08/01/2001
"Code
Red" : alerte rouge sur la Toile ou intox mondiale ?
Depuis ce week-end, les médias
américains ont averti à grand renfort de
publicité du retour du ver "Code Red"
à partir du 1er août. Au 19 juillet,
veille de sa mise en sommeil, celui-ci avait infecté
aux alentours de 300 000 sites. A présent,
une dépêche de l'AFP, qui relaye le NIPC
(National Infrastructure Protection Center) dépendant
du FBI, relate qu'"environ 1,5 million d'adresses
seraient visées". Toujours d'après
le même organisme, "le ver se propage au hasard
et les sites du gouvernement américain ne semblent
pas cette fois-ci être spécialement visés".
La précédente vague avait forcé le
site de la Maison Blanche, parmi d'autres dont celui du
Pentagone, à fermer pendant quatre jours.
En raison des fuseaux
horaires, le 1er août s'avère aussi être
le 31 juillet selon les différentes tranches
entre les méridiens de la planète. Et les
virus se propagent beaucoup plus vite encore que ne volent
les avions. Ainsi, une variante de Code Red reprogrammée
pour les noms
de domaines en .ch aurait tenté mardi soir
d'attaquer un ordinateur de l'administration fédérale
suisse, sans succès. Du reste, une seconde dépêche
de l'AFP parue dans la soirée de mardi indique
que les réseaux ne risquent plus d'être embouteillés
de ce fait, car le ver s'attaque désormais à
des serveurs webs qui ne sont plus ciblés.
Objectifs dispersés face
à la coopération des experts
A propos des sites institutionnels français,
JDNet Solutions n'a pas obtenu de réelles précisions
de la part de deux des trois Cert (Computer Emergency
Response Team) français, c'est à dire le
CertA
(Administration) dépendant de la DCSSI,
et le Cert-IST
(Industrie Services et Tertiaire) qui coopère avec
de grandes entreprises. Auteurs d'un communiqué
commun daté du 30 juillet, ils travaillent
avec l'ensemble de la centaine de Cert existant dans le
monde.
Toutes
membres de l'organisation
First, ces entités constituent un exemple de
la coopération mondiale autour de la sécurité
informatique qu'appelaient de leurs voeux, en mai 2000,
la majorité des participants au sommet
du G8. "La parade concernant la vulnérabilité
de IIS a été publiée par les CERT mi-juin", affirme
Michel Miqueu, directeur du Cert-IST. "D'autre part,
si Code Red n'avait pas été mis en avant, Sircam aurait
probablement fait plus de bruit.". Quant à
Gilles André, ingénieur au CertA, il estime
qu'il y a "un trou dans IIS et c'est ce
trou qu'il faut boucher. Il existe d'autres virus
plus dangereux." Face à la question de savoir
si la France sera touchée, il répond que
"c'est bien l'objet de l'avis que nous avons publié.
Nous avons prévenu toutes les personnes qui devaient
avoir connaissance d'un risque." Il apparaît
ainsi que les programmeurs de virus, vers et autres chevaux
de Troie ont beau déployer des attaques toujours
plus inventives, celles-ci n'en restent pas moins maîtrisées.
S'il n'existe aucun système de sécurité
inviolable, il n'existe aucun code malicieux imparable.
Code Red : peu dangereux, sauf
par son potentiel
Supposé venir de Chine en dépit
des dénégations d'un expert sécurité
chinois (Reuters),
Code Red exploite une faille du serveur http (web) IIS
de Microsoft en environnement Windows
2000 et NT
(Les liens pointent vers les correctifs correspondants).
Certains routeurs et équipements Cisco disposent
également d'un IIS installé, ainsi que de
correctifs
propres.
Jusqu'à présent, les dégâts
provoqués par ce ver un peu particulier n'ont pas
été à la mesure du cambriolage de
fichiers orchestré par SirCam dont le fonctionnement
s'avère tout à fait différent. Celui-ci
représente davantage une exploitation par voie
de messagerie de la "faille de sécurité"
de l'humain, qui tend parfois à cliquer à
tort et à travers sur les fichiers attachés,
et à ne pas respecter les règles de protection
élémentaires. Or, les codes malicieux comme
les vers et les virus apparaîssent d'autant plus
dangereux dès lors qu'ils empruntent un air innocent,
tels les anciens ILoveYou et Anna Kournikova. Ce qui ne
signifie pas qu'il faut les diaboliser à outrance.
La
théorie du soufflé médiatique planétaire
A la lecture des fils d'information continue,
il apparaît donc dans un premier temps que le pire
des virus demeure le virus médiatique mondial.
Dans un premier temps, celui-ci sème un vent de
panique, certains titres se laissant emporter par les
élans de la rumeur. Aussitôt, certains lecteurs
s'empressent de corriger la faille, et se rendorment en
même temps que les virus. Les médias s'intéressent
alors à d'autres sujets. Et pendant ce temps, un
nouveau code malicieux se prépare, qui sera probablement
vite maîtrisé mais pourra créer au
passage quelques dégâts chez les plus insouciants.
Ainsi en va-t-il du diagnostic appliqué par l'éditeur
d'antivirus Sophos.
Selon Alain B'ndee Mbe, consultant senior au support technique
à Londres, "Code Red exploite une vulnérabilité
qui a toujours existé. Et il existe une différence
entre attirer l'attention de beaucoup de gens et le fait
de causer des dégâts. Donner des chiffres
comporte un risque car cela peut supposer que nous voulons
inviter les utilisateurs à acheter des logiciels
le plus rapidement possible. Dès qu'une nouvelle
classe de virus apparaît comme Code Red, elle fait
beaucoup de bruit et la propagation peut être très
rapide. Mais après, demain, Internet sera toujours
disponible et chacun pourra continuer à travailler."
1. Appliquer tous les correctifs,
2. répéter l'opération
Entre tous ces professionnels de la sécurité
existe de fait une série de dénominateurs
communs, tant par leur éthique que par les solutions
qu'ils prêchent. Dans un précédent
entretien, le directeur des laboratoires européens
de Trend
Micro Marc Blanchard nous avait ainsi confié
les mêmes vues. Cette fois-ci, il répète
qu'il "n'y a pas grand chose de plus à dire
à propos de Code Red" et de ses "nouvelles
variantes", et que "SirCam est sur la pente
descendante. Mais avec l'après-coup de l'actualité,
certaines personnes ont tendance à oublier."
Avant toute chose, il convient donc d'appliquer les règles
élémentaires en termes de protection. Un
expert auteur d'un article sur SecurityFocus.com
avait émis la comparaison suivante : un système
de sécurité incomplet, c'est comme un coffre
dans une banque sans porte et sans alarme. Il faudrait
peut-être aussi rajouter du personnel, comme des
RSSI (Responsables de la sécurité des systèmes
d'informations) chargés de dresser la listes des
correctifs manquants et de les appliquer une fois pour
toutes, puis de veiller en permanence sur les mailing
lists les plus fiables et de corriger toutes les nouvelles
failles au passage. "Dans les faits, le travail d'un
expert en sécurité peut-être assez
ingrat", confie Alain B'Ndee Mbe de Sophos UK. Il
peut permettre de ne pas faire partie "des ISP [qui]
ont été touchés aux Etats-Unis",
selon Marc Blanchard, par VBS_Stream.A,
autrement nommé VBS/Potock-A par Sophos. Un autre
ver qui réclame l'ouverture d'une pièce
jointe à double extension comme SirCam. Mais espérons
que cette fois-ci, les utilisateurs auront vraiment compris
l'intérêt des règles de sécurité.
|