La Corée du Nord est-elle à l'origine de la cyberattaque mondiale qui a infecté des centaines de milliers d'ordinateurs début mai?
Les experts l'évoquent de plus en plus depuis que certains d'entre eux ont estimé que le "ransomware" utilisé (rançongiciel, code malveillant) présentait des similarités avec d'autres attaques du groupe de pirates informatiques Lazarus, lié à la Corée du Nord, y compris à l'attaque en 2014 des studios de cinéma Sony (T:6758) Pictures.
L'éditeur américain de logiciels anti-virus Symantec a jugé cette semaine "hautement probable" que les attaques soient liées à Lazarus. Et la société de cybersécurité israélienne Intezer a émis des conclusions similaires la semaine dernière.
La société russe Kaspersky Labs et d'autres spécialistes ont aussi montré du doigt la Corée du Nord, bien qu'aucune preuve n'ait été apportée - les pirates peuvent soit cacher soit parodier leur identité.
Pyongyang, par son émissaire à l'ONU, a démenti ces allégations.
Les experts de Symantec nuancent également que la cyberattaque WannaCry "ne présente pas les caractéristiques d'une attaque par un Etat mais relève davantage du cybercrime".
- Prêts à tout -
"Je verrai bien la Corée du Nord mener (cette attaque) pour obtenir de l'argent", explique Paul Benda, qui a travaillé pour le Pentagone et le ministère de la Sécurité intérieure avant de devenir le responsable technologies du cabinet de conseil Global Security and Innovative Strategies. "Avec les sanctions, ils ont besoin d'espèces sonnantes et trébuchantes".
"Bien que des années de sanctions aient isolé le régime reclus du marché financier mondial, la Corée du Nord cherche sans doute à renflouer ses coffres par le biais d'une vaste campagne de cybercrime", abonde l'expert de FireEye Luke McNamara sur le blog Lawfare.
Paradoxalement, les mesures prises pour faire pression et convaincre la Corée du Nord d'abandonner son programme d'armement nucléaire pourraient l'encourager à mener d'autres attaques informatiques: "Il ne reste pas beaucoup d'autres options que Pyongyang puisse développer aussi rapidement que le cybercrime pour compenser sa perte de revenus", estime M. McNamara.
La cyberattaque a infecté quelque 300.000 ordinateurs dans 150 pays, perturbant le fonctionnement de plusieurs administrations ou secteurs économiques. Les pirates ont développé ce code pour exploiter une faille révélée dans des documents de l'agence américaine d'interception des communications NSA.
D'autres experts jugent toutefois prématuré de s'en prendre au Nord et pointent des incohérences dans le lien établi avec le régime communiste.
- Incohérences -
La cyberattaque ne semble pas très sophistiquée. Des spécialistes ont été capables d'arrêter sa propagation en achetant un nom de domaine pour 10 dollars, qui a permis d'activer un "court-circuit".
Et plusieurs estimations ont montré que le "rançongiciel" avait permis de lever la somme dérisoire de 116.000 dollars plus d'une semaine après la fermeture des ordinateurs infectés.
WannaCry était "simplement fonctionnel" et s'est répandu surtout parce que beaucoup n'avaient pas mis à jour leur sécurité et se sont trouvés fragilisés, estime James Scott, professeur à l'Institute for Critical Infrastructure Technology.
Lazarus, à l'inverse, est "un groupe de cyber-mercenaires sophistiqués", explique à l'AFP M. Scott. "Ils utilisent des pièges élaborés, des techniques d'obscurcissement qui éliminent toute trace numérique. Celui-là n'a rien de tout cela".
Il est plus probable que la cyberattaque géante ait été menée par des pirates de l'armée chinoise qui font du "travail au noir" à leurs heures perdues, estime-t-il.
James Scott, qui conteste l'idée largement répandue que Lazarus soit nord-coréen, affirme qu'il est possible que Pyongyang ait sous-traité son cybercrime à des pirates chinois.
Les experts de la société Cybereason, basée à Boston, doutent aussi du rôle de la Corée du Nord.
"Rien dans les récentes attaques informatiques de la Corée Nord, au sein de dans armée et dans leur diplomatie ne correspond à ce moule", ont-ils estimé.
John Arquilla, analyste en défense à la Naval Postgraduate School, rappelle qu'en dépit des similarités entre les récentes attaques, les scientifiques informatiques mettent souvent du temps à identifier la véritable source d'une attaque.
"Nous n'en sommes pas au niveau du CSI", explique-t-il, en référence à une célèbre émission télévisée de scientifiques du crime.
"Nous devons faire très attention à une potentielle supercherie. Je ne me précipiterais pas dans des mesures économiques ou militaires coercitives sur la base d'éléments qui peuvent être ou ne pas être la vérité", fait valoir M. Arquilla.