Les cyberfraudeurs de Pyongyang

Par Simon Piché-Jacques
Chroniques des nouvelles conflictualités - Chaire Raoul-Dandurand

Pour lire la version PDF

Le Canada a été, ces dernières années, l’épicentre d’un redoutable réseau de cyberfraudeurs nord-coréens qui opéraient aux quatre coins du monde. Vols de banque, blanchiment d’argent, cyberattaques : pendant dix ans, ce réseau a agi sous les ordres du dirigeant nord-coréen Kim Jong-un. Car le dictateur utilise sciemment la cybercriminalité pour réduire l’impact des multiples sanctions économiques qui sévissent dans son pays.

Ghaleb Alaumary, ancien commerçant montréalais, vient en quelque sorte de « passer à l’Ouest », comme le veut la fameuse expression utilisée dans le jargon de l’espionnage. Non seulement l’homme de 37 ans a plaidé coupable[1]d’avoir comploté en vue de blanchir de l’argent pour le compte de la Corée du Nord (RPDC), mais il s’est également dit prêt à collaborer avec le FBI et le Secret Service[2]. À la suite de sa défection, afin d’atténuer sa peine carcérale, Alaumary a divulgué trois noms : Jon Chang Hyok, Kim Il et Park Jin Hyok, tous membres d’unités subordonnées au Bureau général de reconnaissance (RGB), l’agence de renseignement militaire de la RPDC, l’équivalent nord-coréen de la CIA. Au sein de cette active agence se trouvent également les pirates informatiques de Lazarus, un groupe bien connu des experts en cybersécurité, probablement responsables de multiples malversations : la cyberattaque contre Sony Pictures Entertainment en 2014 à la sortie du film satyrique « The Interview », les multiples vols de banque au Vietnam, au Bangladesh, à Taiwan, au Mexique et à Malte, les dégâts causés par le rançongiciel WannaCry 2.0 ou encore les applications malicieuses de cryptomonnaie.

Un stratagème coordonné depuis le Canada

Alaumary, alias « Backwood » ou « Big Boss », avait déjà des antécédents criminels. Avant de travailler pour le renseignement militaire nord-coréen, il a été arrêté plusieurs fois au Québec pour diverses infractions à caractère économique (vol, falsification, fraude, etc.). Pourtant bien connu du milieu policier, rien ne l’a empêché de joindre un réseau de cyberfraudeurs œuvrant, entre autres, dans le vol de banque en ligne pour le compte de la Corée du Nord : sa réputation le précédait et ses compétences étaient indispensables aux yeux de Pyongyang. C’est à Toronto qu’Alaumary a agi en tant que coordonnateur d’un groupe de pirates informatiques. Recevant des instructions en provenance de la RPDC, il gérait ensuite le fonctionnement des opérations en envoyant des messages cryptés à ses acolytes.

Afin de soutirer de l’argent clandestinement à leurs victimes, Alaumary et ses collègues avaient recours à plusieurs stratagèmes aussi innovants que diversifiés. Parfois, ils s’introduisaient dans les réseaux informatiques des banques pour copier les données des cartes de paiement des particuliers, imprimaient les données sur des cartes réutilisables à bande magnétique (comme des cartes-cadeaux) et les utilisaient ensuite dans des distributeurs automatiques ATM (ATM cash out scheme) à travers le monde, afin d’en retirer frauduleusement des millions de dollars. Ils procédaient également à des transferts de fonds internationaux par l’entremise de logiciels malveillants (au Canada, aux États-Unis, en Roumanie, en Bulgarie, au Mexique, au Pakistan, etc.), ou bien ils transféraient des fonds à de faux fournisseurs en s’infiltrant dans les systèmes informatiques des entreprises (et même dans celui d’un club de soccer britannique).

À chaque occasion, Alaumary jouait un rôle charnière : il ouvrait des comptes bancaires au nom d’entités factices pour que ses associés fassent disparaître le magot qui y était déposé. Depuis 2009, le groupe a planifié au total le détournement de près de 1,3 milliard de dollars. Malgré plusieurs vaines tentatives, les pirates informatiques ont tout de même réussi, durant la dernière décennie, à obtenir frauduleusement des devises traditionnelles et de la cryptomonnaie équivalant à des centaines de millions de dollars américains. Or, une question demeure : comment la Corée du Nord, recluse du monde entier, a-t-elle réussi à s’imposer comme une puissance militaire cyberoffensive?

Les troupes du leader nord-coréen

Cette nation, qui compose avec l’étiquette de « paria », évolue en marge du système financier international, mais ne peut être sous-estimée, voire ignorée, par ses adversaires. Même si la Corée du Nord dispose d’une architecture réseau parmi les plus archaïques au monde et qu’Internet est inaccessible à la majorité des citoyens[3], le pays a, au fil des années, perfectionné ses cyberattaques dans un but principalement financier. Kim Jong-un a d’ailleurs commandité, ces dernières années, de nombreuses cyberopérations afin de soutenir l’économie nord-coréenne éprouvée par la multiplication des sanctions[4].

Véritable « syndicat criminel avec un drapeau » comme le qualifiait John Demers, procureur général adjoint pour la sécurité nationale des États-Unis — chargé de la récente mise en accusation des pirates nord-coréens — la Corée du Nord compte sur une garnison hautement sophistiquée de cyberespions regroupés au RGB. D’après les informations fournies par des transfuges, des dirigeants et des experts en cybersécurité, les cyberpirates qui composent ces groupes espions sont souvent sélectionnés dès leur jeune âge et poursuivent ensuite une formation universitaire dans le domaine des cyberopérations. Lorsqu’ils terminent leur parcours, ces derniers décrochent des emplois sous couverture dans des instances gouvernementales en Chine, en Malaisie, en Russie ou en Corée du Sud, là où Internet et les technologies informatiques ne sont pas uniquement réservés aux membres de l’élite.

