Profil cybernétique de la Corée du Nord
Internet n'est pas un média public en Corée du Nord ; c'est une ressource gouvernementale. Le régime de Kim Jong-un maintient le pays isolé du reste du monde. La seule vérité est donc celle diffusée par les médias contrôlés par le gouvernement. Le monde est un endroit dangereux et, malgré tout ce qu’on leur a dit, les Nord-Coréens sont reconnaissants d’en être protégés.
Il est peu probable que vous alliez un jour en Corée du Nord, que ce soit pour affaires ou pour le plaisir. Ainsi, ce profil de pays se concentrera sur les rencontres que le monde extérieur a avec les pirates informatiques parrainés par l’État de Corée du Nord.
Pénétration et disponibilité d’Internet
Internet n’est pas disponible pour le grand public en Corée du Nord, le pays n’a donc aucune pénétration d’Internet. Certaines connexions à Internet sont disponibles pour un nombre limité de fonctionnaires ou de chercheurs scientifiques. Quelques serveurs Web du pays hébergent le site Web du gouvernement, comme celui de l'Agence centrale de presse coréenne. Le gouvernement dispose d'une trentaine de sites Web connectés au World Wide Web.
Les quelques connexions existantes à l’Internet local passent toutes par la Chine. Le gouvernement mettra à disposition une salle de presse pour les événements significatifs destinés à attirer la presse étrangère ; cela inclut quelques terminaux qui permettent l’accès à Internet. Il est également possible pour les étrangers de se connecter à Internet via un réseau mobile 3G.
Qu’est-ce que le Kwangmyong ?
Le pays dispose de son Internet, appelé Kwangmyong, qui n'a aucune interconnexion avec l'Internet disponible dans d'autres pays. Kwangmyong fonctionne également de la même manière que le World Wide Web, sauf qu'il n'est pas possible d'accéder à des sites en dehors de la Corée. Toutes les URL de ce système utilisent le domaine de premier niveau .kp, et chacune est également identifiée par une adresse IPv4, unique au sein de Kwangmyong.
Comme Kwangmyong utilise la même convention de dénomination que le World Wide Web, les URL sont toutes écrites en caractères latins, et non en alphabet Hangul utilisé pour la langue coréenne. Cela rend la plupart des URL incompréhensibles pour l'utilisateur moyen. Les Nord-Coréens préfèrent accéder aux sites en tapant l'adresse IP dans la barre d'adresse au lieu d'une URL alphabétique. Cela fait perdre de nombreux avantages marketing que les opérateurs de commerce électronique occidentaux déploient avec leur choix de nom de domaine.
Comme les adresses IP sont difficiles à mémoriser, les moteurs de recherche et les favoris sont des mécanismes essentiels pour trouver ou revisiter des sites sur Kwangmyong. Cependant, ces pratiques rendent les liens publicitaires télé ou radio avec des sites difficiles à réaliser.
Il n’y a aucune connexion entre Kwangmyong et Internet. Pour maintenir une division apparente entre les deux systèmes, le gouvernement de la Corée du Nord veille à ce que tout bâtiment à partir duquel il est possible de se connecter à Internet ne contienne aucun appareil pouvant se connecter à Kwangmyong.
Vitesses Internet en Corée du Nord
La Corée du Nord étant une société fermée, il est difficile d’obtenir des informations sur ses performances sur Internet. En fait, étant donné que très peu de personnes en Corée du Nord ont accès au système mondial, il est presque impossible de retrouver quiconque a utilisé Internet là-bas et est prêt à discuter. Par conséquent, il est également pratiquement impossible d’obtenir des informations sur les performances de Kwangmyong.
Akamai a effectué la dernière comparaison internationale de vitesse d'Internet incluant la Corée du Nord en juin 2016. À cette époque, la vitesse moyenne d'Internet dans le monde était calculée à 5,6 Mbps. L'enquête a fait état de vitesses moyennes dans 170 pays.
La Corée du Nord, avec une vitesse moyenne de 2 Mbps, n’est pas arrivée en dernière position. Il se classe 134ème sur la liste. Cependant, il n’est pas clair si cette vitesse a été mesurée pour Internet ou pour Kwangmyong.
Dans ce rapport, la vitesse Internet moyenne de la Corée du Sud la place au premier rang avec 26,7 Mbps. À titre de comparaison, le rapport a enregistré une vitesse moyenne de 14,2 Mbps aux États-Unis.
