C’est sans doute le premier ver social : son rôle était d’enrôler de force des inconnus pour qu’ils deviennent les « amis » de son auteur.L’histoire se déroule sur le site web américain MySpace , qui permet à chacun de créer son « réseau » d’amis et de l’observer grandir selon le bon vieux principe voulant que « les amis de mes amis sont mes amis ». Oui mais voilà, Samy, un abonné à MySpace, n’était pas satisfait des 73 noms que comptait son réseau.Plutôt que de travailler l’aspect relationnel de la chose, il a préféré jeter un oeil à la sécurité du site web. Et il a découvert qu’il pouvait ajouter assez librement du code HTML à son profil. Seule restriction, mais de taille, le mot « Javascript » était fort judicieusement filtré par l’éditeur, afin d’éviter les attaques de type cross-site scripting, particulièrement populaires sur les sites web communautaires.Qu’à cela ne tienne : en scindant le mot sur deux lignes, Samy pouvait contourner la protection pour les utilisateurs de certains navigateurs (Internet Explorer, notamment, et peut-être Safari). Cela était largement suffisant pour démarrer son affaire.Et voilà : le premier ver de type XSS (l’abréviation de Cross Site Scripting chez les professionnels de la profession) était né, bien que l’idée ait déjà été discutée par le passé. Mais avouez que ce n’est pas tous les jours que nous assistons en direct à l’apparition d’une toute nouvelle catégorie de parasite.Et quel parasite ! Grâce à Javascript, le ver était en mesure de diriger silencieusement les visiteurs du profil de Samy vers une adresse où ce dernier était automatiquement ajouté à leur liste d’amis. Pour les connaisseurs, l’astuce est particulièrement intéressante puisque Samy est parvenu à provoquer un POST sans aucune intervention de l’utilisateur. Une explication détaillée des techniques utilisées, et le source du ver, est disponible ici .Pour les non-initiés, sachez simplement que Samy pouvait « simuler » le clic d’un bouton sans aucune intervention du visiteur. Et bien sûr, le bouton en question était celui qui permet d’ajouter un profil à sa liste d’amis, puis de confirmer l’action (et même d’en faire son « meilleur » ami, ce dont Samy ne se privait pas).En huit heures, le ver avait infecté 200 profils. Quelques heures plus tard, il atteignait sa masse critique et l’épidémie était lancée. Au bout de 24h, il avait infecté près d’un million de profils et un millier d’autres arrivaient toutes les quelques secondes.C’est à ce moment que les responsables du site ont tout coupé. Ils ont ensuite « désinfecté » les profils (tout simplement en effaçant les quelques lignes de HTML que le ver y ajoutait) et bien sûr supprimé le compte de Samy.C’est donc la fin de l’Amicale des amis de Samy. Mais c’est aussi le début de la postérité pour l’adolescent, puisque Google conserve désormais la trace de milliers de profils déclarant que « Samy est mon héros », selon la formule ajoutée par le ver au profil de ses victimes.Notons tout de même que la communauté Orkut, de Google, a connu récemment une attaque similaire, mais bien loin de l’effet épidémique provoqué par le ver de Samy. La postérité est sauve !