Robert Tappan Morris : Comment le fils d'un expert NSA a planté Internet avec 99 lignes de code
-
Vous n’en avez peut-être pas conscience, mais c’est le 2 novembre 1988, qu’Internet a perdu son innocence. Ce jour-là, un étudiant de Cornell a lâché dans la nature un programme qui allait mettre à genoux 10% du réseau mondial et changer à jamais notre perception de la sécurité informatique.
Son nom ? Robert Tappan Morris. Et son arme ? Un ver informatique qui porte aujourd’hui son nom.
Derrière cette attaque qui a fait trembler les 60 000 ordinateurs connectés à l’époque (oui, c’est tout !), se cache une histoire bien plus complexe qu’un simple acte de vandalisme numérique. C’est l’histoire d’un fils de génie, d’une expérimentation qui a mal tourné, et d’une prise de conscience collective qui a façonné l’Internet que nous connaissons aujourd’hui.
Robert Tappan Morris Jr. n’était pas n’importe qui. Né le 8 novembre 1965, ce jeune prodige a baigné dans l’informatique depuis son plus jeune âge. Et pour cause, son père, Robert Morris Sr., était une légende vivante de la cryptographie. Chercheur chez Bell Labs de 1960 à 1986, papa Morris a contribué au développement d’Unix, créé le langage dc, le programme crypt, et même conçu le système de chiffrement des mots de passe Unix. Un CV qui fait rêver, non ?
– Robert Tappan Morris en 2008Mais attendez, ça devient encore plus intéressant puisqu’au moment où le jeune Robert écrivait son fameux ver, son père occupait le poste de Chief Scientist au National Computer Security Center de la NSA. Oui, vous avez bien lu, pendant que le fils hackait Internet, le père était le responsable scientifique de la sécurité informatique de l’agence de renseignement américaine la plus puissante.
Ironie du sort ou coïncidence embarrassante ? À vous de décider.
Le jeune Morris avait lui-même un parcours brillant. Diplômé de Harvard en juin 1988, il était arrivé à Cornell pour poursuivre ses études en informatique. Mais voilà, notre ami avait une idée derrière la tête : créer un programme capable de se propager automatiquement sur le réseau pour en mesurer la taille. Une sorte de recensement numérique, en quelque sorte. Noble intention ? Peut-être. Exécution catastrophique ? Totalement.
Le 2 novembre 1988, à 20h30 précises donc, Morris junior lance son ver depuis le MIT. Pourquoi le MIT alors qu’il étudiait à Cornell ? C’est simple, il espérait brouiller les pistes et faire croire que l’attaque venait du Massachusetts. Malin, mais pas suffisamment pour échapper au FBI qui remontera rapidement jusqu’à lui.
– Le MIT d’où Robert Morris a lancé son ver.
Techniquement parlant, le ver Morris était une vraie petite merveille d’ingéniosité car il exploitait plusieurs vulnérabilités des systèmes Unix de l’époque. D’abord, il s’attaquait à une backdoor dans le mode debug du programme sendmail. Cette porte dérobée avait été laissée par Eric Allman, le créateur de sendmail, qui l’avait mise en place en 1985 pour pouvoir débugger son programme sur des machines où les administrateurs ne lui donnaient pas accès. Il avait juste oublié de la retirer avant la distribution massive du programme. Oups !
Ensuite, le ver exploitait un buffer overflow dans le service finger. C’était l’une des premières utilisations malveillantes connues de cette technique qui allait devenir le pain quotidien des hackers pendant des décennies.
Mais le plus beau là-dedans, c’est la méthode de propagation par mot de passe. Le ver contenait un dictionnaire de 900 mots de passe courants et pouvait tester des variations simples comme le nom d’utilisateur inversé. Il récupérait le fichier des mots de passe chiffrés et tentait de les craquer systématiquement. Si ça marchait, il utilisait ces identifiants pour se connecter à d’autres serveurs où l’utilisateur avait un compte. Très malin encore une fois !
Le ver exploitait aussi les connexions sans mot de passe via rsh et rexec, une pratique courante à l’époque où la confiance régnait encore sur le réseau.
