Cheval de Troie AIDS : L’histoire derrière la toute première attaque de ransomware
Utilisé pour décrire tout type de malware qui crypte des fichiers jusqu’au paiement d’une rançon, le terme « ransomware » est entré dans le lexique populaire, le nombre d’attaques augmentant chaque année.
Il est maintenant courant de lire des rapports faisant état de grandes entreprises ciblées par des cybercriminels, mais les rançongiciels tels que nous les connaissons aujourd’hui remontent au cheval de Troie du SIDA de 1989. En fait, le cheval de Troie du SIDA, également connu sous le nom de Aids Info Disk ou PC Cyborg Trojan, est considéré comme le premier rançongiciel documenté de l’histoire.
Alors qu’est-ce que c’était ? Que s’est-il réellement passé ? Et quel impact cela a-t-il eu ?
Qui a créé le cheval de Troie du SIDA ?
Le SIDA a été créé par un biologiste de l’évolution formé à Harvard nommé Joseph Popp, et déployé en décembre 1989, selon SDxCentral.
Internet en était à ses balbutiements à l’époque, mais le ransomware a réussi à atteindre environ 20 000 personnes et institutions médicales.
À l’aide de listes d’abonnés au courrier volées de la conférence de l’Organisation mondiale de la santé sur le sida et du magazine PC Business World, Popp a déployé le rançongiciel via des disquettes.
Imprimé avec un logo pour la société fictive PC Cyborg Corporation, le disque était étiqueté comme « Disquette d’introduction à l’information sur le SIDA » et contenait des enquêtes destinées à déterminer le risque d’une personne de contracter le SIDA.
Qu’a fait le cheval de Troie du SIDA ?
Les disquettes contenaient également un cheval de Troie écrit en QuickBASIC 3.0. Le logiciel malveillant était subtil, car il ne cryptait pas immédiatement les fichiers de la victime. Au lieu de cela, il a détourné AUTOEXEC.BAT.
AUTOEXEC.BAT, abréviation de « fichier batch exécuté automatiquement », est un fichier système qui était à l’origine sur les systèmes d’exploitation de type DOS et lu au démarrage par toutes les versions de DOS.
En d’autres termes, les systèmes d’exploitation infectés exécutaient le fichier à chaque démarrage. Le logiciel malveillant s’est activé vers le 90e démarrage, cryptant les noms de tous les fichiers sur le lecteur C: et affichant une demande de rançon.
« Il est temps de payer votre location de logiciel auprès de PC Cyborg Corporation. Complétez la FACTURE et joignez le paiement pour l’option de location de votre choix », indique la note de rançon, demandant à la victime d’envoyer au moins 189 $ (équivalent à 400 $ en 2021) à une boîte postale au Panama.
Quel impact le rançongiciel AIDS a-t-il eu ?
Popp ne s’est pas vraiment enrichi en déployant le premier rançongiciel au monde, car la grande majorité de ses cibles ne voyaient aucun intérêt à envoyer leur argent à une boîte postale panaméenne.
Cependant, de nombreuses victimes, dont la plupart travaillaient dans le domaine médical, ont paniqué et effacé leurs disques durs, perdant ainsi des données de recherche inestimables.
Le cheval de Troie du SIDA n’était pas aussi sophistiqué que les variantes de rançongiciels qui l’ont suivi, c’est pourquoi le conseiller éditorial de Virus Bulletin, Jim Bates, a publié en janvier 1990 AIDSOUT et CLEARAID, deux programmes qui supprimaient facilement les logiciels malveillants et décryptaient les fichiers infectés.
Popp a été démasqué en tant qu’auteur du logiciel malveillant en janvier 1990, lorsque les autorités néerlandaises l’ont arrêté dans un aéroport d’Amsterdam, où il aurait fait une dépression nerveuse.
En définitive, comme L’Atlantique rapporté, Popp a été jugé inapte à subir son procès. Il a été déporté aux États-Unis, où il est resté jusqu’à sa mort en 2007.
On ne sait toujours pas pourquoi Popp a déployé le malware en premier lieu. Au tribunal, il a affirmé avoir voulu faire don des paiements de la rançon à la recherche sur le sida, mais certains rapports allèguent qu’il a libéré le cheval de Troie pour revenir à l’Organisation mondiale de la santé pour avoir été rejeté pour un emploi.
La tentative de Popp de faire chanter ses victimes n’a peut-être pas été très fructueuse, mais le cheval de Troie du SIDA a été à bien des égards un tournant pour les cybercriminels et les experts en sécurité.
Protection contre les rançongiciels
Les recherches montrent que les États-Unis ont subi 538 % de cyberattaques de plus en 2020 qu’en 2005, les ransomwares étant l’une des menaces les plus répandues.
Nous avons parcouru un long chemin depuis les disquettes. De nos jours, la plupart des rançongiciels sont diffusés par le biais de campagnes d’e-mails de phishing, de fausses mises à jour de navigateur, etc.
En ce qui concerne les ransomwares, ou tout autre type de malware d’ailleurs, mieux vaut prévenir que guérir. Ne cliquez jamais sur des liens suspects, ne téléchargez jamais de pièces jointes à des e-mails sans les avoir d’abord vérifiées et investissez dans un bon logiciel anti-malware.