Comment les hackers nord-coréens poursuivent-ils sans relâche l’industrie des cryptomonnaies ?
TechFlow SélectionTechFlow Sélection
Comment les hackers nord-coréens poursuivent-ils sans relâche l’industrie des cryptomonnaies ?
La Corée du Nord observera longtemps le secteur de la cryptographie, non pas parce qu’elle s’intéresse particulièrement à ces nouveaux concepts, mais parce que ce secteur s’avère effectivement très utile pour elle.
Dédié à des analyses Web3 approfondiesRédaction : Liu Honglin
Au cours des six derniers mois, le secteur des cryptomonnaies a connu une période de grande morosité, comparable à une plage après le retrait de la marée.
Il y a encore des gens, et les projets existent toujours, mais l’atmosphère d’autrefois — où de nouveaux projets surgissaient tous les deux ou trois jours avec leurs récits séduisants, où les annonces de levées de fonds étaient omniprésentes, et où les groupes de discussion regorgeaient de messages du type « Je monte à bord ! » — s’est nettement atténuée.
Les équipes qui sont restées parlent certes, en public, de vision stratégique et d’horizon à long terme, mais, en privé, leurs conversations portent bien plus souvent sur des préoccupations très concrètes : combien reste-t-il sur le compte bancaire ? Comment réduire encore davantage les coûts ? Comment maintenir l’équipe unie pour traverser l’hiver rigoureux du marché baissier ?
Or, ce qui frappe le plus durement les projets en période de marché baissier, ce n’est pas seulement la chute des cours des jetons ni la difficulté accrue à lever des fonds ; c’est parfois aussi le fait qu’une situation déjà précaire se voie aggravée par un événement dramatique, comme un vol d’actifs.
Un vol survenu en période haussière est douloureux ; un vol survenu en période baissière peut être carrément mortel.
I. Le piratage de Drift : 285 millions de dollars américains volés
Le projet victime de ce vol est Drift, l’une des plus importantes attaques DeFi survenues depuis le début de l’année 2026, avec un montant estimé à environ 285 millions de dollars américains.
Pour ceux familiers de l’écosystème Solana, ce nom ne leur est pas inconnu. Il s’agit d’une plateforme de trading décentralisée spécialisée dans les contrats perpétuels, couvrant également les marchés au comptant, le prêt-emprunt et les coffres-forts (« vaults »). Selon ses propres documents officiels, Drift se présente comme l’une des plus grandes plateformes décentralisées open source dédiées aux contrats perpétuels sur Solana.
Selon les informations publiques disponibles, l’attaque s’est produite le 1er avril 2026, mais elle aurait pu être préparée durant une période s’étalant sur six mois entiers. À l’automne 2025, un groupe se présentant comme une équipe de trading quantitatif a pris contact avec des membres de l’équipe Drift lors d’une importante conférence sectorielle. Par la suite, ils ont créé un groupe de discussion, organisé des réunions, échangé sur des stratégies et abordé les modalités d’intégration technique. Tout semblait parfaitement normal. Ce qui était encore plus décisif, c’est que ces interlocuteurs ne se sont pas contentés de parler : ils ont effectivement déposé plus d’un million de dollars américains de leurs propres fonds dans un coffre-fort de l’écosystème. Personne n’aurait pu imaginer qu’il s’agissait là d’une stratégie patiente destinée à capturer une proie de grande valeur.
Si l’on considère uniquement l’incident impliquant Drift, celui-ci ne serait qu’un nouvel exemple de faille de sécurité touchant un projet majeur. Toutefois, replacé dans le contexte des grandes affaires ayant secoué le secteur ces dernières années, cet événement prend une tout autre dimension.
Nombre de ces affaires, après avoir suivi des détours complexes, ramènent immanquablement à la Corée du Nord.
II. Les exploits des pirates nord-coréens
En février 2025, le FBI a publiquement déclaré que le vol d’environ 1,5 milliard de dollars américains d’actifs virtuels sur Bybit avait été perpétré par la Corée du Nord, dans le cadre de ce que cette dernière appelle l’opération « TraderTraitor ».
À la fin de l’année 2025, Chainalysis a publié ses données annuelles indiquant que les pirates liés à la Corée du Nord avaient dérobé, en 2025, au moins 2,02 milliards de dollars américains d’actifs cryptographiques, soit une hausse de 51 % par rapport à l’année précédente. Le montant cumulé depuis le début de leurs activités atteindrait ainsi un minimum historique de 6,75 milliards de dollars américains. Un trait particulièrement frappant ressort de ces chiffres : le nombre d’attaques menées par la Corée du Nord diminue, tandis que le montant moyen volé par opération ne cesse d’augmenter.
