09 La Corée du Nord, terreur des cryptos

En février 2025, la bourse de cryptomonnaies Bybit a perdu 1,46 milliard de dollars américains à la suite d'une cyberattaque menée par le groupe Lazarus nord-coréen. Le cours du Bitcoin s'est effondré de cinq pour cent. Les auteurs appartenaient au groupe Lazarus, une branche du service de renseignement nord-coréen. Le pays tire un tiers de ses revenus en devises de ce type d'attaques, financant ainsi ses programmes nucléaire et de missiles. Les méthodes de piratage du groupe deviennent de plus en plus sophistiquées et sont désormais soutenues par l'IA.

Pour les geeks :

La bourse de cryptomonnaies Bybit, basée à Dubaï et deuxième plus grande au monde avec plus de 60 millions d'utilisateurs, a perdu 1,46 milliard de dollars américains en février de cette année à la suite d'une cyberattaque. Le cours du Bitcoin a chuté d'environ cinq pour cent après ce piratage. Les enquêteurs spécialisés dans la blockchain ont identifié le groupe Lazarus comme responsable.

Même la Corée du Nord, pays pauvre, offre des opportunités aux ingénieurs, scientifiques et informaticiens compétents. Les diplômés de la faculté d'automatisation de l'université Kim Il-sung, à Pyongyang, sont souvent recrutés par le Bureau 121, la sous-division de cyberguerre du service de renseignement nord-coréen. Les nouveaux employés sont soumis à une sélection rigoureuse et sont parfois recrutés dès l'âge de 17 ans. Les salariés du Bureau font partie des mieux payés du pays. Ils reçoivent leur formation pratique et continue en Chine et en Russie. Déguisés en employés de sociétés commerciales nord-coréennes, certains sont également stationnés à l'étranger, tandis que leurs familles bénéficient de privilèges dans le pays.

Entre 2017 et 2023, les cyberattaques nord-coréennes ont permis de voler environ trois milliards de dollars américains dans le monde, principalement grâce au groupe Lazarus, l'unité opérationnelle la plus connue du Bureau 121. L'année dernière (2024), le groupe a dérobé 1,34 milliard de dollars américains au moyen de 47 piratages. Le plus gros incident a coûté 4 500 bitcoins à la bourse japonaise DMM Bitcoin, qui a dû cesser ses activités par la suite. L'objectif de ces actions est de financer les programmes nucléaire et de missiles nord-coréens. La cybercriminalité rapporte au pays un tiers de ses revenus en devises.

Les tactiques, techniques et procédures (TTP) typiques incluent l'ingénierie sociale, le phishing, de fausses campagnes de recrutement, la compromission de développeurs ou d'administrateurs, le détournement de session, l'injection de code, et autres. Le butin est converti de manière extrêmement rapide en actifs sûrs ou directement transféré vers un mélangeur de cryptomonnaies afin de brouiller les pistes. Dernièrement, les Nord-Coréens utilisent l'analyse de code assistée par IA. Les attaques deviennent de plus en plus lucratives, les compétences s'améliorent et l'équipement probablement aussi. Tout porte à croire à une collaboration avec la Chine et la Russie.

Observer comment la nouvelle autorité de régulation boursière américaine laisse des produits crypto non vérifiés entrer sur le marché financier sous prétexte d'"innovation" est, dans ce contexte, préoccupant. Avec le savoir-faire, le réseau et la méthodologie ciblée des cybercombattants nord-coréens, cela ouvre une brèche pour des attaques d'une ampleur gigantesque – avec des conséquences potentiellement dévastatrices pour la stabilité financière mondiale.