Les menaces de gel des actifs sont-elles efficaces contre des groupes soutenus par des gouvernements étrangers ?
Cette semaine, le département du Trésor des États-Unis a annoncé des sanctions contre les groupes de piratage commandités par l'État nord-coréen, tel que Lazarus, qui a paralysé 300 000 ordinateurs dans 150 pays avec le ransomware WannaCry en 2017.
Des responsables du Trésor américain ont déclaré que les pirates de Lazarus et deux groupes affiliés soutenaient l’armée nord-coréenne. « Le Trésor prend des mesures contre les groupes de piratage nord-coréens qui commettent des cyberattaques pour soutenir des programmes d'armes et de missiles illicites », a déclaré Sigal Mandelker, sous-secrétaire du Trésor pour le renseignement financier et la lutte antiterrorisme.
En présentant les sanctions, le Trésor des Etats-Unis a déclaré que Lazarus avait été « créé par le gouvernement nord-coréen dès 2007 » et que son attaque WannaCry avait été la « plus grosse épidémie de ransomwares de l’histoire », en partie parce qu’elle avait fait fermer des hôpitaux au Royaume-Uni.
Le magazine d’informations technologiques ZDNet a commenté que les sanctions avaient été « longues à venir », en citant des rapports des Nations-Unies et du ministère de la Sécurité intérieure sur le piratage nord-coréen.
Mais est-ce que cela suffira ? Selon les experts, il est plus facile d’annoncer des sanctions à des groupes à moitié identifiés que de relier les attaques à des auteurs spécifiques.
Il est difficile de prouver la culpabilité des accusés
« La Corée du Nord est soupçonnée d'être à l'origine d'un certain nombre de cyberattaques très médiatisées », affirme Luis Corrons, évangéliste de la sécurité chez Avast. « En matière de cybercriminalité, il est extrêmement difficile d’attribuer des actes, et même si vous parvenez à les prouver avec un certain degré de confiance, les opérations sous fausse bannière et autres tactiques trompeuses peuvent dérouter les experts judiciaires. »
Selon PC Mag, la décision autorise les États-Unis à geler les actifs liés aux pirates et « peut inciter les entreprises des États-Unis à vérifier que leurs activités n’ont pas de liens avec les pirates nord-coréens ». « Toutefois, les trois groupes nommés aujourd'hui recourent à des tactiques très fantaisistes pour rester cachés. »
« Quelles que soient les sanctions imposées, cela ne garantit en aucun cas que ces groupes cesseront leurs actions », déclare Luis Corrons.
D'autres s'accordent à dire qu'il peut être très difficile de capturer des pirates informatiques soutenus par un gouvernement. Cet été, Byron Acohido a indiqué dans le blog d’Avast que « depuis les deux ans que WannaCry est installé, la tactique et les outils utilisés par les collectifs d'élite du piratage ont considérablement évolué, notamment en ce qui concerne l'augmentation de leur utilisation des réseaux de zombies (botnet) ». « La Russie, la Chine, la Corée du Nord et l'Iran continuent de soutenir et de diriger de manière proactive les pirates professionnels impliqués dans le cyberespionnage, le vol de données et les infiltrations de réseaux. »
Attaque contre Sony en 2014
Le Trésor des Etats-Unis a également fait remarquer que Lazarus était responsable des cyberattaques de 2014 contre Sony Pictures en raison d'un film réalisé par ses studios sur un complot d'assassinat du dirigeant nord-coréen Kim Jong-un.
Les deux autres groupes de piratage sanctionnés sont Bluenoroff et Andariel. Le Trésor écrit que Bluenoroff a été formé par le gouvernement nord-coréen « en réponse à l'augmentation des sanctions mondiales pour générer des revenus, en partie, grâce à ses programmes croissants d'armes nucléaires et de missiles balistiques ».
Le Trésor a déclaré qu’Andariel était spécialisé dans les cyber-opérations malveillantes sur des entreprises étrangères, des agences gouvernementales, des infrastructures de services financiers, des sociétés privées ainsi que sur le secteur de la défense.
Que pouvez-vous faire ?
Si les ransomwares paraissent en effet écrasants et lointains au niveau étatique, il existe bien des outils que tout le monde peut utiliser pour s’en protéger. Vous pouvez commencer par vous renseigner sur ce qu’est un ransomware : un malware qui chiffre les fichiers de votre ordinateur et qui vous demande de payer une rançon pour les récupérer. Cliquez ici pour en savoir plus sur les ransomwares. Vous pouvez aussi vous procurer les outils de décryptage de ransomwares d’Avast ici.