 |
|
| Jeudi 25 mars 1999 | Cyberpresse |
Confidences d'un créateur de virus
Spanska, le père de Happy99, est l'homme
le plus recherché sur Internet
| Depuis le début de l'année, un nouveau virus a fait
son apparition sur Internet, un de ces virus qui se
propagent à une vitesse folle. Baptisé Happy99, en référence au message qu'il affiche sur l'écran de l'ordinateur infecté, ce virus ou ver informatique (worm) se ballade sur Internet attaché à des courriers électroniques sans que les utilisateurs ne le sachent. La Presse a joint Spanska, le créateur du virus Happy99 et il a accepté d'accorder sa première entrevue à un média. Voici un condensé de l'entretien: M. Spanska, si mes informations sont exactes, vous habitez la France... Exact. Mais je n'irai pas plus loin dans la précision géographique, si vous permettez... J'ai comme l'impression que ma tête est mise à prix sur le Net en ce moment. Est-ce que, effectivement, vous vous sentez comme un fugitif virtuel? Non, pas vraiment en fait. J'ai mis pas mal de barrières pour éviter qu'on ne remonte jusqu'à moi. C'est toujours possible, mais assez improbable. Je discute presque tous les jours dans certains forums, sans vraiment changer mes habitudes. Il faut se plier à une certaine discipline, mais j'ai l'habitude: messages cryptés, ménage quotidien sur tous mes ordinateurs et fichiers sensibles cryptés / cachés, etc... Qu'est ce qui vous intéresse dans la création de virus et plus particulièrement celui-ci? Il y a de nombreuses motivations pour écrire des programmes auto-reproducteurs. Dans le désordre, comme ça me vient: La curiosité scientifique (est-ce possible de faire un worm en 1999? Va-t-il se diffuser rapidement? Comment vont réagir les antivirus?) Le défi technique (programmation en assembleur: le worm fait 10 Ko avec une animation graphique et des capacités de connexion, plongée au coeur de Windows...) La satisfaction de l'ego (ne soyons pas hypocrites: j'aime que l'on parle de moi et de mes créations) L'aspect créatif ou même esthétique (effet graphique, invention de nouvelles techniques,...) La fascination de créer quelque chose qui ressemble, même de très loin, à de la vie. On n'est pas loin du mythe du Golem ou de Frankenstein. C'est presque une expérience mystique, dans un sens. Notez que je n'ai jamais inclus de routine destructive dans tous mes virus. Il faut bien séparer les routines de reproduction et les routines de destruction, qui n'ont rien à voir. Un virus peut rester des années sur un ordinateur sans que l'utilisateur s'en aperçoive. Est-ce que vous travaillez toujours pour perfectionner votre virus Happy99 ou est-ce que vous êtes passé à autre chose? Si oui, puis-je vous demander quoi? Non. Quand je fais un virus, j'essaie de n'en sortir qu'une seule version, définitive. C'est un choix. Pourtant, il serait facile de le modifier très peu, suffisamment pour qu'il ne soit plus reconnu par les antivirus. Par exemple, le worm est très simple. Il n'est pas polymorphe, pas blindé, pas furtif, il est évident à supprimer et à reconnaître d'un simple coup d'oeil. Ce qui m'intéressait, c'était la routine de reproduction. Que le vers se reproduise très vite, de façon exponentielle, plus vite que les messages d'alerte. On pourrait bien sûr l'améliorer, par exemple en faisant varier son nom (tout le monde se méfie maintenant du Happy99.exe), varier les noms de ska.exe et ska.dll, crypter la liste.ska, faire plusieurs effets graphiques, le rendre polymorphe, etc... Mais bon, la preuve est maintenant faite qu'il n'avait pas besoin de ça pour se diffuser. J'ai préféré l'effet de surprise et la vitesse à une stratégie plus lourde. Une sorte de blitzkrieg, pour reprendre un terme militaire. Un autre point plus terre-à-terre est que je n'ai pas tout le temps que je veux pour programmer. Je ne suis pas informaticien, ce n'est qu'un hobby. J'ai profité des vacances de Noël pour coder le vers, et je n'avais plus trop de temps après. Donc pour moi, Happy99 c'est du passé. En ce moment précis, je ne programme plus. Je me consacre à mon travail. Ça me vient généralement cycliquement, en fonction des envies, des idées et du temps libre. Je peux passer des mois sans programmer. Chaque virus est la conséquence d'une sorte de «bouffée créative». Bon, ça ne m'empêche pas de réfléchir à d'autres choses. Peut-être un vrai vers qui n'aura plus besoin de la naïveté des utilisateurs pour se déclencher, qui se déplacera tout seul. Peut-être un virus plus classique et plus solide qui utilise les réseaux. Est-ce que vous avez eu des échos de victimes jusqu'à maintenant? Pour la plupart, des échos indirects. Je regarde dans les newsgroups, sur les sites Web d'info ou antivirus. Je discute dans un forum ou deux avec des antivirus. Je crois pouvoir en tirer la conclusion qu'il se diffuse bien, même si les messages d'alerte commencent à être diffusés partout. J'ai quelques auteurs de virus, dont certains sont des amis, qui m'écrivent aussi pour me féliciter. C'est un peu une compétition amicale: un tel fait parler de son virus dans le Times, un autre sur CNN... On peut voir ça comme des trophées. Vous avez mis Happy99 en ligne à quel moment pour la première fois? Et qui était le premier destinataire? Je ne veux pas de nom mais la relation avec vous... un ami, une connaissance, un prof,... Je ne l'ai pas mis en ligne, ni même jamais posté sur les newsgroups. Je l'ai envoyé par mail, à partir d'un cybercafé, parce que je ne veux pas impliquer les remailers anonymes dans des actions interdites, à une dizaine de personnes bien choisies, mais que je ne connaissais pas du tout. Par exemple, des gens qui débutent sur le Net (il suffit de lire leurs messages pour savoir très vite leur niveau) et ne vont pas se méfier, ou des gens qui postent très souvent dans les newsgroups. Il y avait pas mal de Français, c'est pour ça qu'on lit qu'il s'est étendu à partir de l'Europe. J'ai commencé symboliquement le 1e janvier. À partir de là, je pense qu'un certain nombre d'entre eux ont exécuté la pièce jointe et ont commencé à le diffuser partout. Est-ce que justement c'est difficile de suivre la paternité d'une telle créature? Est-ce que c'est facile de se détacher de sa création? Et de passer à autre chose... De la suivre, non. De l'assumer, un peu plus. Parce qu'évidemment, pour parler clairement, je fais chier tout le monde, mon worm fait peur aux gens. Certaines personnes formatent leurs disques dur alors que mes virus se contentent d'afficher des animations. Créer et surtout diffuser un virus, ce n'est pas très moral, même si c'est très excitant. Donc je garde toujours un fond de culpabilité quelque part, et je comprends les gens qui sont énervés contre moi. Si je fais perdre de l'argent à de grosses entreprises, tant mieux. Mais évidemment, ce sont plutôt les utilisateurs de base qui en souffrent. Alors, bon, j'assume tout ça. Est-ce que le virus a une durée de vie? Va-t-il passer le cap de l'an 2000? Allez-vous créer un bogue pour l'an 2000? Un virus de nos jours a une durée de vie assez courte, parce que grâce au Net, les informations antivirus et les messages d'alerte circulent très vite. Surtout un virus aussi évident que mon worm. Je pense que d'ici un mois ou deux, on n'en entendra plus parler. Et c'est tant mieux, parce que je cherche juste à démontrer que c'est possible de diffuser un worm moderne. Une fois qu'il a servi à ça, autant qu'il disparaisse. Pour l'an 2000, je pense que certains programmeurs vont utiliser la panique et les petits problèmes (je ne pense pas que ça va être un chaos total) pour diffuser quelques trojans ou virus, histoire qu'ils passent inaperçus. Je ne pense pas que je vais m'y mettre. Si tout le monde le fait, je ne le fais pas. Je suis un peu anticonformiste. |
Copyright@1999