{"id":19258,"date":"2022-08-10T14:59:39","date_gmt":"2022-08-10T12:59:39","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19258"},"modified":"2022-08-11T13:01:03","modified_gmt":"2022-08-11T11:01:03","slug":"history-lessons-code-red","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/history-lessons-code-red\/19258\/","title":{"rendered":"Comment la s\u00e9curit\u00e9 a \u00e9volu\u00e9 : l’histoire de Code Red"},"content":{"rendered":"

Code Red \u00e9tait un ver informatique qui avait pris pour cible les syst\u00e8mes bas\u00e9s sur Windows et sur lesquels \u00e9tait install\u00e9 Microsoft IIS (Internet Information Services<\/em> du serveur Windows). Cette histoire avait pourtant bien commenc\u00e9\u00a0: la distribution du programme malveillant avait \u00e9t\u00e9 d\u00e9tect\u00e9e au tout d\u00e9but de l\u2019infection. Code Red a \u00e9t\u00e9 d\u00e9couvert<\/a> par les chercheurs de eEye Security qui, lors de leur d\u00e9couverte (le 13 juillet 2001), \u00e9taient en train de d\u00e9velopper un syst\u00e8me qui permettrait de trouver les vuln\u00e9rabilit\u00e9s de Microsoft IIS. Tout \u00e0 coup, leur serveur test n\u2019a plus r\u00e9pondu. Ils ont examin\u00e9 l\u2019historique du syst\u00e8me pendant toute la nuit pour essayer de trouver des traces de l\u2019infection. Ils ont baptis\u00e9 ce programme malveillant apr\u00e8s qu\u2019un objet a attir\u00e9 leur regard trouble\u00a0: une canette de la boisson Mountain Dew Code Red.<\/p>\n

Pourtant, cette d\u00e9tection relativement pr\u00e9coce n\u2019a pas vraiment frein\u00e9 l\u2019\u00e9pid\u00e9mie. Le programme malveillant utilisait d\u00e9j\u00e0 les syst\u00e8mes infect\u00e9s pour r\u00e9aliser d\u2019autres attaques et, en quelques jours seulement, il s\u2019\u00e9tait r\u00e9pandu dans le monde entier. Ensuite, le 19 juillet, le Centre\u00a0d\u2019analyse appliqu\u00e9e\u00a0des\u00a0donn\u00e9es Internet (CAIDA) a partag\u00e9 des statistiques qui montraient clairement \u00e0 quelle vitesse Code Red s\u2019\u00e9tait distribu\u00e9. Selon plusieurs sources, plus de 300 000 serveurs ont \u00e9t\u00e9 attaqu\u00e9s.<\/p>\n

\"Pr\u00e9sence

Pr\u00e9sence du ver informatique Code Red le 19 juillet 2001. Source<\/a><\/p><\/div>\n

Le fonctionnement de Code Red<\/h2>\n

Ce virus informatique d\u2019Internet exploitait une vuln\u00e9rabilit\u00e9 insignifiante dans un des modules du serveur web. Il s\u2019agissait plus pr\u00e9cis\u00e9ment d\u2019une extension pour le r\u00e9f\u00e9rencement des donn\u00e9es. Il y avait une erreur de d\u00e9passement de tampon dans la biblioth\u00e8que idq.dll. MS01-33<\/a> \u00e9tait l\u2019identifiant de cette vuln\u00e9rabilit\u00e9. Le bug \u00e9tait facile \u00e0 exploiter\u00a0: il suffisait d\u2019envoyer une demande beaucoup trop longue au serveur. Par exemple\u00a0:<\/p>\n

GET \/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a\u00a0 HTTP\/1.0<\/p>\n

