Cyber insécurité : Le crypto-crime, enjeu géopolitique majeur du 6ème continent

Analyses et Dossiers Editos et Dossiers Hacks

Collectionnez les articles du JDC en NFT

Collecter cet article

L’environnement crypto offre beaucoup d’opportunités, mais comporte également des risques. C’est pourquoi l’éducation y est primordiale, un investisseur averti en vaut deux. Dans cette mini-série sur la cyber insécurité – Web2 et Web3 confondus – nous avons d’abord mis en lumière les risques systémiques liés à l’architecture actuelle d’internet. Même des entreprises de renom, spécialisées en cybersécurité sont victimes d’attaques réussies… Nous avons ensuite évoqué les dangers, passés et futurs, qui accompagnent le Web3, ce dernier réutilisant (plus qu’on ne le pense) l’architecture parfois fragile du Web2.

Cette semaine, nous allons nous éloigner et prendre du recul sur le sujet primaire et ses considérations techniques afin de nous demander : Qui ? Et pourquoi ? Pour l’argent évidemment. Mais, aussi vrai que ce dernier fasse tourner le monde, il reste souvent un moyen, et pas une fin. En dézoomant, on s’aperçoit rapidement que la géopolitique est de la partie. Et, que le terme de cyberguerre n’est peut-être pas galvaudé.

Au fil de l’histoire de l’humanité, les champs de batailles ont évolué. Fini les deux armées qui se font face avant que l’assaut ne soit ordonné. Les progrès technologiques aidant (télécommunications, reconnaissance satellite, drones pilotés à distance), la guerre est devenue de plus en plus asymétrique. On peut rétrospectivement trouver une forme de logique à ce qu’internet soit devenu un champ de bataille à part entière. La guerre est désormais menée aussi sur le net.

>> Exposez vous au Bitcoin sur Binance, 10% de réduction des frais avec ce lien (lien commercial) <<

La piste des APT – Mode opératoire

Encore trop discret dans les médias grand public, le sujet mérite une plus grande exposition. Une exposition à la hauteur des défis numériques qui se dressent devant nous. Car si le sujet intéresse peu de monde aujourd’hui, il nous concerne tous depuis hier et pourrait nous causer du tort dès demain. Au fil des recherches, on se rend pourtant compte que ce sujet est documenté et bien connu de nombreux experts en cybersécurité. Malgré tout, seuls les médias spécialisés relaient les informations et pire, saisissent leur aspect crucial pour la cohésion de nos sociétés. En effet, c’est probablement de ça qu’il est question finalement, lorsque l’on gratte le vernis qui recouvre « les attaques » et « les millions volés ou blanchis » par des organisations malveillantes, sponsorisées par des États.

Oui, des Etats. Encore une fois, c’est un phénomène qui est observé par la communauté de la cybersécurité depuis plusieurs années. On sait (à priori) reconnaître les modes opératoires, ce qui permet ensuite de les attribuer à tel ou tel groupe de hackers ayant déjà sévi. Chacun son modus operandi et ses cibles de prédilections (entreprises, administrations, industries, institutions financières). Un réel savoir-faire du crime en ligne s’est développé au cours du XXIᵉ siècle.

hackers d'Etat, les APT dans le viseur

À ce niveau de cybercrime, les experts parlent d’APT pour « Advanced Persistent Threat », une attaque informatique avancée et persistante. Le plus souvent ces attaques sont d’une furtivité extrême et le pot-aux-roses est en général découvert des semaines ou mois plus tard. L’exemple de Solarwinds évoqué lors de notre premier épisode en est une parfaite illustration.

Il peut ainsi se passer plusieurs mois avant qu’une faille soit identifiée. Cela laisse le temps à l’attaquant de scanner entièrement le réseau, d’en comprendre le fonctionnement, pour mieux en extraire de la valeur. Ou pour en prendre directement le contrôle. Il y a quelques jours Uber était victime d’une attaque durant laquelle le pirate a montré la preuve qu’il possédait des accès d’administrateurs sur différents services utilisés par l’entreprise. De quoi commettre des dégâts irréparables et menacer toute une économie.

