Blaster, le ver qui aimait redémarrer les ordinateurs
Les premiers signes de l’infection apparaissent le 11 août 2003.
Propagation aléatoire
Blaster se propage au moyen d’une vulnérabilité de type buffer overflow (dépassement de mémoire tampon), qui affecte les principales versions de Windows du moment (NT 4.0, 2000, XP et Server 2003). La faille se situe au niveau du composant système chargé de gérer le protocole RPC (Remote Procedure Call), dédié à la communication de processus distants.
En termes compréhensibles ? Le virus est programmé pour générer une adresse IP aléatoire, à laquelle il va envoyer un message piégé. S’il existe une machine vulnérable à l’adresse en question, le simple fait de recevoir la requête suffit à déclencher l’infection : instantanément, Blaster se réplique et part à la recherche d’une nouvelle victime. Quatre jours seulement après le début de l’épidémie, Symantec estime que plus de 400 000 ordinateurs sont contaminés dans le monde.
L’infection n’a toutefois rien d’inexorable : il suffit par exemple d’être équipé d’un pare-feu réglé pour ne pas autoriser les connexions non sollicitées sur le port 135 pour être protégé. Les internautes qui ont installé les dernières mises à jour de sécurité proposées par le service Windows Update sont également protégés. La vulnérabilité exploitée par Blaster est en effet connue, documentée et corrigée depuis près d’un mois quand l’infection commence !
Divulgation responsable
Le bulletin de sécurité correspondant est mis en ligne par Microsoft le 16 juillet 2003. L’éditeur y décrit le mode opératoire de Blaster, invite tous les utilisateurs de Windows à installer sans attendre le correctif et donne quelques pistes sur les moyens d’endiguer une éventuelle infection.
La faille a en réalité été identifiée quelques jours plus tôt, mais les auteurs de la découverte ont attendu que Microsoft ait pu fournir une rustine avant de la rendre publique, conformément au principe de divulgation responsable.
L’alerte est rapidement relayée par les CERT au niveau international mais à ce stade, il n’y a pas forcément lieu de s’inquiéter : personne n’a détecté d’attaque liée à cette faille. La donne change quatre semaines plus tard. Il faut dire que Blaster ne passe pas inaperçu.
Les symptômes exacts varient selon les variantes du virus mais dans la plupart des cas, le dépassement de mémoire tampon utilisé par Blaster se traduit par le crash du composant dédié à RPC, lequel programme le redémarrage du système au terme d’un court délai, bien insuffisant pour que l’utilisateur ait le temps de lancer un outil de désinfection ou effectuer une mise à jour système.
Le phénomène est d’autant plus gênant que Blaster modifie le registre de Windows pour se lancer à chaque nouveau démarrage du système : les victimes se retrouvent donc face à un ordinateur qui s’éteint et se relance en boucle. Pour mettre fin au cycle infernal, il faut donc profiter du court laps de temps pendant laquelle la machine est disponible pour interrompre le processus correspondant à Blaster, lancer un outil de désinfection et installer le correctif dédié ou mettre en place une barrière de type pare-feu.
Blaster a poursuivi sa carrière pendant de nombreux mois sous des variantes très diverses. Elles sont l’une des principales raisons pour lesquelles la mise à jour « SP2 » est devenue si célèbre auprès des utilisateurs de Windows XP. Publié un an après les débuts de Blaster, ce Service Pack mettait un accent particulier sur la sécurité, à tel point que son installation était considérée comme un prérequis indispensable à toute connexion d’un ordinateur à Internet.
Il faut dire que l’auteur du virus, jamais identifié, semble vouer une animosité toute particulière à l’égard de Microsoft et de son fondateur. « billy gates why do you make this possible ? Stop making money and fix your software!! », indique ainsi le code source du programme (Bill Gates, pourquoi rends-tu ça possible. Arrête de faire du fric et corrige ton logiciel !!).