En 2025, les attaques informatiques menées par la Corée du Nord ont volé plus de 2,03 milliards de dollars en cryptomonnaies - un record absolu. Ce n’est pas un simple chiffre. C’est le financement direct de ses programmes nucléaires et balistiques. Depuis 2019, les groupes de piratage liés au régime de Pyongyang ont accumulé plus de 6 milliards de dollars en cryptomonnaies volées. Et cette somme ne représente que ce qui a été détecté. Les experts estiment que le vrai montant est bien plus élevé.
Comment la Corée du Nord vole des cryptomonnaies
La Corée du Nord ne s’attaque pas aux petits exchange. Elle cible les grandes plateformes. En février 2025, un seul piratage a détroussé l’échange Bybit de 1,46 milliard de dollars. Ce n’était qu’un des 30 attaques confirmées cette année-là. Les autres cibles incluent LND.fi, WOO X et Seedify. Ces attaques ne sont pas le fait de hackers isolés. Elles sont orchestrées par des unités militaires nord-coréennes, notamment le groupe Lazarus, qui opère depuis des centres de cybersécurité en Chine et en Russie.Les attaques suivent un schéma précis : d’abord, une intrusion dans les systèmes de sécurité d’un exchange ou d’un protocole DeFi. Ensuite, un transfert massif de cryptomonnaies vers des portefeuilles contrôlés par le régime. Enfin, un lavage complexe : les fonds sont mélangés, convertis en monnaies privées comme Monero, puis transmis à travers plusieurs chaînes blockchain avant d’être convertis en dollars ou en yuans via des intermédiaires en Asie du Sud-Est.
Les portefeuilles sanctionnés : qui est concerné ?
L’Office américain des contrôles des actifs étrangers (OFAC) a sanctionné des dizaines d’entités et de personnes impliquées dans ces opérations. Parmi elles : Vitaliy Sergeyevich Andreyev, Kim Ung Sun, et des sociétés comme Shenyang Geumpungri Network Technology Co., Ltd. Ces noms ne sont pas des individus isolés. Ce sont des maillons d’un réseau étendu qui gère les transferts, les conversions et les retraits illégaux.Les adresses de portefeuilles sanctionnées ne sont pas publiées en détail. Pourquoi ? Parce que chaque fois qu’une adresse est rendue publique, les pirates la changent. Ils créent de nouveaux portefeuilles en quelques heures. Mais les analystes comme Elliptic identifient des clusters - des groupes de portefeuilles liés entre eux par des schémas de transaction identiques. Ces clusters sont les vraies cibles des sanctions. Un seul cluster peut contenir des centaines d’adresses, toutes contrôlées par la même unité nord-coréenne.
Comment les sanctions fonctionnent (et pourquoi elles sont difficiles à appliquer)
Les sanctions ne visent pas seulement les noms. Elles bloquent les transactions. Les exchanges, les banques et les fournisseurs de services crypto doivent désormais scanner chaque transfert en temps réel. Si un fonds vient d’un portefeuille associé à un cluster nord-coréen, il est bloqué. Mais voilà le problème : les pirates utilisent des techniques de chain-hopping - ils passent d’Ethereum à Solana, puis à Polygon, puis à Litecoin - pour échapper aux filtres.De plus, les fonds sont souvent mélangés avec des transactions légales. Un portefeuille peut contenir 95 % de fonds propres et 5 % de cryptos volées. Les outils de détection doivent détecter ce 5 %, ce qui demande une puissance de calcul énorme. Seules les grandes entreprises disposent de ces systèmes. Les petits exchange ne peuvent pas se permettre d’investir dans des outils comme Elliptic ou Chainalysis. Et c’est là que le risque est le plus grand.
Le rôle de la communauté internationale
En octobre 2025, une coalition de 11 pays - dont les États-Unis, le Japon et la Corée du Sud - a publié un rapport sans précédent. Ce rapport, mené par l’équipe de surveillance multilatérale (MSMT), affirme que la Corée du Nord a désormais un programme cyber au niveau de la Russie ou de la Chine. Leur objectif ? Financer les armes nucléaires. Le rapport cite des cas concrets : des travailleurs IT nord-coréens basés en Thaïlande qui volent des données à des entreprises occidentales, puis exigent des rançons en Bitcoin. D’autres travaillent dans des centres de données en Chine, en tant que développeurs légitimes, tout en transférant des fonds volés vers des portefeuilles cachés.Les États-Unis ont même mis en place une récompense de 15 millions de dollars pour toute information qui permettrait de démanteler ces réseaux. C’est une première. Jamais une récompense aussi élevée n’avait été offerte pour des crimes liés à la cryptomonnaie.
