En mai 2017, quelque 230 000 ordinateurs situés dans plus de 150 pays ont été infectés par un virus appelé WannaCry. Orchestrée par la Corée du Nord, cette attaque avait pour but de faire payer des rançons aux propriétaires des ordinateurs compromis. Une variante de ce virus a permis de générer 140 000 dollars, versés par 330 victimes, selon une plainte du Département américain de la justice publiée début septembre.

Lire aussi: Washington incrimine la Corée du Nord pour la cyberattaque WannaCry

Or ces fonds ont été versés sous forme de bitcoins. Conservés dans plusieurs portefeuilles en ligne, ils ont rapidement été convertis en monero, une autre monnaie virtuelle. «Celle-ci a pour avantage d’être encore plus anonyme que le bitcoin», souligne Luke McNamara, un expert des menaces informatiques auprès de la société FireEye.

«Contourner les sanctions»

La Corée du Nord est devenue l’un des usagers les plus important de monnaies virtuelles. «Le régime de Kim [Jong-Un] en a fait un outil puissant pour générer des revenus et contourner les sanctions à son encontre», relève l’entreprise d’intelligence Recorded Future dans un nouveau rapport. Il aurait obtenu plusieurs centaines de millions de dollars par ce biais et posséderait au moins 11 000 bitcoins.

«Le mode opératoire le plus commun consiste à envoyer un e-mail infecté avec un malware aux employés d’une plateforme d’échange de cryptomonnaies, puis de se servir des ordinateurs compromis pour ravir les devises contenues dans ses portefeuilles virtuels», détaille Luke McNamara. En décembre dernier, le portail sud-coréen Youbit a fait faillite après s’être fait voler 7 millions de dollars de monnaies virtuelles. En juin, son homologue Coinrail s’est fait ravir pour 40 millions de dollars de cryptomonnaies. Pyongyang serait derrière ces deux attaques. La seconde a fait perdre 12% de sa valeur au bitcoin et 10% à l’ethereum.

Notre dossier: De la blockchain aux monnaies virtuelles

Recorded Future a également identifié des activités de minage de cryptodevises émanant de la Corée du Nord. Celles-ci seraient toutefois limitées «à quelques machines», dit le rapport. Elles auraient notamment eu lieu entre mai et juillet 2017, selon la Banque de développement coréenne.

Une monnaie virtuelle nord-coréenne

Plus surprenant, Pyongyang serait impliquée dans la création d’une cryptomonnaie appelée interstellar, hold ou huzu, selon Recorded Future. Elle a changé de nom plusieurs fois et s’est listée, puis délistée à plusieurs reprises de différents échanges de cryptomonnaies. Courant 2018, elle a fait l’objet d’une forme de prévente appelée «staking», qui permet d’acquérir des pièces sans avoir le droit de les revendre, ce qui aurait permis à Pyongyang de générer des revenus de façon frauduleuse.

Pour mener ces opérations de cybercriminalité, Pyongyang a créé une unité spéciale appelée Lazarus

Pour se donner de la crédibilité, cette monnaie, dont le logo est une fusée ornée du slogan «Let’s go to the moon», a usurpé la photo d’un journaliste somalien, le présentant sur son site internet comme un membre de son équipe. Début novembre, 990 574 000 pièces de hold étaient en circulation. Chacune valait 0,000134 dollar.

Unité spécialisée dans les fraudes crypto

Pyongyang se trouverait aussi derrière la création d’une monnaie appelée marine chain, destinée à favoriser le partage d’un navire de shipping entre différents usagers. Ses acquéreurs se sont plaints d’avoir perdu des dizaines de milliers de dollars. Le directeur général de la plateforme hébergeant cette monnaie est un capitaine singapourien nommé Jonathan Foong Kah Keong. Il est impliqué dans plusieurs sociétés qui ont aidé la Corée du Nord à importer et exporter des biens prohibés en manipulant les pavillons de navires commerciaux.

Pour mener ces opérations de cybercriminalité, Pyongyang a créé une unité spéciale appelée Lazarus. «Celle-ci comprend un sous-groupe, nommé TEMP.Hermit, qui s’est spécialisé dans les fraudes à base de cryptomonnaies», relève Luke McNamara. Une partie des agents appartenant à cette cellule se trouvent à l’étranger. Recorded Future a identifié huit pays ayant hébergé un volume important de trafic internet avec la Corée du Nord et qui pourraient abriter certains de ces hackers: la Chine, l’Inde, la Thaïlande, l’Indonésie, le Bangladesh, le Népal, le Mozambique et le Kenya.