"Code Red" : alerte rouge sur la Toile ou intox mondiale ?

Depuis ce week-end, les médias américains ont averti à grand renfort de publicité du retour du ver "Code Red" à partir du 1er août. Au 19 juillet, veille de sa mise en sommeil, celui-ci avait infecté aux alentours de 300 000 sites. A présent, une dépêche de l'AFP, qui relaye le NIPC (National Infrastructure Protection Center) dépendant du FBI, relate qu'"environ 1,5 million d'adresses seraient visées". Toujours d'après le même organisme, "le ver se propage au hasard et les sites du gouvernement américain ne semblent pas cette fois-ci être spécialement visés". La précédente vague avait forcé le site de la Maison Blanche, parmi d'autres dont celui du Pentagone, à fermer pendant quatre jours.

En raison des fuseaux horaires, le 1er août s'avère aussi être le 31 juillet selon les différentes tranches entre les méridiens de la planète. Et les virus se propagent beaucoup plus vite encore que ne volent les avions. Ainsi, une variante de Code Red reprogrammée pour les noms de domaines en .ch aurait tenté mardi soir d'attaquer un ordinateur de l'administration fédérale suisse, sans succès. Du reste, une seconde dépêche de l'AFP parue dans la soirée de mardi indique que les réseaux ne risquent plus d'être embouteillés de ce fait, car le ver s'attaque désormais à des serveurs webs qui ne sont plus ciblés.

Objectifs dispersés face à la coopération des experts
A propos des sites institutionnels français, JDNet Solutions n'a pas obtenu de réelles précisions de la part de deux des trois Cert (Computer Emergency Response Team) français, c'est à dire le CertA (Administration) dépendant de la DCSSI, et le Cert-IST (Industrie Services et Tertiaire) qui coopère avec de grandes entreprises. Auteurs d'un communiqué commun daté du 30 juillet, ils travaillent avec l'ensemble de la centaine de Cert existant dans le monde.

Toutes membres de l'organisation First, ces entités constituent un exemple de la coopération mondiale autour de la sécurité informatique qu'appelaient de leurs voeux, en mai 2000, la majorité des participants au sommet du G8. "La parade concernant la vulnérabilité de IIS a été publiée par les CERT mi-juin", affirme Michel Miqueu, directeur du Cert-IST. "D'autre part, si Code Red n'avait pas été mis en avant, Sircam aurait probablement fait plus de bruit.". Quant à Gilles André, ingénieur au CertA, il estime qu'il y a "un trou dans IIS et c'est ce trou qu'il faut boucher. Il existe d'autres virus plus dangereux." Face à la question de savoir si la France sera touchée, il répond que "c'est bien l'objet de l'avis que nous avons publié. Nous avons prévenu toutes les personnes qui devaient avoir connaissance d'un risque." Il apparaît ainsi que les programmeurs de virus, vers et autres chevaux de Troie ont beau déployer des attaques toujours plus inventives, celles-ci n'en restent pas moins maîtrisées. S'il n'existe aucun système de sécurité inviolable, il n'existe aucun code malicieux imparable.

Code Red : peu dangereux, sauf par son potentiel
Supposé venir de Chine en dépit des dénégations d'un expert sécurité chinois (Reuters), Code Red exploite une faille du serveur http (web) IIS de Microsoft en environnement Windows 2000 et NT (Les liens pointent vers les correctifs correspondants). Certains routeurs et équipements Cisco disposent également d'un IIS installé, ainsi que de correctifs propres.

Jusqu'à présent, les dégâts provoqués par ce ver un peu particulier n'ont pas été à la mesure du cambriolage de fichiers orchestré par SirCam dont le fonctionnement s'avère tout à fait différent. Celui-ci représente davantage une exploitation par voie de messagerie de la "faille de sécurité" de l'humain, qui tend parfois à cliquer à tort et à travers sur les fichiers attachés, et à ne pas respecter les règles de protection élémentaires. Or, les codes malicieux comme les vers et les virus apparaîssent d'autant plus dangereux dès lors qu'ils empruntent un air innocent, tels les anciens ILoveYou et Anna Kournikova. Ce qui ne signifie pas qu'il faut les diaboliser à outrance.

La théorie du soufflé médiatique planétaire
A la lecture des fils d'information continue, il apparaît donc dans un premier temps que le pire des virus demeure le virus médiatique mondial. Dans un premier temps, celui-ci sème un vent de panique, certains titres se laissant emporter par les élans de la rumeur. Aussitôt, certains lecteurs s'empressent de corriger la faille, et se rendorment en même temps que les virus. Les médias s'intéressent alors à d'autres sujets. Et pendant ce temps, un nouveau code malicieux se prépare, qui sera probablement vite maîtrisé mais pourra créer au passage quelques dégâts chez les plus insouciants.

Ainsi en va-t-il du diagnostic appliqué par l'éditeur d'antivirus Sophos. Selon Alain B'ndee Mbe, consultant senior au support technique à Londres, "Code Red exploite une vulnérabilité qui a toujours existé. Et il existe une différence entre attirer l'attention de beaucoup de gens et le fait de causer des dégâts. Donner des chiffres comporte un risque car cela peut supposer que nous voulons inviter les utilisateurs à acheter des logiciels le plus rapidement possible. Dès qu'une nouvelle classe de virus apparaît comme Code Red, elle fait beaucoup de bruit et la propagation peut être très rapide. Mais après, demain, Internet sera toujours disponible et chacun pourra continuer à travailler."

1. Appliquer tous les correctifs, 2. répéter l'opération
Entre tous ces professionnels de la sécurité existe de fait une série de dénominateurs communs, tant par leur éthique que par les solutions qu'ils prêchent. Dans un précédent entretien, le directeur des laboratoires européens de Trend Micro Marc Blanchard nous avait ainsi confié les mêmes vues. Cette fois-ci, il répète qu'il "n'y a pas grand chose de plus à dire à propos de Code Red" et de ses "nouvelles variantes", et que "SirCam est sur la pente descendante. Mais avec l'après-coup de l'actualité, certaines personnes ont tendance à oublier."

Avant toute chose, il convient donc d'appliquer les règles élémentaires en termes de protection. Un expert auteur d'un article sur SecurityFocus.com avait émis la comparaison suivante : un système de sécurité incomplet, c'est comme un coffre dans une banque sans porte et sans alarme. Il faudrait peut-être aussi rajouter du personnel, comme des RSSI (Responsables de la sécurité des systèmes d'informations) chargés de dresser la listes des correctifs manquants et de les appliquer une fois pour toutes, puis de veiller en permanence sur les mailing lists les plus fiables et de corriger toutes les nouvelles failles au passage. "Dans les faits, le travail d'un expert en sécurité peut-être assez ingrat", confie Alain B'Ndee Mbe de Sophos UK. Il peut permettre de ne pas faire partie "des ISP [qui] ont été touchés aux Etats-Unis", selon Marc Blanchard, par VBS_Stream.A, autrement nommé VBS/Potock-A par Sophos. Un autre ver qui réclame l'ouverture d'une pièce jointe à double extension comme SirCam. Mais espérons que cette fois-ci, les utilisateurs auront vraiment compris l'intérêt des règles de sécurité.