L’ancien patron de Binance dans le viseur de cybercriminels nord-coréens

Changpeng Zhao, figure emblématique du monde crypto et fondateur de Binance, vient de révéler une tentative d’intrusion dans son compte Google. Derrière cette attaque se profilent des groupes de hackers soutenus par des gouvernements, probablement le redoutable collectif nord-coréen Lazarus.

Quand les États deviennent pirates : l’alerte de CZ

Hier, Changpeng Zhao, cofondateur de Binance, a partagé sur X une notification inquiétante de Google. Le message l’informait qu’une tentative de vol de son mot de passe était en cours, orchestrée par des « attaquants soutenus par le gouvernement ». 

Dans sa publication, CZ a immédiatement évoqué le groupe Lazarus, une organisation de hackers nord-coréens tristement célèbre dans l’univers crypto.

Cette alerte n’est pas un cas isolé. Anndy Lian, expert en blockchain et conseiller intergouvernemental, confirme que plusieurs responsables gouvernementaux ont reçu des avertissements similaires. 

« Je connais personnellement un fonctionnaire du gouvernement qui a reçu un message similaire à celui de CZ, lui disant que son compte est détecté par des pirates informatiques soutenus par le gouvernement qui tentent de voler son mot de passe. », explique-t-il. Cependant, Google reste muet sur les détails de ces attaques pour des raisons de sécurité.

Le groupe Lazarus figure au sommet de la liste des suspects. Ce collectif nord-coréen est considéré comme le cerveau derrière les exploits crypto les plus dévastateurs. Le 21 février dernier, ils auraient orchestré le piratage record de Bybit, dérobant 1,4 milliard de dollars, la plus grosse somme jamais volée dans l’industrie. Ces fonds alimenteraient directement les caisses de Pyongyang, selon les services de renseignement américains.

Une menace qui s’intensifie et se diversifie

L’attaque contre le fondateur de Binance s’inscrit dans une tendance alarmante. Les hackers nord-coréens ont intensifié leurs opérations en 2024, volant 1,34 milliard de dollars lors de 47 incidents distincts. Ce montant représente une explosion de 102 % par rapport aux 660 millions volés en 2023, d’après les données de Chainalysis.

Mais leur stratégie évolue. Trois semaines avant cette tentative d’intrusion, CZavait déjà tiré la sonnette d’alarme sur une nouvelle tactique : l’infiltration par l’emploi. 

« Ils se font passer pour des candidats à un emploi dans votre entreprise. Cela leur donne un pied dans la porte, notamment pour des opportunités d’emploi dans les domaines du développement, de la sécurité et de la finance », alertait-il le 18 septembre. 

L’organisation Security Alliance (SEAL) a même compilé un répertoire de 60 agents nord-coréens opérant sous de fausses identités pour infiltrer les plateformes crypto américaines.

Les exemples concrets ne manquent pas. En juin, quatre agents nord-coréens déguisés en développeurs freelance ont réussi à voler 900 000 dollars à plusieurs startups crypto. Coinbase a également été victime d’une violation de données en mai, exposant les informations de moins de 1 % de ses utilisateurs, mais entraînant potentiellement 400 millions de dollars de frais de remboursement.

Face à cette escalade, les experts en cybersécurité appellent à une réponse urgente. Ils recommandent la mise en place de systèmes de gestion de portefeuille à double authentification et une surveillance des menaces par intelligence artificielle en temps réel. 

L’industrie crypto doit désormais composer avec des adversaires disposant de ressources étatiques quasi illimitées. Pendant ce temps, CZ poursuit ses activités avec YZi Labs, qui vient d’annoncer un fonds d’un milliard de dollars pour soutenir les développeurs de la BNB Chain.