C’était il y a trois semaines lorsque les employés de Sony découvrent sur leur écran d’ordinateur un message menaçant illustré par des crânes scintillants. La missive informatique émane de pirates. Ceux-ci infiltrent les systèmes internes du studio, volent 100 000 gigaoctets de données et les publient. On connaît ensuite l’onde de choc provoquée par cette attaque.

Depuis, le cyberespace glose et alimente quotidiennement le scandale par de nouvelles révélations. La dernière est tombée mercredi 17 décembre: Sony Pictures renonce à sortir le film «The Interview», une parodie sur un complot fictif de la CIA pour assassiner le dirigeant nord-coréen Kim Jong-un. C’est justement le sujet de ce long-métrage qui aurait motivé les pirates à attaquer Sony. Des hackers malveillants basés en Corée du Nord? Peut-être que oui. Peut-être que non. Alors qui?

Pourquoi la Corée du Nord serait responsable du piratage de Sony?

L’attaque du 24 novembre émanerait d’un groupe mystérieux baptisé #GOP, soit l’acronyme pour «Guardian of Peace» (Gardien de la Paix). Il aurait agi en représailles à la sortie du film «The Interview» qui parodie l’assassinat du leader nord-coréen Kim Jong-un. Côté américain, cet élément suffit à imputer la responsabilité du hack à la Corée du Nord.

L’autre «preuve» se niche dans la signature des pirates. Plus précisément dans le message envoyé fin novembre aux employés de Sony. Lena, un/e membre de #GOP a conclu son e-mail par un «Sincerely, North Korean Hacking Team». Mais les pirates ont aussi laissé ce message en coréen: «모든 영광 스러운 김정은 우박». Selon The Guardian, il s’agirait d’une piètre traduction Google qui tendrait à disculper Pyongyang.

Mais voilà, l’entreprise américaine de sécurité informatique Symantec a divulgué publiquement que le programme espion utilisé par #GOP est aussi configuré pour attaquer des cibles sud-coréennes accessibles uniquement depuis des ordinateurs coréens. Kaspersky Lab, le pendant russe de Symantec, a quant à lui déclaré que le mode opératoire dans le piratage de Sony était similaire à celui découvert en 2013 dans le hack DarkSeoul, du nom de l’attaque informatique qui a visé les banques et les chaînes de télévision sud-coréennes.

Quels sont les éléments laissant à penser que la Corée du Nord n’est en fait pas impliquée?

Le pays a nié son implication, sans condamner non plus l’attaque. De plus, ces accusations émanent de hauts responsables américains dont la partialité sur le dossier nord-coréen est manifeste. Du moins, l’on peut s’interroger sur les raisons qui motivent les Etats-Unis à blâmer Pyongyang.

D’après les spéculations, le #GOP aurait agi sur mandat de l’unité militaire nord-coréenne. Donc un organe étatique. Mais selon les sources du Guardian, il pourrait aussi très bien s’agir de pirates isolés. Un diplomate nord-coréen cité par le quotidien britannique a quant à lui émis l’hypothèse que les hackers malveillants soient en fait basés dans des pays occidentaux. Là aussi, on met en doute l’objectivité de cette source sur ce dossier.

Pour des cybercriminels, il reste malgré tout très commun d’opérer de l’étranger avec de multiples identités. De plus, le mode opératoire et l’attitude des attaquants de Sony discréditent la thèse de l’implication d’un Etat. Généralement, lorsqu’un gouvernement est impliqué, il ne communique pas.

Sans infrastructures Internet, Pyongyang a-t-elle les moyens de nuire dans le cyberespace?

Les Etats-Unis ont des raisons légitimes de s’inquiéter de la montée de la Corée du Nord en tant que cyberpuissance. Mais sommes-nous en mesure de connaître l’état de son arsenal? Tous les réseaux du pays sont isolés du reste du monde. Kwangmyong est la seule porte vers l’extérieur. Il s’agit d’un intranet gouvernemental accessible uniquement aux personnes autorisées par le régime. Le réseau permet d’accéder à une liste sélectionnée de sites étrangers.

Quant à l’infrastructure du réseau électrique nord-coréen, elle n’a pas la capacité de soutenir une attaque informatique de l’ampleur de Sony. Pour rappel, il s’agit du plus important piratage ayant jamais touché une entreprise. L’infrastructure internet quasi inexistante de la Corée du Nord lui confère aussi un avantage stratégique puisqu’elle rend possible la mise sur pied d’attaques informatiques vers l’extérieur. A l’inverse, elle limite les attaques internes.

«L’Unité 121», le camp d’entraînement des cyberguerriers nord-coréens

En dépit d’une infrastructure internet sommaire, Pyongyang jouit d’une unité de cyberdéfense baptisée «Unité 121». On en sait peu sur cette structure militaire. Ses origines remonteraient à 2004 lorsque l’Unité 121 se targuait d’avoir eu accès à 33 des 80 réseaux de communications sans fils sud-coréens.

Qui compose cette unité? En 2011, Kim Heung-kwang – un transfuge nord-coréen établi désormais en Corée du Sud – déclarait aux caméras d’Al Jazira que Pyongyang recrutait les meilleurs étudiants des écoles techniques du pays. Ceux-ci seraient ensuite envoyés dans l’une des universités techniques supérieures. Par exemple la Kim Chaek University of Technology et l’Université Kim Il-sung toutes les deux situées dans la capitale.

Après leur formation, les cyber étudiants partent s’entraîner en Chine et en Russie. Ils reviennent ensuite en Corée du Nord pour intégrer l’«Unité 121». Selon Kim Heung-kwang, la structure compterait entre 500 et 3000 cybersoldats. Ils mèneraient leurs attaques de l’étranger. Plus spécifiquement de Chine comme dans le cadre des attaques menées en 2004. A l’époque, les pirates opèrent depuis une chambre d’un hôtel de luxe de Shenyang, en Chine, à trois heures de la frontière avec la Corée du Nord.

Par ailleurs, le régime nord-coréen a signé un accord avec l’Iran. Celui-ci vise à la coopération entre les deux pays pour combattre «des ennemis communs dans le cyberespace». Cet accord a été signé par les deux parties à la suite de la découverte du ver informatique Stuxnet en 2010. Conçu par la NSA, ce programme s’était attaqué aux centrifugeuses iraniennes d’enrichissement d’uranium. Pour terminer, Pyongyang peut aussi compter sur des alliances stratégiques avec la Chine et la Russie pour attaquer des intérêts américains dans le cyberespace.