"Le voleur moderne peut voler plus avec un ordinateur qu'avec un fusil. Le terroriste de demain peut causer plus de dégâts avec un clavier qu'avec une bombe"
| La justice a décidé de sanctionner durement l'auteur des virus-vers "Gokar" et "Redesi", qui avaient infectés des ordinateurs dans le monde entier par le biais de messageries électroniques en 2001. Au total, 27000 ordinateurs dans 42 pays auraient été victimes de ces bouts de code nocifs. Simon Vallor, britannique de 22 ans résidant au pays de Galles, vient ainsi d'être condamné à deux ans de prison pour ses créations. Bien que les deux programmes nocifs n'aient pas été très médiatisés en leur temps, leur degré de dangerosité a été suffisant pour que la justice veuille faire preuve de fermeté. «Les agissements de Vallor sont comparables à ceux d'un vandale qui s'est introduit sans autorisation dans des entreprises du monde entier pour semer le trouble dans des milliers d'ordinateur leur appartenant», tance Graham Cluley, consultant spécialisé dans les technologies chez Sophos Anti-Virus. «Sa condamnation est le reflet de la gravité de son crime. Il est également rassurant pour les utilisateurs de voir que les tribunaux britanniques mettent les criminels informatiques sur le même plan que les autres en examinant leurs dossiers au cas par cas. La peine infligée à Vallor fera réfléchir, notamment les auteurs de virus qui se poseront des questions avant de lâcher leur programme malicieux», conclut-t-il. L'intéressé s'est dénoncé lui-même, en se vantant de ses méfaits sur un forum de discussion en ligne. Il a plaidé coupable pour les trois charges pesant contre lui concernant l'écriture et la diffusion de virus informatiques.ZDNet 22.01.2003 | Mieux vaut vider correctement son disque dur avant de le revendre. C'est ce que confirme la récente découverte de deux chercheurs du laboratoire des sciences de l'informatique du MIT (Massachusetts Institute of Technology), Simson Garfinkel et Abbi Shelat. Ces derniers, qui ont acheté sur internet 158 disques durs de seconde main, pour moins de 1000 euros, se sont aperçus qu'ils contenaient une multitude de données personnelles et confidentielles. Ils ont ainsi découvert plus de 5000 numéros de cartes de crédit, bilans médicaux, informations d'ordre personnel et professionnel, et plusieurs gigaoctets d'e-mails personnels et d'images à caractère pornographique. Une trouvaille édifiante dont ils tirent des conclusions dans l'édition de janvier-février du magazine IEEE Security and Privacy, publié par l'association d'ingénieurs électroniciens IEEE Computer Society. Ils y indiquent que le marché regorge de disques durs contenant des données pouvant être exploitées. Une personne malintentionnée pourrait ainsi se servir de l'identité d'une autre. «Sur 10 disques durs disponibles à la revente, il est probable que trois ou quatre contiennent des informations confidentielles, ce qui est ahurissant», clament-t-ils. Un problème qui ne cesse de s'amplifier, puisque la capacité de stockage des disques augmente sans cesse, poussant ainsi à leur renouvellement. Plus de 150 millions de disques durs ont été mis "hors service" en 2002, contre 130 millions en 2001, selon la société d'études Dataquest. Le formatage classique du disque ne suffit pas Garfinkel et Shelat révèlent que 129 disques sur 158 étaient encore fonctionnels. Sur le nombre, 28 ne présentaient aucune trace ou tentative de suppression de données par leurs précédents utilisateurs. L'un d'eux comportait même une année de transactions financières ; un disque identifié après analyse comme étant celui d'un distributeur de billets. Il apparaît également que les précédents utilisateurs n'ont pas tenté, avant de se débarrasser de leur disque, de supprimer efficacement leurs fichiers. Ces derniers, situés dans le répertoire "Mes documents" l'ont bien été, mais ils peuvent être facilement récupérés à l'aide d'utilitaires spécifiques disponibles dans le commerce. Or bien des utilisateurs ne savent pas qu'en supprimant un fichier, des traces subsistent sur le disque. Un disque reformaté est tout aussi vulnérable. Environ 60% des disques avaient été formatés ; une opération qui ne les nettoie pas complètement puisque le formatage sous Windows ne supprime pas tous les blocs de données. «La commande de formatage lit tous les blocs pour vérifier s'ils sont fonctionnels. Pour nettoyer correctement le disque, il faut effacer chacun des blocs». Et c'est sur l'un des disques formatés que les chercheurs ont trouvé 5000 numéros de cartes de crédit. Seuls 12 disques sur la totalité étaient nettoyés à 100%. «Presque tout le monde sait qu'il est important de vider des disques avant de s'en débarrasser, mais peu de personnes le font car c'est une opération ardue», déplore Garfinkel. Et d'expliquer qu'«il n'y a actuellement aucun moyen de supprimer les données que contient un disque sans le déconnecter et passer des dizaines et dizaines de minutes à les effacer, ce qui est fort coûteux», explique Garfinkel. Dans de nombreux cas, conclut-il, le prix du nettoyage d'un disque est supérieur à sa valeur réelle.ZDNet 16.01.2003 | Le «projet de loi pour la confiance dans l'économie numérique», présenté au conseil des ministres le 14 janvier par Nicole Fontaine, la ministre déléguée à l'Industrie, prévoit d'ajouter un nouvel article au code pénal, qui risque de poser problème à certains experts en sécurité et aux utilisateurs victimes de virus. Il s'agit de l'article 323-3-1 présenté dans le chapitre II du projet et intitulé : «Lutte contre la cybercriminalité». Ce nouvel article prévoit que soit désormais puni par la loi «le fait de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés», pour commettre des infractions dans des systèmes de traitement automatisé de données. Un article qui donne donc un cadre juridique, non plus aux seules actions frauduleuses, mais également aux outils qui servent à les commettre. Cela englobe notamment les virus informatiques ou les logiciels de prise de contrôle à distance. Les victimes de virus pourraient être poursuivies «Il manque une notion de détention