L’engouement pour la crypto-monnaie en Corée du Nord et son impact sur la politique américaine

Rien qu’en 2022, la Corée du Nord, ou la République populaire démocratique de Corée (RPDC), aurait volé plus d’un milliard de dollars en crypto-monnaie à des organisations du secteur de la crypto-monnaie via l’une de ses principales équipes de piratage, Lazarus Group. Cela représente une augmentation par rapport aux 400 millions de dollars en 2021, et ces cambriolages représentent un tiers de toutes les pertes dues aux cyber-intrusions dans le secteur de la crypto-monnaie cette année.

De nouveaux bouleversements dans le secteur de la crypto-monnaie ont déjà poussé les autorités financières à multiplier les appels à la réglementation. Les faillites et les scandales impliquant plusieurs entreprises font chuter l’industrie et la valeur des crypto-monnaies. Bon nombre de ces entreprises sont basées aux États-Unis, ce qui rend la réglementation américaine particulièrement importante. Le rôle central du pays à la fois dans le secteur de la crypto-monnaie et les efforts pour le réglementer, ainsi que la descente actuelle du secteur dans le chaos, en font le moment opportun pour concentrer les initiatives politiques du gouvernement américain sur les entreprises et les produits de crypto-monnaie.

Compte tenu des changements dans le paysage des menaces et le système financier, les États-Unis devraient modifier leur orientation politique en conséquence. « Le vol de crypto-monnaie de Lazarus remonte à au moins 2017, et à la fin de 2018, le groupe était responsable de plus de la moitié des pertes totales dues aux vols d’échanges de crypto-monnaie. Dès 2019, le Conseil de sécurité de l’ONU a reconnu que les opérations de cybercriminalité de la RPDC contre les échanges de crypto-monnaie devenaient rapidement une source de revenus supplémentaire importante pour le régime.Cependant, le secteur de la crypto-monnaie n’a dépassé l’intérêt de Lazarus pour les banques traditionnelles (comme Bangladesh Bank) qu’en 2020, probablement en raison des contraintes de mobilité provoquées par la pandémie. -19 et les blocages mondiaux qui ont suivi ont empêché le groupe d’encaisser et de déplacer les fonds par l’intermédiaire de mules monétaires, une tactique préférée de Lazarus, entraînant un virage vers le secteur de la crypto-monnaie.

Couplé à la nature non réglementée et vulnérable des protocoles et des organisations de la finance décentralisée (DeFi), le secteur de la crypto-monnaie est une cible de grande valeur. Les vulnérabilités généralisées des contrats intelligents régissant les actifs DeFi sont de plus en plus exploitées, et les récents effondrements d’échanges de crypto-monnaie tels que FTX ont réaffirmé l’instabilité du secteur.

Les politiques existantes ont été largement insuffisantes et n’ont pas abordé l’éventail plus large des considérations pré- et post-compromis. La réglementation financière a donné la priorité au blanchiment d’argent plutôt qu’aux vols, et les outils existants tels que les mises en accusation et les règlements du Groupe d’action financière se sont révélés inefficaces contre les intrusions et le vol, ainsi que contre le blanchiment d’argent.

Les sanctions américaines imposées contre les mélangeurs de crypto-monnaie (plates-formes utilisées pour masquer les origines de la crypto-monnaie), telles que Blender et Tornado Cash, en 2022 ont été relativement efficaces par rapport à d’autres mesures punitives, mais les intrusions et la cybercriminalité restent endémiques. Cela a laissé le secteur de la crypto-monnaie comme une opportunité lucrative à exploiter pour Lazarus.

Alors, à quoi devrait plutôt ressembler la politique américaine ?

Parmi les politiques existantes, les sanctions se sont révélées prometteuses contre le volet blanchiment de l’écosystème. En mai, des sanctions américaines ont été appliquées au mélangeur centralisé de crypto-monnaie Blender, en raison de son utilisation par des acteurs de la menace nord-coréens. En août, Tornado Cash a été sanctionné pour les mêmes raisons, mais Tornado Cash, en raison de sa nature décentralisée, a continué à fonctionner et ne peut être isolé du système financier comme une organisation traditionnelle.

