Samedi 25 janvier "pas moins" de 376 octets de code ont largement grippé, en quelques dizaines de minutes, les infrastructures de plusieurs pays, notamment les Etats-Unis, mettant à mal la bande passante de leurs principales dorsales.

La cause de l'attaque est désormais connue : un virus-ver baptisé WORM_SQLP1434.A, DDOS_SQLP1434.A, SQLP1434.A, alias Sapphire, alias Helkern, alias Slammer qui a profité d'une faille de MS-SQL Server 2000.

Une nouvelle fois les voix s'élèvent pour stigmatiser le faible niveau de sécurité des logiciels édités par Microsoft. Rien que de très classique sauf que cette fois, la faille - découverte il y a fort longtemps par David Litchfield - faisait l'objet d'un correctif publié par Microsoft en juillet 2002. Surtout, le troisième service-pack de MS-SQL Server 2000 - livré la semaine dernière - intégrait le défaut.



Au-delà du énième virus-ver, c'est donc la responsabilité d'administrateurs SQL Server peu précautionneux qui semble en jeu. Kang Jun, membre de la Korea Information Security Agency (organisme en charge de la sécurité des réseaux en Corée du Sud, l'un des pays le plus touché) les défend, expliquant que le nombre important de rustines publiées rend difficile une mise à jour efficace. Une situation qu'il trouve cependant "très ennuyeuse".

D'autant que ceux qui n'avaient pas appliqué la rustine en question ont servi d'accès au reste du réseau. Une fois actif, Slammer tente en effet de balayer toutes les adresses IP possibles et imaginables, de manière non ciblée, le tout à une fréquence élevée. En conséquence directe, plus la taille des "tuyaux" reliant les machines infectées est importante, plus le virus devient puissant et plus la bande passante consommée est notable. Parmi les "victimes", on compte notamment les serveurs racines du réseau, déjà frappés il y a quelques temps par une attaque d'envergure qui - déjà - aurait pu être évitée. Durant quelques heures, cinq des principaux centres d'aiguillage de l'Internet ont été débordés, avec des taux de perte de paquets impressionnants : b.root-servers.net, 58 % de pertes, k.root-servers.net 64%, l.gtld-servers.net et m.root-servers.net 33%.

Au final, ce sont plus de 250 000 serveurs d'entreprise sous SQL Server qui se sont trouvés contaminés. Et les 13 000 distributeurs de monnaie de Bank of America, ont été bloqués, faute de bande passante.