12 000 ordinateurs en 10 minutes. 130 000 ordinateurs en une heure et demie. Entre 190 000 et 375 000 ordinateurs au plus fort de l'activité. Un nouveau ver Internet a tenté de mettre le Web à bas ce week-end, en rendant l'accès quasi impossible en Asie et très difficile aux Etats-Unis. Moins touchée, la France a malgré tout vécu son week-end Internet au ralenti.

Le coupable a pour nom W32/SQL.Slammer, aussi connu sous les noms de Sapphire et Helkner. Son origine géographique reste indéterminée, même si tout porte à croire qu'il est originaire d'Asie. C'est sur ce continent que les dégâts ont été les plus importants.

En Corée du Sud, pays où le Web est utilisé par une majorité de la population, l'agence Associated Press estime que des millions d'internautes ont été interdits de connexion. Kim Dae-Jung, le président sud-coréen, s'est même fendu d'un communiqué pour «  exprimer ses regrets suite à cet incident  ». Aux Etats-Unis, la plupart des 13 000 distributeurs de billets de la Bank of America ont été rendus indisponibles.

De larges pans du Web sont devenus inaccessibles, explique Jean-Michel Planche, président de la société de supervision des performances d'Internet Witbe : «  En temps normal, on observe 4 % d'erreurs sur les services Web que nous suivons. Samedi à 7 heures, ce taux a atteint 20 %, ce que je n'avais jamais vu. Une grande partie des réseaux des opérateurs a été isolée. Et on continue d'observer des anomalies . »

Plus que les opérateurs, hébergeurs et clients ont été les plus touchés en France. «  À l'exception de NetPratique, les débits des principaux fournisseurs d'accès à Internet sont restés stables  », juge Manuel Vila, webmaster de Grenouille.com , un site qui mesure les performances de l'accès haut débit en France. «  Par contre, le portail de Wanadoo a été coupé. Et notre site a été inaccessible de 6 h à 10 h du matin, le temps que notre hébergeur comprenne le problème . »

Sapphire est une nuisance bien particulière. Ce ver ne vise que les machines équipées de SQL Server 2000 ou de MSDE (Microsoft SQL Desktop Engine, un outil présent par défaut dans Biztalk 2002, Visio 2002, ...). Une fois la machine repérée, le ver en prend le contrôle. Il génère alors des adresses IP aléatoires et s'expédie vers les ordinateurs correspondant pour les infecter.

Passant d'ordinateur en ordinateur, inondant le Web de requêtes pour trouver de nouvelles cibles, le ver a ainsi eu vite fait de saturer des réseaux. Alors que les parades étaient là.

En juillet dernier, Microsoft avait pris conscience du défaut de ses logiciels et avait sorti un correctif . Six mois plus tard, nombre d'utilisateurs ne l'ont pas installé, rendant leurs machines vulnérables à Sapphire.

Pour ceux qui ne souhaitent à aucun prix installer ce correctif, il reste une solution : redémarrer leur machine. «  Ce virus réside dans la mémoire, pas sur le disque dur, il s'efface donc en rebootant , explique Nicolas Mirail, chef de produits technique chez Microsoft. Mais, si vous voulez être certain de ne pas le voir réapparaître, le correctif est indispensable . »

Ce lundi, les observateurs jugeaient la situation proche de la normale et ne s'attendaient pas à une résurgence de Sapphire. Au prix de contingentements. «  Samedi matin, une fois le trafic polluant repéré, il nous a fallu identifier les serveurs infectés (de 10 à 15 sur 70), les couper du réseau, filtrer le trafic pour empêcher la propagation du virus, puis installer les correctifs , raconte Stéphane Besseau, directeur Managed Services de l'opérateur Colt. Par contre, pour les clients hébergeant eux-mêmes leurs serveurs, il a fallu bloquer l'accès à leurs services. Jusqu'à lundi pour ceux qui n'ont installé le patch qu'aujourd'hui . »

Une opération qui aurait pu être réalisée il y a six mois. Beaucoup font d'ailleurs endosser la responsabilité du fléau Sapphire aux possesseurs de machines infectées. Pour les acteurs de ce secteur, Sapphire, après Nimda et Code Red , n'est en fait qu'un épisode dans une longue série d'attaques à venir.