Le Ver de Morris
Un programme de 99 lignes qui paralysa l'internet naissant et força une culture à affronter ses propres conséquences.

L'objet
Le ver de Morris était un programme auto-réplicant lâché sur internet le soir du 2 novembre 1988 par Robert Tappan Morris, étudiant de première année de troisième cycle à Cornell, âgé de 23 ans. Il ne le lança pas depuis Cornell mais depuis une machine du MIT, pour en masquer l'origine. Il exploitait des faiblesses connues d'utilitaires d'Unix Berkeley (un débordement de tampon dans fingerd, une porte dérobée en mode debug du démon de courrier sendmail, et les relations de confiance rexec/rsh), et il portait un dictionnaire d'environ 400 mots de passe courants pour s'introduire dans d'autres comptes. Il se copiait ensuite de machine en machine sans intervention humaine. Morris n'était pas un étranger au milieu : son père, Robert Morris Sr., était scientifique en chef au centre de sécurité informatique de la NSA.
Un bug, pas une bombe
Le ver ne portait aucune charge destructrice : il ne supprimait rien et ne volait rien. Ses dégâts vinrent d'un défaut de sa propre conception. Morris avait anticipé que les défenseurs pourraient immuniser leurs machines en simulant une infection ; il programma donc le ver pour qu'il réinfecte un hôte environ une fois sur sept, quoi qu'il trouve. Ce ratio était bien trop agressif : les machines accumulaient des dizaines de copies en cours d'exécution, et la charge les paralysait. En une journée environ, il atteignit quelque 6 000 systèmes, chiffre souvent rapporté comme environ dix pour cent des 60 000 hôtes que comptait alors internet. Une équipe de Berkeley et de Purdue le désassembla en quelques jours, et les propres notes de programmation de Morris furent plus tard lues au procès. Un rapport du General Accounting Office de 1990 estima le coût du nettoyage entre 100 000 et 10 millions de dollars.
Pourquoi c'est important
Ce fut le moment où la culture hacker perdit son innocence en public. Le ver fit la une du New York Times, qui nomma Morris en quelques jours. Il devint la première personne jugée et condamnée en vertu du Computer Fraud and Abuse Act de 1986 : en 1990, il fut condamné à trois ans de mise à l'épreuve, 400 heures de travail d'intérêt général et une amende d'environ 10 050 dollars. Cornell l'exclut. L'incident donna directement naissance au CERT Coordination Center, financé par la DARPA et établi à l'université Carnegie Mellon en novembre 1988, première équipe coordonnée de réponse aux urgences informatiques, et fit de la « sécurité internet » une profession plutôt qu'une réflexion après coup.
Il imposa aussi un examen éthique que la culture avait différé. La même curiosité qui écrivit Spacewar ! pouvait, à l'échelle d'internet, causer un tort réel sans le vouloir. L'exploration n'était plus sans conséquence. Morris lui-même poursuivit ensuite une carrière universitaire et entrepreneuriale, cofondant la start-up qui devint Viaweb avant de rejoindre la faculté du MIT, une coda discrète à l'affaire qui donna son nom à une catégorie de délit.
La leçon qu'il a libérée
À grande échelle, l'intention cesse d'être la seule chose qui compte. Une expérience curieuse et une attaque peuvent être le même code ; la différence tient à la taille du réseau où il s'exécute. Le ver apprit aux hackers que comprendre un système implique désormais un devoir de prudence envers tous les autres qui y sont connectés.
Pour aller plus loin
Poursuivre la visite
Exposition suivante
La Fondation de l'EFF