Corée du Nord : 12 caractéristiques d’un « modèle cyberstratégique » très particulier

Arthur V. Guri est un spécialiste des relations internationales qui continue à nous faire profiter notamment de sa vision et de son analyse de la Corée du Nord [1] [2] [3] [4]. Dans cet article, il s’intéresse plus particulièrement aux aspects cyber dont l’actualité s’est encore fait récemment l’écho [5]. Car, à bien des égards, la République populaire démocratique de Corée (RPDC, ou « Corée du Nord » pour les intimes) constitue une source presque intarissable de paradoxes, en particulier pour les observateurs occidentaux. Les questions stratégiques et de défense au sens large sont souvent au cœur de ces paradoxes.

Korea and the Yellow Sea

La RPDC de nuit, vue de l’espace (Source)

La RPDC, c’est un pays ravagé par la famine qui possède l’une des armées les plus conséquentes au monde, qui s’attache à développer une capacité nucléaire, et qui semble désormais investir également le domaine cyber… C’est sur ce dernier point que cet article tentera de donner quelques clés de compréhension [6].

  1. Des affaires récentes

Depuis 2009, plusieurs campagnes de cyberattaques largement médiatisées ont attiré l’attention des observateurs sur la RPDC, à qui l’on prête désormais des velléités de vouloir entrer dans le jeu cyber global. Même si le sujet de l’attribution d’une cyberattaque reste toujours très sensible, les cibles visées, les timings des attaques, les modes opératoires ou encore la sophistication des outils mis en œuvre sont autant de facteurs qui, une fois recoupés, permettent d’émettre des hypothèses plus ou moins crédibles quant à l’origine d’une cyberattaque. En mars 2013, l’entreprise américaine Symantec a par exemple publié une courte analyse sur les similarités entre plusieurs cyberattaques ayant visé la Corée du Sud entre 2009 et 2013 [7].

Nous insistions sur ce point en introduction : le but de cet article n’est en aucun cas de discuter les questions d’attribution. Nous donnons cependant, et pour rappel uniquement, une très brève liste d’affaires de cyberattaques récentes dans lesquelles le régime de Kim a pu être cité :

  • Juillet 2009 [8][9] – Vagues d’attaques par déni de service distribué (DDoS [10]) ciblant notamment des sites web d’entités gouvernementales étatsuniennes et sud-coréennes.
  • Mars 2011 [11][12][13] – Campagne dite des « 10 jours de pluie », durant laquelle un réseau de bots (botnet) constitué de machines compromises largement basées en Corée du Sud a mené une attaque DDoS contre des sites web gouvernementaux sud-coréens. À l’issue des 10 jours, les bots étaient programmés pour arrêter le DDoS et « s’auto-détruire ».
  • Avril 2011 [14][15][16] – Attaque contre la banque sud-coréenne Nyonghyup Bank, paralysant son réseau informatique et son réseau de distributeurs automatiques pendant plusieurs jours.
  • Mars 2013 [17][18][19][20][21] – Attaques contre plusieurs banques et groupes télévisuels sud-coréens.
  • Novembre 2014 [16][17][18][19] – Dans le contexte tendu de la sortie du film The Interview, comédie américaine dans laquelle une équipe de journalistes partis interviewer Kim Jong-un sont recrutés par la CIA pour l’assassiner, Sony Pictures Entertainment (SPE) a été la cible d’une cyberattaque massive, qui a conduit à la paralysie de son réseau informatique et à la fuite d’un certain nombre de données, notamment de nombreux dossiers personnels d’employés de SPE, des e-mails internes, et certains films produits par la société et pas encore sortis à l’heure de l’attaque [20].
Enlarged Kim Jong Un in text

Sur les sites web officiels nord-coréens, le nom des leaders est automatiquement mis en valeur… (Source)

  1. De la documentation

Alors que les questions de cybersécurité, de cyberdéfense, et la chose cyber en général reçoivent une attention grandissante [21], les capacités cyber offensives des États comptent toujours parmi leurs secrets les mieux gardés. La RPDC, dont on connait la tendance à l’opacité, et pour laquelle il est déjà compliqué d’obtenir des statistiques fiables, ne serait-ce que sur les activités liées au tourisme par exemple, n’échappe bien entendu pas à cet état de fait. Malgré cela, il existe plusieurs documents publics traitant de ce sujet.

