Le documentaire « Les hommes des Kim » de Marjolaine Grappe, récompensé par le prix Albert-Londres 2018, met en lumière des systèmes financiers mis en place par les dictateurs nord-coréens pour amener des devises étrangères dans le pays. Ces structures sont gérées par l’armée, les services spéciaux nord-coréens et plus précisément par le Bureau 39. Pendant longtemps, ce dernier, officiellement : Bureau 39 du comité central du Parti des travailleurs de Corée, était une rumeur. Il aura fallu attendre le début des années 2000 pour qu’une importante fuite de données et par la suite des transfuges, permette de confirmer l’existence de cet organisme.

Le Bureau 39

Il aurait été fondé dans les années 1970 par Kim Jong-Il et Kim Il-Sung et compterait aujourd’hui plusieurs milliers d’employés. A sa création, il s’agissait de créer des entreprises-écrans et de ponctionner les salaires d’une main-d’œuvre émigrée. Cependant, l’apparition d’Internet est venue bouleverser les structures habituelles et a permis de collecter d’importantes sommes d’argent pour des investissements minimes. Devant ces succès, le régime a décidé de se concentrer sur la formation et le développement de ses capacités cyber.

Selon l’ONU[1], avec cette « caisse noire », le dirigeant nord-coréen financerait son train de vie, s’achèterait des soutiens politiques et investirait dans ses programmes de recherche nucléaire et de missiles balistiques. Pour capter cet argent, le régime aurait mis en place plusieurs tactiques. Il enverrait à l’étranger des travailleurs sur lesquels il percevrait une partie de leur salaire, organiserait des trafics (ivoire, drogue, faux billets) et ouvrirait des compagnies à l’étranger. Il s’appuierait aussi sur des unités cyber de l’armée nord-coréenne et sélectionnerait, à l’instar du modèle soviétique, les futurs hackers dès leur plus jeune âge. L’accès aux ordinateurs étant limité, seuls les meilleurs en mathématiques seraient autorisés à les utiliser et seraient envoyés à l’étranger où ils auraient accès aux plus grandes écoles. En échange, le pays leur garantirait un certain niveau de vie.

Un ancien membre du Bureau 39, aujourd’hui réfugié en Corée du Sud, a déclaré[2] « Je n’ai pas vu de cas aux États-Unis (de travailleurs nord-coréens). En revanche, on fait tout pour leur dérober de l’argent. Pour ça, nous avons une technique : le piratage informatique avec des logiciels de rançons par exemple. La Corée du Nord va pirater les infrastructures industrielles ou informatiques des États-Unis. Nous n’avons pas les moyens d’analyser ces données ni de les utiliser, on fait juste du piratage. Mais en échange de la promesse de ne pas partager ces données, on demande de l’argent. La Corée du Nord est une preneuse d’otage de donnée informatique. »

L’arme cyber

En Corée du Nord, sur une population de plus de 25 millions d’habitants, seulement 1 % aurait accès à Internet[3]. Pour autant, le gouvernement a réussi à placer le pays parmi les nations les plus compétentes dans le domaine cyber. « Si Internet est comme une arme à feu, les cyberattaques sont comme des bombes atomiques ».

Cette citation, attribuée à Kim Jong Il, père de l’actuel dirigeant, révèle bien l’importance stratégique que la Corée du Nord attribue à ce domaine. À l’instar des autres puissances, Pyongyang va utiliser l’arme cyber à des fins de renseignement, d’influence et d’action. Cependant, elle ne va pas se contenter de copier les modèles déjà existants d’emplois de l’arme cyber, mais elle va innover à la fois en termes techniques et tactiques, en menant des attaques cyber pour se financer.

Les capacités cyber de la Corée du Nord vont apparaitre au grand jour en 2014. Après la sortie d’un film qui parodie Kim Jong Un, un groupe de hackers, « les gardiens de la paix », pirate les studios de la chaine Sony. En 2015, le groupe, renommé Lazarus Group, cible la Bangladesh Bank et d’autres institutions financières du pays. Selon le journaliste Jean Marc Manach[4], les pirates ont pu avoir accès aux réseaux en envoyant des emails piégés à divers employés. Ils se sont préparés pendant plusieurs mois pour finalement frapper en février 2016. Ils ont envoyé de fausses demandes de transferts d’argents à la Réserve fédérale de New York au nom de la Bangladesh Bank, détournant ainsi près d’un milliard de dollars. Cependant, à la suite d’une alerte informatique, la plupart des transactions furent bloquées, mais les hackers ont pu retirer 80 millions de dollars.

