Inside Job : Comment Lazarus a volé 1,5 milliard en crypto

L’un des plus gros braquages de l’histoire crypto. Pas en mode hacker en hoodie dans une cave, mais avec une attaque technique chirurgicale. Voici comment le groupe Lazarus a frappé.

Le contexte : une cible en or

Début 2025, la plateforme Bybit, via son fournisseur de portefeuilles froids SafeWallet, se fait siphonner 1,5 milliard de dollars en Ethereum. Derrière ce casse numérique ? Le tristement célèbre groupe nord-coréen Lazarus.

Pourquoi ? Parce qu’un portefeuille froid mal sécurisé, c’est comme une banque ouverte avec le code sur un post-it. Sauf que le post-it, ici, c'était une backdoor bien placée dans la chaîne de développement.

Spoiler : ce n’était pas un bug. C’était un plan.

Étape 1 : Infiltration de SafeWallet

Lazarus a visé la chaîne d’approvisionnement. En infectant la machine d’un développeur chez SafeWallet, ils ont injecté du code malveillant dans l’infrastructure logicielle du portefeuille froid. Classique, propre, efficace.

Une fois le système compromis, les attaquants ont pu proposer une transaction camouflée comme une opération de maintenance. La faille ? Le validateur humain a cliqué un peu trop vite. Résultat : des millions transférés.

Étape 2 : Évasion et blanchiment express

Une fois les fonds volés, le vrai challenge commence : les faire disparaître. Lazarus a dispatché l’Ethereum sur des milliers d’adresses à travers plusieurs blockchains. Mixers, swaps, conversions vers Bitcoin... toute la panoplie.

Ils ont utilisé des bridges inter-blockchain, des plateformes décentralisées, et ont même converti une partie des fonds en monnaie fiduciaire. Une opération digne d’un film. Sauf que là, c’est réel.

Pourquoi ça marche (encore) ?

Parce que même en 2025, les chaînes d’approvisionnement logicielles restent fragiles. Parce que les humains font des erreurs. Et parce que les outils de traçage blockchain ont encore du mal à suivre quand ça part dans tous les sens.

Et surtout : parce que ce groupe sait ce qu’il fait. Lazarus n’en est pas à son coup d’essai. Ils mélangent hacking, ingénierie sociale, finance décentralisée… et géopolitique.

Comment se protéger (un peu mieux) ?

- Sécuriser la chaîne d’approvisionnement logicielle : audits, vérification des signatures, revues de code croisées.

- Former les équipes humaines à repérer les signaux faibles et à ne pas valider aveuglément.

- Monitorer les comportements anormaux dans les transactions, même internes.

Conclusion : Pas juste une attaque, une leçon

Cette opération montre que la sécurité, ce n’est pas juste un pare-feu et une clé USB dans un coffre. C’est un processus, une culture, une vigilance constante.

Et tant qu’on sous-estimera ce genre de menace, Lazarus et les autres continueront de jouer aux fantômes dans nos systèmes.