Lors de la conférence DEF CON de cette année, des hackers feuilletant des exemplaires de Phrack pensaient lire à propos d’une fuite nord-coréenne. Peu soupçonnaient qu’ils étaient en réalité les véritables cibles de cette opération.
L’avantage actuel de l’Occident en matière d’opérations cyber repose sur un niveau élevé de confiance mutuelle entre la culture underground des hackers et les agences de renseignement des Five Eyes. Cette confiance a été ébranlée par ce qui semble être une opération d’influence maladroite, brouillant la frontière entre une démarche légitime et une manipulation.
La récente divulgation « APT Down – The North Korea Files » est importante non seulement par ce qu’elle révèle des capacités cyber de l’adversaire, mais également par la nature même de sa présentation qui laisse entrevoir qui contrôle la filière de talents, transformant des hackers adolescents en experts techniques défendant les infrastructures critiques, concevant des systèmes sécurisés et alimentant les commandements cyber dans les pays du Five Eyes.
Contrairement aux programmes étatiques dirigés par la Chine ou la Russie, l’expertise cyber occidentale émerveille de manière organique d’une contre-culture valorisant les compétences plutôt que les diplômes, et la créativité plutôt que la conformité. Pour préserver la confiance entre hackers et services de renseignement, davantage de transparence dans les protocoles d’engagement et une supervision parlementaire sont indispensables pour protéger cet écosystème de talents cyber.
Quand une fuite n’est pas vraiment une fuite
En août 2025, 15 000 exemplaires imprimés de l’édition 72 de Phrack ont été distribués aux participants de DEF CON 33 à Las Vegas, présentant une analyse détaillée de données prétendument issues d’un poste de travail d’un membre du groupe nord-coréen de cyber-espionnage « Kimsuky ». Plusieurs milliers d’exemplaires ont également été remis lors de BSides Canberra en septembre.
Être publié dans Phrack équivaut à être publié dans Nature pour les scientifiques ou dans Rolling Stone pour les musiciens. Ce n’est pas un simple e-zine, mais un centre de la culture hacker ayant formé trois générations de praticiens du cyberespace.
Largement diffusées en ligne, neuf gigaoctets de données ont accompagné cette divulgation : codes sources, chevaux de Troie d’accès distant, kits de phishing et journaux liés à des cibles sud-coréennes. Ces données paraissent authentiques et opérationnellement utiles. On y trouve notamment des portes dérobées sous Linux implantées sur des systèmes compromis, permettant un accès permanent – un travail de faible qualité facilitant leur détection. Les défenseurs cyber peuvent utiliser ces signatures pour traquer l’infrastructure de commande et contrôle de Kimsuky à travers Internet. Le contenu technique est donc indéniablement précieux, mais l’essentiel réside sans doute dans l’opération d’influence orchestrée autour de cette fuite.
En effet, APT Down a immédiatement éveillé la méfiance des hackers, d’abord pour son aperçu inédit sur les opérations nord-coréennes. Mais une lecture attentive suggère qu’un autre dispositif se joue en filigrane. Cette divulgation porte les marques d’un travail d’intelligence professionnelle : notification en amont des victimes, présentation analytique digne d’un produit final, distribution en version papier lors d’événements cyber élitistes comme DEF CON et BSides.
Ayant œuvré chez Threat Canary et dans d’autres fonctions couvrant l’imitation d’adversaires avancés, l’enquête sur attaques sur infrastructures critiques et les services de renseignement, j’ai développé une aptitude à distinguer les hacktivistes authentiques du travail d’intelligence professionnelle.
Les anomalies dans la présentation, la distribution et la paternité d’APT Down soulèvent trois hypothèses : un hacktivisme authentique mené par des hackers ayant le flair d’un analyste du renseignement, une opération d’influence des Five Eyes mal maîtrisée, ou une action adverse mimant cette dernière. Les faits tendent à éliminer la piste purement hacktiviste.
Le hacktivisme qui n’en est pas
Le leak APT Down ne présente pas les caractéristiques majeures d’une action authentique de hacktivisme : ni récit du mode d’accès, ni pseudonymes facilement retrouvables. Cela alimente les soupçons.
Un hacktiviste réalise des intrusions, attaques et fuites pour des raisons idéologiques, non financières ou d’ego.
À première vue, APT Down ressemble à du hacktivisme. Les auteurs utilisent Protonmail, un service email respectueux de la vie privée. La fuite s’effectue via Distributed Denial of Secrets, une plateforme populaire de divulgation. Une adresse email « riseup.net » est fournie, plateforme se décrivant comme « fournissant ressources de communication et informatique à des alliés luttant contre le capitalisme et autres formes d’oppression ».
