Dans le petit monde des virus informatiques, Melissa fait figure de référence par la rapidité et l'étendue de sa propagation. Relativement inoffensif pour les ordinateurs de ses victimes, il a en effet paralysé de nombreux serveurs de courrier électronique en 1999.
W97/Melissa (alias Macro.Word97.Melissa, WM97/Mailissa, WM97/Melissa@mm ou encore Mid/Melissa) doit son nom à une strip-teaseuse de Floride, dont les charmes étaient loin de laisser son auteur indifférent. Ce virus fait figure de glorieux aïeul dans la dynastie des mass mailers ces vers conçus non pour détruire ou dérober des données, mais pour saturer les infrastructures de messagerie électronique, par lesquelles ils se propagent massivement. De fait, presque 6 ans plus tard, certains mass mailers actuels reposent encore sur des fragments du code de Melissa, signe de sa redoutable efficacité…
Petit retour en arrière : 26 mars 1999, États-Unis. David L. Smith, 30 ans, dérobe les données de connexion d'un abonné au fournisseur d'accès à Internet AOL, et poste un document créé avec Microsoft Word sur le groupe de discussions alt.sex du réseau Usenet. Un groupe à caractère sexuel, donc parmi les plus fréquentés du Net : c'est le début d'une infection mondiale.
Gare aux macros
Mass mailer, Melissa s'inscrit également dans la catégorie des virus macro. Ceux-ci sont dissimulés dans des documents créés avec des applications bureautiques courantes (tableur, traitement de texte). À l'ouverture d'un document infecté, la macro (rédigée en langage VBA - Visual Basic for Applications - pour ce qui est de Melissa) exécute automatiquement une suite d'actions.
De fait, Melissa infecte les ordinateurs équipés du logiciel de traitement de texte Microsoft Word 97 ou 2000 (les versions antérieures sont ignorées), et ne se propage que depuis ceux équipés de la messagerie Microsoft Outlook. Il arrive sur l'ordinateur sous la forme d'un document Word joint à un message électronique. L'objet en est Important Message From (où désigne une personne dans le carnet d'adresses de laquelle le destinataire du message figurait), et le texte annonce Here is that document you asked for… don't show anyone else ;-) (en français, Voici le document que tu as demandé… Ne le montre à personne d'autre).
Peu de dommages… visibles
Si la pièce jointe est ouverte, Melissa passe à l'action. Sous Word 2000, il commence par désactiver les macros d'alertes de sécurité du logiciel. Sous Word 97, son " cœur de cible ", le virus ne cause toutefois aucun dommage direct aux données de l'ordinateur. Il se contente, lorsqu'un document est ouvert et que la minute et le jour sont les mêmes (par exemple, à 10h05 le 5 du mois), d'y insérer une citation de Bart Simpson, tirée d'un épisode de la série animée éponyme où la famille joue au Scrabble : " Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here " (soit, dans la langue de Paul-Loup Sulitzer, " Vingt-deux points, plus mot compte triple, plus cinquante points pour avoir utilisé toutes mes lettres. Partie terminée. Je me casse ").
Ensuite, il récupère les 50 premiers contacts recensés dans le carnet d'adresses de Microsoft Outlook, et se propage vers eux sous la forme d'un message avec une pièce jointe infectée. Enfin, Melissa paramètre le logiciel antivirus de la machine (si elle en possède un) au niveau de protection le plus faible. Cela ouvre potentiellement la voie à des infections ultérieures, puisque les utilisateurs ne seront plus avertis lorsqu'ils s'apprêteront à ouvrir un fichier contenant des macros.
Une propagation planétaire fulgurante
Si Melissa passe pour un modèle du genre, c'est justement à cause de son schéma de propagation, révolutionnaire pour l'époque. Un premier ordinateur infecte 50 autres, qui infectent à leur tour 50 autres. Les 2 500 machines infectées portent alors ce nombre à 125 000, puis 6 250 000. En seulement 6 étapes, à partir d'une source unique, le ver est ainsi susceptible d'avoir infecté 312,5 millions d'utilisateurs…
Le potentiel de ce schéma exponentiel a en outre été multiplié par l'ingéniosité de David L. Smith. Le pirate a en effet posté sa création sur un groupe de discussion Usenet, par nature ouvert et accessible depuis les quatre coins de la planète. Dès lors, il n'y a pas eu un, mais des dizaines, voire des milliers d'utilisateurs à ouvrir le fichier infecté, et à devenir le premier maillon d'une chaîne de propagation.
Heureusement, les éditeurs d'anti-virus n'ont mis que quelques heures à réagir une fois la menace identifiée, et à mettre leurs bases de signatures à jour. Hélas, les utilisateurs n'avaient pas encore le réflexe d'effectuer cette mise à jour régulièrement (mais l'ont-ils aujourd'hui, et l'auront-ils vraiment un jour ?). Les antivirus ont cependant permis à bon nombre de destinataires du virus d'échapper au fléau. Au total, Melissa aurait infecté plus d'un million d'ordinateurs dans le monde - un chiffre considérable pour 1999. Le ver a ainsi mis à genoux un certain nombre de serveurs de messagerie, incapables de faire face à un tel flot de messages.
Derrière chaque virus, un homme
Inspirés par ce succès, de nombreux créateurs de virus en ont diffusé des variantes, dès les semaines qui ont suivi. Parmi les principales, citons notamment Mad-Cow et Syndicate, des macrovirus Word, ou encore Papa, un macrovirus Excel. Au total, plusieurs dizaines de cousins de Melissa ont circulé sur la Toile, pour la plupart destructeurs de données, certains visant même les plates-formes Macintosh (par exemple Melissa-X). Pourtant, le sort de David L. Smith aurait pu refroidir les ardeurs de ces " copieurs ".
Appuyés par AOL, qui leur a fourni les données relatives à la connexion source du message déposé sur Usenet, les enquêteurs ont mis moins d'une semaine à localiser l'auteur de Melissa. Arrêté le 1er avril, Smith a été condamné le 3 mai à 10 ans de prison par la cour d'appel de l'état du New Jersey. Mais puisqu'un juge fédéral avait préalablement formulé une sentence de 20 mois d'emprisonnement et 5 000 dollars d'amende, et que la juridiction fédérale prévaut sur son équivalent local, seule cette première peine sera exécutée. La justice s'est donc montrée relativement clémente, Smith ayant prêté aux autorités son savoir-faire technique pour combattre d'autres créateurs de virus, dont certaines variantes de Melissa.
En parallèle, le pirate a également écopé de 2 500 d'amende dollars pour le vol des données de l'abonné AOL. Pour comparaison, les dégâts occasionnés aux entreprises par Melissa, essentiellement en pertes de temps et de données, sont estimés à plus de 80 millions de dollars…
