Directeur de la publication : Edwy Plenel
www.mediapart.fr
Les hackers, l’autre arme du régime nord-
coréen
PAR NICOLAS ROCCA
ARTICLE PUBLIÉ LE JEUDI 2 SEPTEMBRE 2021
Chengdu, Chine, le 15 mai 2017. Un technicien chinois travaille à l’élaboration
d’un logiciel permettant la récupération des données infectées par le virus
“Wannacry” suspecté de venir de Corée du Nord. © Photo Imaginechina via AFP
Le pays le plus fermé au monde est inévitablement
associé à ses essais nucléaires. L’attention mondiale
se concentre davantage sur la menace balistique que
numérique. Pourtant, si l’utilisation de ces armes de
destruction massive reste encore au stade du chantage,
les cybersoldats du régime des Kim sont, quant à eux,
déjà à l’offensive. Un autre moyen de se hisser au rang
des pays qui comptent.
Séoul (Corée du Sud).– En mai 2017, un rançongiciel
nommé WannaCry infecte des ordinateurs espagnols
avant de se propager rapidement au Royaume-Uni et
de faire le tour de la planète. En tout, un message
demandant 300dollars de bitcoins en échange des
fichiers enregistrés sur l’ordinateur s’affiche sur près
de 300000appareils.
Vodafone, FedEx, Renault, le National Health Service
(le système de santé britannique) ou la Deutsche Bahn
(la compagnie ferroviaire publique allemande)…: la
liste des victimes est colossale. Ce piratage, qualifié
par Europol d’attaque «d’un niveau sans précédent»,
n’a jamais officiellement été attribué à la Corée du
Nord.
Mais nombreux sont les analystes informatiques à
désigner un groupe de hackers de Pyongyang, Lazarus,
lorsqu’il s’agit de trouver un coupable. C’est le cas
de Simon Choï, créateur de l’ONG Issue Makers Lab,
pour qui cette offensive en ligne a «l’empreinte de la
Corée du Nord».
1/3
1
Le moment de l’attaque, quelques mois après de
nouvelles sanctions du Conseil de sécurité des Nations
unies à l’égard de Pyongyang, le persuade qu’il s’agit
d’une réponse du régime, dont l’objectif est de montrer
sa capacité de frappe et ainsi d’intimider à moindre
coût.
Chengdu, Chine, le 15 mai 2017. Un technicien chinois travaille à l’élaboration
d’un logiciel permettant la récupération des données infectées par le virus
“Wannacry” suspecté de venir de Corée du Nord. © Photo Imaginechina via AFP
« Opiniâtres et organisés»
Depuis 13ans, Simon Choï, homme chétif aux lunettes
rondes, et ses collègues scrutent les activités des Nord-
Coréens en ligne. «Si je dois comparer la menace
des armes nucléaires avec celle que représentent les
hackers, je pense que ce sont ces gars qui sont les plus
dangereux.»
Ces attaques en ligne sont bien réelles, alors que le
coût diplomatique et économique de l’utilisation de
l’arme atomique serait colossal pour le régime. La
salve d’essais nucléaires de 2016 à 2017 a entraîné
des sanctions économiques qui, depuis, isolent et
affaiblissent financièrement le pays.
Les attaques en ligne, elles, n’ont pour l’instant
pas donné lieu à des réponses, et le régime ne se
prive pas de passer à l’offensive. Seongsu Park,
chercheur en sécurité informatique au sein de la
société de protection virale Kaspersky, estime qu’«en
prenant en compte les cas d’attaque, les évolutions
technologiques et le changement de stratégie, Lazarus
est le groupe de hackers le plus actif de l’année».
Cette recrudescence des attaques en ligne nord-
coréennes est difficile à quantifier car, dans ce
domaine, il est toujours compliqué d’attribuer
publiquement la responsabilité de l’attaque à un
État.Mais les hackers estampillés Pyongyang ont leurs
caractéristiques.
Directeur de la publication : Edwy Plenel
www.mediapart.fr
«Ce ne sont pas les meilleurs au monde, mais ils
savent ce qu’ils veulent, ils sont très fonctionnels et
surtout déterminés,juge Simon Choï, qui se définit
comme un contre-hackers ayant déjà collaboré avec les
services de renseignement sud-coréens. S’il le faut, ils
enverront des mails à une cible tous les jours pendant
des années jusqu’à ce qu’il clique sur le lien.»
