Le 25 Janvier dernier nous vous annoncions qu'internet avait souffert de l'attaque de personnes malveillantes. Des précisions ont été apportées depuis : il s'agissait du ver Sappire qui infecte les serveurs grâce à une faille bien connue de Microsoft SQL Server 2000, pour laquelle un correctif est disponible depuis longtemps. Encore une fois, les administrateurs système sont aussi responsables que l'auteur du ver.

au sommaire

    A l'image d'un Code Red au mieux de sa forme, Sapphire se propage rapidement sur Internet et infecte les serveurs de base de données. Il ne contient aucune charge offensive, et se contente simplement de tenter de se reproduire en sautant de serveur en serveur. Mais Sapphire est si agressif dans sa recherche de nouvelles victimes qu'il provoque de véritables embouteillages sur certaines portions du réseau. Sur les forums de discussion fréquentés par les administrateurs systèmes, les messages affluent depuis quelques heures, souvent peu tendres vis-à-vis de ceux qui se sont laissés infecter, polluant ainsi malgré eux le trafic du reste du monde !

    En France, l'impact de Sapphire nous a été confirmé quelques heures seulement après le début de l'épidémieépidémie. C'est la panique sur les points d'échange principaux d'Internet, où des routeurs importants seraient tombés. Même constat chez de nombreux hébergeurs, où il suffit de quelques machines de clients infectées pour faire tomber le réseau localréseau local. Voire même, comme cela s'est vu dès samedi matin, couper les annonces de routes BGP vers le reste du monde.

    Le ver exploite pour se propager une faille bien connue de MicrosoftMicrosoft SQL Server 2000, publiée en juillet 2002. Un correctif gratuit est bien sûr disponible depuis l'été dernier, mais le succès de Sapphire aujourd'hui montre que peu d'administrateurs système ont pris la peine de l'appliquer. Certainement ne sont-ils même pas au courant de la faille ni de ce qui se passe sur leur serveur...
    Pour les administrateurs qui se réveilleraient, il est vivement conseillé d'installer immédiatement le correctif pour SQL Serveur 2000 publié par Microsoft. S'ils sont déjà infectés, de nombreux outils de désinfection, probablement gratuits, devraient voir bientôt le jour sur les sites des éditeurs majeurs d'antivirusantivirus.

    Pour les autres, il peut être utile de filtrer provisoirement le port 1434 (ms-sql-m) sur les routeurs ou les pare-feupare-feu, le temps de laisser passer l'orageorage...