La cyberarmée nord-coréenne, le petit poucet du piratage devenu gran
Les accusations de piratage portées par Washington contre la Corée du Nord démontrent à quel point Pyongyang est devenu un acteur de premier plan de la cyberguerre.
Piratage de Sony Picture en 2014, braquage de la Banque centrale du Bangladesh en 2016, création et propagation à l’échelle mondiale du virus WannaCry en 2017, attaques informatiques contre les banques sud-coréennes, sud-africaines ou encore vietnamiennes, tentative de piratage du géant américain de la défense Lockheed Martin… la liste des crimes informatiques imputés à la Corée du Nord par les États-Unis, le 6 septembre, est longue.
C’est “une campagne sur plusieurs années d’une ampleur sans précédent”, assure le FBI dans l’acte d’accusation. Les enquêteurs citent, nommément, un suspect – Park Jin Hyok – opérant au sein de la Chosun Expo, une société nord-coréenne privée de services informatiques, servant de façade au piratage. S’il est devenu, du jour au lendemain, la face publique du piratage nord-coréen, l’homme n’est qu’un pion sur l’échiquier cyber nord-coréen, précisent les autorités américaines.
Groupe Lazarus
Le rapport du FBI offre un éclairage inédit sur les capacités offensives en ligne d’un régime parmi les plus fermés et autoritaires au monde. Les enquêteurs tordent le cou à l’idée, encore répandue au sein du grand public, que Pyongyang ne serait qu’un petit-poucet du piratage, du fait de son isolement international. “La liste des faits qui lui sont attribués, la description des techniques utilisées et le mode opératoire démontrent que la capacité de nuisance ne dépend pas du faible accès à Internet de la population”, résume Loïc Guézo, expert en cybersécurité chez TrendMicro, un spécialiste japonais de la sécurité des réseaux qui a publié un rapport sur l’armée de hackers nord-coréens en janvier 2018, interviewé par France 24.
La cyberarmée nord-coréenne – souvent appelée “groupe Lazarus“ par les experts en sécurité informatique – a une organisation très rodée. “Il y a des cellules qui s’occupent du développement des virus, d’autres qui pratiquent les attaques, encore d’autres qui traitent les informations recueillies et enfin ceux qui, le cas échéant, doivent blanchir l’argent qui a été dérobé”, liste Félix Aimé, chercheur en sécurité informatique pour Kaspersky Lab, société russe de cybersécurité, contacté par France 24.
Une répartition sophistiquée des tâches qui ressemble à celle de groupes de pays réputés dans le cyberespace, comme la Russie ou la Chine. Cette maturité opérationnelle s’explique par le fait que la Corée du Nord emploie des pirates informatiques depuis au moins 2002, révèle l’enquête du FBI. Les experts savaient que le “groupe Lazarus” existait avant qu’il ne signe son premier fait d’arme international d’envergure avec le piratage de Sony Pictures en 2014.
Le vol d’argent : une priorité
Félix Aimé n’est pas étonné de pouvoir ainsi compter la Corée du Nord parmi les vétérans du piratage informatique. “C’est la logique de la guerre asymétrique”, assure-t-il. Pyongyang a compensé son manque de moyens financiers par rapport à ses adversaires directs – les États-Unis ou la Corée du Sud – en investissant très tôt le cyberespace. “La Corée du Nord a rapidement compris que l’un des talons d’Achille de son voisin du sud – un pays hyper-connecté – était la technologie et qu’il fallait concentrer ses efforts là-dessus”, estime Félix Aimé.
Mais l’enquête du FBI illustre aussi à quel point la Corée du Nord reste un acteur à part. La plupart des grandes puissances cyber ont des unité officielle – comme la NSA aux États-Unis, la DGSE en France ou encore l’Unité 8200 en Israël – alors que la Corée du Nord “a adopté un modèle plus flou dans lequel le gouvernement s’appuie sur des sociétés écrans utilisées par ses agents pour mener leurs opérations”, note Loïc Guézo.
Pyongyang agit aussidavantage par appât du gain, remarque Félix Aimé. “Lazarus est la seule unité cybercriminelle sponsorisée par un état qui a fait du vol de fonds monétaires une priorité”. Le très médiatique braquage informatique de la Banque centrale du Bangladesh en 2016 est loin d’être le seul exemple de cette approche. Kaspersky juge que la Corée du Nord a, ainsi, dérobé des centaines de millions de dollars à des banques à travers le monde. Le régime nord-coréen considère le piratage informatique à la fois comme une arme pour attaquer ses ennemis, et comme un moyen de renflouer son économie, durement affectée par les sanctions internationales.
(Avec France24)