Corée du Nord, une cyber-armée au service du régime
La Corée du Nord est un des pays les plus fermés au monde, cela se vérifie aussi sur le Web: le taux de connexions à Internet y est quasi nul. Seule une poignée de citoyens de confiance disposent d’une connexion Internet normale et mondiale. Pour les autres, le régime de Pyongyang a interdit le Web dans son pays à l’exception de 28 sites en .kp. C’est donc en réalité un intranet auquel peuvent accéder les sujets du leader nord-coréen. On y trouve entre autres un site d’assurance, un autre proposant des recettes de cuisine, une copie de Facebook et plusieurs sites caritatifs. Et pourtant, la Corée du Nord possède la 3e cyber-armée la plus puissante au monde derrière la Russie et les États-Unis…
Un recrutement trié sur le volet
Créée en 1998 à l’initiative de Kim Jong-il, la cyber-armée nord-coréenne était composée au départ de 500 soldats (d’après un rapport mené par Hewlett-Packard). A l’époque, cette armée faisait sourire les Américains qui ne la considéraient pas comme une menace. Lors de son arrivée au pouvoir en 2011, Kim Jong-un fixa le développement de la cyber-armée comme une des priorités du régime. Cette armée serait composée aujourd’hui de plus de 6000 soldats. Elle est organisée autour de l’organe central que constitue le Bureau 121. Pour construire une telle armée, le Bureau général de reconnaissance recrute les meilleurs élèves au sein des plus prestigieuses universités du pays. A titre d’exemple, le Bureau 121 recrute chaque année les 100 élèves de la University of Automation après cinq années de formation en sécurité informatique. Ils sont 2500 à vouloir y entrer chaque année. Pour les jeunes adolescents pas encore adultes, c’est un réel honneur de faire partie de l’élite de l’armée.
Une armée dispersée mais organisée
La plupart des soldats hackers nord-coréens travaillent à l’étranger : on estime que 1700 soldats opèrent à l’intérieur du pays et qu’ils sont aidés par 5000 autres à l’étranger. La plupart du temps, les soldats à l’étranger mènent une vie tout à fait normale et occupent des fonctions légitimes, comme ingénieur logiciel dans une grande entreprise. Ils doivent se rendre disponibles à tout moment et être prêts à recevoir les instructions de Pyongyang pour lancer une attaque. Cette dispersion des troupes à l’étranger leur permet d’être plus discrets dans leurs attaques et donc de limiter les représailles, mais aussi de bénéficier des infrastructures informatiques du pays hôte en question.
Une armée qui répond à plusieurs objectifs bien définis
Le développement rapide et ostensible de l’arme nucléaire en Corée du Nord a complètement relégué au second plan le développement de leur cyber-armée. Lorsque l’arme nucléaire répond à un enjeu géopolitique pour avoir des garanties de survie et d’indépendance vis-à-vis des États-Unis et de la Corée du Sud, la cyber-armée répond à plusieurs enjeux : à la fois politique et économique. L’État insulaire n’est pas du tout dans la même optique que les pays occidentaux. Lorsque les cyber-armées occidentales sont dans une logique défensive pour se prémunir d’attaques de groupes de hackers, l’armée nord-coréenne est dans une logique tout à fait offensive et poursuit des objectifs bien précis.
Pour faire ses armes, l’armée nord-coréenne a d’abord eu pour but de compromettre des sites web ennemis. Ainsi dès juillet 2009, la Corée du Nord lance une série de cyber-attaques coordonnées contre des sites web gouvernementaux, financiers et de chaînes d’information hébergées en Corée du Sud et aux Etats-Unis. Ces attaques consistaient à activer un réseau d’ordinateurs préalablement corrompus (ou botnet) qui ont ciblé des sites web précis dans le but de surcharger leurs serveurs avec l’afflux de trafic. Cette attaque est plus connue sous le nom d’attaque par déni de service distribuée.
Le développement de cette cyber-armée sert avant tout un objectif politique : celui de protéger l’image du régime de Pyongyang et de son leader. En août 2014, la Corée du Nord s’est ainsi infiltré dans les systèmes d’information de la chaîne Channel Four qui prévoyait de diffuser une série sur un scientifique britannique kidnappé à Pyongyang.
Novembre 2014, l’État ermite frappe un grand coup : Sony Pictures Entertainment (SPE) se fait pirater plus de 100 téraoctets de données d’après les auteurs de l’attaque. Les attaquants ont utilisé un malware (Server Message Block Worm Tool) équipé de cinq composants: un implant d’écoute, une porte dérobée, un proxy, un outil de destruction de disque dur et un outil de nettoyage ciblé. Ces outils utilisés suggèrent une volonté claire de la part des attaquants d’obtenir des informations, d’être destructifs et d’effacer les preuves de l’attaque. Ainsi, plusieurs films qui devaient sortir sont volés puis mis en ligne sur des sites pirates, cela a représenté un manque à gagner énorme pour SPE. De même, un grand nombre de données personnelles et confidentielles sont volées puis diffusées par Wikileaks. Cette attaque avait bien sûr pour but de faire pression sur Sony pour empêcher la sortie du film “The Interview”. La Corée du Nord a donc parfaitement atteint ses objectifs puisque le film a été déprogrammé de la plupart des salles de cinéma.
