Groupe Lazarus : Comment les cybercriminels nord-coréens volent des cryptomonnaies
Un groupe de pirates informatiques a dérobé plus de cryptomonnaies que quiconque dans l'histoire. Il se trouve qu'il travaille pour un gouvernement. Le groupe Lazarus est l'unité de piratage informatique d'État nord-coréenne, et pour elle, le vol de cryptomonnaies n'est pas une activité secondaire. C'est son activité principale, une source de revenus nationale avec un personnel rémunéré. Lors d'une bonne année, selon leurs critères, le groupe détourne plus de deux milliards de dollars via les plateformes d'échange, les ponts de transfert et les portefeuilles numériques. La majeure partie de cette somme disparaît avant même qu'un rapport ne soit déposé.
Ce guide explique qui ils sont, les plus gros braquages qui leur sont liés, le déroulement concret d'une attaque, le blanchiment d'argent et les sommes disparues. L'accent est mis sur les cryptomonnaies. C'est là que se situe désormais l'histoire.
Qui est réellement le groupe Lazarus ?
Oubliez l'image du pirate informatique solitaire en sweat à capuche. Le groupe Lazarus ressemble davantage à un service gouvernemental avec une masse salariale. Les agences occidentales le relient au Bureau général de reconnaissance nord-coréen, principal service de renseignement extérieur du pays, et aux unités parfois désignées sous le nom de Bureau 121. Les chercheurs en cybersécurité le suivent comme un groupe de menace unique, alors qu'en réalité, il s'agit d'un ensemble d'équipes menant les cyberopérations offensives du gouvernement nord-coréen. Les personnes derrière les claviers sont formées, rémunérées et affectées à des missions précises ; leurs cibles sont définies par l'État.
Le groupe est désigné par différents noms selon les sources : APT38, Hidden Cobra, Guardians of Peace, Labyrinth Chollima. Les analystes le divisent en sous-équipes aux missions distinctes. BlueNoroff cible les banques et les entreprises de cryptomonnaies pour leur soutirer de l’argent, Andariel se spécialise dans l’espionnage et la perturbation, tandis que Lazarus, au sein d’une structure plus large, gère les attaques les plus médiatisées. Actif sous une forme ou une autre depuis environ 2009, il figure parmi les acteurs malveillants les plus anciens et les plus motivés par le gain financier au monde.
Ce qui distingue Lazarus de la plupart des groupes de pirates informatiques étatiques, c'est son mobile. La Russie et la Chine se livrent principalement à l'espionnage. La Corée du Nord, quant à elle, vole pour se financer. En septembre 2019, le Trésor américain a officiellement sanctionné Lazarus et deux groupes apparentés, BlueNoroff et Andariel, les qualifiant d'organes de l'État nord-coréen. Une entreprise de sécurité a résumé le groupe en quelques mots : un syndicat du crime sous un drapeau.
De Sony à WannaCry : les débuts
Avant l'avènement des cryptomonnaies, Lazarus s'est fait un nom grâce au chaos. En 2014, l'attaque contre Sony Pictures Entertainment, signée par Guardians of Peace, a entraîné la suppression de systèmes, la fuite de films inédits et la divulgation d'années d'emails internes. Le mobile apparent ? Une comédie satirique sur le dirigeant nord-coréen. Bruyant, politique, destructeur. Pas encore rentable.
L'argent est venu ensuite. En 2016, le groupe a failli réussir l'un des plus importants braquages de banque jamais tentés, en envoyant des messages SWIFT frauduleux pour dérober 951 millions de dollars du compte de la Banque du Bangladesh auprès de la Réserve fédérale de New York. Une faute de frappe et un coup de chance ont permis d'en éliminer la majeure partie. Environ 81 millions de dollars ont tout de même réussi à s'échapper. Cette cyberattaque a prouvé que Lazarus pouvait voler des institutions financières depuis son clavier, et elle a transformé la cybercriminalité d'État en une véritable source de profits.
