La campagne d’infiltration de la Corée du Nord à Drift, qui a duré six mois, a ébranlé une industrie de la cryptographie déjà sous le choc d’exploits valant des milliards de dollars.
Mais à mesure que l’actualité s’installait, une question plus importante s’est posée : pourquoi la Corée du Nord continue-t-elle de revenir à la cryptographie, et pourquoi son approche semble-t-elle si différente de toutes les autres opérations de piratage soutenues par l’État sur la planète ?
La réponse courte, selon les experts en sécurité, est que la cryptographie contribue à fournir au régime une source de revenus et à le maintenir à flot.
« La Corée du Nord n’a pas le luxe de la patience », a déclaré Dave Schwed, directeur des opérations du SVRN et fondateur du programme de maîtrise en cybersécurité de l’université Yeshiva. « Ils sont soumis à des sanctions internationales globales et ont besoin de devises fortes pour financer leurs programmes d’armement. L’ONU et plusieurs agences de renseignement ont confirmé que le vol de cryptomonnaies est le principal mécanisme de financement de leur développement nucléaire et de missiles balistiques. »
Cette urgence explique une dynamique qui a longtemps intrigué les enquêteurs : pourquoi les pirates nord-coréens effectuent des vols à grande échelle et traçables sur des blockchains publiques au lieu d’utiliser discrètement la cryptographie pour échapper aux sanctions comme le font d’autres acteurs étatiques.
Selon Schwed, la réponse est structurelle. La Russie a toujours une économie : du pétrole, du gaz, des exportations de matières premières et des partenaires commerciaux prêts à utiliser des solutions de contournement. Il a besoin de crypto comme moyen de paiement, mais pas pour grand-chose d’autre. L’Iran a également des marchandises à transporter : du pétrole sanctionné, des réseaux de financement par procuration, des intermédiaires consentants à travers tout le Moyen-Orient. La Corée du Nord n’a presque plus rien à vendre.
« Leurs exportations sont presque entièrement sanctionnées. Ils n’ont pas une économie fonctionnelle qui ait besoin d’un système de paiement. Ils ont besoin de revenus directs », a déclaré Schwed. « Le vol de crypto leur donne un accès immédiat à une valeur liquide, à l’échelle mondiale, sans avoir besoin d’une contrepartie disposée à faire affaire avec eux. »
Cette distinction – la crypto en tant qu’infrastructure par rapport à la crypto en tant que cible – est ce qui sépare la Corée du Nord non seulement de la Russie, mais également de l’Iran. Alors que la Russie achemine l’argent via la cryptographie pour contourner les sanctions et que l’Iran l’utilise pour financer des réseaux proxy à travers le Moyen-Orient, la Corée du Nord mène quelque chose de plus proche d’une opération de braquage parrainée par l’État.
« Leurs cibles sont les bourses, les fournisseurs de portefeuilles, les protocoles DeFi et les ingénieurs et fondateurs individuels qui ont un pouvoir de signature ou un accès à l’infrastructure », a déclaré Alexander Urbelis, responsable de la sécurité de l’information à l’ENS Labs et professeur de cybersécurité au King’s College de Londres. « La victime est celui qui détient les clés ou l’accès à l’infrastructure qui détient les clés. »
La Russie et l’Iran, en comparaison, considèrent la cryptographie comme accessoire, un moyen d’atteindre des objectifs géopolitiques plus larges.
« La Russie cible les élections, les infrastructures énergétiques et les systèmes gouvernementaux. L’Iran s’en prend aux dissidents et aux adversaires régionaux », a déclaré Urbelis. « Quand l’un ou l’autre touche à la cryptographie, c’est pour déplacer de l’argent, pas pour le voler à l’écosystème. »
Cette orientation singulière a poussé les agents nord-coréens à adopter des tactiques plus communément associées aux agences de renseignement qu’aux pirates informatiques criminels : établissement de relations sur plusieurs mois, identités fabriquées et infiltration de la chaîne d’approvisionnement.
La campagne Drift n’en est que l’exemple le plus récent.
« Vous ne vous défendez pas contre un e-mail de phishing provenant d’un escroc aléatoire », a déclaré Urbelis. « Vous vous défendez contre quelqu’un qui a passé six mois à construire une relation spécifiquement pour compromettre une personne qui a l’accès que vous devez protéger. »
L’architecture propre à Crypto en fait un terrain de chasse particulièrement attrayant. Dans la finance traditionnelle, même les piratages réussis se heurtent à des frictions sous la forme de contrôles de conformité, de contrôles de correspondants bancaires, de retards de règlement et de possibilité d’annuler les transferts frauduleux. Lorsque des pirates informatiques nord-coréens ont perpétré le braquage de la banque du Bangladesh en 2016, le braquage a mis plusieurs jours à être traité et la plupart des fonds ont finalement été récupérés ou bloqués. En cryptographie, aucune de ces garanties n’existe au niveau du protocole.
« Une fois qu’une transaction est signée et confirmée, elle est définitive », a déclaré Urbelis. L’exploit Bybit du début de l’année dernière a permis de déplacer 1,5 milliard de dollars en 30 minutes environ, un rythme et une ampleur qui seraient presque impossibles dans le système bancaire traditionnel.
Cette finalité change fondamentalement le calcul de la sécurité. Dans le secteur bancaire, une défense raisonnable peut être construite à travers la prévention, la détection et la réponse, car il existe toujours une fenêtre pour geler des fonds ou annuler un virement. En cryptographie, cette fenêtre existe à peine, ce qui signifie qu’arrêter une attaque avant qu’elle ne se produise n’est pas seulement préférable – c’est essentiellement la seule option.
Et tandis que les banques opèrent sous des décennies de directives réglementaires et d’exigences d’audit, de nombreux projets de cryptographie improvisent encore – donnant souvent la priorité à la vitesse et à l’innovation plutôt qu’à la gouvernance et aux contrôles.
Cet écart crée un environnement dans lequel même des équipes sophistiquées peuvent être vulnérables, en particulier face au type de tactiques d’infiltration à long terme que la Corée du Nord est en train de peaufiner.
« Il s’agit actuellement du problème de sécurité opérationnelle le plus difficile dans le domaine de la cryptographie », a déclaré Urbelis à propos du défi que représente la lutte contre les fausses identités sophistiquées et les intermédiaires tiers. « Je ne pense pas que l’industrie ait résolu le problème. »
Lire la suite : Comment le programme d’espionnage secret de la Corée du Nord, qui dure 6 mois, amène la communauté crypto à repenser la sécurité