Le ver Morris

Le soir du 2 novembre 1988, un programme écrit par un étudiant en thèse de Cornell nommé Robert Tappan Morris se met à se copier de machine en machine sur l’internet naissant. En quelques heures, on estime que six mille ordinateurs — une fraction significative de tout ce qui était connecté à l’époque — sont à l’arrêt sous l’effet de réinfections répétées.

Une mesure qui n’en est pas restée une

Morris dira plus tard que le programme visait à jauger la taille d’internet en se propageant discrètement et en comptant. Pour éviter la détection, il exploitait des faiblesses connues — une fonction de débogage de sendmail, un dépassement de tampon dans fingerd, des mots de passe faibles — et pour ne pas attirer l’attention, il était censé éviter les machines déjà infectées. La logique de retenue avait un défaut. Environ une fois sur sept, le ver réinfectait un hôte quoi qu’il arrive. Les réinfections cumulées ont transformé un outil de mesure en un déni de service contre lui-même.

Les premières fois juridiques et institutionnelles

Il n’existait aucun manuel de réponse, alors les administrateurs ont improvisé, partageant des correctifs sur un réseau que le ver lui-même congestionnait. Les suites ont produit des institutions durables : Morris est devenu la première personne condamnée au titre du Computer Fraud and Abuse Act américain de 1986, et l’incident a directement provoqué la création de la première Computer Emergency Response Team (CERT/CC) à Carnegie Mellon.

Ce que la chronique retient

Le ver Morris est le mythe fondateur du domaine. Il a établi, en une seule nuit, que le code auto-propageant ne respecte pas l’intention de son auteur, qu’internet n’avait aucun système immunitaire, et que les institutions pour en bâtir un devraient être inventées de zéro. Toute chronique de ver ultérieure est, en un sens, une note de bas de page de celle-ci.