Après Slammer, "les anti-virus ne suffisent plus"

Par C.A., le 30 janvier 2003 à 20h35 , mis à jour le 18 août 2005 à 10h58

L'attaque massive du ver SQL Slammer a non seulement stigmatisé les négligences en matière de patch, mais aussi les limites des anti-virus face à ces nouvelles attaques. Interview de Marc Blanchard, directeur du laboratoire européen de recherche sur les virus de Trend Micro.
Vignette virus sobre © INTERNE

tf1.fr : Quelles leçons tirer de l'épisode Slammer ?

Marc Blanchard - La propagation de ce ver confirme un sentiment que j'avais eu au moment de CodeRed : désormais, les virus et les vers s'attachent à exploiter les failles de sécurité, à profiter de la notion de confiance sur laquelle repose une partie des systèmes de firewall. C'est ce qui s'est passé avec Slammer : il a profité d'une faille dans le logiciel SQL Server qui permet d'exploiter le port 1434.
La nouveauté de Slammer réside en outre dans le fait qu'il ne copie aucun fichier dans la machine qu'il frappe : son code malicieux reste dans la mémoire. Or, scanner la mémoire en temps réel est une tâche très fastidieuse, qu'un antivirus ne peut pas faire de manière optimale. Ajoutez cela au fait qu'il se répandait de façon aléatoire, vous avez un effet de masse, une propagation (et une saturation du réseau) exponentielle.

Il a pourtant été rapidement arrêté…

Oui, car il y avait un avantage au désavantage : vu que le code malicieux réside dans la mémoire, il disparaît lorsqu'on redémarre la machine. La solution était simple : il suffisait de fermer le port, d'appliquer le patch de Microsoft et de redémarrer. Mercredi soir, cependant, il y avait encore près de 1.500 serveurs infectés.

A-t-il, justement, profité des négligences ?

Le patch existait depuis longtemps, il aurait du être appliqué. Pour un administrateur, faire les mises à jour de sécurité doit relever de la tâche quotidienne. Appliquer les patchs est essentiel ! Il ne faut pas non plus trop blâmer les développeurs de logiciels : on ne peut pas deviner toutes les exploitations tordues qui vont être faites de failles inexplorées. On est obligé de faire du pas à pas. Et il faut reconnaître que Microsoft est de plus en plus réactif.
Il faut être de plus en plus prudent, attentif, et surtout bien s'équiper. Un anti-virus ne suffit plus : il faut surveiller les mises à jour de sécurité et s'équiper d'un firewall.

Ce genre de vers est-il amené à se développer ?

Sans doute. Mais les virus véhiculés par mail resteront fréquents : la propagation par ce biais reste l'une des options favorites des créateurs. Ils deviennent de plus en plus pervers : dans l'avenir, les virus de type "dropper" vont se généraliser. C'est un virus qui contient un autre virus. Le premier fait le travail d'un rétro-virus : il désactive le firewall, empêche l'antivirus de fonctionner, et lance ensuite le deuxième qui peut agir en toute liberté.

Par C.A. le 30 janvier 2003 à 20:35
Envoyer cette page à un ami
Les champs marqués par une étoile * sont obligatoires.
Les derniers articles High-Tech
  

Commentaires

Afficher : Les plus récents | Les plus appréciés

      Alertez-nous
        alertez-nous

        Témoin d'un événement ?

        Alertez la rédaction !

        Envoyez une alerte

        A lire aussi
        logAudience