La Corée du Nord, ses pirates d’élite et son cybercrime organisé

Le piratage de Sony par la Corée du Nord en 2014, pour l'empêcher de sortir une comédie sur Kim Jong Un, avait doucement fait rigoler. Sept ans plus tard, les pirates du renseignement militaire nord-coréen n'en constituent pas moins l'une des pires menaces en termes de cyber-criminalités. Alors que personne ou presque n'y a accès à Internet.

Une infime fraction des Nord-Coréens (de l'ordre de 1 %) aurait accès à Internet. Pourtant, et paradoxalement, s'étonne une (très) longue et passionnante enquête du journaliste et écrivain Ed Caesar pour le New Yorker, le gouvernement nord-coréen n'en a pas moins produit certains des pirates informatiques les plus compétents au monde.

De plus, la Corée du Nord est la seule nation au monde connue pour ses piratages criminels à des fins monétaires. Les unités de sa division du renseignement militaire, le Bureau général de reconnaissance (RGB), sont spécialement formées à cet effet. En 2013, Kim Jong Un avait décrit les hommes qui travaillaient dans le « brave RGB » comme ses « guerriers... pour la construction d’une nation forte et prospère. »

En 2019, un rapport confidentiel d'un groupe d'experts des Nations Unies avait estimé que le pays, officiellement connu sous le nom de République populaire démocratique de Corée (RPDC), avait amassé 2 milliards de dollars grâce à la cybercriminalité. Depuis, de nombreux indicateurs laissent entendre que le rythme et l'ingéniosité de la menace en ligne nord-coréenne ont accéléré.

Le programme cybercriminel nord-coréen est une hydre à plusieurs têtes, allant notamment du braquage de banque au déploiement de ransomwares et jusqu'au vol de cryptomonnaies sur les places de marchés en ligne. Ce qui lui permettrait « de générer des revenus de manière plus difficile à retracer, et soumis à moins de surveillance et de réglementation gouvernementales que le secteur bancaire traditionnel ».

Selon l'ONU, la plupart des fonds volés par les pirates informatiques nord-coréens sont consacrés au programme d'armement de l'armée populaire coréenne, y compris à la mise au point de missiles nucléaires.

Son Conseil de sécurité a en effet imposé à l'unanimité des sanctions à la Corée du Nord depuis 2006 dans le but d'étouffer le financement des programmes de missiles nucléaires et balistiques de Pyongyang.

Le Conseil avait en outre interdit les exportations de charbon, de fer, de plomb, de textiles et de fruits de mer et plafonné les importations de pétrole brut et de produits pétroliers raffinés, poussant la RPDC à trouver des sources alternatives de revenus.

En février, John C. Demers, procureur général adjoint de la Division de la sécurité nationale du département américain de la Justice, avait déclaré que la Corée du Nord, « utilisant des claviers plutôt que des armes à feu », était devenue un « syndicat criminel avec un drapeau ».

En 2005, un livre de l'armée populaire coréenne citait Kim Jong Il, déclarant que « si Internet est comme une arme à feu, les cyberattaques sont comme des bombes atomiques ». Son fils Kim Jong Un est arrivé au pouvoir en 2012 et a vu le potentiel commercial de la technologie, notant que son armée pouvait « pénétrer toutes les sanctions [avec] une capacité de frappe impitoyable, à l'instar des armes nucléaires et des missiles ».

Pourtant, l'Occident n'a vraiment pris conscience du danger que représentaient les cyber-forces nord-coréennes qu'après l'exécution de trois crimes spectaculaires, entre 2014 et 2017.

Du « cyber vandalisme » de Sony au cyber-braquage du Bangladesh

Le premier fut le piratage de Sony Pictures après la diffusion, en juin 2014, de la bande-annonce d'une comédie brocardant des journalistes recrutés par la CIA pour assassiner Kim Jong Un. Un « acte de terreur gratuit », dixit un porte-parole du régime, qui promit une « réponse impitoyable » si le studio sortait le film.