accidentelle», estime Pascal Lointier, vice-président du Clusif, le Club de la sécurité des systèmes d'information français, interrogé par ZDNet à l'occasion de la présentation à Paris du "Panorama de la cyber-criminalité de l'année 2002» de l'association. «Dans le cas d'un poste contaminé par un virus, la victime détient le programme de manière involontaire, puisque ce type de nuisance se propage le plus souvent à l'insu des utilisateurs», poursuit Pascal Lointier. «Même chose pour ce qui est des programmes de prise de contrôle à distance tels que Back Orifice, dont une partie est installée sur le poste de la victime.» Enfin, «une société victime d'hébergement clandestin de données dangereuses pourrait être poursuivie», met-il en garde. Certaines personnes malintentionnées utilisent, par exemple, des serveurs d'entreprise pour y stocker discrètement et à distance des programmes illicites, explique le responsable du Clusif. Les activités de certains professionnels mises en péril Second problème : certains professionnels de la sécurité détiennent ce type de programmes pour leur propre information ou étude. Le projet de loi prévoit sur ce point que les dispositions du nouvel article «ne soient pas applicables lorsque la détention, l'offre, la cession et la mise à disposition sont justifiées par les besoins de la recherche scientifique et technique ou de la protection et de la sécurité des réseaux de communications électroniques et des systèmes d'information». «Ce n'est pas assez large», poursuit Pascal Lointier. «Les conseillés et les consultants en sécurité risquent de ne pas être concernés par cette dérogation», conclut le responsable. De son côté, François Paget, chercheur chez l'éditeur de logiciels antivirus Networks Associates, tient à saluer ce projet «qui donne enfin un cadre juridique à la malveillance virale». Pour autant, il critique également la seconde partie de l'article 323-3-1 qui «donnera une excuse en or pour les pirates et créateurs de virus qui n'auront simplement qu'à revendiquer des recherches scientifiques». «Les auteurs de virus indiquent déjà souvent sur leurs sites que leur programme est à titre de recherche et qu'ils ne sont pas responsables de l'usage que pourrait en faire une personne malintentionnée. Ils n'auront qu'à référer leur message au nouvel article pour éviter d'éventuelles poursuites», explique François Paget. Il déplore par ailleurs que le projet de loi ne soit pas plus précis et n'indique pas clairement les programmes malveillants auxquels il fait référence. Le mot "virus" est ainsi totalement absent du texte et n'est évoqué que dans le résumé des principales dispositions du projet de loi, publié notamment sur le site du ministère de l'économie, des finances et de l'industrie. Pour ces nouvelles infractions, le projet de loi prévoit que soient appliquées les peines et amendes prévues par les articles 323-1 à 323-3 du code pénal. Des sanctions que le même projet voudrait alourdir avec un doublement quasi systématique des peines et amendes. Ces dernières pourraient atteindre au maximum cinq ans d'emprisonnement et 75000 euros.ZDNet 17.01.2003 |
| Un jeune Britannique ayant créé trois virus informatiques qui se sont répandus dans 46 pays par le biais du courrier électronique a été condamné à deux ans de prison jeudi. Simon Vallor, un concepteur de sites web originaire du Pays de Galles, avait plaidé coupable et avoué avoir conçu et répandu les virus "Gokar", "Redesi" et "Admirer", dont un fait partie des trois virus qui se sont le plus répandus dans le monde. L'homme âgé de 22 ans avait été arrêté en février 2002 d'après des renseignements du FBI. Vallor a déclaré au tribunal que ce qui l'avait motivé était de voir s'il pouvait accomplir cet exploit et si le virus pouvait revenir jusqu'à lui. Certains passages utilisés dans le code des virus faisaient allusion au mouvement néo-païen Wicca, avec lequel Vallor revendique des liens.Reuters 21.01.2003 | L'Internet a subi une grosse secousse, mais a tenu bon. Le virus Slammer a submergé le réseau samedi, provoquant pas mal de dégâts pendant quelques heures : la Corée du Sud quasi déconnectée, des ralentissements du Web partout dans le monde et 13 000 distributeurs de billets en rade aux Etats-Unis. Hier, l'origine de la bestiole, repérée aux Etats-Unis vers 0 h 30 samedi matin, heure de la côte Est, était toujours inconnue. Clone. Impressionnant par son ampleur, le scénario est pourtant classique. Classique, le mode d'infection du virus, puisqu'il s'appuie sur une faille de sécurité d'un logiciel de Microsoft, SQL Server 2000. Classique aussi, la façon dont Slammer («le frappeur») se propage : une fois niché sur un ordinateur, il tente de se cloner sur d'autres machines, via les réseaux. Et même si Slammer ne provoque aucun dégât direct (destruction de données, par exemple), il engorge les tuyaux en rebondissant ainsi. Et certains ordinateurs, ployant sous la charge, peuvent tomber en carafe. C'est ce qui a provoqué l'effondrement des machines de KT, le principal fournisseur d'accès de Corée du Sud. Résultat ? Des centaines de milliers d'internautes coréens privés de Web et d'e-mails. Même conséquence pour la Bank of America. Certains ordinateurs essentiels ayant été touchés, l'entreprise a dû couper ses distributeurs de billets pendant quelques heures samedi. En France, les dégâts ont été apparemment mineurs. C'est ce qu'on peut en déduire du peu d'empressement à réagir des vigies françaises de la sécurité informatique. Le Computer Emergency Response Team (Cert), sorte de pompier du Net au niveau mondial basé à l'université de Carnegie Mellon, a mis en garde contre le virus quelques heures à peine après le début de l'épidémie. Le National Infrastructure Protection Center, structure spécialisée du FBI, faisait de même dans la foulée. Ricochet. En Corée, l'affaire a même pris une tournure politique avec plusieurs déclarations officielles. Mais en France, rien. Ni le Cert A (qui dépend des services du Premier ministre et épaule les administrations) ni le Cert Renater (chargé des réseaux universitaires) ne faisaient