Il s’écoule parfois plusieurs semaines entre la découverte d’une vulnérabilité et son exploitation à des fins malveillantes. Bon nombre d’administrateurs système l’ont appris à leurs dépens au cours de l’été 2001, date à laquelle le virus Code Red a sévi pour la première fois.
La faille de sécurité qui rendra l’épidémie possible est documentée un mois avant les premiers signes de l’attaque, le 18 juin 2001. Elle concerne le serveur Web IIS (Internet Information Services), que l’on retrouve notamment au sein de l’environnement professionnel Windows NT 4.0.
Une lumière rouge. Crédit : RGB Stock.com
Les deux responsables de sa découverte expliquent que la sécurité du système d’exploitation est susceptible d’être compromise par une attaque de type buffer overflow (dépassement de mémoire tampon), qui permet de passer outre les défenses intégrées à IIS en lui envoyant une chaîne de caractère piégée. Microsoft, dûment alerté, émet un bulletin de sécurité et déploie un correctif visant à colmater la brèche. À ce stade, aucune attaque n’a été recensée.
De la théorie à la pratique
Un mois plus tard, on passe de la théorie à la pratique. Ryan Permeh et Marc Maiffret d’eEye publient le 13 juillet une nouvelle alerte : les deux hommes ont découvert les traces d’un virus capable d’exploiter cette vulnérabilité en examinant les logs (le journal des événements système) de certains serveurs Web. Une analyse détaillée du virus révèle un comportement assez complexe, doublé d’un réel pouvoir de nuisance.
Le virus est capable d’infecter aux alentours d’un demi-million d’adresses IP par jour
Dès son entrée dans la machine, le programme commence par se ménager un accès complet au système. Il se réplique ensuite en mémoire jusqu’à ce que 100 copies de lui-même soient actives. 99 de ces instances sont chargées d’envoyer la requête permettant l’infection vers une autre adresse IP, afin d’assurer la propagation du virus. La centième s’intéresse à la machine hôte : elle cherche l’éventuel site Web hébergé et procède au défacement de sa page d’accueil, en remplaçant le contenu par la phrase suivante : « Welcome to http://www.worm.com!, Hacked By Chinese! »
« Nous avons calculé que le virus est capable d’infecter aux alentours d’un demi-million d’adresses IP par jour. C’est une estimation grossière réalisée à partir de tests sur un réseau très lent », commentent les deux auteurs de la découverte de Code Red.
La Maison-Blanche prise pour cible après le 20 du mois
Ce premier niveau n’est pourtant que la face visible de l’infection : Code Red garde en effet en réserve une petite surprise du chef, dont l’envoi est programmé en fonction du calendrier. À partir du 20 du mois en cours, chacun des cent processus générés par Code Red se met à envoyer un message toutes les quatre heures en direction du site Web de la Maison-Blanche.
Une carte de l’infection Code Red v2 au 20 juillet 2001.
But de la manœuvre ? Submerger de requêtes le serveur qui soutient le site jusqu’à ce que celui-ci ne soit plus capable de tenir la charge. C’est le principe de l’attaque par déni de service distribuée, où une multitude de machines infectées à l’insu de leur propriétaire sont mises à profit pour faire tomber une cible précise. L’attaque n’est toutefois pas difficile à contrer : Code Red ne s’attaque pas à l’adresse Web whitehouse.gov mais à l’adresse IP associée au site. Les administrateurs de la Maison-Blanche n’auront donc qu’à renvoyer vers une autre adresse pour que les effets du déni de service prennent fin.
Pendant plusieurs jours, Code Red se propage par vagues. D’après les analystes du CAIDA (Center for Applied Internet Data Analysis), la variante la plus virulente de Code Red a infecté 359 000 ordinateurs à travers le monde en moins de 14 heures le 19 juillet. Ceux qui avaient procédé à la mise à jour de leur système d’exploitation sont passés sans encombre au travers de l’infection.
Image de Une : Erwan Hesry via Unsplash
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