Ainsi, les donn\u00e9es apr\u00e8s la lettre r\u00e9p\u00e9t\u00e9e N \u00e9taient interpr\u00e9t\u00e9es comme des instructions et \u00e9taient ex\u00e9cut\u00e9es. Toute la charge malveillante apparaissait dans la requ\u00eate. \u00c9tant donn\u00e9 qu\u2019il y avait une installation vuln\u00e9rable dans Microsoft IIS, le syst\u00e8me \u00e9tait infect\u00e9 instantan\u00e9ment. La cons\u00e9quence la plus visible de l\u2019infection \u00e9tait, litt\u00e9ralement, la d\u00e9gradation des sites servis par le serveur web. Ils avaient la mise en page suivante au lieu de leur contenu habituel\u00a0:<\/p>\n

\"Voil\u00e0

Voil\u00e0 \u00e0 quoi ressemblait un serveur web infect\u00e9 par Code Red. Source<\/a><\/p><\/div>\n

Selon Kaspersky<\/a>, cette d\u00e9gradation \u00e9tait temporaire. 10 heures apr\u00e8s l\u2019attaque, le ver informatique restaurait le contenu normal du site. D\u2019autres actions \u00e9taient men\u00e9es suivant la date. Du 1er<\/sup> au 19 de chaque mois, le ver se propageait et envoyait des requ\u00eates malveillantes \u00e0 des adresses IP choisies au hasard. Du 20 au 27, plusieurs adresses IP \u00e9taient victimes d\u2019une attaque par d\u00e9ni de service, y compris le site de l\u2019administration pr\u00e9sentielle des \u00c9tats-Unis. Puis, du 28 \u00e0 la fin du mois, Code Red faisait une pause, m\u00eame si elle n\u2019\u00e9tait pas vraiment m\u00e9rit\u00e9e.<\/p>\n

Notre point de vue en 2022<\/h2>\n

De tels incidents se produisent encore de nos jours, mais ils sont g\u00e9n\u00e9ralement associ\u00e9s \u00e0 des vuln\u00e9rabilit\u00e9s zero-day et sont souvent d\u00e9tect\u00e9s lorsque l\u2019on enqu\u00eate sur une attaque active. Voici un exemple\u00a0: la s\u00e9rie de vuln\u00e9rabilit\u00e9s<\/a> dans le serveur de messagerie \u00e9lectronique Microsoft Exchange qui \u00e9tait activement exploit\u00e9e lors de la d\u00e9tection. Plus de 30 000 entreprises dans le monde entier ont \u00e9t\u00e9 affect\u00e9es, et les administrateurs du service de messagerie de nombreuses entreprises ont d\u00fb installer un patch \u00ab\u00a0hier\u00a0\u00bb et r\u00e9aliser un audit au cas o\u00f9 l\u2019infection avait atteint l\u2019entreprise.<\/p>\n

Cet exemple montre que les attaques sont beaucoup plus sophistiqu\u00e9es et que nous avons progress\u00e9 en termes de d\u00e9fense. Code Red n\u2019a pas exploit\u00e9 une vuln\u00e9rabilit\u00e9 zero-day mais une faille qui a \u00e9t\u00e9 d\u00e9tect\u00e9e et corrig\u00e9e un mois avant. \u00c0 cette \u00e9poque, la lenteur de l\u2019installation des mises \u00e0 jour, le manque d\u2019outils pour l\u2019installation automatique et les faibles connaissances des utilisateurs avaient un impact. L\u2019absence de mon\u00e9tisation est une autre diff\u00e9rence de taille entre Code Red et les attaques modernes actuelles. De nos jours, le piratage du serveur d\u2019une entreprise vuln\u00e9rable est in\u00e9vitablement suivi d\u2019un vol de donn\u00e9es, ou d\u2019un chiffrement des donn\u00e9es, et d\u2019une demande de ran\u00e7on. De plus, les cybercriminels ne d\u00e9gradent pas les sites pirat\u00e9s. Au contraire, ils font tout leur possible pour cacher leur pr\u00e9sence au sein de l\u2019infrastructure informatique de l\u2019entreprise.<\/p>\n

