En janvier 2026, Martin Kuchar, l’un des organisateurs de BTC Prague, a reçu un message sur Telegram. Un contact connu, un compte compromis, un contexte familier : une invitation à rejoindre un appel. Le lien menait à une page visuellement identique à Zoom. Ce qui a suivi était le scénario habituel : des problèmes d’audio, une invitation à installer une mise à jour. Cela a suffi.
Ce n’est pas du phishing au sens classique. Il n’y a pas d’e-mail suspect truffé de fautes avec une adresse d’expéditeur étrange. C’est une opération de manipulation de la confiance — et c’est précisément pour cela qu’elle fonctionne même sur des acteurs expérimentés du marché crypto.
L’ampleur de la menace
Selon le FBI, en 2025, les utilisateurs américains ont déposé 181 565 plaintes liées à la fraude en cryptomonnaies. La perte moyenne par plainte s’élevait à 62 604 $. Les pertes totales dues aux arnaques à l’investissement ont atteint 7,23 milliards de dollars sur les 11,36 milliards de dollars de fraude crypto documentée pour l’année.
Les attaques par usurpation d’identité en particulier ont connu une hausse de plus de 1 400 % sur un an en 2025. Le paiement moyen effectué par une victime est passé de 782 $ en 2024 à 2 764 $ en 2025.
Une part importante de ces attaques peut être rattachée à une seule structure : le Lazarus Group et ses unités de renseignement nord-coréennes affiliées. Selon les données du FBI et de Mandiant, en 2025 ils ont volé 2,02 milliards de dollars en cryptomonnaies — une hausse de 51 % par rapport à l’année précédente. L’attaque contre Bybit en février 2025 — 1,5 milliard de dollars en une seule opération — leur a été directement attribuée par le FBI.
Comment l’attaque fonctionne : étape par étape
L’opération commence bien avant qu’un appel n’ait lieu. Les attaquants atteignent la cible via Telegram, LinkedIn, e-mail ou X. Un pseudo-recruteur propose un poste Web3 rémunéré de 16 000 à 44 000 $ par mois. Un « investisseur » veut discuter d’un accord. Un « partenaire » veut se connecter. Tout ressemble à un contact professionnel de routine — car dans l’industrie crypto, des inconnus se contactent réellement chaque jour.
L’étape suivante est le lien de la réunion. La victime voit une imitation convaincante : une salle d’attente Zoom avec des sons d’autres participants, une page Google Meet à l’interface correcte. Les domaines sont fabriqués sur mesure : uswebzoomus[.]com, googlemeetinterview[.]click, 9ooggleactivemeett[.]live. Selon Netcraft et Malwarebytes, les opérateurs préparent à l’avance des domaines de secours chez plusieurs hébergeurs — anticipant les fermetures inévitables.
Sur la fausse page de réunion, un message d’erreur apparaît : problème de micro, mise à jour du client requise, extension à installer. On demande à la victime de coller une commande dans le terminal, de télécharger un installateur ou d’exécuter un script. Ce moment est délibérément conçu pour ressembler à un dépannage technique de routine. C’est exactement pour cela que ça marche.
Après l’installation, les attaquants obtiennent un accès complet : enregistrement des frappes, surveillance du presse-papiers, captures d’écran en temps réel, données du navigateur et données des extensions de portefeuille — MetaMask, Trust Wallet, Phantom et d’autres. Sur macOS, le trousseau iCloud. Toute phrase de récupération ou clé privée jamais saisie ou copiée sur l’appareil doit être considérée comme compromise.
Le deepfake qui n’en est pas un
L’un des éléments les plus sophistiqués techniquement est ce que Kaspersky GReAT a documenté sous le nom de GhostCall. Les attaquants enregistrent la vidéo des webcams de victimes précédentes à leur insu. Pendant un appel avec la cible suivante, ils rejouent ces images — la victime voit un flux vidéo en direct d’une personne réelle de son réseau professionnel.