US DoD – Un de ces documents, intitulé « Military and Security Developments involving the Democratic People’s Republic of Korea », a été émis par le U.S. Department of Defense. Après une première version publiée en février 2013 pour la période 2012-2013 [22][23], la dernière version disponible à ce jour a été publiée début 2014, pour la période 2013-2014 [24][25]. Dans ce document, nous lisons ce très court passage sur les « cyberwarfare capabilities » supposées de la RPDC :

North Korea probably has a military offensive cyber operations (OCO) capability. Implicated in malicious cyber activity and cyber effects operations since 2009, North Korea may view OCO as an appealing platform from which to collect intelligence and cause disruption in South Korea.

  • From 2009 to 2011, North Korea was allegedly responsible for a series of distributed denial of service attacks against South Korean commercial, government, and military websites, rendering them briefly inaccessible.
  • North Korea was allegedly behind two separate cyberattacks in 2013, which targeted South Korean banking, media, and governmental networks, resulting in the erasure of critical data.

Given North Korea’s bleak economic outlook, OCO may be seen as a cost-effective way to develop asymmetric, deniable military options. Because of North Korea’s historical isolation from outside communications and influence, it is also likely to use Internet infrastructure from third-party nations. This increases the risk of destabilizing actions and escalation on and beyond the Korean Peninsula.

Concernant les services de renseignement nord-coréens, on lit :

North Korea’s Reconnaissance General Bureau (RGB) is responsible for clandestine operations. The RGB includes six bureaus charged with operations, reconnaissance, technology and cyber, overseas intelligence, inter-Korean talks, and service support.

L’extrême prudence qui semble être de mise (« North Korea probably has a military offensive cyber operations capability ») nous laisse clairement sur notre faim, au moins sur la question cyber.

Rapport HP – Fin août 2014, HP Security Research publiait son 16e « HP Security Briefing », intitulé : « Profiling an enigma: North Korea’s cyber threat landscape » [26][27][28]. Quand bien même on tâchera de rester vigilants quant à la fiabilité des informations qu’il contient, on ne peut que très vivement conseiller la lecture de ce document de 75 pages, remarquablement complet. Outre des rappels sur la situation géopolitique de la RPDC, on y trouvera, ici reprises en vrac, des informations sur :

  • les capacités estimées de la RPDC dans le domaine cyber, qui disposerait de près de « 5900 hackers d’élite » ;
  • « l’infrastructure cyber » nord-coréenne, qui reposerait d’un côté sur une connexion à l’Internet « mondial », dont l’accès serait réservé aux élites, et de l’autre sur un intranet contrôlé par le régime ;
  • des entités significatives, telles que :
    • la Star Joint Venture Co., responsable de fournir à la RPDC son accès à Internet,
    • Koryolink, le réseau de téléphonie mobile nord-coréen,
    • Silibank, le premier fournisseur de service de messagerie électronique,
    • le Korea Computer Center (KCC), centre de recherche gouvernemental pour les technologies de l’information ;
  • Red Star OS, le système d’exploitation propriétaire nord-coréen ;
  • les plages d’adresses IP et Autonomous Systems (AS) qui seraient utilisés par la RPDC ;
  • l’organisation des services de renseignement nord-coréens, et notamment :
    • au sein du Ministère des Forces armées populaires, dépendant du Reconnaissance General Bureau (RGB), le «  91 Office», « l’Unit 121 », et le « Lab 110 », qui s’occuperaient d’intrusion dans les réseaux et systèmes, et de renseignement d’origine cyber ;
    • au sein du Parti des Travailleurs, dépendant du Central Party Committee, et chargée notamment de la formation des « cyber-guerriers », « l’Unit 35» ;
    • au sein du Parti des Travailleurs, dépendant de l’Unification Bureau, « l’Unit 204», en charge de la guerre psychologique dans le cyberespace, et « l’Office 225 », qui mène, entre autres, des opérations d’infiltration au Sud ;
  • la guerre électronique et ce qui s’apparenterait à un programme de drones ;
  • la formation des « cyber-guerriers » ;
  • les cyberattaques et des groupes de cyberattaquants liées au régime de Kim (DarkSeoul, WhoIs Team, IsOne, Kimsukyang, etc.).
Red Star OS on a computer in North Korea

Red Star OS, le système d’exploitation propriétaire nord-coréen (Source)

 Pour conclure cette section, on ne répètera jamais assez que toutes les informations diffusées sur la RPDC doivent être considérées avec une grande précaution. Inutile de préciser que cette règle est d’autant plus vraie lorsque les informations sont diffusées par le gouvernement étasunien ou des entreprises nord-américaines…

  1. 12 caractéristiques cyberstratégiques nord-coréennes

Un pays dévasté par la famine qui, après s’être doté d’un programme d’armement nucléaire, se lancerait à corps perdu dans la chose cyber… En ayant en tête les nombreuses caractéristiques structurantes de la Corée du Nord, il est particulièrement intéressant d’observer l’approche du cyberespace par la RPDC, et la façon dont les propriétés de ce milieu ont pu être appréhendées par le régime de Kim. En particulier, Jong-un, le dernier de la lignée, serait féru de nouvelles technologies, et il semblerait qu’il ne soit pas étranger au « tournant cyber » pris par la RPDC.

