Le 26 décembre 2014, le média franceinfo publie sur son site internet un article intitulé « En Corée du Nord, pas d’Internet mais la 3ème armée de hackers du monde ». En dessous de ce titre figure un chapeau : « Pyongyang dément être derrière le piratage de Sony, mais n’en possède pas moins l’une des plus puissantes cyber-armées au monde. Un paradoxe pour cette secrète nation d’Asie qui prive sa population d’accès à Internet. ». Celui-ci s’inscrit dans la vision folklorique que le monde possède du petit pays asiatique : une anomalie issue de la guerre froide, un état communiste stalinien, relique d’une époque ayant pris fin depuis la chute du mur de Berlin en 1989.
C’est la raison pour laquelle, lorsque la Corée du Nord est associée à la notion de cyber-guerre, le terme de « paradoxe » fait son apparition. L’objectif de notre étude est de démontrer qu’à l’opposé d’une contradiction, les opérations cybers s’inscrivent en réalité naturellement dans la culture de l’affrontement coréenne puis nord-coréenne. Comment celles-ci sont bien davantage la traduction contemporaine d’une expérience ancienne de la guerre asymétrique qu’un « paradoxe ».
La place du cyber dans la lutte asymétrique contemporaine nord-coréenne
Depuis l’époque du « Président éternel », le monde a largement évolué, et avec lui, la place de la Corée du Nord à l’échelle régionale et mondiale. Si la DPRK a pu profiter du soutien de la Chine (qui représente 90% de ses importations) après l’effondrement du bloc communiste, il n’en reste pas moins que le pays possède des moyens limités pour maintenir ses capacités aussi bien défensives qu’offensives. Face à la pression continuelle des puissances occidentales que sont le Japon, les Etats-Unis et surtout la Corée du Sud, le petit état communiste a dû composer, avec le soutien plus ou moins revendiqué du PCC, dans une lutte du très faible au fort. Il s’agit bien d’une guerre asymétrique.
L’approche de la Corée du Nord face à cette problématique doit sûrement beaucoup à La guerre hors-limite de Qiao Liang et Wang Xansui en 1999. Les deux militaires chinois réfléchissaient alors aux manières dont la Chine pouvait lutter contre les Etats-Unis en dépit de sa faiblesse militaire. Dans le cadre de cette réflexion générale, qui comportait un volet économique, informationnel, politique, le cyber a trouvé une place de choix. Il constitue une arme redoutable comportant un très faible coût.
Depuis la création des armes non-conventionnelles nucléaires, la guerre classique n’est plus, ou très difficilement, envisageable. Celle-ci représente un trop grand coût pour en tirer une quelconque rentabilité stratégique. La cyber-guerre permet en revanche de frapper très durement l’adversaire à un coût bien moindre et un risque bien moins important. La faiblesse des infrastructures nord-coréennes joue en sa faveur à ce niveau. Le trafic internet du pays n’est fourni que par deux opérateurs : China Unicom (40%) et Russia TransTeleCom (60%), et la Chine, d’où provient la plupart des cyber-attaques, fait office de couche de protection grâce à son web protégé.
Le reste des activités numériques du pays se font dans un intranet national peu accessible. En s’engagent sur ce terrain, la DPRK a beaucoup à gagner et très peu à perdre. De plus, la difficulté à attribuer les attaques, qui sont facilement niables, permet de réduire encore un peu plus les capacités de réponses de l’adversaire. Si le développement des moyens militaires conventionnels et non-conventionnels restent très important pour l’état communiste, ces derniers ne peuvent servir la pratique de guerre asymétrique visant à défendre la souveraineté d’un régime contesté. Ils ne permettent pas d’agir dans la zone grise permettant à Kim Jong-Un de remporter des victoires tactiques et stratégiques, sans pour autant dépasser la ligne rouge d’un engagement américain.
La construction de ces capacités cybers s’est faite progressivement. Dès les années 1990, Kim Jong-Il parlait déjà de la nécessité pour le pays de développer ses capacités de guerre informationnelle, notamment au niveau cyber.
C’est ainsi qu’en 1998 est créé le Bureau 121 au sein du Bureau de Reconnaissance de l’armée populaire de Corée. 11 ans plus tard, il est transféré, comme tous les autres services de renseignements, au sein du Bureau général de Reconnaissance sous le contrôle de la Commission de Défense Nationale, elle-même sous la gestion du tout nouveau leader du pays : Kim Jong-Un. Les effectifs du Bureau 121 passe de 1000 à 3000 personnes en 2016. On les estime aujourd’hui dans les 6000.Les futurs hackers sont recrutés très tôt. Sélectionnés parmi les meilleurs étudiants en mathématiques et informatique, ils sont plus ou moins contraint de rejoindre la Kim Il-Sung University à Pyongyang où ils sont amenés à intégrer le Bureau 121. Pour empêcher les défections, un cadre de vie confortable leur est offert à la capitale.
