Comment la sécurité a évolué : l’histoire du ver informatique ILOVEYOU | Blog officiel de Kaspersky

Chronique e-mail menaces Microsoft Outlook ver informatique vulnérabilités

Replongeons-nous dans nos souvenirs et retournons en mai 2000. Une journée comme une autre au travail : vous allumez votre ordinateur, vous vous connectez à Internet et vous ouvrez le dernier e-mail d’un client que vous avez reçu dans votre boîte de réception Microsoft Outlook. Un message ayant comme objet « ILOVEYOU » attire immédiatement votre attention. Sûrement la déclaration d’amour d’une personne que vous connaissez… Peut-être quelqu’un qui êtes dans votre classe… Non, encore mieux ! Votre ancienne patronne.

Qui que ce soit, ce message a éveillé votre curiosité. Vous décidez de cliquer sur le fichier joint « LOVE-LETTER-FOR-YOU.TXT.VBS » et… rien ne se passe. Pourtant, un peu plus tard, vous vous rendez compte que d’importants documents stockés dans votre disque dur ont subi des dommages irréparables et que plusieurs lettres d’amour ont été envoyées en votre nom… à tous les contacts de votre répertoire.

Exemple d'un message contenant le ver informatique ILOVEYOU

Un e-mail avec le ver informatique ILOVEYOU ressemblait à cela avec l’ancienne version de messagerie électronique de Windows. Source

ILOVEYOU n’était pas le premier programme malveillant qui exploitait une faille dans le service de messagerie électronique de Microsoft, mais il a sans aucun doute provoqué la plus grande épidémie de virus informatique du début du millénaire.

Le contexte : Internet est la technologie la plus à la mode

L’an 2000… C’était il y a longtemps ! Maintenant que nous sommes en 2022, on a l’impression que c’était la préhistoire. De nos jours, vous pouvez consulter les copies archivées des sites de cette époque ou ressortir un vieil ordinateur sous Windows 98 pour vous souvenir des programmes que vous utilisiez. On dirait l’âge de pierre, vous ne trouvez pas ? En fait, pas vraiment. Évidemment, les technologies utilisées au début du millénaire étaient primitives par rapport à ce que nous connaissons aujourd’hui. La grande majorité des utilisateurs se connectaient au net via un modem, et la connexion était extrêmement lente. Pourtant, les prototypes de presque tous les services de réseau actuels existaient déjà à l’époque.

On ne pouvait pas regarder des vidéos en streaming, ni écouter la radio sur Internet. Il y avait tout de même un vaste choix de services de messagerie instantanée. Le commerce sur Internet se développait à toute vitesse, même s’il était plus facile d’appeler un magasin que de commander sur le site.

De façon générale, en 2000, n’importe quelle technologie réseau, ou tout service ayant le préfixe « e- » (pour électronique) attirait l’attention et les investisseurs. Puis il y a eu quelques déceptions en 2001 lorsque plusieurs start-ups Internet ont fait faillite. L’industrie a un peu perdu en médiatisation mais a pris plus de sens.

Le célèbre film Vous avez un message, sorti en 1998, est un très bon indicateur puisqu’il montre à quel point Internet était répandu à cette époque. Un film à mi-chemin entre la comédie romantique et l’annonce publicitaire du géant de l’époque, America Online.

Dans le cadre de cette rétrospective, il est important de comprendre que l’accès à Internet n’était plus un privilège à la fin des années 90. En 2000, des centaines de millions d’utilisateurs naviguaient déjà en ligne. Ainsi, les e-mails étaient déjà un outil de communication et de collaboration important pour les entreprises et pour les organismes publics, mais aussi pour de nombreux particuliers.

En mai 2000, cette « transformation numérique », comme on l’appelle désormais, a soudainement été interrompue par l’apparition du virus ILOVEYOU. De nombreuses entreprises ont dû fermer temporairement leurs serveurs de messagerie électronique, puisqu’ils étaient tout simplement incapables de gérer le flux entrant de dizaines de milliers de messages d’amour.

Les prédécesseurs : Concept.B et Melissa

À proprement parler, ILOVEYOU devrait être classé comme un ver informatique de réseau : un programme malveillant qui se propageait sur le réseau. L’infection initiale, simplement effectuée à l’aide d’un programme VBScript, était une autre caractéristique principale de ILOVEYOU. À son tour, VBScript reposait sur l’idée encore plus ancienne des macros : essentiellement, de simples programmes qui vous permettent d’automatiser certaines actions spécifiques, notamment lorsque vous travaillez sur des documents.

Les macros sont généralement utilisées pour réaliser des calculs complexes dans les tableurs, comme Microsoft Excel. Depuis toujours, les macros ont toujours été compatibles avec Microsoft Word, notamment pour générer automatiquement des rapports à partir des données saisies dans un formulaire.

