La Corée du Nord compte, au sein de son service de renseignement extérieur, une cellule dédiée aux cyberattaques. Connue sous le nom d'Unité 180, elle serait à l'origine des récentes demandes de rançon les plus remarquées, antérieures à WannaCry, dont le gouvernement nord-coréen a nié la responsabilité.

Dès qu’une cyberattaque de grande portée frappe une entreprise ou une institution, la Corée du Nord compte parmi les premiers suspects. La propagation du ransomware WannaCry, qui a touché plus de 200 000 ordinateurs dans 150 pays, n’a pas échappé à la règle : une partie du code retrouvée dans une première version du logiciel était en effet semblable à celle d’un backdoor utilisé par les hackers nord-coréens du Lazarus Group en 2015.

La Corée du Nord a depuis démenti ces accusations par l’intermédiaire de son représentant aux Nations unies, Kim In-ryong : « En ce qui concerne la cyberattaque, le lien établi avec la Corée du Nord est ridicule ».

Pourtant, comme le révèle Reuters, le pays compte bien, au sein de son agence de renseignement extérieure, une cellule spéciale dédiée aux cyberattaques. Nommée Unité 180, elle serait à l’origine des récentes cyberattaques visant à récolter des fonds par le biais d’un chantage, selon les témoignages de plusieurs experts en cybersécurité comme d’anciens citoyens du régime de Pyongyang qui ont fui la dictature actuellement dirigée par Kim Jong-un.

corée du nord pyongyang

La Chine et la Malaisie, couvertures idéales

C’est le cas notamment de Kim Heung-kwang, ancien professeur d’informatique, qui a gagné la Corée du Sud en 2004 mais conserve encore des contacts au sein de son ancien pays. À l’en croire, les cyberattaques à des fins d’extorsion de fonds sont orchestrées par l’Unité 180 : « [Cette cellule] est dédiée au piratage d’établissements financiers par l’intrusion et le retrait d’argent sur des comptes bancairesLes hackers se rendent à l’étranger pour trouver des lieux dotés d’une meilleure connectivité à Internet qu’en Corée du Nord et pour ne pas laisser de trace ».

Son analyse concorde avec celle que livrait la défense américaine dans un rapport rendu l’an dernier : « [Le gouvernement] considère [les cyberattaques] comme un outil rentable, asymétrique et réfutable auquel il peut recourir avec très peu de risques de représailles, notamment parce que […] [La Corée du Nord] recourt probablement à l’Internet des nations tierces ».

Parmi les principales bases d’opération extérieure de l’Unité 180, on trouve ainsi la Malaisie et la Chine, deux pays d’Asie qui offrent une couverture idéale aux hackers gouvernementaux, intégrés dans des sociétés informatiques ou des filiales d’entreprises nord-coréennes.

clavier
CC Erkan Utu

Une « menace capable de causer des dommages importants »

Selon James Lewis, spécialiste de la Corée du Nord au sein du Centre des études internationales et stratégiques de Washington, la stratégie du pays en matière de piratage a évolué au fil des années. D’abord destinée à l’espionnage et au harcèlement de cibles sud-coréennes et américaines, elle a selon lui connu un changement récent grâce à l’opération réussie contre le géant du cinéma : « Depuis [le piratage de] Sony, ils se livrent à du hacking en soutien d’activités criminelles pour faire gagner de l’argent au régime. Jusqu’ici, ça fonctionne aussi bien — si ce n’est mieux — que la drogue, la contrefaçon ou la contrebande, leurs recettes habituelles ».

Les attaques menées contre son voisin sudiste sont aussi réalisées depuis l’étranger pour brouiller les pistes, à l’instar du piratage de 140 000 ordinateurs de Corée du Sud en juin 2016. Simon Choi, expert en sécurité au sein de l’entreprise d’antivirus Hauri, affirme ainsi : « Ils agissent de [Chine] de façon à ce qu'[…] on retrouve des adresses IP chinoises. »

Selon Reuters, deux entreprises tech de Malaisie auraient ainsi un lien avec l’agence de renseignement extérieure (et l’Unité 180). La Corée du Nord, qui dément systématiquement les accusations dont elle fait l’objet, est toutefois loin de s’appuyer sur cette seule cellule, comme l’explique Michael Madden, un expert américain : « Ils recrutent leur personnel au collège. Celui-ci reçoit ensuite une formation avancée dans les meilleurs établissements [du pays]. »

Si le flou persiste autour de l’identité des hackers de l’Unité 180, Dmtri Alperovitch, cofondateur de l’entreprise en sécurité informatique CrowdStrike, estime que l’essentiel réside plutôt dans leur potentiel de nuisance : « Leurs capacités se sont améliorées au fil du temps et nous les percevons comme une menace capable de causer des dommages importants sur les réseaux privés et gouvernementaux américains ».

À lire sur Numerama : WannaCrypt  : comment peut-on se protéger d’un ransomware  ?

Partager sur les réseaux sociaux