Cette année a déjà marqué un record pour les vols de crypto-monnaies liés à la Corée du Nord. À quelques mois de la fin du calendrier, des pirates informatiques soupçonnés d’être liés à Pyongyang ont déjà volé plus de 2 milliards de dollars d’actifs numériques. Ces chiffres proviennent d’une analyse récente des flux de blockchain, des déclarations des forces de l’ordre et des entreprises de suivi de la blockchain.
Un changement frappant dans leur approche est qu’ils ne se concentrent plus uniquement sur les grandes bourses. De plus en plus, les particuliers, en particulier les détenteurs de crypto-monnaies utilisant des portefeuilles, des plateformes DeFi ou des échanges moins connus, deviennent des cibles. La stratégie semble consister à multiplier les attaques plutôt qu’à s’appuyer sur un ou deux gros coups. Ces gains s’inscrivent dans le cadre d’inquiétudes plus larges concernant l’utilisation de la cybercriminalité parrainée par l’État pour financer des programmes de missiles, nucléaires et d’autres programmes d’armement.
Historiquement, bon nombre des piratages les plus médiatisés impliquaient des violations de grandes bourses ou de ponts où les pirates se sont emparés de centaines de millions. Mais des enquêtes récentes montrent une approche plus nuancée. Plutôt que des piratages rapides comme l’éclair, certaines de ces opérations reposent désormais sur l’ingénierie sociale, de fausses offres de recrutement et des compromissions basées sur le cloud.
Par exemple, les pirates se sont fait passer pour des recruteurs d’emploi ou des contacts d’applications de messagerie, attirant les développeurs de cryptomonnaies et les propriétaires de portefeuilles pour qu’ils donnent accès. Dans un autre, un environnement cloud a été exploité, donnant aux attaquants l’accès à l’infrastructure de portefeuille cryptographique d’une entreprise et permettant de siphonner des fonds sans déclencher d’alarmes évidentes. Ces techniques rendent la détection plus difficile et les victimes moins évidentes.
Ce qui ressort, c’est que le motif financier est clair. Les crypto-monnaies sont attrayantes pour les régimes sanctionnés car elles sont mondiales, difficiles à tracer et peuvent être converties en monnaie fiduciaire ou utilisées pour financer des biens et des services sur le marché noir. Pour la Corée du Nord, les cybervols de ce type seraient l’un des rares moyens fiables de générer des devises fortes sous de lourdes sanctions.
L’impact pour les victimes et les marchés
Pour les détenteurs individuels de crypto-monnaies, le danger est devenu plus immédiat. Si les attaquants passent des violations au niveau de la bourse aux compromissions de portefeuilles personnels et de services cloud, tout utilisateur disposant de participations importantes est en danger, et pas seulement les grandes institutions. Une clé privée volée, des informations d’identification cloud compromises ou une connexion de développeur conçue socialement peut entraîner des semaines ou des mois de ponction de fonds par petits incréments.
Du côté du marché, les vols importants agissent comme des ondes de choc. Lorsque des milliards sont volés et que les marchés s’ajustent, le sentiment des investisseurs en prend un coup. Les bourses renforcent les contrôles, les régulateurs posent des questions plus difficiles et certaines plateformes gèlent les retraits ou augmentent les frais. Dans de nombreux cas, les retombées arrivent bien après le vol initial. Il y a aussi un coût en termes de réputation : lorsque des pirates informatiques liés à un acteur étatique commettent le vol, cela soulève des questions plus larges sur la résilience de l’écosystème crypto.
Et pour les gouvernements et les organisations multilatérales, les vols posent de nouveaux défis en matière d’application de la loi. C’est une chose d’annoncer publiquement le vol, et c’en est une autre de retrouver les avoirs, de les geler, de récupérer de la valeur et de pénaliser les acteurs qui se cachent derrière. Lorsque les attaquants sont soutenus par un régime peu respectueux des normes internationales, le défi devient encore plus complexe.
Pourquoi c’est important au-delà des chiffres
Il est facile d’être impressionné par l’ampleur du butin, car 2 milliards de dollars représentent une somme d’argent importante. Mais la vraie histoire réside dans la façon dont les tactiques ont évolué et ce que cela signifie pour tous ceux qui utilisent ou détiennent des crypto-monnaies maintenant.
Le fait que les attaquants ciblent des individus, exploitent des systèmes cloud et utilisent l’ingénierie sociale signifie que l’enveloppe du risque s’est élargie. Il ne s’agit plus seulement de grands échanges. Quelqu’un avec un portefeuille de grande valeur, une exposition à la DeFi ou une configuration multi-comptes pourrait être en première ligne.
Cela montre également que la défense des cryptomonnaies n’est pas seulement une question de « sécurité d’échange », mais un jeu beaucoup plus large : les informations d’identification du cloud, les identités des développeurs, les pratiques de gestion des portefeuilles, l’authentification multifactorielle, la sécurité des terminaux et la cyberhygiène générale sont tous importants. Les frontières entre la cybercriminalité traditionnelle, le piratage d’États-nations, l’exploitation du travail à distance et la criminalité liée aux cryptomonnaies sont de plus en plus floues.
Il est important de noter qu’il nous rappelle que lorsque des fonds illicites entrent dans le système à grande échelle, ils disparaissent rarement dans l’éther. Ils alimentent des dynamiques géopolitiques plus larges, des chaînes d’approvisionnement illégales et parfois même des programmes d’armement. Pour les utilisateurs ordinaires, cela signifie qu’un portefeuille volé ne se contente pas d’affecter votre solde, mais qu’il peut alimenter un problème plus important auquel vous n’avez jamais souscrit au service d’assistance.
Ce que vous pouvez faire si vous êtes dans la crypto
Si vous détenez des crypto-monnaies ou utilisez des services de portefeuille ou des plateformes DeFi, vous devez prendre immédiatement certaines mesures. Tout d’abord, supposez que vous serez ciblé. Ce changement d’état d’esprit contribue à un meilleur comportement. Utilisez des mots de passe forts et uniques pour les comptes, activez l’authentification multifacteur partout et stockez les clés ou les phrases de démarrage hors ligne dans la mesure du possible.
Soyez particulièrement prudent lorsqu’il s’agit de services cloud ou d’intégrations de portefeuilles. Si vous utilisez un portefeuille cloud, un outil de développement ou un portefeuille connecté à une plateforme d’échange, traitez ces informations d’identification comme étant de grande valeur. Gardez les logiciels à jour, minimisez les autorisations et utilisez les journaux d’audit lorsqu’ils sont disponibles.
Évitez de vous engager avec des « offres d’emploi » non sollicitées qui mentionnent le développement de cryptomonnaies ou de portefeuilles, à moins que vous ne vérifiiez l’identité de l’offre et que vous ne la traitiez comme tout autre processus de recrutement à haut risque. L’ingénierie sociale est plus courante qu’on ne le pense.
Enfin, surveillez les adresses de votre portefeuille et l’historique de vos transactions. Utilisez des outils ou des services d’analyse de chaîne qui vous avertissent si des jetons sont déplacés. Adoptez l’état d’esprit « Je veux voir chaque transaction », car une fois que les attaquants commencent à transférer des fonds, ils les répartissent souvent entre des dizaines d’adresses, de chaînes et de juridictions. Plus tôt vous détectez quelque chose d’inhabituel, meilleures sont vos chances d’arrêter une perte supplémentaire.