Les arnaques aux cryptomonnaies ne se contentent plus d’internet : des escrocs envoient désormais des lettres physiques aux domiciles de leurs victimes, exploitant des fuites de données pour tenter de voler des portefeuilles numériques.
Depuis quelques années, les fraudes liées aux cryptomonnaies se multiplient à une vitesse alarmante, profitant de l’anonymat et de la complexité technique de cet univers encore jeune. Mais en 2025, un nouveau palier inquiétant a été franchi : des victimes reçoivent désormais des lettres imprimées, livrées directement dans leur boîte aux lettres, imitant des communications officielles de la société Ledger, leader des portefeuilles matériels. Cette méthode, qui rappelle les arnaques postales d’un autre temps, témoigne de la créativité sans cesse renouvelée des cybercriminels, et de l’urgence à mieux protéger les données personnelles. Au-delà du monde numérique, c’est notre sécurité physique qui est désormais menacée, soulignant les failles béantes dans la protection de la vie privée des utilisateurs.
L’image aurait pu prêter à sourire si elle n’était pas aussi inquiétante. Sur son compte X (anciennement Twitter), l’influenceur crypto Jacob Canfield a partagé des photos de lettres prétendument envoyées par Ledger. Ces documents, présentés avec un ton formel et un graphisme quasi professionnel, réclament la « validation obligatoire du portefeuille » à la suite d’une soi-disant « mise à jour de sécurité critique ». L’objectif est clair : inciter le destinataire à scanner un code QR et, dans un second temps, à renseigner sa phrase de récupération à 24 mots, clef absolue d’un portefeuille Ledger. Une fois cette phrase divulguée, les criminels n’ont plus qu’à transférer les fonds.
« Si quelqu’un vous demande votre phrase de récupération, c’est une arnaque », martèle Ledger.
La société française, pionnière de la sécurité crypto grâce à ses portefeuilles physiques réputés inviolables, a rapidement réagi sur les réseaux sociaux. Elle a confirmé l’existence de ces lettres frauduleuses et a réitéré qu’elle ne solliciterait jamais, sous aucune forme, la phrase de récupération de ses clients. Car contrairement à des comptes bancaires traditionnels, une fois les fonds détournés depuis un portefeuille crypto, il est impossible de revenir en arrière. Il n’existe ni institution centrale pour bloquer la transaction, ni recours juridique immédiat : la perte est définitive.
Si ces lettres ont pu être envoyées, c’est notamment en raison d’une faille ancienne mais dont les effets continuent de se faire sentir. En juillet 2020, une importante fuite de données a exposé près d’un million d’adresses e-mail de clients Ledger. Pire encore, les noms, adresses postales, numéros de téléphone et détails de commande de 9 500 clients ont été rendus publics. Un trésor pour des escrocs patients, capables de concevoir des campagnes d’hameçonnage ultra ciblées plusieurs années après les faits.
Une faille de 2020 alimente encore aujourd’hui des arnaques postales, prouvant que les données personnelles volées ne périment jamais pour les cybercriminels.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
La nouveauté, cette fois, c’est le retour à un support physique, à rebours des arnaques classiques par mail ou message instantané. Cette stratégie exploite un biais psychologique puissant : une lettre tangible paraît plus authentique, plus officielle, surtout lorsqu’elle arrive dans un contexte de panique ou de méfiance généralisée envers les plateformes numériques. D’autant que ces lettres usurpent le ton rassurant et technique habituel de Ledger, avec des logos identiques et un vocabulaire spécifique destiné à piéger même les utilisateurs les plus aguerris.
L’affaire survient alors que le monde des cryptomonnaies traverse une période d’instabilité. Selon un rapport publié par la plateforme de bug bounty Immunefi, les pertes enregistrées dans l’écosystème crypto ont explosé au cours des quatre premiers mois de 2025, atteignant 1,7 milliard de dollars (environ 1,58 milliard d’euros). Ce montant est quatre fois supérieur aux 420 millions de dollars (environ 391 millions d’euros) perdus à la même période en 2024. Cette explosion s’explique en grande partie par le piratage spectaculaire de la plateforme Bybit, qui a à lui seul entraîné un préjudice estimé à 1,5 milliard de dollars (1,39 milliard d’euros).
