IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'histoire étrange de l'inventeur du ransomware
La toute première attaque par ransomware a été lancée sur une disquette

Le , par Nancy Rey

26PARTAGES

9  0 
En décembre 1989, Eddy Willems travaillait pour une compagnie d'assurance en Belgique lorsqu'il a inséré une disquette dans son ordinateur. Elle faisait partie des 20 000 disquettes envoyées par courrier aux participants à la conférence sur le SIDA organisée par l'Organisation mondiale de la santé à Stockholm et le patron de Willems lui avait demandé de vérifier son contenu. Willems s'attendait à voir des recherches médicales lorsque le contenu du disque se chargerait. Au lieu de cela, il a été victime du premier acte de ransomware, plus de 30 ans avant que l'attaque par ransomware contre le US Colonial Pipeline n'entraîne une pénurie de gaz dans certaines régions des États-Unis la semaine dernière.

Eddy Willems a reçu en décembre 1989 une disquette qui a changé sa vie. Son patron la lui a donnée après avoir trouvé l'étiquette intrigante : « SIDA version 2.0 », une maladie nouvelle et étrange à l'époque. L'entreprise, basée à Anvers, en Belgique, vendait entre autres des assurances médicales et certaines statistiques sur le SIDA pourraient s'avérer lucratives, pensait le patron. Il a donc demandé à Willems, 27 ans, de tester le logiciel. Willems a inséré la disquette en plastique noir de 5,25 pouces dans son PC. Il lance le programme, répond à toute une enquête destinée à déterminer si une personne peut être infectée par le sida ou non. « Et c'était tout. Je me suis dit : OK, rien de vraiment spécial ici. Je vais probablement la jeter », dit Willems. Rapidement, il a éteint l'ordinateur et est rentré chez lui.

Lorsqu'il a allumé son ordinateur le jour suivant, Willems a remarqué qu'il y avait moins de dossiers, mais il n'y a pas prêté attention. Le troisième jour, cependant, lorsqu'il a démarré son ordinateur, quelque chose d'étrange s'est produit. « Il y avait un message à l'écran me demandant de payer. Il me demandait d'envoyer 189 dollars à une boîte postale au Panama, sinon je ne pourrais plus utiliser mon ordinateur. J'ai pensé : Qu'est-ce que c'est ? », raconte Willems. Il éteint l'ordinateur et utilise une disquette de démarrage pour le redémarrer. Il a constaté que ses répertoires étaient toujours là, mais qu'ils étaient cachés et que les noms des fichiers avaient été remplacés par des chaînes de caractères aléatoires. Heureusement, le contenu de ses fichiers n'était pas altéré, seuls leurs noms semblaient bizarres. « J'ai pensé : C'était du chiffrement. Mais c'était complètement ridicule. Le programme n'avait pas été créé par un vrai informaticien », dit-il.

Willems a écrit un petit script pour restaurer les noms des fichiers. « Il m'a fallu en fait dix minutes pour résoudre ce fichu problème », dit-il. Ensuite, il est retourné voir son patron et lui a dit qu'il y avait peut-être un bug dans le programme SIDA. « J'ai dit que la disquette ne nous était d'aucune utilité et que je la jetais ».

Ce disque était l'un des 20 000 envoyés par courrier aux participants à la conférence sur le SIDA organisée par l'Organisation mondiale de la santé à Stockholm


Le cheval de Troie du SIDA, le premier ransomware

Il était loin de se douter que le cheval de Troie SIDA, également connu sous le nom de PC Cyborg, faisait des ravages dans le monde entier. On pense que 20 000 passionnés d'informatique, institutions de recherche médicale et chercheurs qui ont participé à la conférence internationale de l'OMS sur le SIDA à Stockholm ont reçu des disquettes comme celle de Willems. Les forces de l'ordre ont remonté jusqu'à une boîte postale appartenant à un biologiste évolutionniste de Harvard, Joseph Popp, qui menait des recherches sur le SIDA à l'époque. Popp a été arrêté pour avoir diffusé le virus informatique, accusé de plusieurs chefs d'accusation de chantage. Il a toutefois été déclaré mentalement inapte à être jugé.

Lorsque Willems a vu les noms de ses fichiers chiffrés, il n'a pas pensé qu'il s'agissait d'un problème de sécurité. Quelques jours plus tard seulement, il a regardé un reportage sur une chaîne de télévision belge expliquant l'ampleur de ce qui se passait. Il a été interviewé par des journalistes et bientôt, sa méthode a été utilisée non seulement en Belgique, mais aussi dans des pays lointains comme le Japon. « J'ai commencé à recevoir des appels d'institutions et d'organisations médicales me demandant comment je m'y prenais pour le contourner. L'incident a créé beaucoup de dégâts à l'époque. Les gens ont perdu beaucoup de travail. Ce n'était pas une chose mineure, c'était une grosse affaire, même à l'époque », a déclaré Willems, qui a développé la première solution antivirus commerciale au monde en 1987. Eddy Willem est aujourd'hui expert en cybersécurité chez G Data.

Le stratagème a fait la une des journaux et a été publié dans Virus Bulletin, un magazine de sécurité destiné aux professionnels, un mois plus tard : « Si la conception est ingénieuse et extrêmement sournoise, la programmation réelle est assez peu soignée », indique l'analyse. Bien qu'il s'agisse d'un logiciel malveillant assez basique, c'était la première fois que de nombreuses personnes entendaient parler de ce concept ou d'extorsion numérique. On ignore si des personnes ou des organisations ont payé la rançon. Les disquettes ont été envoyées à des adresses dans le monde entier à partir d'une liste de diffusion.

« Même à ce jour, personne ne sait vraiment pourquoi Joseph Popp a fait cela », a déclaré Willems, notant combien il aurait été coûteux et long d'envoyer ce nombre de disquettes à autant de personnes. « Il a été très influencé par quelque chose. Peut-être quelqu'un d'autre était-il impliqué ; en tant que biologiste, comment avait-il l'argent pour payer toutes ces disquettes ? Était-il en colère contre la recherche ? Personne ne le sait », ajouté Willem.

Après son arrestation à l'aéroport Schiphol d'Amsterdam, Popp a été renvoyé aux États-Unis et emprisonné. Il aurait déclaré aux autorités qu'il avait prévu de faire don de l'argent de la rançon à la recherche sur le sida. Ses avocats ont également fait valoir qu'il n'était pas en état d'être jugé ; il aurait porté des préservatifs sur son nez et des bigoudis dans sa barbe pour prouver qu'il était malade, selon la journaliste Alina Simone. Popp est mort en 2007.

Eddy Willems avec sa disquette originale avec ransomware de 1989


Un héritage qui va grandissant avec l'apparition des cryptomonnaies

L'affaire est devenue un grand sujet de discussion et l'héritage de son crime persiste à ce jour. Le ministère américain de la Justice a récemment déclaré que 2020 était « la pire année à ce jour pour les attaques de ransomware ». Les experts en sécurité pensent que les attaques par ransomware contre les entreprises et les particuliers vont continuer à se développer, car elles sont faciles à exécuter, difficiles à tracer et les victimes peuvent être exploitées pour beaucoup d'argent. Les rançongiciels font généralement des ravages sur les systèmes informatiques après qu'une personne a cliqué sur un lien malveillant et installé sans le savoir un logiciel ou à partir d'une vulnérabilité sur un serveur obsolète.

L'un des plus gros problèmes des ransomwares aujourd'hui est que les rançons sont souvent payées avec des cryptomonnaies, comme le bitcoin, qui sont échangées de manière anonyme et non traçable. Alors que la plupart des activités de ransomware à grande échelle proviennent de groupes criminels organisés, comme c'est le cas avec le pipeline américain, Popp semble avoir agi seul. « Plus qu'un véritable cerveau criminel, il était ce que l'on pourrait classer comme un "acteur isolé", par opposition à un syndicat du crime organisé ou à un acteur parrainé par un État. Ses motivations semblaient être très personnelles... Il avait manifestement des sentiments forts à l'égard du SIDA et de la recherche sur le SIDA », a déclaré Michela Menting, directrice de recherche au cabinet d'études de marché ABI Research.

La disquette, qui fait désormais partie de l'histoire de la cybersécurité et qui est probablement l'une des rares qui subsistent au monde, est accrochée au mur du salon de Willems. « Un musée m'a proposé 1 000 dollars pour l'acquérir, mais j'ai décidé de le garder », a-t-il déclaré.

