Le virus email Good Times est un canular !
Si quelqu'un propage ce canular montrez lui la FAQ.


Le Canular "Good Times Virus" - FAQ

traite également de Irina, Deeyenda, Pen Pals, et d'autres imitations

par Les Jones
lesjones@usit.net
le 12 décembre 1998

traduit par François Gouget
fgouget@free.fr
le 26 juin 1999



Ce document peut être reproduit sur tout support à condition de ne pas être modifié.

La version la plus récente est disponible aux adresses suivantes:

http://www.public.usit.net/lesjones/goodtimes.html (NDT: version anglaise)
http://fgouget.free.fr/goodtimes/goodtimes-fr.html (NDT: version française, peut-être moins à jour)


Table des matières

  1. Mise à jour du 15 juillet 1998
  2. Dans quelles langues cette FAQ est-elle disponible ?
  3. Un appel aux enseignants et aux formateurs
  4. Le virus Good Times est-il un canular ?
  5. Et Irina, Deeyenda, etc ?
  6. Pourquoi devrais-je croire cette FAQ plutôt que le canular (références)
  7. Je suis nouveau sur Internet. Qu'est-ce que le canular Good Times ?
  8. Quel est l'effet de ce canular ?
  9. Qu'est-ce que le communiqué du CIAC ?
  10. Quelle est la première version du message d'avertissement (FYI) ?
  11. Que disait la première souche majeure (Happy Chanukah) ?
  12. Quelle est l'autre souche majeure (ASCII) ?
  13. Quelle est la variante la plus populaire de ASCII (FCC et Boucle Infinie) ?
  14. Grands dieux, la FCC a-t-elle vraiment envoyé un message d'avertissement concernant Good Times ?
  15. Quand ce canular a-t-il débuté précisement ?
  16. Qui a lancé ce canular ?
  17. Quelles théories a-t-on sur les origines de ce canular ?
  18. Quelqu'un n'a-t-il pas écrit un virus s'appelant Good Times (VLAD) ?
  19. Qu'est-ce que PKZIP300?
  20. Qu'est-ce que Irina?
  21. Qu'est-ce que Pen Pals?
  22. Qu'est-ce que Deeyenda?
  23. Un virus se propageant via email peut-il exister ?
  24. Qu'est-ce que le virus macro Word ?
  25. Comment puis-je me protéger des virus de façon générale ?
  26. Ce canular n'était-il pas lui-même une sorte de virus ?
  27. Quel est le meilleur moyen de lutter contre un virus mental ?
  28. Quels sont les autres canulars et légendes populaires sur Internet ?
  29. Comment obtenir la toute dernière version de cette FAQ ?




1. Mise à jour du 15 juillet 1998

J'ai mis à jour certains des liens, et j'ai ajouté un lien vers la version Française de la FAQ.

Notez aussi le changement des URLs sur www.usit.net. Aussi, si vous avez une copie de la FAQ sur votre page Web, je vous encourage à mettre un lien vers les sites Web ci-dessous de façon à ce que vos lecteurs aient toujours la version la plus récente. De nombreux courriers que je reçois viennent de personnes qui ont lu une ancienne version de cette FAQ. (Et si la FAQ que vous lisez ne vient pas d'un des sites ci-dessous elle est peut-être obsolête).

http://www.public.usit.net/lesjones/goodtimes.html
http://www.public.usit.net/lesjones/goodtimes-mini-faq.html




2. Les versions en langue étrangère (Español et Français)

Good Times s'est répandu dans de nombreux pays et a été traduit dans de nombreuses langues. Si vous êtes bilingue vous pouvez aider dans la lutte contre ce canular en traduisant cette FAQ dans votre langue et en m'indiquant l'URL correspondante de façon à ce que je puisse l'inclure dans cette FAQ.

Español

Víctor A. Rodríguez (Bit-Man@telefonica.Com.AR) a traduit cette FAQ en Espagnol.

http://www.intersolar.com.ar/virus/GoodTimes.html

Français

François R. Gouget (fgouget@free.fr) a traduit la FAQ en Français.

http://fgouget.free.fr/goodtimes/goodtimes-fr.shtml




3. Un appel aux enseignants et aux formateurs

Si vous donnez des cours ou écrivez des livres à propos d'Internet je vous engage à mentionner l'existence de ce canular. En effet, il n'est pas prêt de disparaître aussi nous devrions dès à présent y préparer les futurs utilisateurs d'Internet. Cette FAQ est libre de droit de redistribution pour tout medium. Aussi n'hésitez pas à l'inclure dans vos supports de cours ou dans toute autre publication.




4. Le virus Good Times est-il un canular ?

Oui. C'est un canular. Il est apparu en novembre 1994 et il sévissait toujours en novembre 1996.

America Online, des agences de sécurité gouvernementales (Américaines), et des fabriquants d'anti-virus ont confirmé que le message concernant le Virus Good Times est un canular. Consultez la section "Pourquoi devrais-je croire cette FAQ plutôt que le canular (références) ?".

NDT: A cette liste on peut ajouter l'université de Jussieu, Bull et le CNRS.

Depuis novembre 1994 aucune copie du prétendu virus n'a été trouvée et pas un seul cas d'infection n'a pu être prouvé.




5. Et Irina, Deeyenda, etc ?

Ce sont des imitations de Good Times. Seul le nom a changé. Consultez la question suivante pour en savoir plus.

Notez que ne ne maintient pas une liste de tous ces canulars. Depuis que la FAQ a été écrite plusieurs sources fournissent ce genre d'information. Cette FAQ est principalement un document décrivant l'historique du canular Good Times.




6. Pourquoi devrais-je croire cette FAQ plutôt que le canular (références)

Bonne question. Pourquoi devriez vous croire quelque chose juste parce que c'est dans une FAQ ? Et plus encore, pourquoi devriez vous faire plus confiance au contenu d'un article de news ou d'un email ?

Le meilleur moyen de résoudre ce problème est de consulter un organisme qui fasse autorité. Par exemple, plusieurs éditeurs de logiciels anti-virus ont un site Web avec une base de donnée sur les virus existants. Vous pouvez également consulter le site du CIAC.