hier mention de Slammer sur leurs sites, pourtant censés alerter sur les problèmes de sécurité. Le bazar semé par ce nouveau virus confirme une tendance : les attaques les plus impressionnantes subies par l'Internet ne touchent pas directement les ordinateurs des particuliers. Slammer, à l'instar de Code Red, à l'été 2001, ne s'en prend qu'aux serveurs, ces machines professionnelles assurant les services de l'Internet (bases de données, sites web, relais des e-mails...). Et épargne le PC de l'internaute lambda. Les utilisateurs ne sont touchés que par ricochet. Bug. Si le gros du choc était bien passé hier, Slammer devrait encore faire parler de lui quelques jours. Aucune recette miracle : le seul moyen d'éradiquer le virus est d'inciter chaque administrateur de serveur utilisant SQL Server 2000 à corriger le bug utilisé par Slammer en téléchargeant un logiciel «rustine» sur le site de la firme de Bill Gates. Il faudra donc attendre encore quelque temps avant que tous prennent les mesures prophylactiques indispensables.Libération 27.01.2003 | |
| Des pirates informatiques seraient à l'origine d'un blocage généralisé des services internet en Corée du Sud, l'un des pays les plus connectés au monde. C'est la première fois que tous les accès haut débit et mobiles à internet sont bloqués en Corée du Sud, où le taux de ménages disposant d'une connexion au net dépasse les 70%. "Des pirates ont attaqué le serveur DNS (Domain Name Server) de KT", a expliqué un porte-parole du plus grand fournisseur d'accès internet (FAI) sud-coréen. Les connexions ont été interrompues pendant plusieurs heures et les réseaux des n°2 et 3 du marché, Hanaro Telecom et Thrunet, semblaient toujours connaître des difficultés en fin de journée samedi. Selon le porte-parole de KT, le problème ne s'est pas limité à la Corée du Sud, les pirates s'étant également attaqué à des serveurs installés aux Etats-Unis. La police a ouvert une enquête.Reuters 25.01.2003 | De plus en plus de salariés britanniques préfèrent surfer sur le net à domicile, les patrons surveillant davantage l'utilisation des PC de leurs employés, selon une étude. L'enquête réalisée par le groupe britannique d'électronique Amstrad auprès de 500 personnes, indique que 26% d'entre elles se sont fait installer un accès internet à domicile pour éviter la surveillance de leurs chefs. "Les patrons commencent à réaliser le temps que leurs employés passent sur leurs e-mails personnels et sévissent réellement", a expliqué Simon Sugar, directeur commercial de Amstrad dans un communiqué. Près d'un tiers des personnes interrogées affirment savoir que leurs chefs lisent leurs e-mails, tandis que 39% disent qu'elles seraient sanctionnées si elles étaient surprises à surfer en dehors de leur pause déjeuner. En dépit des risques, les salariés passent en moyenne quasiment deux heures et demie par jour sur internet, assure l'étude. Selon une étude récente du cabinet d'avocats KLegal et du magazine Personnel Today, l'abus d'internet constitue le plus grand motif de sanctions disciplinaires dans les entreprises britanniques, bien avant la malhonnêteté ou les actes de violence. Environ 20% des sociétés reconnaissent surveiller quotidiennement le courrier électronique de leurs employés et l'usage qu'ils font d'internet, contre 11% il y a dix-huit mois. En juillet, Hewlett-Packard a suspendu des dizaines de personnes en Grande-Bretagne et en Irlande durant une enquête sur un abus présumé d'e-mails.Reuters 23.01.2003 | Un virus de type "ver" baptisé Saphir ou "SQL Slammer" a gravement perturbé le trafic mondial sur internet pendant plusieurs heures, samedi, sa propagation très rapide ayant affecté les transmissions de données, les pages web ou encore les courriers électroniques. Les experts estiment qu'il s'agit du cas le plus grave survenu en 18 mois, des réseaux asiatiques, américains et européens ayant effectivement été coupés au plus fort de l'attaque. Ce ver a presque entièrement paralysé les fournisseurs d'accès en Corée du Sud, bloqué les appels téléphoniques transatlantiques via le web et brièvement compliqué la vie des surfeurs à travers le monde. Le pire semblait passé samedi soir, même si ce programme peut encore avoir des effets dans les prochains jours, a expliqué Alfred Huger, directeur de l'ingénierie chez Symantec, société spécialisée dans la sécurité sur internet basée en Californie. Le virus "et très rapide et très efficace', a-t-il ajouté. Aux Etats-Unis, Bank of America, troisième réseau bancaire du pays, a annoncé en soirée que la majorité de ses quelque 13.000 guichets automatiques étaient en panne du fait du virus. Une porte-parole a dit s'attendre à un retour à la normale dans le courant de la journée. Le ver Saphir a commencé à se répandre samedi à 00h00 (05h00 GMT) en Asie et s'est rapidement propagé à des serveurs basés sur la côte Est des Etats-Unis et en Europe du Nord, selon Tom Ohlsson, vice-président du marketing chez Matrix NetSystems, une société de surveillance. Au plus fort de l'attaque, dans la matinée, environ 20% du trafic de données en transit sur internet a été perdu, une proportion dix fois supérieure à la normale, selon Ohlsson. Entre autres effets, le trafic audio via internet, souvent utilisé par les institutions financières pour relier entre elles des salles de marché éparpillées dans le monde, a été interrompu. "Nous pensons que le ver est parti de Hong Kong, qu'il s'est lancé lui-même de Hong Kong", a avancé Ohlsson. Il s'agit d'un petit programme qui se réplique très rapidement et tente de s'introduire dans d'autres serveurs gérant des réseaux informatiques. LA COREE DU SUD EN PREMIERE LIGNE Au contraire des virus comme "I Love You", un ver de ce type n'affecte pas les ordinateurs personnels et n'entraîne pas de pertes de données stockées ni de dommages aux serveurs informatiques qu'il arrive à arrêter, ont expliqué des experts. Les conséquences de Saphir ont été une exceptionnelle lenteur de téléchargement et des accès difficiles à des services web comme la banque ou le commerce en ligne. En Corée du Sud, où près de sept personnes sur 