Puis, en 2017, est arrivé WannaCry, un ver informatique de type ransomware qui a paralysé des centaines de milliers d'ordinateurs dans environ 150 pays et mis hors service des hôpitaux britanniques. L'opération était bâclée et n'a quasiment rien rapporté. Mais elle a démontré son ampleur. Ainsi, au moment où le secteur des cryptomonnaies a pris son essor, Lazarus avait déjà une décennie d'expérience dans le transfert d'argent auquel il n'avait aucun droit de toucher.
Pourquoi les pirates informatiques nord-coréens ciblent les cryptomonnaies
Pour un régime coupé du système bancaire international, la cryptomonnaie est presque trop pratique. Les sanctions peuvent geler un compte bancaire et bloquer un virement SWIFT, mais rien ne peut empêcher un portefeuille de recevoir des fonds. Les cryptomonnaies franchissent les frontières en quelques minutes, les transactions sont irréversibles et elles peuvent être dissimulées grâce à des outils conçus pour brouiller les pistes.
La Corée du Nord a donc changé de stratégie. Pourquoi risquer un braquage de banque qu'un simple coup de fil peut annuler quand une faille de sécurité dans le système de transfert de fonds rapporte dix fois plus et est irréversible ? L'avantage économique est clairement du côté de l'attaquant. Un virement SWIFT infructueux est bloqué puis retourné ; un vol de fonds réussi via un pont de transfert est définitif dès la confirmation du blocage. Il n'y a pas de contrepartie à contacter, pas de possibilité de rétrofacturation, ni de tribunal compétent pour un portefeuille numérique. Les enquêteurs et l'ONU estiment désormais que les cryptomonnaies volées représentent une part importante des recettes d'exportation du pays et une part significative de son programme d'armement, même si ces pourcentages précis proviennent d'évaluations des services de renseignement et non de données comptables publiques.
Les plus gros braquages de cryptomonnaies du groupe Lazarus
Ces chiffres ne sonnent plus comme des affaires criminelles depuis longtemps. Ils ressemblent plutôt à un budget national. Le vol le plus important, le piratage de Bybit, dépasse le montant de plusieurs vols suivants réunis et dépasse celui de n'importe quel braquage de banque non lié aux cryptomonnaies de l'histoire.
| Cambriolage | Date | Montant | Méthode |
|---|---|---|---|
| Bybit | Février 2025 | ~1,5 milliard de dollars | Interface de signature multisig manipulée |
| Pont Ronin (Axie) | Mars 2022 | ~625 millions de dollars | Clés privées de validateur volées |
| DMM Bitcoin | Mai 2024 | ~308 millions de dollars | faux recruteur, employé compromis |
| WazirX | Juillet 2024 | ~235 millions de dollars | Violation de l'infrastructure du portefeuille |
| Horizon d'harmonie | Juin 2022 | ~100 millions de dollars | Clés de pont compromises |
| Portefeuille atomique | Juin 2023 | >100 millions de dollars | Mise à jour logicielle malveillante |
À y regarder de plus près, les mêmes failles réapparaissent sans cesse. Le vol chez Ronin a fonctionné car les attaquants ont pris le contrôle de cinq des neuf clés de validation qui sécurisaient le pont, soit suffisamment pour approuver leurs propres retraits, après avoir compromis un ingénieur senior. Bybit était plus subtil : plutôt que de casser le portefeuille hors ligne , les attaquants ont corrompu l’interface visible par les signataires, de sorte que l’équipe a approuvé un transfert en apparence anodin, mais qui ne l’était absolument pas. Dans les deux cas, le chiffrement a tenu. Ce sont les humains et le logiciel qui l’entouraient qui ont failli.
Les montants varient selon les sources car ils sont généralement indexés sur le cours du token le jour même, et Lazarus a tendance à cibler les actifs volatils comme l'ether. Le montant des vols liés à Ronin oscille entre 540 et 625 millions de dollars selon les estimations, tandis que celui de Bybit se situe entre 1,4 et 1,5 milliard de dollars. Le schéma sous-jacent reste constant : s'attaquer aux ponts de sécurité , aux plateformes d'échange de cryptomonnaies et aux logiciels de portefeuilles numériques, ces points névralgiques où une simple défaillance peut engendrer des pertes colossales.