Sensibilisation au numérique
Il est difficile de se procurer un ordinateur en Corée du Nord. Peu de magasins les proposent, et un acheteur potentiel doit obtenir l’autorisation de la police avant même d’être autorisé à les parcourir. Cette autorisation n'est accordée qu'après une visite à domicile du service de sécurité et un long interrogatoire de tous les membres du ménage. Il y a environ 200 000 foyers équipés d’un ordinateur en Corée du Nord.
Kwangmyong est un service commuté. Pour y accéder depuis son domicile, l'utilisateur devra obtenir une habilitation de sécurité plus élevée, ce qui implique davantage de visites d'évaluation et d'entretiens. Presque tous les ordinateurs personnels connectés au Kwangmyong se trouvent dans la capitale, Pyongyang.
Plus récemment, il est devenu possible de se connecter à Kwangmyong via un téléphone mobile ou une tablette. Il existe environ 4,5 millions d'appareils mobiles en Corée du Nord.
L'accès au Kwangmyong se fait le plus souvent via les salles informatiques des bibliothèques universitaires ou des grandes usines. Il existe plusieurs cybercafés autorisés dans tout le pays qui permettraient d'accéder à Kwangmyong en achetant un billet horaire. Cependant, le coût de ces billets est très élevé et dépasse les moyens du citoyen moyen.
Les services du réseau Kwangmyong incluent l'accès aux forums de discussion, mais l'équivalent national de Facebook a été fermé en 2006. Cependant, un système de forum de discussion régional est disponible, qui permet aux universitaires d'accéder à un service de chat. Il existe également un système de chat vidéo ouvert au grand public pour les appels vidéo de personne à personne. Celui-ci a été lancé en 2010 et s'appelle Raekwon. Les journalistes télévisés utilisent souvent ce système pour publier des reportages à travers le pays.
Le chat de rencontre est autorisé sur Kwangmyong, et certains jeux vidéo sont également disponibles en ligne, tels que les échecs coréens.
Anonymat en ligne
Il n’y a pas d’anonymat en ligne en Corée du Nord car le gouvernement fournit tous les services et toute utilisation est suivie.
Un système de messagerie est inclus dans les services standard de Kwangmyong, et un moteur de recherche géré par l'État est disponible. L'accès au site sur Kwangmyong s'effectue via un navigateur normal approuvé par l'État. Comme toutes les activités sur Kwangmyong sont surveillées et que l'accès est considéré comme un privilège réservé à quelques-uns, l'idée d'envoyer des courriers indésirables ou de créer des hacks Web sur Kwangmyong est inconnue.
Accès aux outils de confidentialité
Il n'y a pas de VPN en Corée du Nord. Donc si vous êtes étranger et que vous avez un abonnement VPN chez vous, cela ne vous servira à rien une fois arrivé en Corée du Nord. Premièrement, vous ne pourrez pas vous connecter à Internet. Deuxièmement, si vous parvenez à obtenir l’autorisation d’accéder à Kwangmyong, votre client VPN ne pourra accéder à aucun des serveurs internationaux de votre fournisseur.
Les Nord-Coréens ne peuvent pas accéder aux sites VPN et ne peuvent donc pas souscrire à un abonnement VPN même s’ils disposent d’un compte bancaire permettant d’envoyer un paiement international. Aucun service VPN ne fonctionne sur Kwangmyong.
Les téléphones Burner et les comptes de messagerie Web temporaires ne sont pas disponibles en Corée du Nord. Cependant, s'inscrire à n'importe quel service sur Kwangmyong signifie que vous pouvez être identifié dans toutes vos actions en ligne.
Étonnamment, certaines activités Tor émanent de la Corée du Nord. Cependant, comme cette activité est enregistrée sur Internet plutôt que sur Kwangmyong, ces connexions protégées sont probablement destinées à la recherche de piratage. Le graphique ci-dessous montre les connexions Tor depuis la Corée du Nord. Il s’agit du record définitif généré par le projet Tor s’étalant d’août 2020 à août 2021.
Ce graphique montre le nombre d'utilisateurs sur le réseau Tor par jour en Corée du Nord. Il y a toujours une personne connectée chaque jour durant l'année. Le nombre maximum d'utilisateurs par jour était de 6, sauf un jour fin juin 2021, où 12 personnes étaient connectées.
En revanche, le graphique ci-contre montre le nombre d’utilisateurs aux États-Unis. Hormis une période très active en septembre 2020, le nombre d’utilisateurs quotidiens de Tor aux États-Unis se situe entre 275 000 et 550 000.