Non contents de bloquer le réseau du studio, les Gardiens de la paix, le groupe à l'origine du piratage, divulguèrent des e-mails compromettant pour certains dirigeants de l'entreprise, mirent en ligne le scénario du prochain James Bond, ainsi que 5 films qui n'étaient pas encore sortis en salle.

Le FBI attribua rapidement l'attaque à des acteurs étatiques nord-coréens. Pyongyang nia toute implication, tout en déclarant que le piratage était une « action juste ». Et Barack Obama promit de « répondre proportionnellement » à ce qu'il qualifia d'acte de « cyber vandalisme ».

Au cours des deux premiers mois de 2015, le gang – désormais connu sous le nom de Lazarus Group – commença à envoyer des e-mails piégés à un éventail de cibles de la Bangladesh Bank et d'autres institutions financières à Dhaka, au Bangladesh, qui fait partie de la quarantaine des « pays les moins avancés », et donc les plus pauvres, de la planète.

Au moins trois employés de la Banque du Bangladesh téléchargèrent une pièce jointe infectée, offrant une porte dérobée aux Gardiens de la paix de Lazarus Group.

Après des mois de préparation, en février 2016, ils envoyaient des instructions à la Réserve fédérale de New York, via le système bancaire Swift de transferts d'argent, basé près de Bruxelles, afin d'effectuer des dizaines de paiements à la Bangladesh Bank. Ils totalisaient près d'un milliard de dollars, sur divers comptes, dont un au Sri Lanka et quatre aux Philippines.

Les pirates avaient en outre déployé une mise à jour du réseau, empêchant la lecture des messages Swift à la Bangladesh Bank, de sorte d'éviter qu'elle ne remarque un tel transfert massif de devises – un tour de passe-passe qui impressionna les experts en cybersécurité. Un peu comme s'ils s'étaient introduit dans le coffre-fort d'une banque après avoir désactivé ses caméras de surveillance, brocarde le New Yorker.

Un coup de bol à 850 millions de dollars

La Réserve fédérale avait alors validé les cinq premières demandes de paiement, pour un total de 101 millions de dollars. Les trente paiements suivants, qui s'élevaient à 850 millions de dollars, ont été bloqués grâce à un coup de chance.

Un système d'alerte automatisé avait en effet été activé après avoir détecté, dans le texte d'une demande de transfert, le mot « Jupiter », qui se trouvait à l'adresse d'une succursale bancaire philippine. Coup de bol : il figurait également dans le nom d'une entreprise, basée à Athènes, placée sur une liste de surveillance du fait de ses activités liées à l'Iran.

Les braqueurs avaient par ailleurs pris soin d'opérer un week-end de vacances aux Philippines, et profitèrent des quarante-huit heures de répit pour transférer 80 millions de dollars sur un autre compte. La majeure partie de cet argent avait ensuite été retirée, convertie en espèces sous forme de pesos philippins et échangée contre des jetons de casino. À l'époque, les établissements de jeux aux Philippines étaient exemptés de la réglementation anti-blanchiment d'argent.

La troisième attaque fut beaucoup plus spectaculaire, mais bien moins fructueuse. Leur rançongiciel WannaCry, basé sur une faille de sécurité exploitée par la NSA – mais volée puis rendue publique par les énigmatiques Shadow Brokers – infecta certes plus de 300 000 ordinateurs dans plus de 150 pays, bloquant notamment 50 hôpitaux du système national de santé britannique (NHS).

Mais ils ne reçurent que 51,92 bitcoins en rançons, soit 95 000 dollars au cours d'alors, avant que l'attaque ne soit bloquée, là encore sur un coup de chance.

Bien qu'étant en vacances, un jeune chasseur de malwares de 22 ans identifia en effet assez rapidement un nom de domaine utilisé par WannaCry mais qui, étrangement, n'avait pas été enregistré. Ce qu'il fit afin de détourner le trafic du rançongiciel, stoppant net sa propogation, en quelques jours seulement.

