Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Directeur de la publication : Edwy Plenel www.mediapart.fr 1 1/3 Les hackers, l

Directeur de la publication : Edwy Plenel www.mediapart.fr 1 1/3 Les hackers, l’autre arme du régime nord- coréen PAR NICOLAS ROCCA ARTICLE PUBLIÉ LE JEUDI 2 SEPTEMBRE 2021 Chengdu, Chine, le 15 mai 2017. Un technicien chinois travaille à l’élaboration d’un logiciel permettant la récupération des données infectées par le virus “Wannacry” suspecté de venir de Corée du Nord. © Photo Imaginechina via AFP Le pays le plus fermé au monde est inévitablement associé à ses essais nucléaires. L’attention mondiale se concentre davantage sur la menace balistique que numérique. Pourtant, si l’utilisation de ces armes de destruction massive reste encore au stade du chantage, les cybersoldats du régime des Kim sont, quant à eux, déjà à l’offensive. Un autre moyen de se hisser au rang des pays qui comptent. Séoul (Corée du Sud).– En mai 2017, un rançongiciel nommé WannaCry infecte des ordinateurs espagnols avant de se propager rapidement au Royaume-Uni et de faire le tour de la planète. En tout, un message demandant 300dollars de bitcoins en échange des fichiers enregistrés sur l’ordinateur s’affiche sur près de 300000appareils. Vodafone, FedEx, Renault, le National Health Service (le système de santé britannique) ou la Deutsche Bahn (la compagnie ferroviaire publique allemande)…: la liste des victimes est colossale. Ce piratage, qualifié par Europol d’attaque «d’un niveau sans précédent», n’a jamais officiellement été attribué à la Corée du Nord. Mais nombreux sont les analystes informatiques à désigner un groupe de hackers de Pyongyang, Lazarus, lorsqu’il s’agit de trouver un coupable. C’est le cas de Simon Choï, créateur de l’ONG Issue Makers Lab, pour qui cette offensive en ligne a «l’empreinte de la Corée du Nord». Le moment de l’attaque, quelques mois après de nouvelles sanctions du Conseil de sécurité des Nations unies à l’égard de Pyongyang, le persuade qu’il s’agit d’une réponse du régime, dont l’objectif est de montrer sa capacité de frappe et ainsi d’intimider à moindre coût. Chengdu, Chine, le 15 mai 2017. Un technicien chinois travaille à l’élaboration d’un logiciel permettant la récupération des données infectées par le virus “Wannacry” suspecté de venir de Corée du Nord. © Photo Imaginechina via AFP « Opiniâtres et organisés» Depuis 13ans, Simon Choï, homme chétif aux lunettes rondes, et ses collègues scrutent les activités des Nord- Coréens en ligne. «Si je dois comparer la menace des armes nucléaires avec celle que représentent les hackers, je pense que ce sont ces gars qui sont les plus dangereux.» Ces attaques en ligne sont bien réelles, alors que le coût diplomatique et économique de l’utilisation de l’arme atomique serait colossal pour le régime. La salve d’essais nucléaires de 2016 à 2017 a entraîné des sanctions économiques qui, depuis, isolent et affaiblissent financièrement le pays. Les attaques en ligne, elles, n’ont pour l’instant pas donné lieu à des réponses, et le régime ne se prive pas de passer à l’offensive. Seongsu Park, chercheur en sécurité informatique au sein de la société de protection virale Kaspersky, estime qu’«en prenant en compte les cas d’attaque, les évolutions technologiques et le changement de stratégie, Lazarus est le groupe de hackers le plus actif de l’année». Cette recrudescence des attaques en ligne nord- coréennes est difficile à quantifier car, dans ce domaine, il est toujours compliqué d’attribuer publiquement la responsabilité de l’attaque à un État.Mais les hackers estampillés Pyongyang ont leurs caractéristiques. Directeur de la publication : Edwy Plenel www.mediapart.fr 2 2/3 «Ce ne sont pas les meilleurs au monde, mais ils savent ce qu’ils veulent, ils sont très fonctionnels et surtout déterminés,juge Simon Choï, qui se définit comme un contre-hackers ayant déjà collaboré avec les services de renseignement sud-coréens. S’il le faut, ils enverront des mails à une cible tous les jours pendant des années jusqu’à ce qu’il clique sur le lien.» Cette analyse est partagée par Jenny Jun, rédactrice d’une thèse à Columbia sur la cybersécurité et autrice de nombreux textes sur les cyberattaques venues du nord du 38eparallèle. «Ils sont opiniâtres, organisés, et leurs capacités ont considérablement évolué en dix ans.» Les cibles aussi ont évolué, aussi bien en fonction des possibilités techniques que des besoins du régime. Devises, vaccins et renseignements « En 2015, il y a eu une évolution notable. Ils ont commencé à être extrêmement actifs dans les cybercrimes, pointe Jenny Jun. Ils utilisent toute l’échelle des possibles. En un an, ils ont volé plus de 300millions de dollars, selon l’ONU. En comparaison, l’intégralité des exportations de charbon du pays s’élève à 400millions de dollars.» Le combustible est pourtant le produit le plus échangé par le pays. C’est dire la place prise par le vol de monnaies