Encadré issu de l'article paru dans Le Virus Informatique 26 (Juin 2004)

La clef de l'histoire ?


La véracité de l’étude de Danielle Kaminsky est mise en cause publiquement à plusieurs reprises, sans qu’elle soit contactée. Et c’est à titre personnel qu’elle est visée, pas le Clusif qui a encadré l’étude. Notamment par Guillaume Tena qui affirme avoir fourni matière et contacts pour cette étude. À la demande des contradicteurs, je réclame donc à Danielle Kaminsky les preuves de ses dires. Autrement que par les e-mails que j’avais pu lire jusqu’ici (des mails auraient pu être inventés de toutes pièces). Elle me propose donc un enregistrement d’un des auteurs de virus, une sorte de débriefing réalisé après la publication de son étude. Le délinquant confirme les grandes lignes de l’étude (lire pages suivantes). Cerise sur le gâteau: il ajoute comment il a diffusé Elvira sur Internet. Il s’agit donc de Spanska. À son actif, on trouve également Happy99, et il a participé à Hybris.
En fait, aucune surprise jusque-là, si ce n’est qu’on reconnaît sur l’enregistrement… Guillaume Tena, que D. Kaminsky essayait de protéger malgré ses attaques répétées contre elle! Pourtant M. Tena m’a assuré publiquement ne pas être Spanska. Alors à quel moment a-t-il menti? À noter, Spanska poussera le sadisme jusqu’à répondre dans un forum à une de ses victimes pour lui conseiller de prendre… AVP (KAV) ! Si les auteurs de virus sont suspectés depuis peu d’avoir de nouvelles motivations (comme favoriser le spam moyennant finance), l’étude de D. Kaminsky démontre que d’autres diffuseurs de virus considèrent normale leur relation avec tel ou tel éditeur antivirus sachant qu’ils leur procurent un avantage commercial. Elle affirme que plusieurs des auteurs de virus interviewés sont toujours en activité. On comprend mieux maintenant la haine du milieu à son égard. Et, par extension paranoïaque, à l’égard de votre magazine qui a osé publier quelques textes (sans rapport) de cette lectrice.

Interview de Guillermito réalisée par Danielle Kaminsky, le 29 juillet 1998 (extraits)


DK : et cette a… les virus, c’est quelque chose que tu fais et qui reste sur ton ordinateur ou ça dépasse ça? ou ça s’en va ailleurs?
GT: euh… bah dans un premier temps évidemment je les gardais sur mon ordinateur, je les testais donc, c’était en circuit fermé donc ça ne sortait pas et en fait, toujours poussé par cette sorte de curiosité, ej me suis dit: il faut faire un test en vraie grandeur, il faut, j’aimerais savoir si moi, je suis capable de diffuser un virus qui va se retrouver dans la nature dans le monde entier, comme des exemples de virus connus: le Michelangelo etc. qui sont des virus qui se sont répandus dans le monde entier. Alors qu’ils ont été créés à partir d’un seul ordinateur par une personne, ça c’est… c’est le côté fascinant du virus, c’est que un jour il est sur une seule disquette du créateur et puis euh… un an après il se retrouve à des millions et des millions d’exemplaires sur des ordinateurs du monde entier, ça c’est… c’est absolument fascinant quoi, de savoir que ton programme va avoir sa propre vie autonome, une fois que il… toi tu ne le contrôles plus, il va se développer tout seul, sans… sans… sans plus… sans plus de contact avec son créateur, ça c’est… c’est… il y a un côté vraiment très très… très très fascinant là-dedans.

