Table des matières
Le 2 novembre 1988, à 20 h 30, un étudiant diplômé en informatique de 23 ans de l’Université Cornell exécutait un petit programme depuis un terminal du Massachusetts Institute of Technology.
Il avait écrit le programme lui-même. Il pensait que cela ferait quelque chose d’intéressant et d’inoffensif : se propager silencieusement sur les premiers Internet, compter le nombre d’ordinateurs qu’il pourrait atteindre et rendre compte discrètement. Il s’agissait de 99 lignes de code, écrites en C. Il y travaillait depuis des mois.
Quelques heures après son retour pressant, environ 6 000 des 60 000 ordinateurs connectés à Internet étaient tombés en panne. Les universités sont devenues sombres. Les laboratoires gouvernementaux ont déconnecté leurs câbles réseau en panique. Les administrateurs système de Californie, du Massachusetts, du Maryland et de l’Illinois ont passé la nuit à essayer de comprendre ce qui détruisait leurs machines et pourquoi les éteindre et les rallumer ne les aidait pas.
Le nom de l’étudiant diplômé était Robert Tappan Morris. Le programme qu’il a publié est connu depuis sous le nom de Morris Worm. C’était la première fois que quelqu’un cassait Internet.
Ce qu’il essayait réellement de faire
Il vaut la peine d’être clair sur ce que Morris voulait dire, car l’histoire a souvent été racontée comme une attaque délibérée et ce n’était pas le cas.
Morris voulait mesurer la taille d’Internet. En 1988, personne ne savait réellement quelle était la taille du réseau – alors appelé ARPANET –. D’un petit projet de recherche du Pentagone, il était devenu un projet reliant des universités, des laboratoires de recherche et des sites militaires à travers le pays, mais le nombre exact de machines connectées était une question de conjecture.
L’idée de Morris était élégante. Écrivez un programme qui pourrait tranquillement passer d’un ordinateur à l’autre, s’installer, renvoyer un petit signal et passer à autre chose. À la fin, vous auriez un recensement précis des premiers Internet. Il s’agissait, sur le plan conceptuel, d’une expérience informatique mobile autant que d’un logiciel malveillant.
Il l’a publié depuis un terminal du MIT plutôt que depuis Cornell, où il étudiait réellement – une précaution destinée à dissimuler l’origine du programme si quelqu’un le remarquait en cours d’exécution.
Pour faire son travail, le ver a exploité des vulnérabilités connues dans trois programmes Internet courants de l’époque : sendmail (qui gérait le courrier électronique), fingerd (qui permettait aux utilisateurs de rechercher des informations sur d’autres utilisateurs) et les outils d’exécution à distance rsh/rexec. Il a également tenté de déchiffrer les mots de passe faibles sur les systèmes qu’il a atteint. Aucune de ces techniques n’était propre à Morris – les chercheurs en sécurité écrivent à leur sujet depuis des années. Il les a simplement intégrés dans un programme qui pourrait les utiliser pour se propager.
Ce qui n’a pas fonctionné résidait dans un seul choix de conception.
La seule ligne qui a tout cassé
Morris prévoyait que certains administrateurs système, une fois qu’ils auraient compris ce qui se passait, pourraient tenter de défendre leurs machines en usurpant un signal « Je suis déjà infecté », demandant au ver de les ignorer. Pour vaincre cette défense, il a programmé le ver avec une règle : dans environ 1 cas sur 7, il doit ignorer la réponse « déjà infecté » et réinfecter quand même la machine.
L’intention était raisonnable. Le chiffre était catastrophique.
Un taux d’ignorance de 1 sur 7 – environ 14 % – était beaucoup trop élevé. Les ordinateurs déjà infectés étaient réinfectés encore et encore, parfois des dizaines de fois. Chaque nouvelle copie du ver engendrait de nouveaux processus. Chaque nouveau processus consommait plus de CPU et de mémoire. En quelques heures, les machines infectées exécutaient tellement de copies du ver qu’elles manquaient de ressources pour faire autre chose. Ils se sont simplement grippés.
Pire encore, le ver était extraordinairement doué pour se propager. Dès qu’une machine d’un réseau était infectée, elle atteignait rapidement toutes les machines connectées. Les universités ont constaté qu’éteindre un seul ordinateur n’aidait pas : les autres utilisateurs du même réseau le réinfecteraient simplement dès qu’il reviendrait en ligne. La seule défense efficace consistait à déconnecter physiquement complètement les machines d’Internet.
Au matin du 3 novembre, environ 6 000 ordinateurs – soit environ 10 % de toutes les machines alors connectées à Internet – étaient soit paralysés, soit complètement hors ligne.
Les conséquences
Il a fallu des jours pour prendre pleinement conscience de l’ampleur de ce qui s’était passé.
Les universités ont perdu du temps de calcul valant des millions de dollars en argent de 1988. Les sites de recherche de défense ont été partiellement fermés au noir. La jeune communauté d’administrateurs système – dont la plupart n’avaient jamais rien vu qui ressemble à un programme malveillant – communiquait par téléphone et par fax pour comprendre ce qui se passait, puisque le courrier électronique lui-même était l’une des choses attaquées.
Au moment où le ver était contenu et les infections éliminées, Morris avait été identifié. Son père, Robert Morris Sr., était un cryptographe principal à la National Security Agency – un détail biographique qui, lorsqu’il est devenu public, a ajouté une étrangeté indubitable à l’histoire. Le fils de l’un des experts américains en sécurité informatique les plus respectés avait accidentellement fait planter Internet.
Morris a été poursuivi en vertu de la loi récemment adoptée sur la fraude et les abus informatiques et est devenu la première personne jamais condamnée en vertu de cette loi. Il a été condamné à trois ans de probation, 400 heures de travaux d’intérêt général et une amende d’un peu plus de 10 000 dollars. Il n’a pas été envoyé en prison.
Qu’est-ce qui a changé à cause de ça
Le ver Morris est le moment le plus important de l’histoire de la cybersécurité, car il a mis fin à une époque.
Avant novembre 1988, Internet reposait sur la confiance. Les systèmes reliant les universités et les instituts de recherche avaient été conçus par des personnes qui pensaient que les seules autres personnes présentes sur le réseau étaient des collègues. La sécurité était minime. Les mots de passe étaient souvent des valeurs par défaut. Les programmes qui pouvaient se propager silencieusement entre les machines étaient une curiosité théorique et non une classe d’armes.
Le ver a définitivement mis fin à cette hypothèse. Quelques semaines après l’incident, la Defense Advanced Research Projects Agency a financé la création de l’équipe d’intervention en cas d’urgence informatique (CERT) à l’Université Carnegie Mellon, la première organisation de l’histoire spécifiquement créée pour gérer les incidents de sécurité Internet. Les universités ont commencé à prendre la sécurité des réseaux au sérieux. Le Computer Fraud and Abuse Act a obtenu sa première condamnation et ses premiers véritables effets.
L’industrie moderne de la cybersécurité, à bien des égards, date de cette seule nuit de novembre 1988.
Robert Tappan Morris lui-même est devenu un professeur respecté au MIT – la même institution qu’il avait utilisée pour dissimuler le lancement de son ver – et co-fondateur de Y Combinator, l’influent accélérateur de startups de la Silicon Valley. Il a passé sa carrière, de toute évidence, à effectuer un travail sérieux et précieux en informatique.
Mais pendant 23 heures un mercredi soir de 1988, ses 99 lignes de code ont fait quelque chose que personne n’avait jamais réussi à faire auparavant. Ils ont cassé Internet.
