Apparu en 2001, le ver Code Red a infecté des centaines de milliers de serveurs Web, dont il exploitait les ressources afin de conduire des attaques par déni de service. Sa victime favorite ? La Maison Blanche.

Il s’écoule parfois plusieurs semaines entre la découverte d’une vulnérabilité et son exploitation à des fins malveillantes. Bon nombre d’administrateurs système l’ont appris à leurs dépens au cours de l’été 2001, date à laquelle le virus Code Red a sévi pour la première fois.

La faille de sécurité qui rendra l’épidémie possible est documentée un mois avant les premiers signes de l’attaque, le 18 juin 2001. Elle concerne le serveur Web IIS (Internet Information Services), que l’on retrouve notamment au sein de l’environnement professionnel Windows NT 4.0.

Une lumière rouge. Crédit : RGB Stock.com

Les deux responsables de sa découverte expliquent que la sécurité du système d’exploitation est susceptible d’être compromise par une attaque de type buffer overflow (dépassement de mémoire tampon), qui permet de passer outre les défenses intégrées à IIS en lui envoyant une chaîne de caractère piégée. Microsoft, dûment alerté, émet un bulletin de sécurité et déploie un correctif visant à colmater la brèche. À ce stade, aucune attaque n’a été recensée.

De la théorie à la pratique

Un mois plus tard, on passe de la théorie à la pratique. Ryan Permeh et Marc Maiffret d’eEye publient le 13 juillet une nouvelle alerte : les deux hommes ont découvert les traces d’un virus capable d’exploiter cette vulnérabilité en examinant les logs (le journal des événements système) de certains serveurs Web. Une analyse détaillée du virus révèle un comportement assez complexe, doublé d’un réel pouvoir de nuisance.

Le virus est capable d’infecter aux alentours d’un demi-million d’adresses IP par jour

Dès son entrée dans la machine, le programme commence par se ménager un accès complet au système. Il se réplique ensuite en mémoire jusqu’à ce que 100 copies de lui-même soient actives. 99 de ces instances sont chargées d’envoyer la requête permettant l’infection vers une autre adresse IP, afin d’assurer la propagation du virus. La centième s’intéresse à la machine hôte : elle cherche l’éventuel site Web hébergé et procède au défacement de sa page d’accueil, en remplaçant le contenu par la phrase suivante : « Welcome to http://www.worm.com !, Hacked By Chinese !  »

« Nous avons calculé que le virus est capable d’infecter aux alentours d’un demi-million d’adresses IP par jour. C’est une estimation grossière réalisée à partir de tests sur un réseau très lent », commentent les deux auteurs de la découverte de Code Red.

La Maison-Blanche prise pour cible après le 20 du mois

Ce premier niveau n’est pourtant que la face visible de l’infection : Code Red garde en effet en réserve une petite surprise du chef, dont l’envoi est programmé en fonction du calendrier. À partir du 20 du mois en cours, chacun des cent processus générés par Code Red se met à envoyer un message toutes les quatre heures en direction du site Web de la Maison-Blanche.

Une carte de l’infection Code Red v2 au 20 juillet 2001.

But de la manœuvre ? Submerger de requêtes le serveur qui soutient le site jusqu’à ce que celui-ci ne soit plus capable de tenir la charge. C’est le principe de l’attaque par déni de service distribuée, où une multitude de machines infectées à l’insu de leur propriétaire sont mises à profit pour faire tomber une cible précise. L’attaque n’est toutefois pas difficile à contrer : Code Red ne s’attaque pas à l’adresse Web whitehouse.gov mais à l’adresse IP associée au site. Les administrateurs de la Maison-Blanche n’auront donc qu’à renvoyer vers une autre adresse pour que les effets du déni de service prennent fin.

Pendant plusieurs jours, Code Red se propage par vagues. D’après les analystes du CAIDA (Center for Applied Internet Data Analysis), la variante la plus virulente de Code Red a infecté 359 000 ordinateurs à travers le monde en moins de 14 heures le 19 juillet. Ceux qui avaient procédé à la mise à jour de leur système d’exploitation sont passés sans encombre au travers de l’infection.

Image de Une : Erwan Hesry via Unsplash

Crédit photo de la une : Erwan Hesry via Unsplash

À propos de Bitdefender

Bitdefender est un éditeur européen de solutions de cybersécurité, dont les technologies protègent aujourd’hui plus de 500 millions d’utilisateurs dans le monde. Il est l'annonceur exclusif de Cyberguerre. Ses technologies de machine learning et d’intelligence artificielle permettent d’anticiper et de bloquer un plus grand nombre de menaces, afin de protéger instantanément tous ses utilisateurs. Grâce à ses investissements en R&D, sa capacité à innover en permanence pour garder une longueur d’avance sur les menaces, et de nombreux partenariats technologiques, Bitdefender a réhaussé les standards de sécurité les plus élevés de l’industrie.

Plus d’informations sur www.bitdefender.fr

Partager sur les réseaux sociaux