Morris : retour sur le premier ver informatique

• Print
• Twitter
• Linkedin

Il y a 30 ans, le 2 novembre 1988, le tout premier ver informatique de l’histoire, appelé Morris (du nom de son concepteur, un étudiant nommé Robert Tappan Morris) était lancé à partir du célèbre MIT (Massachusetts Institute of Technology) et distribué dans le monde via Internet dont l’existence était encore limitée à des cercles militaires, universitaires et de recherche.

Initialement conçu uniquement pour se propager, le ver s’est révélé dangereux à cause de plusieurs erreurs de code, et a entrainé des dommages (panne, interruption de connexion pendant plusieurs jours, dégâts sur les machines, etc.) sur quelques 6000 machines, ce qui représentait à l’époque 10% des 60 000 machines connectées à Internet dans le monde, incluant les ordinateurs des universités et des agences gouvernementales.

Mais le ver Morris a surtout été rendu célèbre puisqu’il a ouvert à la première condamnation par la loi américaine en vertu de la Computer Fraud and Abuse Act de 1986. Les dommages ayant été évalués entre 10 et 100 millions de dollars et Robert Tappan Morris finalement condamné à une peine de probation de 3 ans, et 10 000 dollars d’amende.

Pour Grégory Cardiet, expert IA chez Vectra Networks, « Les vers informatiques font partis du paysage des menaces informatiques depuis 30 ans. Nous ne sommes pas face à un phénomène nouveau, mais leur capacité à se propager comme une traînée de poudre ouvre toujours des perspectives très alléchantes pour les cyberattaquants, notamment pour propager des charges malveillantes sur les réseaux très rapidement. Il suffit de demander à n’importe quelle entreprise touchée par WannaCry quelle a été l’ampleur et la rapidité de l’impact, ainsi que les perturbations causées. Ainsi, cette technique a une longévité extraordinaire, et nous continuerons à la voir utilisée comme une composante des attaques opportunistes. Pourquoi ? Parce qu’un trop grand nombre d’entreprises demeurent incapables de repérer les comportements des cyberattaquants : les activités de reconnaissance sur les réseaux, et encore moins les mouvements latéraux des vers. De plus, les analystes ne peuvent opérer à la vitesse et à l’échelle requises pour identifier manuellement la menace et la bloquer avant que le mal soit fait.

La bonne nouvelle est que la technologie est enfin en train de répondre au problème, 30 ans après… L’automatisation, alimentée par l’intelligence artificielle est de plus en plus déployée pour surveiller et détecter en permanence et en temps réel de tels comportements d’attaque, et automatiser tout ou partie des actions de quarantaine et de correction nécessaires. L’intelligence artificielle ne remplace pas l’humain. Elle lui apporte tout simplement des capacités d’analyse de traitement dont un cerveau humain ne peut pas disposer. Cela confère à la machine la capacité d’intervenir beaucoup plus rapidement, pour contenir une attaque à ses prémices puis de gérer un incident de sécurité potentiellement, voire complétement paralysant pour l’entreprise. »

Les entreprises prennent-elles la cybersécurité au sérieux ? 

Pour Alex Hinchliffe, analyste des risques à l’Unité 42, unité de recherches de Palo Alto Networks : « Il a fallu attendre que le ver de Morris mette Internet à genoux en 1988 pour que nous commencions tous à comprendre ce qu’une application malveillante comme ce ver pouvait réaliser. Ce fut un premier signal fort sur l’importance que devait occuper la cybersécurité en entreprise.Toutefois hélas, trente ans plus tard, des attaques similaires se produisent encore ! WannaCry et Mirai en sont deux exemples flagrants. Et le pire est qu’il y a toujours des sociétés qui utilisent les mêmes protections basiques que les victimes du ver de Morris ; à savoir des mots de passe trop faibles. »

Les entreprises continuent de subir attaque informatique sur attaque informatique, et l’émergence de solutions comme le cloud computing, le BYOD (Bring Your Own Device) ou l’IOT (Internet of Things) ne font que rendre ces sociétés encore plus exposées qu’auparavant.

« Se baser sur les mots de passe comme seule ligne de défense exposent les entreprises au vol d’identité et/ou à d’autres failles de sécurité importantes, surtout quand les individus utilisent le même mot de passe pour plus d’un site, ou des mots de passe similaires. Les entreprises doivent impérativement adopter l’authentification à deux facteurs ou à plusieurs facteurs comme une pratique standard. Il est également intéressant de noter que la diffusion du ver de Morris s’est arrêtée le jour suivant sa première détection en raison d’une mise à jour logicielle, qui a réparé les vulnérabilités utilisées par le malware pour prendre le contrôle. Les entreprises doivent patcher régulièrement et avoir impérativement des systèmes en place pour détecter la mise à disposition d’un nouveau patch par un éditeur », considère Raphael Bousquet, Vice-président Europe du Sud, Israël et Russie chez Palo Alto Networks.