La Nasa, l’agence spatiale américaine, a toujours été une cible de choix pour les hackers. Mais en ce mois d’octobre 1989, quelque chose est différent. Un ver informatique dénommé Wank — pour Worms Against Nuclear Killers — se répand d’ordinateur en ordinateur sur le réseau de la Nasa, le Span (Space physics analysis network). Un drôle de message s’affiche sur la bannière d’accueil du terminal de commande des victimes: « Your system has been officially WANKed », avec une précision en dessous (en anglais dans le message original) : « Vous parlez tout le temps de la paix, mais vous préparez la guerre ».
Puis les utilisateurs voient défiler sur l’écran la mention deleted file à chaque suppression de fichier. Dans son bulletin d’alerte, le Cert américain signale que ce malware « profite d’une mauvaise gestion des mots de passe et se propage à d’autres systèmes ».
Perturber les cibles avec des blagues potaches
Un an après le ver informatique Morris, considéré comme le premier du genre, c’est-à-dire un programme destiné à se répliquer de machine en machine, Wank est-il un nouveau virus destructeur ? Pas tout à fait. Le programme n’est pas aussi dangereux qu’il cherche à le faire croire. En fait, il ne supprime aucun fichier. Plus perturbateur qu’autre chose, Wank semble au contraire avoir pour but de donner la peur de leur vie à ses cibles. Il lance également de drôles de messages, comme « Le FBI vous surveille », « Votez anarchiste » ou « Rien n’est plus rapide que la vitesse de la lumière : pour vous en convaincre, essayez d’ouvrir la porte du réfrigérateur avant que la lumière ne s’allume ». Un goût du potache signé dans le nom même du ver, un terme d’argot désignant la masturbation.
Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et d’éduquer vos collaborateurs à la cybersécurité.
Du gestionnaire de mots de passe à la sécurisation des e-mails en passant par la formation continue ou les simulations d’attaques, cette solution regroupe tous les outils pour prévenir les risques cyber.
Autant d’indices qui laissent à penser que Wank est l’une des premières manifestations de l’hacktivisme, cette forme de militantisme qui s’appuie sur le piratage informatique pour pousser ses causes. L’intrusion du ver sur le réseau de la Nasa précède en effet de quelques jours le lancement de la sonde Galileo. Une mission spatiale justement contestée par des militants anti-nucléaires qui s’inquiétaient de la présence de plutonium dans l’engin spatial. Son lancement sera finalement reporté par deux fois en raison de « problèmes techniques » et de la météo.
Un leurre conçu pour faire s’auto-détruire le ver
Pour contrer Wank, un premier chercheur, Kevin Oberman, met au point une première parade. Il s’agit de simuler la présence du ver pour le stopper. Wank est programmé pour s’auto-détruire quand il détecte déjà son installation sur une machine. Mais une nouvelle variante du ver repart à l’assaut de la Nasa. Dans l’indifférence générale (tout du moins en France), un informaticien français, Bernard Perrot, va finalement coder le bon vaccin.
Il épluche, pendant un weekend, le code du ver. « Un programme qui nécessitait une bonne connaissance du système », indique-t-il à Numerama. L’ingénieur met finalement au point un leurre qui lance une instruction d’auto-destruction à Wank. Il suffit de modifier un des fichiers système des machines qui fera buger le ver en cas d’intrusion. « C’est une injection de code par les données, avec une instruction perverse qui provoquait une expansion de variable », résume l’informaticien.
Si Wank visait d’abord la Nasa, il commençait à toucher par ricochet les ordinateurs du réseau Hepnet, très utilisé par des laboratoires de physique nucléaire, interconnecté avec le Span. D’où l’intérêt de Bernard Perrot, qui travaille alors à l’Institut de physique nucléaire d’Orsay. La trouvaille est aussitôt exploitée par la Nasa. Elle est d’ailleurs si ingénieuse qu’elle vaudra à l’ingénieur, qui l’a appris quelques années plus tard, d’être ajouté à la liste des suspects du FBI. Le service fédéral de police judiciaire se demande en effet pendant un temps si Wank n’est pas venu de France.
Plusieurs Australiens suspectés
Trente ans plus tard, on ignore toujours avec certitude l’identité du créateur de Wank. Mais il y a quand même de très sérieux suspects, tous Australiens. Le ver fait en effet référence par deux fois au groupe australien Midnight Oil, célèbre pour son engagement écologiste.
A l’époque, trois hackers sont justement dans le viseur de la police locale. Il s’agit de Richard Jones (alias Electron), Nahshon Even-Chaim (Phoenix), et David Woodcock (Nom). Ils seront poursuivis pour des piratages informatiques et des intrusions dans le réseau de l’agence spatiale américaine, mais sans toutefois qu’un lien avec le ver Wank ne soit formellement établi. Comme le rappellent les journalistes Guillaume Ledit et Olivier Tesquet dans leur portrait du lanceur d’alerte australien, le fondateur de Wikileaks Julian Assange — alors connu sous le pseudonyme de « Mendax » — fait également partie des suspects.
« Est-ce qu’Assange était derrière Wank, se demandent les reporters David Leigh et Luke Harding. Peut-être (…). En 1991 il était certainement le hacker le plus chevronné d’Australie ». Seule certitude : le lanceur d’alerte a suivi de près l’affaire du ver. Le livre fouillé qu’il a co-écrit avec la chercheuse australienne Suelette Dreyfus, retrace de manière très précise l’attaque informatique. Avant de clore la question de l’attribution par une formule énigmatique. « Comme de nombreux hackers australiens, le créateur du ver Wank a émergé des ombres de l’underground informatique, s’est levé momentanément dans la brume, puis a disparu à nouveau. »
Ceci est le 4e volet de notre série « Les 5 affaires qui ont marqué la cybersécurité. Le premier était consacré à Cryptolocker, le premier ransomware moderne. Le 2e a un logiciel vérolé que les Américains ont volontairement refilé aux Soviétiques pendant la guerre froide et le 3e à la menace Michelangelo.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !