Journal de l'année Édition 2001 2001Éd. 2001

Virus informatiques : le « ver » est dans le fruit

Les dégâts provoqués par le virus informatique ILOVEYOU, qui s'est répandu sur Internet en mai 2000, sont difficiles à évaluer. Mais, au-delà des aspects financiers et de la psychose entretenue par les sociétés éditrices de logiciels antivirus, cette affaire a notamment révélé les dangers de la monoculture informatique et confirmé la vulnérabilité des entreprises en matière de risques informatiques.

Le 4 mai 2000, un vent de panique a soufflé sur Internet : parti de Manille, le message d'amour ILOVEYOU, concocté par un étudiant philippin, a balayé la planète à une vitesse foudroyante et s'est révélé être le virus informatique le plus destructeur de l'histoire. En quelques heures, plusieurs millions d'ordinateurs répartis dans vingt pays auraient été touchés. Dans les rangs des victimes, on a recensé des milliers d'entreprises et d'institutions aussi prestigieuses que la Chambre des communes britannique, la CIA, la Banque centrale européenne, Delta Airlines, Nestlé ou encore Vivendi.

Une course folle...

ILOVEYOU appartient à l'une des familles de virus les plus dangereuses, les vers (worms, en anglais), des microprogrammes autonomes capables de s'autoreproduire, de se propager et d'endommager des systèmes informatiques sans intervention délibérée d'une personne. Il est arrivé dans les ordinateurs sous la forme d'un e-mail irrésistible, « une lettre d'amour » comportant un fichier joint. Dès que les internautes ont cliqué sur ce dernier, le virus a infecté leur disque dur et rendu inutilisables la plupart des fichiers images et sons. Il s'est ensuite expédié lui-même aux correspondants répertoriés dans les carnets d'adresses électroniques, poursuivant ainsi sa course folle de machine en machine.

Les virus, qu'ils soient bénins ou destructeurs, à l'instar d'ILOVEYOU, menaceraient-ils de devenir la plaie des réseaux informatiques ? Une dizaine (toutes familles confondues) avaient été identifiés par les laboratoires de recherche antivirus en 1988. Ce nombre est passé à près de 50 000. Plus inquiétant : en 1993, 10 % des virus connus contenaient une « charge utile » capable de détruire ou d'endommager les fichiers des ordinateurs. Près d'un tiers appartiendraient désormais à cette catégorie. Si le pouvoir de nuisance d'ILOVEYOU et de ses avatars augmente à mesure que croît le nombre d'ordinateurs reliés à la Toile, il se renforce également avec la monoculture informatique. Comme le constate Éric Beaurepaire de Symantec France, « ILOVEYOU n'est pas grave en soi ; le plus grave est son mode de propagation ». Une remarque visant directement le géant informatique dirigé par Bill Gates. ILOVEYOU ne s'est effectivement attaqué qu'aux utilisateurs de la messagerie Outlook, un logiciel mis au point par Microsoft, qui a intégré à son système d'exploitation Windows « un mécanisme idéal de transmission des virus » selon certains spécialistes de la sécurité informatique. Les logiciels de Bureautique de Microsoft contiennent des petits programmes automatisant certaines tâches répétitives. Écrits dans un langage commun simple, Visualbasic, ils facilitent le travail des éditeurs d'applications sous Windows... comme la création de virus véhiculés par ces mêmes applications. Une publicité dont se serait bien passé Bill Gates, alors que son groupe a déjà maille à partir avec la justice américaine, qui souhaite son démantèlement.

... pour une lettre d'amour

Si, en France, ILOVEYOU a significativement contaminé moins de dix entreprises sur les cent premières, lesquelles utilisent en majorité le logiciel de courrier Lotus Note d'IBM, le sinistre aurait été d'une autre ampleur aux États-Unis. Encore qu'on doive se méfier des chiffres. À la mi-mai, le quart des entreprises américaines avaient été touchées et début juin, moins de 7 %... Il est par conséquent bien difficile d'établir un bilan chiffré des dégâts causés par la propagation d'ILOVEYOU car personne ne sait combien d'ordinateurs ont été infectés ni comment évaluer précisément le manque à gagner engendré par l'arrêt des messageries ou la destruction des fichiers contaminés. De plus, les entreprises « qui souhaitent rapidement prendre pied dans la nouvelle économie sans se donner les moyens de se protéger contre les risques informatiques », comme le souligne un membre du cabinet londonien Control Risk Group, font preuve d'une extrême discrétion sur cette question. À l'heure du zéro défaut, admettre qu'elles ont subi la contamination d'un virus reviendrait à reconnaître publiquement que leurs systèmes informatiques sont insuffisamment ou mal sécurisés. De quoi écorner sérieusement leur image de marque, à l'heure du boom du commerce électronique.