Cette analyse est partagée par Jenny Jun, rédactrice
d’une thèse à Columbia sur la cybersécurité et autrice
de nombreux textes sur les cyberattaques venues du
nord du 38eparallèle. «Ils sont opiniâtres, organisés,
et leurs capacités ont considérablement évolué en
dix ans.» Les cibles aussi ont évolué, aussi bien en
fonction des possibilités techniques que des besoins du
régime.
Devises, vaccins et renseignements
« En 2015, il y a eu une évolution notable. Ils
ont commencé à être extrêmement actifs dans les
cybercrimes, pointe Jenny Jun. Ils utilisent toute
l’échelle des possibles. En un an, ils ont volé plus de
300millions de dollars, selon l’ONU. En comparaison,
l’intégralité des exportations de charbon du pays
s’élève à 400millions de dollars.» Le combustible est
pourtant le produit le plus échangé par le pays. C’est
dire la place prise par le vol de monnaies en ligne dans
le modèle économique nord-coréen.
En 2016, alors que les sanctions internationales isolent
de plus en plus le régime, les soldats en ligne des Kim
tentent le casse du siècle. La cible: la Banque centrale
du Bangladesh, ou plutôt son milliard de dollars stocké
dans la Réserve fédérale des États-Unis. La banque
centrale est infiltrée et, jouant du décalage horaire
entre Washington et Dacca, les hackers falsifient les
codes SWIFT (qui permettent de transmettre les ordres
de virement entre les banques) et envoient avec succès
81millions de dollars en direction d’associations aux
Philippines, où l’argent sera blanchi.
Le reste des ordres de virement est bloqué par les
autorités bancaires américaines. Ce tour de force
demeure une réussite pour les hommes de Kim, qui ont
démontré leurs impressionnantes capacités. Depuis,
2/3
2
les groupes de hackers se concentrent sur les monnaies
numériques (ou cryptomonnaies), un crime quasiment
intraçable, simple et efficace.
Sur mediapart.fr, un objet graphique est disponible à cet endroit.
«Ils visent les portefeuilles de monnaies numériques
de personnes privées, comme vous et moi, en
utilisant le spear fishing [mail avec une pièce jointe
malveillante – ndlr], décrit Ben Read, directeur de
l’analyse de la cybersécurité chez Mandiant Fire
Eye. Ensuite ils trouvent les cryptomonnaies sur
le portefeuille de l’usager et les liquident.» En
février, trois hackers nord-coréens ont été interpellés
aux États-Unis, accusés d’avoir volé l’équivalent de
1,3milliard de dollars de cryptomonnaies.
« 1200 à 1300 personnes très actives»
Ces hackers sont la main armée du régime mais
surtout répondent à ses besoins. À leurs balbutiements,
les offensives numériques visaient à défendre
publiquement le régime en s’attaquant directement
à ses ennemis. En témoignent les tentatives dirigées
contre la Maison Blanche, la présidence sud-coréenne
ou les studios Sony Pictures, coupables, selon
Pyongyang, d’avoir produit un film mettant en scène
l’assassinat de Kim Jong-un en 2014.
Cette utilisation « idéologique» de l’armée de hackers
semble s’être amenuisée avec le temps. Dès le début de
la crise sanitaire, elle a visé les laboratoires travaillant
sur le vaccin, l’Anglo-Suédois AstraZeneca, le Sud-
Coréen Celltrion et, selon Reuters, Pfizer.
Mais cette force de frappe numérique permet aussi
de s’informer sur les innovations extérieures. En
témoignent les offensives menées contre l’industrie de
l’armement en Europe de l’Est, contre les laboratoires
pharmaceutiques, ou bien encore l’attaque d’une
centrale nucléaire indienne en 2019.
Les cibles sont multiples pour ces hackers nord-
coréens organisés en différents groupes. Simon
Choï est parvenu à dresser une maquette de leur
organisation. «Nous sommes une ONG et nos moyens
sont limités, mais les services de renseignement
ont identifié six groupes distincts, avec 1200 à
Directeur de la publication : Edwy Plenel
www.mediapart.fr
1300personnes très actives, et 5000 en soutien.» Le
dispositif des cyberattaques se répartirait entre au
moins trois entités étatiques connues.
Le Bureau général de reconnaissance–les services
de renseignement nord-coréens – superviserait ainsi
les deux plus grands groupes, qui répondent aux
acronymes RGB3 et RGB5, respectivement Lazarus et
Kimsuky, les plus actifs et plus connus des spécialistes
du secteur.