Cependant, l’article ne correspond pas au style hacktiviste : les leak authentiques expliquent habituellement en détail la méthode d’accès ainsi qu’un manifeste personnel. Quand le hacker Phineas Fisher avait révélé en 2015 la société italienne de cyberespionnage HackingTeam, il accompagnait sa fuite d’un guide détaillé de riposte incluant des noms d’outils. De même, quand Aaron Barr, PDG d’une société américaine de cybersécurité, avait menacé d’identifier le groupe Anonymous, la riposte fut une fuite massive avec narration claire des méthodes et motivations.
Le leak d’APT Down, attribué aux pseudonymes « Saber » et « cyb0rg », déroge donc à ce schéma : ils sont difficiles à retrouver, curieux pour des auteurs cherchant la notoriété auprès des lecteurs de Phrack. Aucun récit d’intrusion n’explique comment les données ont été exfiltrées. Les auteurs affirment avoir prévenu les victimes, pratique habituelle des gouvernements mais pas des hacktivistes. L’écriture est organisée et méthodique, telle une évaluation de renseignement, et non un journal déstructuré. Des titres ironiques comme « Dear Kimsuky, you are no hacker » ou « Fun Facts and Laughables » tournent en dérision la capacité cyber nord-coréenne, influençant subtilement l’opinion des lecteurs.
Le contenu suggère que la cible affichée est bien la Corée du Nord. L’analyse d’un lien Pékin-Pyongyang et des indices liés aux fêtes chinoises et aux habitudes linguistiques s’apparente à une conclusion de renseignement plutôt qu’à une donnée brute. Dès lors, la mise en forme d’APT Down pourrait cacher une cible secondaire : la culture underground cyber occidentale. Si tel est le cas, cela menace la filière hacker vers défenseurs, qui confère un avantage asymétrique à l’Occident.
Une tromperie à plusieurs niveaux
APT Down déploie une triple couche de tromperie, chaque couche découragant l’investigation plus approfondie.
Première couche : les outils d’espionnage cyber nord-coréens sont dévoilés, offrant un aperçu authentique et un avantage pour les défenseurs occidentaux. La plupart des analystes s’arrêtent ici, avec leurs « indicateurs de compromission ».
Seconde couche : une collaboration sino-nord-coréenne est suggérée. Dans la section 3.5, il est noté que le cyber-espion utilise Google Translate pour convertir le coréen en chinois simplifié. De plus, il n’a pas opéré du 31 mai au 2 juin, période correspondant à la Fête du Bateau-Dragon en Chine, et son ordinateur est réglé à l’heure coréenne standard. Les auteurs avancent qu’un acteur chinois « accomplit les agendas de la Corée du Nord (ciblant la Corée du Sud) et de la Chine (ciblant Taïwan) ».
Cette coopération n’est pas nouvelle. Des déserteurs ont confirmé que l’élite du Bureau 121 nord-coréen agit depuis 2005 en Chine, utilisant l’hôtel Chilbosan à Shenyang comme base, dissimulée au sein de la communauté coréenne locale.
Ces indices sont des pistes contextuelles, non des preuves d’attribution ni de localisation. Ils peuvent correspondre à un hacker chinois sous consigne nord-coréenne, à des usages partagés, ou à une mise en scène délibérée. La sagesse veut qu’on traite le code comme authentique, mais les narratifs comme contestables.
L’analyste en cybersécurité David Sehyeon Baek souligne que cette fuite « est remarquable non seulement pour ses révélations techniques mais aussi pour le débat éthique qu’elle suscite », tout en « montrant des indices de partage d’outils avec des acteurs chinois ». Il avertit que « des opérations psychologiques maladroitement menées peuvent aliéner les talents que les gouvernements souhaitent recruter, minant la confiance et générant des coûts culturels et opérationnels durables ».
La dernière couche vise à influencer la perception qu’ont les hackers occidentaux des menaces et de la coopération en renseignement. En présentant ces divulgations comme du hacktivisme, une force cherche à brouiller la communauté hacker à l’égard des collaborations gouvernementales. Il est trop tôt pour dire s’il s’agit d’une erreur des Five Eyes ou d’une manœuvre adverse, mais la sophistication exclut un hacktivisme authentique. L’absence de récit d’intrusion peut s’expliquer par des règles strictes de sécurité opérationnelle. Les pseudonymes intouchables pourraient être de nouveaux acteurs, mais combinés à une notification officielle des victimes et une analyse de qualité renseignement, ils traduisent un professionnalisme rare chez les hacktivistes.
Une relation en péril
La filière actuelle qui transforme des hackers adolescents curieux en consultants puis en leaders cyber est un avantage stratégique occidental face aux acteurs étatiques hostiles. Les insurgés d’aujourd’hui sont les défenseurs de demain. Les opérations d’influence sapant la confiance entre agences de renseignement et communauté hacker risquent de détourner ces talents vers d’autres secteurs ou même la cybercriminalité. Sans cette filière, l’Occident perd son atout majeur.
