[Les 5 affaires qui ont marqué la cybersécurité] En 1989, un ver informatique baptisé Wank s’est répandu dans le réseau de l’agence spatiale américaine de la Nasa. Une affaire qui constitue une des premières manifestations d’hacktivisime.

La Nasa, l’agence spatiale américaine, a toujours été une cible de choix pour les hackers. Mais en ce mois d’octobre 1989, quelque chose est différent. Un ver informatique dénommé Wank — pour Worms Against Nuclear Killers — se répand d’ordinateur en ordinateur sur le réseau de la Nasa, le Span (Space physics analysis network). Un drôle de message s’affiche sur la bannière d’accueil du terminal de commande des victimes: « Your system has been officially WANKed », avec une précision en dessous (en anglais dans le message original) : « Vous parlez tout le temps de la paix, mais vous préparez la guerre ».

Puis les utilisateurs voient défiler sur l’écran la mention deleted file à chaque suppression de fichier. Dans son bulletin d’alerte, le Cert américain signale que ce malware « profite d’une mauvaise gestion des mots de passe et se propage à d’autres systèmes ».

Un ver des sables de Dune // Source : Warner
Dune // Source : Warner

Perturber les cibles avec des blagues potaches

Un an après le ver informatique Morris, considéré comme le premier du genre, c’est-à-dire un programme destiné à se répliquer de machine en machine, Wank est-il un nouveau virus destructeur ? Pas tout à fait. Le programme n’est pas aussi dangereux qu’il cherche à le faire croire. En fait, il ne supprime aucun fichier. Plus perturbateur qu’autre chose, Wank semble au contraire avoir pour but de donner la peur de leur vie à ses cibles. Il lance également de drôles de messages, comme « Le FBI vous surveille », « Votez anarchiste » ou « Rien n’est plus rapide que la vitesse de la lumière : pour vous en convaincre, essayez d’ouvrir la porte du réfrigérateur avant que la lumière ne s’allume ». Un goût du potache signé dans le nom même du ver, un terme d’argot désignant la masturbation.

Autant d’indices qui laissent à penser que Wank est l’une des premières manifestations de l’hacktivisme, cette forme de militantisme qui s’appuie sur le piratage informatique pour pousser ses causes. L’intrusion du ver sur le réseau de la Nasa précède en effet de quelques jours le lancement de la sonde Galileo. Une mission spatiale justement contestée par des militants anti-nucléaires qui s’inquiétaient de la présence de plutonium dans l’engin spatial. Son lancement sera finalement reporté par deux fois en raison de « problèmes techniques » et de la météo.

Un leurre conçu pour faire s’auto-détruire le ver

Pour contrer Wank, un premier chercheur, Kevin Oberman, met au point une première parade. Il s’agit de simuler la présence du ver pour le stopper. Wank est programmé pour s’auto-détruire quand il détecte déjà son installation sur une machine. Mais une nouvelle variante du ver repart à l’assaut de la Nasa. Dans l’indifférence générale (tout du moins en France), un informaticien français, Bernard Perrot, va finalement coder le bon vaccin. 

Il épluche, pendant un weekend, le code du ver. « Un programme qui nécessitait une bonne connaissance du système », indique-t-il à Numerama. L’ingénieur met finalement au point un leurre qui lance une instruction d’auto-destruction à Wank. Il suffit de modifier un des fichiers système des machines qui fera buger le ver en cas d’intrusion. « C’est une injection de code par les données, avec une instruction perverse qui provoquait une expansion de variable », résume l’informaticien.

Si Wank visait d’abord la Nasa, il commençait à toucher par ricochet les ordinateurs du réseau Hepnet, très utilisé par des laboratoires de physique nucléaire, interconnecté avec le Span. D’où l’intérêt de Bernard Perrot, qui travaille alors à l’Institut de physique nucléaire d’Orsay. La trouvaille est aussitôt exploitée par la Nasa. Elle est d’ailleurs si ingénieuse qu’elle vaudra à l’ingénieur, qui l’a appris quelques années plus tard, d’être ajouté à la liste des suspects du FBI. Le service fédéral de police judiciaire se demande en effet pendant un temps si Wank n’est pas venu de France.

Plusieurs Australiens suspectés

Trente ans plus tard, on ignore toujours avec certitude l’identité du créateur de Wank. Mais il y a quand même de très sérieux suspects, tous Australiens. Le ver fait en effet référence par deux fois au groupe australien Midnight Oil, célèbre pour son engagement écologiste.

A l’époque, trois hackers sont justement dans le viseur de la police locale. Il s’agit de Richard Jones (alias Electron), Nahshon Even-Chaim (Phoenix), et David Woodcock (Nom). Ils seront poursuivis pour des piratages informatiques et des intrusions dans le réseau de l’agence spatiale américaine, mais sans toutefois qu’un lien avec le ver Wank ne soit formellement établi. Comme le rappellent les journalistes Guillaume Ledit et Olivier Tesquet dans leur portrait du lanceur d’alerte australien, le fondateur de Wikileaks Julian Assange — alors connu sous le pseudonyme de « Mendax » — fait également partie des suspects.

« Est-ce qu’Assange était derrière Wank, se demandent les reporters David Leigh et Luke Harding. Peut-être (…). En 1991 il était certainement le hacker le plus chevronné d’Australie ». Seule certitude : le lanceur d’alerte a suivi de près l’affaire du ver. Le livre fouillé qu’il a co-écrit avec la chercheuse australienne Suelette Dreyfus, retrace de manière très précise l’attaque informatique. Avant de clore la question de l’attribution par une formule énigmatique. « Comme de nombreux hackers australiens, le créateur du ver Wank a émergé des ombres de l’underground informatique, s’est levé momentanément dans la brume, puis a disparu à nouveau. »

Ceci est le 4e volet de notre série « Les 5 affaires qui ont marqué la cybersécurité. Le premier était consacré à Cryptolocker, le premier ransomware moderne. Le 2e a un logiciel vérolé que les Américains ont volontairement refilé aux Soviétiques pendant la guerre froide et le 3e à la menace Michelangelo.