Nous sommes le 4 mai 2000. Le monde respire enfin. Le fameux Bug de l'an 2000, qui devait nous renvoyer à l'âge de pierre, s'est révélé être un pétard mouillé. L'informatique va bien, merci pour elle.
À l'époque, Internet est encore un endroit un peu innocent. On se connecte avec des modems qui font des bruits de fax (bip-boup-crrrr), on chatte sur MSN, et surtout : recevoir un email est encore un événement excitant.
C'est dans ce contexte de douce naïveté que, soudainement, des millions de boîtes de réception à travers le monde affichent le même objet, en lettres capitales : ILOVEYOU.
La tentation irrésistible
Imaginez la scène. Vous êtes au bureau, il est 9h du matin, vous buvez votre café tiède. Une notification apparaît.
Objet : ILOVEYOU.
Pièce jointe : LOVE-LETTER-FOR-YOU.TXT.vbs.
Votre cerveau, ce grand romantique (ou grand curieux), se met immédiatement à imaginer des choses. Est-ce cette collègue du troisième étage ? Un amour secret ? Une erreur ? La curiosité l'emporte. Vous cliquez.
En quelques secondes, ce n'est pas l'amour qui frappe à votre porte, mais le chaos absolu.
Une épidémie mondiale à la vitesse de la lumière
Le virus "ILOVEYOU" ne s'est pas contenté d'infecter quelques PC de passionnés. Il a provoqué une véritable réaction en chaîne mondiale, suivant la course du soleil.
Parti des Philippines au petit matin, il a ravagé Hong Kong, puis l'Europe au réveil des bureaux, avant de traverser l'Atlantique pour paralyser les États-Unis.
L'ampleur fut biblique. Le Pentagone, la CIA, le Parlement britannique, Ford, L'Oréal... Des géants intouchables ont dû débrancher leurs serveurs en urgence. On estime que 10 % des ordinateurs connectés à Internet dans le monde ont été infectés ce jour-là.
Les dommages ? Environ 10 milliards de dollars. Pour une lettre d'amour, l'addition est salée.
Le génie du mal (ou de la psychologie)
Techniquement, comment ça marchait ? C'était d'une simplicité désarmante.
Contrairement aux virus modernes ultra-complexes, "ILOVEYOU" n'utilisait pas de faille de sécurité sophistiquée. Il utilisait une faille bien plus grande et impossible à "patcher" : la nature humaine.
Une fois la pièce jointe ouverte, le script (un petit programme VBScript) faisait deux choses :
- Il écrasait vos fichiers images et musiques (adieu photos de vacances et MP3 téléchargés illégalement).
- Il allait chercher votre carnet d'adresses Outlook et s'envoyait automatiquement à tous vos contacts.
C'était là le coup de génie. Le virus n'arrivait pas d'un inconnu louche. Il arrivait de votre patron, de votre mère, ou de votre meilleur ami. "Si c'est Michel qui me l'envoie, c'est sûr, je peux ouvrir !" C'est ce qu'on appelle aujourd'hui l'ingénierie sociale : pirater l'humain plutôt que la machine.
Le coupable : Un cerveau criminel ?
Qui était derrière cette attaque digne d'un film de James Bond ? Un groupe de hackers russes ? Une agence gouvernementale ?
Non. Il s'appelait Onel de Guzman. C'était un étudiant philippin de 24 ans, fauché, qui vivait dans un quartier modeste de Manille.
Son but n'était même pas de détruire le monde. Dans sa thèse de fin d'études (qui avait été rejetée par ses profs), il avait théorisé un programme pour voler des mots de passe afin d'accéder à Internet gratuitement, car il n'avait pas les moyens de se payer un abonnement. Il a lâché sa créature dans la nature, sans doute sans imaginer qu'elle deviendrait incontrôlable.
Une fin mémorable
L'histoire se termine par un pied de nez judiciaire hallucinant. Le FBI a rapidement retrouvé sa trace à Manille. Mais à l'époque, aux Philippines, il n'existait absolument aucune loi contre le piratage informatique. Techniquement, Onel n'avait commis aucun crime répertorié dans le code pénal local.
Il a été relâché, libre comme l'air. Lors d'une conférence de presse surréaliste, lunettes noires sur le nez et visage caché par un mouchoir, il a bredouillé qu'il avait peut-être fait une erreur "par accident".
"On ne change pas une équipe qui gagne : la curiosité tuera toujours plus de chats (et de PC) que n'importe quelle ligne de code."
Vingt-cinq ans plus tard, la leçon reste cuisante. Nous avons installé des antivirus, des pare-feux et des systèmes de sécurité biométriques. Mais si demain matin, vous recevez un email titré "PHOTOS COMPROMETTANTES DE TON VOISIN", il y a de fortes chances que votre doigt hésite encore sur le clic de la souris.