Site de Data Fellows Computer Virus Information Center (centre d'information sur les virus informatiques):

http://www.datafellows.fi/vir-info/index.htm#search

http://www.accessone.com/support/modems/

Ce site comprend une description des canulars suivants:

Site du CIAC - Computer Incident Advisory Capability (NDT: agence du gouvernement fédéral américain)

http://ciac.llnl.gov/ciac/CIACHoaxes.html

Notes du CIAC concernant Good Times

Description de Irina sur le site de Dr. Solomon (NDT: société spécialisée dans la vente d'anti-virus):

http://www.drsolomon.com/vircen/irina.html

Discussion de ces canulars sur le site de Symantec (dont en particulier Deeyenda, Irina, Good Times et PKZIP300/3b)

http://www.symantec.com/avcenter/hoax.html




7. Je suis nouveau sur Internet. Qu'est-ce que le canular Good Times ?

Il s'agit d'un message vous avertissant qu'un virus appelé "Good Times" se propage via le courrier électronique. D'après le message, le simple fait de lire un message ayant "Good Times" comme sujet peut effacer votre disque dur ou même détruire le processeur de votre ordinateur. Il est clair qu'il s'agit d'un canular mais de nombreuses personnes y ont cru.

Le message original se termine en vous demandant de passer le message à vos amis et c'est précisement ce que beaucoup ont fait. Ces avertissements concernant Good Times ont été largement diffusés sur des listes de diffusion, sur les newsgroups de Usenet et sur les "message boards" (NDT: BBS, Bulletin Board Servers).

La première version de ce canular à avoir été largement diffusée est apparue en décembre 1994. Il y a eu une recrudescence du nombre de messages en mars 1995. Vers mi-avril une nouvelle version du canular mentionnait l'existence d'un rapport de la FCC. Inquiet de la persistence de ce canular j'ai décidé d'écrire cette FAQ (NDT: l'auteur original, pas moi bien sûr). Mes inquiétudes se sont révélées fondées en octobre 1995 lorsque le canular apparu de nouveau.

On ne peut plus parler de "retour" ou "d'éruption" du canular Good Times. Il est toujours présent quelque part, il fait partie du paysage comme kudzu et les dandelions. Aussi je ne garde plus la trace de ses points d'apparition. Merci à tous ceux qui m'ont envoyé des rapports dans le passé.




8. Quel est l'effet de ce canular ?

Pour ceux qui savent qu'il s'agit d'un canular c'est une nuisance de lire sans cesse ces messages d'avertissement. Pour ceux qui ne sont pas au courant, c'est une cause d'inquiétudes inutiles et une perte de productivité.

Ce canular infecte les listes de diffusion, les BBS (Bulletin Board Servers) et les newsgroups Usenet. Les administrateurs système inquiets dérangent inutilement leurs utilisateurs avec des messages d'avertissement. Ce canular ne se limite pas aux Etats-Unis. Il est apparu dans plusieurs pays, anglo-saxons ou non. Un lecteur m'a même envoyé une transcription d'un message radiophonique diffusé à Malte.

D'après Adam J Kightley (adamjk@cogs.susx.ac.uk): "Les cas d'infection que j'ai rencontré semblent tous avoir la même origine: un cadre supérieur non-informaticien. Ces personnes ont le pouvoir et les moyens de diffuser largement ce message sans avoir les connaissances qui leur permettraient de s'apercevoir de son absurdité."

Parmi les entreprises qui ont été victimes de ce canular on compte AT&T, CitiBank, NBC, Hughes Aircraft, Microsoft, Texas Instruments et des douzaines ou des centaines d'autres. A cette liste s'ajoutent de nombreuses Universités.

Le gouvernement américain n'y a pas échappé. Parmi les agences gouvernementales touchées on peut citer le Département de la Défense, la FCC, la NASA, le USDA, le U.S. Census Bureau et divers laboratoires de recherche nationaux. J'ai aussi eu confirmation de cas survenus dans le département de la santé bien qu'ils aient eu le bon sens de se renseigner sur Usenet avant de diffuser le canular à tous leurs employés.

Ce canular a aussi occasionellement fait des excursions dans les grands médias populaires. D'après Charles W. Haase (cwhaase@ucdavis.edu), lors de l'émission de Tom Sullivan sur KFBK 1530 AM le 4 avril 1995 à Sacramento en Californie, un officier de police est intervenu pour prévenir les auditeurs de ne pas lire de courrier électronique dont le sujet serait "Good Times" et de dénoncer son expéditeur à la police. D'autres radios, y compris ABC en Australie, ont contribué à diffuser ce canular.

Il y a aussi quelques rapports comme quoi le virus pourrait se répandre via Faxnet, ce réseau bas de gamme regroupant des secrétaires et des documentalistes désoeuvrés et dont le traffic est principalement constitué de BD et de mauvaises blagues sur les blondes.




9. Qu'est-ce que le communiqué du CIAC ?

Le 6 décembre 1994 le service chargé de la sécurité informatique du département américain de l'énergie (c'est à dire le CIAC, Computer Incident Advisory Capability), a émis un communiqué affirmant que le virus Good Times est un canular. Ce communiqué a été largement repris afin de limiter la propagation de ce canular. Vous pouvez obtenir le document original à l'adresse fournie dans la liste des références en ligne à la fin de ce document. Notez que ce document a subi plusieurs modifications mineures, la version 94-04c du 8 décembre étant la plus récente.

----Début de citation----

LE VIRUS "Good Times" EST UN CANULAR

Début décembre le CIAC a commencé à recevoir des demandes d'information concernant un supposé virus qui pourrait être contracté via America Online simplement en lisant un courrier électronique.

---------------------------------------------------------------------------
| Lisez bien ce qui suit. Méfiez-vous d'un fichier appelé Goodtimes.      |
|                                                                         |
| Happy Chanukah tout le monde, et faites attention. Il y a un virus sur  |
| America Online qui se propage via le courrier électronique. Si vous     |
| recevez un message intitulé "Good Times", ne le chargez pas et NE LE    |
| LISEZ PAS. C'est un virus qui effacera votre disque dur. Faites suivre  |
| cet avertissement à tous vos amis. Cela pourrait leur rendre un grand   |
| service.                                                                |
---------------------------------------------------------------------------

CECI EST UN CANULAR. Après enquète le CIAC a pu établir que ce message a été envoyé à peu près simultanément par un utilisateur de America Online et un étudiant universitaire dans le but de faire une blague.