 L’on commencera par noter quelques « opportunités » et « atouts » qui s’offrent à la RPDC dans le cyberespace :

  • #1. Le « cyber, c’est pas cher ». Le caractère asymétrique des conflits dans le cyberespace permet à un attaquant de bénéficier d’un effet de levier très fort: les cyberattaques coûtent peu et peuvent avoir un impact très significatif. Pour un État doté de peu de richesses, et notamment de peu de cash, c’est une belle opportunité d’exister au côté des plus grands.
  • #2. L’attribution, ou plutôt la difficulté d’attribution, est une préoccupation majeure dans le cyberespace. Pour un État pris en étau entre plusieurs colosses géopolitiques [29], c’est l’occasion de pouvoir nuire à ses ennemis sans prendre de gros risques quant à d’éventuelles représailles…
  • #3. La RPDC est par construction très « air gappée» [30][31]. Le cloisonnement, et notamment physique, est un pilier de la défense d’un système d’information. Séparer physiquement un SI d’un autre en s’assurant qu’il ne lui est pas connecté constitue une mesure très forte – et relativement contraignante – de cyberdéfense. Le réseau informatique et de télécommunications nord-coréen est – de ce que l’on peut en connaitre/deviner – extrêmement peu développé, ce qui limite de facto les interconnexions entre SI, et peut constituer un gros avantage.
  • #4. Le cyberespace est une opportunité pour la RPDC de récupérer du cash… en « jouant » à des MMORPG [32] ! En 2011, la police sud-coréenne aurait arrêté cinq individus suspectés d’être à la tête d’une équipe de hackers ayant développé un logiciel permettant de jouer en permanence à des jeux en ligne tels que Lineage ou Dungeon and Fighter afin d’accumuler du cash. Le groupe aurait amassé près de 6 millions de dollars en moins de deux ans [33] !
  • #5. La RPDC est (mal) connue pour être une terre de délocalisation. Guy Delisle, dans sa très belle BD « Pyongyang », illustrait son aventure dans la capitale nord-coréenne alors qu’il encadrait une équipe de production de dessins animés destinés à l’Occident [34]. Dans le domaine cyber, l’entreprise nord-coréenne Nosotek [35] – dont le site officiel est à ce jour inaccessible – offrait à une époque des services de développement informatique à des sociétés étrangères, notamment européennes. Au-delà d’une source de devises sonnantes et trébuchantes, il s’agit/s’agissait là d’une belle occasion pour la RPDC de former des personnels sur des cas réels, et leur permettre de développer des capacités duales au contact de problématiques concrètes, pour les réutiliser ultérieurement dans des situations moins… vidéoludiques.
  • #6. Enfin, le caractère universel du cyberespace permettrait à la RPDC une innovation majeure : pour la première fois de son histoire, elle serait à même de s’engager dans des conflits en dehors de son « territoire » physique. En effet, quand bien elle est l’une des plus grandes du monde, l’armée nord-coréenne de la dynastie des Kim n’a jamais réellement combattu en dehors des frontières du pays (ou en tout cas, jamais très loin) depuis la fin de la guerre de Corée en 1953.
Kim Jong-un - image KCNA

Kim Jong-un, qui semble au travail devant un iMac… (KCNA)

Ceci étant dit, il reste un grand nombre d’obstacles au développement des ambitions cyber de la Corée du Nord :

