Code Rouge reprend du service ce mercredi. Gros dégâts en perspective ou nouvelle péripétie dans la jeune vie du Net ? Marc Maiffret, "hacker en chef" chez eEye répond à nos questions.
Il fallait bien qu’elle advienne cette Apocalypse, prévue il y a déjà près de 2 000 ans... On l’a maintes fois annoncée, mais la presse, Wired en tête, semble désormais sûre de la date : c’est ce mercredi 1er août. Tout simplement. Code Rouge va reprendre son activité d’infection de sites vulnérables, probablement ralentir quelques tronçons du Net, pourrir quelques modems-câble, quelques routeurs, et finalement, bombarder l’ancienne adresse IP du site de la Maison Blanche. Peut-on qualifier cela d’apocalypse ? Probablement pas. Et si l’on considère ce problème comme une cyber-apocalypse, comment doit-on qualifier les dizaines d’autres vulnérabilités tout aussi sérieuses qui demeurent présentes sur de nombreux serveurs ? Sans même parler des failles qui n’ont pas été rendues publiques ou des gros secrets qui s’échangent entre pirates ou hackers plus ou moins responsables... Ainsi, il y a quelques mois, une poignée de personnes ont codé un bidule permettant sans doute de mettre à genoux des pans entiers du Net. Si ce machin était activé, il serait impossible de s’en protéger puisque cela toucherait les protocoles de communication. Qui a parlé de ça ? Qui s’en est inquiété ? Personne puisque cela n’était pas public. Qui a utilisé ce code ? Personne. Parce que cela est resté entre les mains de hackers responsables qui ne sont en guerre contre personne. Alors, Code Rouge, phénomène médiatique ? Marc Maiffret, "hacker en chef" de eEye, la société qui a découvert le bug exploité par Code Rouge et qui a fourni la première analyse poussée du ver, tente de répondre à la question.
Qu’est-ce que cela vous inspire quand vous lisez des titres comme Code Rouge : est-ce l’Apocalypse ? Pensez-vous que cela soit vraiment le cas ?
Je ne pense pas que les deux versions du ver qui circulent vont amener une catastrophe totale. En fait, je suis partagé. Ce qui va se passer n’est pas non plus anodin, c’est plutôt quelque chose entre les deux. Il y a plein de gens qui surmédiatisent Code Rouge et il y a pas mal de monde qui sous-estime sa portée... Quelle que soit la manière dont on prenne cette histoire, c’est compliqué... Des centaines de milliers de serveurs web ont été infectés par ce ver et potentiellement, quelques centaines de milliers d’autres risquent de l’être au cours de cette deuxième vague d’infection. Et ça, c’est un vrai problème.
Il y aura donc bien un moment où tous les serveurs vulnérables seront infectés. Ce mois-ci ou le mois prochain...
C’est très dur à dire... Je ne sais pas si 19 jours est un temps suffisant pour que le ver trouve, aléatoirement, tous les serveurs IIS vulnérables. Je pense qu’il en trouvera un bon pourcentage, mais pas tous.
Pourquoi, selon vous, les auteurs de Code Rouge ont-ils mis une adresse IP au lieu du nom de domaine (www.whitehouse.gov) de la Maison-Blanche dans le code ? Les nouvelles variantes du ver vont-elles réaliser une attaque de déni de service sur cette ancienne adresse IP ou sur www.whitehouse.gov ?
Je ne sais pas trop pourquoi ils ont utilisé une IP plutôt que le nom de domaine... Peut-être ont-ils pensé que ce serait plus efficace même si cela ne l’a, de toute évidence, pas été. La deuxième version du ver que nous avons analysée contient toujours la même adresse IP. Pas de changement.
Le site de la présidence pourrait-il échapper aussi facilement à l’attaque du ver s’il y avait une version contenant le nom de domaine plutôt que l’IP ?
C’est possible... whitehouse.gov utilise désormais Akamai qui fait que des miroirs du site de la présidence sont répartis un peu partout dans le monde. Donc maintenant, leur site web est "distribué" sur le Net. Les attaques seraient donc diluées au lieu de se concentrer sur un seul (façon de parler) serveur.
Avez-vous vu passer une version de Code Rouge avec le nom d’un autre site comme cible d’attaque DoS (Deinal of Service) ?
Non.
Cela pourrait-il arriver dans le futur ? Est-ce simple de modifier le code et de le redistribuer ?
Bien entendu, cela peut arriver. Pas besoin d’être un génie. Même si ce n’est pas à la portée du premier script kiddy venu.
Pourquoi le CERT CC (Computer Emergency Response Team Coordination Center) ne mentionne-t-il pas eEye dans son dernier courrier sur Code Rouge. Il renvoie les utilisateurs vers un site de Cable & Wireless sans faire une seule référence à eEye ?
Le CERT nous a cité, au début, mais pour une raison que je ne connais pas, un certain nombre des groupes d’alerte (comme le CERT, Microsoft, ISS, etc.) ont réutilisé (copié) notre analyse (de Code Rouge - NDLR) sans nous mentionner. Le ver est dans la nature depuis un bon moment. Alors, ils doivent penser que c’est aussi simple de tenter de présenter cela comme leur propre analyse. Mais bon, la plupart des gens sait que c’est eEye qui a découvert la vulnérabilité et fait la première analyse approfondie de Code Rouge.
Pensez-vous, avec le recul, que vous auriez dû discuter avec Microsoft de la faille que vous aviez découverte, et ne pas la rendre publique pour éviter l’histoire du Code Rouge ?
Pas du tout. On a travaillé dans les règles. Nous avons trouvé la vulnérabilité et nous avons contacté Microsoft. Nous avons travaillé avec eux pour créer un patch. Code Red ne serait même pas le début d’un problème si les administrateurs ne mettaient pas des mois à installer les patchs de sécurité et si Microsoft faisait des logiciels plus sûrs.
N’est-il pas temps pour Microsoft de hacker son propre serveur IIS et de le recoder de façon plus sûre ?
Bien entendu. Mais bon, pourquoi s’en préoccuperaient-ils quand ils ont eEye et d’autres sociétés et organismes pour travailler à leur place ? Hé, hé...
Avez-vous un début d’idée de qui a fabriqué Code Rouge ?
Aucune idée. Mais je pense que celui ou ceux qui ont fait cela sont assez malins pour ne pas en parler. Parce que s’ils se font attraper, ce sera le début d’une mauvaise journée... Au moins.
Quelque chose à ajouter ?
Oui. J’espère que Pepsi utilisera l’équipe de eEye (1) dans les pubs qu’ils feront pour leur boisson Code Red Mountain Dew... ;))
(1) C’est eEye qui, le premier, a utilisé le terme de Code Rouge. Ce nom de baptême a été en partie choisi en référence à la boisson rouge de Pepsi qui a permis à l’équipe de hackers de se tenir éveillés durant la nuit qu’ils ont passée à analyser la "bête"...