Bienvenue dans cette toute nouvelle série d’articles « Le tout premier » qu’on ne laissera bien évidemment pas qu’au masculin. J’ai pensé que cette première histoire serait sympa à vulgariser, alors, installez-vous bien confortablement sur votre canapé, ne vous laissez pas tenter par une vidéo et lisez ces quelques lignes pour comprendre comment un gamin de 15 ans, sans le savoir, va marquer l’histoire à tout jamais.
Contrairement à une idée reçue, le premier virus informatique n’est pas né dans un laboratoire militaire ni dans les couloirs d’une université. Il n’a pas non plus été conçu par des ingénieurs ou des chercheurs en sécurité, mais par un lycéen de 15 ans en 1982, dans sa chambre en Pennsylvanie. Et oui, encore une histoire qui commence simplement à la maison, pas dans un garage cette fois-ci, mais dans une chambre d’ado.
Elk Cloner n’était ni une arme ni une expérience scientifique, c’était à l’origine une simple blague entre amis qui s’est transformée rapidement en première cyberépidémie de l’histoire. Elk Cloner est le tout premier programme autoréplicatif à se propager de manière totalement incontrôlée en dehors de tout environnement fermé. Il répondait pour la première fois à la définition stricte d’un virus puisque son code était capable de se dupliquer et de se répandre sans intervention humaine. Son créateur, Rich Skrenta, ignorait alors que son code écrit pour amuser ses potes se révélerait être une nouvelle forme de menace numérique. Rich Skrenta est alors lycéen à Mt. Lebanon High School près de Pittsburgh quand il écrit Elk Cloner.
Le mécanisme repose sur une idée simple et brillante. Une disquette porteuse du virus charge un bout de code sur la RAM de l’Apple II, qui à cette époque n’a aucune protection. Ce code sauvegarde les premiers octets de RWTS (c’est le logiciel qui lit et écrit sur une disquette) puis les déplace vers une autre zone de mémoire. Le virus s’octroie alors cette place de premier choix et déclenche son exécution avant les autres. Une fois exécuté, ce bout de code donne la main aux 3 octets du RWTS déplacés pour ne pas créer d’erreur système. Autrement dit, le virus a dégagé la première zone mémoire du RWTS pour devenir le premier à décider du devenir de la disquette et se répliquer ainsi en elle tout en laissant RWTS travailler comme d’habitude après lui. Malin !
Tant que l’Apple II reste allumé, Elk Cloner tient bon en mémoire vive, guettant chaque disquette insérée. Dès qu’il en repère une non infectée, il s’y copie discrètement au niveau du secteur d’amorçage. Un compteur intégré comptabilise alors chaque démarrage depuis une disquette contaminée. À la cinquantième fois, le poème apparaît à l’écran, verrouillant temporairement la machine, mais sans endommager les données. L’Apple 2 n’avait pas de système d’exploitation en mémoire, il lui fallait une disquette bootable et DOS 3.3. La plupart des jeux de l’époque, comme Choplifter, contenaient ce boot et le jeu. Les autres disquettes servaient simplement de stockage et l’Apple ne démarrait pas avec, donc celles-ci ne pouvaient pas être infectées.
On ne pouvait s’en débarrasser qu’après en avoir compris le fonctionnement finalement. Comme le virus n’était pas résident après l’extinction de l’ordinateur, la RAM redevenait saine. Il était nécessaire de formater les disquettes infectées, puis de recopier les fichiers propres sans le secteur d’amorçage.
ELK CLONER: THE PROGRAM WITH A PERSONALITY
IT WILL GET ON ALL YOUR DISKS
IT WILL INFILTRATE YOUR CHIPS
YES, IT’S CLONER!
IT WILL STICK TO YOU LIKE GLUE
IT WILL MODIFY RAM TOO
SEND IN THE CLONER!
Le poème en version française :
ELK CLONER : LE PROGRAMME AVEC UNE PERSONNALITÉ
IL S’ATTRAPERA SUR TOUS TES DISQUES
IL S’INFILTRE DANS TES PUCES
OUI, C’EST CLONER !
IL TE COLLE COMME DE LA COLLE
IL MODIFIERA AUSSI LA RAM
ENVOYEZ LE CLONER !
Rich Skrenta ne cherchait ni profit ni sabotage. Il explorait l’assembleur 6502 et s’amusait avec les vecteurs en mémoire. Pourtant, la circulation des disquettes a suffi pour transformer la blague en épidémie. Il poursuivra ensuite une belle carrière dans la tech. Il participe à NewHoo, qui deviendra l’Open Directory Project chez Netscape. Il lance plus tard Topix autour de l’information locale. Malgré ces succès, son nom reste associé à cette première épidémie sur PC.
Elk Cloner révéla une fragilité essentielle. Les Apple II exécutaient sans vérification le code contenu dans le secteur de démarrage d’une disquette. Il prouva dans le monde réel qu’un programme pouvait se propager seul via un support amovible. Quelques années plus tard, le virus Brain reprit le même principe sur les disquettes MS-DOS. La vulnérabilité des ordinateurs personnels devint alors évidente. L’ère des virus informatiques venait de commencer.
Les autres premiers virus
Avant cette histoire, il y a eu des essais réalisés, mais dans un environnement contrôlé et en réseau. Creeper apparaît en 1971 sur ARPANET et tourne sur des PDP-10 sous TENEX. Le programme se déplace d’une machine à l’autre et affiche « I’m the creeper, catch me if you can ». Il ne contamine ni fichiers ni disquettes. Il démontre surtout la possibilité d’une réplication automatisée. Un autre code nommé Reaper circule ensuite pour le supprimer.
Après Elk Cloner, la planète PC découvre Brain en 1986. Deux frères à Lahore conçoivent un code qui s’installe dans le secteur d’amorçage des disquettes MS-DOS (identique à Elk Cloner). Une fois en mémoire, il intercepte les accès disque, déplace le vrai secteur d’amorçage vers une zone cachée et marque des secteurs comme défectueux pour passer inaperçu. Il ajoute parfois un label “Brain” et un message avec leurs coordonnées. Le programme est peu destructif, mais sa diffusion devient mondiale et fait entrer le grand public dans l’ère des antivirus.
https://github.com/agiacalone/elk-cloner-malware/blob/main/elk_cloner.a6502.asm