Dans un état isolé du monde où la pauvreté s’accentue, avoir une force de frappe capable de voler des millions de dollars répond à un objectif économique. C’est ce que l’armée autour du Bureau 121 s’emploie à faire en réalisant des attaques informatiques. La Corée a donc d’abord attaqué des banques d’Asie du Sud Est, puis des banques d’Amérique latine et d’Europe de l’est. Ils procédaient toujours de la même façon: en réalisant des attaques par “point d’eau”. La technique du « point d’eau » consiste à piéger un site internet légitime afin d’infecter les machines des visiteurs qui se rendent sur ce site. Revenons sur l’une d’entre-elles: le cyber-braquage de la banque centrale du Bangladesh. Les nord-coréens auraient dérobé 81 millions de dollars grâce à des virements soit disant destinés à une organisation au Sri-Lanka ou aux Philippines. Plus récemment, les nord-coréens se sont illustrés lors d’une attaque sur des transactions de Bitcoin en Corée du Sud dans le but de détourner beaucoup d’argent en crypto-monnaie.
La cyber-attaque la plus médiatisée a bien sûr été WannaCry dont on accuse la Corée du Nord d’être le responsable. WannaCry est en fait le nom donné à un logiciel malveillant de type rançongiciel (ou ransomware). L’attaque s’est déroulée de la façon suivante: le logiciel malveillant est envoyé à une victime, celui-ci chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement.
Une vulnérabilité moindre vis-à-vis des pays ennemis
Le niveau de développement très primitif des infrastructures informatiques du pays insulaire leur permet d’être beaucoup moins vulnérable que la grande majorité de leurs ennemis. Tous les ordinateurs du parc informatique (quelques centaines) fonctionnent sous le même système d’exploitation: Red Star. Pourvu d’un noyau Linux et ressemblant à un OS X, il est le seul système d’exploitation autorisé dans le pays, produit et contrôlé par le gouvernement. Il est équipé d’une version modifiée de Firefox baptisée Naenara et dont la page d’accueil est ce portail gouvernemental portant le même nom.
L’intérêt d’avoir développé leur propre système d’exploitation est qu’ils ne sont pas dépendants d’un OS conçu par quelqu’un et qu’ils sont sûrs de son intégrité (notamment qu’il n’existe pas de porte dérobée). Bien que ce soit un atout d’avoir des technologies différentes par rapport aux autres pays pour se défendre d’un quelconque piratage, il semblerait que des vulnérabilités soient régulièrement trouvées sur RedStar.
Tributaire de la Chine et maintenant de la Russie
Malgré leur force de frappe impressionnante en matière de cyber attaque qu’ils ont su démontrer par le passé, les nord-coréens restent étroitement dépendants de leur voisins chinois et russe. La Chine était jusqu’à maintenant l’ unique fournisseur d’accès à Internet pour le pays ermite. Depuis 2010, le routage des quatre réseaux internet dont disposait la Corée passait par China Netcom, filiale du géant chinois des télécommunications China Unicom. Mais depuis peu, l’opérateur russe TransTelekom a relié le pays au net via une ligne passant par Vladivostok.
Pékin est un allié historique de Pyongyang depuis la proclamation de la République Populaire Démocratique de Corée en 1948. Mais on ne peut pas dire que les deux pays entretiennent de grandes relations puisque les deux présidents chinois Xi Jinping et nord-coréen Kim Jong-un ne se sont jamais rencontrés. Du côté russe, les relations s’améliorent de plus en plus surtout depuis qu’un ancien diplomate à Moscou a été nommé au poste de ministre nord-coréen des affaires étrangères en 2007. On notera par ailleurs que TransTelekom appartient directement à l’État russe et qu’il est donc fort probable que Vladimir Poutine ait joué un rôle important dans cette étape.
La Corée du Nord était donc fortement dépendante de la Chine pour leur accès à Internet jusqu’à maintenant. Depuis octobre 2017, le régime de Pyongyang s’émancipe de la Chine grâce à un second accès russe. Le fait d’être dépendant d’un accès internet venant d’un pays extérieur limite tout de même leur pouvoir en matière de cybercriminalité. Si un jour la Chine ou la Russie serait amenée à couper l’accès Internet à la Corée du Nord, les conséquences seraient catastrophiques pour le pays insulaire.
