Face à la vague de
virus qui a traversé le Web durant le mois d'août
(voir l'article),
les fournisseurs d'accès à Internet (FAI)
étaient en première ligne. Comment ont-ils
vécu ces attaques ? Quelles mesures ont-ils
prises, notamment pour informer leurs clients ? Bilan
de cet été noir.
Tout commence avec le ver Blaster aux alentours du 11
août. "Nous avons relevé les premières alertes à partir
de 19h00", se souvient Eric Edelstein, expert au
sein du pôle sécurité chez Wanadoo. Et Patrick Puges,
directeur technique de la filiale de France Télécom,
d'ajouter : "une campagne de communication a
immédiatement été lancée en
vue d'informer nos abonnés sur les mesures à
mettre en oeuvre en vue de protéger leur machine."
La même décision est prise chez Tiscali (voir
l'encadré).
L'information
client avant tout
Chez
Free, on constate une augmentation de la bande passante
de l'ordre de 10 à 20% dans les heures qui suivent
la diffusion du ver. Un
pic qui, selon le responsable technique du FAI, n'a
engendré aucune conséquence notable sur
la disponibilité des accès. Etait-il possible
de bloquer les flux porteurs du virus ? "Cette solution
n'était pas envisageable, affirme-t-on chez Wanadoo.
Blaster se propage en effet en exploitant une faille
de Windows liée au port de communication 135 (RPC).
Le filtrage de ces transactions aurait entraîné l'arrêt
des services client utilisant ce port, le partage de
fichiers par exemple."
Reste
que les FAI se devaient de protéger leurs propres
systèmes... Ce qui était le cas pour les
acteurs que nous avons interrogés. Rappelons
que le patch permettant de se prémunir contre
Blaster est disponible depuis le 16 juillet 2003. Principal
enseignement tiré de cet épisode :
un processus de veille peut éviter bien des incidents.
Sobig:
aussi virulent que I love you
A partir du
19 août, c'est autour d'une nouvelle version de
Sobig (Sobig.f) de rentrer en action. "Il ne s'agit
pas d'un ver dangereux, mais la vitesse à laquelle il
se diffuse est très impressionnante", nous confiait
la semaine dernière Jérôme Lahalle, membre de
la cellule de veille technologique du cabinet Lexsi.
Très vite, l'arrivée de ce nouveau virus
se fait sentir chez les fournisseurs d'accès.
"Nous avons assisté à des montées
en charge assez fortes des serveurs de messagerie (d'environ
30%), reconnaît Antoine Levavasseur, responsable
technique chez Free. L'activation de règles de
filtrage nous a permis d'empêcher la saturation
des plates-formes." Le niveau de criticité
de ce code ? "Il est comparable à celui
du virus I Love You. Malgré tout, cette situation
n'avait rien d'exceptionnelle pour nous."
Même réaction
chez Wanadoo : "Sobig.f est un virus classique
de type spamer dont le mode de diffusion s'effectue
par le biais de mailing de masse, rappelle Eric Edelstein.
Pour lui barrer la route, nous disposons par conséquent
de procédures préétablies - en
vue notamment d'assurer la mise à niveau des
solutions de sécurité de nos serveurs
de messagerie (antivirus, etc.)."
Blaster:
les hébergeurs également concernés
Suite à l'entrée
en action de Blaster, Tiscali décide d'alerter par
e-mail l'ensemble de ses clients hébergement. "Notre
support technique est intervenu pour faciliter la
mise à jour des serveurs Web, explique Patrice Rouzaud,
responsable technique ingénierie et support B2B
chez Tiscali. Nous avons également mis en place
des règles de filtrage des ports TCP/UDP utilisés
par le virus, les sites Web n'exploitant que très
rarement ce type de connexions." |
|
[