Dark Avenger

Contexte et origines

Dark Avenger a émergé dans un contexte technologique et culturel particulier, celui de la Bulgarie de la guerre froide. Le gouvernement bulgare avait autorisé des projets de rétro-ingénierie de technologies occidentales, ayant abouti à la gamme d'ordinateurs personnels Pravetz dans les années 1980 — des clones de machines occidentales populaires, déployés dans les écoles pour enseigner la programmation. Cela a fait émerger une communauté de jeunes programmeurs techniquement aguerris.

En avril 1988, le magazine bulgare d'informatique Компютър за Вас (Computer for You) a publié la traduction d'un article allemand sur les virus informatiques et les méthodes pour les écrire. En quelques mois, plusieurs virus étrangers sont apparus en Bulgarie. La combinaison de l'article et d'échantillons de virus en circulation a inspiré des programmeurs locaux à écrire les leurs. Une première vague de virus bulgares a suivi, commençant par « Old Yankee » et « Vacsina ». Dark Avenger est apparu pour la première fois au printemps 1989. À l'époque, la loi bulgare ne contenait aucune interdiction relative à l'écriture de virus informatiques.

Les chercheurs antivirus ont noté que la Bulgarie comptait des programmeurs talentueux disposant de peu de débouchés commerciaux. Le chercheur en sécurité bulgare Vesselin Bontchev a attribué la vague de virus en partie à l'histoire bulgare de piratage de logiciels occidentaux et à l'absence d'inculcation d'une éthique informatique chez les élèves.

Virus

Le premier virus de Dark Avenger est apparu début 1989 et contenait la chaîne : « This program was written in the city of Sofia (C) 1988–89 Dark Avenger. » Le virus est généralement désigné par le pseudonyme de son auteur. Le pseudonyme lui-même est tiré d'une chanson de Manowar, et les virus de Dark Avenger faisaient fréquemment référence à des groupes de heavy metal, dont Iron Maiden, ainsi qu'à Diana, princesse de Galles.

Le virus initial Dark Avenger était notablement infectieux : avec le virus actif en mémoire, le simple fait d'ouvrir ou de copier un fichier exécutable suffisait à l'infecter. Le virus portait également une charge utile destructrice, écrasant un secteur de disque aléatoire toutes les 16 exécutions d'un programme infecté, corrompant progressivement fichiers et répertoires. Les fichiers corrompus contenaient la chaîne « Eddie lives... somewhere in time! » — une référence à Iron Maiden. En raison de sa forte infectiosité, le virus s'est propagé en Europe de l'Ouest, en URSS, aux États-Unis et en Asie de l'Est.

L'auteur néerlandais Harry Mulisch a rapporté avoir rencontré le virus sur son ordinateur portable alors qu'il écrivait The Discovery of Heaven, envisageant brièvement de nommer un personnage Eduard d'après le message du virus, avant de le faire retirer par un professionnel.

Dark Avenger se serait vu attribuer la paternité d'un catalogue substantiel de virus, dont : Dark Avenger, V2000 (deux variantes), V2100 (deux variantes), 651, Diamond (deux variantes), Nomenklatura, 512 (six variantes), 800, 1226, Proud, Evil, Phoenix, Anthrax et Leech. Les bulletin board systems lui servaient de canal principal de distribution du code source.

Travaux notables : le moteur de mutation

La contribution technique la plus significative attribuée à Dark Avenger est le moteur de mutation (MtE). Ce composant permettait aux virus de modifier la signature de leur propre code à chaque infection, les rendant nettement plus difficiles à détecter pour les logiciels antivirus reposant sur l'analyse par signatures. À sa parution, les auteurs Paul Mungo et Bryan Clough l'ont décrit comme « le virus le plus dangereux jamais produit », et le chercheur Steve Gibson a écrit que « la donne est définitivement changée ».

Identité

L'identité réelle de Dark Avenger n'a jamais été publiquement confirmée. En 1992, Dark Avenger s'est décrit comme un fan de heavy metal de moins de 30 ans qui écrivait des virus en procrastinant au travail.

La chercheuse en sécurité Sarah Gordon a établi un contact public avec Dark Avenger après avoir demandé qu'un virus porte son nom, utilisant l'échange comme point d'entrée pour communiquer. Elle a ensuite publié leur correspondance sous forme d'interview. Les chercheurs Andrew Bissett et Geraldine Shipton ont analysé ce matériel et conclu que Dark Avenger pratiquait le victim blaming, attribuant la transmission des virus à « la stupidité humaine » et rejetant la valeur des données stockées sur les ordinateurs personnels. Ils ont cité comme facteur motivant l'envie ressentie à l'égard des Occidentaux fortunés ayant accès à des ordinateurs ; Gordon elle-même a attribué une partie de ses actes à une animosité envers Bontchev.

Dark Avenger a lancé des attaques répétées contre Bontchev, notamment en intégrant de fausses chaînes de copyright affirmant que Bontchev était l'auteur des virus V2000 et V2100. Ce conflit a conduit certains observateurs à spéculer que les deux se faisaient mutuellement de la promotion ou qu'ils étaient une seule et même personne. Bontchev a démenti et a affirmé en 1993 avoir identifié Dark Avenger, tout en notant que, l'écriture de virus n'étant pas illégale, il n'y avait pas lieu de poursuivre l'affaire.

Un article de Wired paru en 1997 par le journaliste David S. Bennahum a relancé l'attention sur l'identité de Dark Avenger. Bennahum ne l'a pas découverte mais en est venu à soupçonner l'opérateur d'un bulletin board system bulgare collectant des virus dans les années 1990. Ni cette personne ni celle prétendant être Dark Avenger n'ont confirmé ou démenti ce lien.