WannaCry: Qui sont les hackers nord-coréens de la cellule 180?

SÉCURITÉ INFORMATIQUE Un département spécial du renseignement nord-coréen serait à l'origine de nombreux virus et attaques informatiques à travers le monde...

Dorian Debals

— 

Pour les spécialistes de la péninsule, il ne faut pas sous-estimer la capacité d'action des services de renseignements de Kim Jong-Un (photo).

Pour les spécialistes de la péninsule, il ne faut pas sous-estimer la capacité d'action des services de renseignements de Kim Jong-Un (photo). — Wong Maye-E/AP/SIPA

Cellule 180. Ce serait le nom de code d’une unité d’élite des renseignements nord-coréens. A qui les spécialistes de Symantec attribuent - avec prudence - l’attaque informatique massive du malware WannaCry. Ce « rançongiciel », qui a touché plus de 200.000 ordinateurs dans 150 pays, attaque les ordinateurs fonctionnant sous les systèmes d’exploitation Windows de Microsoft. Il rend inaccessibles les fichiers des utilisateurs en les chiffrant et exige un paiement en échange de leur décryptage. 

Une nouvelle cyberpuissance

Pillage de 80 millions de dollars à la Banque Centrale du Bangladesh, attaque du studio hollywoodien Sony : elles seraient toutes le fait de ces pirates professionnels de la cyber-armée nord-coréenne, selon le tansfuge Kim Heung-Kwang qui s’est confié auprès de Reuters. Celui qui a fait défection en 2004 aurait gardé de nombreux contacts avec d’anciens étudiants désormais au coeur de l’armée invisible du « leader supême ». Selon lui, ces pirates se font par exemple passer pour des employés de sociétés d’import-export, de filiales étrangères d’entreprises nord-coréennes ou de coentreprises avec la Chine afin d’opérer en toute discrétion hors de leur base.

Pour Dorian Malovic, auteur de La Corée du Nord en 100 questions, « on a toujours sous-estimé le régime de Pyongyang. Mais aujourd’hui on se rend compte qu’ils ont de très bons techniciens, que ce soit dans le domaine du nucléaire, des tirs balistiques et désormais en informatique donc. Kim Jong-un imprime ainsi sa marque dans ces trois secteurs et permet à son pays d’être vu comme une cyberpuissance. »

Mais il faut selon lui rester prudent sur l’attribution aux Nord-coréens. « La Chine a été particulièrement affectée par le ransomware. Ce serait maladroit de la part du régime d’attaquer un des seuls pays qui est son allié. » De fait, WannaCry a touché massivement la Chine, car le pays compte énormément d’ordinateurs tournant encore sous XP, une version ancienne de Windows.

Malaisie, Chine, Cambodge : de nombreuses couvertures pour les pirates

Ces « génies » de l’informatique peuvent être formés en Corée du Nord mais aussi dans des université chinoises. Ou alors dans des pays où ils ont des facilités de visas. « Il y a notamment une très forte communauté nord-coréenne à Shenyang, dans le nord de la Chine. Ainsi qu'historiquement au Cambodge. Et plus de 8.000 ressortissants en Malaisie », poursuit Dorian Marlovic.

La Corée du Nord a en outre les moyens d’orchestrer une opération de cette ampleur, dans la mesure où le matériel pour effectuer ce genre d’attaques n’est pas particulièrement sophistiqué et surtout très accessible. Mais c’est en amont que le travail prend du temps. Comme l’explique Jean-Philippe Bichard, rédacteur en chef du site spécialisé Cyberisques, créer un malware tel que WannaCry « peut prendre beaucoup de temps, parfois plusieurs années, afin de le rendre le plus efficace possible ».

Il veut lui aussi rester prudent quant à l’attribution de l'attaque aux Nord-coréens car « les bouts de codes découverts dans WannaCry peuvent très bien être un "leurre" destiné à incriminer le régime de Pyongyang. Ce ne serait pas la première "fake news" concernant l’attribution d’une attaque ». Surtout, il est aujourd’hui aisé de trouver ces « bouts de code » sur le « deep Web », la face cachée et sombre d’Internet. « Plus généralement, le problème aujourd’hui c’est que l’on se demande si ceux qui attaquent les systèmes ne sont pas plus techniquement avancés que ceux censés les protéger », s'inquiète enfin le spécialiste. Un défi qu'ont aujourd'hui du mal à relever les entreprises de cybersécurité.