer l'impression

Mardi 28 janvier 2003

En savoir plus
Sur le Web
Le patch Microsoft
Samedi au petit matin, après seulement dix minutes, le ver Sapphire contaminait 12.000 serveurs, 130.000 une heure et demie plus tard puis, se répliquant à un rythme fulgurant, entre 250.000 et 350.000 machines. La chute de disponibilité du web mondial a atteint 15% (voir le graphique de Matrix.net), mettant même temporairement hors d'usage cinq des treize serveurs DNS "racines" de la planète ainsi que les sites de sociétés telles que Bank of America. Une attaque sans précédent qui visait plus à ralentir le réseau qu'à le détruire, heureusement.

D'un nom de code peu explicite, W32.SQLExp.Worm est un "ver" d'une taille ridiculement faible (376 octets) mais redoutable quand à sa rapidité de diffusion. Exploitant une faille des serveurs de bases de données Microsoft SQL Server 2000, le ver se loge dans la mémoire vive de la machine, n'écrivant rien sur le disque dur.
Auto-génération à l'infini
"C’est au travers du port d'administration de SQL Server (UDP 1434), que le ver envoie sa trame de données. La réception de ce paquet de 376 octets entraîne la génération d’une très longue clé dans la base de registre dont la taille provoque un dépassement de buffer, donnant au ver les privilèges nécessaires à son activation. Une fois la machine compromise, le ver cherche d'autres serveurs du même type en générant aléatoirement des adresses IP au travers d’une boucle infinie et se réexpédie via ce même port", explique François Paget chercheur chez Network Associates.

"Consommant ainsi de plus en plus de bande passante pour trouver d'autres serveurs SQL, il provoque un ralentissement, voire un blocage complet des serveurs de messagerie, des connexions internet et des réseaux. C'est son premier effet. Parallèlement, mettant hors d'usage le serveur de bases de données, il ralentit le site web qui fait appel à lui, rajoutant à la paralysie globale" complète Jean-Michel Planche, Président de Witbe, société qui "surveille" l'accessibilité du web. C'est ce qu'on appelle une attaque en déni de service (DoS).

Une attaque évitable ?
Sans parler de la Corée du Sud, de l'Inde ou du Japon gravement touchés, plusieurs serveurs américains tels que ceux de Unet, Level 3, ou Hewlett Packard sont rapidement tombés. En Europe, le belge Skynet a subi le même sort, tout comme l'hébergeur OVH et dans une moindre mesure, Wanadoo.

Selon Domenico Surace, fondateur et PDG de l'hébergeur Internet Fr, avec un peu plus de sensibilisation à la sécurité, l'attaque aurait pu être moins douloureuse. "Si déjà les clients paramétraient correctement leur pare-feu pour accéder à l'administration de leur serveur et faisait régulièrement les mises à jour, il y aurait eu moins de problème. Une autre solution consiste également à accèder au port d'administration par VPN (Réseau Privé Virtuel), mais c'est déjà plus avancé...", précise-t-il. Ce week-end, Internet Fr a dû intervenir sur cinq serveurs victimes de surcharge. Tous étaient directement monitorés par ses clients.

Un ver déjà connu mais non moins redoutable
Le ver Sapphire est du même type que le ver "Code Red" qui s'était attaqué en août 2001 aux systèmes sous Windows NT. Microsoft avait diffusé un patch correctif pour ses versions de SQL 7 et son serveur SQL 2000. Aujourd'hui, l'installation du Service Pack 3 de Microsoft suffit à s'en prémunir, principalement pour les serveurs Microsoft SQL 2000 et Microsoft Desktop Engine (MSDE) 2000.
En savoir plus
Sur le Web
Le patch Microsoft
Un ver certes connu mais qui a été pris très au sérieux à travers le globe vu son ampleur et sa rapidité de diffusion. Chez France Telecom, c'est l'activité FT Longue Distance, chargée de gérer le réseau "backbone" mondial, qui a sonné l'alerte en premier. Une cellule de crise a été mise en place afin de mettre en oeuvre les actions préventives qui s'imposaient, notamment d'isoler les serveurs touchés et de couper les passerelles vers l'extérieur, ce qui a entraîné une coupure d'accès internet samedi après-midi.

Outre Altlantique, le FBI mobilise toute son énergie, tentant de localiser le point de départ de l'attaque. Une tâche difficile car n'importe quel ordinateur a pu générer le premier exemplaire du ver. Certaines pistes pourraient mener les enquêteurs américains du côté de Hong-Kong ou de certains réseaux de hackers chinois.

L'orage est passé mais des surcharges subsistent
A l'heure où nous bouclons, le ver a cessé d'agir dans les proportions qui ont été celles de samedi matin mais des surcharges parasites rémanentes sont encore constatées ci et là, comme le prouve l'outil de monitoring de Witbe qui permet de voir que, de certains points du globe, les temps d'accès à d'autres points restent dégradés.

[Fabrice Deblock, JDNet]

Pour tout problème de consultation, écrivez au Webmaster
Copyrights et reproductions . Données personnelles
Copyright 2002 Benchmark Group - 4, rue Diderot
92156 Suresnes Cedex, FRANCE