Si les hackers coréens agissent depuis le territoire national, une grande partie de leurs activités ont lieu depuis l’étranger, surtout en Chine, où ils sont réunis sous forme de cellules et d’équipes. Seuls les témoignages des quelques personnes ayant déserter permet de connaître les grandes lignes de l’organisation d’un système très opaque. Toujours est-il que la qualité des hackers nord-coréen a été largement démontrée, puisque le petit pays est régulièrement cité comme quatrième puissance cyber après les Etats-Unis, la Chine et la Russie.
Les victoires tactiques et stratégiques évoquées plus hauts sont de nombreuses natures. La cyber-guerre que mène la Corée du Nord sert de multiples objectifs : espionnage, extorsion financière, guerre d’influence et de l’information via des opérations de déstabilisation et d’influence, objectifs militaires (brouillage de GPS). Kim Jong-Un déclarait en 2013 que la cyber-guerre, avec les armes nucléaires et les missiles, était une épée que la Corée du Nord abattait sur ses ennemis pour garantir sa capacité à les détruire. Depuis 2007, la DRPK a lancé de multiples attaques sur la Corée du Sud : « Operation Flame », « 1Mission », « Operation Troy », « Ten Days of Rain » et « Dark Seoul ». Ces opérations correspondent à des attaques d’infrastructures militaires, de médias ou bien de banques, tout ça dans l’objectif de déstabiliser le pays adverse. Ces opérations coups de poing ne sont pas sans rappeler les stratégies employées dans un tout autre contexte par les partisans coréens contre l’occupant japonais, dans la première partie du XXème siècle.
A partir de 2014, les attaques menées par la Corée du Nord ont pris une nouvelle tournure. L’opération menée contre Sony Pictures Entertainment, qui détruisit 70% des ordinateurs de l’entreprise, est un cas plutôt unique d’une cyber-attaque menée par un état contre une entreprise à des fins politiques (empêcher la diffusion d’un film). Il s’agit d’une première opération d’une longue série de coups d’éclat des hackers nord-coréens au-delà de la péninsule, auxquels le monde attribue le nom de « Lazarus Group ».
Le rançongiciel WannaCry, le braquage de la banque centrale du Bangladesh et les nombreux vols de crypto-monnaies sont autant d’exemples de « coups de main » réalisés par la Corée du Nord contre ses ennemis au service d’une guerre asymétrique. Celle-ci vise avant tout à défendre la souveraineté d’un régime : celui de la dynastie des Kim. La Chine appuie ces efforts en non seulement fermant les yeux sur ses opérations qui ont lieu pour une bonne part sur son sol, mais aussi en laissant bénéficier le BGR de ses infrastructures. La ville de Dalian notamment, ressort régulièrement dans les témoignages portant sur l’organisation des activités cybercriminelles nord-coréennes.
Le Lazarus Group et Wannacry : un exemple d’opération cyber nord-coréenne
Le 12 mai 2017, au Royaume-Uni, le premier ordinateur de ce qui va devenir la plus grande attaque par rançon de l’histoire est infectée. Il s’agit d’un ransomware, ou rançongiciel en français, nommé WannaCry. Ce dernier crypte les données de la machine touchée, puis exige une rançon de 300$ contre la clé de décryptage (qui n’est pas donnée). Seulement un jour après le déploiement du logiciel, plus de 100 000 systèmes Windows sont déjà infectés. Pour se propager aussi rapidement, le malware utilise la faille de sécurité Windows nommée Eternal Blue. Celle-ci permet à WannaCry de se propager sans intervention humaine, au contraire d’autres cyber-attaque comme le phishing. Même si la vulnérabilité avait été patchée par Windows, bon nombre d’OS dans le monde tournait encore sur des anciennes versions, les exposants à l’attaque.
Finalement, 300 000 ordinateurs dans 150 pays sont infectés. L’attaque touche des entreprises comme Renault et Telefonica, provoquant l’arrêt de certaines usines, mais aussi touchant des institutions publiques comme le ministère de l’intérieur russe, le centre hospitalier universitaire de Liège. La conséquence la plus grave de l’attaque reste la paralysie de National Health Service britannique, mettant des milliers de vie en danger. On peut aussi noter la Deutsch Bahn, l’entreprise ferroviaire publique allemande.
Finalement, les experts évaluent le coût des dégâts engendrés par le rançongiciel WannaCry à 4 milliards USD de dégâts. Si la menace posée par WannaCry a globalement été endiguée, la puissance du malware est telle qu’il continue encore aujourd’hui à circuler sur les machines n’ayant toujours pas reçue les patchs nécessaires. Depuis l’attaque, toutes les enquêtes menées par les services anglo-saxons américain et britannique remontent vers la Corée du Nord et le Lazarus Group comme responsable de l’attaque.