En 1995, le virus WM/Concept.A a exploité cette fonctionnalité de Word. Ce virus macro a infecté les documents Microsoft Word qui, une fois ouverts, affichaient le message suivant :

Message qui s'affichait lorsque l'utilisateur ouvrait un document infecté par le virus macro Concept.A

Conséquences du virus macro Concept.A. Source

C’est tout. Il n’y avait aucune fonctionnalité malveillante ; juste une fenêtre assez embêtante qui ne cessait de s’ouvrir. L’ancien employé de Microsoft Steven Sinofsky, responsable du développement des solutions de la suite bureautique de l’entreprise entre 1998 et 2006, parle dans ses mémoires de Concept.A comme d’un premier signal d’alerte : à ce moment-là, il était évident que l’automatisation des solutions Microsoft pouvait être utilisée à son détriment. Par conséquent, l’entreprise avait décidé d’afficher un message d’avertissement avant d’exécuter une macro : ce document contient un programme. Voulez-vous l’exécuter ?

Dès que Windows a commencé à restreindre l’exécution des macros, les créateurs de programmes malveillants ont cherché d’autres méthodes qui leur permettraient de contourner ces restrictions. Un autre événement important a eu lieu en mars 1999. Steven Sinofsky décrit de quoi il s’agissait : lorsque vous vérifiez vos e-mails, vous receviez un message avec une pièce jointe ayant comme objet « Message important de… ».

Message infecté par le virus Melissa.

Message infecté par le virus Melissa. Source

Puis vous en receviez un second d’un autre expéditeur. Et encore un autre. C’est à ce moment-là que votre adresse e-mail ne fonctionnait plus : même le serveur de messagerie électronique de Microsoft ne pouvait pas assumer une telle charge. Il s’agissait du ver Internet Melissa. Le document Microsoft Word joint contenait un code malveillant qui envoyait un message via Microsoft Outlook aux 50 premiers contacts de votre répertoire.

Tout était une question d’amour

Le ver informatique ILOVEYOU était une évolution des idées utilisées pour Melissa. Il n’exploitait pas une vulnérabilité des produits Microsoft, mais se servait de fonctionnalités de base. Le seul bug était qu’il n’y avait aucun avertissement lorsque le script était exécuté depuis la messagerie électronique Outlook.

Ce ver ne se contentait pas d’envoyer des messages d’amour à tous les destinataires. En plus des spams envoyés au nom de la victime, il pouvait aussi se propager via le célèbre protocole de communication IRC. De plus, le ver téléchargeait un programme cheval de Troie qui envoyait les mots de passe de l’adresse e-mail et d’un accès à Internet à son créateur. Enfin, il supprimait, cachait ou corrompait les fichiers du disque dur : musique au format MP3, images JPEG, et plusieurs scripts et copies des sites.

Le génie à l’origine du virus ILOVEYOU a ajouté les développements de virus macro antérieurs, a inventé une astuce d’ingénierie sociale (comment ignorer un fichier qui vous dit « je t’aime » ?), a ajouté des fonctionnalités malveillantes et a exploité la propagation automatique du programme malveillant au maximum.

Les rapports présentés par Kaspersky et par les médias à cette époque nous permettent de reconstituer les événements dans l’ordre. Le premier jour, le 4 mai, des milliers de systèmes étaient touchés. Le 9 mai, 2,5 millions d’ordinateurs avaient signalé l’infection, ce qui signifie que des dizaines de millions de messages avaient été envoyés partout dans le monde.

Le créateur du virus n’a même pas essayé de cacher le code malveillant en faisant croire qu’il s’agissait d’un document de bureautique. Le fichier nommé « LOVE-LETTER-FOR-YOU.TXT.VBS » profitait du fait que le service de messagerie électronique de Microsoft n’affichait que le début du nom, comme vous pouvez le voir sur l’image au début de cet article. Le code à l’intérieur était en format ouvert, et des malfaiteurs qui s’y connaissaient l’ont rapidement utilisé pour créer différentes variantes de ce ver Internet. Au lieu de ILOVEYOU, d’autres mots ont commencé à apparaître dans l’objet du message, y compris des avertissements présomptueux de virus. La variante NewLove a été détectée le 19 mai. Elle ne supprimait pas les fichiers de manière sélective mais effaçait complètement toutes les informations du disque dur.

On estime que le virus ILOVEYOU a eu l’impact suivant : jusqu’à 10% des ordinateurs connectés à Internet ont été infectés, et le montant total des dommages (actions destructives des variantes incluses) s’élève à près de 10 milliards de dollars. L’incident a largement été couvert par la presse, et le Sénat américain en a même parlé lors d’une séance.

Des erreurs ont été commises

En 2022, maintenant que nous connaissons toute l’histoire de A à Z, une question se soulève : l’épidémie provoquée par un virus si insignifiant n’aurait-elle pas pu être immédiatement interrompue ? Il a fallu attendre le 8 juin 2000 pour que Microsoft lance une importante mise à jour de sécurité de son service de messagerie électronique Outlook. Celle-ci restreint de façon significative l’exécution de scripts. Toutes les pièces jointes reçues par e-mail sont considérées comme non fiables par défaut, et des contrôles de vérification étaient ajoutés si une application externe accédait au répertoire de Outlook ou essayait d’envoyer plusieurs e-mails en même temps.

