La Corée du Nord, empire du cybercrime : une pièce en 5 actes
Deux milliards de dollars américains : d'après l'ONU, c'est ce que le cybercrime a rapporté à Pyongyang en 2019. Le régime communiste nord-coréen, qui n'a presque aucune relation économique avec le monde extérieur, à part avec Pékin et Moscou, s'est dans un premier temps tourné vers des activités économiques illégales comme le trafic d'armes et le trafic de drogue. Mais aujourd'hui, ses deux principales sources de devises étrangères sont la vente de ses travailleurs et le cybercrime.
Acte 1 : de l'espionnage au cybercrime
Le pays vit isolé de tout, même son Internet est coupé du monde. Mais les élites militaires nord-coréennes sont tout à fait au courant des avancées technologiques réalisées à l'extérieur. Le militarisme ambiant les y oblige et dès le début des années 2000, le renseignement nord-coréen se dote d'unités de pirate cyber, réunies sous l'appellation Bureau 121. Celui-ci se montre très vite compétent car le régime applique un recrutement draconien. Ses effectifs se composent de 6 000 soldats et officiers, tous possédant un certain talent pour le piratage. Ils peuvent être déployés à l'étranger, mais seulement dans des pays alliés (Biélorussie, Russie, Chine) pour éviter tout risque de capture. La question de la désertion ne se pose pas pour cette unité car ses membres sont choyés par le régime.
Malgré son haut niveau de préparation, l'unité n'est pas jugée utile par certains membres du parti. Ses missions, l'espionnage de la Corée du Sud et le vol d'informations, pourraient largement être accomplies par des unités d'agents classiques, estiment-ils. Pour sauver le Bureau 121, certains hiérarques proposent alors que celui-ci imite les cybercriminels. Il rapporterait ainsi des devises étrangères, dont le régime a cruellement besoin. Pour ses activités cybercriminelles, l'unité prend le pseudonyme de groupe Lazarus. Si au début l'unité se concentre sur les entreprises sud-coréennes, elle va vite sortir des frontières de la péninsule et s'attaquer à toute entreprise occidentale.
Acte 2 : la chute
En 2014, le groupe Sony Pictures annonce la sortie d'un film intitulé "L'interview qui tue". Dans cette comédie, le duo d'humoristes James Franco et Seth Roger sont chargés par la CIA d'assassiner Kim Jung UN, le leader nord-coréen. Immédiatement, la Corée du Nord fait un communiqué et menace Sony ainsi que l'équipe du film de représailles, et elle va jusqu'à demander à l'ONU d'intervenir. Les dirigeants de Sony sont ravis de cette publicité gratuite… Mais le 24 novembre, Sony Pictures est victime d'une cyberattaque massive : ses infrastructures sont paralysées, ses secrets volés, de possibles scripts à venir disparus. Si le groupe responsable de l'attaque se fait appeler Guardian of Peace, il ne fait aucun doute que le responsable est Lazarus. Et à travers lui, c'est bien Pyongyang qui menace ouvertement Sony. Gardian of Peace menace en outre de provoquer des attentats lors des séances du film.
