Les premiers signes de l’infection apparaissent le 11 août 2003. Quelques heures plus tard, les centres d’alerte (CERT) et les éditeurs spécialisés du monde entier sont mobilisés : le monde de la sécurité informatique vient de faire connaissance avec Blaster, un ver dont les capacités de réplication inquiètent au plus haut point. Aucune action particulière n’est en effet requise pour l’infection : il suffit que la machine vulnérable soit connectée au réseau pour être exposée.
Propagation aléatoire
Blaster se propage au moyen d’une vulnérabilité de type buffer overflow (dépassement de mémoire tampon), qui affecte les principales versions de Windows du moment (NT 4.0, 2000, XP et Server 2003). La faille se situe au niveau du composant système chargé de gérer le protocole RPC (Remote Procedure Call), dédié à la communication de processus distants.
En termes compréhensibles ? Le virus est programmé pour générer une adresse IP aléatoire, à laquelle il va envoyer un message piégé. S’il existe une machine vulnérable à l’adresse en question, le simple fait de recevoir la requête suffit à déclencher l’infection : instantanément, Blaster se réplique et part à la recherche d’une nouvelle victime. Quatre jours seulement après le début de l’épidémie, Symantec estime que plus de 400 000 ordinateurs sont contaminés dans le monde.
« La vulnérabilité est connue, documentée et corrigée depuis près d’un mois quand l’infection commence »
L’infection n’a toutefois rien d’inexorable : il suffit par exemple d’être équipé d’un pare-feu réglé pour ne pas autoriser les connexions non sollicitées sur le port 135 pour être protégé. Les internautes qui ont installé les dernières mises à jour de sécurité proposées par le service Windows Update sont également protégés. La vulnérabilité exploitée par Blaster est en effet connue, documentée et corrigée depuis près d’un mois quand l’infection commence !
Divulgation responsable
Le bulletin de sécurité correspondant est mis en ligne par Microsoft le 16 juillet 2003. L’éditeur y décrit le mode opératoire de Blaster, invite tous les utilisateurs de Windows à installer sans attendre le correctif et donne quelques pistes sur les moyens d’endiguer une éventuelle infection.
La faille a en réalité été identifiée quelques jours plus tôt, mais les auteurs de la découverte ont attendu que Microsoft ait pu fournir une rustine avant de la rendre publique, conformément au principe de divulgation responsable.
L’alerte est rapidement relayée par les CERT au niveau international mais à ce stade, il n’y a pas forcément lieu de s’inquiéter : personne n’a détecté d’attaque liée à cette faille. La donne change quatre semaines plus tard. Il faut dire que Blaster ne passe pas inaperçu.
« Votre ordinateur va redémarrer dans 60 secondes »
Les symptômes exacts varient selon les variantes du virus mais dans la plupart des cas, le dépassement de mémoire tampon utilisé par Blaster se traduit par le crash du composant dédié à RPC, lequel programme le redémarrage du système au terme d’un court délai, bien insuffisant pour que l’utilisateur ait le temps de lancer un outil de désinfection ou effectuer une mise à jour système.
Le phénomène est d’autant plus gênant que Blaster modifie le registre de Windows pour se lancer à chaque nouveau démarrage du système : les victimes se retrouvent donc face à un ordinateur qui s’éteint et se relance en boucle. Pour mettre fin au cycle infernal, il faut donc profiter du court laps de temps pendant laquelle la machine est disponible pour interrompre le processus correspondant à Blaster, lancer un outil de désinfection et installer le correctif dédié ou mettre en place une barrière de type pare-feu.
« billy gates why do you make this possible ? Stop making money and fix your software!! »
Blaster a poursuivi sa carrière pendant de nombreux mois sous des variantes très diverses. Elles sont l’une des principales raisons pour lesquelles la mise à jour « SP2 » est devenue si célèbre auprès des utilisateurs de Windows XP. Publié un an après les débuts de Blaster, ce Service Pack mettait un accent particulier sur la sécurité, à tel point que son installation était considérée comme un prérequis indispensable à toute connexion d’un ordinateur à Internet.
Il faut dire que l’auteur du virus, jamais identifié, semble vouer une animosité toute particulière à l’égard de Microsoft et de son fondateur. « billy gates why do you make this possible ? Stop making money and fix your software!! », indique ainsi le code source du programme (Bill Gates, pourquoi rends-tu ça possible. Arrête de faire du fric et corrige ton logiciel !!).
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !