Internet sous la menace d’un ver pour quelques heures

Le trafic Internet a connu un fort ralentissement ce week-end, particulièrement samedi 25 janvier 2003, à cause de la propagation d’un virus ver baptisé SQLSlammer (ou Sapphire). Se diffusant sous la forme d’un paquet de données de 376 octets, ce vers s’installe uniquement sur les serveurs Microsoft SQL Server 2000 et Microsoft Desktop Engine (MSDE) 2000 via le port 1434 UDP (port de résolution de service du serveur SQL). Il exploite une faille de l’application de type buffer overflow (saturation de la mémoire tampon) que Microsoft a comblé à l’aide d’un correctif publié… en juillet 2002.

Le ver infecte uniquement les machines non mises à jour. Une fois en place, il se met à scanner le réseau à la recherche d’autres machines faillibles, ce qui provoque une forte consommation de la bande passante au point de rendre difficile, voire impossible, l’accès à certains sites Web. Apparemment, SQLSlammer se contente uniquement de se propager et ne semble pas s’attaquer aux données des serveurs. Mais les risque de dénie de service (DDoS) ne sont pas négligeables et peuvent causer un ralentissement des communications Internet, la défaillance des serveurs d’e-mails et, à terme, le blocage du réseau. C’est apparemment ce qui s’est passé en Corée du Sud où près de 70 % de la population est connectée. Aux Etats-Unis, 13 000 distributeurs automatiques de billets de la Bank of America seraient tombés en panne. Globalement, au plus fort de l’attaque, environ 20 % du trafic aurait été perdu.

Cinq des treize serveurs DNS racine affectés

Difficile de connaître le nombre précis de serveurs infectés. On parle de plusieurs centaines de milliers de machines. Il semble par ailleurs que la propagation se soit concentrée en Asie d’où le vers a pris son essor. Au moins, SQLSlammer a permis de tester la solidité du réseau et la qualité de son architecture ouverte. Si cinq des treize serveurs DNS racines ont été affectés selon le forum du site Military.com, le réseau a résisté. En revanche, le ver révèle l’incroyable négligence de la part des administrateurs réseaux qui, visiblement, sont loin de tous appliquer les correctifs de sécurité en temps et en heure.

SQLSlammer s’installe dans la mémoire de l’ordinateur ce qui le rend difficile à détecter par les anti-virus. Le plus simple pour s’en débarrasser est d’appliquer le patch de Microsoft après avoir relancé le serveur en mode « manuel ». L’éditeur de Redmond recommande même d’appliquer le Service Pack 3 (SP3). A priori, le ver n’affecte que les serveurs. Mais il ne faut pas oublier que les utilisateurs sous Windows 98/Me/NT et 2000 Pro peuvent également installer le moteur serveur SQL 2000 et, à ce titre, être également infectés. Les spécialistes ont craint de voir en SQLSlammer un prélude à une cyber-attaque massive. Ce n’est apparemment pas le cas. Ce lundi 27 janvier matin, tout semble rentré dans l’ordre selon The Internet Health Report. Plus de peur que de mal, donc, même si la facture des dégâts reste à établir.