10 sont connectées à internet, presque tous les services web ont été coupés. Le principal fournisseur d'accès internet (FAI) de la Corée du Sud, KT, est tombé en rade, d'autres services ont été déconnectés et les autorités ont du coup évoqué une "attaque totale contre le système internet du pays". Aux Etats-Unis, les représentants du service clientèle d'American Express ont dit ne pas pouvoir accéder aux informations relatives aux clients et aux cartes de crédit. Un peu partout, des usagers se sont plaints de ces problèmes de trafic. Le FBI mène l'enquête sans toutefois pouvoir dire qui est à l'origine de ce virus. Son service spécialisé, le NIPC, a réussi à "capturer" le ver dans l'après- midi et va examiner sa constitution. Saphir a été d'autant plus efficace qu'il s'est répliqué très rapidement pour se propager de serveurs en serveurs. Il s'est attaqué à des serveurs exploitant le logiciel SQL Server 2000 de Microsoft et ne disposant pas de mise à jour de sécurité ou du correctif logiciel, dont la dernière version est disponible sur le site de la firme de Redmond (http://www.microsoft.com/technet). Aucun responsable n'était joignable chez Microsoft, mais le géant des logiciels expliquait sur son site qu'il était en train de tester ce "patch" pour vérifier qu'il n'était pas vulnérable. Entre 150.000 et 200.000 serveurs auraient jusqu'à présent été touchés, selon Vincent Gullotto, vice-président chez Network Associates de la cellule anti-virus d'urgence. "La bonne nouvelle, c'est qu'il ne détruit pas ou n'extrait pas de données mais arrête seulement le serveur. Après, il se reproduit peut-être jusqu'à mille fois et cherche d'autres serveurs à infecter", a expliqué Tom Ohlsson. Du coup, Saphir ne devrait pas causer autant de dégâts que le virus Code rouge, responsable de l'une des plus coûteuses attaques informatiques de l'histoire, qui a frappé internet à l'été 2001. Ses auteurs n'ont jamais été démasqués. Olhsson n'a pas écarté la possibilité d'autres perturbations de trafic d'ici lundi, quand, dans les entreprises, on arrêtera les serveurs encore vulnérables pour leur adjoindre un correctif logiciel, a-t-il prévenu.Reuters 26.01.2003 |
| Le ver SQL Slammer, autre appellation donnée à Sapphire, a frappé ce week-end plus de 200000 serveurs équipés du logiciel de gestion de base de données SQL Server 2000 de Microsoft. Techniquement comparable aux tristement célèbres Nimda et Code Red, sa force est de ne résider que dans la mémoire vive des ordinateurs, ce qui a désemparé les logiciels antivirus. Les éditeurs spécialisés Trend Micro, Symantec, Kaspersky Labs et Network Associates ont ainsi tous indiqué que leurs systèmes de défense n'avaient pas réussi à bloquer le ver à cause de son mode de propagation. «Le ver passe de machine en machine sans n'être jamais enregistré sur leur disque dur. Or nos outils scannent les disques des ordinateurs et non leur mémoire en temps réel, car cela ralentirait trop la machine», explique à ZDNet Marc Blanchard, directeur du laboratoire de recherche européen de l'éditeur antivirus Trend Micro. «Nous avions eu les mêmes soucis avec Nimda et Code Red», poursuit le responsable, qui estime qu'«il ne faut désormais plus se contenter d'un logiciel antivirus pour protéger un réseau». Comme d'autres experts en sécurité, il reporte également la responsabilité sur les administrateurs qui n'ont pas installé le patch de Microsoft corrigeant la faille exploitée par Sapphire. Cette rustine a, en effet, été publiée par l'éditeur il y a six mois. «Nous ne pouvons pas installer les correctifs à leur place», lance Blanchard. Le serveur reçoit un requête piégée Le principe d'attaque de SQL Slammer est le suivant: il arrive dans la mémoire d'un serveur, via le port de connexion UDP 1434, sous la forme d'un paquet de données de 376 octets. Pour ouvrir ce canal de communication, il envoie une simple requête de consultation de la base de données hébergée sur le serveur. Mais, en exploitant la faille de SQL Server, il outrepasse ses droits d'accès et exécute à distance du code malicieux. Une fois contaminé, le serveur recherche à son tour tous les serveurs SQL auquel il a accès pour leur transmettre le virus. Sapphire n'altère ou n'efface aucune donnée des disques durs, mais ses opérations surcharge les serveurs (attaque de déni de service) et sature les réseaux. En entreprise, cela provoque notamment des échecs de services de messagerie, un ralentissement de connexions internet ou même un blocage complet du réseau. Les experts en sécurité conseillent, comme mesure d'urgence, de bloquer le port 1434 puis d'utiliser un outil de nettoyage de mémoire. Symantec et Trend Micro fournissent chacun un programme de ce type en téléchargement gratuit.ZDNet 27.01.2003 | Deux jours après son apparition sur les réseaux mondiaux, le virus informatique SQL Slammer continuait sa progression lundi, ralentissant le trafic internet en Europe, en Asie et en Amérique, mais moins que durant le week-end. Malgré les efforts déployés pour protéger les serveurs, le "ver" a infecté de nouvelles entreprises lors de la reprise des activités lundi matin même si les conséquences ont été moins importantes que samedi. "Il serait bien trop optimiste de penser que nous pouvons nettoyer internet à 100%", a expliqué Graham Cluley, consultant de l'éditeur britannique de logiciels anti-virus Sophos. "Dans certaines 'poches', cela continuera quelques jours encore". La vitesse de transfert et de téléchargement des données sur internet a été moins ralentie qu'au plus fort de l'attaque mais des entreprises du monde entier ont signalé des problèmes et indiqué qu'elles étaient en train d'installer des correctifs logiciels. Le virus exploite une faille du logiciel de Microsoft SQL Server 2000 pour se propager de serveur en serveur. Le ver a utilisé les connexions aux sites internet comme mode de propagation plutôt que les messageries électroniques. En Europe, les sociétés spécialisées dans la sécurisation des réseaux ont fait état de moins de difficultés qu'en Asie et aux Etats-Unis, où les réseaux bancaires ont été fortement