DK: mais par exemple quand on sait que ça va perturber, si ça ne détruit pas, que ça va quand même perturber euh… l’utilisateur, qu’est-ce qu’on ressent par rapport à ça? Ca fait partie du plaisir?
GT: non, non, non! Ca fait pas… toujours… y a un côté euh… y a un petit côté malsain, bon c’est sûr, quoi hein, je ne le nie pas, y a un petit côté malsain, c’est à dire à l’utilisateur infecté en fait: regardes! J’ai pris… j’ai pris le pouvoir de… sur ton ordinateur! C’est moi maintenant qui maîtrise ton ordinateur, grâce à mon virus, et je peux en faire ce que je veux, absolument! Là, il y a un petit côté, oui un petit côté euh… je dirais abus de pouvoir qui est… qui est amusant, et qui est certainement, qui est certainement malsain, ça c’est clair! C’est pas de faire… c’est pas de gêner l’utilisateur qui est amusant, ça à la limite le virus parfait c’est le virus qui passe complètement inaperçu, où personne s’en rend compte! Mais euh c’est ce petit côté euh… montrer à l’utilisateur qu’on est plus fort que lui, c’est une question de… simple question de… oui… de… montrer qu’on est capable de prendre le pouvoir sur lui, enfin, à travers son ordinateur, quoi. Malgré toutes les protections qu’il a pu y mettre.

DK: et alors justement, tout à l’heure au restau, on discutait des problèmes de… euh… de relations avec les éditeurs. Est-ce que tu peux me donner ton point de vue là-dessus et peut-être approfondir par rapport à ce qu’on a…?
GT: Ah, bah! Les… les relations avec les éditeurs d’antivirus, elles sont très très limitées en fait. Bon, y a… y a plusieurs types: soit on peut discuter dans des forums de discussion sur Internet, euh… on peut discuter donc… euh… assez… assez librement, quoi! Il y a des forums spécialisés où justement les auteurs de virus et les antivirus peuvent discuter ensemble. Bon généralement ça se passe assez bien. Euh… ça se passe bien, je veux pas dire qu’il y a une complicité, j’irais pas jusque là, mais… généralement les discussions se limitent à des points de vue techniques ou des choses comme ça sur des nouvelles techniques qu’on développe eux et nous, euh… sinon, il y a d’autres contacts, c’est que souvent les auteurs de virus… euh… qui ont créé un virus intéressant pour une raison ou une autre, et qui n’ont pas envie d’aller infecter la terre entière pour montrer que leur virus fonctionne bien, qu’est-ce qu’ils font? Ils prennent leur virus et ils l’envoient directement à un éditeur d’antivirus, euh ça, ça… moi je l’ai fait et… je suis pas le seul, y a… y a… y a pas mal de… d’auteurs de virus qui font ça!

DK: et on le fait pourquoi?
GT: on le faire pour euh… là aussi y a plusieurs raisons: on le fait parce que… d’abord ça permet aux éditeurs d’antivirus d’avoir le virus avant qu’il ne se diffuse euh… chez les utilisateurs, donc les éditeurs d’antivirus peuvent développer des routines de désinfection, euh… peuvent analyser le virus avant qu’il soit dans la nature. Or généralement, c’est plutôt l’inverse, c’est le virus est dans la nature et puis un jour y a un utilisateur qui envoie un échantillon à l’antivirus mais là c’est trop tard. Le virus est répandu. Donc c’est une méthode pour euh… que les éditeurs d’antivirus aient un échantillon, qui vient directement de l’auteur, avant que euh… que… que… que… que le virus se retrouve répandu.

DK: quel intérêt pour l’auteur de virus?
GT: pour l’auteur de virus? Y a un intérêt euh… qui est un intérêt de satisfaction de l’égo, c’est-à-dire que le… bon, généralement, on l’envoie à quelqu’un qu’on aime bien, parce qu’on le connaît un peu ou on peut lire des articles techniques que les antivirus écrivent, donc on sait que untel écrit de bonnes critiques sur les virus ou des critiques techniques assez détaillées, ça on aime bien… généralement, donc on va envoyer à tel, tel éditeur d’antivirus, généralement telle personne en fait, on choisit pas vraiment tel ou tel antivirus, on choisit une personne… qu’on aime bien, ou enfin, pour diverses raisons, et nous qu’est-ce qu’on en tire? On en tire la satisfaction de… soit de voir un joli article finalement qui va être publié soit sur le web euh… une jolie analyse technique qui va être publiée dans des magazines professionnels ou des… des… dans des groupes de discussion. Euh… c’est-à-dire, finalement, notre virus il va exister par cette analyse technique, quoi! Il va… sinon, un virus qui n’est ni diffusé, euh… dont personne ne parle, finalement, il n’existe pas! Un virus qui reste dans ton ordinateur, il n’a aucune existence! Y a que toi qui sais qu’il existe, qu’il est génial, point! C’est assez limité. Donc, au niveau satisfaction de l’égo, c’est bien de… de… de voir un joli article technique qui montre toutes les… toutes les possibilités de ton virus, les possibilités d’infection, les jolies routines que tu as pu, sur lesquelles tu as travaillé longtemps dessus, pour sortir ces routines. Une routine sur laquelle tu as travaillé un mois, bon, tu es content qu’il y ait quelqu’un qui l’apprécie à sa valeur, quoi, même si c’est quelqu’un de l’autre côté. Bon y a toujours… généralement les sources de virus se distribuent dans la scène virus underground, donc tu as aussi les commentaires de tes copains du monde entier euh… auteurs de virus, mais il y a une sorte de côté officiel à l’avis d’un antivirus, parce que nous on n’est pas officiels, on n’a pas de… d’existence officielle, donc ça c’est bien, quoi, ça donne vie en fait à ton virus.