À la suite d'une mise à jour publiée en juin 2000, le service de messagerie électronique Outlook avertissait les utilisateurs lorsqu'une application externe accédait au répertoire ou essayait d'envoyer plusieurs messages en même temps.

À la suite d’une mise à jour publiée en juin 2000, le service de messagerie électronique Outlook avertissait les utilisateurs lorsqu’une application externe accédait au répertoire ou essayait d’envoyer plusieurs messages en même temps. Source

Cette mise à jour n’a pas été disponible plus tôt parce que, lorsqu’il s’agissait de choisir entre la sécurité et la commodité, Microsoft optait pour la dernière. Les utilisateurs aussi. En 1995, lorsque Microsoft avait ajouté un simple avertissement dans Microsoft Word (« Ce document contient des macros »), l’entreprise avait reçu divers avis négatifs des clients. Dans certaines entreprises, cet avertissement supplémentaire avait affecté les processus internes basés sur les scripts. C’est pourquoi, même lorsqu’il s’agissait de développer un patch pour ILOVEYOU, Microsoft devait se demander si « cela pouvait nuire aux utilisateurs et bloquer quelque chose ». Pourtant, dans ce cas, il était évident que la sécurité devait être améliorée, et qu’il fallait agir vite.

Un vieux virus, des problèmes actuels

L’épidémie ILOVEYOU a soulevé de nombreuses questions encore pertinentes aujourd’hui dans le domaine de la sécurité de l’information. La plus importante est la suivante : les correctifs peuvent-ils être distribués plus rapidement ? Ce fut un véritable problème. Microsoft avait publié un patch pour Outlook un mois après le début de l’épidémie. Les mécanismes de distribution automatique des mises à jour étaient très rudimentaires, et les infections locales par e-mail ont mis beaucoup de temps à disparaître.

Le secteur des solutions de sécurité avait déjà prouvé son utilité. Comme Eugene Kaspersky le rappelle, on pouvait facilement protéger les utilisateurs qui avaient l’antivirus de l’entreprise. Même à cette époque, un système de distribution en ligne des mises à jour régulières avait été ajouté aux programmes de sécurité, alors que les développeurs d’autres types de programmes n’ont pu intégrer un système similaire de distribution rapide des patchs que plusieurs années après. Un peu plus tard, les méthodes d’analyse heuristique étaient développées pour détecter et bloquer automatiquement les scripts malveillants inconnus.

Même si la sécurité de programmes célèbres et des systèmes d’exploitation s’est nettement améliorée au cours des 22 dernières années, les créateurs de programmes malveillants ne cessent de trouver de nouvelles failles pour que leurs attaques informatiques soient un succès.

Les macros malveillantes existent toujours. En février 2022, Microsoft a finalement promis de restreindre la possibilité de les distribuer. Pour ce faire, l’entreprise a interdit l’exécution des scripts de documents Office obtenus sur Internet. Cette interdiction a été levée en juillet 2022 ; il est raisonnable de croire que les craintes que les développeurs avaient quant au blocage de certaines fonctionnalités pour les utilisateurs sont devenues une réalité. Plus tard en juillet, Microsoft a à nouveau décidé de bloquer les macros par défaut, mais cette fois en expliquant comment contourner l’interdiction si nécessaire.

Il y a beaucoup moins d’épidémies de grande envergure, au cours desquelles un seul programme malveillant affecte des dizaines voire des centaines de millions d’ordinateurs, mais nous ne sommes pas en mesure de complètement les éviter. La monétisation des attaques informatiques a radicalement changé, puisque les données des entreprises et des utilisateurs sont prises en otage et que les cybercriminels demandent une rançon.

Pour conclure cette histoire, voyons brièvement quel a été le destin du créateur du ver informatique Internet ILOVEYOU. Onel de Guzman était un étudiant de 24 ans au moment des faits. En 2000, le FBI a pu déterminer que les messages originaux qui contenaient le ver informatique avait été envoyés à des utilisateurs qui figuraient sur des listes de distribution et qui se trouvaient aux Philippines, tout comme de Guzman. En 2000, il était ajouté à la liste des auteurs suspectés d’avoir créé ILOVEYOU. Il n’a pas été condamné pour deux raisons : le manque de preuve, et l’absence d’un article criminel dans les lois locales de cybercriminalité à cette époque.

En 2020, des journalistes ont retrouvé de Guzman. Il leur a dit, qu’à l’origine, ILOVEYOU n’avait pas de fonction d’envoi de masse pour le répertoire Outlook, et qu’il avait créé ce ver informatique pour voler les mots de passe d’une connexion Internet parce qu’il n’avait pas les moyens d’en payer une. De Guzman n’a jamais réussi à monétiser ses talents malveillants. Lorsque l’article a été publié, il travaillait dans un magasin modeste qui répare les téléphones à Manille.