Le CIAC a aussi découvert des variantes de ce canular, la principale étant qu'un message intitulé "xxx-1" va infecter votre ordinateur.

Cette rumeur a été très largement diffusée. La principale raison en est que de nombreuses personnes ont reçu un message intitulé "Good Times". Ayant effacé ce message sans l'avoir lu ils ont cru s'être sorti d'un mauvais pas. Les échos de ces incidents ont malheureusement contribué à crédibiliser le message d'avertissement.

Il y a aussi le cas vérifié d'une personne ayant reçu un message intitulé "xxx-1" mais sans contenu. Immédiatement après (car ayant connaissance du canular elle a commencé à paniquer) cette personne a utilisé un anti-virus sur son ordinateur (pour la première fois depuis plusieurs mois) et a trouvé un virus présent depuis longtemps. Elle en a déduit à tort qu'elle avait été contaminé par le courrier électronique (ce virus particulier NE POUVAIT PAS se transmettre via le courrier électronique). Cette personne a ensuite alerté son entourage.

A la date d'aujourd'hui, il n'y a pas de virus connu qui puisse se transmettre par la simple lecture d'un message électronique. Pour qu'un virus infecte un ordinateur il faut qu'un programme soit exécuté. Lire un message envoyé par courrier électronique n'exécute pas ce message. Il est vrai que des virus ont été trouvé dans des fichiers joints de courriers électroniques, les plus connus étant le cheval de Troie "IBM VM Christmas Card" de 1987, le "TERM MODULE Worm" (voir le mémo du CIAC B-7) et le "GAME2 MODULE Worm" (voir le mémo du CIAC B-12). Mais ce n'est pas le cas pour ce virus précis.

Si vous trouvez ce message sur une liste de diffusion quelconque, ignorez le, tout simplement, ou bien répondez qu'il s'agit d'une fausse rumeur.

Karyn Pichnarczyk
CIAC Team
ciac@llnl.gov

----Fin de citation----

Remarque: Karyn travaille à présent chez Cisco. Sa nouvelle adresse est karyn@cisco.com.

Le rapport du CIAC est erroné sur un point: lorsqu'il affirme que ce canular a été lancé par "un utilisateur de America Online et un étudiant universitaire". Consultez la section "Qui a lancé ce canular ?".




10. Quelle est la première version du message d'avertissement (FYI) ?

J'ai une très ancienne version du canular qui date du 15 novembre 1994 lorsqu'il a été posté dans la liste de diffusion "TECH-LAW". C'est à l'heure actuelle la plus ancienne version connue de "Good Times". Consultez aussi la section "Quand ce canular a-t-il débuté précisement ?".

---Début de citation----

Pour votre information, un fichier nommé "Good Times" est envoyé à certains utilisateur d'Internet qui sont abonnés à des services en ligne (Compuserve, Prodigy et America Online). Si jamais vous recevez ce fichier, ne le chargez pas. Effacez le immédiatement. Si j'ai bien compris il contient un virus qui détruira tous les fichiers de votre ordinateur si vous le téléchargez.

----Fin de citation---

Une personne se rappelle avoir vu Good times en avril ou en mai 1994 mais ne peut pas apporter de preuve pour soutenir ses affirmations. Pour l'instant le message "Pour votre information..." constitue la première occurence connue du message "Good Times".




11. Que disait la première souche majeure (Happy Chanukah) ?

Ce qui suit constitue la forme de base du message "Happy Chanukah" tel que je l'ai reçu le 2 décembre 1994 et tel qu'il a été cité dans le rapport du CIAC, bien qu'il ne soit pas le plus ancien. Ce message est largement responsable de la panique entourant le canular Good Times de ce décembre là.

----Début de citation----

Lisez bien ce qui suit. Méfiez-vous d'un fichier appelé Goodtimes.

Happy Chanukah tout le monde, et faites attention. Il y a un virus sur America Online qui se propage via le courrier électronique. Si vous recevez un message intitulé "Good Times", ne le chargez pas et NE LE LISEZ PAS. C'est un virus qui effacera votre disque dur. Faites suivre cet avertissement à tous vos amis. Cela pourrait leur rendre un grand service.

----Fin de citation----




12. Quel est l'autre souche majeure (ASCII) ?

La salutation "Happy Chanukah" du message original permet de l'identifier aisément. Aussi les canulars plus récents ont utilisé un message différent. Le message ci-dessous se distingue parce qu'il affirme que charger "Good Times" dans le buffer ASCII peut activer le virus. Aussi j'ai décidé de l'appeler ASCII.

Karyn Pichnarczyk (karyn@cisco.com) se souvient avoir vu cette variante lors de l'épidémie de décembre 1994 bien que je ne l'ai jamais vue. Mikko Hypponen (Mikko.Hypponen@datafellows.fi) m'en a envoyé une copie qui date du 2 décembre 1994. La souche "Boucle Infinie" de ASCII constitue la base de la plupart des messages actuels.

----Début de citation----

J'ai pensé que vous aimeriez être au courant...

Apparemment, un nouveau virus informatique dont le pouvoir de destruction est sans précédent a été conçu par un utilisateur d'America Online. D'autres virus bien connus comme Stoned, Airwolf ou MichelAngelo semblent bien inoffensifs en comparaison de cette nouvelle création d'un esprit dérangé.

Ce qui rend ce virus si terrifiant est qu'il n'est pas nécessaire qu'il y ait échange de programme pour qu'un nouvel ordinateur soit infecté. Il peut se transmettre via le courrier électronique d'Internet.

Heureusement, il y a une méthode sûre de reconnaître ce qui est maintenant connu sous le nom de virus "Good Times". Il contamine les nouveaux ordinateurs toujours de la même façon - dans un simple message textuel du courrier électronique intitulé "Good Times". Eviter la contamination une fois que le message a été reçu est simple, il suffit de ne pas le lire. Le fait de charger le fichier dans le buffer ASCII de l'ordinateur déclenche l'éxécution du programme principal du virus.

Ce programme est extrêmement sophistiqué - il enverra une copie du message à toute personne dont l'adresse email se trouve dans votre boite à lettre électronique ou bien dans l'historique du courrier envoyé. Il se lancera alors dans la destruction de l'ordinateur sur lequel il s'exécute.

Pour résumer - si vous recevez un fichier dont le sujet est "Good Times", effacez le immédiatement ! Ne le lisez pas ! Vous pouvez être certain que la personne indiquée dans le champ "From:" a été touchée par le virus. Prévenez vos amis et les utilisateurs de votre site de cette toute nouvelle menace venant d'Internet ! Cela pourrait leur éviter de perdre beaucoup de temps et d'argent.

----Fin de citation---




13. Quelle est la variante la plus populaire de ASCII (FCC et Boucle Infinie) ?

La version ASCII originale n'est plus très répandue. Une variante courante mentionne un rapport de la FCC et prétend que Good Times peut détruire le processeur d'un ordinateur en le plaçant dans "une boucle infinie de complexité n", ce qui relève de la science-fiction la plus fantaisiste. C'est de loin la version la plus courante de nos jours et contient, en plus de ASCII, les lignes suivantes:

----Début de citation----

La FCC a diffusé un avertissement mercredi dernier concernant un problème de toute première importance pour un utilisateur habituel d'Internet. Apparemment, un nouveau virus informatique dont le pouvoir de destruction est sans précédent a été conçu par un utilisateur d'America Online. D'autres virus bien connus comme Stoned, Airwolf ou MichelAngelo semblent bien inoffensifs en comparaison de cette nouvelle création d'un esprit dérangé.

Ce qui rend ce virus si terrifiant d'après la FCC, c'est qu'il n'est pas nécessaire qu'il y ait échange de programme pour qu'un nouvel ordinateur soit infecté. Il peut se transmettre via le courrier électronique d'Internet. Une fois qu'un ordinateur est infecté plusieurs choses peuvent se produire. Si cet ordinateur contient un disque dur il va probablement être détruit. Si le programme n'est pas interrompu, il place le processeur dans une boucle infinie de complexité n ce qui endommage le processeur s'il reste dans cet état trop longtemps. Malheureusement, la plupart des utilisateurs standards ne réaliseront pas ce qui se produit jusqu'à ce qu'il soit bien trop tard.

----Fin de citation---




14. Grands dieux, la FCC a-t-elle vraiment envoyé un message d'avertissement concernant Good Times ?

Non. (Remarque à destination des lecteurs étrangers: La FCC est la Commission Fédérale des Communications des Etats-Unis. Elle est chargée des réglementations concernant la radio, la télévision et d'autres moyens de communication électroniques mais pas d'Internet)

Il est possible que ce canular soit arrivé à la FCC et que quelqu'un l'ait fait suivre à d'autres agences gouvernementales. Les agences gouvernementales et les militaires ont souvent été touchés par ce canular. Cela est probablement dû à l'infrastructure de communication du gouvernement ainsi qu'à sa plus grande sensibilisation aux problèmes de sécurité. En regardant les en-têtes un des destinataires a peut-être cru que le message venait de la FCC. Cependant ce n'est qu'une supposition.




15. Quand ce canular a-t-il débuté précisement ?

Je pensais connaitre la réponse mais de nouveaux éléments m'ont fait réviser mon jugement. Dans la version initiale de la FAQ j'écrivais:

----

Le 2 décembre 1994 est souvent cité comme étant l'origine de ce canular mais certains des champs remplis par les serveurs AOL distribuant le courrier électronique font remonter l'origine de ce message au premier décembre. Le champ d'un serveur non-AOL indique le 29 novembre mais pourrait facilement avoir été trafiqué.

Notez aussi la formulation particulière du message original tel qu'il m'a été envoyé et tel qu'il est cité dans le rapport du CIAC:

Lisez bien ce qui suit. Méfiez-vous d'un fichier appelé Goodtimes.

Happy Chanukah tout le monde, et faites attention. Il y a un virus sur America Online qui se propage via le courrier électronique. Si vous recevez un message intitulé "Good Times", ne le chargez pas et NE LE LISEZ PAS. C'est un virus qui effacera votre disque dur. Faites suivre cet avertissement à tous vos amis. Cela pourrait leur rendre un grand service.

Le premier paragraphe semble suggérer que l'émetteur se contente de faire suivre l'information qui se trouve dans le second paragraphe. Une salutation comme "Happy Chanukah" n'est pratiquement jamais placée dans le second paragraphe d'une lettre ce qui suggère encore plus que ce message ne fait que répéter un message antérieur.

----

Après avoir lu la FAQ, plusieurs personnes disent avoir rencontré des instances de ce canular plus anciennes. Le 15 novembre 1994 Rich Lavoie (lavoie@cwt.com) a posté ce message dans la liste de diffusion TECH-LAW. Rodney Knight (r.j.knight@rl.ac.uk) a vu ce message dans un newsgroup et l'a fait suivre dans la liste de diffusion POSTCARD. Le 15 novembre est donc la première occurence vérifiée de ce canular.

Anthony Altieri (magneto@epix.net) et plusieurs autres se souviennent d'instances de ce canular remontant au moins à avril ou mai 1994 mais n'ont jusqu'à présent aucune preuve.




16. Qui a lancé ce canular ?

On ne sait pas qui a lancé ce canular. Vous rencontrerez des personnes qui pensent qu'elles savent qui a lancé ce canular ou d'où il vient. Elles sont mal informées. Montrez leur la FAQ. J'ai vu des personnes qui prétendent que les auteurs du canular ont été arrêtés et condamnés. C'est faux.

Le message du CIAC affirme que les auteurs du canular sont "un utilisateur de America Online et un étudiant universitaire". J'ai demandé des précisions à Karyn Pichnarczyk sur ce point. Lors de l'épidémie de "Happy Chanukah" de décembre plusieurs personnes ont essayé de percer l'origine du canular en suivant les en-têtes des messages. Lorsque les administrateurs d'America Online a remonté les en-têtes ils se sont arrêtés sur le compte d'un utilisateur de AOL. Lorsque Nathan Gilliatt (gilliatt@ac.duke.edu) a remonté les en-têtes d'autres messages il est tombé sur un compte à Swarthmore College.