Une dictature financée par le trafic de drogues et de faux billets

Joseph Bermudez, Jr., chercheur principal au Center for Strategic and International Studies, explique au New Yorker que la survie du pays a toujours été soutenue par un système de type mafieux, et de nombreuses activités illicites (voir aussi le documentaire « Bureau 39, la caisse noire de Kim Jong-Un », diffusé ce 27/04 sur LCP).

Jusqu'à récemment, la Corée du Nord se finançait ainsi par la contrebande de cigarettes, la création de monnaie contrefaite, le commerce d'espèces menacées, ainsi que la fabrication et la distribution de drogues illicites fabriquées en laboratoires, comme la méthamphétamine.

Dans les années 70, les diplomates nord-coréens en poste à l'étranger faisaient souvent du trafic de stupéfiants. Au tournant du millénaire, la Corée du Nord fournissait environ 40 % des méthamphétamines japonaises.

Dans les années 80, des faussaires nord-coréens créèrent de faux billets de 50 et 100 dollars « remarquablement plausibles ». D'après l'U.S. Secret Service, les chimistes et contrefacteurs nord-coréens auraient produit l'équivalent de 45 millions de dollars, distribués même et y compris avec l'aide d'ex-agents du KGB et d'indépendantistes irlandais.

Si de nombreux flux de revenus criminels traditionnels continuent de revenir à Pyongyang, le pays s'est surtout concentré sur Internet cette dernière décennie, et fait preuve d'une réelle innovation dans l'exploitation des nouvelles technologies, n'en relève pas moins le New Yorker.

Luke Dembosky, un avocat qui conseille les entreprises sur les problèmes de sécurité Internet, a de fait été saisi du niveau de sophistication de ses cyberattaques : « c'était stupéfiant pour quelqu'un comme moi, malgré des années dans ce secteur, de voir un État-nation relativement isolé ne pas simplement copier la méthodologie ou le schéma de quelqu'un d'autre, mais en fait innover ».

Priscilla Moriuchi, qui a travaillé à la National Security Agency pendant douze ans et qui se concentre sur la cybermenace nord-coréenne au Belfer Center for Science and International Affairs de Harvard, estime pour sa part que le virage de la RPDC vers la cybercriminalité avait été un développement organique :

« Les Nord-Coréens comprennent la criminalité. Ils sont intégrés dans de très nombreux endroits avec ce monde souterrain criminel et gris. Et il est donc naturel de superposer cette nouvelle technologie, Internet. Il relie les organisations criminelles et les passeurs les uns aux autres. »

Moriuchi estime qu'au cours des deux dernières années, « ils ont réussi à banaliser la fraude financière, les attaques contre les petites institutions financières et les citoyens ordinaires. Ils ressemblent beaucoup plus à un groupe criminel normal maintenant ». Elle note également que, bien que les pirates nord-coréens aient été techniquement accomplis, leur attribut le plus important était leur savoir-faire criminel.

Dans le cas de la Bangladesh Bank, les voleurs avaient en effet attendu 17 mois après leur première reconnaissance à Dhaka avant de réussir le braquage. Ils avaient déterminé le week-end et les vacances idéaux pour frapper ; ils avaient prévu comment sortir rapidement les espèces des banques bénéficiaires ; et ils avaient choisi des institutions qui avaient des protocoles particulièrement laxistes.

De plus, et une fois leur vol exécuté, ils firent appel à des entrepreneurs locaux aux Philippines pour blanchir leurs pesos, cachant ainsi la piste de l'argent. Leur succès reposait donc sur la connaissance non seulement du fonctionnement des ordinateurs, mais aussi de la manière dont les gens fonctionnent. « Ils sont intelligents », explique Moriuchi. « C'est cette connexion entre le monde virtuel et le physique qui est si impressionnante. »

Des cracks en maths

Dans la plupart des pays, les pirates développent leurs compétences en expérimentant sur des ordinateurs à la maison lorsqu'ils sont adolescents. Mais en Corée du Nord, très peu de familles possèdent des ordinateurs, et encore moins un accès à Internet.

