Swift a été attaqué par la Corée du Nord, juge Mikko Hyppönen

Pour l’expert, nous sommes dans une nouvelle ère où le « brouillard de la cyberguerre » nous empêche de savoir qui attaque qui. Sauf dans le cas de Swift, où la responsabilité de la Corée du Nord semble établie.

Lors d’une conférence au salon Infosec 2016, à Londres, l’expert en sécurité Mikko Hyppönen estime que la Corée du Nord est sans aucun doute l’auteur des fraudes qui ont permis d’exfiltrer plusieurs dizaines de millions de dollars de plusieurs banques, en particulier de la banque centrale du Bangladesh, via le piratage du réseau international de transfert de fonds Swift.

Sony Pictures : les certitudes de la NSA

En mai, Symantec a annoncé avoir remonté à l’origine de la fraude, et  que cette enquête pointait en direction de la Corée du Nord, suite à la mise au jour d’un morceau de code exploité dans l’attaque contre Swift et également présent dans le hack de Sony Pictures, fin 2014. L’indice en question est une clé de chiffrement qui permet aux attaquants d’être informés des progrès de leurs attaques. « Nous avons déjà vu cela en une occasion, en décembre 2014, lors d’une attaque complètement indépendante, dans un malware complètement différent mais utilisant la même clé », résume Hyppönen.

« Il y a un lien entre ces deux attaques. Or, Sony Pictures a été la cible d’un piratage majeur après avoir annoncé la sortie d’un film se moquant du dictateur de la Corée du Nord. L’assaillant était inhabituellement agressif. Ils ont ainsi fait fuiter les emails de chaque employé. Et, dès que ces événements ont commencé, le gouvernement américain a annoncé que c’était l’œuvre de la Corée du Nord. Comment pouvait-il savoir ? », relève Hyppönen. Rappelons que, selon le New York Times, les certitudes américaines concernant Sony Pictures s’appuyaient sur l’espionnage de la NSA, qui avait préalablement infiltré les réseaux de Corée du Nord et avait pu suivre la cyberattaque en direct.

Bref, pour Mikko Hyppönen, l’implication du pays asiatique dans le piratage du studio de cinéma ne fait guère de doute. Et la présence, dans l’attaque contre les banques connectées à Swift, d’un élément aussi significatif qu’une clef de chiffrement est plus que troublante.

900 M$ : beaucoup d’argent pour la Corée du Nord

Avant de se pencher sur les motivations potentielles des hackers. « Les assaillants ont essayé de détourner plus de 900 millions de dollars. C’est beaucoup d’argent, en particulier pour un gouvernement en difficulté comme celui la Corée du Nord du Nord », remarque Hyppönen.

Pour le spécialiste de la sécurité, qui travaille pour la firme de sécurité F-Secure depuis 25 ans (il en est le responsable de la recherche), le piratage de Swift pourrait être un moyen pour ce régime de compenser ses déficits. « Savez-vous quel est le budget annuel de la Corée du Nord ? Un peu moins de 4 milliards de dollars. Donc, est-ce que la Corée du Nord tente de corriger son déficit budgétaire en volant au reste du monde ? Peut-être. »

« Ce que nous savons avec certitude, c’est qu’il s’agit de la première fois dans l’histoire que nous avons affaire une attaque d’un Etat-nation dont l’objectif n’est ni l’espionnage, ni le sabotage, mais qui est réellement menée pour voler de l’argent. Et pour cela, elle est tout à fait unique », résume l’expert.

« Les cyberarmes sont parfaites car invisibles »

Pour Mikko Hyppönen, le cas, et l’implication quasi-établie d’un pays en particulier, seraient toutefois presque inhabituels. L’expert de F-Secure compare en effet l’état actuel de la cyberguerre à un brouillard où il est rare de pouvoir déterminer avec certitude qui agit. « Le monde autour de nous est en train de changer. J’utilise le terme de ‘brouillard de la cyberguerre’. Bien sûr, des attaques comme celle contre Swift ne peuvent pas être comparées à la cyberguerre. Mais d’autres exemples récents d’attaques en sont beaucoup plus proches », note Hyppönen, citant les attaques contre le réseau électrique ukrainien en décembre dernier.

« Le brouillard de la cyberguerre nous entoure, car nous ne connaissons pas les capacités des autres pays. Nous venons juste de sortir de la course aux armements. Nous venons juste de sortir de la guerre froide. Mais nous entrons la tête la première dans une nouvelle course aux armements, la course aux armements cyber, dit l’expert. La course aux armements nucléaires était toute entière tournée vers la dissuasion. Vers la connaissance de qui possède l’arme nucléaire. Nous ne disposons pas cette information pour les cyberarmes. Car les cyberarmes sont invisibles. »

« Que savons-nous des capacités d’attaque du Brésil ? De celle du Vietnam ou de l’Australie? Les cyberarmes sont les armes parfaites. Elles ne coûtent pas cher, sont efficaces, et on peut nier les avoir eu en sa possession. C’est une combinaison extraordinaire », résume Hyppönen.

Article adapté de notre confrère de TechWeekEurope, Ben Sullivan

A lire aussi :

Le spectre de Sony Pictures plane sur les attaques Swift

Fraude Swift au Bangladesh : non pas une, mais trois attaques

Piratage de Swift : la faute à une mise à jour mal maîtrisée ?