Corée du Nord et WannaCry, les accusations de la Maison Blanche

Quand les Etats-Unis pointent du doigt la Corée du Nord comme responsable du virus WannaCry, mais sans apporter de preuves réelles et concrètes.

L’accusation

En toute fin d’année dernière, les États-Unis d’Amérique ont annoncé qu’après étude du code et de la diffusion de Wanna Cry le virus serait l’œuvre de la Corée du Nord.

C’est en ce mois de décembre 2017 que les USA, peu frileux, accusent ouvertement et par voie de presse, la Corée du Nord d’être le commanditaire du ransomware dévastateur de ce milieu d’année. Pour Washington, c’est Pyongyang qui a fait le coup, mais est-ce une affirmation technique étayée, ou bien un discours diplomatique ?

Pour Tom Bossert, le conseiller à la sécurité intérieure, il est certain que la Corée du Nord est directement responsable du virus. Et il l’affirme dans le Wallstreet journal. C’est une “enquête minutieuse”, mais dont on ne nous dit rien, qui a permis de désigner le coupable. Plus de 150 pays touchés, 300 000 machines infectées, pour un préjudice estimé de plusieurs milliards de dollars. Si les US précisent que d’autres pays et entreprises partagent ces accusations, aucun nom n’est donné dans l’article du quotidien.

La Corée de Kim a déjà, par le passé, était montrée du doigt dans ce genre d’affaires. Et si Tom Bossert l’affirme en novembre, la NSA l’avait déjà dit en juin. La réalité, c’est que, sans remettre en cause les déclarations de la Maison Blanche, il est vraiment très difficile, dans un cas comme celui de Wanna Cry, de pouvoir identifier avec certitude l’origine du virus. Comme le souligne James Scott du Institute for Critical Infrastructue Technology. Dans une attaque aussi sophistiquée, de faux indices sont disséminés ici et là pour accuser d’éventuels adversaires politiques, ou juste un bouc émissaire, de très nombreux réseaux, notamment VPN sont utilisés afin de brouiller les pistes. Une partie du travail de conception, voir même de distribution est externalisé et confié à des cybers mercenaires. Et plusieurs outils librement distribués par certains forums du Deep web, sont utilisés, pour ne pas laisser de signature précise. On comprend bien que remonter une telle piste et être en mesure d’accuser sans aucun doute possible un responsable, est aussi complexe que de sortir du dédale sans fil d’Ariane.

Un début de preuve ?

Ce que l’on ne connait donc pas, ce sont les preuves dont dispose le gouvernement américain. Mais ce que l’on sait, c’est que certaines parties du code de WannaCry sont très semblables à certaines des logiciels malveillants du groupe de hackers Lazarus.

Ce groupe qui est lié au régime de Pyongyang, l’est par contre sur la base de présomptions très solides. La Corée du Nord, de par son système politique dictatorial, ne possède que très peu d’adresses IP publiques sur son sol, et certaines de ses adresses ont été utilisées par Lazarus pour ses attaques, au moins depuis 2007. Autre fait troublant, il semblerait que certaines polices de caractères nord coréennes soient présentes dans le code de WannaCry.

Le gouvernement américain présente ces oublis et maladresses, comme un indice de plus permettant de désigner le coupable. Scott Borg, directeur de l’US Cyber Consequences Unit déclare, que si ces derniers temps la Corée du nord a été présentée comme une puissance cyber criminelle montante, il n’en est rien, pour lui le ransomware est mal écrit et incomplet, il va même jusqu’à dire que les autres organisations criminelles utilisant ce type de virus devaient certainement être furieuses contre WannaCry, car il risquait de décrédibiliser toute cette industrie.

Pour nous, simples mortels, il est donc assez compliqué de savoir où se situent les preuves et où sont les manœuvres politiques. Mais ce qui l’est moins, c’est de se rendre compte que l’année 2017 a été riche en virus de la sorte, et que 2018 sera certainement pire.