Le 21 février 2025, la plateforme d’échange Bybit a été victime de l’un des vols les plus importants de crypto actifs de l’histoire. Ce vol de 1,5 milliards de dollars a été perpétré par le groupe nord-coréen Lazarus. Un événement illustrant parfaitement la stratégie offensive de la Corée du Nord, qui utilise le piratage pour financer ses ambitions. Il s’inscrit dans une série d’opérations de déstabilisation et de vols contre des gouvernements adverses.
Le cyberespace : un outil asymétrique face aux grandes puissances
« La première règle de la guerre hors limite est qu’il n’y a pas de règles, rien n’est interdit […]. Il n’y a rien dans le monde aujourd’hui qui ne puisse devenir une arme ». Cette citation de deux colonels de l’armée chinoise dans la «Guerre hors limites» démontre qu’en matière de cyber, il n’existe aucune règle. C’est cette vision qui semble guider la Corée du Nord qui s’arroge tous les droits par son armée numérique dans le cyberespace. Un choix de Pyongyang qui s’inscrit dans un contexte de sanctions et d’isolement au niveau international.
Depuis 2014, la Corée du Nord se sert du cyberespace pour infiltrer les systèmes informatiques des institutions bancaires afin d’obtenir les identifiants pour accéder au réseau Swift et exécuter des transferts de fonds. Le groupe APT 38 a volé d’importantes sommes d’argent à des banques dans le monde entier pour le compte du gouvernement nord-coréen. Ce groupe s’est concentré sur des attaques ciblant les systèmes financiers, notamment le réseau SWIFT utilisé pour les transactions bancaires internationales.
En quelques années, la Corée du Nord a considérablement développé son réseau pour accéder à Internet. En effet, depuis 2017, Internet est de plus en plus utilisé dans le pays par les élites. Cette augmentation est d’environ 300 % sur trois ans. Auparavant, seule l’élite s’en servait pour pouvoir télécharger un film ou faire des achats. La Corée du Nord reste toutefois l’un des pays les moins connectés au monde. Seuls quelques milliers de personnes sur 25 millions ont le droit de posséder un ordinateur et d’accéder à Internet.
Dans la catégorie des Advanced Persistent Threat (APT), qui regroupe des groupes étatiques ou non étatiques menant des attaques ciblées et sophistiquées pour des objectifs spécifiques, la Corée du Nord figure parmi les États les plus menaçants. C’est l’un des pays les plus fermés et sous surveillance, et très peu d’informations sont disponibles à son sujet. D’après la Corée du Sud, elle utilise les cyberattaques pour trois raisons. Elle veut collecter des informations, provoquer des troubles sociaux et accéder illégalement à des ressources financières. La Corée du Nord compense son manque de puissance économique par l’usage d’une stratégie cyber offensive asymétrique.
Une logique offensive
Dans sa logique d’offensive au sein du cyberespace, la Corée du Nord dispose d’unités de hackers spécialisés dans les attaques contre des Etats. Parmi ces unités de hackers coréens on retrouve l’APT 45, un opérateur cyber actif depuis 2009. Ce type d’opérateurs mènent des attaques sophistiquées qui nécessitent de pouvoir repérer des cibles potentielles, puis de détecter les vulnérabilités dans un système d’information et de préparer l’attaque. Le groupe est lié au Bureau Général de Reconnaissance (RGB), le service de renseignement d’élite nord-coréen. Cette unité a attaqué différentes infrastructures critiques dans huit pays comme la France, l’Allemagne, le Royaume-Uni et les États-Unis.
Depuis 2017, APT 45 a massivement ciblé les agences gouvernementales et infrastructures de défense, plus particulièrement dans l’industrie nucléaire et énergétique. L’unité utilise des outils relativement accessibles comme 3proxy, un outil légitime détourné en composant de malware. Le groupe utilise également des ransomwares de manière à collecter des renseignements stratégiques pour pouvoir développer des secteurs clés. Ces ransomwares servent à attaquer des établissements de santé publics et privés. Les cyberattaques servent également à obtenir du renseignement de structures étatiques et privées. En effet, l’information est une ressource stratégique décisive dans les objectifs poursuivis par la Corée du Nord notamment pour développer ses capacités militaires.
Les cyberattaques financières au service de la stratégie de contournement des sanctions
La Corée du Nord cherche également à gagner en puissance par les cyberattaques pour déstabiliser et obtenir du renseignement. Cette campagne est menée sous la direction du Bureau Général de reconnaissance nord-coréen, une agence de renseignement militaire. A travers cette agence, le gouvernement nord-coréen souhaite développer une armée numérique capable de recueillir des financements de manière illicite pour pouvoir contourner les sanctions économiques qui font perdre une somme importante du budget nord-coréen depuis une décennie.
C’est dans cet objectif qu’en décembre 2024, le groupe nord-coréen Lazarus est parvenu à voler des crypto-monnaies d’une valeur de plus de 300 millions de dollars sur la plateforme d’échange japonaise DMM Bitcoin. Ce groupe fait partie des principales menaces pour le secteur des crypto-monnaies. Les hackers ont utilisé des techniques d’ingénierie sociale pour infiltrer la plateforme et transférer les cryptomonnaies vers des comptes contrôlés par la Corée du Nord. Les Nord-coréens volent ces cryptomonnaies car elles sont très rentables. Les plateformes qui permettent le transit des cryptomonnaies par la blockchain sont parfois peu protégées. Les plateformes servant à convertir les crypto-monnaies dans une devise ont un nombre important de failles de sécurité.
Ce type d’attaque est une stratégie courante pour le régime nord-coréen, qui utilise ces fonds pour contourner les sanctions économiques internationales. Le but des cyberattaques est aussi de permettre un profit financier Nord-coréen, participent au financement de sa puissance militaire. La Corée du Nord n’ayant pas de véritable puissance économique, il s’agit d’un de ses leviers alternatifs pour peser dans la géopolitique mondiale. L’année dernière, la Corée du Nord est parvenue à voler deux fois plus de crypto-monnaies qu’en 2023, soit une somme d’environ 1,3 milliards de dollars. D’après un rapport des Nations-Unies, les activités cyber malveillantes de la Corée du Nord financent environ 50 % de ses devises étrangères. Ces attaques servent à des activités illégales mais aussi à financer le programme nucléaire de Pyongyang. Ainsi, les rapports de force entre puissances se manifestent notamment à travers des actions telles que le sabotage ou le vol de crypto-monnaies, qui deviennent des outils stratégiques.
Le renforcement de la puissance nucléaire nord-coréenne
En 2024, le groupe de hackers nord-coréen APT45 a intensifié ses cyberattaques ciblant l’industrie de la défense et des agences gouvernementales américaines, notamment des bases de l’US Air Force et le Bureau de l’inspecteur général de la NASA. Des entités nucléaires comme la centrale nucléaire de Kudankulam en Inde sont également attaquées. Les types de données volées incluent des plans sur le traitement et l’enrichissement de l’uranium, des infrastructures nucléaires, des technologies satellitaires, ainsi que des technologies sous-marines et des centrales nucléaires. Dans un but de guerre économique, la Corée du Nord fait l’acquisition de technologies militaires. Cela permet de développer le programme d’armement nucléaire de la Corée du Nord Elle cherche activement à développer ses missiles balistiques intercontinentaux. Son objectif est d’améliorer la performance de ces missiles, notamment en se concentrant sur des modèles fonctionnant au propergol solide. Dans le même temps, le pays vise à accroître ses capacités d’enrichissement de l’uranium. En agissant ainsi, la Corée du Nord souhaite renforcer son arsenal nucléaire et démontrer sa puissance militaire afin d’impressionner et de dissuader ses adversaires.
Les pays comme le Royaume-Uni, les États-Unis et la Corée du Sud affirment que le groupe connu sous les noms d’Andariel et d’Onyx Sleet cible des infrastructures de défense, aérospatiales, nucléaires et d’ingénierie pour obtenir des informations secret-défense. Le groupe a également recherché des informations dans d’autres secteurs stratégiques de l’armement comme le traitement de l’uranium, les chars et les sous-marins. La Corée du Nord a également acquis des plans de missiles et de systèmes de défense antimissile par de l’espionnage. Cela lui a permis d’améliorer son arsenal nucléaire. Depuis 2022, le pays aurait procédé à plus de 100 lancements de missiles, dont des missiles balistiques intercontinentaux et de croisières. En janvier 2024, l’arsenal nucléaire nord-coréen est estimé à environ 50 ogives. Parallèlement à cela, le développement de missiles balistiques pour les sous-marins se poursuit avec l’aide des informations obtenues par les hackers.
Le programme nucléaire nord-coréen est utilisé comme moyen de dissuasion et levier diplomatique. Le régime de Kim Jong-Un affirme qu’il n’hésitera pas à utiliser des armes nucléaires en cas de provocation. Cette posture permet à la Corée du Nord d’exercer une pression constante contre les pays d’Occident. Ces derniers sont d’ailleurs les pays les plus ciblés par les attaques nord-coréennes. La Corée du Nord est sous sanctions du Conseil de sécurité de l’ONU depuis 2006. A partir de 2017, les sanctions se sont intensifiées avec le deuxième essai nucléaire du pays. Le pays connaît ainsi des interdictions d’exporter des textiles, de voyager, un gel des fonds financiers et des restrictions sur le pétrole. Ces sanctions ont poussé Pyongyang à voler des technologies pour remédier aux défaillances nationales. Le groupe APT 45 s’est ainsi focalisé sur le vol de propriétés intellectuelles dans l’agriculture et le secteur de l’industrie pharmaceutique. Cependant, la Corée du Nord cible aussi d’autres pays plus ou moins proches de sa zone d’influence en Asie. Par exemple, la Corée du Sud fait partie de leurs cibles privilégiées pour leur voler des informations sur la conception de semi-conducteurs.
La stratégie des défenses occidentales et la résilience du réseau nord-coréen
Les entreprises européennes ont la responsabilité de protéger leurs actifs, leur écosystème et leurs partenaires contre les cybermenaces et les campagnes d’espionnage. Des dispositifs tels que NIS 2, DORA et le Cyber Resilience Act ont vocation à développer le cadre réglementaire européen. Ils permettent ainsi de renforcer des postures de cybersécurité et s’assurer que les entités financières peuvent résister aux perturbations. En mars 2024, les pays de l’Union Européenne ont décidé de collaborer pour renforcer les moyens de détection et de mettre en place une réaction coordonnée face à des cyberattaques de grande ampleur.
Les entreprises européennes, comme en France, sont confrontées à des cyberattaques de plus en plus sophistiquées, y compris l’infiltration par des hackers nord-coréens se faisant passer pour des employés. La Corée du Nord cherche également à infiltrer des entreprises stratégiques occidentales. Des entreprises stratégiques comme Airbus et Thales, par exemple, sont particulièrement visées. Aux États-Unis, une entreprise a récemment embauché accidentellement un hacker nord-coréen. Ce dernier a été détecté grâce à des protocoles de sécurité. Cela démontre une méthode d’infiltration avancée qui pourrait se produire en Europe. En Europe, bien que de tels incidents ne soient pas publiés, ils existent. De nombreuses entreprises choisissent de ne pas divulguer ces incidents si les données n’ont été compromises afin d’être en conformité avec le RGPD et la directive NIS2.
La Corée du Nord dispose d’un réseau difficile à infiltrer. En effet, le réseau est géré par un des seul fournisseur d’accès, China Unicom, et est sous contrôle de l’Etat. La grande majorité de la population n’a pas accès au World Wide Web, ce qui crée une dépendance massive de la Corée du Nord à la Chine. C’est cette dépendance au réseau chinois qui a vraisemblablement poussé la Corée du Nord à avoir un deuxième fournisseur d’accès. Depuis 2024, la Russie aurait également procuré un deuxième point d’accès au pays par le biais de la société TransTelekom dans le but de lui permettre d’échapper aux sanctions américaines. En ayant un deuxième fournisseur d’accès, la Corée du Nord permet de donner plus de résilience à son réseau. Il est donc beaucoup plus difficile aujourd’hui de déconnecter le pays d’Internet.
Quelles solutions restantes ?
Les pays occidentaux peuvent tenter d’empêcher la Corée du Nord de faire des tests pour son programme nucléaire. En effet, des stratégies sont possibles pour perturber les capacités nord-coréennes notamment avec des cyberattaques. La technique du « left » or « launch » vise à empêcher le lancement de missiles. Cette technique permet de pirater des systèmes de contrôle de tir ou de brouiller les outils de communication qui permettent de coordonner les tirs. Cette stratégie a permis de nuire au développement des missiles nord-coréens. Cependant, ces approches sont difficiles à exécuter en raison du fonctionnement cloisonné des technologies en Corée du Nord. Avec peu d’appareils connectés à internet et des réseaux gouvernementaux et militaires isolés, le pays est probablement bien préparé pour résister aux cyberattaques.
La résilience du pays face aux cyberattaques s’explique aussi par son isolement et son infrastructure peu connectée. En effet, mener des attaques depuis l’extérieur reste difficile sans connexion directe entre internet et intranet. Elle limite ainsi l’impact des cyberattaques menées contre elle. Quant à l’intranet nord-coréen, il est potentiellement une cible à cause de son système d’exploitation vulnérable. C’est la raison pour laquelle la Corée du Nord est très fermée au tourisme, seuls 5000 visiteurs occidentaux pouvant visiter le pays par an.
Edwin Barancira pour le Club Cyber de l’AEGE
Pour aller plus loin :