Comment la Corée du Nord finance ses armes de destruction massive avec des cryptomonnaies volées
mars, 23 2026
La Corée du Nord ne dépend plus seulement des ventes d’armes ou du trafic de drogue pour financer ses programmes d’armes de destruction massive. Depuis 2017, elle a trouvé un nouveau et redoutable levier : le vol de cryptomonnaies. Des milliards de dollars volés sur des plateformes décentralisées, des hackers masqués derrière de faux profils américains ou japonais, des fonds lavés grâce à des services secrets appelés « mixers » - tout cela forme une machine de guerre numérique qui contourne les sanctions internationales comme si elles n’existaient pas.
Un pipeline de millions de dollars volés
Entre 2017 et 2023, les groupes de hackers affiliés à la Corée du Nord ont volé environ 3 milliards de dollars en cryptomonnaies, selon les enquêtes des Nations Unies. Ce n’est pas une série d’attaques isolées. C’est un programme d’État, organisé, financé et dirigé depuis Pyongyang. Les attaques ciblent les échanges de cryptomonnaies, les portefeuilles de développeurs, les entreprises de finance décentralisée (DeFi), et même les employés de startups technologiques. Chaque vol est soigneusement planifié. Les hackers ne cherchent pas à casser un système. Ils le pénètrent, souvent pendant des mois, en se faisant passer pour des développeurs, des ingénieurs ou des recruteurs légitimes.
Le groupe Lazarus, aussi connu sous le nom d’APT38, est le principal opérateur. Il a été impliqué dans le vol de 1,580 bitcoins après plusieurs attaques majeures. Ces bitcoins, aujourd’hui encore stockés dans six adresses spécifiques, valent plus de 40 millions de dollars. Parmi elles : 3LU8wRu4ZnXP4UM8Yo6kkTiGHM9BubgyiG, 39idqitN9tYNmq3wYanwg3MitFB5TZCjWu, et 3PjNaSeP8GzLjGeu51JR19Q2Lu8W2Te9oc. Ces adresses sont publiques, mais personne ne sait qui les contrôle vraiment - jusqu’à ce que les analystes retracent les mouvements et trouvent des liens avec des opérations nord-coréennes.
Comment les hackers s’infiltrent ?
Les attaques ne commencent pas par un code complexe. Elles commencent par un CV. Des hackers nord-coréens postulent à des postes de développeur chez des entreprises de cryptomonnaie en Europe, aux États-Unis ou en Corée du Sud. Ils utilisent des noms falsifiés, des profils LinkedIn soigneusement construits, et même des vidéos d’entretien en direct pour convaincre les recruteurs. Une fois embauchés, ils accèdent aux systèmes internes, aux clés privées, aux mots de passe de portefeuilles, et volent des fonds sans déclencher d’alerte. C’est du social engineering à grande échelle, avec un niveau de précision qui surpasse les attaques classiques de phishing.
Les équipes de sécurité de l’FBI ont documenté des cas où des hackers nord-coréens ont piraté des serveurs de portefeuilles en exploitant des failles dans les logiciels de gestion des clés. D’autres ont utilisé des attaques par chaîne d’approvisionnement : en infectant une bibliothèque logicielle utilisée par plusieurs entreprises, ils ont pu accéder à des milliers de portefeuilles en une seule opération.
Le lavage : comment les fonds disparaissent
Voler des bitcoins, c’est une chose. Les convertir en argent réel, c’en est une autre. C’est là que les « mixers » entrent en jeu. Ce sont des services de lavage de cryptomonnaies qui mélangent des fonds provenant de plusieurs sources avant de les redistribuer. Un bitcoin volé par la Corée du Nord peut être mélangé avec des fonds de joueurs, d’investisseurs légitimes, ou même de donateurs anonymes. Après le mélange, les fonds ressortent comme s’ils venaient de partout - et de nulle part.
Les autorités américaines et les Nations Unies ont identifié des dizaines de ces services, souvent hébergés sur des serveurs en Russie, en Chine ou en Asie du Sud-Est. Certains sont même conçus comme des applications mobiles, accessibles via des réseaux cachés. Une fois lavés, les fonds sont convertis en monnaies stables comme USDT ou USDC, puis transférés vers des comptes bancaires en Asie, souvent via des intermédiaires locaux. De là, ils finissent dans des projets d’armement, des achats de matières premières pour les usines nucléaires, ou même des paiements aux ingénieurs qui construisent les missiles balistiques.
Un défi pour les sanctions
Les sanctions de l’ONU et des États-Unis ont réussi à bloquer les transactions bancaires classiques. Mais elles ne touchent pas les cryptomonnaies. Pas de banque. Pas de contrôle des transferts. Pas de trace papier. Les plateformes décentralisées n’ont pas de siège central. Elles n’obéissent à aucune loi nationale. C’est ce que la Corée du Nord exploite à fond. Contrairement à un transfert bancaire, une transaction en Bitcoin peut être effectuée en 10 minutes, sans intermédiaire, depuis n’importe quel endroit du monde.