Les APT sont caractérisées par deux choses :

  • La sophistication
  • La persistance

Certaines attaques d’envergure nécessitent un niveau de sophistication élevé. Tout d’abord dans le savoir-faire des pirates, mais aussi dans leur équipement. En effet, certaines phases (notamment préparatoires) sont très coûteuses et monopolisent aussi bien des ressources humaines, technologiques et financières de premier ordre. Bien que des entreprises comme Microsoft ou Cisco présentent des failles de sécurité, on ne compromet pas ce genre de réseau en deux jours. Il faut des moyens considérables et continus, sur une longue période.

Le deuxième élément qui qualifie une APT réside dans la persistance de la menace. Les pirates harcèlent le réseau et ses serveurs aussi bien que les employés des entités visées, jusqu’à ce que l’infrastructure ne cède, ou qu’une erreur humaine ne soit commise (ouverture d’un lien de phishing par exemple). Il faut donc pouvoir mobiliser de gigantesques moyens pendant plusieurs mois à plusieurs années. La communauté des cyber experts réussit désormais à attribuer certaines attaques à différents groupes dont les méthodes ont été disséquées. On attribue ainsi un numéro à chaque APT, une APT étant considérée comme attribuable à une équipe dédiée à tel ou tel type d’attaque.

La firme spécialisée en sécurité Mandiant tient sur son site une liste des APT identifiées jusqu’à maintenant. On peut y lire les spécialités de chaque APT, mais aussi l’État auquel elle est ou serait rattachée :

  • APT34 : espionnage long terme, dont le butin profiterait à l’État iranien. Cet APT s’est entre autres servi d’une vulnérabilité de Microsoft Office (CVE-2017-11882) pour y déployer ses logiciels espions.
  • APT33 : cible les secteurs aérospatiaux et énergétiques, au profit supposé de l’Iran également.
  • APT41 : assimilée à un groupe proche de l’Etat Chinois, cette cellule de hackers s’est attaquée à 14 pays au moins, ciblant les secteurs de la haute technologie, du médical et des télécommunications. On lui attribue un intérêt pour la propriété intellectuelle et le vol de brevets.
  • APT38 : vraisemblablement rattachée à la Corée du Nord, cette APT est particulièrement active et virulente. D’après Mandiant, c’est le groupe ayant réalisé les plus gros cyber-braquages observés à ce jour. Elle vise notamment des institutions financières internationales.
  • APT37 : également attribuée au régime nord-coréen, cette APT se focalise essentiellement sur la Corée du Sud, mais aussi le Japon, le Vietnam et une partie de l’Asie centrale. Aucune industrie n’est épargnée : automobile, chimique, électronique, manufacture, aérospatial

Cette liste, comme toutes celles publiées au cours de cette série sur la cyberinsécurité, est non exhaustive. La Russie et l’Ukraine sont également très présentes sur la scène du cybercrime.

>> Exposez vous au Bitcoin sur Binance, 10% de réduction des frais avec ce lien (lien commercial) <<

L’argent est un moyen pas une fin – Le cas luna

De son côté, la Corée du Nord n’est pas en reste non plus. Elle hébergerait même l’APT ayant le tableau de chasse le plus fourni : l’APT38, surnommé Lazarus Group. Cette unité alimente régulièrement notre rubrique portant sur les « hacks crypto ». Le dernier exemple en date étant celui du bridge de la blockchain Harmony. Ils avaient également donné des sueurs froides au Ronin Bridge d’Axie Infinity en début d’année.

Les activités criminelles de Lazarus ciblent en priorité la Corée du Sud, le voisin et rival historique depuis 1945. Le sud de la péninsule a embrassé depuis, un mode de vie consumériste « occidental » pendant que le nord s’enferme dans une dictature communiste très autoritaire. Une fois prise la mesure des cyberattaques et des dégâts qu’elles peuvent causer, on saisit l’importance politique qu’elles peuvent revêtir pour certains pays, la Corée du Nord en tête.