DK: alors quelles sont les…
GT:... sa carte… sa carte d’identité, sa carte de naissance, c’est… ton virus n’existe que lorsqu’il est dans la base de données d’un éditeur d’antivirus, sinon il n’existe pas.

DK: et quelle satisfaction euh… y a en dehors de ça pour un auteur de virus?
GT: Quelle satisfaction? Bon, y a aucune satisfaction financière, ça c’est clair, c’est pas la meilleure façon de… de… gagner de l’argent, on gagne… on gagne strictement rien, et de toutes façons c’est pas ce qu’on cherche. Euh… donc au niveau financier euh y a strictement… euh… c’est très très limité, euh… d’autres satisfactions? Beuh, y a… y a… ya le plaisir, le plaisir, d’avoir réussi à programmer un virus complexe, stable, bon, ça c’est une satisfaction personnelle, une satisfaction de l’égo, ça veut dire: j’y suis arrivé! Bon, on voit… on voit… au début on programme des virus très simples et puis on voit des types qui développent des virus ultra compliqués, polymorphiques, furtifs, etc, on se dit: est-ce que moi je vais y arriver? Et quand on y arrive, on est content, et c’est pour ça qu’on a envie de… on a pas envie d’être le seul content, on a envie que ce travail soit… reconnu en fait par la communauté virale et anti-virale du monde, et donc c’est pour ça qu’on aime bien avoir des… on l’envoie à des antivirus, ou alors on le lâche dans la nature, c’est une autre façon.

DK: et quelle… comment est-ce qu’on… comment tu qualifies alors ces relations avec les éditeurs?
GT: Les relations avec les éditeurs? Mmm… je les qualifie de… jeu du chat et de la souris… c’est un peu ça… une sorte de… de danse en couple où chacun fait un pas vers l’avant, vers l’arrière, c’est euh… nous, nous on n’a pas grand chose à y gagner, sauf cette reconnaissance, eux ils ont de l’argent à gagner, donc en fait c’est un jeu, on joue ensemble mais pas pour les mêmes raisons. Les raisons sont très différentes. Nous c’est plutôt euh… satisfaction personnelle, reconnaissance d’un travail, et eux, c’est plutôt gagner de l’argent, quoi!

DK: en quoi ils gagnent de l’argent en ayant le virus et le contact avec l’auteur de virus?
GT: euh… déjà bon c’est jamais eux qui contactent les auteurs de virus, hein, c’est toujours tel ou tel auteur de virus qui a envie et qui envoie, qui décide: tiens, je vais l’envoyer à lui, et puis le prochain virus je l’enverrai à lui, ou même il l’envoie à tout le monde en même temps, on l’a vu, euh… bon. Donc, déjà c’est pas eux qui choisissent, c’est nous qui imposons. Enfin, qui imposons, c’est nous qui choisissons les gens à qui on peut confier ce virus. Euh… c’est quoi la question déjà?