L'affaire est prise en main par les agences gouvernementales américaines. Le Secret Service sécurise l'équipe du film et protège le cinéma organisateur de l'avant-première. La CIA et la NSA remontent la piste de Lazarus jusqu'à un serveur informatique dans la ville chinoise de Dandong. Située pile à la frontière entre la Corée du Nord et la Chine, elle sert de base au Bureau 121, qui y loue des serveurs pour ses activités. La réplique de la NSA est cinglante avec la mise hors ligne de ces serveurs, provoquant le chaos au sein de la ville chinoise. Pékin, refusant de se trouver dans le viseur de la NSA, décide de couper ses accès au Bureau 121 et enjoint son allié de construire ses propres serveurs pour mener ses activités criminelles. Cette décision va mettre KO le Bureau 121…
Acte 3 : la résurrection
Le jeudi 5 février 2016, Dacca, Bangladesh Bank. Les employés doivent encore relancer l'imprimante du 10e étage. C'est la routine pour eux, la machine tombant souvent en panne. En réalité, cette imprimante bugée est le signe que la Bangladesh Bank est en train de subir une cyberattaque. Le groupe Lazarus vient de renaitre comme ce fut le cas pour Saint Lazare… Lazarus s'infiltre au sein de la Bangladesh Bank avec un objectif simple : vider le compte que le Bangladesh possède à la Banque Fédérale de New York et qui représente un milliard de dollars américains. En usurpant l'identité des chefs de la Bangladesh Bank, le groupe ordonne de transférer les fonds sur des comptes en banque aux quatre coins de l'Asie. L'attaque est minutieusement préparée. Le week-end bengalais s'étendant du jeudi soir au samedi soir, quand la Fed de New York demande à la Bangladesh Bank de confirmer l'ordre, personne ne lui répond autre que les hackers de Pyongyang qui confirment les virements. Le samedi suivant au soir, un employé de la Bangladesh Bank qui repassait au bureau se rend compte de l'infiltration et surtout de l'ordre de vider le compte. Mais c'est le dimanche matin aux USA, donc personne ne lui répond… Finalement, lundi matin, la Bangladesh Bank réussit à joindre la Fed et c'est le branle-bas de combat à New York. Les employés tentent de stopper tous les virements, certains ayant déjà échoué en raison de fautes d'orthographe commises dans les intitulés de virement. Les Américains parviennent à sauver la majorité du milliard de dollars : il ne manque "que" 86 millions de dollars, disparus corps et biens. La NSA, encore chargée de remonter la piste des cybercriminels, arrive jusqu'au Bureau 121. Si cette opération est un demi-échec pour les hommes de Pyongyang, ce qu'ils préparent pour l'avenir va dépasser toutes leurs espérances.
Acte 4 : l'apogée
17 mai 2017, des entreprises espagnoles et anglaises alertent sur l'apparition d'un nouveau ransomware, WannaCry. Ce dernier infecte 300 000 ordinateurs à travers le monde et semble inarrêtable. Etats-Unis, France, Allemagne, Japon, Russie… Personne n'est à l'abri. Ce ransomware, créé par les soldats du Bureau 121 / Groupe Lazarus, a la particularité de s'auto-répliquer, ce qui décuple sa force de frappe. Mais il touche la Russie, pays allié de la Corée du Nord, ce qui n'était pas prévu à la base, mais surtout il touche la Chine… L'opération cause quatre milliards de dollars de dégâts. On ignore combien elle a rapporté, sans aucun doute une grosse somme. Cette cyberattaque massive à mis en difficulté un bon nombre d'entreprises et surtout a rappelé la menace que les hackers du régime des Kim représentent pour le monde.
Acte 5 : une source d'inspiration
Depuis 2017, pas de grosses opérations à noter mais l'activité cybercriminelle de la Corée du Nord reste constante. Tout l'argent dérobé par les cyberattaques est directement réintégré dans le programme nucléaire de la dictature communiste. Sans cet apport presque continu, le programme aurait bien du mal à aboutir.
Pyongyang n'est pas le premier pays au monde à baser son économie sur le crime : les dictatures du Nicaragua et du Panama vivaient grâce au trafic de cocaïne. En revanche, la Corée du Nord est le seul pays à vivre grâce aux rançons versées à ses cybercriminels. Cela ne risque pas changer car selon des transfuges nord-coréens, le Bureau 121 est l'une des unités qui reçoit le plus gros budget hors programme atomique, et l'unité travaillerait sur une prochaine campagne de grande envergure comparable à celle de WannaCry. Malgré de faibles moyens, la Corée du Nord a réussi en quelques années à devenir une puissance cybercriminelle. Inquiétant, sachant que la Chine souhaite s'inspirer de la politique cyber de son protégé coréen, avec des moyens largement supérieurs à ceux de Pyongyang.