Une le\u00e7on am\u00e8re<\/h2>\n

Il faut dire que Code Red a disparu assez rapidement. Une version l\u00e9g\u00e8rement modifi\u00e9e est apparue en ao\u00fbt 2001, Code Red II<\/a>. Cette derni\u00e8re pouvait infecter les syst\u00e8mes qui avaient d\u00e9j\u00e0 \u00e9t\u00e9 \u00ab\u00a0visit\u00e9s\u00a0\u00bb par la premi\u00e8re variante du ver informatique. Pourtant, de mani\u00e8re g\u00e9n\u00e9rale, il y avait d\u2019autres attaques avec des sc\u00e9narios similaires au d\u00e9but des ann\u00e9es 2000. En septembre 2001, nous avons connu le ver pand\u00e9mique Nimda<\/a>, qui lui aussi a exploit\u00e9 des vuln\u00e9rabilit\u00e9s de Microsoft IIS pourtant corrig\u00e9es depuis longtemps. En 2003, le ver Blaster<\/a> s\u2019est rapidement r\u00e9pandu partout. Enfin, on a commenc\u00e9 \u00e0 dire que les correctifs de vuln\u00e9rabilit\u00e9s critiques d\u00e9tect\u00e9es dans les logiciels d\u2019entreprises devaient \u00eatre install\u00e9s le plus rapidement possible. Lorsqu\u2019une mise \u00e0 jour est disponible, les cybercriminels l\u2019\u00e9tudient minutieusement et commencent \u00e0 exploiter la vuln\u00e9rabilit\u00e9, tout en esp\u00e9rant que certains utilisateurs n\u2019aient pas encore installer la mise \u00e0 jour. Ce probl\u00e8me existe encore de nos jours. Nous avons plusieurs exemples r\u00e9cents, comme l\u2019attaque de WannaCry en 2017.<\/p>\n

En revanche, on peut dire que Code Red et bien d\u2019autres programmes malveillants responsables de l\u2019infection de centaines de milliers de syst\u00e8mes dans le monde entier nous ont aid\u00e9 \u00e0 mettre au point les directives de s\u00e9curit\u00e9 que les entreprises suivent actuellement. Contrairement \u00e0 ce qui \u00e9tait le cas il y a 21 ans, nous d\u00e9pendons enti\u00e8rement des syst\u00e8mes informatiques, que ce soit pour communiquer, pour payer ou pour une infrastructure critique. Nous avons appris \u00e0 nous d\u00e9fendre contre les attaques informatiques, mais nous devons encore trouver le rem\u00e8de miracle pour tous les probl\u00e8mes que rencontrent les entreprises. Il est ind\u00e9niable que la cybers\u00e9curit\u00e9 \u00e9volue, et il faut reconna\u00eetre qu\u2019une s\u00e9curit\u00e9 parfaite n\u2019est pas un \u00e9tat fixe des choses mais une lutte permanente.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Voici l\u2019histoire de la premi\u00e8re attaque s\u00e9rieuse qui s\u2019en est prise \u00e0 l\u2019infrastructure informatique d\u2019une entreprise.<\/p>\n","protected":false},"author":665,"featured_media":19261,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[4303,4305,2283,657,4304],"class_list":{"0":"post-19258","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-chronique","11":"tag-degradation","12":"tag-epidemie","13":"tag-histoire","14":"tag-ver-informatique"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/history-lessons-code-red\/19258\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/history-lessons-code-red\/25146\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/history-lessons-code-red\/27478\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/history-lessons-code-red\/33795\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/history-lessons-code-red\/10909\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/history-lessons-code-red\/45082\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/history-lessons-code-red\/19826\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/history-lessons-code-red\/29122\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/history-lessons-code-red\/25320\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/chronique\/","name":"Chronique"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19258","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=19258"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19258\/revisions"}],"predecessor-version":[{"id":19265,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19258\/revisions\/19265"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/19261"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=19258"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=19258"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=19258"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}