Nous avons évoqué -et éprouvé- la semaine dernière les dégât du ver Witty, qui exploite une faille dans les logiciels ISS (Internet Security Systems) pour contourner la protection des ‘firewalls’ vulnérables, comme BlackIce ou RealSecure.

Witty présentait déjà une première spécificité en s’attaquant aux systèmes destinés à protéger les serveurs et postes de travail, les pare-feux. Dès qu’il perce la protection ISS, Witty corrompt les informations sur le disque dur en écrivant de manière aléatoire un fichier de moins de 65Ko, lentement mais sûrement puisque le système d’exploitation est vérolé en moins de 12 heures. Une attaque cependant limitée et rapidement circonscrite.

Mais Witty présente un autre particularité, un record pour ainsi dire, qui inquiète tout particulièrement les experts : le ver est apparu moins de 48 heures après l’annonce de la découverte de la faille ISS. C’est-à-dire qu’il aura fallu moins de temps à son auteur pour écrire le virus qu’il n’en faut pour engager les démarches de mise à jour des protections, ce qui concrètement ne laisse pas le temps matériel suffisant pour assurer la protection de tous les systèmes.

Rapidement repérée, la propagation de Witty a pu être suivie à la trace. Ainsi, selon un rapport de la Cooperative Association for Internet Data Analysis (CAIDA) et l’université de Californie, il n’aura fallu que 10 secondes pour compromettre les 110 premiers serveurs. Et en 45 minutes, 12.000 serveurs, c’est-à-dire la majorité des postes vulnérables, ont été compromis !