Les analystes de la Harvard Belfer Center soulignent que la Corée du Nord a abandonné les méthodes inefficaces comme le minage de cryptomonnaies - trop gourmand en électricité - pour se concentrer uniquement sur le vol et le lavage. Leur modèle est simple : voler, mixer, convertir, financer. Et cela fonctionne. Les rapports de l’ONU indiquent que plus de 58 attaques de ce type ont été recensées entre 2017 et 2023. Chacune a généré des millions de dollars. Et les attaques ne ralentissent pas.
Les réponses internationales
Les États-Unis ont réagi. Le département du Trésor a gelé des adresses de portefeuilles liées à Lazarus. Le FBI publie régulièrement des alertes aux entreprises de cryptomonnaie. Des sénateurs comme Elizabeth Warren et Jack Reed ont exigé une réponse plus agressive. En 2025, le gouvernement américain a lancé un programme de récompense : jusqu’à 15 millions de dollars pour toute information qui permet de démanteler un réseau de vol de cryptomonnaies au profit de la Corée du Nord.
La Corée du Sud, elle, a changé de stratégie. Au lieu de se défendre uniquement, elle développe des capacités offensives. En 2023, elle a créé un groupe de travail tripartite avec les États-Unis et le Japon pour traquer les hackers nord-coréens. Des équipes de cybersécurité ont été envoyées sur des plateformes DeFi pour identifier les mouvements suspects. Des algorithmes surveillent en temps réel les transferts entre adresses connues comme celles de Lazarus.
Quel avenir pour cette guerre invisible ?
La Corée du Nord ne va pas arrêter. Au contraire. Avec ses programmes nucléaires toujours en cours, et ses sanctions toujours en place, elle a besoin de cette source de financement. Les experts estiment que les attaques vont s’intensifier, en particulier sur les nouveaux protocoles DeFi, les jetons non fongibles (NFT), et les applications mobiles de paiement cryptographique. Les hackers s’adaptent. Les systèmes de sécurité, eux, tardent à suivre.
La question n’est plus de savoir si la Corée du Nord peut financer ses armes avec des cryptomonnaies. La question est : jusqu’à quand les autres pays vont-ils laisser faire ?
Comment la Corée du Nord parvient-elle à voler des cryptomonnaies malgré les sanctions internationales ?
La Corée du Nord exploite le fait que les cryptomonnaies ne passent pas par les banques traditionnelles. Les transactions sont décentralisées, anonymes et difficiles à tracer. Les hackers utilisent des services de mixage pour masquer l’origine des fonds, puis convertissent les cryptomonnaies en monnaies stables ou en argent liquide via des intermédiaires locaux. Aucune institution financière n’est impliquée, donc les sanctions bancaires ne s’appliquent pas.
Quels sont les principaux groupes de hackers nord-coréens impliqués dans ces vols ?
Le groupe Lazarus (aussi appelé APT38) est le plus actif. Il est directement lié au service de renseignement militaire nord-coréen. Ce groupe a été responsable de la majorité des vols de cryptomonnaies depuis 2017, y compris les attaques contre les échanges Bybit, KuCoin et Ronin. Ils utilisent des techniques de phishing, d’ingénierie sociale et d’intrusion dans les chaînes d’approvisionnement logicielle.
Quelle est la part des cryptomonnaies dans le financement des armes nucléaires nord-coréennes ?
Les cryptomonnaies volées représentent aujourd’hui la première source de financement du programme d’armes de destruction massive de la Corée du Nord, dépassant les revenus du trafic de drogue ou des exportations illégales. Selon les estimations de l’ONU, entre 70 et 80 % des fonds utilisés pour les essais nucléaires et les missiles balistiques proviennent désormais de cyberattaques.
Pourquoi les entreprises de cryptomonnaie sont-elles si vulnérables ?
Beaucoup d’entre elles sont jeunes, sous-ressourcées, et manquent d’expertise en cybersécurité. Elles priorisent la croissance plutôt que la sécurité. De plus, les hackers nord-coréens passent des mois à étudier les systèmes avant d’attaquer, en se faisant passer pour des employés légitimes. Une faille dans un logiciel de gestion de clés privées peut suffire à voler des millions.
Les États-Unis et l’ONU ont-ils réussi à arrêter ces vols ?
Ils ont réussi à bloquer certaines adresses et à identifier des réseaux, mais pas à arrêter le flux. Les hackers changent constamment d’adresses, utilisent de nouveaux protocoles et exploitent les failles dans les réglementations locales. La Corée du Nord continue de voler des centaines de millions par an. La seule solution durable passe par une coopération internationale plus forte et des normes mondiales de traçabilité des transactions cryptographiques.