DK: la question c’est: en quoi ils gagnent de l’argent avec ça?
GT: Ah? Euh… bah en fait les…

DK: quel est leur intérêt?
GT:... les antivirus, bon. L’utilisateur de base, il arrive à la FNAC, qu’est-ce qu’il voit? Il voit dans les rayons dix antivirus différents. Il a aucune idée duquel peut être le meilleur, le plus efficace, il sait pas. Il sait pas du tout. S’il regarde les jacquettes des produits, il verra sur chacun: 100 % de virus détectés, connus, inconnus, euh… à venir, passés, futurs, enfin bon. Généralement ce sont uniquement des mensonges, mais il ne pourra pas faire sa… sa prise de décision là-dessus. Donc les éditeurs d’antivirus ont… aiment bien de temps en temps passer des communiqués qui sont euh… parfois repris dans les journaux, donc ça leur fait une sorte de publicité, et comment ils peuvent faire des communiqués? En disant: nous avons été les premiers à détecter euh… les virus de macro, nous avons été les premiers à détecter les virus d’Excel, nous avons été les premiers à détecter tel virus précis. Euh… bon, il y a des virus dont on parle beaucoup, pour diverses raisons, parfois bonnes, parfois pas très bonnes, virus comme ça qui apparaît tout d’un coup et qui fait une sorte d’énorme… bruit… et
(bruit de porte dans une autre pièce)

DK: ah tiens, (s’adressant à la personne qui fait le bruit de l’autre côté) Doudou!
Alors on en était aux communiqués et…
GT: oui, donc, une des meilleures moyens de publicité qu’ont les éditeurs d’antivirus, c’est en passant des communiqués: c’est nous qui avons été les premiers à détecter et désinfecter ce virus-là, donc quand nous on leur envoie un virus, ah… ça peut leur permettre de produire ce genre de communiqués. Donc, là, eux, effectivement, ils peuvent y gagner. Bon, ça on le sait, ça on le sait qu’ils vont utiliser, qu’ils vont l’utiliser, mais… c’est une sorte de… c’est pour ça que je dis qu’il y a un jeu où tout le monde y gagne un peu, tout le monde y perd un peu aussi, mais euh… pour des raisons complètement différentes, quoi!

DK: qu’est-ce qu’on perd?
GT: Bah eux, ils peuvent y perdre en crédibilité, parce qu’on peut… on peut leur dire qu’ils collaborent avec des, des auteurs de virus, et ça ça peut être utilisé, ils peuvent utiliser, les différents éditeurs d’antivirus peuvent utiliser ça pour se tirer dans les pattes les uns les autres, et ça, ils adorent ça, euh… ou
(aboiement de chien dans une pièce voisine, interruption) [...]

