Un vers exploite une faille, mise en lumière par eEye, en juin dernier. Du 20 au 27 juillet, ce virus pourrait conduire à une attaque massive du site de la Maison Blanche. Et ça va faire mal...
Microsoft
ou lantihacker hacké
|
Ironie de
l’histoire, le site WindowsUpdate, censé faciliter la mise à
jour des produits Microsoft, et donc permettre de corriger les failles de
sécurité, a, lui aussi, été victime du "Red
Code" . Selon Pierre Vandevenne, de DataRescue, dont le logiciel
IDA a servi à analyser,
en détail, le vers, l’un des serveurs de DataRescue, qui ne risquait rien, tournant sous Apache, a été victime d’une
centaine d’attaques hier à partir de 18 heures. Un grand nombre dinformaticiens
responsables de l’administration système semble, ainsi, avoir passé,
hier soir, quelques heures plutôt difficiles. Cest en tout cas
vrai pour ceux qui n’avaient pas appliqué le patch suffisamment tôt.
Et ils seraient nombreux.
Un message dans BugTraq annonçait, ainsi, ce matin, que le site Dshield.org
, spécialisé dans la détection d’intrusions, a comptabilisé,
la semaine passée, pas moins de 5 000 serveurs vulnérables
au ver. La majeure partie du temps, les administrateurs système semblent
avoir pris de haut l’alerte, allant jusqu’à se plaindre d’avoir été
contacté par Dshield. Le 17 juillet, le site avait ainsi recensé
108 428 vers en activité. Les serveurs Microsoft IIS équipent
un peu plus de 20 % du parc mondial
. |
Marc est très jeune. Il est "Chief hacking officer" de la société eEye qu’il a contribué à créer, il y a maintenant quelques années. Et sa boîte est désormais très connue. Marc (qui ne souhaite pas révéler son nom de famille) est un pur produit des premières années du Web. C’est un hacker. Un hacker médiatisé. Il n’a pas toujours été
white hat, c’est-à-dire gentil hacker, qui, à l’inverse du black hat, n’est pas censé faire de "mauvaises actions". Mais qui, désormais, oserait remettre en cause son statut ? Son entreprise de sécurité informatique est à l’origine de trois trouvailles majeures sur le serveur web développé par Microsoft : IIS. Trois trouvailles qui ont fait des ravages. Les alertes de sécurité (
advisories) ont été suivies d’exploits (programme servant à exploiter la faille), très simples et efficaces. Des centaines, pour ne pas dire des milliers de sites ont été piratés sur la base de ces
advisories et avec ces exploits. Le 18 juin dernier, Marc postait au nom de eEye une alerte dans BugTraq (lire
eEye : tous à vos patchs !). Il ne mâchait pas ses mots. Ce nouveau bug, découvert sur IIS allait tout mettre par terre tellement cela concernait de sites. Il annonçait même que eEye ne distribuerait pas d’exploit (pas tout de suite en tout cas), de peur de voir des hordes de
script kiddies - ces gamins qui jouent aux pirates mais utilisent les outils codés par les experts - s’en emparer pour graffiter tous les e-murs du Web.
Exploit et vers dans la foulée
Manque de pot, ou plutôt, c’était couru d’avance, HighSpeed Junkie, un Japonais, a codé et distribué un exploit (programme servant à exploiter la faille), le 21 juin dernier. Le nombre de serveurs vulnérables est hallucinant. Le nombre de serveurs qui ont été patchés est particulièrement faible. Pendant que le Nippon fripon codait son exploit, il y en avait visiblement un deuxième qui s’en donnait à cœur joie... Dès le 13 juillet, un vers a, en effet, commencé à infecter les serveurs IIS en utilisant le même défaut découvert par eEye. Marc et l’un de ses hackers (Marc a fait embaucher pas mal de bons hackers dans son entreprise) a donc reposté, ces derniers jours, une alerte dans BugTraq. Son papier était une analyse des actions d’un vers qu’il a baptisé "Code rouge". Il a choisi ce nom parce que le vers force les sites infectés à en pirater d’autres et à afficher sur la page d’accueil : "Hacked by Chinese". On peut, d’ailleurs, le voir sur cette copie d’écran de l’un des sites de mise à jour de Microsoft. Mais aussi parce que la boisson pétillante (un nouveau soft drink à la cerise lancé par Pepsi) qu’il a utilisée pour tenir le coup pendant la nuit d’analyse du vers, avait une couleur rouge et porte, d’ailleurs ce nom-là.