Ce n’est pas un deepfake au sens technique. C’est l’enregistrement d’une personne réelle que la victime connaît probablement. L’attaquant reste « avec des problèmes d’audio » et ne communique que par messagerie texte. Sur le plan psychologique, c’est un piège presque parfait : vous voyez un visage familier, entendez une voix familière dans l’enregistrement, et n’avez aucune raison de vous méfier.
Immédiatement après avoir compromis un appareil, les attaquants accèdent aux contacts Telegram de la victime et utilisent le compte pour envoyer le même lien à la vague suivante de cibles potentielles. L’attaque se propage à travers des réseaux professionnels de confiance sans indicateur externe.
Qui est derrière tout cela
Lazarus Group, BlueNoroff, UNC1069, TraderTraitor, Famous Chollima — ce sont tous des noms de sous-unités d’une seule opération menée par le Bureau général de reconnaissance de la Corée du Nord. Attribuée par le FBI, Mandiant et Kaspersky. Depuis 2021, la priorité est le Web3.
Campagnes actives documentées en 2025-2026 : Contagious Interview — de faux entretiens de recrutement avec une charge ClickFix à la fin. Selon SentinelLABS, au moins 230 personnes ont été touchées rien qu’au premier trimestre 2025, le chiffre réel étant probablement plus élevé. GhostCall — de faux appels Zoom visant des dirigeants Web3 et des investisseurs en capital-risque. Mach-O Man — des attaques via des comptes Telegram compromis visant les cadres dirigeants de la crypto et de la fintech.
Le cas de Drift Protocol mérite une attention particulière. Lazarus a passé six mois à l’infiltration : rencontrer l’équipe en personne lors de conférences dans plusieurs pays, déposer 1 million de dollars de capital réel pour asseoir sa crédibilité. Le drainage de 286 millions de dollars a pris 12 minutes. Ce n’est pas une arnaque — c’est une opération de niveau étatique dotée d’un budget et d’un horizon de planification.
Selon Mandiant et le Google Threat Intelligence Group, l’unité UNC1069 a été officiellement documentée en train d’utiliser Google Gemini pour de la recherche opérationnelle, de générer du contenu d’appât personnalisé visant des victimes précises et d’écrire du code. Une automatisation d’attaque au niveau d’un acteur étatique.
Pourquoi les conseils de sécurité classiques ne fonctionnent pas ici
Le conseil habituel de « ne pas cliquer sur des liens suspects » est inutile dans ce contexte. Le lien ressemble à Zoom. Le domaine est visuellement identique au vrai. La personne sur le flux vidéo est quelqu’un que la victime connaît réellement. L’installateur est signé avec un certificat numérique valide — volé à une entreprise légitime. L’antivirus reste silencieux, car certains attaquants ne déploient pas du tout de malware sur mesure, mais un logiciel commercial de surveillance d’entreprise détourné.
« Nous rencontrons régulièrement ce schéma d’attaque dans nos enquêtes. La différence fondamentale avec le phishing classique est qu’il n’y a pas d’exploit technique. On-chain, la transaction paraît tout à fait légitime — autorisée par le propriétaire du portefeuille. C’est précisément pourquoi une enquête sérieuse exige non seulement le traçage on-chain, mais aussi la reconstitution d’événements off-chain : la chronologie de l’attaque, l’identification du vecteur d’entrée, l’analyse de l’appareil. Aucun n’est suffisant sans l’autre lorsqu’il s’agit de travailler avec les forces de l’ordre. »
— Ais Dorzhinov, cofondateur de Match Systems
Il s’agit d’une catégorie de menace fondamentalement différente : une opération de manipulation de la confiance, pas un exploit technique. La défense doit être opérationnelle — pas seulement technique.