Source : Virus Bulletin

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Victime d'un ransomware, une entreprise paie des millions aux cybercriminels pour restaurer ses fichiers.L'entreprise se fait attaquer à nouveau par le même ransomware et paie encore

2021 sera l'année du "ransomware 2.0", avec des attaques de plus en plus agressives, une ingénierie sociale plus professionnelle et des malwares plus innovants, selon G DATA CyberDefense

Pourquoi le ransomware a toujours autant de succès : plus d'un quart des victimes paient la rançon d'un million de dollars en moyenne pour restaurer leurs réseaux

L'activité des logiciels malveillants augmente à mesure que les attaquants deviennent plus impitoyables, s'en prenant désormais aux entités publiques surchargées, notamment le secteur de l'éducation

Les cybercriminels gagnent plus de 3*milliards de dollars par an en se servant de l'ingénierie sociale, selon un rapport

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de tlt
Membre averti https://www.developpez.com
Le 18/05/2021 à 9:43
JE ne sais quoi penser mais merci pour la petite culture générale
4  0 
Avatar de xor AX AX
Membre du Club https://www.developpez.com
Le 22/05/2021 à 12:47
@Dodfr2:

J'ai développé dans ces années là un truc du même genre pour un client qui craignait que ses employés piquent les info de l'entreprise pour les vendre.
Sur introduction d'une disquette non protégée en écriture, elle était automatiquement cryptée (xor sur une clef de 6 octets).
A chaque lecture d'un secteur, les données étaient décryptées de manière transparente.
Un hook de l'INT 13h.

Ca a été effectivement mis en place.

En cherchant un peu, je dois pouvoir retrouver le code assembleur (oui, j'ai gardé des lecteurs 5"1/4 et un PC 486 pour occuper mes vieux jours :-)
1  0 
Avatar de TotoParis
Membre confirmé https://www.developpez.com
Le 18/05/2021 à 17:45
Une très grande SSI française s'est retrouvée à l'arrêt suite à ce type d'attaque en fin d'année 2020...
1  1 
Avatar de Dodfr2
Nouveau membre du Club https://www.developpez.com
Le 21/05/2021 à 13:13
Ca me rappelle un truc que j'avais fait sur Amiga pour le fun en 1989 aussi (sans diffusion), petit bout de code en boot sector pour intercepter lecture/écriture et appliquer un xor, à la base l'idée était de protéger le contenu de la disquette avec un chiffrement mais j'avais aussi fait une version qui sélectionnait un xor au hasard stocké dans le secteur boot aussi et au bout de xxx démarrage ça demandait la confirmation de la clé (affichée via un xor statique connu de moi seul en dur dans le code effectué sur le xor dynamique), comme c'était pour le fun la version "auto xor ransomware" était pas super compliquée à analyser pour comprendre son fonctionnement si on prenait la peine de faire du reverse sur le code assembleur et pour y trouver la clé xor liée à la disquette mais après j'avais eu un soucis pour gérer les changements de disquettes et j'avais arrêté là.
0  0 
Avatar de Dodfr2
Nouveau membre du Club https://www.developpez.com
Le 22/05/2021 à 14:50
Citation Envoyé par xor AX AX Voir le message
@Dodfr2:

J'ai développé dans ces années là un truc du même genre pour un client qui craignait que ses employés piquent les info de l'entreprise pour les vendre.
Sur introduction d'une disquette non protégée en écriture, elle était automatiquement cryptée (xor sur une clef de 6 octets).
A chaque lecture d'un secteur, les données étaient décryptées de manière transparente.
Un hook de l'INT 13h.

Ca a été effectivement mis en place.

En cherchant un peu, je dois pouvoir retrouver le code assembleur (oui, j'ai gardé des lecteurs 5"1/4 et un PC 486 pour occuper mes vieux jours :-)
Xor4Ever :-)
0  0 
Avatar de xor AX AX
Membre du Club https://www.developpez.com
Le 22/05/2021 à 15:22
xor4ever : ne négligeons pas le NOP (90h sur intel 80xxx) qui était indispensable dans le déplombage des logiciels ! L'instruction qui ne fait rien mais le fait bien.

Une belle époque.
0  0 
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 09/06/2021 à 7:31
Ça me rappelle le légendaire livre "States of Matter" qui commence soi-disant par : "Ludwig Boltzman, qui a passé une grande partie de sa vie à étudier la mécanique statistique, est mort en 1906, de sa propre main. Paul Ehrenfest, qui poursuivait ses travaux, est mort de la même façon en 1933. C'est maintenant à notre tour d'étudier la mécanique statistique. Peut-être sera-t-il sage d'aborder le sujet avec prudence."
0  0 
Avatar de stephanerain
Nouveau membre du Club https://www.developpez.com
Le 20/07/2021 à 11:57
y'a un bug dans l'article ou c'est moi ?

Il est ecrit qu'il a récupéré la diskette en 89 et a fondé sa boite d'antivirus en 87 ? donc avant ? pas apres ?
0  0