La Corée du Nord n’est pas apparue subitement sur la scène internationale à cause des incidents survenus récemment chez Bybit ou Drift. Elle est présente depuis plusieurs années, et son influence dans le secteur des cryptomonnaies ne s’affaiblit pas : elle s’intensifie au contraire sans cesse.
En remontant plus loin dans le temps, on constate que les vols de cryptomonnaies attribués à la Corée du Nord sont monnaie courante.
Selon un rapport de Reuters daté de 2024, citant des documents d’experts des Nations unies chargés des sanctions, celles-ci auraient enquêté sur 97 cyberattaques présumées menées par la Corée du Nord contre des sociétés de cryptomonnaies entre 2017 et 2024, pour un montant total estimé à environ 3,6 milliards de dollars américains.
En novembre 2024, la police sud-coréenne a également rendu publique sa conclusion selon laquelle un vol d’environ 42 millions de dollars américains d’Ethereum, commis en 2019, était lié à une organisation de pirates informatiques affiliée au système de renseignement militaire nord-coréen.
Un détail supplémentaire concernant l’incident impliquant Drift mérite d’être souligné : avec le soutien d’équipes de sécurité spécialisées, il est désormais établi que cette attaque, tout comme celle visant Radiant Capital en octobre 2024, est attribuée à la Corée du Nord.
Considérés ensemble, ces cas ne constituent donc pas une série d’incidents isolés, mais plutôt des manifestations répétées d’une même méthode, appliquée systématiquement, sur différents projets, à différentes périodes et dans divers contextes.
III. Le système de prédation nord-coréen
À ce stade, ce que cet article entend véritablement mettre en lumière n’est pas tant « combien la Corée du Nord a-t-elle volé récemment », mais plutôt un autre phénomène, bien plus préoccupant pour les acteurs du secteur : ces dernières années, les discussions autour des cryptomonnaies se sont concentrées principalement sur Hong Kong, les États-Unis ou Dubaï, sur les licences, les ETF, les monnaies stables, les blockchains publiques, les paiements, les actifs réels tokenisés (RWA) ou la garde d’actifs — autant de récits dominants et visibles.
Pourtant, une réalité plus tangible et plus implacable émerge : c’est précisément la Corée du Nord qui, de façon continue, systématique et hautement organisée, s’approprie chaque année des sommes substantielles d’argent réel dans ce secteur.
Lorsque beaucoup évoquent la présence de la Corée du Nord dans le domaine des cryptomonnaies, leur première réaction consiste généralement à associer ce pays à quelques clichés bien ancrés : organisations de pirates informatiques, vols de cryptomonnaies, blanchiment d’argent. Ces termes ne sont certes pas erronés, mais ils sous-estiment probablement aujourd’hui l’ampleur réelle de ses activités.
Car ce que fait la Corée du Nord dépasse largement le simple piratage de quelques projets. Plus exactement, elle a progressivement mis au point, autour de l’industrie des cryptomonnaies, un véritable système intégré de prédation.
Premier niveau : Vols massifs
Attaquer des bourses, des ponts interchaînes (« bridges »), des portefeuilles ou des protocoles afin de s’emparer directement des actifs. L’exemple le plus flagrant est celui de Bybit, dont le vol de 1,5 milliard de dollars américains ne relève plus d’un simple incident sectoriel.
Le rapport de Chainalysis pour 2025 précise également que les attaques attribuées à la Corée du Nord représentaient, cette année-là, 76 % de l’ensemble des vols survenus chez des plateformes de services. Par ailleurs, les plus grosses affaires concentraient la majeure partie des pertes. Cela signifie que la Corée du Nord n’agit pas comme un « petit voleur » lançant des filets larges et peu ciblés, mais qu’elle mobilise de façon croissante ses ressources pour sélectionner soigneusement ses cibles et capturer des proies de grande valeur.
Deuxième niveau : Infiltration par usurpation d’identité
S’approcher des équipes projet, tisser des relations de confiance et se faire passer pour un acteur parfaitement légitime au sein du secteur. L’incident impliquant Drift illustre parfaitement ce scénario. Les individus concernés n’étaient pas des comptes anonymes surgis de nulle part, mais des personnes rencontrées lors d’événements professionnels, avec lesquelles on avait échangé dans des groupes de discussion et évoqué en détail des questions techniques et commerciales.
Le rapport de Reuters mentionne également que les pirates nord-coréens recourent de plus en plus fréquemment à des offres d’emploi fictives pour infiltrer le secteur des cryptomonnaies. Des sites web d’entreprises factices, des tests techniques bidons, des processus d’entretiens simulés : ce qui rend ces méthodes si redoutables, ce n’est pas tant leur originalité, mais le fait qu’elles s’insèrent parfaitement dans les flux de travail réels du secteur.
