I love you (ver informatique)

I love you

Description de l'image Loveletter-wurm.png.

Informations
Développé par	Onel de Guzmán (en)
Première version	4 mai 2000
Écrit en	VBScript
Système d'exploitation	Windows 9x, Windows NT et Windows 2000
Type	Ver informatique

I love you (« Je t'aime », en anglais) est le nom d'un ver informatique, apparu pour la première fois le 4 mai 2000.

Présentation modifier

Ce ver portait aussi les noms Loveletter et The Love Bug. Il dissimulait, derrière une fausse lettre d’amour, un script malicieux programmé en VBS. Ce script a diffusé massivement le ver à travers les logiciels de messagerie Microsoft Outlook et Outlook Express. Il ajoutait également des clefs dans la base de registre de Windows, lui permettant de se lancer à chaque démarrage de Windows. Il s’insérait dans les fichiers *.JPG, *.JPEG, *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.DOC *.HTA et les renommait en leur ajoutant l'extension .VBS afin de permettre son exécution. Il y a une exception : les fichiers *.MP3. Le ver s'insère seulement dans une copie de ces fichiers, en gardant l'original avec l'attribut caché (Hidden).

ILOVEYOU a infecté en premier lieu les Philippines, ensuite la quasi-totalité de l’Asie, l’Europe, l’Afrique et les Amériques.

Ses auteurs étaient des Philippins, Irene et Onel de Guzman^[1] et Reomel Lamores.

Dommages estimés modifier

Il s'est répandu sur des dizaines de millions de machines dans le monde^[1], et est responsable de dommages évalués à environ 10 milliards de dollars^[1].

Étymologie modifier

Ce ver tire son nom de la pièce jointe au courrier électronique qui le transporte, nommé Love-Letter-for-you.txt.vbs.

Le Centre de Coordination des CERT parle quant à lui du ver Love Letter. En effet, le ver se fait passer pour une lettre d'amour, notamment grâce à l'icône des fichiers de son type rappelant celui d'une lettre.

Aspects techniques modifier

Mécanisme de contamination modifier

La plate-forme visée est Windows, en particulier Windows 98 et Windows 2000 sur lesquelles WSH est installé par défaut. Les postes sous Windows 95 et Windows NT4 sur lesquels WSH n'a pas été installé ne courent donc pas de risques. Lors de son ouverture, avant toute chose, il allonge la durée maximale du temps d'exécution des scripts VBScript.Ce script cherche sur les disques locaux, mais aussi sur ceux accessibles via le réseau, tous les fichiers ayant une certaine extension (fichiers scripts, images, textes, pages HTML, etc.) et remplace leur contenu par le code source du ver (le script). Les fichiers légitimes sont donc perdus. Il change la page d'accueil d'Internet Explorer de manière à télécharger un cheval de Troie (trojan horse en anglais). Il ajoute également le suffixe .vbs au nom des fichiers. Il modifie aussi la base de registre de Windows pour être redémarré à chaque lancement du système. Une fois installé, il utilise le carnet d'adresses d'Outlook ou Outlook Express pour s'envoyer lui-même à tous les contacts de l'utilisateur du logiciel.

De plus, si le logiciel mIRC est présent sur l'un des disques durs, le ver va y ajouter un script envoyant automatiquement la « lettre d'amour » à toute personne se connectant au même salon que le propriétaire de l'ordinateur infecté.

Enquête modifier

Les enquêteurs découvrirent la chaîne de caractères « Barok » dans le code du ver. Ce mot était déjà apparu quelques mois auparavant dans un autre malware, moins nuisible, avec l'indication que son auteur étudiait à l'AMA, une université philippine d'informatique. La police de Manille se présenta à l'appartement d'Onel de Guzmán, 24 ans, dont le nom avait été transmis à la police par l'université. Elle trouva les disques qui prouvaient qu'il était l'un des auteurs du script. Mais les Philippines n'avaient, à l'époque, pas de lois contre le hacking. En juin 2000, une nouvelle législation fut établie, mais il était trop tard : l'auteur de l'un des vers les plus destructeurs est resté impuni. En 2020, il vivait à Manille^[1].

Notes et références modifier

↑ ^{a b c et d} « Vingt ans après, le créateur du virus informatique « I Love You » témoigne », Le Monde.fr,‎ 4 mai 2020 (lire en ligne, consulté le 5 mai 2020)

Articles connexes modifier

Lien externe modifier

Vidéo du vers en action

[:0-1] {a b c et d} « Vingt ans après, le créateur du virus informatique « I Love You » témoigne », Le Monde.fr,‎ 4 mai 2020 (lire en ligne, consulté le 5 mai 2020)

[1]