Le ver Witty bat les records de propagation

Il n’aura fallu que 48 heures entre la publication de la faille et les premières attaques virales du ver Witty sur les pare-feux. Un record?

Nous avons évoqué -et éprouvé- la semaine dernière les dégât du ver Witty, qui exploite une faille dans les logiciels ISS (

Internet Security Systems) pour contourner la protection des ‘firewalls‘ vulnérables, comme BlackIce ou RealSecure. Witty présentait déjà une première spécificité en s’attaquant aux systèmes destinés à protéger les serveurs et postes de travail, les pare-feux. Dès qu’il perce la protection ISS, Witty corrompt les informations sur le disque dur en écrivant de manière aléatoire un fichier de moins de 65Ko, lentement mais sûrement puisque le système d’exploitation est vérolé en moins de 12 heures. Une attaque cependant limitée et rapidement circonscrite. Mais Witty présente un autre particularité, un record pour ainsi dire, qui inquiète tout particulièrement les experts : le ver est apparu moins de 48 heures après l’annonce de la découverte de la faille ISS. C’est-à-dire qu’il aura fallu moins de temps à son auteur pour écrire et lancer le virus qu’il n’en faut pour engager les démarches de mise à jour des protections, ce qui concrètement ne laisse pas le temps matériel suffisant pour assurer la protection de tous les systèmes. Rapidement repérée, la propagation de Witty a pu être suivie à la trace. Ainsi, selon un rapport de la Cooperative Association for Internet Data Analysis (CAIDA) et l’université de Californie, il n’aura fallu que 10 secondes pour compromettre les 110 premiers serveurs. Et en 45 minutes, 12.000 serveurs, c’est-à-dire la majorité des postes vulnérables, ont été compromis ! La technique du ‘pre-seeded’

La rapidité de l’attaque de Witty implique obligatoirement que les serveurs sur lesquels s’est répandu le ver dans les premières secondes ont été repérés à l’avance. Cette technique, qui consiste à attaquer en tête les serveurs les moins protégés s’appelle ‘

preseeded‘. Les serveurs les plus vulnérables sont identifiés, sans doute par une première attaque de faible amplitude et de menace réduite. Puis ces derniers sont attaqués en priorité par le ver ou le virus, ce qui leur permet de se répandre rapidement. Il suffit ensuite aux hackers d’être très réactifs afin d’exploiter les failles découvertes avant que les systèmes n’aient pu être patchés?