  • #7. De façon très pragmatique et pratique, on commencera par se souvenir que la RPDC ne dispose pas d’une production d’électricité stable et suffisante pour l’ensemble de ses besoins. La photo en tête de cet article le rappelle de façon très univoque. Or, il est clair que l’accès à l’électricité est un facteur très structurant et très limitant de tout développement de capacité cyber…
  • #8. Toujours en ce qui concerne les ressources, il est également clair que le régime de Kim rencontre de très sérieux problèmes de liquidités et de financement. Même si l’intensité capitalistique de la composante militaire cyber est nettement plus faible que celles des composantes terrestres, aériennes, maritimes ou nucléaires, rendant le cyber moins vulnérable au manque de liquidités, il n’en reste pas moins que, comme le veut l’adage : « l’argent est le nerf de la guerre ».
  • #9. La faible ouverture vers l’Internet mondial implique également un accès beaucoup plus restreint aux nouvelles technologies et à leur documentation, rendant notamment plus compliqué la formation et la montée en compétences.
  • #10. Cet accès aux nouvelles technologies est également rendu plus compliqué par les restrictions d’export vers la Corée du Nord, notamment en ce qui concerne les biens et technologies à double usage (BTDU) [36][37]. Les options qui s’offrent à la RPDC sont donc limitées : elle peut développer et produire ses propres technologies, produire des équipements sur la base de spécifications dérobées lors de manœuvres d’espionnage industriel, ou s’appuyer sur un pays partenaire pour lui procurer – la Chine par exemple.
  • #11. De façon générale, l’architecture Internet de la Corée du Nord lui confère une posture stratégique très particulière. Celle-ci étant fortement contrôlée, toute activité dissidente autonome émanant de l’intérieur du pays est extrêmement improbable. Ceci implique que toute cyberattaque provenant de la RPDC est très probablement financée par le régime lui-même. Par ailleurs, le faible nombre de connexions sortantes ne permettrait sans doute pas aux pirates nord-coréens de mener des attaques par DDoS de façon autonome. Afin de rester suffisamment discrète et/ou d’atteindre la taille critique nécessaire, la Corée du Nord doit donc s’appuyer sur des relais basés en dehors du pays – comme lors de l’attaque de mars 2011 décrite plus haut, qui s’appuyait sur un botnet essentiellement basé en Corée du Sud.
  • #12. Les initiatives individuelles (entrepreneuriat, activités commerciales privées, associations, etc.) de façon générale étant extrêmement limitées et contraintes, il est également très peu probable de voir émerger des capacités cyber indépendantes du régime qui soient non dissidentes. Alors que certains pays peuvent s’appuyer sur des groupes d’attaquants non-gouvernementaux mais favorables au régime en place, c’est une option impossible en RPDC.

 À l’heure de la finalisation de ces lignes, et malgré les fortes suspicions contre le régime de Kim, l’exfiltration d’informations subie par Sony Pictures Entertainment n’a pas été attribuée, et la RPDC continue de démentir toute implication. Si la responsabilité de la Corée du Nord finissait par être confirmée, au-delà de l’émergence d’un nouvel acteur majeur du cyberespace doté de capacités offensives, c’est un modèle cyberstratégique très particulier qui prouverait sa capacité à exister.

Arthur V. Guri pour EchoRadar

Quelques articles intéressants sur le sujet :

 

[1] http://echoradar.eu/2014/11/22/coree-du-nord-au-dela-du-buzz/

[2] http://echoradar.eu/2014/11/23/coree-du-nord-au-dela-du-buzzplantons-decor/

[3] http://echoradar.eu/2014/11/29/coree-du-nord-au-dela-du-buzzla-politique-gouvernance/

[4] http://echoradar.eu/2014/12/06/coree-du-nord-au-dela-du-buzzpourquoi-et-comment-en-est-arrives-la/

[5] http://si-vis.blogspot.fr/2015/01/le-sony-hack-2014-ou-comment-des.html

[6] Attention : alors que l’affaire Sony Pictures Entertainment a été très largement médiatisée et a déjà donné lieu à de nombreux débats, il n’est absolument pas question ici d’aborder le sujet – extrêmement épineux – de l’attribution de cyberattaques particulières au régime de Kim. Nous laissons ces réflexions à d’autres, et tenons à rester sur une tentative d’analyse stratégique générale.

[7] http://www.symantec.com/connect/blogs/are-2011-and-2013-south-korean-cyber-attacks-related

[8] https://en.wikipedia.org/wiki/July_2009_cyber_attacks

[9] Northkoreatech.org, 04/07/2010 : http://www.northkoreatech.org/2010/07/04/134/

[10] Distributed Denial of Service

[11] Cnn.com, 04/03/2011 : http://edition.cnn.com/2011/WORLD/asiapcf/03/04/south.korea.cyber.attack/index.html

[12] Rapport de McAfee, juillet 2011 : http://blogs.mcafee.com/wp-content/uploads/2011/07/McAfee-Labs-10-Days-of-Rain-July-2011.pdf

