IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

L'histoire étrange de l'inventeur du ransomware.


Sujet :

Sécurité

  1. #1
    Chroniqueuse Actualités

    Femme Profil pro
    Rédacteur Web
    Inscrit en
    mars 2020
    Messages
    290
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur Web

    Informations forums :
    Inscription : mars 2020
    Messages : 290
    Points : 4 278
    Points
    4 278
    Par défaut L'histoire étrange de l'inventeur du ransomware.
    L'histoire étrange de l'inventeur du ransomware,
    la toute première attaque par ransomware a été lancée sur une disquette

    En décembre 1989, Eddy Willems travaillait pour une compagnie d'assurance en Belgique lorsqu'il a inséré une disquette dans son ordinateur. Elle faisait partie des 20 000 disquettes envoyées par courrier aux participants à la conférence sur le SIDA organisée par l'Organisation mondiale de la santé à Stockholm et le patron de Willems lui avait demandé de vérifier son contenu. Willems s'attendait à voir des recherches médicales lorsque le contenu du disque se chargerait. Au lieu de cela, il a été victime du premier acte de ransomware, plus de 30 ans avant que l'attaque par ransomware contre le US Colonial Pipeline n'entraîne une pénurie de gaz dans certaines régions des États-Unis la semaine dernière.

    Eddy Willems a reçu en décembre 1989 une disquette qui a changé sa vie. Son patron la lui a donnée après avoir trouvé l'étiquette intrigante : « SIDA version 2.0 », une maladie nouvelle et étrange à l'époque. L'entreprise, basée à Anvers, en Belgique, vendait entre autres des assurances médicales et certaines statistiques sur le SIDA pourraient s'avérer lucratives, pensait le patron. Il a donc demandé à Willems, 27 ans, de tester le logiciel. Willems a inséré la disquette en plastique noir de 5,25 pouces dans son PC. Il lance le programme, répond à toute une enquête destinée à déterminer si une personne peut être infectée par le sida ou non. « Et c'était tout. Je me suis dit : OK, rien de vraiment spécial ici. Je vais probablement la jeter », dit Willems. Rapidement, il a éteint l'ordinateur et est rentré chez lui.

    Lorsqu'il a allumé son ordinateur le jour suivant, Willems a remarqué qu'il y avait moins de dossiers, mais il n'y a pas prêté attention. Le troisième jour, cependant, lorsqu'il a démarré son ordinateur, quelque chose d'étrange s'est produit. « Il y avait un message à l'écran me demandant de payer. Il me demandait d'envoyer 189 dollars à une boîte postale au Panama, sinon je ne pourrais plus utiliser mon ordinateur. J'ai pensé : Qu'est-ce que c'est ? », raconte Willems. Il éteint l'ordinateur et utilise une disquette de démarrage pour le redémarrer. Il a constaté que ses répertoires étaient toujours là, mais qu'ils étaient cachés et que les noms des fichiers avaient été remplacés par des chaînes de caractères aléatoires. Heureusement, le contenu de ses fichiers n'était pas altéré, seuls leurs noms semblaient bizarres. « J'ai pensé : C'était du chiffrement. Mais c'était complètement ridicule. Le programme n'avait pas été créé par un vrai informaticien », dit-il.

    Willems a écrit un petit script pour restaurer les noms des fichiers. « Il m'a fallu en fait dix minutes pour résoudre ce fichu problème », dit-il. Ensuite, il est retourné voir son patron et lui a dit qu'il y avait peut-être un bug dans le programme SIDA. « J'ai dit que la disquette ne nous était d'aucune utilité et que je la jetais ».