DK: Et quand tu les diffuses, tu fais comment?
GT: pour les diffuser? C’est très très facile! Euh… bon déjà il faut voir qu’un virus nouveau il va pas être reconnu par les scanners, bon, évidemment il est nouveau, et euh… les méthodes heuristiques de détection, on peut les passer assez facilement, donc, par la majorité des antivirus, une infection va passer complètement inaperçue. Donc en fait on a un petit laps de temps pendant lequel on peut diffuser un virus et personne ne le verra jamais. Donc à partir de là, il suffit de… prendre des petits programmes dont on est sûr que les gens vont le copier, vont se le passer entre eux dans des réseaux, tout ça, et l’infecter par un virus, par ce virus, et le diffuser soit par mail à des gens qui demandent des programmes de piratage et des trucs comme ça, soit dans les newsgroups, ça c’est… ma cible favorite c’est les newsgroups, les groupes de discussion, en français, parce qu’on a tout de suite une diffusion mondiale. En fait, un mail, tu envoies un mail, c’est-à-dire tu prends un risque et tu envoies à une personne, bon. Euh… envoyer dans un newsgroup, tu prends le même risque, c’est-à-dire que tu envoies une fois, mais par contre il se répand sur tous les serveurs de news de la planète, et tu peux infecter avec une seule prise de risque, tu peux infecter des milliers de gens, d’un seul coup. Donc moi c’est mon système favori, euh… donc tu prends, tu fais ce qu’on appelle le système du cheval de Troie, c’est-à-dire tu prends un programme qui a l’air d’être utile, un programme pour pirater Eudora, pour pirater Word, n’importe quoi, un crack on appelle ça des cracks, euh… hop! tu l’infectes par ton virus, tu l’envoies dans un groupe de cracks. Tu es sûr que si tu sais bien viser - bon il faut bien… il faut savoir utiliser un peu de psychologie là-dedans, tu… et être au courant des choses, c’est-à-dire que euh… je sais pas, moi, prenons un exemple un peu… un peu pris au hasard: Microsoft va sortir un nouveau, une nouvelle version de Word, tu vas envoyer un crack une semaine après qui dit: ce crack va permettre de pirater cette nouvelle version de Word. Génial! Tout le monde va le télécharger, tout le monde va l’exécuter, sur son ordinateur, va se le repasser etc, et euh… tout le monde aura été infecté.
Un autre truc qui marche très bien, en dehors des cracks: c’est les groupes de cul. Alors ça, c’est impeccable, tu prends un logiciel, tu… tu crées toi-même un petit programme, c’est ce que j’avais fait une fois, tu crées un petit programme, alors tu vas récupérer une photo porno, ici et là, tu la mets dans un programme, et tu dis: ça c’est une super animation machin truc, enfin un petit peu n’importe quoi… il faut un peu de blabla pour bien envelopper la sauce, et tu infectes ça par ton virus, et tu le balances dans les groupes euh… les groupes de cul, bon, faut appeler ça par comment c’est, et là tu es aussi à peu près certain que tu vas avoir 10000 personnes qui vont le télécharger dans la journée. Et qui vont donc se retrouver infectées.

DK: alors par exemple concrètement, comment tu avais fait avec…
GT: Elvira?

DK: pardon?
GT: Elvira?

DK: oui, avec le virus Elvira.
GT: mon petit virus Elvira! Bah c’est exactement ça, j’avais fait ça. C’est-à-dire que dans un premier temps j’avais créé des chevaux de Troie, c’est-à-dire j’avais pas pris des programmes euh… que j’avais récupérés dans le… dans le… sur le Net et que j’avais infectés, j’avais créé moi-même des faux cracks en fait, donc des programmes que tu lances, par exemple j’avais… il y avait un crack pour Eudora justement… Euh… que tu lançais, qui disait: voilà, OK, votre version de Eudora est maintenant piratée - bon un truc en anglais - blablabla, enfin. Bon, il faut d’abord savoir comment ça fonctionne, c’est-à-dire regarder pas mal de logiciels de cracks pour voir un peu le rituel qu’il y a, le folklore, parce que il y a des manières d’écrire les mots, y a des manières de signer, y a… bon, tout ça. Donc ça on peut le simuler. Donc j’ai fait des faux cracks, j’en ai fait une dizaine, alors pour Eudora, pour Paintshop Pro, pour je sais plus, plein de programmes très à la mode à l’époque, je les ai tous infectés par mon virus, et je les ai balancés dans les groupes de cracks, sans aucun problème, en passant évidemment par des systèmes de reroutage anonyme du mail, de cryptage, de façon à ce que personne ne puisse savoir d’où venaient ces cracks, de quel endroit ils étaient envoyés, de façon à ne laisser absolument aucune trace. Et ça ça marche très bien. Et j’ai fait la même chose en faisant des faux… des faux programmes de cul, alors soit des fausses animations, soit des fausses images, ou des fausses publicités pour des sites web que j’ai… en fait tu prends une photo, tu rajoutes un petit texte en bas, genre: allez voir http.www.n’importe quoi.com et puis tu balances ça et les gens croient que c’est une pub, ils vont se dire: chouette! je vais aller voir une super photo, ils le lancent. Effectivement ils voient une superbe photo mais bon, ça va pas plus loin. Ils se disent: tiens! je me suis fait arnaquer. Mais, ils effacent le programme, mais bon c’est trop tard, ils l’ont exécuté le virus, il est sur leur ordinateur, c’est fini.

Les autres encadrés :

Le second référé
Toutes les pistes mènent à Kaspersky
Dernière minute : Tegam aussi !
Mise en examen
La clef de l'histoire ?

Revenir à l'article principal.