Mais au-delà de ce cas emblématique, le mois d’avril 2025 a vu se multiplier les attaques. Quinze incidents majeurs ont été recensés, avec des pertes s’élevant à 92 millions de dollars (environ 85 millions d’euros), soit une hausse de 27 % par rapport à avril 2024 et plus du double de celles de mars 2025. La majorité de ces pertes sont dues à des piratages, et non à des escroqueries ou erreurs humaines, ce qui souligne le niveau de sophistication croissant des attaques.
En avril 2025, les attaques informatiques ont causé à elles seules plus de 92 millions de dollars de pertes dans le secteur crypto, un record alarmant.
Dans ce contexte, les lettres frauduleuses envoyées au nom de Ledger prennent une dimension encore plus menaçante. Elles représentent une nouvelle frontière dans l’ingénierie sociale, exploitant à la fois la confiance, la peur de la perte et le manque d’information. Car malgré l’expérience croissante des utilisateurs, beaucoup restent vulnérables à des sollicitations bien ficelées, d’autant plus quand elles s’adossent à des éléments tangibles et personnalisés.
Face à ces menaces, les recommandations des experts restent simples mais fondamentales. Ne jamais transmettre sa phrase de récupération, même en cas de doute. Vérifier directement les informations via les canaux officiels. Et surtout, se méfier de tout contact non sollicité, qu’il soit numérique ou physique. Car dans l’univers de la cryptomonnaie, chaque utilisateur est aussi son propre garant, son propre coffre-fort.
La question qui se pose aujourd’hui est de savoir si les régulateurs et les plateformes technologiques prendront la mesure de ce changement de paradigme. Car tant que les données personnelles continueront de circuler dans la nature, les escrocs disposeront d’un arsenal sans fin pour piéger leurs cibles, peu importe la forme que prennent leurs attaques. Le courrier frauduleux n’est qu’un nouvel avatar d’un problème bien plus vaste : la fragilité de notre identité numérique, et désormais physique.
Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.
Kraken a déjoué une tentative d’infiltration orchestrée par un hacker nord-coréen se faisant passer pour un ingénieur. Une leçon de cybersécurité révélée par l’un des leaders américains de la crypto-monnaie.
Dans un monde où les cyberattaques sont devenues monnaie courante, certaines d’entre elles prennent des formes de plus en plus inattendues. Dernière illustration en date : la tentative d’un pirate nord-coréen de s’introduire chez Kraken, un géant américain de la crypto-monnaie, en se faisant passer pour un ingénieur informatique lors d’un processus de recrutement. Loin de se faire piéger, l’entreprise a profité de l’occasion pour retourner la situation à son avantage. Ce cas, emblématique d’une stratégie de plus en plus utilisée par des groupes étatiques, révèle une sophistication inquiétante dans l’art de l’espionnage numérique. Il souligne aussi la nécessité pour les entreprises de développer des stratégies de cybersécurité toujours plus intelligentes et proactives.
L’art de l’infiltration numérique
Le scénario aurait pu passer pour une série Netflix. Il commence par une candidature en apparence banale pour un poste d’ingénieur logiciel. Mais très vite, les signaux d’alerte s’accumulent. Le nom utilisé par le candidat diffère de celui affiché sur le CV, et sa voix change à plusieurs reprises lors de l’entretien, comme si plusieurs personnes participaient en coulisses. Pour les recruteurs de Kraken, cela ne fait bientôt plus aucun doute : quelque chose cloche sérieusement.
En creusant davantage, ils découvrent que l’adresse e-mail utilisée figure sur une base de données recensant des contacts liés à des cyberattaques nord-coréennes. Le profil GitHub du candidat, pourtant bien fourni, trahit une adresse déjà compromise dans une fuite de données antérieure. Des incohérences s’ajoutent : le candidat se connecte via un VPN, accède à l’entretien depuis un Mac distant, et ses justificatifs d’identité semblent manifestement falsifiés.
