Attaque en masse contre Internet
Depuis ce matin, 10 heures, une attaque de masse d'un ou de plusieurs groupes pirates est en train de mettre à mal le réseau des réseaux. Déjà plusieurs gros serveurs tel que Unet, Level 3, Ld Com ou encore H.P. sont hors service. L'attaque, subdivisées, vise l'Asie, l'Europe et le Pacifique au moment ou nous écrivons ces quelques lignes.

Suite de l'article:
http://www.zataz.com/zatazv7/news.php?id=2248
ou
http://www.zataz.com/

Le reseau en couleur
http://average.matrix.net/Daily/markR.html

A l'heure actuelle, il semblerait plutôt qu'il s'agisse d'un méchant virus, qui ne concerne que les serveurs.

Jessica

Internet attaqué : le réseau résiste avec succès
Source:branchez-vous.com
Le réseau Internet a subi cette nuit une attaque massive de provenance inconnue. Bonne nouvelle toutefois, tout comme cet été, alors qu'Internet avait subi une attaque du même genre, le réseau a résisté.

Alors que l'ensemble du réseau des réseaux se remet d'une attaque massive déclenchée cette nuit, on se perd en conjecture sur la provenance de cette attaque qui a affecté les serveurs de bases de données MS-SQL de la société Microsoft.

Dans le contexte de l'actualité internationale actuelle, il n'en fallait pas plus pour que les médias traditionnels y aillent de leurs spéculations toutes aussi alarmistes les unes que les autres.

Toutefois, en réaction à cette attaque qui a été surmontée en quelques heures, les experts en sécurité ont pu constater que seuls 4 des 13 serveurs racines responsables du routage d'Internet ont été affectés, tandis que malgré la virulence de l'attaque, la performance globale du réseau a été à peine réduite de 15%.

Selon Philippe Le Roux, stratège Internet de la firme VDL2, « La résistance du réseau montre la solidité de l'architecture ouverte d'Internet, même si la concentration des dernières années au niveau des infrastructures centrales remet en cause cette architecture décentralisée et la stabilité qu'elle assure. »

Les serveurs MS-SQL Microsoft qui ont été affectés sont ceux qui n'avaient pas appliqué le correctif publié au moins de juillet dernier.

De conclure Le Roux, « On peut tirer trois leçons de cette crise » :
- Internet est un réseau solide et sa vulnérabilité est très limitée.
- Les systèmes de défense sont efficaces, même un samedi à minuit (heure de l'Est - 6 heures du matin à Paris)
- L'utilisation de serveur Microsoft est dangereuse à moins d'avoir un spécialiste de sécurité à plein temps qui s'assurera d'installer rapidement et systématiquement les nombreux correctifs aux failles de sécurité.

La patience des internautes mise à rude épreuve
Source:radio-canada.ca

Une attaque informatique a perturbé le réseau Internet samedi pendant plusieurs heures. Le ralentissement a été ressenti à des degrés variables aux quatre coins du globe. Les tentatives d'infection des ordinateurs étaient tellement nombreuses que la situation ressemblait à la quasi-paralysie d'Internet par le virus Code rouge durant l'été de 2001. On estime que 22 000 serveurs ont été atteints et que la Corée du Sud a été le pays le plus gravement touché.

L'attaque a commencé au début de la nuit, et il a fallu six heures à la neutraliser.

On sait maintenant qu'il s'agit d'un virus qui aurait reçu le nom de Saphir et qui fonctionnerait selon le même principe que le virus Code rouge. Le FIB mène une enquête.

Quand un "ver" ralentit le trafic mondial d’Internet
Source: tf1.fr
Le trafic mondial sur Internet s'est fortement ralenti pendant plusieurs heures tôt samedi, apparemment sous l'effet d'un virus à progression rapide. Le ralentissement du trafic, qui a affecté l'acheminement des e-mails et autres transmissions, a été observé par des sites de contrôle du trafic Internet autour du monde à partir de 5H30 GMT – soit 6H30, heure française. L'attaque de samedi a été étendue et intense, avec plusieurs milliers de messages lancés chaque seconde, et les réseaux de transmission à haut débit d'Internet ont été rapidement saturés. Le pays le plus touché a été la Corée du Sud, où les réseaux Internet à haut débit ont été momentanément bloqués, provoquant la pire panne qu'ait connue ce pays, qui compte parmi les plus informatisés du monde. Les Etats-Unis, le Japon et l'Europe ont également été concernés, mais à un degré moindre : il n’y a pas eu de paralysie du trafic, mais des ralentissements.