Pourtant, Morris avait prévu un mécanisme pour éviter que son ver ne surcharge les machines. Avant d’infecter un système, le programme vérifiait s’il était déjà présent. Le problème c’est que Morris craignait que des administrateurs malins ne créent de fausses réponses positives pour se protéger, du coup, il a programmé son ver pour se réinstaller quand même dans 14% des cas, peu importe la réponse.
Résultat, les machines se retrouvaient infectées des dizaines de fois, ralentissant jusqu’à devenir complètement inutilisables. Et en 24 heures, environ 6 000 des 60 000 ordinateurs connectés à Internet étaient touchés. C’est pas top quand au départ on voulait juste compter les machines…
Vous vous en doutez, l’impact a été immédiat et dévastateur. Des universités prestigieuses comme Harvard, Princeton, Stanford, Berkeley, le MIT et bien sûr Cornell ont vu leurs systèmes tomber les uns après les autres. La NASA, le Lawrence Livermore National Laboratory et même des installations militaires ont été touchés. Le coût estimé pour nettoyer chaque installation variait entre 200 et 53 000 dollars. Au total, les dégâts ont été évalués entre 100 000 et 10 millions de dollars. Rien que ça…
– Le code source du ver est exposé au Computer History Museum
Fun fact, c’est grâce à cette attaque que le New York Times a utilisé pour la première fois le terme “Internet” dans ses colonnes le 5 novembre 1988, le décrivant comme “des systèmes reliés par un groupe international de réseaux de communications informatiques”. Avant ça, on parlait plutôt d’ARPANET ou de “réseau de réseaux”.
Morris s’est alors rapidement rendu compte que son expérience avait dérapé. Paniqué, il a contacté un ami pour qu’il envoie un message anonyme expliquant comment arrêter le ver. Mais c’était trop tard… le réseau était déjà largement paralysé et le message n’a pas pu circuler.
Le FBI ne mit pas longtemps à remonter jusqu’à lui et Morris devint ainsi la première personne poursuivie et condamnée en vertu du Computer Fraud and Abuse Act de 1986. En décembre 1990, il écopa de trois ans de mise à l’épreuve, 400 heures de travaux d’intérêt général et 10 050 dollars d’amende. Il a échappé à la prison, mais sa réputation était faite.
L’incident a eu des conséquences majeures pour l’écosystème Internet. La DARPA a financé la création du CERT/CC (Computer Emergency Response Team Coordination Center) à Carnegie Mellon, donnant aux experts un point central pour coordonner les réponses aux urgences réseau. C’était le début de l’ère de la cybersécurité moderne.
Et Morris dans tout ça ? Et bien contre toute attente, il a rebondi de manière spectaculaire. Il a co-fondé Viaweb avec Paul Graham et Trevor Blackwell, l’une des premières applications web qui sera rachetée par Yahoo! pour devenir Yahoo! Store. Il a ensuite co-fondé Y Combinator, l’incubateur de startups le plus prestigieux de la Silicon Valley qui a lancé Dropbox, Airbnb, Reddit et des dizaines d’autres succès.
En 2006, Morris a obtenu un poste de professeur titulaire au MIT, dans le département d’ingénierie électrique et d’informatique. L’homme qui avait lancé son attaque depuis le MIT pour brouiller les pistes y enseigne donc maintenant officiellement. Puis en 2019, il a été élu à la National Academy of Engineering, consécration ultime pour un ingénieur américain.
Son père, Robert Morris Sr., est décédé en 2011 à l’âge de 78 ans, laissant derrière lui un héritage remarquable en cryptographie et sécurité informatique. Il avait même participé à la cyber-offensive contre Saddam Hussein avant la guerre du Golfe de 1991. Bref, une famille de hackers au service du bien et du mal, en quelque sorte.
Le ver Morris reste un moment charnière dans l’histoire d’Internet. Il a marqué la fin de cette époque bénie où on pouvait faire confiance par défaut et aujourd’hui, aucun acteur sérieux de l’informatique ne considère la sécurité comme optionnelle. Les pare-feu, antivirus, systèmes de détection d’intrusion et autres mesures de protection sont devenus la norme.
Bref, si vous vous connectez aujourd’hui à Internet sans craindre qu’un ver ne paralyse votre machine en quelques minutes, c’est bizarrement aussi grâce à Robert Morris et son expérience ratée de 1988.
– Source :
https://korben.info/robert-morris-ver-informatique-histoire.html