Le processus par lequel ils sont repérés et entraînés semble être similaire à la façon dont les champions olympiques étaient autrefois cultivés dans l'ancien bloc soviétique. Martyn Williams, membre du groupe de réflexion Stimson Center qui étudie la Corée du Nord, explique que si la guerre conventionnelle nécessite le développement coûteux et onéreux d'armements, le cyber n'a besoin que de personnes intelligentes. Et la Corée du Nord, malgré le manque de nombreuses autres ressources, « ne manque pas de capital humain ».

Les élèves les plus prometteurs sont dès lors encouragés à utiliser des ordinateurs dans les écoles. Ceux qui excellent en mathématiques sont placés dans des lycées spécialisés. Les meilleurs étudiants peuvent voyager à l'étranger afin de participer à des événements tels que l'Olympiade Internationale de Mathématiques, destinée aux élèves des lycées et collèges.

La Corée du Nord y a participé 14 fois depuis 1990, soit deux fois moins que la Corée du Sud, la Chine ou le Japon. Pour autant, et depuis qu'elle a recommencé à y participer, en 2007, elle figure quasi-systématiquement dans les 10 premiers au classement par équipe, et s'est même classé deux fois 4e, juste derrière la République de Corée, la Chine et les États-Unis.

Au classement cumulé des médailles obtenues, elle devance même Singapour et surclasse Hong Kong et Israël – qui totalisent pourtant plus de 30 participations – et figure juste au-dessous de la France et l'Australie, qui cumulent 51 et 40 participations. Aucun pays n'a cumulé autant de médailles avec aussi peu de participations. La Corée du Nord est cela dit le seul pays à avoir été disqualifié pour fraude présumée, qui plus est par deux fois, en 1991 et 2010.

La Corée du Nord ne figure pas dans le Programme international pour le suivi des acquis des élèves (Pisa) de mesure des performances des systèmes éducatifs des pays membres et non membres de l'OCDE. Pour autant, et à titre de comparaison, on relèvera que la Chine et Singapour y figurent en tête pour ce qui est des mathématiques et des sciences, et que la Corée du Sud y occupe les 7e et 8e place, respectivement.

Un « Bureau du sabotage et d’effondrement de l’ennemi »

Le New Yorker explique qu'à Pyongyang, l'Université de technologie Kim Chaek et l'Université Kim Il Sung aspirent les adolescents les plus talentueux des lycées spécialisés en mathématiques et en informatique, puis leur enseignent le code avancé.

Ces institutions surpassent souvent les collèges américains et chinois dans le cadre de l'International Collegiate Programming Contest, un concours annuel de programmation compétitive ouvert aux étudiants. Lors de la finale de l'ICPC 2019, l'Université Kim Chaek s'est classée huitième, juste derrière l'université nationale de Séoul, mais surtout devant Oxford et Cambridge (13e), Harvard et Stanford (21e), ou encore l'École Normale Supérieure de Paris, l'ETH de Zurich et Princeton (41e, sur 62).

En 2011, un transfuge nord-coréen avait déclaré que le nombre de hackers d'élite travaillant pour les différentes unités militaires était passé de 500 à 3 000. En 2015, l'armée sud-coréenne estimait que leur nombre avait été multiplié par deux, en seulement deux ans.

Le New Yorker avance de son côté qu'ils seraient désormais environ 7 000, répartis dans de nombreuses unités, dont un « Bureau du sabotage et d’effondrement de l’ennemi », responsable de « l’information et de la guerre psychologique », ou encore l'Unité 180, chargée de « mener des cyberopérations pour voler de l'argent étranger à l'extérieur de la Corée du Nord ».