Ne sachant qui croire, Karyn a dit que le virus avait été démarré par "un utilisateur de America Online et un étudiant universitaire". Nous savons à présent que "Happy Chanukah" n'était pas l'original aussi remonter les en-têtes pour trouver l'origine du canular était voué à l'échec.




17. Quelles théories a-t-on sur l'origine de ce canular ?

Demander qui est à l'origine du canular suppose que quelqu'un a consciemment lancé ce canular. Il est éventuellement possible que Good Times ne soit qu'une forme très déformée d'un rapport concernant un évènement réel ou semi-réel. Après avoir été répétée et re-répétée, l'histoire est devenue le canular Good Times tel que nous le connaissons. Le téléphone arabe devenu fou. Le défaut de cette théorie est qu'elle est probablement impossible à prouver.

Le postmaster d'AOL, David O'Donnell (PMDAtropos@aol.com) a une autre théorie sur l'origine de ce canular. Il dit qu'il y a eu une lettre chainée appelée Good Times. D'après sa théorie, quelqu'un a créé ce message affirmant que la lettre chainée contient un virus pour y mettre fin. C'est pourquoi elle vous demande d'effacer tout courrier dont le sujet est Good Times. Alan Braggins (armb@setanta.demon.co.uk) et d'autres se souviennent avoir effectivement vu une telle lettre chainée avant le canular.

Plusieurs personnes m'ont envoyé des copies de la lettre chainée Good Luck qui pourrait avoir muté pour donner la lettre chainée Good Times dont se souvient David O'Donnel.

Celle-ci vient de Wolf-Dieter Roth (102404.75@CompuServe.COM):

---Début de citation----

> GOOD LUCK TOTEM
>
>
>    \\\|||///
>    =========
>     | O O |
>      \v_'/
>    # _| |_
>     (#) ( )
>  #\//|* *|\\
>   #\/( * )/
>    # =====
>    # (\ /)
>    # || ||
> .#---'| |----.
>  #----' -----'
>
>
> Ce message vous a été envoyé pour vous porter chance. L'original 
> est en Nouvelle Angleterre. Il a déjà fait neuf fois le tour du 
> monde. A présent la chance frappe chez vous. Vous aurez de la 
> chance au plus quatre jours après que vous ayez reçu ce message --
> à condition que à votre tour vous le fassiez suivre. Ce n'est pas 
> une blague. Vous recevrez de la chance par le courrier -- mais pas
> d'argent.
>
> Envoyez des copies aux personnes qui ont besoin de chance. N'envoyez 
> pas d'argent car le destin ne s'achète pas. Ne gardez pas ce 
> message.
>
> Ce message doit avoir quitté vos mains sous 96 heures. Envoyez le 
> à dix personnes et voyez ce qui arrivera dans quatre jours. Cette 
> chaine vient des Etats Unis et a été créée par Diana Li, une 
> missionaire Indienne. Comme cette copie doit faire le tour du 
> monde, vous devez l'envoyer à vos amis et collègues. Après 
> quelques jours vous aurez une surprise. C'est vrai même si vous 
> n'êtes pas superstitieux.
>
> Bonne chance mais souvenez vous: 10 copies de ce message doivent 
> quitter vos mains d'ici 96 heures... Vous ne devez pas signer ce 
> message...

---Fin de citation----




18. Quelqu'un n'a-t-il pas écrit un virus s'appelant Good Times (VLAD) ?

Oui. Suite à la publicité qui a été faite autour de Good Times, le VLAD a essayé d'attirer les feux de l'actualité en écrivant un virus du même nom. Ce virus ne se comportait en aucune façon comme le légendaire virus Good Times. En fait, il était basé sur du code existant. VLAD (abréviation de Virus Labs And Distribution) est un groupe d'auteurs de virus. Les fabriquants d'anti-virus l'ont généralement appelé GT Spoof virus.

VLAD, toujours, semble-t-il, à la recherche de publicité, m'a envoyé un message pour revendiquer le virus. Ce courrier date du mardi 9 mai 1995 ("Tue, May 09, 1995 4:19 PM EST") et est une réponse à un échange de message précédent.

---Début de citation----

(lesjones@usit.net wrote:)

> (vlad@trisection.mit.edu wrote:)
>
> > Vous verrez que bien qu'il ne s'agisse pas d'un virus email,
> > il existe un virus MS-DOS contenant le nom "Good Times". Vous
> > pourrez le trouver dans vlad#4.
> (Metabolis)
>
> J'en ai entendu parler la semaine dernière. C'est une 'imitation'
> qui a été créée six mois après que le canular ait commencé.
>
> Leslie
>
C'est exact ! Même nous, les Vxers, nous avons un sens de l'humour. D'ailleurs il ne s'agit pas d'une imitation mais simplement d'une bonne blague (plusieurs personnes y ont vraiment cru jusqu'à ce qu'ils regardent le source). :)
--Antigen

---Fin de citation---




19. Qu'est-ce que PKZIP300?

Un avertissement concernant le cheval de Troie PKZIP300 est parfois attaché aux messages sur Good Times. Le cheval de troie PKZIP300 est réel et a fait surface en mai 1995. Comme la plupart des chevaux de Troie, il a vite disparu. Seuls les avertissements continuent. Karyn Pichnarczyk a entendu une bonne parodie de ces avertissements: "Panique ! Il y a eu un feu, quelque part, il y a à peu près un an et quelqu'un l'a éteint, mais faites attention et méfiez vous de ce feu là !".

Pour plus de références, consultez "Pourquoi devrais-je croire la FAQ plutôt que le canular ?".




20. Qu'est-ce que Irina ?

Le canular Irina serait une tentative ratée de Penguin Books UK pour faire de la publicité pour un livre appelé Irina qui est sorti en septembre 1996. D'après le message ses capacités étaient similaires à celles de Good Times. Pour référence, consultez la section "Pourquoi devrais-je croire cette FAQ plutôt que le canular (références) ?".

Exemple d'avertissement:

Un virus informatique est envoyé à travers Internet. Si vous recevez un message dont le sujet est "Irina", NE LISEZ PAS le message, EFFACEZ le immédiatement. Un scélérat envoie des courriers et des fichiers sous ce nom. Si vous recevez ce message, ne le téléchargez pas.

