Journaliste de Fortune : « Je me suis fait pirater, bien que je sache pertinemment que les pirates nord-coréens sont très actifs. »
TechFlow SélectionTechFlow Sélection
Journaliste de Fortune : « Je me suis fait pirater, bien que je sache pertinemment que les pirates nord-coréens sont très actifs. »
Des pirates nord-coréens ont trompé un journaliste spécialisé dans le domaine de la cryptographie.
Dédié à des analyses Web3 approfondiesPar Ben Weiss, Fortune
Traduction : Luffy, Foresight News
Fin mars, j’ai reçu un message inquiétant de l’administrateur informatique de Fortune. « Un processus expose une vulnérabilité système », écrivait-il. « Il est possible que quelqu’un ait déjà pénétré dans votre ordinateur. Je dois le stopper immédiatement. » J’ai aussitôt paniqué.
Selon les journaux d’activités consultés par le service informatique après coup, un fichier que j’avais téléchargé ce jour-là à 11 h 04 possédait des capacités de frappe-clavier, d’enregistrement d’écran, de vol de mots de passe et d’accès à mes diverses applications.
J’ai immédiatement fermé mon ordinateur portable, quitté mon appartement à Brooklyn et couru vers la station de métro la plus proche. En attendant le métro pour me rendre au bureau, j’ai envoyé un message à mon rédacteur en chef : « Je crois avoir été victime d’une attaque de phishing menée par des pirates nord-coréens… ah ah ! »
Je couvre régulièrement l’actualité nord-coréenne et je sais que ce pays cible spécifiquement les investisseurs américains. Pourtant, jamais je n’aurais imaginé que ces pirates notoires s’intéressent à moi — encore moins que je fasse personnellement l’expérience de leur ruse sophistiquée.
Une impression de supercherie
Depuis des années, cette « monarchie ermite » harcèle sans relâche le secteur de la cryptomonnaie. Frappée de sanctions, la Corée du Nord est exclue du système financier mondial et doit compter sur le vol de cryptomonnaies, orchestré par l’État, pour assurer son fonctionnement.
Selon les données de la société d’analyse blockchain Chainalysis, les pirates liés à la Corée du Nord ont dérobé, rien qu’en 2025, pour 2 milliards de dollars de cryptomonnaies — soit environ 50 % de plus qu’en 2024.
Les hackers nord-coréens disposent d’un répertoire éprouvé de tactiques trompeuses, notamment celle consistant à convaincre des entreprises de les embaucher comme employés informatiques — ou encore celle qui m’a servi de piège.
Le piège avait été tendu mi-mars. L’appât était un message Telegram provenant d’un investisseur de fonds spéculatifs — une application largement utilisée dans le secteur de la cryptomonnaie. Ce dernier, que je ne nommerai pas, avait été une source anonyme pour l’un de mes reportages.
Il m’a demandé si je souhaitais faire la connaissance d’un certain Adam Swick, ancien directeur de la stratégie chez MARA Holdings, une entreprise minière de bitcoins. J’ai répondu par l’affirmative, ajoutant qu’il était toujours très sympathique et digne de confiance. Peu après, on m’a ajouté à un groupe Telegram.
On m’a expliqué que Swick préparait la création d’une nouvelle caisse d’actifs numériques, « avec déjà un important investisseur seed potentiel ». Le projet semblait louche, mais j’ai tout de même décidé d’écouter ce qu’il avait à dire.
Il m’a proposé un appel téléphonique via Telegram. Une semaine plus tard, ma source m’a envoyé un lien apparemment destiné à une réunion Zoom. J’ai cliqué dessus.
L’interface du programme lancé ressemblait beaucoup à celle de Zoom, que j’utilise quotidiennement, mais certains détails de conception étaient suspects, et surtout, aucun son ne sortait. Un message système m’invitait à mettre à jour le logiciel afin de résoudre le problème audio ; parallèlement, Swick m’a écrit : « Il semble que Zoom ne fonctionne pas correctement de votre côté. » J’ai donc cliqué pour télécharger le « correctif ».
Dès que j’ai remarqué que l’URL affichée dans mon navigateur différait de celle envoyée sur Telegram, j’ai immédiatement eu un doute. J’ai alors proposé de transférer la réunion sur Google Meet. « Ça me donne vraiment l’impression d’une arnaque », ai-je écrit dans le groupe à l’adresse de Swick et de ma source.
Swick a persisté : « Pas de souci, j’ai testé moi-même sur mon ordinateur et ça marche parfaitement. »
Je n’ai pas exécuté le script sur mon Mac et j’ai quitté immédiatement la réunion Zoom. « Si vous souhaitez discuter, faisons-le sur Google Meet », ai-je répondu sur Telegram. Ma source m’a aussitôt expulsé du groupe.
Une infection virale en chaîne
En courant vers le service informatique, j’ai envoyé un message à Taylor Monahan, chercheuse en sécurité chevronnée et membre de l’organisation bénévole SEAL 911, qui vient en aide aux victimes de vols de cryptomonnaies. Je lui ai transmis le script téléchargé ainsi que le lien de la réunion vidéo.
« Ce sont bien des pirates nord-coréens », m’a-t-elle répondu quelques secondes plus tard.
