En novembre 1988, Internet, alors embryonnaire, a été secoué par une cyberattaque sans précédent. Retour sur l’histoire du Morris Worm, à l’origine involontaire d’un chaos numérique.
À l’occasion de la journée mondiale pour la protection des données, il est bon de se rappeler que les cyberattaques ne sont pas toutes jeunes. Bien qu’involontaire, la première d’entre elles a eu lieu le 2 novembre 1988, à l’époque où l’Arpanet devient petit à petit l’Internet, avec seulement 60 000 machines connectées et un usage majoritairement universitaire. C’est aussi le moment d’une première prise de conscience de l’importance de protéger services et données en ligne.
Un étudiant brillant, une erreur fatale
Tout commence à l’automne 1988, lorsque Robert Tappan Morris, étudiant en informatique à l’Université Cornell aux États-Unis, conçoit un programme expérimental. L’objectif du brillant jeune homme de 23 ans est simple : évaluer la taille d’un Internet balbutiant, qui comptait alors environ 60 000 machines connectées. Pour ce faire, il développe un « ver informatique » capable de se répliquer et de se propager d’un ordinateur à l’autre.
Le ver n’était pas malicieux, il ne venait rien détruire. Il était à la fois un travail académique, et sans doute une manière de montrer les failles de sécurité, se souvient Julian Onions, programmeur et docteur en astrophysique.
Mais une erreur dans le code de Robert T. Morris rend le ver incontrôlable : il commence à infecter les mêmes machines à répétition, provoquant des surcharges insupportables pour les ordinateurs, qui crashent en boucle. Cette chose est survenue et, soudainement, un grand nombre d’ordinateurs ont été attaqués, retrace Julian Onions. En quelques heures, le Morris Worm ralentit ou paralyse près de 6 000 machines à travers le monde, soit 10 % des ordinateurs connectés à Internet à l’époque.
Le problème était qu’il infectait des machines, puis essayait d’en infecter d’autres, puis revenait réfinfecter les précédentes. Il y avait de plus en plus de copies de ce ver qui tournaient sur l’ordinateur.
Le chaos numérique
Parmi les institutions touchées, des noms prestigieux : Harvard, Stanford, la NASA, ou encore le Lawrence Livermore National Laboratory. « C’est en quelque sorte un événement de transition dans l’histoire d’Internet, car jusqu’à ce moment-là, cela n’avait été qu’un réseau académique où tout le monde s’entendait très bien. Nous partagions tous des données, des programmes, et nous nous aidions mutuellement », continue Julian Onions. Le tout avec des niveaux de sécurité assez faibles et sans doute un peu de naïveté.
Les fonctions vitales des universités et des systèmes militaires se sont retrouvées ralenties jusqu’à l’asphyxie. Les emails ont été retardés de plusieurs jours, raconte le FBI.
Les administrateurs système, pris de court, tentent désespérément de comprendre la source de l’attaque et d’enrayer la propagation. Mais le ver de Morris se diffuse facilement : il exploite plusieurs failles dans des logiciels Unix couramment utilisés, comme Sendmail, un programme de messagerie électronique, et Finger, un service permettant d’obtenir des informations sur les utilisateurs. La propagation du ver « a bien été aidée par le fait que tout le monde ou presque utilisait les mêmes ordinateurs, des modèles VAX », précise également l’astrophysicien.
J’ai examiné le réseau et découvert que deux mille ordinateurs avaient été infectés en l’espace de quinze heures. Ces machines étaient totalement paralysées, inutilisables tant qu’elles n’étaient pas désinfectées. Et supprimer le virus prenait souvent deux jours, se rappelle l’informaticien Clifford Stoll, dans son livre The Cuckoo’s Egg.
Le premier procès pour cybercriminalité
Dans la panique, Robert Tappan Morris se rend compte de son erreur et tente de prévenir discrètement des contacts. « Ironiquement, peu de personnes ont reçu le message à temps parce que le réseau avait été gravement endommagé par le ver », lit-on sur le site du FBI. Et pour l’étudiant, dont le père était un cryptographe reconnu et l’un des premiers experts en cybersécurité, les choses se sont rapidement compliquées. Le coût estimé de désinfection pour chaque « installation » fut estimé entre 200 et 53 000 $, soit un total situé dans une fourchette de 100 000 à 10 millions de dollars, selon la cour d’appel et Clifford Stoll, un des informaticiens ayant contribué à la réparation des systèmes infectés.
Rapidement identifié par le FBI comme le créateur du ver, Robert Tappan Morris est jugé en vertu du tout nouveau Computer Fraud and Abuse Act de 1986, une loi destinée à lutter contre les crimes numériques. Son procès fait grand bruit : c’est la première fois qu’un individu est condamné pour ce type d’acte. Sa sentence ? Trois ans de probation, 400 heures de travaux d’intérêt général et une amende de 10 050 dollars (environ 25 000 dollars actuels). Une peine relativement clémente, qui reflète sans doute l’absence d’intention malveillante derrière le Morris Worm.
Un événement marquant pour la cybersécurité
« Le ver Morris a été un électrochoc. Pour beaucoup, c’est à ce moment-là qu’il y a eu une prise de conscience de l’importance de sécuriser les systèmes », estime Eugene Spafford, professeur en sciences informatiques et expert en cybersécurité, dans l’épisode 23 du podcast Malicious Life de Cybereason. Le Washington Post rappelle qu’à l’époque, « la sécurité Internet était considérée comme un problème principalement théorique et les éditeurs de logiciels considéraient les failles de sécurité comme une priorité secondaire ».
Avant que Morris ne libère son ver, Internet ressemblait à une petite ville où les gens n’hésitaient pas à laisser leurs portes déverrouillées.
Pour le média étatsunien, « le ver Morris a détruit cette complaisance ». Même son de cloche du côté du FBI : « Cet épisode a eu un impact énorme sur un pays qui commençait tout juste à comprendre à quel point les ordinateurs étaient devenus importants – et vulnérables. » En réponse directe à ces nouveaux défis, les États-Unis créent leur premier centre de réponse aux urgences informatiques, à Pittsburgh, sous la direction du Département de la défense. Robert Tappan Morris, lui, a su rebondir, même s’il est resté particulièrement discret sur cet événément, refusant les demandes d’interview même des années après. Devenu entrepreneur, il co-fondera Viaweb, racheté 49 millions de dollars par Yahoo! pour devenir Yahoo! Store, co-créera également l’incubateur Y Combinator, d’où sont sortis Reddit, Airbnb ou encore Dropbox
Source : BDM