Les conséquences pour l’industrie crypto
Les vols massifs ont eu un impact durable. Les exchanges ont dû revoir entièrement leurs systèmes de sécurité. Certains ont fermé les services aux utilisateurs venant de pays à risque. D’autres ont mis en place des vérifications manuelles pour les gros transferts. Les investisseurs ont perdu confiance. Le marché a perdu des milliards en valeur en 2025 à cause de la peur des attaques.Les protocoles DeFi, qui promettaient une finance décentralisée, sont devenus des cibles privilégiées. Les ponts entre chaînes - ces systèmes qui permettent de transférer des actifs d’une blockchain à une autre - sont les plus vulnérables. Le piratage de Bybit a montré que même les systèmes les plus robustes peuvent être contournés. Depuis, les développeurs de DeFi doivent désormais intégrer des mécanismes de vérification en temps réel, ce qui ralentit les transactions et réduit l’efficacité.
Quel avenir pour les sanctions ?
Les sanctions fonctionnent, mais elles ne sont pas une solution définitive. La Corée du Nord s’adapte. Elle utilise des algorithmes pour générer des adresses de portefeuilles aléatoires. Elle recrute des développeurs locaux en Asie du Sud-Est pour gérer les transferts. Elle a même commencé à utiliser des technologies de zero-knowledge proofs pour masquer l’origine des fonds.Le seul vrai espoir, c’est la collaboration internationale. Les États-Unis, le Japon et la Corée du Sud travaillent ensemble. La Chine et la Russie, bien que non impliquées dans la coalition, ont commencé à bloquer certains transferts suspects. Les entreprises de blockchain analytics, elles, améliorent constamment leurs outils. En 2026, les systèmes de détection devraient être 40 % plus précis qu’en 2025.
Mais tant que la Corée du Nord pourra transformer des bitcoins en dollars ou en yuans, tant qu’elle pourra payer ses ingénieurs nucléaires avec des cryptomonnaies, la menace restera. Les sanctions ne l’arrêtent pas. Elles la ralentissent. Et dans ce jeu, chaque mois de retard compte.
Comment les entreprises protègent-elles leurs fonds ?
Les grandes entreprises crypto ont adopté trois règles simples :- Ne jamais accepter de dépôts venant de portefeuilles associés à des clusters nord-coréens identifiés par Elliptic ou Chainalysis.
- Appliquer des vérifications manuelles pour tout transfert supérieur à 10 000 $.
- Former leurs équipes de support à reconnaître les signaux d’alerte : transferts rapides entre plusieurs adresses, montants arrondis (ex. : 1 000, 5 000, 10 000 BTC), et transactions vers des exchanges peu connus.
Les petites entreprises n’ont pas les ressources. Elles dépendent des outils gratuits ou des mises à jour des plateformes. C’est une faille. Et c’est là que les pirates trouvent leur terrain de jeu.
Pourquoi les adresses de portefeuilles sanctionnées ne sont-elles pas publiées publiquement ?
Les adresses précises ne sont pas rendues publiques pour éviter que les pirates ne les changent immédiatement. À la place, les analystes utilisent des clusters - des groupes d’adresses liées par des schémas de transaction. Ces clusters sont partagés avec les exchanges et les banques via des bases de données sécurisées. Publier une adresse serait comme annoncer un numéro de téléphone à un voleur : il change juste de numéro.
Comment savoir si un portefeuille est lié à la Corée du Nord ?
Aucun outil public ne permet de le déterminer avec certitude. Seules les entreprises spécialisées comme Elliptic, Chainalysis ou TRM Labs peuvent le faire, grâce à des données privées, des sources d’intelligence et des algorithmes d’analyse de transaction. Les utilisateurs ordinaires ne peuvent que se fier aux listes de sanctions fournies par leur exchange ou leur fournisseur de services. Si un transfert est bloqué, c’est souvent parce qu’il est associé à un cluster connu.
Les sanctions ont-elles réduit les vols de cryptomonnaies ?
Non, pas encore. En 2025, les vols ont atteint un record historique. Mais les sanctions ont forcé la Corée du Nord à changer ses méthodes. Les attaques sont maintenant plus ciblées, plus complexes et plus difficiles à détecter. Elles ne sont pas moins fréquentes - elles sont simplement plus sophistiquées. Les sanctions ralentissent, mais n’arrêtent pas.
Quels sont les principaux protocoles ciblés par la Corée du Nord en 2025 ?
Les ponts entre chaînes (cross-chain bridges) sont les plus attaqués. En 2025, Bybit, LND.fi et WOO X ont été les cibles principales. Ces plateformes permettent de transférer des actifs entre différentes blockchains - une fonction essentielle, mais aussi une faille de sécurité majeure. Les pirates exploitent les erreurs de code dans ces ponts pour voler des millions en quelques minutes. Les protocoles DeFi avec peu de vérifications de sécurité sont les plus vulnérables.
Les gouvernements peuvent-ils bloquer complètement les transactions nord-coréennes ?
Non. La nature décentralisée de la blockchain rend impossible un blocage total. Même si tous les exchanges occidentaux refusent les fonds nord-coréens, les pirates utilisent des plateformes non régulées, des services de mixage, ou des cryptomonnaies privées comme Monero. Leur objectif n’est pas de rester invisibles - c’est de transférer suffisamment de fonds pour financer leurs programmes. Et ils y parviennent.