Si j’avais exécuté ce script, les pirates auraient pu s’emparer de mes mots de passe, de mon compte Telegram et de toutes mes cryptomonnaies. Par chance, je ne détenais qu’une petite quantité de bitcoins et quelques autres actifs numériques.
Étant donné la nature des cyberattaques, il est difficile, voire impossible, d’identifier avec certitude les auteurs d’un tel acte. Toutefois, dans mon cas, Monahan m’a précisé que le lien, le script et même le faux compte d’Adam Swick convergeaient tous vers la Corée du Nord. Les enquêteurs établissent ce lien grâce à une combinaison d’analyses blockchain et d’autres éléments probants. Deux autres chercheurs en sécurité spécialisés depuis longtemps dans la traque des pirates nord-coréens, à qui j’ai également envoyé le script et le lien, ont confirmé cette conclusion.
« Dis-lui bonjour de ma part, ha ha », a dit Monahan, faisant référence au pirate nord-coréen qui m’avait pris pour cible.
Monahan et d’autres chercheurs en sécurité ont traité des centaines de cas similaires de phishing par faux appels vidéo dans le secteur de la cryptomonnaie. Cette méthode, hautement systématisée, se révèle particulièrement efficace.
Les pirates prennent d’abord le contrôle d’un compte Telegram authentique, puis contactent les contacts figurant dans la liste d’adresses de cet utilisateur. La victime est invitée à rejoindre une réunion vidéo, mais l’audio ne fonctionne jamais correctement. On la pousse alors à exécuter un programme « correctif » censé résoudre le problème audio. Une fois le script lancé, les pirates obtiennent l’accès à ses actifs cryptographiques, à ses mots de passe et à son compte Telegram.
En effet, un rapport publié mercredi par Google indique que ce même groupe de pirates nord-coréens planifie actuellement une campagne d’attaques ciblant de nombreux développeurs de logiciels.
Je ne conduis pas de Lamborghini ni ne figure parmi les millionnaires du bitcoin, mais Monahan m’a expliqué que les pirates nord-coréens ne visent pas uniquement les personnes fortunées. Elle constate, en effet, que de plus en plus de journalistes spécialisés dans la cryptomonnaie deviennent des cibles privilégiées — probablement parce que leurs comptes Telegram regorgent de contacts influents, parmi lesquels se trouvent vraisemblablement de nombreux détenteurs de cryptomonnaies.
À l’instar d’un virus qui suborne les cellules saines, les pirates infectent ces comptes pour ensuite attaquer les contacts qu’ils contiennent. C’est exactement ainsi que j’ai failli tomber dans le piège : pensant converser avec une personne de mon entourage, j’ai baissé ma garde.
« Le faux moi »
Après avoir entièrement reformatté mon ordinateur, changé tous mes mots de passe et remercié chaleureusement l’administrateur informatique, j’ai finalement appelé ma source. Comme prévu, son compte Telegram avait été piraté début mars.
« J’ai beaucoup de contacts dans Telegram, mais je ne les ai sauvegardés ni sur mon téléphone ni sur mon ordinateur », m’a-t-il confié. « Ce qui me blesse le plus, c’est qu’on se serve de mon identité pour tromper les autres. Cette sensation d’être violé est vraiment atroce. »
Pourtant, malgré plusieurs tentatives de contact avec Telegram au cours des trois semaines suivantes, il n’a jamais obtenu de réponse. Un porte-parole de Telegram m’a déclaré dans un communiqué : « Bien que Telegram déploie tous les efforts possibles pour protéger les comptes, aucune plateforme ne peut empêcher totalement les utilisateurs de se faire escroquer. » Il a ajouté que, suite à mon signalement, la plateforme avait gelé le compte de l’investisseur de fonds spéculatifs.
J’ai également contacté le véritable Adam Swick. Depuis début février, des individus usurpent son identité sur Telegram. Cet ancien cadre dirigeant de MARA a reçu d’innombrables messages et appels téléphoniques l’interrogeant sur la raison de ces réunions. À chaque fois, il ne pouvait que présenter ses excuses.
« Mais certaines personnes me répondent : “Eh, pourquoi tu t’excuses ?” », raconte Swick. « Alors je dis : “Je ne sais pas… Je m’excuse au nom du faux moi… Vraiment désolé que cela se soit produit.” »
Swick ignore pourquoi les pirates l’ont choisi comme personnage à imiter, tout comme ma source ignore comment son compte Telegram a été compromis. Toutefois, à la fin de notre conversation, nous avons soudain trouvé une explication plausible.
Parmi les derniers contacts de cet investisseur sur Telegram avant le piratage figurait justement un faux Adam Swick. « J’ai eu une réunion Zoom avec lui, mais l’audio ne fonctionnait pas », m’a confié ma source. « Je me souviens vaguement avoir téléchargé quelque chose à ce moment-là. »
Autrement dit, ma source a très probablement été prise pour cible par le même groupe de pirates. Dès que nous avons compris que son ordinateur avait lui aussi pu être infecté, l’investisseur de fonds spéculatifs a raccroché immédiatement et procédé à la réinitialisation complète de son appareil.
J’ai envoyé un message sur Telegram au faux Adam Swick : « Ce compte est-il contrôlé par des pirates nord-coréens ? »
À ce jour, je n’ai reçu aucune réponse.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@FortuneMagazine
