Blaster est un ver de sinistre mémoire pour bon nombre d’utilisateurs de Windows XP. En quelques jours, il se répand sur la Toile mondiale comme une trainée de poudre. Sa particularité ? Il exploite une faille de sécurité qui lui permet d’infecter sa victime sans action particulière de l’utilisateur.

Les premiers signes de l’infection apparaissent le 11 août 2003. Quelques heures plus tard, les centres d’alerte (CERT) et les éditeurs spécialisés du monde entier sont mobilisés : le monde de la sécurité informatique vient de faire connaissance avec Blaster, un ver dont les capacités de réplication inquiètent au plus haut point. Aucune action particulière n’est en effet requise pour l’infection : il suffit que la machine vulnérable soit connectée au réseau pour être exposée.

code source de Blaster, extrait. // Source : Wikidot

Propagation aléatoire

Blaster se propage au moyen d’une vulnérabilité de type buffer overflow (dépassement de mémoire tampon), qui affecte les principales versions de Windows du moment (NT 4.0, 2000, XP et Server 2003). La faille se situe au niveau du composant système chargé de gérer le protocole RPC (Remote Procedure Call), dédié à la communication de processus distants.

En termes compréhensibles ? Le virus est programmé pour générer une adresse IP aléatoire, à laquelle il va envoyer un message piégé. S’il existe une machine vulnérable à l’adresse en question, le simple fait de recevoir la requête suffit à déclencher l’infection : instantanément, Blaster se réplique et part à la recherche d’une nouvelle victime. Quatre jours seulement après le début de l’épidémie, Symantec estime que plus de 400 000 ordinateurs sont contaminés dans le monde.

« La vulnérabilité est connue, documentée et corrigée depuis près d’un mois quand l’infection commence »

L’infection n’a toutefois rien d’inexorable : il suffit par exemple d’être équipé d’un pare-feu réglé pour ne pas autoriser les connexions non sollicitées sur le port 135 pour être protégé. Les internautes qui ont installé les dernières mises à jour de sécurité proposées par le service Windows Update sont également protégés. La vulnérabilité exploitée par Blaster est en effet connue, documentée et corrigée depuis près d’un mois quand l’infection commence !

Divulgation responsable

Le bulletin de sécurité correspondant est mis en ligne par Microsoft le 16 juillet 2003. L’éditeur y décrit le mode opératoire de Blaster, invite tous les utilisateurs de Windows à installer sans attendre le correctif et donne quelques pistes sur les moyens d’endiguer une éventuelle infection.

La faille a en réalité été identifiée quelques jours plus tôt, mais les auteurs de la découverte ont attendu que Microsoft ait pu fournir une rustine avant de la rendre publique, conformément au principe de divulgation responsable.

L’alerte est rapidement relayée par les CERT au niveau international mais à ce stade, il n’y a pas forcément lieu de s’inquiéter : personne n’a détecté d’attaque liée à cette faille. La donne change quatre semaines plus tard. Il faut dire que Blaster ne passe pas inaperçu.

« Votre ordinateur va redémarrer dans 60 secondes »

Les symptômes exacts varient selon les variantes du virus mais dans la plupart des cas, le dépassement de mémoire tampon utilisé par Blaster se traduit par le crash du composant dédié à RPC, lequel programme le redémarrage du système au terme d’un court délai, bien insuffisant pour que l’utilisateur ait le temps de lancer un outil de désinfection ou effectuer une mise à jour système.

Le phénomène est d’autant plus gênant que Blaster modifie le registre de Windows pour se lancer à chaque nouveau démarrage du système : les victimes se retrouvent donc face à un ordinateur qui s’éteint et se relance en boucle. Pour mettre fin au cycle infernal, il faut donc profiter du court laps de temps pendant laquelle la machine est disponible pour interrompre le processus correspondant à Blaster, lancer un outil de désinfection et installer le correctif dédié ou mettre en place une barrière de type pare-feu.

« billy gates why do you make this possible ? Stop making money and fix your software ! ! »

Blaster a poursuivi sa carrière pendant de nombreux mois sous des variantes très diverses. Elles sont l’une des principales raisons pour lesquelles la mise à jour « SP2 » est devenue si célèbre auprès des utilisateurs de Windows XP. Publié un an après les débuts de Blaster, ce Service Pack mettait un accent particulier sur la sécurité, à tel point que son installation était considérée comme un prérequis indispensable à toute connexion d’un ordinateur à Internet.

Il faut dire que l’auteur du virus, jamais identifié, semble vouer une animosité toute particulière à l’égard de Microsoft et de son fondateur. «  billy gates why do you make this possible ? Stop making money and fix your software ! ! », indique ainsi le code source du programme (Bill Gates, pourquoi rends-tu ça possible. Arrête de faire du fric et corrige ton logiciel ! !).

À propos de Bitdefender

Bitdefender est un éditeur européen de solutions de cybersécurité, dont les technologies protègent aujourd’hui plus de 500 millions d’utilisateurs dans le monde. Il est l'annonceur exclusif de Cyberguerre. Ses technologies de machine learning et d’intelligence artificielle permettent d’anticiper et de bloquer un plus grand nombre de menaces, afin de protéger instantanément tous ses utilisateurs. Grâce à ses investissements en R&D, sa capacité à innover en permanence pour garder une longueur d’avance sur les menaces, et de nombreux partenariats technologiques, Bitdefender a réhaussé les standards de sécurité les plus élevés de l’industrie.

Plus d’informations sur www.bitdefender.fr

Partager sur les réseaux sociaux