Qu'est-ce que le ver Morris? Comment un homme a détruit le Web accidentellement en 1988

En novembre 1988, Robert Tappan Morris, fils du célèbre cryptographe Robert Morris Sr., était âgé de 20 ans environ et diplômé à Cornell. Il voulait savoir quelle était la taille de l'Internet, c'est-à-dire combien d'appareils y étaient connectés. Il a donc écrit un programme qui irait d’un ordinateur à l’autre et demanderait à chaque machine de renvoyer un signal à un serveur de contrôle, ce qui permettrait de compter.

Le programme a bien fonctionné - trop bien en fait. Morris savait que s’il voyageait trop vite, il pouvait y avoir des problèmes, mais les limites qu’il avait établies ne suffisaient pas à empêcher le programme de boucher de larges pans d’Internet, à la fois en se copiant sur de nouvelles machines et en renvoyant ces pings. Quand il a compris ce qui se passait, même ses messages n’avaient pas averti les administrateurs système du problème.

Son programme est devenu le premier d'un type particulier de cyberattaque appelé «déni de service distribué», dans lequel un grand nombre d'appareils connectés à Internet, y compris des ordinateurs, des webcams et d'autres gadgets intelligents, sont invités à envoyer beaucoup de trafic à une adresse donnée. en le surchargeant de tant d’activités que le système s’arrête ou que ses connexions réseau sont complètement bloquées.

En tant que président du programme intégré de cybersécurité de l'Université d'Indiana, je peux dire que ce type d'attaques est de plus en plus fréquent aujourd'hui. À bien des égards, le programme de Morris, connu de l’histoire sous le nom de «ver Morris», a ouvert la voie aux vulnérabilités cruciales et potentiellement dévastatrices de ce que moi et d’autres avons appelé «l’Internet de tout».

Déballer le ver Morris

Les vers et les virus sont similaires mais diffèrent d'une manière clé: un virus a besoin d'une commande externe, d'un utilisateur ou d'un pirate informatique, pour exécuter son programme. Un ver, en revanche, frappe le sol tout seul. Par exemple, même si vous n'ouvrez jamais votre programme de messagerie, un ver qui parvient sur votre ordinateur peut en envoyer une copie à tous les utilisateurs de votre carnet d'adresses.

À une époque où peu de gens étaient préoccupés par les logiciels malveillants et où aucun logiciel de protection n'était installé, le ver Morris s'est rapidement répandu. Les chercheurs de Purdue et de Berkeley ont mis 72 heures pour arrêter le ver. Durant cette période, des dizaines de milliers de systèmes ont été infectés, soit environ 10% des ordinateurs connectés à Internet. Nettoyer l’infection coûte des centaines ou des milliers de dollars pour chaque machine touchée.

Dans la clameur de l'attention des médias sur ce premier événement du genre, la confusion était grande. Certains journalistes ont même demandé si des personnes pouvaient contracter l’infection par ordinateur. Malheureusement, de nombreux journalistes n’ont pas acquis beaucoup plus de connaissances sur le sujet au cours des décennies écoulées.

Morris n’essayait pas de détruire Internet, mais les effets généralisés du ver lui avaient valu d’être poursuivi en justice en vertu de la nouvelle loi sur la fraude et les abus informatiques. Il a été condamné à trois ans de probation et à une amende de 10 000 dollars environ. À la fin des années 1990, cependant, il est devenu millionnaire dans le domaine des «points» - et est maintenant professeur au MIT.

Menaces à la hausse

Internet reste sujet à des attaques DDoS beaucoup plus fréquentes et plus invalidantes. Avec plus de 20 milliards d'appareils de tous types, des réfrigérateurs aux voitures, en passant par les suivis de fitness, connectés à Internet et des millions d'autres connectés chaque semaine, le nombre de failles et de vulnérabilités en matière de sécurité explose.

En octobre 2016, une attaque par DDoS utilisant des milliers de webcams piratées - souvent utilisée pour la sécurité ou la surveillance de la présence de bébés - a bloqué l'accès à un certain nombre de services Internet importants le long de la côte est des États-Unis. Cet événement était l'aboutissement d'une série d'attaques de plus en plus dommageables utilisant un réseau de zombies ou un réseau de périphériques compromis, contrôlé par un logiciel appelé Mirai. L’internet d’aujourd’hui est beaucoup plus vaste, mais pas beaucoup plus sûr, que celui de 1988.

Certaines choses ont en fait empiré. Déterminer qui est derrière des attaques particulières n’est pas aussi facile que d’attendre que cette personne s’inquiète et envoie des excuses et des avertissements, comme l’a fait Morris en 1988. Dans certains cas - ceux qui sont assez grands pour mériter une enquête approfondie - il est possible d’identifier les coupables. On a finalement découvert qu'un trio d'étudiants avait créé Mirai pour gagner des avantages en jouant Minecraft jeu d'ordinateur.

Combattre les attaques DDoS

Mais les outils technologiques ne suffisent pas, pas plus que les lois et réglementations relatives aux activités en ligne, y compris la loi en vertu de laquelle Morris a été inculpé. Les douzaines de lois fédérales et fédérales en vigueur dans le domaine de la cybercriminalité ne semblent pas encore avoir réduit le nombre total ni la gravité des attaques, en partie à cause de la nature mondiale du problème.

Des efforts sont en cours au Congrès pour permettre aux victimes d’attaques, dans certains cas, de prendre des mesures de défense actives - notion qui présente de nombreux inconvénients, notamment le risque d’escalade - et de renforcer la sécurité des appareils connectés à Internet. Mais le passage est loin d'être assuré.

Il y a cependant de quoi espérer. À la suite du ver Morris, l’Université Carnegie Mellon a mis sur pied la première équipe d’intervention en cas d’urgence cybernétique au monde, qui a été reproduite au sein du gouvernement fédéral et dans le monde entier. Certains décideurs politiques envisagent de créer un conseil national de sécurité pour la cybersécurité, chargé d'enquêter sur les faiblesses de l'informatique numérique et d'émettre des recommandations, à l'instar du Conseil national de la sécurité des transports lors de catastrophes aériennes.

De plus en plus d’organisations prennent également des mesures préventives, adoptant les meilleures pratiques en matière de cybersécurité lorsqu’elles construisent leurs systèmes, plutôt que d’attendre l’apparition d’un problème et d’essayer d’y remédier par la suite. Si davantage d'organisations considéraient la cybersécurité comme un élément important de la responsabilité sociale des entreprises, elles - ainsi que leur personnel, leurs clients et leurs partenaires commerciaux - seraient plus en sécurité.

Dans 3001: l'odyssée finale Arthur C. Clarke, auteur de science-fiction, a imaginé un avenir dans lequel l’humanité enfermerait la pire de ses armes dans un coffre-fort sur la Lune - qui contiendrait un espace pour les virus informatiques les plus malins jamais créés. Avant la prochaine itération du ver Morris ou de Mirai, la société de l'information moderne a subi des dommages immenses, il appartient à chacun - gouvernements, entreprises et particuliers - de définir des règles et des programmes prenant en charge la cybersécurité généralisée, sans attendre encore 30 ans.

Cet article a été publié à l'origine sur The Conversation par Scott Shackelford. Lisez l'article original ici.