Troisième niveau : Infiltration à distance
Selon une affaire rendue publique par le ministère américain de la Justice en juin 2025, des techniciens informatiques nord-coréens, agissant à distance et utilisant des identités volées ou falsifiées, ont obtenu des postes à distance dans plus de 100 entreprises américaines. Derrière cette chaîne d’infiltration, on retrouve des sites web trompeurs, des sociétés écrans, des points de transfert informatique et des comptes bancaires dédiés au blanchiment d’argent.
Les fiches de recherche publiées par le FBI indiquent également que certains de ces individus, profitant des privilèges liés à leurs fonctions à distance, ont réussi à dérober des cryptomonnaies d’une valeur supérieure à 900 000 dollars américains auprès de deux entreprises. À ce stade, le risque ne provient plus d’une simple « attaque externe » : il s’agit désormais d’un « intrus installé à l’intérieur même de la maison ». Une fois qu’une personne a pénétré l’organisation, des éléments apparemment anodins — recrutement, équipement informatique, accès aux dépôts de code, processus financiers ou gestion des terminaux — peuvent facilement devenir des vecteurs d’attaques coordonnées et de détournement d’actifs.
Quatrième niveau : Blanchiment et conversion des fonds
Enfin, le dernier niveau concerne les capacités arrières de blanchiment et de traitement des fonds. D’après un rapport de Reuters de 2024 citant des experts des Nations unies chargés des sanctions, la Corée du Nord aurait utilisé des outils de mixage (« mixers ») en mars 2024 pour traiter 147,5 millions de dollars américains d’actifs volés dans le cadre d’affaires antérieures. Ce même rapport précise que, selon les Nations unies, ces cyberattaques visent explicitement à générer des revenus, à contourner les sanctions internationales et à financer ses programmes d’armement.
La Corée du Nord ne se contente pas de « voler puis disparaître » : elle dispose d’un dispositif complet permettant de fractionner, transférer, nettoyer et convertir en espèces les actifs volés.
IV. Pourquoi le secteur des cryptomonnaies ?
Beaucoup de projets sérieux disparaissent après un seul cycle haussier-baissier : leurs équipes se dispersent, leurs produits sont abandonnés et leurs jetons perdent toute valeur. La Corée du Nord, elle, ne connaît pas ce sort. Elle ne lance aucun produit, ne publie aucune feuille de route et ne construit aucune narration de marque. Pourtant, chaque année, elle prélève de façon régulière des fonds dans ce secteur, et ses méthodes ne cessent de se perfectionner.
La Corée du Nord surveille le secteur des cryptomonnaies sur le long terme non pas parce qu’elle éprouve un quelconque intérêt pour ces nouveaux concepts, mais simplement parce qu’il lui convient particulièrement bien.
Premièrement, les fonds sont plus faciles à dérober. Dans le système financier traditionnel, une grande partie de l’argent lui est inaccessible, ou trop coûteuse à atteindre. Banques, systèmes de compensation, régulations transfrontalières, listes de sanctions : chacune de ces couches constitue un obstacle infranchissable. Dans le monde blockchain, en revanche, dès lors qu’un point d’entrée est trouvé, les possibilités de fractionnement, de transfert interchaînes et de redistribution deviennent immensément plus vastes. Une fois que des actifs volés pénètrent dans l’écosystème blockchain, les procédures et les difficultés associées à leur traitement diffèrent radicalement de celles rencontrées dans le système financier traditionnel.
Deuxièmement, les organisations sont plus faciles à infiltrer. Le secteur des cryptomonnaies est par nature mondialisé, délocalisé et peu hiérarchisé. Collaborations, développement, levées de fonds, opérations, intégrations techniques ou market-making s’organisent entièrement via des applications de messagerie, des outils de visioconférence, des plateformes de code, des logiciels de documentation ou des outils de distribution de versions de test. Ce qui semble, au quotidien, une source d’efficacité, constitue, sous un autre angle, une surface d’attaque étendue.
V. Guide pratique à l’attention des professionnels du secteur des cryptomonnaies
Pour de nombreux projets cryptographiques, ce n’est pas une nouvelle lointaine relevant de la géopolitique, mais bien l’un des risques opérationnels les plus concrets auxquels ils sont confrontés aujourd’hui. Il ne s’agit pas d’un simple rappel de sécurité abstrait, mais d’un problème de gestion tout à fait réel.
1. Recrutement et gestion des employés à distance
Le ministère américain de la Justice et le FBI ont déjà décrit très précisément ce risque : des techniciens informatiques liés à la Corée du Nord utilisent des identités volées ou falsifiées pour obtenir des postes à distance au sein d’entreprises américaines, et reçoivent les équipements fournis par ces sociétés via des points de transfert informatique situés sur le territoire américain, avant d’accéder à distance aux réseaux internes. Pour les équipes de démarrage du secteur des cryptomonnaies, tout poste ayant accès aux dépôts de code, à l’environnement de production, aux portefeuilles, aux procédures de déploiement, aux back-ends financiers ou aux données d’authentification ne peut plus se contenter d’une simple évaluation basée sur le CV ou les livrables fournis.
