On le sait, l'entreprise cofondée par Bill Gates ne jouit pas d'une réputation sans failles auprès des pirates. À tel point que certains n'hésitent pas à prendre directement les armes (informatiques) pour s'attaquer au géant de Redmond. Las, lorsque ça fait mal, c'est avant tout aux utilisateurs…
Comme la plupart des virus, Blaster possède de nombreux alias, du fait des multiples nomenclatures employées par les éditeurs de logiciels de sécurité : Lovesan, MBlaster, W32.Blaster, W32.Blaster.Worm, W32/Blaster, W32/Blaster.worm, W32/Blaster-A, W32/Lovsan.worm, W32/Lovsan@mm, W32/Msblast.A, Win32.Msblast.A, Win32.Poza, Win32/Poza!Worm, Worm.Win32.Lovesan, WORM_MSBLAST.A, WormBlast… Mais qu'on l'appelle Blaster ou Lovesan, ce ver demeure un parasite des plus redoutables.
Découvert le 11 août 2003, Blaster et ses nombreuses variantes ont en effet laissé de bien mauvais souvenirs à leurs victimes. Causant également des troubles aux systèmes d'exploitation Windows NT et Windows Server 2003 de Microsoft, le fléau ne pouvait toutefois se répandre que sur les ordinateurs équipés de Windows 2000 ou XP. Contrairement à la plupart des vers, Blaster n'utilise pas la messagerie électronique et la crédulité des internautes pour se propager. Il exploite une faille de sécurité du service RPC (Remote Procedure Call) de Windows, permettant à un programme d'exécuter du code à distance sur un autre système. En s'engouffrant dans cette vulnérabilité, révélée le 16 juillet 2003 par Microsoft, un pirate pouvait prendre le contrôle d'un ordinateur et y exécuter à distance du code malveillant.
Microsoft, cible clairement désignée
Pour se protéger contre l'exploitation de cette faille, il suffisait d'avoir installé régulièrement les correctifs de sécurité. Car une fois entré dans la bergerie, Blaster empêchait l'utilisateur de mettre à jour son système, en bloquant l'accès au site Windows Update. Les 16 et 31 des mois de janvier à juillet, ainsi que n'importe quel jour entre le 16 août et le 31 décembre 2003, Blaster était ainsi programmé pour lancer des attaques par déni de service (Denial of Service, DoS) contre le site de mise à jour de Microsoft. Les machines contaminées inondaient alors littéralement de requêtes (un paquet de 40 octets toutes les 20 millisecondes !) les serveurs de l'éditeur, au point d'en paralyser le fonctionnement.
L'auteur de Blaster affichait en effet sans équivoques son animosité à l'encontre du géant américain. Le code source du ver contenait ainsi le texte I just want to say LOVE YOU SAN!! billy gates why do you make this possible? Stop making money and fix your software!! (soit, dans la langue de Didier Barbelivien, Je voulais juste te dire JE T'AIME MON CHÉRI !! Billy Gates pourquoi rends-tu cela possible ? Arrête de faire de l'argent et répare tes logiciels !!). Ironie du sort, pour faire face au tsunami menaçant le site Windows Update, Microsoft a même été contraint de créer des miroirs de ses sites de téléchargement de correctifs, sur des serveurs équipés d'un système exempt de toute menace par Blaster : Linux…
Entre le pirate vengeur et la multinationale tentaculaire, l'utilisateur innocent
Du côté de l'utilisateur, les effets indésirables de Blaster ne mettaient pas longtemps à se faire sentir. Parmi les symptômes entraînés par la désactivation du service RPC, citons notamment des dysfonctionnements des fonctions Copier/Coller et Rechercher de Windows, l'impossibilité d'ouvrir un lien hypertexte dans une nouvelle fenêtre du navigateur Internet ou de déplacer des icônes, la fermeture du port de communications TCP 135, etc.
En parallèle, le ver passait discrètement au crible une plage d'adresses IP choisie au hasard, afin de localiser sur le réseau d'autres ordinateurs présentant la même vulnérabilité. S'il en trouvait, il se copiait dans leur répertoire système, et modifiait la clé HKLM\Software\Microsoft\Windows\CurrentVersion\Run de la base de registres, afin que le virus s'exécute à chaque démarrage du système… Seul indicateur potentiel de cette propagation furtive, un utilisateur averti pouvait constater une activité réseau inhabituelle sur les ports 69, 135 et 4444.
L'utilisateur novice, lui, était d'emblée confronté à un effet néfaste bien plus direct, matérialisé par un message System Shutdown (en français, Fermeture du système), lui annonçant un redémarrage imminent. À son apparition, le ver lançait un compte à rebours de 60 secondes, à l'issue duquel il rebootait purement et simplement le système ! Les documents ouverts ne pouvaient même pas être sauvegardés… Le seul moyen d'échapper à ce funeste destin était d'ouvrir la fenêtre de commandes DOS du système, et d'y saisir shutdown -a pendant le décompte. Le redémarrage était alors annulé, mais le système demeurait néanmoins contaminé.
Une dynastie de ravageurs en série
Heureusement, une fois l'infection identifiée, l'éradication du virus demeurait relativement aisée. Certains éditeurs de logiciels antivirus ont été jusqu'à mettre à disposition des outils spécifiquement créés pour éradiquer Blaster. Ces petits programmes parfaitement autonomes se chargeaient alors de désinfecter l'ordinateur, en évitant à l'utilisateur toute une série de tâches passionnantes comme la suppression de tout fichier lié au ver présent sur le(s) disque(s) dur(s), le rétablissement de la base de registres ou encore le téléchargement des correctifs de sécurité du protocole RPC.
Au final, difficile d'évaluer le nombre total de victimes de Blaster. Tout juste estime-t-on les dégâts à 2 millions d'ordinateurs infectés dans le monde durant la première semaine, et 329 millions de dollars de pertes pour les entreprises américaines le seul mardi 12 août 2003… Entre autres " exploits " outre-Atlantique, le ver a notamment fait défaillir plusieurs dizaines d'ordinateurs du Sénat, bloqué la Federal Reserve Bank d'Atlanta et bloqué le système informatique des bureaux new-yorkais de CBS.
Symbole de la fulgurance de l'infection, pas moins de 5 variantes majeures de Blaster avaient déjà été identifiées le 1er septembre 2003. Certains plaisantins ont même chercher à surfer sur la vague de panique causée par le ver, en faisant circuler par courrier électronique un soi-disant programme émanant de Microsoft et censé éradiquer Blaster. Naturellement, il s'agissait en réalité d'un cheval de Troie, qui ouvrait d'autres portes dérobées sur l'ordinateur. Quand des pirates profitent des brèches ouvertes par leurs confrères, il ne reste bien souvent à l'utilisateur que ses yeux pour pleurer…
