Lancé par un étudiant taïwanais en 1998, le virus Tchernobyl était programmé pour se déclencher à la date anniversaire de la catastrophe éponyme et effectuer l’équivalent d’une frappe nucléaire sur la machine infectée.

À sa façon, Tchernobyl préfigurait le phénomène des PC zombies, ces machines infectées par un logiciel malveillant capable de rester dissimulé jusqu’à un événement programmé. Ce virus parti de Taïwan est en effet resté inactif jusqu’au 26 avril 1999, date à laquelle il a soudainement mis hors service des milliers d’ordinateurs à travers le monde.

Le virus est baptisé CIH, en référence aux initiales de son inventeur taïwanais Cheng Ing-Hau. S’il a été découvert avant son premier déclenchement,  il semble capable de ravages tels que les commentateurs l’associent rapidement à la catastrophe nucléaire de Tchernobyl en Ukraine. Elle est en effet survenue un 26 avril, la date de déclenchement prévue pour le virus.

Image d'erreur

Chen Ing Hau en 2009. Crédit : Corbet sur LWN.net.

Tchernobyl, qui cible exclusivement les machines équipées de Windows 95 ou Windows 98, est programmé pour paralyser les machines infectées de façon plutôt radicale. Au déclenchement, il commence par écraser le premier mégaoctet de chaque disque dur intégré à la machine pour effacer le Master Boot Record, le secteur contenant à la fois la table des partitions et les instructions visant à charger le système d’exploitation lors de la séquence de démarrage.

Une frappe en deux temps

Pour faire bonne mesure, Tchernobyl intègre également un pan de code chargé d’aller altérer le BIOS stocké sur la carte mère de l’ordinateur, qui se trouve ainsi privé des fonctions nécessaires pour faire fonctionner de concert les différents composants de la machine. À l’époque, bon nombre d’ordinateurs intègrent heureusement une protection visant à n’autoriser le flash du BIOS qu’après déplacement d’un cavalier physique sur la carte mère. Pour les autres, Tchernobyl signifie plus ou moins le rachat d’une carte mère ou, à défaut, sa reprogrammation via un appareil dédié : sans BIOS, point de salut !

Image d'erreur

Un cavalier nu sur une carte-mère. // Source : stockmedia.cc / stockarch.com

Pendant des mois, le virus est distribué par le biais d’exécutables (.exe) modifiés en prenant soin de n’utiliser que les espaces vides du code d’origine, de façon à ce que la taille du fichier infecté soit identique à celle de l’original.

250 000 victimes en Corée du Sud

Vraisemblablement aidé par des groupes de pirates pas forcément bien intentionnés, le virus CIH a notamment circulé via des démos de jeux vidéo, pourtant distribuées par leur éditeur légitime. En avril 99, la chaîne d’informations CNN rapporte que plusieurs ordinateurs IBM neufs vendus sur le sol américain dissimulaient une copie de Tchernobyl.

L’étendue exacte de l’onde de choc est difficile à déterminer, mais les médias de l’époque font état de centaines de milliers d’ordinateurs infectés par Tchernobyl et ses différentes variantes, particulièrement en Asie. Au lendemain de l’attaque, la BBC évoque par exemple 250 000 victimes pour la seule Corée du Sud.

Après sa frappe initiale du 26 avril 1999, Tchernobyl poursuivra ensuite sa carrière sous différentes variantes pendant quelques années, mais sans réussir à provoquer de dommages aussi importants. On trouve d’ailleurs encore son code source sur Github. Cheng Ing-Hau sera quant à lui arrêté par la police taïwanaise à deux reprises et relâché faute de plainte déposée à son encontre.

Crédit photo de la une : Le site de Tchernobyl, Ingmar Runge via Wikipedia

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !