Code Red et SQL Slammer
Deux vers à un an et demi d’écart ont prouvé qu’un seul paquet UDP pouvait saturer l’internet mondial en moins de quinze minutes.
En juillet 2001, un ver nommé Code Red commence à exploiter un dépassement de tampon dans le serveur web IIS de Microsoft. Il défigure les pages avec le texte « Hacked By Chinese! », embarque une charge qui lance une attaque par déni de service contre une adresse IP de la Maison-Blanche, et infecte de l’ordre de 359 000 hôtes en environ quatorze heures. C’était un avant-goût.
Quinze minutes jusqu’à la saturation
La démonstration complète arrive en janvier 2003 avec SQL Slammer, aussi appelé Sapphire. Slammer exploitait une vulnérabilité de Microsoft SQL Server. Tout son corps tenait dans un seul paquet UDP de 376 octets — pas besoin d’établir une connexion, pas d’attente de réponse. Il crachait simplement des copies de lui-même vers des adresses aléatoires aussi vite que le lien réseau de l’hôte infecté le permettait.
Le résultat fut le ver à propagation la plus rapide jamais mesurée. L’analyse de CAIDA a montré Slammer doublant sa population infectée environ toutes les 8,5 secondes et infectant la grande majorité des hôtes vulnérables de tout l’internet en environ dix minutes. Le trafic qu’il générait, pas sa charge — il n’avait aucune charge malveillante — a mis hors service des réseaux de distributeurs automatiques, des systèmes de réservation aérienne et des centres d’appels d’urgence par congestion collatérale.
Ce que la chronique retient
Code Red et Slammer ont ensemble établi la courbe de propagation du pire cas. Slammer en particulier a prouvé qu’un ver sans connexion et sans charge pouvait mettre une fraction significative d’internet hors-ligne plus vite qu’aucune réponse humaine ne pouvait être organisée. Tout argument ultérieur en faveur du patching automatisé, du rate-limiting réseau et du filtrage en entrée remonte aux dix minutes du 25 janvier 2003.