Robert Tappan Morris, l'étudiant qui a créé le premier ver informatique de l'Histoire et posé les bases de la cybersécurité

Dans notre série "Les étudiants qui ont marqué l'Histoire", nous allons vous raconter comment des hommes et des femmes sont devenus célèbres et ont impacté l'Histoire alors qu'ils étaient encore étudiants. Pour ce deuxième numéro, "La Libre Etudiant" s'est intéressée à Robert Tappan Morris.

Robert Tappan Morris, l'étudiant qui a créé le premier ver informatique de l'Histoire et posé les bases de la cybersécurité
©dr

Le 2 novembre 1988, des milliers d'internautes se réveillent avec une bien mauvaise surprise. Leur ordinateur tourne tellement au ralenti qu'il en devient inutilisable. Des experts estiment que 10% de l'internet de l'époque subit ce mystérieux dysfonctionnement qui durera plusieurs jours. A l'origine de ce chaos? Un étudiant en informatique de 23 ans : Robert Tappan Morris.

Cette année-là, le jeune homme, déjà diplômé d'Harvard, décide de reprendre des études supérieures en informatique à l'Université de Cornell. Depuis tout petit, il est passionné par l'informatique; un intérêt qui lui vient de son père, Robert Tappan Sr., spécialiste en sécurité à la NSA. Mais, bien vite, l'étudiant de première année s'ennuie dans ses études. Qualifié de "brillant" mais "très discret" par ses camarades de classe, il décide de s'occuper dans son coin. Un beau jour, il a l'idée de créer un programme capable de cartographier internet. Il se demande en effet combien de machines sont interconnectées. Il ne le sait pas encore mais il est en train de créer le premier ver informatique de l'Histoire à fonctionner en réseau.

"Un ver est un type de virus", nous explique Jean-Michel Dricot, professeur en cybersécurité à l'ULB. "Contrairement au virus, le ver n'a pas besoin d'une action de la part de l'utilisateur pour se déplacer." Le ver se reproduit seul, en se propageant de machine en machine à travers le réseau. "En étant conçu pour se répliquer au maximum, le ver de Morris est parti comme une bombe atomique", ajoute le professeur.

Un ver hors de contrôle

Pour faire simple, le ver Morris, lancé depuis le Massachusetts Institute of Technology (MIT), utilisait de grossières failles de sécurité afin de s'implanter de façon discrète dans chaque ordinateur. Il a toutefois bien vite échappé au contrôle de son créateur. L'étudiant a en effet commis une erreur en demandant à son ver de continuer à se reproduire et ce, même si l'ordinateur avait déjà été infecté. Le ver, à travers ses multiples copies sur une même machine, a saturé la mémoire des ordinateurs, les rendant inutilisables. Ce qui était à la base un "jeu intellectuel" s'est transformé en grosse catastrophe.

Selon plusieurs sources, l'étudiant aurait rapidement été décontenancé par les conséquences de son ver. Il aurait même avoué à l'un de ses amis avoir fait une erreur "colossale". Comme on peut le lire dans le livre "Internet and the Law: Technology, Society, and Compromises" écrit par Aaron Schwabach, le jeune homme a tenté de réparer son erreur en envoyant un e-mail anonyme expliquant comment s'en débarrasser, mais cet e-mail n'est jamais arrivé à destination. Il a ensuite publié un message sur internet via l'un de ses amis mais ce message n'a été lu que bien plus tard.

À cause de lui, 10% de l'Internet de l'époque aurait été paralysé durant plusieurs jours (6.000 machines sur 60.000). Heureusement, des experts sont tout de même parvenus à élaborer un patch qui a pu résoudre le problème. Mais les internautes et le grand public ont été profondément marqués par cette histoire. "Avant que Morris ne libère son ver, Internet ressemblait à une petite ville où les gens n'hésitaient pas à laisser leurs portes déverrouillées. La sécurité Internet était considérée comme un problème principalement théorique et les éditeurs de logiciels considéraient les failles de sécurité comme une priorité secondaire. Le ver Morris a détruit cette complaisance", écrit le Washington Post.

Jean-Michel Dricot ne dit pas autre chose. "Internet a été construit avec l'idée que les ordinateurs puissent collaborer entre eux et former une structure. Personne n'a pensé à l'éventualité qu'une machine collabore mal. Cela a été un électrochoc de découvrir que c'était possible. Les erreurs que Morris a découvertes à l'époque étaient d'une telle naïveté qu'on a du mal à comprendre comment Internet a pu se construire sur ce genre de concepts. Plus personne n'oserait faire des erreurs pareilles actuellement", explique l'expert.

Les bases de la cybersécurité

L'identité de Robert Tappan Morris a rapidement été révélée dans les médias. Le fait que ce soit le fils d'un expert en sécurité du gouvernement a fait les gros titres. Même si ses intentions n'étaient pas mauvaises, l'étudiant a été jugé en juillet 1989. Pour avoir causé des dégâts évalués à l'époque jusqu'à 100 millions de dollars, l'étudiant a été condamné à trois ans de probation, 400 heures de travaux d'intérêt général et à une amende de 10.000 dollars. Il est le premier Américain à avoir été condamné en vertu du Computer Fraud and Abuse Act.

Suite à cette attaque, les Etats-Unis ont créé le Computer Emergency Response Team (CERT), un centre d'alerte et de réaction aux attaques informatiques. Robbert Tappan Morris a donc sans le savoir posé les bases de la cybersécurité. "Il a découvert des erreurs qui auraient tôt ou tard été exploitées par des criminels", explique Jean-Michel Dricot. "C'est le modèle sur lequel est construit l'ensemble de la sécurité actuelle. Découvrir des erreurs et les publier rapidement pour donner à tous les moyens de les corriger, c'est comme ça que cela fonctionne. Cela n'a pas de sens d'essayer de cacher une erreur car c'est le meilleur moyen de s'assurer que ça ne serve qu'à des criminels." "Son apport a aussi été méthodologique. Les experts ont pu mieux comprendre comment se construisait une attaque. Cela nous paraît logique aujourd'hui mais, à l'époque, tout restait à découvrir. Il a donc marqué sans le vouloir l'histoire de la cybersécurité", conclut le professeur de l'ULB, qui précise que "dans l'histoire de l'informatique, ce sont souvent des étudiants qui ont chamboulé les choses".

Par la suite, Robert Tappan Morris est devenu entrepreneur. Il a co-créé l'entreprise Viaweb, qui a été rachetée par Yahoo! afin de lancer son service Yahoo! Store. En 1999, il a repris des études à Harvard où il a obtenu un doctorat en sciences appliquées. Il est aujourd'hui professeur d'informatique au MIT et a reçu plusieurs récompenses pour ses apports dans le domaine de l'informatique.