Corée du Nord hors ligne : un pirate informatique s'attaque à une nation

Les observateurs de l'Internet nord-coréen ont fait d'étranges constatations au cours des dernières semaines. Une infrastructure Internet importante s'est déconnectée plusieurs fois, puis est revenue en ligne, avant d'être à nouveau déconnectée du réseau. Par moments, toutes les liaisons du pays avec l'extérieur ont même été coupées. Était-ce la faute de tests de missiles ?

Non, c'est un homme qui se fait appeler P4x qui a raconté au magazine « Wired » pourquoi il avait lancé une cyberattaque contre un État.

P4x mène un combat sur deux fronts. D'une part, il s'en prend au régime de Kim Jong-Un, d'autre part, il demande au gouvernement américain d'être plus actif ou au moins de communiquer davantage.

Un an avant la cyberattaque

P4x n'a pas choisi la Corée du Nord par hasard. En janvier 2021, un hacker lui fait passer un outil qu'il voulait essayer. Peu de temps après, P4x lit un avis de sécurité selon lequel des pirates nord-coréens, tous des employés de l'État, tentent de s'introduire dans les systèmes des experts en sécurité et de voler leurs outils.

Le pirate informatique nord-coréen a de la chance. Par prudence, il a ouvert l'outil dans une machine virtuelle, ce qui a empêché l'outil d'accès à distance (remote access tool ou RAT) nord-coréen d'accéder à son système. Il signale cet incident au FBI. P4x se voit répondre « We take security very seriously » ou quelque chose de similaire. C'est une phrase qui se veut rassurante, mais qui, après d'innombrables piratages, est devenue vide de sens.

Pendant une année, P4x a attendu une déclaration du gouvernement, une contre-attaque ou même n'importe quel signe. Mais rien ne s'est passé. P4x n'a plus jamais entendu parler du FBI ou de la Cybersecurity and Infrastructure Security Agency (CISA), qui est également intervenue.

Pendant ce temps, les experts en sécurité sont attaqués par la Corée du Nord et leurs outils sont volés. Ceux-ci peuvent être utilisés à mauvais escient par quelqu'un de mal intentionné. L'ancien pirate de la NSA et auteur Dave Aitel décrit l'ampleur possible du vol d'outils comme un « deuxième SolarWinds ». Cette faille dans le logiciel du même nom a permit à des pirates d'accéder sans autorisation à des milliers de systèmes gouvernementaux et de réseaux d'entreprises en 2020. Les dégâts étaient énormes.

En janvier 2022, un an après l'attaque, P4x en a assez. Il ne cherche pas à se venger, mais à marquer. Il veut montrer à la Corée du Nord que le pays ne peut pas s'attaquer impunément aux pirates informatiques. Et il veut montrer au FBI et à la CISA qu'ils n'ont pas pris leurs responsabilités. Leur mission est de protéger le peuple américain. Le fait que les hackers nord-coréens restent impunis est impensable.

Le hack qui n'en est pas un

P4x Wired ne veut pas révéler quelles sont les failles qu'il a exploitées : « Sinon, la Corée du Nord pourrait les boucher », dit l'homme, qui ne se sent pas coupable d'avoir lancé une attaque internationale de pirates informatiques.

Il dit qu'il a des principes. Il ne veut pas que le peuple nord-coréen en pâtisse. À ses yeux, il s'agit de mettre un terme au régime du dictateur Kim Jong-Un.

Et selon lui, il serait facile de paralyser le pays. Cela serait d'une part dû à l'infrastructure unique du réseau appelé 광명, Kwangmyong, et d'autre part au fait que de nombreux systèmes de la Corée du Nord sont obsolètes.

Le pirate américain a rapidement trouvé des failles. Il s'agirait d'une version de Nginx qui présente une faille dans les en-têtes HTTP et il aurait été facile de l'exploiter. C'est de cette manière qu'il a pu lancer à lui seul une attaque « denial of service » efficace sur un pays entier. Il a utilisé les en-têtes pour surcharger Nginx. Ensuite, le logiciel du serveur aurait planté et interrompu la connexion avec d'autres ordinateurs.

P4x ne considère pas l'attaque comme une simple attaque, il fait de la recherche. Il veut savoir exactement comment fonctionne l'Internet nord-coréen sur le plan technologique. Ses informations devraient être le plus détaillées possible, pour connaître chaque point faible. Il soupçonne des failles dans le système d'exploitation nord-coréen Red Star OS et a commencé à l'examiner. Red Star OS est basé sur Linux – probablement Fedora – et, selon toutes les informations disponibles au niveau international, il serait très ancien. La dernière version du service d'archivage ArchiveOS date la version de Red Star OS qu'il héberge à 2019.

Les attaques lancées depuis le salon de P4x sont en grande partie automatisées : « C'est comme un petit ou moyen test d'intrusion », dit-il à Wired, laissant entendre qu'il est ou a été chercheur en sécurité dans la vraie vie. En effet, un test d'intrusion ou pentest en anglais est l'abréviation d'un test de pénétration.

« Il est étonnamment facile d'obtenir un quelconque effet en Corée du Nord », dit-il. Et il indique qu'il n'en a pas fini avec les attaques « Denial of Service ».

P4x crée le FUNK Project sur le darknet

Les attaques de P4x ont suscité des critiques. « Les pirates informatiques qui ont attaqué P4x l'année dernière sont très probablement en Chine », explique Martyn Williams, chercheur au 38 North Project, un centre d'analyse de tout ce qui est nord-coréen. P4x admet que ses actions agacent tout au plus le régime nord-coréen, mais rien de plus. Pas de dégâts, pas d'effets durables. « Ce que j'ai fait jusqu'à présent équivaut à arracher une affiche de propagande ou à faire un graffiti », explique P4x à Wired.

Jusqu'à présent.

Mais P4x y a pris goût. Dans une prochaine phase, il serait actuellement en phase d'analyse, il souhaiterait s'introduire dans les systèmes nord-coréens et voler des données. Ces dernières devraient ensuite être mises à la disposition d'experts, ce qui, espérons-le, leur apportera des informations importantes sur ce pays fermé. Il espère obtenir de l'aide de la communauté des hackers et a créé le FUNK Project. Sur le site dans le darknet, il appelle les hackers du monde entier à l'aider.

Le FUNK Project, dont le nom signifie « Fuck You North Korea », ne vise pas seulement à mettre en évidence les points faibles de l'Internet nord-coréen et à voler des données. L'objectif serait : « Keeping North Korea honest ». Sur la page du FUNK Project, P4x écrit qu'une seule personne peut déjà faire la différence. L'objectif est de mener des attaques proportionnelles contre la Corée du Nord et de collecter des informations pour empêcher la Corée du Nord de pirater librement le monde occidental.

Il espère également que l'hacktivisme du FUNK Project ne vise pas seulement à avertir les Nord-Coréens, mais aussi le gouvernement américain. Les cyberattaques du projet ne seraient pas seulement une réaction au piratage de la Corée du Nord, mais viseraient également à démontrer que le gouvernement américain échoue continuellement à protéger son propre peuple, en l'occurrence les experts en sécurité.

« On n'est jamais aussi bien servi que par soi-même », écrit P4x.