L'affaire Sony a placé la Corée du Nord dans le collimateur de l'administration américaine. Nous vous proposons un état des lieux de cyber-armée nord-coréenne.
Il y a quelques mois, et avec une certaine prémonition quant à l'actualité récente, l'un de nos membres experts, RSSI de son état mais qui a souhaité rester anonyme, dans une série d'articles qui ont largement retenu votre attention – lire « La Cyber-menace est-elle la nouvelle arme de la diplomatie ? » – nous mettait en garde contre les dangers de la cyber-menace diplomatique.
Sony (et Paramount) sous le joug de la Corée du Nord
Depuis, l'actualité nous a rattrapée. Notre RSSI pointait à l'époque les pratiques des Etats-Unis, de la Chine et de la Russie. Depuis, l'Iran et la Corée du Nord ont rejoint le Panthéon des acteurs de la cyber-guerre qui couve . Le premier que l'on ne sait où placer, en victime (Stuxnet) ou en attaquant. Le second directement impliqué par le Président américain Obama dans l'affaire Sony. Sans oublier la Grande-Bretagne qui fourbit ses armes, ou la France qui demeure active, etc.
Rappelons que le géant des médias Sony a cédé à la pression des cyber-attaques, qui ont dérobé et rendu publiques des films et scénarios non encore sortis. Et surtout Sony n'a pas sorti le film The Interview, qui met en scène sur le mode de la comédie une histoire d'assassinat du leader nord-coréen. Depuis, un autre géant, Paramount, a également déprogrammé la diffusion d'un film de marionnettes (!) de 2005, Team America, réalisé par les créateurs de South Parc, qui mettait en scène le père de l'actuel dictateur.
La cyber-armée nord-coréenne
Nous vous proposons une synthèse que nous avons réalisée sur les forces nord-coréennes en présence. Il va de soi que cela ne représente qu'un résumé, soumis à caution car en matière d'espionnage les protagonistes évoluent cachés… Sauf quand un trouble-fête comme Edouard Snowden vient dévoiler au monde les pratiques de la NSA, ou lorsque des agences ont tout intérêt à dévoiler les secrets de leurs ennemies !
Le gouvernement de Corée du Nord est structuré en deux grandes entités :
- Parti des Travailleurs de Corée (PTC)
- Commission de Défense Nationale (CDN)
Les activités de cyber-guerre sont sous la tutelle du :
- Ministère des Forces Armées du Peuple, qui dépend du CDN
Les cyber-opérations dépendent du :
- Bureau Général de Reconnaissance, qui dépend du Ministère
Ce bureau est bien connu des forces en présence. Historiquement, il prend en charge les missions d'espionnage et les opérations clandestines.
Trois entités qui dépendent de ce Bureau ont été identifiées :
- Bureau 91, probablement le quartier général des opérations de hacking
- Unité 121, en charge de l'infiltration des réseaux et des cyber-attaques extérieures
- Lab 110, réaliserait des actions du même type
La formation des cyber-espions
Il n'y a pas de cyber-espionnage sans école de formation des hackers d’État. En Chine, la principale école a été identifiée, elle est à Pékin et se cache derrière des activités universitaires. Trois unités seraient en charge des cyber-espions et cyber-attaquants de Corée du Nord :
- Bureau 225, en charge de l'entrainement des agents en mission en Corée du Sud
- Unité 35, entrainement des agents en mission sur le territoire nord-coréen, des opérations et des investigations domestiques
- Unité 204, intervient dans les opérations d'espionnage en ligne et de guerre psychologique
Les départements informatique des universités nord-coréennes, qui forment aux techniques de programmation avec des cursus de spécialisation sur cyber-guerre, jouent également un rôle. Le nouveau dictateur a placé un focus sur la formation, avec entre (!) 2.000 et 6.000 étudiants qui pourraient être destinés à rejoindre les cyber-forces :
- Université Kim Il Sung
- Université de Technologie Kim Chaek
- Collège Mirim
Notons enfin que la Corée du Nord est de plus en plus citée comme étant à l'origine de cyber-attaques, qui visent principalement le frère ennemi la Corée du Sud, mais également de plus en plus des intérêts occidentaux.
Et le grand frère chinois ?
Autre interrogation, une partie des équipes de développements citées ci-dessus, en particulier l'Unité 121, disposerait de bureaux satellites installés en Chine, dans les villes à proximité de la frontière entre la Corée du Nord et la Chine. Ce qui soulève la question de la relation entre les cyber-espions chinois et nord-coréens. Et sur la Corée du Nord qui pourrait servir de laboratoire pour certaines opérations chinoises…
Il est surtout à craindre que nous entendions de plus en plus parler d'opérations de cyber-guerre et de pressions politiques, comme celle dans laquelle Sony est tombée à pieds joints, suivi par la Paramont, et qui d'autre encore ?