L’opération devient alors pour Kraken bien plus qu’une simple procédure d’embauche. Conscients de la portée de cette tentative, les responsables de la plateforme crypto décident de transformer ce faux recrutement en véritable mission de contre-espionnage.
Une chasse au hacker méthodique
Ce que Kraken met en œuvre ensuite est digne d’un manuel d’enquête numérique. L’entreprise décide de continuer à faire progresser le faux candidat dans le processus de recrutement, tout en documentant chaque interaction. L’objectif : comprendre les tactiques utilisées par ces pirates d’un genre nouveau, qui ne cherchent plus seulement à voler des données ou des crypto-actifs, mais à infiltrer de l’intérieur les structures mêmes de leurs cibles.
L’analyse révèle alors un réseau plus vaste, composé de multiples identités, probablement gérées par un seul individu. Selon Kraken, la même personne utilisait jusqu’à quatre identités différentes pour postuler dans le secteur technologique, une stratégie visant à maximiser ses chances d’infiltration. Derrière cette façade, les traces pointent vers une opération organisée, méthodique, et clairement commanditée par un État.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
« Nous avons compris que nous n’avions pas affaire à un candidat isolé, mais à une entité structurée avec des méthodes bien rodées« , confie Nick Percoco, directeur de la sécurité de Kraken.
Une cyberattaque à visage humain
Le point culminant de cette opération d’infiltration déguisée en recrutement est atteint lors d’un « entretien d’alchimie » avec Percoco et d’autres responsables de l’équipe de sécurité. L’objectif ? Piéger le candidat en le confrontant à des questions que seul un résident légitime de la ville qu’il prétend habiter pourrait maîtriser.
L’échange vire rapidement à l’absurde : le faux ingénieur se montre incapable de présenter une pièce d’identité valable, hésite lorsqu’on lui demande de nommer un restaurant local, et évite les questions précises sur sa localisation. Pour Kraken, cela ne fait plus de doute : l’imposteur est démasqué.
Mais au-delà de ce cas isolé, c’est un mode opératoire entier qui est mis en lumière. Car ce n’est pas la première fois que les États-Unis — et d’autres pays — signalent des tentatives d’infiltration de la part de la Corée du Nord dans des entreprises du secteur numérique et de la blockchain.
Selon Chainalysis, les hackers nord-coréens ont volé pour plus de 1,5 milliard d’euros en crypto-monnaie depuis 2017.
La crypto, terrain de jeu stratégique pour Pyongyang
Pour comprendre pourquoi des pirates nord-coréens s’attaquent aux entreprises de la blockchain, il faut revenir à la situation géopolitique du pays. Sous embargo international, asphyxié économiquement, le régime de Pyongyang voit dans la cybercriminalité une source de financement à la fois lucrative et difficile à tracer. Les crypto-monnaies, par leur nature décentralisée et pseudonyme, sont idéales pour contourner les sanctions.
Le groupe Lazarus, célèbre collectif de hackers affilié à la Corée du Nord, a déjà été identifié dans plusieurs attaques d’envergure visant des portefeuilles numériques, des plateformes d’échange ou des projets DeFi. En 2022, le piratage du jeu Axie Infinity aurait rapporté près de 620 millions de dollars (environ 580 millions d’euros) à ce groupe.
Ces opérations, parfois menées sous couvert de recrutements frauduleux ou d’ingénierie sociale, montrent à quel point les frontières entre guerre numérique, espionnage et cybercriminalité sont devenues floues.
Face à cette nouvelle forme de menace, les entreprises technologiques sont contraintes de revoir leurs protocoles de recrutement. Ce qui relevait autrefois du simple échange de CVs et d’entretiens vidéo devient désormais une zone à haut risque, où la vigilance doit être constante.
Kraken recommande, par exemple, de varier les méthodes de vérification, d’éviter les questions de contrôle classiques et répétées, et d’introduire des tests en temps réel. Car si les vrais candidats s’adaptent facilement, les imposteurs — surtout ceux opérant à distance sous de fausses identités — sont souvent déstabilisés par l’imprévu.
Un avant-goût de la cyberguerre du futur ?