Les chercheurs du groupe Shadow Chaser révélaient en mai dernier avoir identifié des traces d’intérêt de l’APT38 pour l’écosystème Terra Luna

Pièce jointe présente dans un mail de phishing envoyé par le Lazarus Group – Source

Comme nous l’avons évoqué lors des épisodes précédents, le phishing est une technique très prisée des pirates sur internet. Ce procédé est redoutablement efficace et réussit même à piéger des experts en cybersécurité.

Terra Luna est un protocole crypto sud-coréen, fondé par Do Kwon, également sud-coréen. L’ascension fulgurante du jeton LUNA a précédé une chute aux enfers encore plus rapide, suite au dépeg de son « stablecoin » UST. Malgré les forks et multiples tentatives de bouche-à-bouche, la blockchain Terra Luna a vu son quart d’heure de gloire passer.

L’éclipse de LUNA a entrainé dans sa chute les économies de centaines de milliers de sud-coréens. Certains investisseurs ont mis fin à leurs jours suite à ce crash… Car l’effondrement d’un écosystème, affecte tous les agents qui y évoluent. Aussi bien le Capital-Risqueur qui a investi pendant les levées de fonds, que le petit porteur passé par un exchange pour acheter ses jetons après le listing public. En touchant de grandes entités financières, on peut déclencher des risques systémiques.

Le fonds Hashed a vu 3,5 milliards de dollars s’envoler en mai dernier. Or l’APT38 a fait des institutions financières étrangères une cible de choix.

Le fonds Hashed touché par le crash de LUNA (13% des actifs du portefeuille) – Source

Même s’il paraît encore difficile d’affirmer que Lazarus est directement impliqué dans la chute de Terra Luna, plusieurs incongruités et éléments (traces de phishing auprès d’employés Terra, timing) semblent pointer vers Lazarus.

>> Exposez vous au Bitcoin sur Binance, 10% de réduction des frais avec ce lien (lien commercial) <<

Des enjeux géo-prolifiques

Nous l’avons longuement évoqué, la guerre se passe aussi sur internet. La première des raisons étant qu’il n’y personne à envoyer directement au front, ce qui limite les pertes humaines. De plus, cela permet d’avancer masqué et de côtoyer l’ennemi au plus près, depuis l’intérieur. Une fois entrés dans le système, les hackers peuvent extraire des montagnes de données. Cela revêt un caractère stratégique indéniable quand on sait à quel point l’information est un enjeu crucial de nos jours.

Selon les cibles visées, les données sont plus ou moins « pertinentes », mais toujours utiles. Par exemple, l’Iran se focalise sur le renseignement et le secteur énergétique. Nous savons ô combien la question du nucléaire iranien est critique (pour l’Iran comme ses opposants). Sous embargo international depuis des années, le pays est fatalement freiné dans son développement technologique. La guerre en ligne lui a permis de contourner les sanctions internationales et d’accéder notamment à des brevets et travaux scientifiques liés au nucléaire. Sans APT l’Iran n’aurait pas eu les moyens de mettre ces technologies au point ou alors dans un laps de temps trop long, alors que l’accès à la dissuasion nucléaire est un enjeu de survie pour le régime de Téhéran.

Bien sûr, les plans d’un réacteur nucléaire sont plus « sensibles » que le dossier médical de Madame Michu pour un pirate sponsorisé par un État. Mais, ce type d’information en apparence moins stratégique reste valorisable. Accumulés par millions ces éléments peuvent être revendus sur la partie sombre d’internet, servir à un fichage massif, à l’entraînement d’algorithmes de machine learning via des données réelles et non des données simulées. Or, on sait la place que prend déjà l’intelligence artificielle et à quel point la data est un bien monétisable à l’ère du numérique.

La question sécuritaire

Si l’espionnage entre alliés existe aussi, les efforts des pirates semblent majoritairement dirigés contre des ennemis politiques, dans le but de nuire, mais pas exclusivement sur le plan financier. L’APT38, parmi les groupes de hackers les plus prolifiques d’après Chainalysis, est responsable de vols de centaines de millions de dollars. Ce butin finance les cyber opérations mais peut également être réinjecté dans d’autres circuits et déployé sur d’autres champs de bataille, une fois blanchi.