perturbés samedi. Raimund Genes, président Europe de Trend Micro, a fait savoir que sa société avait reçu 1.238 appels de clients américains touchés contre 40 en Asie et seulement sept en Europe. A 11h00 GMT lundi, les sites internet surveillant les flux de trafic sur les réseaux mondiaux signalaient un taux de 20% de pertes de données, soit le double de la normale. Pour Raimund Genes, Slammer est en quelque sorte une réussite. Il ne "pèse" que 376 octets, l'équivalent de la ligne Sujet dans un mail, ce qui lui permet de se diffuser de façon très rapide, a-t-il expliqué, précisant ne rien savoir de son auteur ni de ses motifs. INTERNET TOUJOURS TRÈS PERTURBÉ EN COREE DU SUD La Corée a subi le gros de l'attaque en raison de son très fort taux de connexion à internet - le plus important au monde, 70% des 48 millions d'habitants étant reliés au réseau. Le pays détient également le record de la plus importante pénétration du haut débit. La Bourse de Séoul en a subi les conséquences, les intervenants évitant de placer des ordres par internet alors que ces derniers représentent normalement deux tiers des transactions quotidiennes. Les autorités n'ont donné aucune estimation des dégâts mais l'organisme regroupant les assureurs sud-coréens a laissé entendre que l'attaque pourrait coûter à ses membres un milliard de wons (860.000 dollars). Seules 40% des entreprises sud-coréennes ont installé des pare-feu (firewalls) qui protègent ordinateurs et serveurs d'éventuelles attaques électroniques, selon les chiffres fournis par les éditeurs de logiciels de sécurité informatique. Pour l'instant, on ignore toujours d'où est parti SQL Slammer, également baptisé Saphir. La police sud-coréenne a sollicité l'aide d'Interpol et certains journaux évoquent la piste de Hong Kong. S'il provoque des ralentissements de trafic et déconnecte les internautes, le "ver" informatique ne s'en prend pas aux ordinateurs personnels. Les serveurs installés en Inde, en Chine et au Japon ont également été très affectés. "Le principal problème a été la vitesse. Les abonnés ne pouvaient pas accéder aux services en ligne, créant une situation comparable à un embouteillage", a expliqué Wang Tong, chef du département technologique du portail internet en langue chinoise Sohu.com. "On a tous fait des heures supplémentaires pendant le week-end pour aider nos clients à se remettre en ligne. A l'heure actuelle, tout est à peu près rentré dans l'ordre", a-t-il ajouté.Reuters 27.01.2003 | Le virus, qui a paralysé le trafic sur internet pendant des heures samedi, particulièrement en Corée du Sud, pourrait perturber les serveurs internet pendant des mois si les entreprises n'installent pas les logiciels correctifs, selon des professionnels de la sécurité des réseaux. Ce virus baptisé "SQL Slammer" ou "Sapphire" n'était pratiquement plus signalé en Europe lundi par aucun éditeur anti-virus. Ce week-end, "beaucoup de fournisseurs de service ont été sur le pont pour nettoyer les serveurs, mais cela ne veut pas dire que le danger soit écarté", prévenait cependant lundi Marc Blanchard, directeur des laboratoires européens de l'éditeur japonais d'anti-virus Trend Micro. L'attaque de ce virus a touché des millions d'utilisateurs du réseau mondial, paralysant des systèmes de liaison des banques aux Etats-Unis, et a principalement frappé l'Asie. Samedi tard dans la nuit, la panne avait affecté près de 250.000 ordinateurs dans le monde, selon Vincent Gulloto, vice-président de MacAfee Avert Labs et responsable du réseau antivirus Network Associates Antivirus Response Team. Le principal fournisseur de service internet en France, Wanadoo, a de son côté indiqué que ses clients n'avaient "pas été impactés par Sapphire parce que nous avions installé des filtres qui ont pu évacuer le virus". "Une simple réinitialisation suffit, en l'état actuel de nos connaissances, pour supprimer ce ver (forme de virus informatique, ndlr) d'une machine infectée", indique l'hebdomadaire spécialisé NetCost and Security, dans une édition spéciale. Mais il souligne que "la principale leçon à retenir est que les mises à jour des vulnérabilités des équipements restent indispensables". Sapphire est un ver qui ne détruit rien dans les ordinateurs attaqués mais exploite un défaut bien connu du logiciel "SQL Server" de Microsoft, en se multipliant à partir d'une requête envoyée de l'extérieur. "Ce qui rend ce programme particulièrement pernicieux, c'est qu'il ne copie rien sur le disque dur de l'ordinateur attaqué, et n'est donc pas détecté par tous les anti-virus", explique Marc Blanchard. Tous les spécialistes mettent en garde contre le risque de voir Sapphire --même s'il n'a pas fait trop de dégâts parce qu'il est apparu pendant un week-end--, se propager comme "Code Red" ou "Nimda" qui, plus d'un an et demi après leur apparition, figurent toujours parmi les dix virus les plus virulents en circulation. "Il est fort probable que les futures versions de Sapphire seront plus véhémentes. Il est donc impératif de protéger les machines dès maintenant", insiste le CERT-Renater (Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques). "Heureusement, ce ver ne concerne que les serveurs de données", relativise un spécialiste, soulignant que ces équipements, qui gèrent les grandes bases de données d'entreprises, ne se trouvent pas chez les particuliers. "Ces serveurs contiennent généralement des informations sensibles" et sont donc gérés par des spécialistes "qui savent installer les correctifs au fur et à mesure", souligne-t-il. Cependant, avouent des directeurs informatiques, beaucoup sont réticents, malgré les risques, à installer ces "rustines" de correction: sur un système qui fonctionne et est stable, "ces rustines peuvent provoquer d'autres problèmes, et rendre l'ensemble de nos systèmes instables", avoue l'un d'eux.AFP 27.01.2003 |
