La Corée du Nord toujours plus accro aux vols de cryptomonnaies
Le piratage de la plateforme sud coréenne de bitcoin bithumb est l'un des premiers exemples connus, en 2018, d'un vol de bitcoin attribué au groupe Lazarus, soupçonné de travailler pour la Corée du Nord.
Les Nations unies ont dénoncé, lundi, les vols de cryptomonnaies qui permettent à la Corée du Nord de financer ses programmes nucléaires et balistique. Ces attaques auraient rapporté jusqu’à 400 millions de dollars à Pyongyang en 2021, une année particulièrement faste pour cette méthode permettant de contourner les sanctions internationales.
Des dizaines, voire des centaines de millions de dollars. Les cybercriminels soupçonnés de voler des cryptomonnaies pour le compte de la Corée du Nord ont eu une année 2021 faste. “C’est devenu une source importante pour financer leurs programmes nucléaire et de missiles balistiques” de Pyongyang, a conclu un rapport remis au comité des sanctions du conseil de sécurité des Nations unies, a affirmé la BBC, lundi 7 février.
Les enquêteurs chargés par l’ONU d’évaluer l’ampleur de ces vols de bitcoins et autres monnaies dématérialisées ont estimé que ceux-ci avaient rapporté au moins 50 millions de dollars à Pyongyang entre fin 2020 et mi-2021. Mais ils ont reconnu que le butin pouvait être bien plus élevé.
De la Banque centrale du Bangladesh aux sites de ventes de bitcoins
Il pourrait avoir atteint 400 millions de dollars sur l’ensemble de l’année 2021, d’après les estimations de Chainalysis – une société d’étude des transactions dans le monde des cryptomonnaies – citées dans le rapport de l’ONU.
Une somme que les pirates informatiques à la solde de Pyongyang – essentiellement le groupe Lazarus – ont amassé grâce à seulement huit attaques contre des plateformes d’échange de cryptomonnaies et des fonds d’investissement, d’après les conclusions des experts de Chainalysis.
“C’est une manne très importante pour un État économiquement très isolé à cause des sanctions internationales”, estime Matthias Schulze, spécialiste en sécurité informatique internationale pour l’Institut allemand des affaires internationales (SWP), contacté par France 24.
Ce n’est pas la première fois que les prouesses des pirates informatiques nord-coréens, et de Lazarus en particulier, sont utilisées pour contourner les sanctions internationales. Déjà, en 2016, ces cybercriminels avaient frappé un grand coup en piratant la Banque centrale du Bangladesh pour tenter d’y dérober un milliard de dollars.
Mais la cible de ces pirates "a changé en 2018 avec l’apparition des logiciels malveillants spécialisés dans le vol de cryptomonnaies”, constate Lionel Doumeng, spécialiste en cybersécurité pour la société finlandaise F-Secure, contacté par France 24.
Depuis lors, Lazarus et consorts rapportent, ainsi, en moyenne, 200 millions de dollars par an dans les caisses de l’État nord-coréen, avec un pic en 2021, note Chainalysis. Certains logiciels malveillants que ces cyberbraqueurs utilisent “en sont déjà à leur version 5 ou 6, ce qui prouve qu’ils se sont perfectionnés”, précise Lionel Doumeng.
Dépendance nord-coréenne à la cybermanne
Mais qu’on ne s’y trompe pas. “Ces pirates informatiques ne font pas que ça. Ils peuvent aussi faire du vol d’identité, des attaques par déni de service sur demande [rendre des sites Internet indisponibles, NDLR] et tout ce qui peut rapporter de l’argent”, souligne Ivan Kwiatkowski, chercheur en cybersécurité pour le groupe russe de sécurité informatique Kaspersky. Le vol de bitcoins et autres cryptomonnaies demeure cependant leur activité principale, reconnaît ce spécialiste.
