La Fondation Ethereum alerte sur la présence d’agents nord-coréens dans 53 projets crypto

La menace n’est plus théorique. La Fondation Ethereum affirme avoir aidé à identifier environ 100 travailleurs informatiques liés à la Corée du Nord dans 53 projets crypto en seulement six mois, via son programme ETH Rangers. Ce chiffre frappe, car il montre que l’infiltration ne se limite plus aux piratages spectaculaires. Elle passe aussi par des profils embauchés, intégrés, puis laissés au plus près des accès sensibles.

Une alerte qui dépasse le simple fait divers

Le signal envoyé par la Fondation Ethereum est clair : le risque vient aussi de l’intérieur. Dans son bilan publié le 16 avril, elle explique que le Ketman Project, soutenu par le programme ETH Rangers, a contacté environ 53 projets et identifié autour de 100 opérateurs DPRK actifs dans des organisations Web3. Ce n’est plus un angle mort. C’est un problème d’écosystème.

Ce détail change la lecture du sujet. Pendant longtemps, l’industrie crypto a surtout regardé les failles de smart contracts, les clés compromises et les bridges mal sécurisés. Or ici, la porte d’entrée est humaine. On infiltre une équipe, on gagne sa confiance, puis on se rapproche des permissions critiques. La ligne de front quitte le code pur pour remonter vers le recrutement, l’opérationnel et la gouvernance.

Le plus gênant pour le secteur est là. Cette mécanique paraît banale au départ. Un freelance crédible, un développeur compétent, un faux recruteur, une identité bien polie. Puis l’affaire change d’échelle. Chainalysis note d’ailleurs que la Corée du Nord obtient désormais des vols plus massifs avec moins d’incidents, notamment en intégrant des travailleurs IT dans des entreprises crypto ou en recourant à des usurpations sophistiquées.

Le vrai danger est humain avant d’être technique

Les chiffres de 2025 donnent le décor. Selon Chainalysis, plus de 3,4 milliards de dollars ont été volés dans l’écosystème crypto sur l’année, dont 2,02 milliards attribués à des acteurs nord-coréens, en hausse de 51 % sur un an. Surtout, ces groupes auraient représenté 76 % des compromissions de services recensées. On ne parle donc plus d’un acteur parmi d’autres. On parle du principal risque étatique du secteur.

Le modèle est connu, mais il gagne en finesse. Le Trésor américain explique que ces équipes s’appuient sur de faux documents, des identités volées et des personas fabriqués pour obtenir des postes réels, pendant que le régime récupère l’essentiel des revenus générés. Certaines opérations vont plus loin et introduisent aussi des malwares ou servent à exfiltrer des données sensibles. La fiche de paie devient alors un levier d’accès.

L’affaire Drift a ravivé cette peur au mauvais moment. Chainalysis estime que le hack de 285 millions de dollars subi par le protocole crypto Solana le 1er avril 2026 présente des signaux compatibles avec des acteurs DPRK, après une opération préparée durant des mois et appuyée par de l’ingénierie sociale. Même avec une attribution encore en cours, le message est brutal : la compromission humaine peut précéder la casse financière de très loin.