Les meilleurs pirates de Pyongyang, ceux qui collectent des millions de dollars de devises étrangères, seraient récompensés par des voitures ou des maisons confortables, ou par d'autres avantages matériels connus sous le nom de cadeaux spéciaux de Kim Jong Un, impossibles à obtenir pour les citoyens ordinaires.

Le vol de crypto-monnaies couvrirait 10 % du budget militaire

John Demers, du département américain de la Justice, soupçonne l'État chinois d'aider la cybercriminalité nord-coréenne, car il « ne veut pas que la Corée du Nord échoue ». L'enquêteur américain sur les violations des sanctions note en outre que « la Corée du Nord est connectée au monde par des infrastructures essentiellement russes et chinoises », et ajoute : « il y a de fortes indications que la Russie et la Chine sont bien conscientes de ce qui se passe et en ont activement facilité une partie. »

Au total, les pirates nord-coréens ont mené des opérations dans plus de cent cinquante pays. L'une d'entre-elles, en 2017, leur a permis de retirer de l'argent dans les guichets automatiques de plus de trente pays simultanément.

Pour autant, et selon l'Agence américaine pour la cybersécurité et la sécurité des infrastructures, aucune institution financière en Russie ou en Chine n'aurait été ciblée par des pirates informatiques nord-coréens.

A contrario, la cible la plus courante de la cyberarmée nord-coréenne est son ennemi juré, la Corée du Sud, qui a subi plusieurs centaines d'attaques majeures, qu'il s'agisse d'espionnage militaire, ou d'arnaques financières.

Un rapport publié en mars par le groupe d'experts de l'ONU relève en outre que les pirates nord-coréens se seraient également lancé dans le vol d'informations militaires, afin de s'en servir pour leur propres programmes d'armement, ou encore pour les revendre au plus offrant.

Mais le générateur d'argent le plus rentable serait désormais le vol de crypto-monnaies. Jesse Spiro, qui travaille à Chainalysis – entreprise privée enquêtant sur les crimes liés aux crypto-monnaies – estime que les pirates informatiques nord-coréens auraient volé au moins 1,75 milliard de dollars à des bourses de trading. Ce flux de revenus pourrait à lui seul couvrir environ 10 % du budget total de la défense de la Corée du Nord.

Au printemps 2018, ils avaient ainsi incité des employés d'une place de marché de cryptomonnaies à Hong Kong à télécharger des logiciels infectés. Quelques semaines plus tard, ils parvenaient à dérober 10 800 bitcoins, qui valaient à l'époque 94 millions de dollars, mais qui en vaudraient désormais plus d'un demi-milliard.

Depuis la publication du rapport de l'ONU, le raffinement des attaques n'aurait fait que s'intensifier, tout comme l'habileté avec laquelle les produits du crime sont blanchis. Selon Jesse Spiro, de Chainalysis, quinze braquages ​​de cryptomonnaies ont été signalés jusqu'à présent cette année. S'il est encore trop tôt pour dire combien seront attribués à la Corée du Nord, entre 2019 et 2020, Chainalysis relève que les incidents de ransomwares ont augmenté de plus de 300 %.

Le FBI estime pour sa part que les pirates avaient « tenté de voler ou d'extorquer plus de 1,3 milliard de dollars » à « des sociétés de divertissement, des institutions financières, des sociétés de crypto-monnaie, des casinos en ligne, des entrepreneurs de défense autorisés, des services publics d'énergie et des particuliers ».

La page du CERT du gouvernement américain consacrée aux cyber-activités malicieuses de la Corée du Nord donne par ailleurs une idée non seulement de l'ampleur et du volume des attaques qui lui sont dûment attribuées, mais également de leur technicité.

La Corée du Nord est, avec la Chine, l'un des deux seuls pays à y faire l'objet d'une page dédiée. Mais si la Chine a droit à une dizaine d'« alertes », le CERT a documenté une quarantaine de malwares et chevaux de Troie nord-coréens...