Victime d’une cyberattaque hors norme vendredi, la société d’échanges de cryptomonnaies basée à Dubaï assure que les fonds de ses clients « sont en sécurité ».
Il s’agit du plus grand vol de l’histoire du secteur. La plateforme d’échanges de cryptomonnaies Bybit a annoncé, vendredi 21 février, qu’environ 1,5 milliard de dollars lui ont été dérobés. Soit, « au total, environ 400 000 Ethereum », la deuxième devise numérique derrière le Bitcoin, a déclaré sur X Ben Zhou, cofondateur et dirigeant de l’entreprise, dont le siège social se situe à Dubaï (Emirats arabes unis).
La firme s’est immédiatement voulue rassurante, affirmant que les fonds de ses clients étaient « en sécurité ». « Un nouveau rapport sera publié très bientôt pour montrer que Bybit est à nouveau de retour à 100% », a encore insisté Ben Zhou sur X lundi. Franceinfo fait le point sur ce que l’on sait de cette attaque hors norme et de ce vol record.
Un butin historique malgré un système très sécurisé
Tout commence vendredi, lorsque le lanceur d’alerte et spécialiste du secteur, ZachXBT, dévoile sur sa chaîne Telegram des « sorties de fonds suspectes de Bybit pour un montant de plus de 1,46 milliard de dollars [1,39 milliard d’euros] ». Quelques minutes plus tard, Bybit explique sur X avoir « détecté une activité non autorisée impliquant l’un de [ses] portefeuilles froids », un outil physique (et donc non connecté à internet) qui permet de gérer ses cryptomonnaies en toute sécurité.
Dans le cas présent, ce portefeuille intègre un protocole multisignatures nécessitant au moins deux approbations pour valider une transaction, précise le site spécialisé Numerama. Dans le secteur, il s’agit du système qui est, « de loin », « ce qui est de plus sécurisé », estime auprès du Parisien Stanislas de Quénetain, fondateur de Stokn, une société spécialisée dans la gestion de cryptomonnaies.
L’ampleur de cette attaque dépasse de loin le précédent record, un vol de 620 millions de dollars en cryptomonnaies sur le réseau Ronin, comme le rapportait Le Monde en 2022. « Il n’y a jamais eu de plus gros hacking que celui-ci, explique Stanislas de Quénetain. Mais ce qui est surtout nouveau, c’est que ce hack a été réalisé sur ce qu’on appelle une entité centralisée, alors que cela arrive normalement sur des protocoles décentralisés. »
Une attaque « sophistiquée »
Le piratage s’est produit lors d’un transfert de routine, impliquant des transactions allant du portefeuille « froid » de Bybit vers son portefeuille « chaud ». Or ce processus implique que le portefeuille froid soit brièvement connecté à internet pour être accessible. « Les attaquants ont exploité cette fenêtre, manipulant l’interface de signature pour tromper les signataires et leur faire approuver une transaction malveillante », explique sur LinkedIn l’expert en cybersécurité Sharique Raza.
Malgré les divers protocoles de sécurité, le pirate a vraisemblablement « attaqué l’appareil de chaque signataire pour que l’interface utilisateur affiche quelque chose de différent de ce qui était réellement signé », explique 0xCygaar, ingénieur spécialisé dans les cryptomonnaies, sur X. Et de développer : « Ce type d’attaque s’est déjà produit par le passé. Il faut identifier chaque signataire et les amener à installer à leur insu des logiciels malveillants. »
De son côté, Bybit fait part d’une « attaque sophistiquée » et affirme que son « équipe de sécurité, en collaboration avec des experts, enquête activement sur l’incident ». Devant l’ampleur de l’attaque, l’entreprise a même invité « toutes les équipes ayant une expertise en analyse de blockchain [la technologie numérique de stockage et de transmission d’informations] et en récupération de fonds » à l’aider « à retracer ces actifs » et à « collaborer » avec elle.
Bybit assure que « tous les fonds des clients sont en sécurité »
Dans les heures qui ont suivi cette cyberattaque, Bybit a fait face à « une pénurie de liquidités », forçant son patron à « travailler » à l’obtention d’un prêt-relais auprès de ses « partenaires ». « Nous recevons également l’aide d’Interpol et des organismes de réglementation internationaux, aider à bloquer ces fonds ne se limite pas à aider Bybit », a-t-il affirmé sur X. Douze heures « après le pire piratage de l’histoire », « tous les retraits ont été traités. Notre système de retrait est maintenant entièrement revenu à son rythme normal, vous pouvez retirer n’importe quel montant et ne subir aucun retard », a tenu à rassurer Ben Zhou dans un communiqué.
Malgré ces difficultés, la firme s’est voulue rassurante : « Nous souhaitons assurer à nos utilisateurs et partenaires que tous les autres portefeuilles froids Bybit restent entièrement sécurisés. Tous les fonds des clients sont en sécurité et nos opérations se poursuivent comme d’habitude sans aucune interruption. » Quelques heures après cette cyberattaque, le cours de la cryptomonnaie reculait de près de 4% (à 2 641,84 dollars pour un Ethereum).
Un groupe de hackers nord-coréen suspecté
Lancé en 2015, l’Ethereum est désormais la deuxième devise numérique en valeur totale, estimée à plus de 460 milliards de dollars, derrière le Bitcoin. Fondée en 2018, Bybit compte parmi ses premiers investisseurs l’influent Peter Thiel, cofondateur notamment de PayPal et allié de Donald Trump, selon le média spécialisé Pitchbook.
Selon le lanceur d’alerte ZachXBT, le groupe de hackers Lazarus, lié à la Corée du Nord, est à l’origine de cette cyberattaque. Ce groupe s’est fait connaître en 2014 quand il a été accusé d’avoir piraté les studios Sony Pictures Entertainment, en représailles au film satirique L’Interview qui tue !, qui se moque du dirigeant nord-coréen, Kim Jong-un. C’est également à Lazarus que le FBI avait attribué la précédente attaque record de 2022 visant le groupe Ronin. « L’implication du Lazarus Group ajoute une dimension géopolitique », pointe ainsi l’expert Sharique Raza, « soulignant la nature étatique de ces cyberattaques et leur impact sur la sécurité mondiale des cryptomonnaies ».