Il contient un virus qui écrira sur votre disque dur, écrasant tout ce qu'il contenait. Faites attention et faites suivre ce courrier à toute personne de votre connaissance.




21. Qu'est-ce que Pen Pals ?

Pen Pals est une autre imitation de Good Times.

Exemple de message:

Si quelqu'un reçoit un courrier intitulé PENPAL GREETINGS ! effacez le SANS LE LIRE. Ci-dessous vous trouverez une petite explication concernant ce message et ce qu'il pourrait faire à votre PC si vous le lisez. Si vous avez des questions ou des préocupations particulières, contactez l'aide technique.

Cet avertissement concerne tous les utilisateurs d'internet - un dangereux virus se propage sur Internet via le courrier électronique sous la forme d'un message intitulé "PENPAL GREETINGS!". NE TELECHARGEZ AUCUN MESSAGE INTITULE "PENPAL GREETINGS!".

Ce message semble être un message amical vous demandant si vous voudriez avoir un correspondant à qui écrire par courrier électronique (NDT: pen pal en Anglais) mais le temps que vous lisiez ce message il sera trop tard. Le cheval de troie aura déjà infecté le secteur de boot de votre disque dur détruisant toutes les données présentes. C'est un virus qui se réplique automatiquement et une fois que vous aurez lu le message, il sera envoyé automatiquement à toutes les personnes dont l'adresse se trouve dans votre boite aux lettres !

Ce virus DETRUIRA votre disque dur et peut potentiellement DETRUIRE le disque dur de toute personne dont l'adresse se trouve dans votre boite aux lettres, puis le disque dur de toutes les personnes avec qui elles communiquent et ainsi de suite. Si ce virus reste sans surveillance il risque de faire d'importants DEGATS aux réseaux d'ordinateurs dans le monde entier !!!!

S'il vous plait, effacez tout message intitulé "PENPAL GREETINGS!" dès que vous le recevez. Et faites suivre ce message à tous vos amis, vos connaissances, et les autres lecteurs des newsgroups et listes de diffusions dont vous faites partie de façon à ce qu'ils ne soient pas victimes de ce dangereux virus!!!!.




22. Qu'est-ce que Deeyenda ?

C'est un autre canular. Pour référence, consultez la section "Pourquoi devrais-je croire cette FAQ plutôt que le canular (références) ?".

Exemple de message:

AVERTISSEMENT de la FCC!!!! -----DEEYENDA infeste Internet

La communauté internet est à nouveau victime d'un virus informatique. Ce message est diffusé à travers tout Internet y compris USENET, le courrier électronique et d'autres services Internet. Toute cette mobilisation est justifiée par la nature de ce virus et le risque potentiel qu'il crée. Au lieu d'être un cheval de Troie destructif (comme la plupart des virus), ce virus, appelé Deeyenda Maddick, effectue une analyse exhaustive de votre ordinateur à la recherche d'informations sensibles comme les adresses de courrier électronique, les mots de passe de login, les numéros de carte bleue, des informations personnelles, etc.

Le virus Deeyenda est aussi capable de rester en mémoire alors que vous lancez toutes sortes d'applications ou de systèmes d'exploitation comme Windows 3.1 et Windows 95. Pour les utilisateurs d'Internet cela veut dire que chaque fois qu'un mot de passe est envoyé sur le réseau, ce virus peut dupliquer cette information et L'ENVOYER A UNE ADRESSE INCONNUE (qui change en permanence).

La raison de cet avertissement est que ce virus est pratiquement indétectable. Une fois infecté votre ordinateur n'est plus sécurisé. Bien qu'il puisse attaquer n'importe quel système d'exploitation ce virus est plus susceptible de toucher les utilisateurs de pages Web contenant des applets Java (avec Netscape 2.0+ ou Microsoft Explorer 3.0+ qui tournent sous Windows 95). Des chercheurs à l'Université de Princeton disent avoir trouvé ce virus dans de nombreuses pages du World Wide Web et craignent que la contagion ne se répande rapidement.

S'il vous plaît, faites suivre ce courrier afin que tout le monde soit prévenu de ce danger.

Comme pour Good Times, la FCC n'a jamais envoyé de tel message d'avertissement.




23. Un virus se propageant via le courrier électronique peut-il exister ?

La version courte est non, pas de la façon décrite pour Good Times.

La version longue est un peu plus délicate et est sujette à "pinaillage". Gardez les éléments suivants en mémoire lorsque vous étudiez ce problème:

Certains logiciels de lecture de messages électroniques peuvent être configurés pour télécharger, décoder et exécuter les pièces jointes automatiquement. Si vous utilisez un tel programme je ne saurais que trop vous recommander de désactiver cette option.

Vous devriez bien sûr vous méfier des pièces jointes envoyées par un inconnu. Vous devriez au minimum vérifier que ces pièces jointes ne contiennent pas de virus avant de les exécuter.

Bien sûr vous devriez vous méfier des piêces jointes envoyées par un inconnu. Vous devriez au minimum vérifier qu'elles ne contiennent pas de virus avant de les exécuter.




24. Qu'est-ce que le virus macro Word ?

Après que j'ai posté la FAQ sur Usenet en octobre 1995 plusieurs personnes m'ont écrit pour mentionner le virus macro Word qui avait il y a peu connu les feux de l'actualité. Parfois connu sous le nom de virus Winword.concept ou "Word prank macro virus" il contredit la règle générale qui dit que les virus sont spécifiques à un système d'exploitation car il infecte aussi bien les Macs que les PC et ce sous plusieurs systèmes d'exploitation différents. Violant une autre règle générale, il infecte des documents et non des programmes.

Comment le virus macro Word peut-il infecter plusieurs systèmes d'exploitation ?

Lorsque des programmeurs développent un programme ils écrivent le code source dans un fichier texte. Ce code source est alors passé à travers un compilateur qui le transforme en instructions directement compréhensibles par un certain type de processeur et de système d'exploitation. C'est pourquoi la plupart des programmes (y compris les virus) ne peuvent s'exécuter que sous un système d'exploitation spécifique. Le programme résultant est généralement appelé binaire, application ou exécutable et peut fonctionner par lui-même.