Selon un porte parole du FBI, l'attaque électronique de samedi matin était très similaire par sa soudaineté et son ampleur à celle du virus "Code Red" pendant l'été 2001 qui avait paralysé le trafic en ligne. Lors de cette attaque, plus de 300.000 serveurs informatiques, essentiellement d'entreprises, avaient été infectés et paralysés.

"Dégâts faibles"

Le virus de samedi, de type "ver", a attaqué les systèmes d'exploitation Windows NT, Windows 2000 et Windows XP. Il a frappé les ordinateurs les plus vulnérables en infectant le logiciel très répandu "SQL Server 2000" de Microsoft utilisé pour les banques de données des entreprises. Ce "ver" exploite un défaut du logiciel découvert par les informaticiens en 2002 et qui permet aux pirates de prendre le contrôle des serveurs. Microsoft a fourni un programme à ses clients pour corriger ce problème.

Symantec Corp. une firme de surveillance du trafic internet qui vend des anti-virus, a qualifié les dégâts de "faibles", même si plus de 22.000 systèmes informatiques dans le monde ont été attaqués. Symantec a également jugé qu'il était "facile" de contenir cette attaque et d'effacer le virus des logiciels, seulement inscrit dans la mémoire des ordinateurs touchés mais pas sur leur disque dur.

Premier Bilan de l'Attaque du 25/01/2003 contre le réseau
Source:www.lpic-fr.net
Entre 150.000 et 200.000 serveurs auraient jusqu'à présent été touchés, selon Vincent Gullotto, vice-président chez Network Associates de la cellule anti-virus d'urgence et 5 des 13 root serveurs principaux d'internet

Le ver qui a exploité une faille connue depuis juillet 2002 de la base de donnée maison de microsoft à savoir SQL SERVER a gravement touché internet dés Vendredi Soir.

L'attaque a ensuite duré toute la journée de Samedi. Le pire semblait passé samedi soir, même si ce programme peut encore avoir des effets dans les prochains jours, a expliqué Alfred Huger, directeur de l'ingénierie chez Symantec, société spécialisée dans la sécurité sur internet basée en Californie. Le virus "et très rapide et très efficace', a-t-il ajouté.

Le ver Saphir a commencé à se répandre samedi à 00h00 (05h00 GMT) en Asie et s'est rapidement propagé à des serveurs basés sur la côte Est des Etats-Unis et en Europe du Nord, selon Tom Ohlsson, vice-président du marketing chez Matrix NetSystems, une société de surveillance.

Au plus fort de l'attaque, dans la matinée, environ 20% du trafic de données en transit sur internet a été perdu, une proportion dix fois supérieure à la normale, selon Ohlsson.

Entre autres effets, le trafic audio via internet, souvent utilisé par les institutions financières pour relier entre elles des salles de marché éparpillées dans le monde, a été interrompu.

Le réseau subit encore des latences importantes sur certains fournisseurs d'accés.

Le Sapphire Worm ou le SQL Slammer - nom donné à ce ver car des ingénieurs de beaucoup d'entreprises de sécurité informatique US furent sortis des bars vendredi soir juste aprés minuit de tout urgence pour contenir l'attaque - exploite les résultats d'un buffer overflow sur une faille de sécurité sur le serveur Microsoft.

Une fois la faille trouvée, le ver infecte la machine sans causer aucun dommage : il n'y a pas de destruction de fichier en particulier. Sa seule activité va être de chercher une nouvelle victime en scannant massivement et aleatoirement un ensemble d'adresse IP.

C'est cette activité de scan qui va créer un embouteillage sur le réseau si le ver infecte un nombre n élévé de machines scannant toutes à leur tour des range d'IP.

Un nombre trés importants d'attaques auraient ainsi été détéctées durant les douzes derniéres heures causant l'arret de 5 des 13 routeurs principaux d'internet (déja touché par une attaque il y a peu de temps). Sur les 8 routeurs 'Safe', 2 aurait été prêt de sombrer à leur tour avec des temps de latence avoisinant les 10 secondes.

