En décembre 1989, Eddy Willems travaillait pour une compagnie d'assurance en Belgique lorsqu'il a inséré une disquette dans son ordinateur. Elle faisait partie des 20 000 disquettes envoyées par courrier aux participants à la conférence sur le SIDA organisée par l'Organisation mondiale de la santé à Stockholm et le patron de Willems lui avait demandé de vérifier son contenu. Willems s'attendait à voir des recherches médicales lorsque le contenu du disque se chargerait. Au lieu de cela, il a été victime du premier acte de ransomware, plus de 30 ans avant que l'attaque par ransomware contre le US Colonial Pipeline n'entraîne une pénurie de gaz dans certaines régions des États-Unis la semaine dernière.Eddy Willems a reçu en décembre 1989 une disquette qui a changé sa vie. Son patron la lui a donnée après avoir trouvé l'étiquette intrigante : « SIDA version 2.0 », une maladie nouvelle et étrange à l'époque. L'entreprise, basée à Anvers, en Belgique, vendait entre autres des assurances médicales et certaines statistiques sur le SIDA pourraient s'avérer lucratives, pensait le patron. Il a donc demandé à Willems, 27 ans, de tester le logiciel. Willems a inséré la disquette en plastique noir de 5,25 pouces dans son PC. Il lance le programme, répond à toute une enquête destinée à déterminer si une personne peut être infectée par le sida ou non. « Et c'était tout. Je me suis dit : OK, rien de vraiment spécial ici. Je vais probablement la jeter », dit Willems. Rapidement, il a éteint l'ordinateur et est rentré chez lui.
Lorsqu'il a allumé son ordinateur le jour suivant, Willems a remarqué qu'il y avait moins de dossiers, mais il n'y a pas prêté attention. Le troisième jour, cependant, lorsqu'il a démarré son ordinateur, quelque chose d'étrange s'est produit. « Il y avait un message à l'écran me demandant de payer. Il me demandait d'envoyer 189 dollars à une boîte postale au Panama, sinon je ne pourrais plus utiliser mon ordinateur. J'ai pensé : Qu'est-ce que c'est ? », raconte Willems. Il éteint l'ordinateur et utilise une disquette de démarrage pour le redémarrer. Il a constaté que ses répertoires étaient toujours là, mais qu'ils étaient cachés et que les noms des fichiers avaient été remplacés par des chaînes de caractères aléatoires. Heureusement, le contenu de ses fichiers n'était pas altéré, seuls leurs noms semblaient bizarres. « J'ai pensé : C'était du chiffrement. Mais c'était complètement ridicule. Le programme n'avait pas été créé par un vrai informaticien », dit-il.
Willems a écrit un petit script pour restaurer les noms des fichiers. « Il m'a fallu en fait dix minutes pour résoudre ce fichu problème », dit-il. Ensuite, il est retourné voir son patron et lui a dit qu'il y avait peut-être un bug dans le programme SIDA. « J'ai dit que la disquette ne nous était d'aucune utilité et que je la jetais ».
Ce disque était l'un des 20 000 envoyés par courrier aux participants à la conférence sur le SIDA organisée par l'Organisation mondiale de la santé à Stockholm
Le cheval de Troie du SIDA, le premier ransomware
Il était loin de se douter que le cheval de Troie SIDA, également connu sous le nom de PC Cyborg, faisait des ravages dans le monde entier. On pense que 20 000 passionnés d'informatique, institutions de recherche médicale et chercheurs qui ont participé à la conférence internationale de l'OMS sur le SIDA à Stockholm ont reçu des disquettes comme celle de Willems. Les forces de l'ordre ont remonté jusqu'à une boîte postale appartenant à un biologiste évolutionniste de Harvard, Joseph Popp, qui menait des recherches sur le SIDA à l'époque. Popp a été arrêté pour avoir diffusé le virus informatique, accusé de plusieurs chefs d'accusation de chantage. Il a toutefois été déclaré mentalement inapte à être jugé.
Lorsque Willems a vu les noms de ses fichiers chiffrés, il n'a pas pensé qu'il s'agissait d'un problème de sécurité. Quelques jours plus tard seulement, il a regardé un reportage sur une chaîne de télévision belge expliquant l'ampleur de ce qui se passait. Il a été interviewé par des journalistes et bientôt, sa méthode a été utilisée non seulement en Belgique, mais aussi dans des pays lointains comme le Japon. « J'ai commencé à recevoir des appels d'institutions et d'organisations médicales me demandant comment je m'y prenais pour le contourner. L'incident a créé beaucoup de dégâts à l'époque. Les gens ont perdu beaucoup de travail. Ce n'était pas une chose mineure, c'était une grosse affaire, même à l'époque », a déclaré Willems, qui a développé la première solution antivirus commerciale au monde en 1987. Eddy Willem est aujourd'hui expert en cybersécurité chez G Data.