Comment vous protéger : ce qui fonctionne vraiment
Pour les détenteurs et investisseurs individuels, un portefeuille matériel reste la seule barrière fiable, même en cas de compromission totale de l’appareil. Une phrase de récupération qui n’a jamais existé sur un ordinateur ne peut être volée par un malware. Un appareil dédié, utilisé exclusivement pour les opérations crypto — sans navigation, appels ni téléchargements de fichiers — n’est pas de la paranoïa. C’est de l’hygiène opérationnelle.
La mesure individuelle la plus importante : vérifier via un canal alternatif avant tout appel inattendu. Si un « partenaire » vous écrit sur Telegram — appelez-le au numéro figurant dans votre répertoire, pas via Telegram. Si un « recruteur » envoie un lien Meet — trouvez l’entreprise via Google et contactez-la directement. Une étape de vérification supplémentaire ferme la majorité des scénarios d’attaque.
Pour les entreprises et les équipes : isolez les portefeuilles d’entreprise des appareils de travail, utilisez le multisig avec des clés réparties pour les actifs importants, interdisez l’installation de tout « logiciel de réunion » hors d’une liste approuvée. Toutes les mises à jour de client doivent provenir directement des sites officiels — jamais via un lien dans une conversation. Des briefings d’équipe réguliers avec des exemples concrets des schémas actuels — non comme une formalité de conformité, mais comme une véritable préparation.
Une mesure organisationnelle sous-estimée : si quelqu’un de votre équipe ou de votre réseau professionnel a été compromis, prévenez immédiatement tous ses contacts. Les attaques de type GhostCall se propagent instantanément à travers les réseaux de confiance, et la rapidité de la notification influe directement sur le nombre de personnes qui deviennent les victimes suivantes.
Si c’est déjà arrivé : les premières heures sont décisives
Le drainage de Bybit a pris quelques heures. Drift Protocol — 12 minutes. Une fois les fonds sortis du portefeuille principal, chaque minute réduit la fenêtre pour un gel.
Le schéma de mouvement typique des fonds volés dans les opérations de Lazarus : retrait immédiat vers des adresses intermédiaires, échanges via des DEX pour rompre le lien direct on-chain, transfert par pont vers un autre réseau, fragmentation sur des dizaines d’adresses intermédiaires, retrait final via des opérateurs OTC aux exigences de KYC faibles ou conversion en Monero.
La forensique blockchain permet dans ces cas l’attribution d’adresses par des schémas comportementaux on-chain, le traçage des mouvements de fonds à travers les ponts et les échanges, l’étiquetage des adresses de destination et l’envoi de notifications de gel aux exchanges avant le retrait final. Elle soutient aussi la structuration des données on-chain pour les demandes des forces de l’ordre et les procédures judiciaires. Une limite importante à comprendre : si les fonds ont déjà été retirés via de petits changeurs non étiquetés, les options se réduisent fortement. C’est pourquoi la rapidité de réaction dans les premières heures est décisive.
Si un incident s’est déjà produit, ne perdez pas de temps en auto-analyse. Contactez des cabinets professionnels spécialisés dans l’investigation des vols de cryptomonnaies et la récupération d’actifs.
Populaires
- Articles Un utilisateur légitime peut voir son USDT gelé à cause de fonds au passé contaminé.
- Articles Peut-on récupérer les cryptomonnaies volées ?
- Actualités Sanctions contre HTX : risques pour les actifs crypto
- Articles Comment les hackers volent des cryptomonnaies
- Actualités Tether a dégelé 79 M$ — et nous savons pourquoi
- Articles Crypto volée ? Les 60 premières minutes décident de ce qui est récupérable.
- Actualités Récupération de cryptoactifs via les réseaux OTC
- Articles Tether a gelé vos USDT : que se passe-t-il et que faire
- Articles Les portefeuilles crypto sont piratés via les appareils, les applis et l’erreur humaine, pas via la blockchain.
- Articles Peut-on identifier le propriétaire d'un portefeuille crypto ?