[13] Eweek.com, 07/07/2011 : http://www.eweek.com/c/a/IT-Infrastructure/North-Korea-Behind-DDoS-Attacks-on-South-Korean-Websites-McAfee-213814/

[14] Koreatimes.co.kr, 03/05/2011 : http://www.koreatimes.co.kr/www/news/nation/2011/05/117_86369.html

[15] Voanews.com, 09/05/2011 : http://www.voanews.com/content/north-korea-denies-cyber-attack-on-south-korean-bank-121570209/167438.html

[16] Northkoreatech.org, 11/05/2011 : http://www.northkoreatech.org/2011/05/11/dprk-denies-cyber-attack-on-nonghyup-bank/

[17] Abcnews.go.com, 20/03/2013 : http://abcnews.go.com/International/north-korea-eyed-huge-cyber-attack-south-korea/story?id=18769664

[18] Northkoreatech.org, 20/03/2013 : http://www.northkoreatech.org/2013/03/20/south-korea/

[19] Northkoreatech.org, 21/03/2013 : http://www.northkoreatech.org/2013/03/21/malware-that-hit-south-korea-wasnt-so-sophisticated/

[20] Globalpost.com, 10/04/2013 : http://www.globalpost.com/dispatch/news/regions/asia-pacific/south-korea/130410/north-korea-cyber-attack-south-korea

[15] Northkoreatech.org, 11/04/2013 : http://www.northkoreatech.org/2013/04/11/south-fingers-north-in-march-cyberattacks/

[16] Recode.net, 28/11/2014 : http://recode.net/2014/11/28/sony-pictures-investigates-north-korea-link-in-hack-attack/

[17] Northkoreatech.org, 02/12/2014 : http://www.northkoreatech.org/2014/12/02/did-north-korea-hack-sony-probably-not/

[18] Northkoreatech.org, 08/12/2014 : http://www.northkoreatech.org/2014/12/08/pyongyang-breaks-silence-on-sony-hack/

[19] Piie.com, 12/12/2014 : http://blogs.piie.com/nk/?p=13686

[20] https://en.wikipedia.org/wiki/The_Interview_%282014_film%29#North_Korean_reaction

[21] C’est l’occasion de rappeler au passage deux des grands chantiers cyber qui occupent la communauté française : l’implémentation de la Loi de Programmation militaire 2014-2019, et le Plan « Cybersécurité » de la « Nouvelle France industrielle ».

[22] DoD US : http://www.defense.gov/pubs/Report_to_Congress_on_Military_and_Security_Developments_Involving_the_DPRK.pdf

[23] Northkoreatech.org, 06/05/2013 : https://www.northkoreatech.org/2013/05/06/no-surprises-in-dods-dprk-report-to-congress/

[24] DoD US : http://www.defense.gov/pubs/North_Korea_Military_Power_Report_2013-2014.pdf

[25] Northkoreatech.org, 07/03/2014 : https://www.northkoreatech.org/2014/03/07/dprk-military-could-turn-to-cyber-warfare-for-lower-costs/

[26] http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/HP-Security-Briefing-episode-16-Profiling-an-enigma-North-Korea/ba-p/6588592

[27] Zdnet.com, 02/09/2014 : http://www.zdnet.com/article/north-korea-cyber-warfare-capabilities-exposed/

[28] 38north.org, 12/09/2014 : http://38north.org/2014/09/emurauskaite091214/

[29] Nous en parlions ici : http://echoradar.eu/2014/12/06/coree-du-nord-au-dela-du-buzzpourquoi-et-comment-en-est-arrives-la/

[30] Bruce Schneier, à propos des air gaps, en octobre 2013 : https://www.schneier.com/blog/archives/2013/10/air_gaps.html

[31] Wired.com, 12/08/2014 : http://www.wired.com/2014/12/hacker-lexicon-air-gap/

[32] Massively Multiplayer Online Role-Playing Game

[33] Nytimes.com, 04/08/2011 : www.nytimes.com/2011/08/05/world/asia/05korea.html

[34] http://www.amazon.fr/Pyong-Yang-Guy-Delisle/dp/2844141137/

[35] https://en.wikipedia.org/wiki/Nosotek

[36] http://fr.wikipedia.org/wiki/Biens_et_technologies_%C3%A0_double_usage

[37] http://www.ssi.gouv.fr/fr/reglementation-ssi/cryptologie/

 

Les vues et les opinions exprimées dans cet article sont celles de leur auteur et ne reflètent pas nécessairement les vues ou les opinions d’EchoRadar

Share/Partage

EchoRadar Blog

One Comment

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

quatre × cinq =

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.