| Une enquête fédérale a été ouverte sur l'attaque vendredi du site web de la principale association de l'industrie phonographique américaine, toujours inaccessible mardi, a annoncé la Recording Industry Association of America (RIAA). Le site http://www.riaa.org est devenu une des cibles favorites des pirates informatiques depuis l'été dernier, quand la RIAA a intensifié sa campagne de lutte contre le piratage musical, la copie illégale de musique et l'échange gratuit de fichiers sur les réseaux "peer-to-peer" (d'ordinateur à ordinateur). "Il est lamentable de voir que les partisans de la musique libre ne croient pas à la liberté d'expression", a déclaré une porte-parole de la RIAA, Amy Weiss, qui a précisé que le FBI enquêtait sur l'attaque. Des responsables de la RIAA ont estimé que cette attaque n'était pas liée à la propagation du virus "SQL Slammer" qui a ralenti l'internet pendant le week-end. Ils la rattachent plutôt aux différentes attaques de "déni de service" qui ont touché les principaux sites web marchands et administratifs au cours des dernières années. Les techniciens de la RIAA devraient remettre le site en ligne d'ici les deux prochains jours.Reuters 28.01.2003 | En France, la loi sur la sécurité quotidienne (LSQ), votée en 2001 sous le gouvernement Jospin, enjoint aux fournisseurs d'accès internet (FAI) de conserver les données de connexion de leurs utilisateurs pour une durée maximale d'un an. Ces dispositions ne sont toujours pas appliquées, les décrets de cette loi n'étant encore pas publiés. Chez nos voisins britanniques, de telles mesures existent également, inscrites dans deux textes qui ne sont pas encore en vigueur: l'ACTS ("Anti-Terrorism, Crime and Security Act") et le RIPA ("Regulation of Investigatory Powers Act"). Mais ces deux lois restent floues sur leurs modalités de mise en place: doivent-elles être contraignantes ou faire appel au volontariat des FAI ? Quoi qu'il en soit, elles semblent de moins en moins faire l'unanimité outre-Manche. Volontariat ou contrainte? Une enquête menée par l'APIG (All-party Parliamentary Internet Group), recommande en effet que le gouvernement abandonne son projet de contraindre les fournisseurs à une telle surveillance. L'APIG est un groupe constitué de parlementaires britanniques des deux chambres (députés et Lords), dont le propos est de réfléchir à l'internet et à ses problématiques pour la société, avec le concours d'industriels des nouveaux médias. Ils ont déjà fait parlé d'eux dans ce dossier en décembre dernier. Selon ce rapport sans concession, de telles mesures devraient purement et simplement être supprimées, quelles que soit leurs modalités de fonctionnement. Une formule basée sur le volontariat, permettant aux FAI d'adhérer ou non à un code de bonne conduite sur la conservation des données, laisserait ceux-là à la merci de poursuites judiciaires, expliquent les parlementaires. De même, une mesure contraignante reviendrait à ce «que chaque bureau dans le pays s'assure d'avoir un registre pour enregistrer les visites et une caméra dans chaque pièce», affirment les parlementaires. Et d'obliger à conserver ces registres et ces vidéos pendant un an, dans la perspective de la visite inopinée d'un enquêteur. «Nous sommes bien sûr conscients qu'une telle mesure permettrait d'aider occasionnellement la police à résoudre un délit plus ancien, mais nous ne croyons pas que son utilité soit suffisante pour justifier les contraintes imposées aux entreprises». "Préservation" et non "rétention" des données Ce rapport ne devrait guère surprendre le ministère de l'Intérieur, qui reconnaissait lui-même, en décembre, «avoir mal compris [la problématique] de la rétention des données» et être «à présent de retour au point de départ». D'ailleurs, l'APIG précise que le problème ne doit pas être uniquement envisagé au niveau britannique. Le groupe recommande au gouvernement d'entamer de toute urgence des discussions avec ses partenaires européens pour désamorcer les mesures de conservation des données. Les parlementaires préconisent qu'en remplacement, la notion de «préservation des données» devienne la norme européenne. Selon leur définition, elle ne s'appliquerait qu'à certaines données spécifiques, concernant un individu particulier. La procédure classique obligerait alors la police à demander à un FAI de conserver un certain nombre de logs sur la personne soupçonnée, qui auraient autrement été effacés après quelques jours. L'AGIP a rendu public son rapport dans le cadre d'un forum organisé par le syndicat professionnel des opérateurs interent (ISPA), qui milite lui ausi contre ces dispositions et pas seulement pour des raisons citoyennes. Car il reste un gros point d'interrogation sur le financement de ces mesures (les capacités de stockage énormes seront nécessaires, plaident les opérateurs). En France les députés ont d'orès et déjà prévu d'indemniser les FAI, selon les dispositions votées en octobre 2001 dans la loi sécurité quotidienne.ZDNet 31.01.2003 | Le virus informatique SQL Slammer a perdu de sa vigueur dans la nuit de lundi à mardi, au quatrième jour de son apparition sur internet, mais des experts prédisent l'irruption dans les prochains jours de variantes encore plus dangereuses. A Séoul, la police sud-coréenne a annoncé qu'elle soupçonnait un groupe de pirates informatiques chinois d'être à l'origine de l'attaque la plus pernicieuse que l'internet ait connue en 18 mois. Les enquêteurs ont découvert un site web sur lequel des "hackers" chinois envisageaient en octobre dernier un programme capable d'attaquer la toile mondiale en exploitant une faille du serveur SQL de Microsoft et ils pensent qu'une variante de ce programme pourrait avoir été utilisée durant l'attaque de ce week-end. Aux Etats-Unis, le "ver" SQL Slammer a paralysé un certain nombre de distributeurs automatiques ainsi que des réseaux professionnels. C'est en Corée du Sud que l'attaque a été la plus forte, en raison du très fort taux de connexion à internet dans le pays - le plus important au monde, 70% des 48 millions d'habitants étant reliés au réseau. Les entreprises de sécurité en Europe ont fait part d'une infection moindre que celle constatée en Asie et aux Etats-Unis. Les marchés européens n'ont quasiment pas été touchés. "Maintenant, je dirais que l'internet se porte aussi bien qu'un jour normal. Je dirais que (le "ver") est derrière nous", a déclaré Tom Ohlosson, vice-président du marketing de Matrix NetSystems, une société américaine qui surveille le trafic sur le réseau mondial. Des ralentissements ont encore été constatés sur le web lundi, mais ils se sont complètement résorbés au fur et à mesure de la journée, même si des entreprises ont indiqué avoir connu des problèmes pour mettre en place des mesures de sécurité pour parer à de futures attaques. Le portail américain Yahoo, comme d'autres acteurs majeurs du Net aux Etats-Unis, a cherché à dédramatiser, faisant état d'un dérangement de ses services de lecture audio et vidéo durant seulement quelques heures samedi. MICROSOFT PROPOSE UN PATCH "Vous allez voir apparaître des variantes", a prédit Bruce Schneier, le responsable de la technologie de Counterpane Internet Security, une société spécialiste de la sécurité du réseau. Il a ajouté que certaines mesures prises pour éviter la diffusion de SQL (que l'on prononce en anglais "sequel") Slammer n'étaient que des "rustines" facilement surmontables, ce qui laisse planer la menace d'autres attaques visant l'internet. Le virus exploite une faille du logiciel de Microsoft SQL Server 2000 pour se propager de serveur en serveur. Le "ver" a utilisé les connexions aux sites internet comme mode de propagation plutôt que les messageries électroniques. Les spécialistes de la sécurité ont averti que le virus était conçu pour infiltrer les réseaux rapidement et que cela durerait tant que les serveurs ne disposeraient pas de correctifs logiciels (des patches) suffisants. Microsoft a créé un patch qui peut être téléchargé à l'adresse suivante: http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/security/bulletin/MS02-039.asp. Le responsable de la stratégie de sécurité du numéro un mondial des logiciels, Scott Charney, a affirmé que Microsoft avait pris contact avec les clients de son serveur SQL afin de les inciter à télécharger d'urgence ce patch. "Notre message principal est: 'mettez votre système à jour grâce aux patches'", a déclaré Charney. Pour Raimund Genes, président pour l'Europe de Trend Micro, le virus SQL Slammer est une réussite car il ne pèse que 376 octets, l'équivalent de la ligne "sujet" d'un courrier électronique, ce qui lui permet de se diffuser très rapidement. HAUSSE DES PRIMES D'ASSURANCE La Bourse de Séoul en a subi les conséquences, les intervenants évitant de placer des ordres par internet alors que les deux tiers des transactions quotidiennes transitent normalement par ce canal. Les autorités n'ont donné aucune estimation des dégâts mais l'organisme regroupant les assureurs sud-coréens a laissé entendre que l'attaque pourrait avoir coûté à ses membres un milliard de wons, soit environ 790.000 euros. Seules 40% des entreprises sud-coréennes ont installé des pare-feu (firewalls) qui protègent les ordinateurs et les serveurs d'éventuelles attaques électroniques, selon les chiffres fournis par les éditeurs de logiciels de sécurité informatique. Parmi les nombreuses conséquences de ce virus, les experts en assurance contre le piratage informatique, un marché né il y a trois ans, prédisent une explosion des primes. Les assurances des réseaux contre le piratage, qui se chiffrent aujourd'hui à 100 millions de dollars (environ 92,5 millions d'euros), risquent de représenter 2,5 milliards de dollars d'ici 2005.Reuters 28.01.2003 |
| Le virus informatique de type "ver" qui a paralysé en partie le web ce week-end tombe à point pour souligner le chemin que Microsoft doit encore parcourir en matière de sécurité des logiciels, un an juste après que le géant des logiciels a lancé une vaste campagne axée sur ce thème, affirment des experts. Microsoft assure au contraire que les dégâts causés par "SQL Slammer", qui exploite une faille de son logiciel SQL Server 2000 pour se propager de serveur en serveur via les connexions aux sites internet, prouve que la stratégie de "Trustworthy Computing", ou "l'informatique en confiance", voulue par le président Bill Gates, est la bonne option. Mais les détracteurs du géant de Redmond constatent que les propres ordinateurs de Microsoft ont été affectés, ce qui démontre selon eux que la sécurité de Microsoft n'est pas meilleure que son maillon faible: les milliers d'administrateurs de réseaux qui doivent mettre à jour les logiciels de Microsoft. L'attaque qui a débuté samedi matin a été la plus importante que le web ait connu ces 18 derniers mois et elle a presque paralysé le trafic internet en Corée du Sud. "Il nous reste encore beaucoup à faire, mais le ver prouve à quel point la Trustworthy Computing est une bonne initiative", a déclaré Scott Charney, le responsable de la stratégie de sécurité du numéro un mondial des logiciels. Le but de Microsoft, a-t-il expliqué, est de s'assurer que les clients sont informés de l'existence d'un correctif logiciel ("patch"), qu'ils peuvent télécharger et installer depuis l'été dernier en vue de protéger le serveur contre l'attaque d'un "ver". "Notre message principal est: "mettez à jour vos systèmes avec les patches'", a-t-il souligné. En écho, des experts de la sécurité ont estimé que le géant des logiciels avait encore des efforts à faire pour remédier aux failles de ses produits. Bien que le logiciel correctif, qui résout la faille de sécurité du logiciel SQL, soit disponible depuis juillet, de nombreux administrateurs de réseaux n'ont pas réussi à l'installer parce que des essais supplémentaires devaient être effectués avant qu'il ne soit utilisable. Les experts estiment plutôt qu'au lieu de développer des patches pour tous ses logiciels, Microsoft ferait mieux d'inventer des logiciels qui n'ont pas besoin de correctifs ou qui soient mieux sécurisés.Reuetrs 28.01.2003 | Le trafic Internet a connu un fort ralentissement ce week-end, particulièrement samedi 25 janvier 2003, à cause de la propagation d'un virus ver baptisé SQLSlammer (ou Sapphire). Se diffusant sous la forme d'un paquet de données de 376 octets, ce vers s'installe uniquement sur les serveurs Microsoft SQL Server 2000 et Microsoft Desktop Engine (MSDE) 2000 