Lancé par un étudiant taïwanais en 1998, le virus Tchernobyl était programmé pour se déclencher à la date anniversaire de la catastrophe éponyme et effectuer l’équivalent d’une frappe nucléaire sur la machine infectée.

À sa façon, Tchernobyl préfigurait le phénomène des PC zombies, ces machines infectées par un logiciel malveillant capable de rester dissimulé jusqu’à un événement programmé. Ce virus parti de Taïwan est en effet resté inactif jusqu’au 26 avril 1999, date à laquelle il a soudainement mis hors service des milliers d’ordinateurs à travers le monde.

Le virus est baptisé CIH, en référence aux initiales de son inventeur taïwanais Cheng Ing-Hau. S’il a été découvert avant son premier déclenchement,  il semble capable de ravages tels que les commentateurs l’associent rapidement à la catastrophe nucléaire de Tchernobyl en Ukraine. Elle est en effet survenue un 26 avril, la date de déclenchement prévue pour le virus.

Image d'erreur

Chen Ing Hau en 2009. Crédit : Corbet sur LWN.net.

Tchernobyl, qui cible exclusivement les machines équipées de Windows 95 ou Windows 98, est programmé pour paralyser les machines infectées de façon plutôt radicale. Au déclenchement, il commence par écraser le premier mégaoctet de chaque disque dur intégré à la machine pour effacer le Master Boot Record, le secteur contenant à la fois la table des partitions et les instructions visant à charger le système d’exploitation lors de la séquence de démarrage.

Une frappe en deux temps

Pour faire bonne mesure, Tchernobyl intègre également un pan de code chargé d’aller altérer le BIOS stocké sur la carte mère de l’ordinateur, qui se trouve ainsi privé des fonctions nécessaires pour faire fonctionner de concert les différents composants de la machine. À l’époque, bon nombre d’ordinateurs intègrent heureusement une protection visant à n’autoriser le flash du BIOS qu’après déplacement d’un cavalier physique sur la carte mère. Pour les autres, Tchernobyl signifie plus ou moins le rachat d’une carte mère ou, à défaut, sa reprogrammation via un appareil dédié : sans BIOS, point de salut !

Image d'erreur

Un cavalier nu sur une carte-mère. // Source : stockmedia.cc / stockarch.com

Pendant des mois, le virus est distribué par le biais d’exécutables (.exe) modifiés en prenant soin de n’utiliser que les espaces vides du code d’origine, de façon à ce que la taille du fichier infecté soit identique à celle de l’original.

250 000 victimes en Corée du Sud

Vraisemblablement aidé par des groupes de pirates pas forcément bien intentionnés, le virus CIH a notamment circulé via des démos de jeux vidéo, pourtant distribuées par leur éditeur légitime. En avril 99, la chaîne d’informations CNN rapporte que plusieurs ordinateurs IBM neufs vendus sur le sol américain dissimulaient une copie de Tchernobyl.

L’étendue exacte de l’onde de choc est difficile à déterminer, mais les médias de l’époque font état de centaines de milliers d’ordinateurs infectés par Tchernobyl et ses différentes variantes, particulièrement en Asie. Au lendemain de l’attaque, la BBC évoque par exemple 250 000 victimes pour la seule Corée du Sud.

Après sa frappe initiale du 26 avril 1999, Tchernobyl poursuivra ensuite sa carrière sous différentes variantes pendant quelques années, mais sans réussir à provoquer de dommages aussi importants. On trouve d’ailleurs encore son code source sur Github. Cheng Ing-Hau sera quant à lui arrêté par la police taïwanaise à deux reprises et relâché faute de plainte déposée à son encontre.

Crédit photo de la une : Le site de Tchernobyl, Ingmar Runge via Wikipedia


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !