L’attribution de WannaCry à la Corée du Nord, un coup de com’ politique ?

Lors d’une conférence de presse, ce mardi 19 décembre, Tom Bossert, conseiller du président Donald Trump à la sécurité nationale, a renouvelé ses accusations à l’encontre de la Corée du Nord : pour lui, c’est bien Pyongyang qui est à l’origine de WannaCry. Mais ceux qui attendaient des éléments probants auront vu leurs espoirs douchés.

En cela, l’affaire rappelle fortement le rapport conjoint du FBI et du ministère américain de l’Intérieur, présenté le 29 décembre 2016, sur les « activités cyber malicieuses russes » durant la campagne électorale alors tout juste achevée. Ce rapport mêlait, sans précision de source ni de niveau de confiance, des éléments de qualité variable et pour beaucoup déjà connus.

Et cette fois encore, il est tentant de penser que, pour l’essentiel, l’attribution de WannaCry repose sur des travaux d’entreprises privées, sans trop tenir compte des réserves formulées ici et là, ni de la possibilité que les auteurs aient maquillé leur code pour détourner l’attention.

Neel Mehta, chercheur chez Google a publié en mai des indicateurs plaidant en faveur de liens entre les auteurs de WannaCry et le groupe Lazarus. Matthieu Suiche, de Comae Technologies, est aujourd’hui affirmatif : pour lui, c’est bien la Corée du Nord qui est derrière WannaCry. Au printemps, Symantec était déjà sur une ligne proche, voyant des « liens étroits » avec le groupe Lazarus, supposé lié au pouvoir nord-coréen. Ben Read, de FireEye, était arrivé aux mêmes conclusions, de même que les experts de SecureWorks et de BAE Systems.

Mais après s’être penché sur les indicateurs de Neel Mehta, Kaspersky avait choisi la prudence, estimant qu’il était encore de conclure. Digital Shadows et Flashpoint n’ont pas non plus manqué d’être réservés. Le premier estimait même que « le scénario le plus plausible est qu’un acteur cybercriminel non sophistiqué a lancé la campagne WannaCry ». Fin mai, Group-IB le soulignait : « comme les outils [des cyber-délinquants] sont souvent réutilisés entre groupes, l’analyse de maliciel ne fournit pas de preuve concluante d’attribution », même si elle peut aider. Ce spécialiste du renseignement attribuait alors formellement les opérations Troy et DarkSeoul, ainsi que les attaques sur Sony Pictures Entertainment et la banque centrale du Bangladesh à la Corée du Nord, mais restait silencieux sur WannaCry.

Aujourd’hui, Cybereason s’inscrit ouvertement en faux des accusations de la Maison Blanche, estimant qu’il est « improbable » que la Corée du Nord soit à l’origine de WannaCry. Et d’avancer notamment que « Chine et Russie ont été les plus touchés par cette attaque », deux voisins avec lesquels Pyongyang n’a aucun intérêt à se fâcher.

Mais pour certains, comme Richard Bejtlich, la Corée du Nord est un pays particulièrement difficile à étudier, du point de vue du renseignement. Dès lors, le gouvernement américain a tout intérêt à s’attacher à ne pas « bruler ses ressources limitées ». 

The #DPRK is a super hard collection target, maybe the hardest on the planet. USG and IC aren't going to burn their limited resources providing the public "evidence" that skeptics would argue against anyway, "because Trump" or "WMD Powell" or "Gulf of Tonkin," or other tropes.

— Richard Bejtlich (@taosecurity) December 20, 2017

Dans cette perspective, mais également dans d’autres, la liste de pays évoqués par Tom Bossert comme convaincus de la responsabilité de la Corée du Nord n’a rien de surprenante : Australie, Canada, Royaume-Uni, et Nouvelle-Zélande sont, avec les Etats-Unis, membres du club dit des Five Eyes, liés par des accords de partage de renseignement. A eux s’ajoute le Japon, premier menacé par la Corée du Nord qui ne saurait se mettre à dos son allié américain.

Et pas question non plus pour Tom Bossert de reconnaître que certains exploits clés utilisés dans le cadre de l’opération WannaCry ont été dérobés à la NSA : la question de la responsabilité indirecte de l’agence américaine du renseignement a bien été posée, mais a été éludée.

Quant au rôle clé joué par Marcus Hutchins, de Malware Tech, dans le blocage de l’opération, il était bien parti pour être passé sous silence – avec les travaux d’analyse menés très vite par Kaspersky – si Tom Bossert n’avait été interrogé sur le sujet. Mais Marcus Hutchins faisant actuellement l’objet de poursuites outre-Atlantique, la question est peut-être embarrassante.