Trois mesures minimales doivent impérativement être mises en œuvre :
Premièrement, la vérification de l’identité doit être croisée : elle ne peut plus se limiter à l’examen d’un profil professionnel sur les réseaux sociaux, d’un entretien vidéo ou d’une simple photo de passeport.
Deuxièmement, les postes sensibles doivent impérativement utiliser des équipements contrôlés, et il ne faut plus tolérer durablement l’utilisation exclusive d’ordinateurs personnels pour traiter des activités critiques.
Troisièmement, les droits d’accès doivent être accordés par défaut selon le principe du moindre privilège, notamment pour les employés en période d’essai, les prestataires externes ou les travailleurs indépendants : il ne faut pas leur accorder d’emblée un accès étendu, puis songer à le restreindre progressivement par la suite.
2. Vérification de l’identité des partenaires
L’un des enseignements les plus importants tirés de l’incident impliquant Drift est que la simple rencontre en personne, des échanges fluides en ligne, des questions techniques pertinentes ou même un investissement réel ne constituent plus, en soi, une garantie de fiabilité.
Une approche plus pragmatique consiste à ne pas se contenter de vérifier les cartes de visite, les sites web institutionnels ou les profils sur les réseaux sociaux, mais à examiner activement les informations d’enregistrement juridique des entreprises, les traces laissées par leurs projets antérieurs, la composition réelle de leurs équipes et les retours d’interlocuteurs communs. Enfin, dans les cas nécessaires, exiger la fourniture de documents institutionnels vérifiables. Plus la relation dure longtemps et plus la collaboration s’approfondit, plus les mesures de contrôle doivent être rigoureuses.
3. Renforcement des audits de sécurité
Pour de nombreuses équipes, lorsqu’on évoque un audit de sécurité, on pense immédiatement à l’audit des contrats intelligents, à la gestion des portefeuilles, à la configuration des signatures multiples (« multisig ») ou à la surveillance en temps réel sur la blockchain. Ces mesures sont certes indispensables, mais elles ne suffisent plus.
Aujourd’hui, il faut surtout porter une attention accrue au « flux de travail humain » : qui peut télécharger des dépôts de code externes ? Qui a accès aux dispositifs liés aux signatures multiples ? Qui peut entrer dans l’environnement de production ? Qui est habilité à valider des paiements ? Et sur quels terminaux sont installés des privilèges critiques ? Beaucoup d’équipes n’ont jamais procédé à un inventaire systématique de ces éléments.
Une démarche concrète consiste à réaliser, au moins une fois par trimestre, un audit des droits d’accès et des terminaux : identifier d’abord les personnes autorisées à manipuler les signatures multiples, à consulter les dépôts de code critiques, à accéder à l’environnement de production ou à valider des paiements, puis isoler et inspecter les équipements correspondants afin d’en évaluer les risques. Drift lui-même, dans ses mises à jour, a insisté sur la nécessité de vérifier les membres de l’équipe, d’auditer les droits d’accès de chacun et de considérer chaque appareil ayant eu un accès aux signatures multiples comme une cible potentielle.
4. Intégrer le budget sécurité comme un coût opérationnel
Pour de nombreuses petites équipes, les premières dépenses sacrifiées sont souvent celles consacrées aux audits, à la gestion des risques, à la conception des processus ou à la gestion des terminaux : elles jugent ces dépenses trop coûteuses, trop lentes ou nuisibles à l’avancement des activités. Or, une caractéristique remarquable des attaques liées à la Corée du Nord ces dernières années est précisément leur volonté d’investir du temps et des ressources importantes afin d’obtenir un retour sur investissement élevé. Pour les acteurs du secteur des cryptomonnaies détenant de vastes actifs clients, cela constitue un signal d’alarme clair et sans équivoque.
L’industrie des cryptomonnaies a aujourd’hui atteint un tel niveau de développement que la question la plus fréquemment posée est : « Qu’a-t-elle réellement changé ? »
Certains répondent qu’elle a transformé les paiements ; d’autres, qu’elle a bouleversé l’émission d’actifs ; d’autres encore, qu’elle a modifié les modes de circulation des capitaux à l’échelle mondiale.
Mais si l’on intègre également la ligne nord-coréenne dans cette réflexion, on découvre qu’elle a déjà changé une chose essentielle : elle a permis à un pays, autrefois fortement bridé dans le système financier traditionnel, de disposer pour la première fois d’un outil fonctionnel sur le long terme, capable de traverser les frontières et de générer des revenus de façon continue.
Seulement, elle l’a fait d’une manière aussi directe qu’indigne.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