L’histoire de Kraken est loin d’être un cas isolé. Elle illustre une tendance lourde, où les menaces ne viennent plus seulement des failles logicielles mais aussi des failles humaines. Dans un univers où les intelligences artificielles, les deepfakes et les identités numériques deviennent monnaie courante, il devient urgent pour les entreprises d’intégrer la cybersécurité à tous les niveaux, y compris dans les services les plus inattendus comme les ressources humaines.
Elle pose aussi une question plus large sur l’avenir des relations internationales. Si des États comme la Corée du Nord utilisent des moyens détournés pour contourner les sanctions, détourner des fonds et espionner des infrastructures critiques à l’échelle mondiale, comment garantir la souveraineté numérique des nations et la sécurité des entreprises dans un monde de plus en plus interconnecté ?
Au cœur de cette stratégie, on trouve la GenAI, l’intelligence artificielle générative, dont les avancées fulgurantes ont ouvert des possibilités presque illimitées en matière de création de contenus crédibles. Ce sont précisément ces outils, conçus à l’origine pour accélérer les processus créatifs, qui sont aujourd’hui détournés pour fabriquer des identités numériques fictives, rédiger des CV adaptés à chaque offre d’emploi, passer des entretiens en vidéo, et même interagir avec des collègues, le tout sans jamais révéler la véritable nature des « employés ». Derrière les écrans, c’est en réalité une armée coordonnée d’agents nord-coréens qui œuvre à distance, avec un objectif clair : contourner les sanctions économiques imposées par la communauté internationale et alimenter les finances de Pyongyang.
« Ferme de laptops » : le nouveau visage de l’espionnage numérique
Le terme peut sembler anodin, presque trivial. Pourtant, les « fermes de laptops » désignent des structures logistiques discrètes mais essentielles à l’efficacité de cette stratégie. Installées dans des pays tiers — parfois même aux États-Unis — ces plateformes sont dirigées par des facilitateurs : des individus chargés de réceptionner les ordinateurs envoyés par les entreprises, de configurer les machines, de créer les accès aux services internes et d’assurer la coordination entre les travailleurs fictifs et leurs employeurs.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
En 2024, un de ces facilitateurs a été identifié sur le sol américain. Il pilotait un centre dans lequel il aidait une équipe de faux travailleurs nord-coréens à maintenir leur couverture professionnelle, tout en leur garantissant un accès sécurisé aux infrastructures de leurs entreprises clientes. Et ce cas n’est pas isolé. En 2025, les autorités ont démantelé un réseau basé en Caroline du Nord, à l’origine de l’infiltration de dizaines de « collaborateurs » dans des entreprises américaines. Derrière chaque faux profil, il ne s’agissait pas d’un individu isolé, mais d’un maillon dans une organisation structurée, avec des tâches réparties, des comptes simulés, et une discipline inspirée des services secrets.
Grâce à l’IA, un faux développeur nord-coréen peut désormais passer un entretien en visioconférence avec un deepfake vocal et visuel, sans éveiller les soupçons.
Le rôle central de l’IA dans ces opérations dépasse la simple rédaction de documents. Les plateformes de génération de CV, dotées d’algorithmes d’apprentissage profond, permettent d’ajuster chaque document aux exigences des offres ciblées. Les candidats fictifs utilisent aussi des outils de suivi de candidature pour identifier les opportunités les plus accessibles, contourner les filtres automatiques et maximiser leurs chances de réussite. Plus inquiétant encore : certains facilitateurs publient eux-mêmes de fausses offres d’emploi, dans le seul but de comprendre les critères de sélection des recruteurs et de perfectionner leurs faux profils.
Les entretiens, étape souvent perçue comme décisive dans un processus de recrutement, ne constituent plus un frein pour ces acteurs malveillants. Grâce aux progrès du deepfake, un candidat peut aujourd’hui apparaître en visioconférence avec un visage généré par IA, synchronisé en temps réel avec une voix artificielle. Le tout est géré depuis les fermes de laptops, où plusieurs opérateurs se répartissent les tâches techniques et sociales, allant même jusqu’à interagir avec des collègues sur Slack ou GitHub pendant les heures de bureau.
En s’appuyant sur des plateformes RH factices, les espions nord-coréens retournent les algorithmes de recrutement contre les entreprises elles-mêmes.
