Les sociétés de cryptomonnaies doivent renforcer leurs défenses face aux pirates nord-coréens. Ces derniers cherchent à se faire embaucher dans de grandes entreprises Web3 afin de préparer des attaques à grande échelle, ont averti plusieurs spécialistes.
Le recrutement de développeurs nord-coréens expose directement les projets crypto à des risques de piratages et de fuites de données. L’affaire Coinbase en mai en donne un exemple. La faille a révélé les soldes de portefeuilles et les adresses physiques d’environ 1 % des utilisateurs mensuels de la plateforme, avec un coût potentiel allant jusqu’à 400 millions de dollars en indemnisations.
Pour contrer cette menace croissante, l’industrie doit adopter de nouvelles normes de gestion des portefeuilles, utiliser la surveillance en temps réel par IA pour détecter les attaques en amont et renforcer les procédures de contrôle lors du recrutement, soulignent les experts.
« Les organisations doivent prendre au sérieux le risque lié aux travailleurs IT de la RPDC [République populaire démocratique de Corée] », a déclaré Yehor Rudytsia, responsable de la réponse aux incidents et de la criminalistique chez la société de cybersécurité blockchain Hacken. Il recommande des « vérifications approfondies des antécédents et un accès strictement limité selon les rôles ».
Les entreprises crypto doivent aussi appliquer les « bonnes pratiques CCSS pour la gestion des portefeuilles (contrôle à deux niveaux, traçabilité des audits, vérification d’identité) », poursuit Rudytsia. « En complément, il faut conserver des journaux renforcés, surveiller les activités inhabituelles et réviser régulièrement les configurations cloud. La règle est simple : vérifier, surveiller, et ne jamais se fier uniquement à la confiance. »
Le contrôle dual d’un portefeuille correspond à un modèle de portefeuille multisignature, où plusieurs détenteurs de clés doivent signer une transaction pour qu’elle soit validée.
Même si la majorité des développeurs nord-coréens ne sont pas directement des pirates, leurs salaires alimentent les caisses de l’État. Or, ce dernier est devenu l’une des principales menaces cybercriminelles pour l’industrie crypto.
Il y a une semaine, Changpeng Zhao, cofondateur de Binance, a tiré la sonnette d’alarme sur le risque croissant d’infiltration des entreprises crypto par des Nord-Coréens, via des offres d’emploi ou des tentatives de corruption.
Son avertissement est intervenu peu après qu’un groupe de hackers éthiques, Security Alliance (SEAL), a publié les profils d’au moins 60 agents nord-coréens se faisant passer pour des travailleurs IT sous de fausses identités, cherchant notamment des postes aux États-Unis.
Le dossier contenait des informations clés sur les imposteurs nord-coréens, notamment leurs pseudonymes, leurs faux noms et adresses électroniques, ainsi que les sites web, réels ou fictifs, leur nationalité, leur adresse, leur localisation et le nombre d'entreprises qui les avaient embauchés.
Une surveillance en temps réel par l’IA pourrait éviter les fuites de données
Les experts recommandent également de recourir à l’intelligence artificielle pour détecter les menaces en temps réel.
« Les travailleurs IT nord-coréens infiltrent des entreprises crypto pour obtenir un accès interne, déplacer des fonds volés ou dérober des données », explique Deddy Lavid, cofondateur et PDG de la société de cybersécurité blockchain Cyvers. Et d’ajouter :
« L’incident de Coinbase a servi d’avertissement. La surveillance proactive, pilotée par l’IA, est la clé pour éviter le prochain. »
Selon lui, la détection d’anomalies basée sur l’IA, appliquée aussi bien au recrutement qu’au croisement des données onchain et offchain, renforcerait encore la sécurité des entreprises.
En juin, quatre agents nord-coréens ont infiltré plusieurs sociétés crypto en tant que développeurs indépendants, volant au total 900 000 dollars à ces jeunes pousses. Une preuve supplémentaire de l’ampleur de la menace.