Bien que des preuves tangibles existent (des adresses IP et des mails liées à des hackers nord-coréens connus comme Park Jin Hyok), la nature même de l’attaque permet au régime d’encore aujourd’hui nier toute implication. Cette affaire constitue une des meilleures représentations d’une opération de guerre asymétrique menée par la DRPK. Cette attaque à faible-coût a su mettre en danger des systèmes aussi importants que le service de santé britannique et occasionnée plusieurs milliards de dollars de dégâts à travers le monde entier. En termes de rentabilité stratégique, WannaCry a fait mieux que n’importe quelle opération conventionnelle aurait pu produire.
Si ce genre d’action coup de poing fait beaucoup parler des services nord-coréens, il ne faut cependant pas oublier toutes les opérations cybers beaucoup moins ambitieuses mais tout aussi importantes menées par le Bureau 121, majoritairement en Chine. Une armée de hackers de moindre envergure travaillent aux vols de crypto-monnaies, qui apportent une manne financière non-négligeable pour le régime. Le cyber fait ainsi partie intégrante de la survie de l’Etat.
Une rentabilité adaptée à la spécificité d’une dictature communiste
La cyber-guerre menée par la Corée du Nord est une expression contemporaine d’une culture de la guerre asymétrique vieille de plusieurs siècles. L’imaginaire entourant le pays dépeint une nation du passé, relique du XXème siècle et de ses conflits. Une dictature communiste renvoyant à la guerre froide, à laquelle on associe difficilement des opérations de piratages de grande envergure et extrêmement sophistiquée.
Pourtant, loin d’être un paradoxe, les cyber-attaques organisées par Pyongyang s’inscrivent en réalité dans une tradition de la lutte du faible au fort. Celle-ci prend ses racines dans les « guérillas » contre les envahisseurs mongols et japonais, mais s’inspire surtout la méthodologie développée au XXème siècle lors de la lutte des partisans nationalistes puis communistes lors de la colonisation de la péninsule. Des tactiques reposant sur l’économie des moyens, la dissimulation, des coups de mains et autres opérations coup de poing symboliques, et surtout le harcèlement d’un adversaire bien plus puissant que soi. Si les bombes nucléaires visent à sanctuariser le territoire du régime, la cyber-guerre lui permet, avec le soutien de la Chine, de porter des coûts importants à ses adversaires tout en évitant une escalade dévastatrice.
Gabriel Deville,
étudiant de la 2ème promotion Renseignement et Intelligence Économique (RensIE)
Sources
Sur la guérilla en Corée :
QUISEFIT Laurent, « XII. La guérilla en Corée », dans : Jean Baechler éd., La Bataille. Paris, Hermann, « L'Homme et la Guerre », 2018, p. 167-187. DOI : 10.3917/herm.baech.2018.05.0167.
Sur la guerre informationnelle menée par la Corée du Nord :
PéRON-DOISE Marianne, « Chapitre 6. Corée du Nord : la stratégie informationnelle de Kim Jong-un », dans : Céline Marangé éd., Les guerres de l'information à l'ère numérique. Paris cedex 14, Presses Universitaires de France, « Hors collection », 2021, p. 167-179. DOI : 10.3917/puf.maran.2021.01.0167
Sur les capacités cyber de la Corée du Nord :
Caesar, E. (2021, April 19). The incredible rise of north korea’s Hacking Army. The New Yorker.
Kim, M. (2022, February 2). North Korea’s cyber capabilities and their implications for international security. MDPI.
Pinkston, D. A. (2017, February 25). Inter-Korean rivalry in the cyber domain: The North Korean cyber threat in the sŏn’gun era. Georgetown Journal of International Affairs.
Raska, M. (2020, June 1). North Korea’s evolving cyber strategies: Continuity and change. De Gruyter. https://www.degruyter.com/document/doi/10.1515/sirius-2020-3030/html
Young, B. R. (2022, February 9). North Korea knows how important its cyberattacks are. Foreign Policy.
Kshetri, N. (2014, August 6). Cyberwarfare in the Korean Peninsula: Asymmetries and strategic responses - East Asia. SpringerLink.
Gelézeau, B. J. and V., & Carlin, R. (2019, August 12). Toward a better understanding of North Korea’s Cyber Operations - 38 north: Informed analysis of North Korea. 38 North.
Sur WannaCry : How US authorities tracked down the North Korean hacker behind WannaCry. ZDNET. (n.d.).
A look into the Lazarus Group’s operations. Security News. (n.d.).
Press, Y. D. (2017, December 19). It’s official: North Korea is behind WannaCry. The Wall Street Journal.
Wannacry explained: A perfect ransomware storm. CSO Online. (2022, August 24).