Comment se déroule un piratage du groupe Lazarus
Voici ce qui surprend : ces vols records commencent rarement par un exploit extraordinaire et imparable. Ils débutent par une escroquerie. La partie astucieuse et irréversible intervient ensuite, lorsque l'argent doit disparaître.
La méthode : faux emplois et hameçonnage
Lazarus est patient et sociable. Son mode opératoire, souvent baptisé « Opération Emploi de Rêve », consiste à se faire passer pour un recruteur sur LinkedIn ou au sein d'une communauté de développeurs et à proposer un poste idéal dans une entreprise qui semble crédible. Au cours de l'entretien, un « test de codage » ou un PDF est envoyé ; son ouverture installe un logiciel malveillant. Le vol de bitcoins chez DMM aurait débuté de cette manière, un faux recruteur compromettant un employé d'une entreprise partenaire. Cette même approche cible les développeurs de tout le secteur via des packages npm piégés et des dépôts GitHub présentés comme de véritables exemples de travaux. Aucun pare-feu n'arrête un ingénieur à qui l'on a fait croire que le fichier était une mission, ce qui explique pourquoi l'ingénierie sociale, et non une faille de sécurité imparable, permet d'ouvrir la plupart de ces portes.
De faux informaticiens à l'intérieur du bâtiment
La nouvelle technique est encore plus audacieuse : au lieu de s’introduire par effraction, la Corée du Nord postule directement à l’emploi. Des milliers de ses informaticiens se font passer pour des développeurs travaillant à distance, utilisant des identités américaines volées et des fermes d’ordinateurs portables gérées par des intermédiaires locaux. Ainsi, l’employé semble se connecter depuis le Texas plutôt que depuis Pyongyang. Une fois embauchés par des entreprises technologiques et de cryptomonnaies occidentales, ils transfèrent leurs salaires à leur pays d’origine et parfois même préparent des accès en vue d’un vol ultérieur. Le département de la Justice américain s’attaque aux deux volets de ce stratagème, notamment avec une affaire en décembre 2024 visant quatorze Nord-Coréens et des poursuites en 2025 contre les intermédiaires basés aux États-Unis qui hébergeaient les ordinateurs portables. Il s’agit d’espionnage déguisé en activité de paie.
Encaissement : mélangeurs et ponts
Voler des cryptomonnaies, c'est la moitié du travail ; le plus difficile, c'est de les dépenser. Lazarus utilise des services de mixage comme Tornado Cash, sanctionné par les États-Unis en 2022, et Sinbad, sanctionné fin 2023, pour faire transiter l'argent entre différentes blockchains via des ponts et des échanges d'actifs afin de brouiller les pistes, avant de le retirer sur des plateformes d'échange avec des chèques peu fiables. Le processus est rapide et automatisé ; après l'affaire Bybit, les enquêteurs ont vu les fonds se disperser dans des centaines de portefeuilles en quelques heures. Il s'agit d'un blanchiment d'argent à grande échelle, et il est si souvent efficace que le régime continue de l'utiliser.
Combien le groupe Lazarus a-t-il volé ?
Avec le recul, les chiffres sont difficiles à appréhender. Selon Chainalysis , des pirates informatiques liés à la Corée du Nord ont dérobé environ 2,02 milliards de dollars en cryptomonnaies en 2025, soit une hausse de 51 % par rapport à l'année précédente, portant le total historique à plus de 6,75 milliards de dollars. En 2025, ce pays représentait environ 76 % de la valeur totale volée aux services de cryptomonnaies dans le monde. Un seul État, les trois quarts des dégâts.