via le port 1434 UDP (port de résolution de service du serveur SQL). Il exploite une faille de l'application de type buffer overflow (saturation de la mémoire tampon) que Microsoft a comblé à l'aide d'un correctif publié... en juillet 2002. Le ver infecte uniquement les machines non mises à jour. Une fois en place, il se met à scanner le réseau à la recherche d'autres machines faillibles, ce qui provoque une forte consommation de la bande passante au point de rendre difficile, voire impossible, l'accès à certains sites Web. Apparemment, SQLSlammer se contente uniquement de se propager et ne semble pas s'attaquer aux données des serveurs. Mais les risque de dénie de service (DDoS) ne sont pas négligeables et peuvent causer un ralentissement des communications Internet, la défaillance des serveurs d'e-mails et, à terme, le blocage du réseau. C'est apparemment ce qui s'est passé en Corée du Sud où près de 70 % de la population est connectée. Aux Etats-Unis, 13 000 distributeurs automatiques de billets de la Bank of America seraient tombés en panne. Globalement, au plus fort de l'attaque, environ 20 % du trafic aurait été perdu. Cinq des treize serveurs DNS racine affectés Difficile de connaître le nombre précis de serveurs infectés. On parle de plusieurs centaines de milliers de machines. Il semble par ailleurs que la propagation se soit concentrée en Asie d'où le vers a pris son essor. Au moins, SQLSlammer a permis de tester la solidité du réseau et la qualité de son architecture ouverte. Si cinq des treize serveurs DNS racines ont été affectés selon le forum du site Military.com, le réseau a résisté. En revanche, le ver révèle l'incroyable négligence de la part des administrateurs réseaux qui, visiblement, sont loin de tous appliquer les correctifs de sécurité en temps et en heure. SQLSlammer s'installe dans la mémoire de l'ordinateur ce qui le rend difficile à détecter par les anti-virus. Le plus simple pour s'en débarrasser est d'appliquer le patch de Microsoft après avoir relancé le serveur en mode "manuel". L'éditeur de Redmond recommande même d'appliquer le Service Pack 3 (SP3). A priori, le ver n'affecte que les serveurs. Mais il ne faut pas oublier que les utilisateurs sous Windows 98/Me/NT et 2000 Pro peuvent également installer le moteur serveur SQL 2000 et, à ce titre, être également infectés. Les spécialistes ont craint de voir en SQLSlammer un prélude à une cyber-attaque massive. Ce n'est apparemment pas le cas. Ce lundi 27 janvier matin, tout semble rentré dans l'ordre selon The Internet Health Report. Plus de peur que de mal, donc, même si la facture des dégâts reste à établir.SVM 28.01.2003 | Le consortium de normalisation à vocation internationale Oasis*, basé aux États-Unis, vient de créer un nouveau groupe de travail dédié aux échanges de données policières et aux "interceptions légales". Baptisé "Lawful Intercept XML (LI-XML) Technical Committee", ce groupe de travail aura pour but de «développer une plate-forme universelle globale destinée (...) à partager les preuves de présumés criminels ou terroristes entre les services de police et de sécurité», selon la définition sommaire du consortium. L'objectif n'est pas de créer en tant que tel un système global d'interception. Le langage XML (Extensible Markup Language) est un "langage pivot", disent les experts, devenu l'esperanto des développeurs désirant mettre en commun des ressources informatiques a priori non compatibles. Le XML est donc un format d'EDI (échange de données informatisées) destiné à un usage professionnel. Ce groupe de travail devra donc être chargé de faire des propositions de normes XML, pour que la mise en commun des informations criminelles soit facilitée entre pays. «Il ne s'agit pas spécifiquement d'écoutes pour terroristes», tempère le consultant en sécurité informatique Hervé Schauer, sollicité par ZDNet. «Il s'agit d'avoir la possibilité de mettre en oeuvre des écoutes légales sur les échanges électroniques [entre professionnels]». Faciliter l'échange d'informations criminelles entre pays Oasis, qui compte dans ses rangs les principaux industriels mondiaux du logiciel, est plus généralement chargé de maintenir l'interopérabilité entre les outils XML, utilisés dans un environnement professionnel, en premier lieu dans le secteur privé. Mais l'organisation se tourne depuis peu vers le secteur public. «LI-XML est le dernier d'un nombre grandissant de comités techniques d'Oasis qui répondent à la demande du secteur public», explique ainsi Karl Best, son vice-président, citant notamment son groupe d'étude "e-Government", qui veut répondre «aux demandes internationales des gouvernements pour le respect des standards XML». «Les écoutes légales sont une réalité, les ignorer ne fait pas avancer les choses», précise le consultant Hervé Schauer. Il fait notamment référence à une décision prise il y a deux ans par l'IETF, la "task force" chargée des normes liées au protocole IP (lire notre actualité du 7 juin 2000). «Le refus de l'IETF de les normaliser aboutit à un retour vers [des solutions] propriétaires, et d'une certaine manière conduit à des situations défavorables pour la sécurité, puisque des opérateurs ont été victimes de problèmes de sécurité IP à cause de la manière avec laquelle le système d'écoutes légales avait été mis en oeuvre». Pour se lancer dans cette croisade, Oasis se réfère à un traité d'assistance judiciaire international, la Convention européenne d'entraide judiciaire en matière pénale de 1959 (amendée la dernière fois en 2001), et surtout sur la dernière loi antiterroriste votée aux États-Unis en 2002 (Homeland Security Information Sharing Act).ZDNet 31.01.2003 |
Si vous connaissez votre ennemi et si vous savez ce que vous valez, vous n'avez pas besoin de craindre vos prochaines batailles. Si vous savez ce que vous valez et rien sur votre ennemi, pour chaque victoire remportée, vous subirez une défaite. Si vous ne connaissez rien sur vous-même ni sur votre ennemi, vous succomberez à chaque bataille. Sun Tzu-The Art of War
Cette chronique vous intéresse, indiquez-moi des liens intéressants...