Les programmeurs peuvent aussi passer le code source dans un interpréteur qui va exécuter le programme ligne par ligne mais qui ne va pas produire de programme exécutable. Le virus macro Word est un exemple de programme interprété. Dans le cas présent l'interpréteur est Word Basic, le système de macro de Word 6.0 pour Windows, Word pour Windows 95, Word pour Windows NT et Word 6.0 pour Macintosh. Le même code source (le virus) peut être exécuté sur quatre plateformes différentes car l'interpréteur (Word Basic) est disponible sous ces quatre systèmes d'exploitation. (Je serai généreux et j'appellerai Windows 3.1 un système d'exploitation.)

Que fait le virus macro Word ?

Ce texte est extrait de l'excellent article de M. David Stone parut dans l'édition de février 1996 de PC Magazine (NDT: l'édition américaine):

"Un document infecté est en fait un modèle de document qui se fait passer pour un document. Le virus peut réussir ce tour de passe-passe car bien que ".DOT" soit l'extension par défaut pour les modèles de document elle n'est pas obligatoire. Or un modèle de document, quelque soit son nom, peut stocker des macros. Le point clef du virus Word.concept est la macro AutoOpen qui s'exécute chaque fois que vous ouvrez le document. Lorsque vous ouvrez un document infecté, le virus modifie le modèle de document Normal, normal.dot, que Word garde en mémoire en toute circonstance -- même lorsque vous utilisez un autre modèle de document. Un fois infecté, Normal.dot va infecter tous les documents sauvés avec la commande Save As. Et comme Word utilise la commande Save As chaque fois que vous sauvez un nouveau document, cela veut dire que tout nouveau document que vous sauvez sera infecté."

"La bonne nouvelle concernant le virus Windows.concept c'est que, au moins sous sa forme initiale, il est seulement ennuyeux, pas dangereux. (Le virus contient le commentaire "Cela suffit à démontrer mon point de vue". Manifestement l'auteur du virus voulait juste démontrer qu'un virus pouvait être transmis via une macro mais n'a pas jugé nécessaire de le rendre destructeur). La mauvaise nouvelle c'est que le virus se transmet en clair. Cela veut dire que toute personne en obtenant une copie et ayant quelques notions de Word Basic peut le modifier pour faire d'importants dégats--comme effacer les fichers de votre disque dur. (Je ne donnerais pas les détails pour des raisons évidentes)"

Comment puis-je me protéger ?

Un certain nombre d'utilitaires gratuits sont disponibles ainsi que d'excellentes sources d'informations sur les macro virus pour Microsoft Excel, Lotus Ami Pro et Lotus Word Pro.

Informations et logiciels sur le site Web de DataFellows:

concernant les macro virus de Microsoft Word
http://www.datafellows.fi/macro/word.htm
concernant les macro virus de Microsoft Excel
http://www.datafellows.fi/macro/excel.htm
concernant les macro virus de Lotus Ami Pro
http://www.datafellows.fi/macro/amipro.htm

Alertes concernant les virus macro sur le site de Dr. Solomon http://www.drsolomon.com/vircen/macrovir.html

Microsoft - Microsoft Excel: Le virus Laroux http://www.microsoft.com/excel/productinfo/vbavirus/emvolc.htm




25. Comment puis-je me protéger des virus de façon générale ?

Utilisez régulièrement un scanner de virus. Les logiciels anti-virus sont largement disponibles qu'ils soient commerciaux, en shareware ou bien gratuits. Il est plus important d'utiliser un anti-virus régulièrement que d'essayer de choisir le bon anti-virus. La plupart des personnes ont des problèmes parce qu'elles ne se donnent pas la peine d'utiliser un scanner de virus régulièrement. La NCSA (National Computer Security Association) estime que si 30% des utilisateurs se servaient régulièrement d'un anti-virus à jour les problèmes de virus auraient pratiquement disparu.

La plupart des virus se transmettent via les disquettes. Aussi vous couper des services en ligne et d'Internet ne vous protégera pas des virus. En fait vous serez probablement plus en sécurité si vous êtes connecté à Internet car vous aurez accès aux logiciels anti-virus et aux informations sur les virus.




26. Ce canular n'était-il pas lui-même une sorte de virus ?

Oui mais ce n'était pas un virus informatique, plutôt une sorte de virus social ou mental.

Voici la réponse de Clay Shirky (clays@panix.com) à une personne qui demandait sur alt.folklore.urban s'il s'agit d'un vrai virus:

"C'est un vrai virus. C'est un virus email opportuniste qui force son hôte à le répliquer, créant parfois jusqu'à 200000 copies d'un seul coup. Il recherche des hôtes munis d'un parseur défectueux qui les empêche de comprendre qu'un message disant qu'il y a un virus email et qui leur demande de faire suivre ce message à tous leurs amis est le virus lui-même."

La réponse de Shirky décrit de manière éloquante ce que beaucoup pensent. Qu'est-ce qu'un virus après tout ? Pour un biologiste c'est une portion de code génétique qui doit infecter l'organisme d'un hôte pour survivre et se reproduire. Pour être contagieux, un virus contient généralement des instructions qui provoquent chez l'hôte certaines pathologies (comme les éternuements et la toux) qui contaminent d'autres organismes.

Pour un informaticien, un virus est une portion de code qui doit infecter un programme hôte pour se répandre. Pour être contagieux, un virus informatique lance le programme hôte dans des activités pathologiques qui contaminent d'autres programmes.

Dans cette perspective, il est aisé de comprendre que le canular Good Times est une sorte de virus mental. Pour se propager un virus mental engage son hôte dans des activités pathologiques qui étendent l'infection.

Dans le cas de Good Times, la souche originale (Happy Chanukah) disait explicitement "faites suivre cet avertissement à tous vos amis". L'autre souche principale (boucle infinie) vous y encourage aussi: "s'il vous plaît faites attention et faites suivre ce courrier à tous ceux auxquels vous tenez" ou encore: "Prévenez vos amis et les utilisateurs de votre site de ce tout nouveau danger sur Internet".

De la même façon, des rumeurs sur une nouvelle taxe de la FCC sur les modems vous encouragent à prévenir vos amis et les utilisateurs d'autres BBS. Le message "Make Money Fast" de David Rhodes vous demande de le faire suivre vers jusqu'à dix autres BBS.

