Cyberattaque: L'unité 180, la cellule des hackers nord-coréens
Publié

CyberattaqueL'unité 180, la cellule des hackers nord-coréens

Une équipe spéciale des renseignements de Corée du Nord serait à l'origine de plusieurs attaques informatiques.

Image d'illustration.

Image d'illustration.

O.Berg, Keystone

La principale agence de renseignements nord-coréenne possède une cellule spéciale, l'unité 180. Celle-ci est sans doute à l'origine de certaines des plus audacieuses attaques informatiques de ces dernières années, affirment plusieurs sources.

Le pays est soupçonné de cyberattaques contre les Etats-Unis, la Corée du Sud et une dizaine d'autres Etats. Certains spécialistes disent également avoir trouvé des indices qui relieraient Pyongyang au logiciel de racket WannaCry qui a infecté le week-end dernier plus de 300'000 ordinateurs dans 150 pays, accusations «ridicules» selon la Corée du Nord.

Au coeur de ces allégations se trouvent les liens entretenus entre Pyongyang et le groupe de pirates informatiques Lazarus, accusé d'avoir dérobé l'an dernier 81 millions de dollars à la banque centrale du Bangladesh et d'avoir attaqué en 2014 le studio hollywoodien Sony, après la diffusion d'un film se moquant du numéro un nord-coréen Kim Jong-un.

Cyberarmée

Le gouvernement américain a mis en cause la Corée du Nord pour le piratage de Sony et la justice américaine rassemble des éléments contre Pyongyang dans l'affaire de la banque du Bangladesh. Aucune preuve formelle n'a été fournie et la Corée du Nord nie toute responsabilité dans ces attaques.

Pourtant, Kim Heung-kwang, un ancien professeur de sciences informatiques en Corée du Nord, qui a fait défection en 2004 pour rejoindre le Sud, et qui dispose toujours de contacts dans son pays natal, est persuadé que les cyberattaques à but financier sont organisées par l'unité 180, qui appartient au bureau général de reconnaissance, la principale agence d'espionnage nord-coréenne.

«L'unité 180 est impliquée dans le piratage d'institutions financières en entrant par effraction et en retirant de l'argent dans les comptes bancaires», raconte cet enseignant à Reuters, dont certains anciens élèves ont rejoint le cybercommandement stratégique, la cyberarmée nord-coréenne.

«Les hackers vont à l'étranger pour trouver un endroit disposant de meilleurs services Internet afin de ne pas laisser de trace», explique encore Kim Heung-kwang. Selon lui, ces pirates se font par exemple passer pour des employés de sociétés d'import-export, de filiales étrangères d'entreprises nord-coréennes ou de coentreprises avec la Chine ou l'Asie du Sud-Est.

Mieux que la drogue

James Lewis, expert de la Corée du Nord au centre d'études stratégiques et internationales de Washington, raconte que Pyongyang a commencé par utiliser le piratage informatique à des fins d'espionnage ou de harcèlement politique contre des cibles américaines ou sud-coréennes.

«Elle a changé après Sony en recourant au piratage pour soutenir des activités criminelles et obtenir des devises fortes pour le régime», assure-t-il. «Jusqu'ici, cela marche bien ou mieux que la drogue, la contrefaçon ou la contrebande, ses trucs habituels.»

Dans un rapport présenté l'an dernier devant le congrès des Etats-Unis, le département américain de la défense a déclaré que la Corée du Nord considérait l'outil cybernétique comme «peu coûteux, asymétrique, niable, qu'elle peut employer sans risquer d'attaques de représailles, en partie parce que ses réseaux sont largement séparés d'Internet». «Elle utilise probablement l'infrastructure Internet de pays tiers», ajoutait le Pentagone.

Pays tiers utilisés

Les «hackers» nord-coréens sont soupçonnés d'attaques contre des banques non seulement au Bangladesh, mais aussi au Vietnam, aux Philippines ou en Pologne, selon le vice-ministre sud-coréen des affaires étrangères Ahn Chong-ghee. En juin 2016, la police sud-coréenne a accusé Pyongyang d'avoir piraté plus de 140'000 ordinateurs dans 160 entreprises et agences gouvernementales du Sud.

La Corée du Nord est également suspectée de cyberattaques contre l'opérateur nucléaire sud-coréen en 2014, même si elle a nié toute implication. Cette attaque a été menée à partir de la Chine, rappelle Simon Choi, chercheur en sécurité informatique à la société Hauri Inc., basée à Séoul.

Sociétés de courtage

«Ils opèrent là-bas quel que soit le genre de projet. Ils ont des adresses IP chinoises», explique ce spécialiste. La Malaisie figure également au nombre des pays utilisés par les pirates informatiques nord-coréens, ajoute Yoo Dong-ryul, ancien policier sud-coréen qui a étudié les techniques d'espionnage du Nord pendant vingt-cinq ans. «Ils travaillent en surface pour des sociétés de courtage ou de programmation informatique. Certains dirigent des sites web ou vendent des programmes de jeu ou de paris», dit-il.

Michael Madden, un expert américain de la Corée du Nord, estime que l'unité 180 n'est qu'une des nombreuses unités de cyberguerre au sein de la communauté nord-coréenne du renseignement. «Ces employés sont recrutés dans les meilleures écoles et reçoivent une formation poussée. Ils ont un certain degré d'autonomie dans leurs missions», assure-t-il.

(ats)

Votre opinion