    Nom : Screenshot_2021-05-17 The bizarre story of the inventor of ransomware.png
Affichages : 11880
Taille : 428,5 Ko
    Ce disque était l'un des 20 000 envoyés par courrier aux participants à la conférence sur le SIDA organisée par l'Organisation mondiale de la santé à Stockholm


    Le cheval de Troie du SIDA, le premier ransomware

    Il était loin de se douter que le cheval de Troie SIDA, également connu sous le nom de PC Cyborg, faisait des ravages dans le monde entier. On pense que 20 000 passionnés d'informatique, institutions de recherche médicale et chercheurs qui ont participé à la conférence internationale de l'OMS sur le SIDA à Stockholm ont reçu des disquettes comme celle de Willems. Les forces de l'ordre ont remonté jusqu'à une boîte postale appartenant à un biologiste évolutionniste de Harvard, Joseph Popp, qui menait des recherches sur le SIDA à l'époque. Popp a été arrêté pour avoir diffusé le virus informatique, accusé de plusieurs chefs d'accusation de chantage. Il a toutefois été déclaré mentalement inapte à être jugé.

    Lorsque Willems a vu les noms de ses fichiers chiffrés, il n'a pas pensé qu'il s'agissait d'un problème de sécurité. Quelques jours plus tard seulement, il a regardé un reportage sur une chaîne de télévision belge expliquant l'ampleur de ce qui se passait. Il a été interviewé par des journalistes et bientôt, sa méthode a été utilisée non seulement en Belgique, mais aussi dans des pays lointains comme le Japon. « J'ai commencé à recevoir des appels d'institutions et d'organisations médicales me demandant comment je m'y prenais pour le contourner. L'incident a créé beaucoup de dégâts à l'époque. Les gens ont perdu beaucoup de travail. Ce n'était pas une chose mineure, c'était une grosse affaire, même à l'époque », a déclaré Willems, qui a développé la première solution antivirus commerciale au monde en 1987. Eddy Willem est aujourd'hui expert en cybersécurité chez G Data.

    Le stratagème a fait la une des journaux et a été publié dans Virus Bulletin, un magazine de sécurité destiné aux professionnels, un mois plus tard : « Si la conception est ingénieuse et extrêmement sournoise, la programmation réelle est assez peu soignée », indique l'analyse. Bien qu'il s'agisse d'un logiciel malveillant assez basique, c'était la première fois que de nombreuses personnes entendaient parler de ce concept ou d'extorsion numérique. On ignore si des personnes ou des organisations ont payé la rançon. Les disquettes ont été envoyées à des adresses dans le monde entier à partir d'une liste de diffusion.

    « Même à ce jour, personne ne sait vraiment pourquoi Joseph Popp a fait cela », a déclaré Willems, notant combien il aurait été coûteux et long d'envoyer ce nombre de disquettes à autant de personnes. « Il a été très influencé par quelque chose. Peut-être quelqu'un d'autre était-il impliqué ; en tant que biologiste, comment avait-il l'argent pour payer toutes ces disquettes ? Était-il en colère contre la recherche ? Personne ne le sait », ajouté Willem.

    Après son arrestation à l'aéroport Schiphol d'Amsterdam, Popp a été renvoyé aux États-Unis et emprisonné. Il aurait déclaré aux autorités qu'il avait prévu de faire don de l'argent de la rançon à la recherche sur le sida. Ses avocats ont également fait valoir qu'il n'était pas en état d'être jugé ; il aurait porté des préservatifs sur son nez et des bigoudis dans sa barbe pour prouver qu'il était malade, selon la journaliste Alina Simone. Popp est mort en 2007.

    Nom : Screenshot_2021-05-17 The bizarre story of the inventor of ransomware(1).png
Affichages : 3596
Taille : 435,8 Ko
    Eddy Willems avec sa disquette originale avec ransomware de 1989


    Un héritage qui va grandissant avec l'apparition des cryptomonnaies

    L'affaire est devenue un grand sujet de discussion et l'héritage de son crime persiste à ce jour. Le ministère américain de la Justice a récemment déclaré que 2020 était « la pire année à ce jour pour les attaques de ransomware ». Les experts en sécurité pensent que les attaques par ransomware contre les entreprises et les particuliers vont continuer à se développer, car elles sont faciles à exécuter, difficiles à tracer et les victimes peuvent être exploitées pour beaucoup d'argent. Les rançongiciels font généralement des ravages sur les systèmes informatiques après qu'une personne a cliqué sur un lien malveillant et installé sans le savoir un logiciel ou à partir d'une vulnérabilité sur un serveur obsolète.

    L'un des plus gros problèmes des ransomwares aujourd'hui est que les rançons sont souvent payées avec des cryptomonnaies, comme le bitcoin, qui sont échangées de manière anonyme et non traçable. Alors que la plupart des activités de ransomware à grande échelle proviennent de groupes criminels organisés, comme c'est le cas avec le pipeline américain, Popp semble avoir agi seul. « Plus qu'un véritable cerveau criminel, il était ce que l'on pourrait classer comme un "acteur isolé", par opposition à un syndicat du crime organisé ou à un acteur parrainé par un État. Ses motivations semblaient être très personnelles... Il avait manifestement des sentiments forts à l'égard du SIDA et de la recherche sur le SIDA », a déclaré Michela Menting, directrice de recherche au cabinet d'études de marché ABI Research.

    La disquette, qui fait désormais partie de l'histoire de la cybersécurité et qui est probablement l'une des rares qui subsistent au monde, est accrochée au mur du salon de Willems. « Un musée m'a proposé 1 000 dollars pour l'acquérir, mais j'ai décidé de le garder », a-t-il déclaré.

    Source : Virus Bulletin

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi :

    Victime d'un ransomware, une entreprise paie des millions aux cybercriminels pour restaurer ses fichiers.L'entreprise se fait attaquer à nouveau par le même ransomware et paie encore

    2021 sera l'année du "ransomware 2.0", avec des attaques de plus en plus agressives, une ingénierie sociale plus professionnelle et des malwares plus innovants, selon G DATA CyberDefense

    Pourquoi le ransomware a toujours autant de succès : plus d'un quart des victimes paient la rançon d'un million de dollars en moyenne pour restaurer leurs réseaux

    L'activité des logiciels malveillants augmente à mesure que les attaquants deviennent plus impitoyables, s'en prenant désormais aux entités publiques surchargées, notamment le secteur de l'éducation

    Les cybercriminels gagnent plus de 3*milliards de dollars par an en se servant de l'ingénierie sociale, selon un rapport
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    tlt
    tlt est déconnecté
    Membre averti Avatar de tlt
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2004
    Messages
    191
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Madagascar

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : juillet 2004
    Messages : 191
    Points : 391
    Points
    391
    Par défaut
    JE ne sais quoi penser mais merci pour la petite culture générale

  3. #3
    Membre confirmé
    Homme Profil pro
    retraité
    Inscrit en
    septembre 2014
    Messages
    203
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : septembre 2014
    Messages : 203
    Points : 467
    Points
    467
    Par défaut
    Une très grande SSI française s'est retrouvée à l'arrêt suite à ce type d'attaque en fin d'année 2020...

  4. #4
    Nouveau membre du Club
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    février 2017
    Messages
    19
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : février 2017
    Messages : 19
    Points : 35
    Points
    35
    Par défaut
    Ca me rappelle un truc que j'avais fait sur Amiga pour le fun en 1989 aussi (sans diffusion), petit bout de code en boot sector pour intercepter lecture/écriture et appliquer un xor, à la base l'idée était de protéger le contenu de la disquette avec un chiffrement mais j'avais aussi fait une version qui sélectionnait un xor au hasard stocké dans le secteur boot aussi et au bout de xxx démarrage ça demandait la confirmation de la clé (affichée via un xor statique connu de moi seul en dur dans le code effectué sur le xor dynamique), comme c'était pour le fun la version "auto xor ransomware" était pas super compliquée à analyser pour comprendre son fonctionnement si on prenait la peine de faire du reverse sur le code assembleur et pour y trouver la clé xor liée à la disquette mais après j'avais eu un soucis pour gérer les changements de disquettes et j'avais arrêté là.