Une activité qui gagne en importance sur les autres sources traditionnelles pour acquérir des devises étrangères essentielles au financement des programmes militaires de Pyongyang. La Corée du Nord vend illégalement de larges quantités de charbon, procure des métaux précieux à la Chine et exporte des tonnes de sables. Mais “toutes ces activités sont en déclin depuis 2018”, notait Sebastian Harnisch, spécialiste de la Corée du Nord à l’université de Heidelberg, contacté par France 24 en 2019.
La pandémie a rendu Kim Jong-un encore plus dépendant aux pirates informatiques, car le commerce de charbon et de sable a fortement chuté à la suite de la fermeture des frontières. L’ONU a aussi rendu illégal, en 2020, l’envoi par les travailleurs immigrés nord-coréens d’une partie de leur salaire au régime de Pyongyang. C’est une manne de près de 200 millions de dollars par an qui s’est ainsi tarie, rappelle l’Institut coréen pour la réunification de Séoul dans une note de 2021 sur les techniques utilisées par Pyongyang pour contourner les sanctions internationales.
Le vol de bitcoins, lui, n’a pas connu la crise, malgré le fait que l’ONU et tous les spécialistes alertent sur ce phénomène depuis plus de trois ans. “Le grand avantage du monde des cryptomonnaies pour les pirates informatiques nord-coréens c’est qu’il n’y a pas d’organisme centralisé qui peut imposer à tous les opérateurs du secteur des règles de sécurité à suivre”, note Gérôme Billois, expert en cybersécurité du cabinet de conseil Wavestone, contacté par France 24.
En clair, c’est un far west numérique dans lequel il n’y a pas de shérif. Certaines grandes plateformes, comme Binance ou Crypto.com, ont renforcé leur sécurité, mais “avec l’essor des cryptomonnaies, il y a un nombre grandissant d’acteurs de taille intermédiaire qui font passer leur croissance avant le reste et sont, ainsi, des cibles de choix pour les cybercriminels”, résume François Deruty, directeur des opérations pour le spécialiste français de la cybersécurité Sekoia, contacté par France 24.
Des pirates à la dernière mode
Ces pirates informatiques à la solde de Pyongyang savent aussi capter l’air du temps. Ainsi, en 2021, “ils ont, pour la première fois, dérobé plus d’ethereums que de bitcoins”, souligne Chainalysis. La raison la plus probable est “que le bitcoin semble avoir atteint un pic et que son principal concurrent, l’ethereum, a davantage de marge de progression”, estime François Deruty.
Les membres de Lazarus joueraient donc aux spéculateurs. Ou plutôt, ils seraient obligés de le faire. En effet, Pyongyang n’a que faire d’avoir des bitcoins ou des ethereums en poche. L'important est de pouvoir blanchir ces cryptomonnaies et les transformer en devises reconnues, telles que le dollar. C’est un processus qui peut prendre du temps – il faut camoufler les traces numériques des transactions, trouver les bons intermédiaires – et il vaut mieux miser sur les cryptomonnaies, comme l'ethereum, qui ont le plus de chances de gagner en valeur.
Les différents experts interrogés par France 24 ne voient pas comment freiner la rapacité de Lazarus et autres sans une prise de conscience de tous les acteurs du secteur. Interpol, le FBI et d’autres agences pourraient certes tenter de “contrer les outils utilisés par ces pirates informatiques pour leur compliquer la tâche, les obliger à dépenser de l’argent pour développer de nouveaux logiciels malveillants et rendre ainsi ces attaques moins lucratives”, estime François Deruty.
Après tout, il y a eu un effort important des principales polices du monde pour lutter contre ce qu’Interpol a appelé "la pandémie du rançongiciel". Conséquence : il y a eu des vagues d’arrestations jusque dans les milieux de la cybercriminalité en Russie.
Mais les rançongiciels touchaient des grandes entreprises, des hôpitaux et des administrations publiques, ce qui a suscité une prise de conscience globale. Rien de tel avec les vols de bitcoins qui “restent une niche du marché de la cybercriminalité”, juge François Deruty. Sauf peut-être si on se rend compte un jour que le missile nucléaire nord-coréen capable de frapper les États-Unis a été payé grâce au butin de ces cyberbraquages.