Ce week-end avait lieu une date mémorable : les 25 ans du premier malware d’ordinateur qui s’était tellement répandu qu’il avait fait la une de l’actualité. Le fameux ver Morris, créé par un élève de l’Université de Cornell, a infecté pas moins de 10 % des ordinateurs connectés à l’époque. Pour être plus précis, cela représentait un ordinateur sur 60 000. Cela peut paraître peu de nos jours, mais ce cas » préhistorique » est en réalité très important, étant donné les techniques utilisées : un DDoS, des exploits, des technologies intuitives, des mots de passe obtenus par force brute et d’autres techniques largement utilisées par les malwares modernes. De plus, cela s’est terminé par la première condamnation aux États-Unis sous la loi » 1986 Computer Fraud and Abuse Act « .
Crédit photo : intel free pressla disquette contenant le code source du ver Morris est maintenant conservée dans le Musée des sciences de Boston
Grâce à YouTube, nous pouvons voir comment cette histoire avait été relayée par la télévision en 1986….
… et maintenant, l’histoire du point de vue de la sécurité.
Un étudiant de l’Université Cornell, appelé Robert Tappan Morris, a décidé » d’évaluer la taille d’Internet « . Pour réaliser cette tâche, il a créé un programme assez compliqué, qui était capable de se reproduire au sein du réseau et d’éviter qu’un tiers essaie de l’arrêter. Il est facile de constater que cette fonctionnalité correspond exactement à la définition du » ver d’ordinateur « . Le ver Morris n’a pas été développé pour causer des dommages, cependant, une erreur de programmation a mené à de multiples infections sur un seul ordinateur, surchargeant ainsi le serveur qui ne répondait plus. Ça ressemble à un DDoS, non ?
Pour se répandre sur Internet, le ver a utilisé la même technologie que son arrière petit-fils : l’exploitation de vulnérabilités. Dans le cas du ver Morris, on comptait trois vulnérabilités différentes exploitées. Des bugs dans l’exécution de Finger et l’implémentation de Sendmail dans les systèmes Unix ont permis de contrôler à distance le code d’exécution. Si ces tactiques n’étaient pas concluantes, le ver essayait alors d’utiliser rsh – un remote shell, couramment utilisé pour une administration à distance. Il est nécessaire d’utiliser un mot de passe et un identifiant pour utiliser le rsh, afin que le ver Morris puisse les » craquer » par force brute. Des résultats impressionnants ont été obtenus en utilisant seulement un petit dictionnaire de 400 mots, ainsi que quelques options comme un mot de passe identique au nom d’utilisateur ou en utilisant les mêmes lettres dans un ordre inversé. Beaucoup de personnes n’ont pas conscience qu’un mot de passe fort est essentiel et il y a 25 ans, même certains administrateurs de système n’étaient pas conscients de cela.
Une fois introduit dans l’ordinateur, le ver changeait son nom de processus, effaçant ainsi temporairement les fichiers et prenant d’autres mesures pour se cacher, notamment en chiffrant ses données dans la mémoire. Une des premières actions qu’il réalisait après le lancement était de vérifier si l’ordinateur avait déjà été infecté. Lorsque d’autres copies étaient découvertes, il « lançait les dés » pour décider laquelle détruire. Il s’agissait peut-être d’une erreur de Morris ou d’une mesure pour contrecarrer les vaccinations. Néanmoins, une des sept copies arrêtait de jouer à » survivre » et continuait son opération sans tenir compte des autres copies. Une décision qui menait aux mêmes effets qu’un DDoS. Un coefficient de 1/7 était bien trop élevé et beaucoup d’ordinateurs ont été infectés des douzaines de fois.
Bien qu’ils n’étaient pas préparés pour un ver, et cela aussi bien techniquement parlant que de manière conceptuelle, les administrateurs de système américains ont agi rapidement. Deux groupes de travail ont été créés à la MIT et à l’UC de Berkley, et il n’a fallu que deux jours pour trouver et réparer les vulnérabilités utilisées par le ver et pour le supprimer. De manière générale, ce fut la fin du ver. Cependant, le coût de la suppression de l’infection est estimé entre 100 000 et 10 millions de dollars.
Fait assez intéressant, les efforts de Morris pour être anonyme ont été un succès. Mais c’était sans compter sur son père, Robert Morris, le co-auteur d’UNIX OS et le chef scientifique du centre de sécurité informatique nationale de la NSA. Il a convaincu son fils de se rendre. La Cour l’a pris en compte, et la sentence pour Morris Junior n’a pas été trop lourde : trois ans de liberté conditionnelle, une amende de 10 000 dollars et 400 heures de travaux d’intérêts généraux. Cette leçon s’est révélée être utile pour Morris, qui est devenu un membre respecté de la communauté informatique. Parmi ses créations, on compte la réalisation d’une des premières plateformes de commerce en ligne Viaweb (vendu par la suite à Yahoo et renommé Yahoo Store), la création d’une startup de recherche appelée Y Combinator, et enfin sa participation au développement de nouveaux langages programmés et un poste de professeur au MIT.