  5. #5
    Nouveau membre du Club
    Homme Profil pro
    Analyste programmeur
    Inscrit en
    juillet 2016
    Messages
    25
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Aube (Champagne Ardenne)

    Informations professionnelles :
    Activité : Analyste programmeur

    Informations forums :
    Inscription : juillet 2016
    Messages : 25
    Points : 36
    Points
    36
    Par défaut
    @Dodfr2:

    J'ai développé dans ces années là un truc du même genre pour un client qui craignait que ses employés piquent les info de l'entreprise pour les vendre.
    Sur introduction d'une disquette non protégée en écriture, elle était automatiquement cryptée (xor sur une clef de 6 octets).
    A chaque lecture d'un secteur, les données étaient décryptées de manière transparente.
    Un hook de l'INT 13h.

    Ca a été effectivement mis en place.

    En cherchant un peu, je dois pouvoir retrouver le code assembleur (oui, j'ai gardé des lecteurs 5"1/4 et un PC 486 pour occuper mes vieux jours :-)

  6. #6
    Nouveau membre du Club
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    février 2017
    Messages
    19
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : février 2017
    Messages : 19
    Points : 35
    Points
    35
    Par défaut
    Citation Envoyé par xor AX AX Voir le message
    @Dodfr2:

    J'ai développé dans ces années là un truc du même genre pour un client qui craignait que ses employés piquent les info de l'entreprise pour les vendre.
    Sur introduction d'une disquette non protégée en écriture, elle était automatiquement cryptée (xor sur une clef de 6 octets).
    A chaque lecture d'un secteur, les données étaient décryptées de manière transparente.
    Un hook de l'INT 13h.

    Ca a été effectivement mis en place.

    En cherchant un peu, je dois pouvoir retrouver le code assembleur (oui, j'ai gardé des lecteurs 5"1/4 et un PC 486 pour occuper mes vieux jours :-)
    Xor4Ever :-)

  7. #7
    Nouveau membre du Club
    Homme Profil pro
    Analyste programmeur
    Inscrit en
    juillet 2016
    Messages
    25
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Aube (Champagne Ardenne)

    Informations professionnelles :
    Activité : Analyste programmeur

    Informations forums :
    Inscription : juillet 2016
    Messages : 25
    Points : 36
    Points
    36
    Par défaut xor4ever
    xor4ever : ne négligeons pas le NOP (90h sur intel 80xxx) qui était indispensable dans le déplombage des logiciels ! L'instruction qui ne fait rien mais le fait bien.

    Une belle époque.

  8. #8
    Membre averti
    Femme Profil pro
    Webmarketer
    Inscrit en
    janvier 2021
    Messages
    151
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Webmarketer

    Informations forums :
    Inscription : janvier 2021
    Messages : 151
    Points : 307
    Points
    307
    Par défaut
    Ça me rappelle le légendaire livre "States of Matter" qui commence soi-disant par : "Ludwig Boltzman, qui a passé une grande partie de sa vie à étudier la mécanique statistique, est mort en 1906, de sa propre main. Paul Ehrenfest, qui poursuivait ses travaux, est mort de la même façon en 1933. C'est maintenant à notre tour d'étudier la mécanique statistique. Peut-être sera-t-il sage d'aborder le sujet avec prudence."

  9. #9
    Nouveau membre du Club
    Profil pro
    Inscrit en
    mars 2005
    Messages
    25
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2005
    Messages : 25
    Points : 29
    Points
    29
    Par défaut
    y'a un bug dans l'article ou c'est moi ?

    Il est ecrit qu'il a récupéré la diskette en 89 et a fondé sa boite d'antivirus en 87 ? donc avant ? pas apres ?

Discussions similaires

  1. [C#] histoire de commit et de roolback
    Par dupin40 dans le forum ASP.NET
    Réponses: 6
    Dernier message: 18/05/2021, 17h45
  2. Une étrange histoire d'héritage
    Par saronin dans le forum Débuter
    Réponses: 2
    Dernier message: 09/05/2011, 18h13
  3. Réponses: 2
    Dernier message: 22/09/2003, 11h23
  4. Affichage étrange sous directGraphic
    Par Cyrik dans le forum DirectX
    Réponses: 7
    Dernier message: 13/09/2003, 13h29
  5. Fonction étrange
    Par Defrag dans le forum Flash
    Réponses: 3
    Dernier message: 17/07/2003, 19h01

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo