Ce jour de 1988, le ver Morris a infecté 10 % d’Internet en 24 heures

 (tomshardware.com)
2 points par GN⁺ 2025-11-05 | 1 commentaires | Partager sur WhatsApp
  • Il y a 37 ans, un ver informatique créé par Robert Tappan Morris, alors étudiant de troisième cycle à Cornell, a infecté en 24 heures environ 10 % des systèmes de l’ensemble d’Internet
  • Ce ver visait les systèmes basés sur BSD UNIX et s’est propagé en exploitant une backdoor du système de messagerie électronique et un bug du programme finger
  • Sans détruire de fichiers, il a provoqué surcharge système, ralentissements et pannes, poussant de grandes universités et des instituts de recherche à couper temporairement leurs réseaux
  • À la suite de l’enquête du FBI, Morris a été inculpé pour violation du Computer Fraud and Abuse Act, adopté en 1986, et condamné à une amende, une mise à l’épreuve et des travaux d’intérêt général
  • L’incident est considéré comme le point de départ de l’ère de la cybersécurité et a servi de déclencheur pour mettre en place des procédures de protection des infrastructures Internet et des dispositifs de réponse

L’apparition et la propagation du ver Morris

  • En 1988, un programme créé par Robert Tappan Morris, étudiant de troisième cycle à Cornell, pour mesurer l’ampleur d’Internet s’est propagé de manière imprévue
    • Selon une rétrospective du FBI, cela résultait non d’une intention malveillante mais d’une « erreur de programmation »
    • En 24 heures, le ver a infecté environ 10 % des systèmes d’Internet, provoquant des dégâts considérables à l’échelle de l’époque
  • Morris a piraté un ordinateur du MIT depuis un terminal de Cornell pour diffuser le ver
    • Le FBI a expliqué que cela montrait sa volonté délibérée de préserver son anonymat
  • Le ver était écrit en langage C et attaquait les systèmes BSD UNIX comme VAX et Sun-3
    • Il s’introduisait en exploitant une backdoor du système de messagerie électronique et un bug du programme finger
    • Il possédait des capacités de réplication autonome et de propagation sans programme hôte

Dégâts et réponse

  • Le ver n’a pas supprimé de fichiers, mais il a causé surcharge système, retards de messages et plantages, entraînant une paralysie du réseau
    • Certaines institutions ont procédé pendant une semaine à une réinitialisation complète des systèmes et à une coupure du réseau pour l’éliminer
  • Parmi les organismes touchés figuraient Berkeley, Harvard, Princeton, Stanford, Johns Hopkins, la NASA et le Lawrence Livermore Laboratory
  • Les médias l’ont présenté comme le premier incident de sécurité Internet de grande ampleur

La traque du responsable et les suites judiciaires

  • Tandis que des experts travaillaient à la restauration des systèmes, la traque de l’auteur du ver s’est poursuivie en parallèle
    • Le FBI a identifié Morris comme responsable grâce à l’analyse de fichiers et à des entretiens
  • Morris a tenté de présenter des excuses anonymement, mais son identité a été révélée à cause d’une erreur sur les initiales faite par un ami
  • Il a été inculpé pour violation du Computer Fraud and Abuse Act (CFAA), adopté en 1986
    • En 1989, le tribunal l’a condamné à une amende, une mise à l’épreuve et 400 heures de travaux d’intérêt général

L’environnement Internet de l’époque

  • En 1988, Internet reposait sur NSFNET, une structure de réseau académique qui étendait ARPANET, alors centré sur les usages militaires et de défense
    • Le World Wide Web (WWW) n’existait pas encore
  • On estime qu’environ 60 000 systèmes étaient connectés, dont 6 000 infectés
  • L’ampleur des dommages a été évaluée entre 100 000 dollars et plusieurs millions de dollars
  • NSFNET a été démantelé en 1995, avant le basculement vers l’Internet commercial

Impact et héritage

  • Le ver Morris est considéré comme un tournant de la cybersécurité et a servi de déclencheur à la mise en place de procédures de sécurité et de dispositifs de réponse
  • L’article mentionne aussi le récent ver basé sur l’IA « Morris II », soulignant que l’évolution des vers se poursuit
  • Dans les commentaires de l’article d’origine, des personnes ayant administré des réseaux à l’époque se souviennent de congestion du trafic, interruption des relais de messagerie et perturbations de la collaboration
    • Certains estiment que l’incident a contribué à affaiblir la culture de coopération fondée sur la confiance sur Internet
  • Le ver Morris reste le premier grand incident cyber de l’ère pré-Web et l’un des points de départ de l’industrie moderne de la sécurité

À lire aussi

1 commentaires

 
GN⁺ 2025-11-05
Commentaires sur Hacker News

  • Paul Graham dit que le chiffre de « 10 % d’infection » était à l’époque une pure supposition
    Quelqu’un avait estimé qu’il y avait environ 60 000 ordinateurs connectés à Internet, puis a supposé qu’environ 10 % d’entre eux avaient été infectés

    • Parmi ces 60 000 machines, la plupart n’étaient probablement pas de véritables hôtes connectés, mais des systèmes de connexion d’appoint basés sur UUCP
      60 000 machines accessibles en telnet, c’était déjà énorme à l’époque. J’étais moi-même à la fin de mon adolescence à ce moment-là, et que Dieu bénisse PG

  • J’ai suivi le cours de systèmes distribués du MIT 6.5840 et terminé les travaux pratiques avec les vidéos du cours sur YouTube
    En cherchant le nom du professeur par curiosité, j’ai découvert à quel point c’était une figure légendaire. C’était vraiment un excellent cours

    • Au MIT, RTM était mon chargé de TD. L’un des devoirs portait sur le ver, et c’est à ce moment-là que les étudiants ont réalisé qu’il était l’auteur de ce ver
      Mais il n’en parlait presque jamais
    • Son père aussi était une personnalité connue, scientifique en chef à la NSA
    • Ce serait amusant d’ajouter une session de bidouillage sur les systèmes distribués façon 1988
    • Moi aussi, je suis ce cours en amateur en ce moment. Je ne savais pas qui il était, donc ça m’a surpris
      Le cours est tellement bon que je me demande ce qu’il a fait après

  • Le programme de Morris n’avait pas d’intention malveillante, mais il est malgré tout devenu un tournant dans l’histoire de la cybersécurité
    Une partie des racines de la recherche en sécurité actuelle, des red teams et de la culture grey hat remonte à cet incident

  • Parmi les bonnes ressources sur l’incident, il y a With Microscope and Tweezers: The Worm from MIT's Perspective publié dans le CACM (PDF)
    J’étais stagiaire chez IBM en 1988, et l’entreprise a coupé deux passerelles réseau
    À l’époque, l’idée d’un logiciel auto-réplicatif était très inhabituelle. IBM avait pourtant déjà subi l’année précédente un programme auto-réplicatif, Christmas Tree EXEC

    • Mais les virus diffusés par disquette étaient déjà très répandus

  • À l’époque où j’administrais des systèmes au MIT, cette journée a été vraiment terrifiante et exaltante à la fois

    • Notre responsable technique est arrivé en courant pour nous annoncer la nouvelle du ver, et j’ai entendu dire que si notre pays avait été épargné, c’était parce qu’une personne avait physiquement déconnecté tout l’Internet. À l’époque, il n’y avait qu’une seule ligne de connexion
    • Usenet était incroyablement silencieux ce jour-là. Les bâtiments d’ingénierie aussi
    • WPI n’a pas été infecté, car ses machines principales étaient des Encore Multimax et des DEC-20
    • J’étais dans une salle informatique à Stanford, et j’ai senti les systèmes devenir extrêmement lents peu à peu

  • Selon Wikipedia, Clifford Stoll mentionne dans The Cuckoo’s Egg que Morris travaillait avec des amis de Harvard
    Je me demandais si Paul Graham en avait déjà parlé

    • PG en a parlé dans une interview (lien)
      Le ver lui-même était inoffensif, mais un bug faisait tourner des centaines de copies sur une même machine, ce qui finissait par faire tomber le système
    • PG a aussi mentionné cet incident plusieurs fois dans ses essais (lien de recherche)
    • Dans The Cuckoo’s Egg, il y a une scène où l’auteur rend visite à Robert Morris de la NSA (le père), puis le ver et son fils sont évoqués ensuite

  • Le terme « worm » viendrait du roman de science-fiction de 1975 The Shockwave Rider (lien Wikipedia)

    • Dans ce roman, le ver servait à rendre des informations secrètes publiques, un rôle aujourd’hui davantage tenu par Wikileaks

  • Je pense que Paul Graham était directement impliqué dans cette affaire
    Si on en faisait un film, on dirait que son rôle mériterait d’être joué par un acteur célèbre (billet HN lié)

    • On m’a demandé pourquoi je pensais cela

  • À l’époque, je travaillais comme programmeur système sur le Purdue Engineering Computer Network
    En personnalisant l’OS, nous avons évité une partie des infections du ver, mais la faille du mode debug de sendmail restait un problème

    • La diversité des systèmes, c’est justement le cœur de la sécurité. C’est plus difficile à administrer, mais la défense est bien plus robuste
    • Je me demande s’il y avait déjà KSB à cette époque. C’était vraiment quelqu’un de fascinant

  • J’espérais une explication technique du fonctionnement du ver et des raisons de son échec, mais il n’y en avait pas, ce qui m’a déçu
    J’ai fini par aller voir Wikipedia