D’après un communiqué de presse du département du Trésor américain, le groupe de pirates informatiques Lazarus, créé en 2007, s’appuie sur deux sous-groupes distincts : Andariel et Bluenoroff, lesquels sont respectivement chargés de mener des opérations de cyberespionnage et de commettre des crimes financiers de haute voltige[5]. Le groupe Bluenoroff a été spécialement conçu sur ordre de Kim Jong-un, afin de générer des revenus illicites en réponse à l’augmentation des sanctions économiques. Andariel, pour sa part, se focalise davantage sur les agences gouvernementales, les services financiers, les sociétés corporatives et l’industrie de la défense. Plus globalement, les unités du RGB manifestent un intérêt particulier pour le renseignement militaire de son voisin du Sud, orchestrant régulièrement des opérations de subversion et de collecte de renseignements[6].

Financement par le crime : un moyen de contournement

Structurées dans l’esprit de la cybercriminalité, les stratégies économiques de la Corée du Nord visent avant tout à renflouer rapidement les coffres de l’État en contournant les sanctions économiques en vigueur. Dans sa large palette d’actions subversives, la Corée du Nord cible particulièrement les échanges de monnaies numériques comme le bitcoin. Selon un rapport de la Royal United Service Institute, cette devise entièrement virtuelle, dont la valeur a littéralement explosé ces dernières années (1 bitcoin équivaut actuellement à environ 61 500 $ CA), permet essentiellement à la RPDC de poursuivre ses activités commerciales, d’assurer l’anonymat de ses transactions, et d’opérer à l’extérieur de toutes régulations financières. En piratant des échanges de cryptomonnaie (principalement en Asie du Sud-Est), la RPDC est en mesure d’utiliser l’argent obtenu illégalement et de le réinvestir dans une variété d’échanges commerciaux. Ultimement, cette manœuvre permet d’acquérir des devises traditionnelles par l’entremise du blanchiment d’argent.

De fait, les multiples tentatives d’isoler la Corée du Nord n’ont pas toutes eu les effets escomptés ; les différentes sanctions économiques n’ont pas empêché Kim Jong-un de poursuivre (quoiqu’au ralenti) son programme militaire. Le leader du « royaume ermite » semble ainsi toujours en mesure de mener à bien ses projets de développement d’armes de destruction massive et de missiles balistiques par l’entremise du système financier international. Un rapport du Financial Crimes Enforcement Network démontre que la RPDC rend le tout possible grâce à divers subterfuges et un large réseau : utilisation de fausses identités, d’agents de renseignements, de sociétés-écrans enregistrées par des citoyens qui ne sont pas nord-coréens, de personnel des ambassades, etc.

Cependant, certaines réalités d’ordre économique, sanitaire et diplomatique rattrapent irrémédiablement le chef héritier de la dynastie des Kim. Ce dernier concédait, lors du 8e Congrès du Parti du Travail, que la crise que traverse actuellement le pays est due à « des erreurs dans presque tous les domaines de la stratégie de développement du pays ». De plus, les échanges commerciaux avec la Chine, principal client et fournisseur de la Corée du Nord, tournent au ralenti depuis la fermeture des frontières internationales causée par la pandémie de COVID-19. Dès lors, l’avenir proche du régime nord-coréen semble parsemé d’embuches. Dans ce contexte, les cyberactivités financières de la RPDC risquent fort de prendre de l’ampleur aux quatre coins du monde, et doivent impérativement retenir l’attention des autorités gouvernementales et institutions financières canadiennes.

[1] Voir l’acte d’accusation déposé par le département de la Justice américaine.

[2] Le Secret Service est une agence américaine du Department of Homeland Security (DHS).

[3] La RPDC totalise 1 540 adresses IP dans tout le pays. À titre comparatif, la Corée du Sud en totalise 113 365 426 et les États-Unis 1 573 614 952.

[4] À la suite des tirs de missiles balistiques, ces sanctions ont été étendues en 2017 par le Conseil de sécurité de l’ONU, visant notamment les importations de pétrole brut et raffiné, le gel des actifs de certains banquiers et de fonctionnaires, ainsi que des interdictions de voyager.

[5] En novembre 2020, Microsoft a annoncé avoir découvert plusieurs opérations de cyberespionnage visant sept compagnies pharmaceutiques travaillant sur le vaccin contre la COVID-19. Dans la foulée des évènements, Microsoft a notamment attribué ces opérations au groupe de pirates informatiques Lazarus, ainsi qu’à un deuxième groupe nord-coréen nommé Cerium.

[6] La Corée du Sud est en effet particulièrement ciblée par les cybersoldats nord-coréens. En 2016, les militaires de la RPDC ont volé une immense quantité de données des ordinateurs de la Défense sud-coréenne, et ont fait une découverte effarante. Parmi les données obtenues grâce à la cyberattaque, les Nord-Coréens ont mis la main sur des documents classifiés, dont le plan de l’opération OPLAN 5015. Cette opération militaire mise en œuvre conjointement entre la Corée du Sud et les États-Unis en 2014, visait deux autres opérations « top secrètes » : « Decapitation » une opération pour renverser le régime de Kim Jong-un et OPLAN 3100, un plan pour répondre à une éventuelle infiltration d’un commando nord-coréen en Corée du Sud, ainsi qu’un plan de contingence en cas de « changements » soudains en RPDC.

 

 

 

Pour lire la version PDF

9 mars 2021
En savoir plus