Le premier disposerait de serveurs à Pyongyang
et serait responsable des méfaits les plus connus
(Banque centrale du Bangladesh, studios Sony,
WannaCry…). Il est adepte des gros coups et des
attaques d’organisations importantes.
De leur côté, les hackers de Kimsuky auraient élu
domicile dans les villes chinoises frontalières. Depuis
Dalian, Dandong ou Shenyang, ces derniers sont
moins visibles, car ils ciblent des personnes privées
afin d’accéder aux ressources d’institutions. Leurs
tentatives récentes se sont concentrées sur Celltrion,
le laboratoire pharmaceutique sud-coréen, ou encore
Novavax et AstraZeneca.
D’autres groupes opèrent sous l’égide du ministère de
la défense (ministère des Forces armées populaires),
dont Choï a détecté les empreintes dans le piratage de
la centrale nucléaire indienne en 2019.
Directeur de la publication : Edwy Plenel
Direction éditoriale : Carine Fouteau et Stéphane Alliès
Le journal MEDIAPART est édité par la Société Editrice de Mediapart (SAS).
Durée de la société : quatre-vingt-dix-neuf ans à compter du 24 octobre 2007.
Capital social : 24 864,88€.
Immatriculée sous le numéro 500 631 932 RCS PARIS. Numéro de Commission paritaire des
publications et agences de presse : 1214Y90071 et 1219Y90071.
Conseil d'administration : François Bonnet, Michel Broué, Laurent Mauduit, Edwy Plenel
(Président), Sébastien Sassolas, Marie-Hélène Smiéjan, François Vitrani. Actionnaires directs
et indirects : Godefroy Beauvallet, François Bonnet, Laurent Mauduit, Edwy Plenel, Marie-
Hélène Smiéjan ; Laurent Chemla, F. Vitrani ; Société Ecofinance, Société Doxa, Société des
Amis de Mediapart, Société des salariés de Mediapart.
3/3
3
Enfin, le ministère de la sécurité d’État se
concentrerait principalement sur son voisin du Sud.
«Il est très difficile de déterminer exactement où ils
opèrent, il y a de nombreuses possibilités, explique
Ben Read, directeur de l’analyse de la cybersécurité
chez Mandiant Fire Eye. Par contre, on peut les
identifier avec un niveau de certitude assez élevé. Il
faut regarder sur quel créneau horaire ils ont opéré,
quel langage ils ont utilisé, quelles méthodes…»
On pourrait penser que cette activité intense des
hackers nord-coréens expose leur pays à des
représailles en ligne. Mais c’est là que l’isolement et
le retard économique de la Corée du Nord deviennent
paradoxalement des atouts. Avec ses un peu plus de
1000adresses IP pour 25millions d’habitants, la Corée
du Nord semble moins perméable aux offensives des
pirates informatiques que ses ennemis.
De fait, si moins de personnes sont connectées
à Internet, alors les failles sont elles aussi moins
nombreuses que chez les ennemis du régime. En
grande partie en intranet, intitulé «Kwangmyong»,
littéralement «lumière brillante», le réseau du pays est
«très difficile à pénétrer», juge Simon Choï, «mais
une fois que l’on est entré, je pense qu’ils sont très
vulnérables».Pour autant, ce dernier a refusé de se
prononcer officiellement sur une éventuelle tentative
de sa part.
Rédaction et administration : 8 passage Brulon 75012 Paris
Courriel : contact@mediapart.fr
Téléphone : + 33 (0) 1 44 68 99 08
Télécopie : + 33 (0) 1 44 68 01 90
Propriétaire, éditeur, imprimeur : la Société Editrice de Mediapart, Société par actions
simplifiée au capital de 24 864,88€, immatriculée sous le numéro 500 631 932 RCS PARIS,
dont le siège social est situé au 8 passage Brulon, 75012 Paris.
Abonnement : pour toute information, question ou conseil, le service abonné de Mediapart
peut être contacté par courriel à l’adresse : serviceabonnement@mediapart.fr. ou par courrier
à l'adresse : Service abonnés Mediapart, 4, rue Saint Hilaire 86000 Poitiers. Vous pouvez
également adresser vos courriers à Société Editrice de Mediapart, 8 passage Brulon, 75012
Paris.