Parti des Philippines le 4 mai 2000, le virus I Love You a infecté plus de 50 millions d’ordinateurs dans le monde en seulement quelques jours. Retour sur une lettre d’amour pas tout à fait comme les autres.

Vendredi 5 mai, 9 heures. Vous venez de rejoindre votre poste de travail et lancez machinalement votre client de messagerie. Vous regardez les emails de la nuit s’accumuler dans votre boîte de réception en écoutant vos voisins de bureau d’une oreille distraite. La routine en somme. Quand soudain, un message attire votre attention : l’un de vos collègues vient-il vraiment de vous envoyer une lettre d’amour ? Intrigué, vous ouvrez l’email et cliquez sur le banal fichier texte intégré en pièce jointe… Vous venez de vous faire piéger par une technique de social engineering qui semble, certes, un peu facile en 2018. Mais nous sommes en 2000 et vous n’êtes pas encore très aguerri…

Un email type contenant la fameuse lettre d’amour. Crédit : Wikimedia Commons

Caché derrière un banal fichier .txt

Le scénario est simpliste, mais il illustre assez justement la façon dont s’est propagé le virus ILOVEYOU. Parti le 4 mai 2000 des Philippines, il gagne d’abord l’Asie avant de se répandre en Europe et aux Etats-Unis en suivant la course du soleil. Dans sa version originale, le virus prend la forme d’un courrier électronique intitulé ILOVEYOU. Le corps du texte, plutôt sommaire, invite à prendre connaissance de la pièce jointe attachée, une supposée lettre d’amour présentée comme un document texte. UN double clic plus tard, le mal est fait : le .txt cache en réalité un fichier Visual Basic .vbs qui déclenche l’infection.

Le mode opératoire du virus rappelle un peu celui de Melissa mais avec une approche nettement plus virulente. Dès son exécution sur une machine Windows équipée d’Outlook, ILOVEYOU lance en effet son mécanisme de réplication en envoyant une copie de lui-même à tous les contacts enregistrés dans le carnet d’adresses de l’utilisateur.

L’Oréal, Ford, Siemens, l’équipe de campagne de George Bush, le parlement britannique et bien d’autres…

C’est cette vague systématique de messages émanant à chaque fois d’une adresse connue du destinataire qui permet une propagation à l’échelle planétaire en seulement quelques heures. Partout dans le monde, de grandes organisations choisissent de couper temporairement leurs serveurs de messagerie dans l’espoir de freiner la progression du virus. Le 15 mai, un article du magazine TIME revient sur le désormais célèbre « Love Bug » et raconte comment L’Oréal, Ford, Siemens, l’équipe de campagne de George Bush, le parlement britannique et bien d’autres ont souffert des dysfonctionnements pendant parfois plusieurs heures.

Un brin de technique et une bonne dose d’ingénierie sociale

Contrairement à Melissa, ILOVEYOU ne se contente pas de se reproduire. Dès son exécution, le virus scanne les disques durs de la machine à la recherche d’une dizaine d’extensions de fichiers courantes (images en .JPG, documents .DOC, etc.) et les remplace par une copie de lui-même. Dans son avis du 9 mai 2000, le centre d’alerte américain (CERT) souligne (lien .PDF) le caractère destructeur du procédé : là où la plupart des virus de l’époque suppriment les fichiers, la lettre d’amour les écrase en réécrivant des données à la place qu’ils occupent, compromettant ainsi grandement les chances de récupération.

Très vite, on voit également apparaître des variantes du virus d’origine. L’accessibilité du code source d’ ILOVEYOU, écrit en Visual Basic, donne des idées à des pirates plus ou moins facétieux qui modifient le corps du texte, ou ajoutent de nouvelles extensions à la liste des fichiers pris pour cible.

Bien que l’ensemble des acteurs du monde de la sécurité aient réagi avec la plus grande diligence, ILOVEYOU a commis des dégâts estimés à une dizaine de milliards de dollars. Il a aussi pavé la voie aux techniques d’ingénierie sociale à grande échelle. Un an plus tard, le virus Anna Kournikova se taillera par exemple une réputation internationale en exploitant la même combine avec une promesse de photo court vêtue en lieu et place de la lettre d’amour.

À propos de Bitdefender

Bitdefender est un éditeur européen de solutions de cybersécurité, dont les technologies protègent aujourd’hui plus de 500 millions d’utilisateurs dans le monde. Il est l'annonceur exclusif de Cyberguerre. Ses technologies de machine learning et d’intelligence artificielle permettent d’anticiper et de bloquer un plus grand nombre de menaces, afin de protéger instantanément tous ses utilisateurs. Grâce à ses investissements en R&D, sa capacité à innover en permanence pour garder une longueur d’avance sur les menaces, et de nombreux partenariats technologiques, Bitdefender a réhaussé les standards de sécurité les plus élevés de l’industrie.

Plus d’informations sur www.bitdefender.fr

Partager sur les réseaux sociaux