Le ver SQL Slammer a paralysé une partie d'Internet le 25 janvier 2003 en exploitant une faille connue de SQL Server depuis juillet 2002. Cette attaque a gravement perturbé le réseau mondial dès le vendredi soir.
L'attaque a ensuite duré toute la journée de samedi. Le pire semblait passé samedi soir, même si ce programme pouvait encore avoir des effets dans les prochains jours, a expliqué Alfred Huger, directeur de l'ingénierie chez Symantec, société spécialisée dans la sécurité Internet basée en Californie. Le virus « est très rapide et très efficace », a-t-il ajouté.
Comment le ver SQL Slammer s'est propagé
Le ver Saphir a commencé à se répandre samedi à 00h00 (05h00 GMT) en Asie et s'est rapidement propagé à des serveurs basés sur la côte Est des États-Unis et en Europe du Nord, selon Tom Ohlsson, vice-président du marketing chez Matrix NetSystems, une société de surveillance.
Au plus fort de l'attaque, dans la matinée, environ 20 % du trafic de données en transit sur Internet a été perdu, une proportion dix fois supérieure à la normale, selon Ohlsson.
Conséquences de l'attaque sur Internet
Parmi les effets notables, le trafic audio via Internet, souvent utilisé par les institutions financières pour relier entre elles des salles de marché éparpillées dans le monde, a été interrompu. Le réseau subissait encore des latences importantes chez certains fournisseurs d'accès.
Le Sapphire Worm ou SQL Slammer – nom donné à ce ver car des ingénieurs de nombreuses entreprises de sécurité informatique américaines furent sortis des bars vendredi soir juste après minuit en urgence pour contenir l'attaque – exploite les résultats d'un buffer overflow sur une faille de sécurité du serveur Microsoft.
Fonctionnement technique du ver SQL Slammer
Une fois la faille trouvée, le ver infecte la machine sans causer aucun dommage : il n'y a pas de destruction de fichiers. Sa seule activité consiste à chercher une nouvelle victime en scannant massivement et aléatoirement un ensemble d'adresses IP.
C'est cette activité de scan qui crée un embouteillage sur le réseau si le ver infecte un nombre élevé de machines scannant toutes à leur tour des plages d'IP.
Un nombre très important d'attaques auraient ainsi été détectées durant les douze dernières heures, causant l'arrêt de 5 des 13 routeurs principaux d'Internet (déjà touchés par une attaque il y a peu de temps). Sur les 8 routeurs « safe », 2 auraient été près de sombrer à leur tour avec des temps de latence avoisinant les 10 secondes.
Le Slammer ne scanne pas des adresses locales et ne pénètre donc pas les réseaux internes une fois qu'il touche une porte sur le Web, contrairement au ver Nimda. Il se réplique simplement sans causer aucun dommage collatéral au niveau logiciel.
Comparaison avec d'autres vers informatiques
Ce ver n'est donc pas aussi dangereux qu'un autre ver récemment découvert qui exploite une autre faille de SQL Server appelée « vulnérabilité SA/nopassword ». Ce nouveau ver serait beaucoup plus dévastateur car il exploiterait une faille logicielle plutôt qu'une erreur de configuration des serveurs ou un manque de mise à jour de sécurité.
D'où venait l'attaque SQL Slammer ?
L'attaque, selon de nombreux articles et experts, aurait commencé en Corée du Sud ou à Hong Kong, ce qui expliquerait pourquoi la Corée du Sud a vu son réseau haut débit complètement saturé au tout début de l'attaque.
Comment se protéger du ver SQL Slammer
Les experts recommandent aux administrateurs système de fermer immédiatement le port SQL de tous leurs serveurs – le ver n'utilisant que le port 1434 en UDP (le port de monitoring de SQL). De plus, ils rappellent que la faille de sécurité avait été signalée depuis plusieurs mois par Microsoft et que le correctif est disponible sur le site de Microsoft à cette adresse : Patch SQL
ou encore est disponible dans le SQL 2000 service pack à : SQL 2000 service pack
Bilan et leçons de l'attaque
Au final, le réseau a encore montré pour la deuxième fois en quelques mois sa solidité et surtout sa capacité de réaction. Paralyser complètement Internet est une chose difficile, même si cette deuxième alerte a été plus critique que la dernière.
L'attaque a aussi montré la nécessité de bien suivre les alertes de sécurité et de patcher correctement les serveurs... pour une fois, Microsoft ne peut pas être accusé de tous les maux.
Impact de l'attaque en France
En France, l'impact semble avoir été minime : des sites comme grenouille.com en ont fait les frais, et certaines liaisons de FAI furent perturbées dans la matinée. Le fait que cela soit arrivé le week-end et principalement dans la nuit ou la matinée en France a réduit l'impact réel pour les internautes français. Aucun média national n'en a fait écho.
Qui est à l'origine de l'attaque SQL Slammer ?
Dernière question : pourquoi et par qui ? Il est pour l'instant impossible de répondre à cette question.
Certaines rumeurs avancent l'hypothèse d'une protestation contre le nouveau système PALLADIUM (qui va changer de nom) de Microsoft.
Réactivité des médias français face à l'attaque
Les sites d'information grand public français à côté de la plaque... réactivité nulle
Alors qu'Internet subissait l'attaque la plus importante de son histoire, faites le tour des sites web d'information en France : Lemonde, 01net, Zdnet... Samedi 25 janvier à 19 heures, apparemment, rien ne se passait !
Ne parlons même pas des chaînes d'information télévisées. Réactivité nulle de nos médias. Seuls les sites communautaires ou « libres » ont diffusé et commenté l'information : activité sans précédent sur les forums.
Les médias français seraient-ils allergiques aux nouvelles technologies ?
