Embouteillage monstre sur le Net : les internautes ont passé un très mauvais week-end les 25 et 26 janvier. Slammer, également connu sous le nom de « Sapphire » , est l'arme d'une attaque par déni de service distribué (DDoS) de grande ampleur : 12000 serveurs infectés les dix premières minutes, 130000 au bout de deux heures. Si Slammer a été très virulent en Asie et aux États-Unis, il a aussi ralenti les accès aux réseaux en France.

Ce ver exploite une faille connue de Microsoft SQL Server 2000, pour laquelle il existe un correctif depuis l'été dernier. Comme Code Red, Slammer réside dans la RAM et ne détruit aucun fichier. Il exploite le port UDP 1434, qui permet de faire communiquer les serveurs SQL entre eux par l'intermédiaire de SQL Server Resolution Service, et envoie une requête mal formée provoquant un dépassement de mémoire tampon. Une fois installé, il s'autoréplique en balayant dans une boucle sans fin les adresses IP afin de trouver d'autres serveurs SQL. Résultat, cet envoi continu de paquets met le réseau à genoux. Pourquoi tant d'ennuis avec une faille répertoriée ? « C'est toujours laborieux d'appliquer une rustine sur une base de données en production. Les administrateurs hésitent car la rustine peut entraîner d'autres bugs et il faut arrêter le serveur », justifie Marc Blanchard, directeur européen des Trend Labs. « Le concepteur de Slammer a compris qu'il fallait frapper très vite et très fort. Ce type d'attaque, qui vise à mettre le réseau en difficulté, est de plus en plus à la mode », estime François Paget, chercheur antivirus chez Network Associates. Rendez-vous à la prochaine, donc.