Si la Russie et la Chine forment des hackers étatiques par académie ou conscription, ils peinent à reproduire la culture créative et intuitive née au sein des communautés underground. L’avantage cyber occidental ne découle pas seulement de l’éducation formelle, mais de cette autodidaxie précoce qui forge l’intuition et la créativité que ne génèrent pas les cursus institutionnels. Des recherches organisationnelles indiquent que les programmes étatiques fournissent des techniciens compétents mais ne peuvent imiter cet esprit iconoclaste qui révolutionne la recherche en sécurité, pousse à défier l’autorité, remettre en cause les certitudes et inventer des vecteurs d’attaque inconnus des programmes scolaires.
Pendant plus d’une décennie, le gouvernement américain et les agences des Five Eyes ont œuvré à cultiver les talents dans les espaces où ces derniers affluent et où se forment les normes de divulgation responsable et de service public, notamment les conférences hacker comme DEF CON et les publications underground comme Phrack. Lors de DEF CON 20 en 2012, le général Keith B. Alexander, alors chef de Cyber Command et de la NSA, avait souligné la responsabilité partagée entre les gouvernements et la communauté hacker pour la sécurité nationale. Plus récemment, Paul Nakasone, ancien directeur de la NSA, s’est exprimé sur scène à DEF CON avec Jeff Moss, fondateur de l’événement. La confiance mutuelle et la transparence actuelles ont mis des années à s’établir. DEF CON a bien évolué depuis les concours « repérer les agents fédéraux » qui animaient autrefois ses rassemblements.
Si une agence des Five Eyes a utilisé Phrack pour diffuser la fuite APT Down, cela revient à une auto-mutilation. Si, au contraire, il s’agit d’une opération adverse imitant une manœuvre des Five Eyes, la protection des espaces hacker via des relations transparentes et formalisées doit devenir une politique officielle.
Que faire maintenant ?
Les États-Unis et leurs alliés doivent préserver les espaces où s’épanouissent les compétences hacker – recherche de vulnérabilités, compétitions, e-zines, conférences – et garantir la liberté de publication, un chiffrement inviolable, ainsi que la libre diffusion de codes d’exploitation. Les défenseurs cyber doivent exploiter les données divulguées par APT Down pour améliorer la détection de Kimsuky, tout en demeurant prudents face au récit associé.
Les agences de renseignement du Five Eyes doivent instaurer des protocoles formels de liaison avec les conférences underground et les publications – des relations transparentes pour préserver la confiance tout en facilitant le partage d’informations. La NSA et la Australian Signals Directorate ont une responsabilité particulière, compte tenu de leur présence à DEF CON et BSides Canberra où Phrack 72 a été distribué. Tous les membres du Five Eyes bénéficient cependant de cette filière cyber et devraient coordonner leurs protocoles. Lorsque des produits de renseignement sont diffusés dans des contextes culturels, la notification devrait être systématique. Les comités du renseignement des Chambres du Congrès américain doivent exiger des rapports réguliers sur toute opération d’influence ciblant ces espaces culturels et mettre en place des mécanismes de contrôle pour s’assurer que ces activités, même défensives, ne sapent pas la confiance fondatrice de la filière.
La communauté du renseignement américaine devrait élaborer une doctrine claire distinguant outreach légitime et manipulation. Soutenir la communauté hacker signifie apporter des connaissances techniques, créer des parcours d’emploi et respecter ses normes culturelles. Exploiter cette communauté consiste à y insérer clandestinement des produits de renseignement ou à manipuler sans transparence les discours. Des lignes directrices formelles préciseraient quelles activités nécessitent une divulgation, protégeant ainsi à la fois la confiance communautaire et les intérêts du renseignement.
Les chercheurs en sécurité, organisateurs de conférences et éditeurs de publications – gardiens de la culture hacker – doivent exercer une vigilance accrue face aux contributions anormales. Exposer les opérations d’influence manifestes comporte peu de risques, puisque la suivante sera sans doute plus subtile.
Si la communauté hacker perd confiance dans les lieux où s’apprend cet art, la filière transformant les adolescents curieux en défenseurs de demain se délitera. Phrack, DEF CON et l’ensemble de la scène hacker underground ne sont pas de simples artefacts culturels : ce sont des atouts stratégiques. Les protéger des manipulations, qu’elles viennent d’amis ou d’ennemis, est une impérative de sécurité nationale.
Andrew Horton est directeur technique et cofondateur de Threat Canary, une plateforme cyber de nouvelle génération alimentée par l’intelligence artificielle. Il a piloté des transformations en cybersécurité pour des banques et des organismes publics, a créé les outils open-source WhatWeb et URLCrazy (intégrés à Kali Linux). Ses travaux sont intégrés dans des méthodologies de sécurité, dont le Guide de Test OWASP, le Penetration Testing Execution Standard, des ouvrages académiques, et il intervient auprès de think tanks sur les stratégies cyber, l’intelligence artificielle et la souveraineté numérique.