Une autre attaque spectaculaire fut celle menée à l’aide du ransomware (rançongiciel) Wannacry. « L’attaque WannaCry, d’un niveau sans précédent, a infecté plus de 300.000 ordinateurs dans au moins 150 pays en seulement quelques jours. Ce ransomware, logiciel malveillant de rançon, verrouille les fichiers des utilisateurs et leur réclame 300 dollars (275 euros) pour en recouvrer l’usage.[5] » Selon le ministère américain de la Justice, un ressortissant nord-coréen, Park Jin Hyok, aurait participé à l’attaque et serait soupçonné d’être membre du Lazarus Group. Cet homme travaillait pour l’entreprise Korean Expo Joint Venture (KEJV), identifiée comme étant une société-écran liée aux services de renseignement de la Corée du Nord. D’autres attaques attribuées au Lazarus Group ont été recensées. Selon le gouvernement américain[6], en 2017, des distributeurs automatiques furent piratés dans une trentaine de pays.

Les cryptomonnaies

Selon Chainalysis, plateforme de données dédiée à la blockchain, les hackers nord-coréens ont connu une belle année en 2021. Ils auraient lancé au moins sept attaques contre des plateformes de cryptomonnaies qui ont permis de subtiliser près de 400 millions de dollars d’actifs numériques. Ces attaques ont visé en particulier des entreprises d’investissement, des places de marché et « ont utilisé des leurres de phishing, des exploits de code, des logiciels malveillants et une ingénierie sociale avancée pour siphonner les fonds des portefeuilles [7]». Entre 2017 et 2021, la République populaire démocratique de Corée (RPDC) aurait mené 49 attaques pour un gain d’environ 170 millions de dollars. La RPDC a ainsi mis sur pied différents montages informatiques et financiers afin de blanchir l’argent obtenu par ses piratages. Selon un rapport confidentiel de l’ONU, consulté par Reuters[8], « Les cyberacteurs de la République populaire démocratique de Corée, dont beaucoup opèrent sous la direction du Bureau général de reconnaissance, collectent des fonds pour ses programmes d’ADM (armes de destruction massive), le montant total des recettes étant estimé à ce jour à deux milliards de dollars américains. »

On estime qu’entre 2019 et 2020, le nombre de ransomwares a augmenté de 300 %. Même s’il est difficile de tous les attribuer à la Corée du Nord, celle-ci ne fait qu’intensifier ses attaques. En effet, le Cybersecurity & infrastructure security agency, organisme américain de lutte contre la cybercriminalité, a sur son site web[9], dédié une page à la Corée du Nord et y récence les attaques qui ont pu être identifiées. Mais, malgré les protestations et les sanctions internationales, Pyongyang persévère dans sa stratégie. Le lancement d’un nouveau missile ce jeudi 27 janvier vient confirmer la volonté de Kim Jong-Un de poursuivre le développement de ces programmes d’armement qui nécessitent d’importants financements. Affaire à suivre donc.

[1] https://www.securitycouncilreport.org/atf/cf/%7B65BFCF9B-6D27-4E9C-8CD3-CF6E4FF96FF9%7D/s_2021_211.pdf

[2] Corée du Nord : les hommes des Kim de Marjolaine Grappe, Christophe Barreyre et Mathieu Cellard, 2018

[3] The Incredible Rise of North Korea’s Hacking Army | The New Yorker

[4] https://www.nextinpact.com/article/45622/la-coree-nord-ses-pirates-delite-et-son-cybercrime-organise

[5] https://www.lesechos.fr/monde/etats-unis/wannacry-washington-a-inculpe-un-hacker-nord-coreen-138323#:~:text=L’attaque%20WannaCry%2C%20d’,pour%20en%20recouvrer%20l’usage.

[6] https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/fastcash-lazarus-atm-malware

[7] https://blog.chainalysis.com/reports/north-korean-hackers-have-prolific-year-as-their-total-unlaundered-cryptocurrency-holdings-reach-all-time-high/

[8] North Korea took $2 billion in cyberattacks to fund weapons program: U.N. report | Reuters

[9] North Korea Cyber Threat Overview and Advisories | CISA

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.