Fausse alerte en début de mois, vraie alerte en milieu de mois. Que réserve la suite ? Un nouveau ver Code Rouge pourrit les journées de pas mal de monde...
Un nouveau Code Rouge, tout neuf, tout beau, a fait son apparition sur le Net. Securityfocus.com, qui édite la mailing list BugTraq et eEye, la société qui a découvert la vulnérabilité exploitée par Code Rouge, ont sonné l’alarme. La nouvelle version du ver exploite la même vulnérabilité des serveurs IIS de Microsoft, mais il est un peu plus tordu. Il a les moyens de rechercher plus de serveurs à infecter et installe une backdoor (porte dérobée) à double entrée. Deux systèmes permettant à un pirate de prendre le contrôle du serveur sont créés lors de l’infection. Début août, le concert de satisfaction était pourtant sans fausse note. Le Net n’avait pas succombé à l’accroissement de données circulant provoqué par la deuxième vague de propagation de Code Rouge. Cependant, le nouveau ver semble être très actif. Un responsable d’une grande entreprise en France confiait ce matin à Transfert qu’il enregistrait de très nombreuses requêtes en raison de cette nouvelle tentative d’infection.
Port 80 et embrouillage
Détail amusant, personne ne peut stopper ces attaques. Elles arrivent sur le port 80, c’est-à-dire la voie de communication réservée au Web sur Internet. Lorsqu’un utilisateur lambda demande la page d’accueil d’un site, son navigateur fait une requête sur le port 80 dudit site. Comment différencier la demande de Code Rouge de celle d’un utilisateur de base ? Impossible. À moins de placer des sondes spécifiquement configurées pour repérer les demandes tordues du ver. Mais cela se traduira forcément dans les performances du site. Et personne ne prend ce genre de risque. Finalement, mieux vaut patcher. Mais qui installe ces mises à jour ? Pas grand monde. Après l’alerte de début août, Microsoft annonçait un million de téléchargement de son patch. Pour combien de millions de sites tournant sous IIS ? Code Rouge et son rejeton n’ont sans doute pas plombé le trafic sur le Net. Mais ce n’est pas l’essentiel. L’essentiel, c’est qu’il constitue une très belle démonstration de ce qui pourrait arriver. De fait, ces bestioles sont plutôt inoffensives. Leur prochain successeur le sera-t-il ? Et si au lieu d’éteindre et de redémarrer un serveur à date fixe, comme le fait la nouvelle version de Code Rouge, il coupait les entreprises du Net, détruisait des données ou rediffusait le contenu de bases de données ? Amusante perspective...