| Période | Volé (crypto) | Source |
|---|---|---|
| 2024 (confirmé par les gouvernements) | ~659 millions de dollars | Déclaration conjointe États-Unis/Japon/Corée du Sud |
| 2024 (attribution complète) | ~1,19 milliard de dollars | Chainalysis / Mandiant |
| 2025 | ~2,02 milliards de dollars | Analyse de la chaîne |
| Tous temps (limite inférieure) | ~6,75 milliards de dollars | Analyse de la chaîne |
Les chiffres de 2024 divergent car ils mesurent des éléments différents : les gouvernements ont confirmé quelques vols spécifiques, tandis que les sociétés d'analyse en ont attribué davantage grâce au traçage sur la blockchain. Quoi qu'il en soit, la tendance est à la hausse. Un rapport d'un groupe d'experts de l'ONU a recensé environ 58 attaques présumées de cryptomonnaies menées par la Corée du Nord, d'une valeur d'environ 3 milliards de dollars, entre 2017 et 2023, avant même que les records de 2024 et 2025 ne soient établis. Ce même groupe a indiqué que cet argent contribue au financement du programme d'armement nord-coréen, une affirmation fondée sur les renseignements des États membres plutôt que sur des comptes audités, mais qui replace chaque piratage de plateforme d'échange dans une perspective géopolitique.
Sanctions, mises en accusation et réaction
Alors, que peut-on faire concrètement ? Les nommer, les sanctionner, les inculper. Les arrêter ? Presque jamais, car ils résident à Pyongyang.
Les preuves sont désormais accablantes. Le Trésor américain a placé Lazarus sur liste noire dès 2019, puis s'est attaqué aux plateformes de mixage dont elle dépend, Tornado Cash et Sinbad. Le parquet a également emboîté le pas, inculpant des pirates informatiques nommément désignés dès 2021 et, plus récemment, les responsables du réseau de faux informaticiens. Bon courage pour l'exécution des mandats.
Récupérer l'argent est encore plus rare. Après le vol chez Ronin, les enquêteurs ont récupéré une partie des fonds avec l'aide du FBI et de Chainalysis. Une partie seulement. Le reste avait disparu. Et les sanctions ont la fâcheuse tendance à déplacer le problème : Tornado Cash est mis sur liste noire et l'argent se retrouve entre les mains de Sinbad ; Sinbad est sanctionné et le groupe trouve un autre intermédiaire. Chaque mesure rend le retrait de l'argent plus coûteux et plus difficile. Rien de tout cela n'arrête le vol à la source. On ne peut pas extrader un gouvernement.
Le groupe Lazare peut-il être arrêté ?
Honnêtement, les sanctions seules ne suffisent pas. La défense essentielle se met en place avant toute intrusion et repose sur les plateformes d'échange et les utilisateurs, plutôt que sur les procureurs. Cela implique des validations matérielles pour les transferts importants, considérer un recruteur non sollicité comme une menace et non une opportunité, et refuser qu'un simple ordinateur portable compromis divulgue des fonds. Cela signifie aussi vérifier ce que l'on signe plutôt que de se fier à un écran, la faille même qui a coûté plus d'un milliard de dollars à Bybit. L'asymétrie est brutale : les défenseurs doivent être irréprochables, tandis que Lazarus a besoin d'un seul ingénieur pour ouvrir un seul fichier. L'objectif réaliste n'est pas d'éliminer le groupe, mais de rendre chaque vol plus lent, moins important et plus difficile à blanchir, afin que la prochaine faille à un milliard de dollars soit tout simplement introuvable.
Pourquoi Lazarus Group est important pour les cryptomonnaies
Lazarus s'est approprié les caractéristiques dont la cryptomonnaie est le plus fière – son absence de frontières et son irréversibilité – et les a transformées en un outil de financement étatique. C'est là la leçon troublante : le même principe qui libère l'argent des banques le rend également irrécupérable. La sécurité des cryptomonnaies n'est plus seulement une préoccupation personnelle concernant ses propres clés ; elle est devenue une question de sécurité nationale pour plusieurs pays simultanément. Chaque passerelle non auditée et chaque plateforme d'échange aux contrôles laxistes représente une ligne budgétaire potentielle pour l'armement nucléaire. La question essentielle est de savoir comment un système financier ouvert et sans autorisation peut se défendre contre un adversaire patient et bien financé qui fait du vol à grande échelle un enjeu de politique étrangère.