Dans "The selfish Gene" (1976, University of Oxford Press), Richard Dawkins, biologiste à l'université d'Oxford spécialisé dans l'évolution des espèces, étend les principes de son livre de la biologie à la culture. Pour faire la transition, Dawkins propose la notion de réplicateur culturel similaire aux gènes. Il appelle ces réplicateurs des mèmes.

"Des exemples de mèmes sont les airs de musique, des idées, des phrases toutes faites, la mode, la façon de faire des vases ou bien de construire des arches. Tout comme les gènes se propagent dans le pool des gènes en passant de corps en corps via les spermatozoïdes ou bien les oeufs, les mèmes se propagent de cerveau en cerveau par un processus qu'on peut, au sens large, appeler imitation. Comme mon collègue N. K. Humphrey l'avait très bien résumé dans une version précédente de ce chapitre, "... les mèmes doivent être considérés comme des structures vivantes, pas seulement métaphoriquement mais aussi techniquement. Lorsque vous implantez un mème dans mon esprit vous parasitez littéralement mon cerveau, le tranformant en un véhicule pour la propagation de ce mème de la même façon qu'un virus parasite le mécanisme génétique de la cellule hôte"".

En parcourant alt.folklore.computers à la recherche de matériel pour ce document j'ai constaté que deux personnes avaient déjà mentionné les mèmes de Dawkins. Un des messages faisait référence à un article du 8 avril 1995 paru dans le "New Scientist" qui mentionnait l'existence d'un groupe de recherche sur les mèmes. (Cet article indiquait à tort que ce groupe se trouve à l'Université de Californie à San Francisco. En fait il se trouve à l'Université Simon Fraser à British Columbia).

Le groupe de recherche sur les mèmes recueille les "chain letters" pour les analyser. Plus ils reçoivent de copies, plus ils ont d'informations à analyser. Envoyez ces "chain letters" à meme@scottlabsgi.chem.sfu.ca.

Je ne suis pas un mèmeticien et un véritable mèmeticien pourrait prendre ombrage de mon explication de ce concept. Pour en apprendre plus sur les mèmes, consultez le newsgroup alt.memetics sur Usenet et tout spécialement le site officiel sur le Web (http://maxwell.lucifer.com/virus/alt.memetics/). Bien que j'ai parlé des mèmes en terme de virus (une analogie courante), le concept de mème n'a pas de connotation bonne ou mauvaise. L'idée "Ne faites pas aux autres ce que vous ne voudriez pas que l'on vous fasse" est tout autant un mème que le canular Good Times.




27. Quel est le meilleur moyen de lutter contre un virus mental ?

Créer un anti-virus comme celui-ci pour qu'il joue le rôle d'antidote. Pour rendre l'anti-virus contagieux, inclure une instruction du type "Le virus email Good Times est un canular ! Si quelqu'un propage ce canular montrez lui la FAQ.".




28. Quels sont les autres canulars et légendes populaires qui ont cours sur Internet ?

La taxe sur les modems de la FCC

De temps en temps quelqu'un poste un avertissement comme quoi la FCC compte instaurer une taxe sur les modems et les services en ligne. Cet avertissement vous encourage à prévenir vos amis de façon à ce qu'ils puissent faire pression sur le gouvernement. C'est un canular. Il existe depuis que je suis en ligne, 5 ans, et existait depuis probablement bien plus longtemps. Vous remarquerez que le message ne cite pas de date ou d'article de loi.

Make Money Fast

Si vous n'avez jamais vu de message "Make Money Fast" appelez votre service d'anthropologie local. Cela pourrait les interesser d'analyser votre cas. Conçu par David Rhodes en 1987 ou 1988, Make Money Fast (parfois distribué sur les BBS sous la forme d'un fichier appelé fastcash.txt) est une version électronique des lettres chainées et des systèmes pyramidaux. Vous êtes sensé envoyer de l'argent aux dix personnes présentes sur la liste, ajouter votre nom au bas de la liste et reposter cette lettre chainée, commettant au passage une infraction féderale. Poster un message Make Money Fast est le meilleur moyen de perdre son compte Internet. (Information extraite de la FAQ Make Money Fast par ewl@panix.com).

Craig Shergold a besoin de vos cartes de voeux de prompt rétablissement

Craig Shergold est un jeune anglais qui était mourrant, atteint du cancer. Il voulait entrer dans le Livre Guinness des Records comme étant la personne ayant reçu le plus de cartes de voeux de prompt rétablissement. Lorsque les gens ont eu part du voeu de ce pauvre enfant, ils ont commencé à lui envoyer des cartes postales. Ils continuèrent et ne se sont jamais arrêtés. Shergold est à présent en phase de rémission complète et est entré dans le Livre Guinness des Records en 1991. Il ne veut plus recevoir de carte de voeux, et le bureau de poste de sa ville natale non plus.

La fondation "Make a Wish" est souvent mentionnée comme demandant des cartes pour Shergold. Ils ont à présent une page Web qui nie toute implication dans cette lettre chainée. Cette page, qui contient un numéro gratuit, décrit les requêtes pour des cartes de visite comme non justifiées.

http://www.wish.org/wish/craig.html

Ces exemples ne sont que quelque unes des légendes que vous êtes susceptible de rencontrer sur Internet. Il y en a probablement beaucoup d'autres auxquelles vous croyez. Je ne vendrai pas la mèche mais voici quelques indices: beurre de cacahuètes, Neiman Marcus/Mrs. Fields, Rod Stewart, et le jeu Newlywed. Pour plus d'information lisez la FAQ du newsgroup alt.folklore.urban disponible à l'adresse http://www.urbanlegends.com.




29. Comment obtenir la toute dernière version de cette FAQ ?

La mini FAQ est une version très simplifiée de cette FAQ. Avec une longueur de deux pages, elle devrait être suffisament courte pour pouvoir être postée dans les news, faxée, envoyée dans les listes de diffusion, et lue par les personnes douées d'une faible capacité d'attention.

Via le courrier électronique:

Envoyez un email ayant pour sujet REQUEST GT_VIRUS.TXT à archive@xconn.com. Vous devriez recevoir la FAQ via email une heure ou deux plus tard.