Le stratagème a fait la une des journaux et a été publié dans Virus Bulletin, un magazine de sécurité destiné aux professionnels, un mois plus tard : « Si la conception est ingénieuse et extrêmement sournoise, la programmation réelle est assez peu soignée », indique l'analyse. Bien qu'il s'agisse d'un logiciel malveillant assez basique, c'était la première fois que de nombreuses personnes entendaient parler de ce concept ou d'extorsion numérique. On ignore si des personnes ou des organisations ont payé la rançon. Les disquettes ont été envoyées à des adresses dans le monde entier à partir d'une liste de diffusion.
« Même à ce jour, personne ne sait vraiment pourquoi Joseph Popp a fait cela », a déclaré Willems, notant combien il aurait été coûteux et long d'envoyer ce nombre de disquettes à autant de personnes. « Il a été très influencé par quelque chose. Peut-être quelqu'un d'autre était-il impliqué ; en tant que biologiste, comment avait-il l'argent pour payer toutes ces disquettes ? Était-il en colère contre la recherche ? Personne ne le sait », ajouté Willem.
Après son arrestation à l'aéroport Schiphol d'Amsterdam, Popp a été renvoyé aux États-Unis et emprisonné. Il aurait déclaré aux autorités qu'il avait prévu de faire don de l'argent de la rançon à la recherche sur le sida. Ses avocats ont également fait valoir qu'il n'était pas en état d'être jugé ; il aurait porté des préservatifs sur son nez et des bigoudis dans sa barbe pour prouver qu'il était malade, selon la journaliste Alina Simone. Popp est mort en 2007.
Eddy Willems avec sa disquette originale avec ransomware de 1989
Un héritage qui va grandissant avec l'apparition des cryptomonnaies
L'affaire est devenue un grand sujet de discussion et l'héritage de son crime persiste à ce jour. Le ministère américain de la Justice a récemment déclaré que 2020 était « la pire année à ce jour pour les attaques de ransomware ». Les experts en sécurité pensent que les attaques par ransomware contre les entreprises et les particuliers vont continuer à se développer, car elles sont faciles à exécuter, difficiles à tracer et les victimes peuvent être exploitées pour beaucoup d'argent. Les rançongiciels font généralement des ravages sur les systèmes informatiques après qu'une personne a cliqué sur un lien malveillant et installé sans le savoir un logiciel ou à partir d'une vulnérabilité sur un serveur obsolète.
L'un des plus gros problèmes des ransomwares aujourd'hui est que les rançons sont souvent payées avec des cryptomonnaies, comme le bitcoin, qui sont échangées de manière anonyme et non traçable. Alors que la plupart des activités de ransomware à grande échelle proviennent de groupes criminels organisés, comme c'est le cas avec le pipeline américain, Popp semble avoir agi seul. « Plus qu'un véritable cerveau criminel, il était ce que l'on pourrait classer comme un "acteur isolé", par opposition à un syndicat du crime organisé ou à un acteur parrainé par un État. Ses motivations semblaient être très personnelles... Il avait manifestement des sentiments forts à l'égard du SIDA et de la recherche sur le SIDA », a déclaré Michela Menting, directrice de recherche au cabinet d'études de marché ABI Research.
La disquette, qui fait désormais partie de l'histoire de la cybersécurité et qui est probablement l'une des rares qui subsistent au monde, est accrochée au mur du salon de Willems. « Un musée m'a proposé 1 000 dollars pour l'acquérir, mais j'ai décidé de le garder », a-t-il déclaré.
Source : Virus Bulletin
Et vous ?
Qu’en pensez-vous ?Voir aussi :
Victime d'un ransomware, une entreprise paie des millions aux cybercriminels pour restaurer ses fichiers.L'entreprise se fait attaquer à nouveau par le même ransomware et paie encore 2021 sera l'année du "ransomware 2.0", avec des attaques de plus en plus agressives, une ingénierie sociale plus professionnelle et des malwares plus innovants, selon G DATA CyberDefense Pourquoi le ransomware a toujours autant de succès : plus d'un quart des victimes paient la rançon d'un million de dollars en moyenne pour restaurer leurs réseaux L'activité des logiciels malveillants augmente à mesure que les attaquants deviennent plus impitoyables, s'en prenant désormais aux entités publiques surchargées, notamment le secteur de l'éducation Les cybercriminels gagnent plus de 3*milliards de dollars par an en se servant de l'ingénierie sociale, selon un rapport
Envoyé par xor AX AX