Sur les relations sino-nord coréennes :
COLIN Sébastien, « Péninsule et incertitudes coréennes : quels enjeux géopolitiques pour la Chine ? », Hérodote, 2011/2 (n° 141), p. 75-97. DOI : 10.3917/her.141.0075.
CLéMENT Théo, « Impasse diplomatique : les ambiguïtés chinoises vis-à-vis de l’ouverture économique nord-coréenne », Monde chinois, 2015/4 (N° 44), p. 41-49. DOI : 10.3917/mochi.044.0041.
BONDAZ Antoine, « La péninsule coréenne, entre autonomie et dépendance », Pouvoirs, 2018/4 (N° 167), p. 95-106. DOI : 10.3917/pouv.167.0095.
Rappel Historique :
La Corée du Nord et la culture de la guérilla
C’est la géographie de la péninsule coréenne qui explique avant tout le développement d’une culture de la guerre asymétrique dans la région. Historiquement, le royaume coréen s’est retrouvé à intervalle régulier en confrontation directe avec des empires bien plus puissants que le petit état péninsulaire. Dès le XIIIème siècle, les invasions mongoles de 1231 à 1259 balayent l’armée royale et entraînent le transfert de la capitale sur l’île de Kangwha-do. Si le terme de guérilla apparu avec l’invasion de l’Espagne par Napoléon en 1808 est anachronique, il semble tout de même être le plus adapté pour qualifier le harcèlement que subissent les troupes mongoles par les locaux. Des unités formées de paysans lancent des raids éclairs depuis les montagnes sur les forces d’occupations. Si ces opérations ne sont pas le fruit d’une stratégie à l’échelle du royaume, il reste néanmoins une première expérience d’actions de résistances locales ayant réussie à obtenir des succès tactiques.
Entre 1592 et 1597, c’est le Japon tout juste unifié par Toyotomi Hideyoshi qui se lance dans l’invasion de la péninsule. Une nouvelle fois, les quelques milliers de troupes coréennes ne peuvent tenir le choc face aux 150 000 hommes débarquant sur les côtes. Si c’est l’intervention des Ming, qui a permis de repousser de manière décisive l’ennemi japonais à la mer, on relève tout de même que comme deux siècles plus tôt, le relief accidenté de la Corée, permet à une armée de volontaires d’harceler l’envahisseur. Les « Troupes de la Justices » s’organisent de manière spontanée, travaillent de manière autonome et vivent sur le territoire. Elles rendent difficile l’occupation du territoire par les Japonais qui se voient cantonnés aux grandes routes. Les armées irrégulières composées principalement de paysans ont travaillé de concert avec les forces régulières pour expulser l’ennemis, démontrant l’émergence d’une culture de la lutte, même contre un ennemi supérieur en force.
C’est en 1905 que naissent réellement les premiers mouvements de guérillas coréens, avec l’établissement du protectorat japonais sur le « Pays du Matin calme ». Il n’était alors doté que d’une armée de 8800 hommes. Celle-ci est dissoute en 1907 et les Japonais décrètent l’interdiction de la possession d’armes et de poudres pour tous. De nombreux hommes, notamment des chasseurs déjà armés, prennent le maquis. Entre 1907 et 1910, on dénombre 2867 affrontements entre la résistance coréenne et l’occupant japonais. A la fin de cette période, le Japon annexe officiellement la Corée. La lutte commence alors à perdre en intensité au fur et à mesure que les nationalistes s’exilent. On peut noter cependant la manifestation de plus d’un million de personne le 1er mars 1919 à l’occasion de la mort de l’ancien roi de Corée. Les Coréens défient les autorités japonaises en défilant aux cris de « Vive la Corée ! » et sont réprimés dans le sang. À la suite de cet évènement, les forces irrégulières nationalistes reprennent le combat. Ils harcèlent l’occupant depuis la Mandchourie voisine. C’est dans ce contexte que naît en 1932 la légende du « Général » Kim Il-Sung.
C’est cette année-là que commence le mythe national de la Corée du Nord. Officiellement, l’Armée révolutionnaire de Corée est fondée en 1934. Kim Il-Sung nourrit sa légende en attaquant la police locale japonaise à la frontière. Soutenu par la suite par l’URSS, son mouvement prend de l’ampleur jusqu’à s’installer à la tête du territoire occupé par les communistes au sortir de la Seconde Guerre Mondiale en 45, une fois les Japonais repoussés. Le premier leader de ce qui est rapidement devenu la Corée du Nord a fondé sa légende sur la guérilla qu’il a mené contre l’occupant. Dès lors, l’idée de la résistance, de la culture de la guerre asymétrique déjà séculaire c’est très largement imprégné dans la construction du pays et dans son récit national. Logiquement, elle se retrouve aussi dans la manière dont le pays mène ses affrontements, notamment avec les cellules communistes dans le Sud lors de la guerre de Corée (1950-53).