Le Slammer ne scanne pas des addresses locales donc ne pénétre pas les réseaux internes une fois qu'il touche une porte sur le web comme le fait le ver Nimda. Il se réplique simplement lui même sans causer aucun dommage colatéral au niveau soft.

Ce ver n'est donc pas aussi dangereux qu'un autre ver recemment découvert qui exploite une autre faille du SQL SERVER appellée 'vulnérabilité SA/nopassword' . Ce nouveau ver serait beaucoup plus dévastateur car il exploiterait une faille logicielle plutôt qu'une erreur de configuration des serveurs ou un manque de mise à jour sécurité.

L'attaque, d'aprés de nombreux articles et experts, aurait commencé en Corée du Sud ou à Honk-Kong ce qui expliquerait pourquoi la Corée du Sud a vu son réseau haut débit complétement saturé au tout début de l'attaque.

Les Experts recommendent aux administrateurs systéme de fermer immédiatement le port SQL de tout leurs serveurs - le ver n'utilisant que le port 1434 en UDP (LE port de monitoring de SQL). De plus ils rappellent que la faille de sécurité avait été signalé depuis plusieurs mois par Microsoft et que le patch est disponible sur le site de Microsoft à cette adresse :

Patch SQL
ou encore est disponible dans le SQL 2000 service pack à :
SQL 2000 service pack

Au final le réseau a encore montré pour la deuxiéme fois en quelques mois sa solidité et surtout sa capacité de réaction. Paralyser complétement internet est une chose difficile même si cette deuxiéme alerte est plus chaude que la derniére.

L'attaque a aussi montré la nécessité de bien suivre les alertes sécurité et de patcher correctement les serveurs....pour une fois Microsoft ne peut pas etre accusé de tout les maux.

En France l'impact semble avoir été minime : des sites comme grenouille.com en ont fait les frais, certains liaisons de FAI furent pertubés dans la matinée .

Le fait que cela arrive le Week End et principalement dans la nuit ou la matinée en France a réduit l' impact réel au niveau des internautes français. Aucun media national en a en tout cas fait écho.

Et derniére question : pourquoi et par qui ?

Il est pour l'instant impossible de répondre à cette question .

Certaines rumeurs avancent l'hypothése d'une protestation contre le nouveau systéme PALLADIUM (qui va changer de nom) de microsoft

Aujourd'hui 26 janvier 2003, retour à la normal ???
http://average.matrix.net/Daily/markR.html

Le Hit-parade des sites français semble avoir été touché. Le logo ne s'affiche pas en bas des pages de libellules.ch et lorsque je clique sur l'emplacement de l'image, j'obtiens ce résultat !

Microsoft OLE DB Provider for ODBC Drivers error '80004005'

[Microsoft][ODBC SQL Server Driver][TCP/IP Sockets]Ce serveur SQL n'existe pas ou son accès est refusé.

/include/fonctions.asp, line 831

Yep et il prend un temps fou pour afficher la page ce logo fantôme !!!

Infos complémentaires : source : Reuters

"Il s'est attaqué à des serveurs exploitant le logiciel SQL Server 2000 de Microsoft et ne disposant pas de mise à jour de sécurité ou du correctif logiciel, dont la dernière version est disponible sur le site de la firme de Redmond (http://www.microsoft.com/technet).

Aucun responsable n'était joignable chez Microsoft, mais le géant des logiciels expliquait sur son site qu'il était en train de tester ce "patch" pour vérifier qu'il n'était pas vulnérable.

Entre 150.000 et 200.000 serveurs auraient jusqu'à présent été touchés, selon Vincent Gullotto, vice-président chez Network Associates de la cellule anti-virus d'urgence.

"La bonne nouvelle, c'est qu'il ne détruit pas ou n'extrait pas de données mais arrête seulement le serveur. Après, il se reproduit peut-être jusqu'à mille fois et cherche d'autres serveurs à infecter", a expliqué Tom Ohlsson. "

Conséquences pour libellules.ch
J'ai viré hit-parade.com ! libellules.ch va faire une chute spectaculaire au classement. Pas grave ! On se profilera autrement ... Xiti aussi a passé à la trappe. Il est vrai que ces différents services ralentissent plus le site que ne lui apportent des avantages. Les derniers virus de sophos sur la homepage, vous les retrouverez sur la page antivirus. Voilà, une cure de jouvence apportée à libellules.ch.

J'espère que vous constaterez la différence

Bon dimanche !
A+