Cybercriminalité : prévalence et types d'attaques
Sur le plan intérieur, il n’y a pas de cybercriminalité en Corée du Nord. Les pirates étrangers ne peuvent pas pénétrer dans Kwangmyong. Anonymous a affirmé avoir pénétré par effraction dans le réseau en 2013, mais ils n'ont pas pu fournir de preuves ni répéter l'exploit avec des témoins pour vérification. Personne en Corée du Nord ne commettrait de cybercrimes contre Kwangmyong.
Le piratage depuis la Corée du Nord vers le reste du monde est une autre histoire. La Corée du Nord dispose d’un escadron de pirates informatiques très actif entièrement contrôlé par le gouvernement et fait partie des rares personnes du pays à avoir accès à Internet.
L'agence de renseignement gouvernementale organise tous les pirates informatiques de Corée du Nord au sein d'une organisation appelée Lazarus Group. Bien que les principaux acteurs de ce groupe aient commencé comme hackers indépendants, ils sont depuis passés sous le contrôle du gouvernement.
L'équipe Whois connaît également l'équipe contrôlée par l'État, Guardians of Peace, Hidden Cobra, ZINC, God's Apostles et God's Discipline. Le groupe met en œuvre des attaques pour obtenir des renseignements et des perturbations plutôt que pour obtenir un gain financier, bien qu'il gagne de l'argent grâce à ses attaques comme avantage secondaire.
L'une des activités régulières du groupe Lazarus consiste à lancer des attaques DDoS contre des cibles en Corée du Sud et aux États-Unis. Cette campagne a débuté en 2009 mais est devenue moins fréquente depuis 2012, lorsque le groupe s'est concentré sur la mise en œuvre de menaces persistantes avancées (APT). Dans une APT, le pirate informatique accède et explore manuellement le réseau cible, à l’aide d’outils de piratage pour automatiser la recherche et le piratage des informations d’identification par force brute.
Les pirates APT instituent des routines pour modifier ou supprimer périodiquement les fichiers journaux afin de masquer les enregistrements de leurs activités. Cependant, à mesure que les services SIEM et les systèmes de détection d’intrusion sont de plus en plus utilisés par les milieux d’affaires et les gouvernements du monde entier, les opportunités d’activité APT diminuent.
Le groupe Lazarus dispose de deux divisions spécialisées qui fournissent des services à l'équipe et également aux associés de mise en service. Le premier d’entre eux est BlueNorOff, alias APT38, et Stardust Chollima. Cette équipe transfère de l'argent à l'échelle internationale entre des comptes bancaires en manipulant les enregistrements SWIFT. Il s’agit de vol et aussi de dissimulation des mouvements des revenus du groupe. L'autre unité s'appelle AndAriel, également connue sous le nom de Silent Chollima. L’équipe est spécialisée dans les APT en Corée du Sud.
Le plus gros braquage de BlueNorOff a été le vol de plus de 100 millions de dollars à la banque du Bangladesh en 2016. L'ensemble du stratagème devait prendre 1 milliard de dollars, mais l'opération a été découverte et bloquée une fois les deux premières tranches terminées.
En 2014, le groupe Lazarus, opérant sous le nom de Gardiens de la Paix, a pénétré par effraction dans le système de Sony Pictures et volé une grande quantité d'informations personnellement identifiables (PII). Cette attaque a été inspirée par la colère du dirigeant nord-coréen Kim Jong-un, irrité par la sortie prochaine du film The Interview. L’intrigue de ce film était basée sur une tentative fictive d’assassinat du président de la Corée du Nord, et Kim Jong-un voulait empêcher la sortie du film.
Le vol de données de Sony Pictures visait à faire chanter la société de production pour qu'elle annule la sortie de The Interview en publiant périodiquement des tranches de données volées sur le Dark Web, où d'autres pirates pourraient les utiliser. Au lieu de cela, la société a cédé et a suspendu la sortie du film.
L'une des attaques de ransomware les plus célèbres de l'histoire, WannaCry, lancée en 2017, a imputé la responsabilité au groupe Lazarus. Cependant, l’attribution n’a jamais été concluante, certaines analyses accusant des groupes de hackers de Hong Kong ou du sud de la Chine.
Plus récemment, le groupe a tenté de s’introduire dans le système d’AstraZeneca pour lui voler ses recherches sur le vaccin anti-Covid-19. Cependant, l’attaque n’a pas abouti et le groupe aurait ciblé simultanément d’autres grands laboratoires pharmaceutiques.
Le groupe Lazarus est toujours actif aujourd'hui. En août 2021, il a été révélé que l'équipe était active, à la manière de l'APT, au sein d'un système de groupe médiatique sud-coréen.