en ligne dans le modèle économique nord-coréen. En 2016, alors que les sanctions internationales isolent de plus en plus le régime, les soldats en ligne des Kim tentent le casse du siècle. La cible: la Banque centrale du Bangladesh, ou plutôt son milliard de dollars stocké dans la Réserve fédérale des États-Unis. La banque centrale est infiltrée et, jouant du décalage horaire entre Washington et Dacca, les hackers falsifient les codes SWIFT (qui permettent de transmettre les ordres de virement entre les banques) et envoient avec succès 81millions de dollars en direction d’associations aux Philippines, où l’argent sera blanchi. Le reste des ordres de virement est bloqué par les autorités bancaires américaines. Ce tour de force demeure une réussite pour les hommes de Kim, qui ont démontré leurs impressionnantes capacités. Depuis, les groupes de hackers se concentrent sur les monnaies numériques (ou cryptomonnaies), un crime quasiment intraçable, simple et efficace. Sur mediapart.fr, un objet graphique est disponible à cet endroit. «Ils visent les portefeuilles de monnaies numériques de personnes privées, comme vous et moi, en utilisant le spear fishing [mail avec une pièce jointe malveillante – ndlr], décrit Ben Read, directeur de l’analyse de la cybersécurité chez Mandiant Fire Eye. Ensuite ils trouvent les cryptomonnaies sur le portefeuille de l’usager et les liquident.» En février, trois hackers nord-coréens ont été interpellés aux États-Unis, accusés d’avoir volé l’équivalent de 1,3milliard de dollars de cryptomonnaies. « 1200 à 1300 personnes très actives» Ces hackers sont la main armée du régime mais surtout répondent à ses besoins. À leurs balbutiements, les offensives numériques visaient à défendre publiquement le régime en s’attaquant directement à ses ennemis. En témoignent les tentatives dirigées contre la Maison Blanche, la présidence sud-coréenne ou les studios Sony Pictures, coupables, selon Pyongyang, d’avoir produit un film mettant en scène l’assassinat de Kim Jong-un en 2014. Cette utilisation « idéologique» de l’armée de hackers semble s’être amenuisée avec le temps. Dès le début de la crise sanitaire, elle a visé les laboratoires travaillant sur le vaccin, l’Anglo-Suédois AstraZeneca, le Sud- Coréen Celltrion et, selon Reuters, Pfizer. Mais cette force de frappe numérique permet aussi de s’informer sur les innovations extérieures. En témoignent les offensives menées contre l’industrie de l’armement en Europe de l’Est, contre les laboratoires pharmaceutiques, ou bien encore l’attaque d’une centrale nucléaire indienne en 2019. Les cibles sont multiples pour ces hackers nord- coréens organisés en différents groupes. Simon Choï est parvenu à dresser une maquette de leur organisation. «Nous sommes une ONG et nos moyens sont limités, mais les services de renseignement ont identifié six groupes distincts, avec 1200 à Directeur de la publication : Edwy Plenel www.mediapart.fr 3 3/3 1300personnes très actives, et 5000 en soutien.» Le dispositif des cyberattaques se répartirait entre au moins trois entités étatiques connues. Le Bureau général de reconnaissance–les services de renseignement nord-coréens – superviserait ainsi les deux plus grands groupes, qui répondent aux acronymes RGB3 et RGB5, respectivement Lazarus et Kimsuky, les plus actifs et plus connus des spécialistes du secteur. Le premier disposerait de serveurs à Pyongyang et serait responsable des méfaits les plus connus (Banque centrale du Bangladesh, studios Sony, WannaCry…). Il est adepte des gros coups et des attaques d’organisations importantes. De leur côté, les hackers de Kimsuky auraient élu domicile dans les villes chinoises frontalières. Depuis Dalian, Dandong ou Shenyang, ces derniers sont moins visibles, car ils ciblent des personnes privées afin d’accéder aux ressources d’institutions. Leurs tentatives récentes se sont concentrées sur Celltrion, le laboratoire pharmaceutique sud-coréen, ou encore Novavax et AstraZeneca. D’autres groupes opèrent sous l’égide du ministère de la défense (ministère des Forces armées populaires), dont Choï a détecté les empreintes dans le piratage de la centrale nucléaire indienne en 2019. Enfin, le ministère de la sécurité d’État se concentrerait principalement sur son voisin du Sud. «Il est très difficile de déterminer exactement où ils opèrent, il y a de nombreuses possibilités, explique Ben Read, directeur de l’analyse de la cybersécurité chez Mandiant Fire Eye. Par contre, on peut les identifier avec un niveau de certitude assez élevé. Il faut regarder sur quel créneau horaire ils ont opéré, quel langage ils ont utilisé, quelles méthodes…» On pourrait penser que cette activité intense des hackers nord-coréens expose leur pays à des représailles en ligne. Mais c’est là que l’isolement et le retard économique de la Corée du Nord deviennent paradoxalement des atouts. Avec ses un peu plus de 1000adresses IP pour 25millions d’habitants, uploads/s1/ corea.pdf