Les services de sanction comme Tornado Cash rendent théoriquement plus difficile pour les acteurs de la menace de transférer ou de blanchir l’argent des victimes, ou d’utiliser des fonds provenant du mélangeur, créant ainsi plus d’opportunités pour que ces fonds soient récupérés. L’efficacité des sanctions dépend de leur capacité à être appliquées, et les acteurs de la menace sont aptes à trouver des moyens de les contourner. Cependant, une organisation sanctionnée subira un impact sur sa réputation, ce qui peut affecter son utilisation. Après la sanction de Tornado Cash, le mélangeur a vu une baisse significative du volume des transactions. Malgré ces premières données positives, il existe une asymétrie entre la menace et la réponse. De nouveaux mélangeurs surgiront à sa place et recommenceront le cycle des sanctions, de sorte que les sanctions visant les mélangeurs doivent également englober les personnes responsables de la création de ces entreprises.

Les solutions post-compromis doivent également se concentrer sur la réparation des victimes, car les fonds volés sont déplacés et blanchis à travers la blockchain. Un registre central public et transparent des compromissions permettrait aux organisations d’accéder aux informations sur les derniers cambriolages, comme le suivi participatif des paiements des victimes aux groupes de rançongiciels. Lorsqu’une organisation perd des fonds, les portefeuilles impliqués dans les transactions seraient signalés en temps réel et pourraient être suivis à la fois par les autres acteurs du secteur et les enquêteurs. Cela augmenterait la possibilité et la probabilité de saisir et de recouvrer des fonds.

Les mesures préventives sont encore plus importantes compte tenu de l’utilisation répétée des mêmes exploits comme vecteurs d’infection initiaux. La Cybersecurity and Infrastructure Security Agency (CISA) et la National Security Agency (NSA) devraient publier des orientations sur la manière de développer des contrats intelligents sécurisés, comme elles l’ont déjà fait pour le développement de logiciels sécurisés. Au-delà du codage sécurisé, un produit du secteur financier traditionnel fait souvent l’objet d’une activité de « red teaming » pour chaque version avant qu’il ne soit rendu public. Les audits dans le secteur de la crypto-monnaie peuvent être considérés comme un équivalent des contrats intelligents pour assurer une plus grande diligence raisonnable dans la publication des applications. L’audit pourrait être utilisé pour identifier les vulnérabilités et fournir une assurance aux utilisateurs, renforçant ainsi les contrats intelligents par rapport aux méthodes de compromis bien connues.

Alors que les audits gagnent du terrain dans le secteur, ils ne sont ni standardisés, ni effectués régulièrement, ni obligatoires. Non seulement l’Institut national des normes et de la technologie (NIST) devrait-il publier un cadre sur la manière de mener un audit certifié, mais la CISA et le Département du Trésor devraient exiger des audits périodiques obligatoires pour les organisations du secteur de la crypto-monnaie. Ils doivent également certifier les auditeurs pour s’assurer que les organisations offrant le service sont dignes de confiance, à l’instar d’autres systèmes qui vérifient les fournisseurs.

En supposant que la crypto-monnaie est là pour le long terme (même si cela reste à voir), les régulateurs américains devront doubler les sanctions contre les mélangeurs, suivre de manière proactive les vols et institutionnaliser les audits pour résoudre les problèmes auxquels le secteur de la crypto-monnaie est confronté de la part des acteurs de la cyber-menace, et surtout Lazare.

Saher Naumaan est analyste principale des renseignements sur les menaces chez BAE Systems Digital Intelligence, où elle étudie les cyberopérations parrainées par l’État en mettant l’accent sur le suivi des groupes de menaces du Moyen-Orient et de la Corée du Nord.

Les opinions exprimées ici sont personnelles et ne reflètent pas la politique ou la position d’une entité ou d’une organisation.