Kim Jong-Un pose avec deux militaires devant un missile balistique Hwasong-17, dévoilé en avril 2022

La Corée du Nord est également coupée du monde, ce qui ralentit considérablement son développement. Ainsi le vol de millions de dollars (400 millions en 2021 d’après Chainalysis) et l’extraction de brevets scientifiques ou autres données sensibles représentent une opportunité rêvée de porter un coup à ses adversaires tout en s’enrichissant.

Au fur et à mesure que les guerres sont devenues asymétriques, l’information a pris une place majeure dans la géo-stratégie et le combat permanent que se livrent les Etats du monde entier. Au point que les budgets autrefois alloués à l’armement sont désormais répartis aussi sur des équipements de reconnaissance et d’information. Ceux-là même permettront un usage encore plus optimal des armes, canons et autres missiles.

Cette guerre pour l’information est incessante et certains systèmes informatiques internationaux sont déjà compromis depuis plusieurs années. De quoi avoir le temps de se fondre dans le réseau, l’étudier, l’infecter et l’observer pour réutiliser les mécaniques intéressantes à son propre compte. Ou pour nuire à la cible et tous les maillons rattachés à celle-ci à un niveau systémique, car tous nos services modernes ou presque reposent sur internet. L’argent est l’une des motivations des APT mais ils sont également là pour la tech’ (vol de brevets). Plus sérieusement, la manne financière générée par les hacks (web2 et web3 confondus) est une menace. Tout d’abord, parce qu’elle entretient l’effort de guerre, mais ce n’est pas la finalité. Le réel enjeu repose sur la souveraineté et la supériorité numérique, économique, géopolitique, or celle-ci s’acquiert sur le sixième continent : Internet.

Le temps de l’intérêt des États pour Bitcoin est venu. Et vous, que faites-vous pour préparer l’avenir ? Commencez à vous familiariser avec ce monde passionnant, et n’attendez plus pour vous créer un compte sur Binance, l’exchange Bitcoin et crypto de référence. Vous économiserez 10% sur vos frais de trading en suivant ce lien (lien commercial).

Jeff Makvs

Enfant d’internet, j’essaie de me coucher chaque soir moins bête que la veille, notamment en observant la blockchain et ses acteurs. Je me réjouis de partager mes découvertes dans cet écosystème fascinant et avant-gardiste dès que j’en ai l’occasion : avant j’écrivais dans mon journal, maintenant j’écris dans le vôtre !

> Plus d'articles de l'auteur(e)

Pour aller plus loin

Avis eToro, Test et Tuto 2024 : Zoom sur le célèbre broker

EToro se définit comme étant une plateforme d’investissement multi-actifs et un réseau social d’investisseurs. En ligne depuis 2007, ce broker (courtier en ligne) permet en effet de s’exposer à différents produits financiers tel que les cryptomonnaies, les actions, les indices ou les Exchanges Traded Funds (ETF). Les utilisateurs peuvent aussi échanger entre eux et copier … Continued

Le 18 Jan 2024 à 12h30

Dans la même catégorie

Les réseaux DePIN : des infrastructures physiques sur la blockchain

Le 21 avr. 2024 à 8:00

Crypto : THORChain (RUNE) dépasse les 10 milliards de dollars de volume pour la première fois

Le 29 mars 2024 à 10:00

Lutte contre le blanchiment d'argent dans le monde crypto : évolutions réglementaires et obligations légales

Le 24 mars 2024 à 18:00

Les Oracles : Un pilier fondamental de l'écosystème des cryptomonnaies

Le 12 mars 2024 à 18:00

Disney s'associe à Epic Games pour un « écosystème persistant »

Le 10 févr. 2024 à 18:00

Et si la blockchain pouvait sauver l'humanité des dérives de l'IA ?

Le 25 janv. 2024 à 12:00

Les grandes tendances crypto de 2024 selon Binance Research

Le 17 janv. 2024 à 10:00

Ces politiciens défendent Bitcoin et les cryptos aux USA

Le 29 oct. 2023 à 10:00

Recevez un condensé d'information chaque jour