Les conséquences sont multiples et préoccupantes. D’un point de vue économique, ces travailleurs infiltrés génèrent des devises étrangères — parfois plusieurs milliers de dollars par mois — qui échappent aux sanctions. À titre d’exemple, un développeur freelance employé sur des projets blockchain peut facturer entre 80 et 120 dollars de l’heure, soit environ 75 à 112 euros de l’heure. En travaillant simultanément sur plusieurs projets à distance, un seul individu peut engranger plus de 20 000 dollars (environ 18 700 euros) par mois. En réalité, ce n’est pas un individu, mais une équipe entière qui se partage les tâches et les revenus.
Sur le plan sécuritaire, ces intrusions fragilisent les systèmes d’information des entreprises. Même sans accès direct à des données sensibles, un faux collaborateur peut introduire des portes dérobées, siphonner des bases de données, ou compromettre l’intégrité des logiciels développés. Pour les entreprises visées, il devient alors presque impossible de retracer les actions malveillantes tant les identités ont été soigneusement élaborées.
Un défi pour les ressources humaines et la cybersécurité
Face à cette sophistication, les responsables RH et les équipes de cybersécurité se retrouvent démunis. Les procédures de vérification traditionnelles — entretiens, contrôles de références, tests techniques — ne suffisent plus. Certains experts recommandent désormais d’intégrer des audits réguliers des postes en télétravail, de renforcer la vérification biométrique ou de développer des systèmes d’authentification comportementale. Mais chaque avancée dans la détection semble aussitôt contournée par de nouveaux outils d’IA, toujours plus efficaces et difficilement traçables.
Paradoxalement, ce sont parfois les outils de sécurité eux-mêmes qui sont exploités à l’envers. En testant leurs faux profils contre des algorithmes de filtrage automatique, les agents nord-coréens affinent leur stratégie jusqu’à obtenir un taux de réussite optimal. Chaque échec devient une donnée d’apprentissage. Ce jeu du chat et de la souris algorithmique transforme les plateformes RH en véritables laboratoires de la désinformation.
Les États-Unis ne sont pas les seuls touchés. L’Europe, l’Asie du Sud-Est et le Moyen-Orient sont également ciblés. Des cas similaires ont été signalés en Allemagne, au Japon, et aux Émirats arabes unis, avec des modus operandi identiques. L’usage de VPN sophistiqués, l’obfuscation d’empreintes numériques et la segmentation géographique des connexions rendent l’attribution des faits extrêmement difficile. Les infrastructures de cloud sont utilisées pour dissimuler les mouvements de données et compartimenter les responsabilités.
Vers une militarisation numérique du télétravail
L’émergence des « Wagemoles », ces travailleurs clandestins manipulés par l’État nord-coréen, interroge la manière dont le monde du travail s’est transformé. Le télétravail, jadis perçu comme une libération des contraintes géographiques, devient une faille systémique. La promesse d’un recrutement mondial et diversifié se heurte à la réalité géopolitique : des régimes autoritaires exploitent les règles du jeu à leur avantage, tout en restant invisibles.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
Le terme « Wagemole », contraction de wage (salaire) et mole (taupe), évoque à la fois l’avidité financière et l’infiltration silencieuse. Il cristallise les dérives d’un monde numérique sans frontières, où la confiance repose sur des pixels et des métadonnées. Dans ce théâtre d’ombres, l’intelligence artificielle n’est plus seulement un outil, mais un personnage à part entière — parfois allié, parfois ennemi.
Si l’on ignore encore combien d’entreprises ont été infiltrées avec succès, les premières estimations font état de centaines d’opérations en cours, réparties sur tous les continents. Certaines sociétés, souvent des startups en pleine croissance, n’ont tout simplement pas les moyens de détecter de telles menaces. D’autres choisissent de garder le silence pour éviter les conséquences en termes d’image ou de responsabilité légale.
Dans un monde de plus en plus interconnecté, comment s’assurer que derrière l’écran se cache bien la personne que l’on croit embaucher ?
Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.
Actualités cybersécurité, protections des données pour PME/PMI/TPE
