Les cyberattaques d’aujourd’hui sont devenues de véritables catastrophes numériques sophistiquées, capables de perturber des organisations en quelques minutes. Elles ne se limitent plus à de simples failles superficielles : les cybercriminels utilisent désormais des tactiques avancées pour s’infiltrer et exploiter la confiance au sein de systèmes critiques. Alors que les modèles de sécurité traditionnels peinent à suivre, les organisations doivent adopter des approches basées sur le comportement et des stratégies de défense proactive.
Dans ce blog, nous revenons sur deux cyberincidents majeurs : comment ils se sont produits, pourquoi ils comptent et ce qu’ils révèlent sur l’avenir de la cybersécurité.
1. Le braquage crypto de Bybit
Début 2025, une cyberattaque parrainée par un État a siphonné 1,5 milliard de dollars en Ethereum (ETH) depuis une grande plateforme d’échange de cryptomonnaies. Plutôt que d’exploiter des failles de code, les attaquants ont manipulé un processus interne de confiance. Une frappe chirurgicale qui a mis en lumière les fragilités dans l’intégrité des transactions et la confiance opérationnelle. Bien que le vol ait eu lieu en quelques minutes, son impact a profondément transformé la façon dont les plateformes centralisées envisagent la sécurité de leur infrastructure.
Analyse technique
Voici comment les attaquants ont exploité une machine de développeur compromise pour détourner 1,5 milliard de dollars en ETH sans être détectés :
- Un malware a été implanté sur une machine de développeur liée à Safe{Wallet}, utilisée pour construire des transactions multisig en ETH.
- L’attaquant a modifié les détails de la transaction (adresse du destinataire, montant) juste avant l’étape de signature.
- Les transactions altérées restaient valides et ont contourné les contrôles internes de Bybit, faute de validation après construction.
- Environ 400 000 ETH (~1,5 milliard $) ont été redirigés vers des portefeuilles contrôlés par le Lazarus Group, puis immédiatement blanchis via des mixeurs et des ponts inter-chaînes.
- Le SIEM de Bybit n’a pas détecté de mouvement anormal de jetons en raison d’une alerte comportementale insuffisante.
- Pour se rétablir, Bybit a emprunté des liquidités d’urgence auprès d’exchanges partenaires afin d’assurer les retraits et stabiliser ses opérations.
Réponse et reprise après attaque
Une fois la brèche détectée, Bybit a immédiatement suspendu tous les retraits et activé son protocole de gestion de crise. Consciente de l’ampleur des actifs volés, la plateforme a obtenu des liquidités d’urgence auprès de partenaires comme Bitget, Antalpha et Galaxy Digital, empruntant des dizaines de milliers d’ETH pour répondre à l’afflux de demandes de retrait. Cette réaction rapide a permis de restaurer partiellement les opérations en 72 heures, au prix cependant d’une perte de réputation et d’une baisse significative de part de marché. L’incident a souligné l’importance d’une stratégie de réponse aux incidents bien définie et de systèmes de surveillance en temps réel.
Des solutions comme ManageEngine Log360 peuvent offrir une détection précoce des menaces, faciliter l’isolement rapide des brèches et soutenir l’analyse forensique grâce à des capacités SIEM et UEBA intégrées.
2. L’attaque par ransomware contre le gouvernement suisse
Mi-2025, une attaque par ransomware contre Radix, prestataire informatique suisse, a révélé les dangers des dépendances tierces. Voici comment la brèche s’est déroulée :
Analyse technique
- Les attaquants ont ciblé Radix, un fournisseur informatique à but non lucratif travaillant pour des agences fédérales suisses, en exploitant des identifiants faibles ou via du phishing.
- Une fois infiltrés, ils ont utilisé RDP, PowerShell et Cobalt Strike pour se déplacer latéralement dans un réseau mal segmenté.
- Le groupe Sarcoma a déployé un ransomware pour chiffrer des fichiers et exfiltrer plus de 1,3 To de données sensibles du gouvernement.
- Le non-paiement de la rançon a conduit à la diffusion publique des données volées sur le dark web.
- La brèche a perturbé les systèmes de Radix, affectant plusieurs agences suisses.
- Cette attaque illustre un cas classique de compromission de la chaîne d’approvisionnement, exposant les risques liés à la sécurité insuffisante d’un prestataire dans une infrastructure critique.
Après la brèche, les autorités suisses et GovCERT.ch ont ouvert une enquête avec Radix pour évaluer les dégâts et rétablir les opérations. Bien que les systèmes aient été restaurés, plus de 1,3 To de données sensibles liées aux agences fédérales avaient déjà été volés et divulgués en ligne, posant des risques durables pour la vie privée et la sécurité nationale.
L’incident a révélé des lacunes majeures dans la sécurité des prestataires et l’isolement des réseaux. Une fois dans les systèmes de Radix, les attaquants ont pu se déplacer sans déclencher d’alertes. Des experts ont souligné qu’avec une surveillance renforcée des endpoints et des outils comme ManageEngine Log360, ces mouvements auraient pu être détectés plus tôt. L’attaque a mis en évidence le besoin urgent de contrôles stricts des risques liés aux tiers et d’une détection continue des menaces au-delà des frontières de l’organisation.
Enseignements clés
Le braquage crypto de Bybit et l’attaque par ransomware contre le gouvernement suisse visaient des secteurs différents, mais ils révèlent un thème commun : les cyberattaques modernes prospèrent sur la confiance aveugle et les maillons faibles des écosystèmes numériques. Dans les deux cas, les attaquants ont exploité des dépendances négligées : une machine de développeur compromise dans le premier, un prestataire insuffisamment sécurisé dans le second.
Ces incidents rappellent l’urgence de repenser les approches traditionnelles de la sécurité. Il ne suffit plus de protéger uniquement les systèmes centraux : il faut valider chaque relation de confiance, imposer des contrôles stricts à travers toute la chaîne d’approvisionnement et assurer une segmentation réseau capable de contenir les déplacements latéraux.
La cybersécurité aujourd’hui ne se limite pas à réagir aux brèches : il s’agit de réduire proactivement les risques sur l’ensemble de l’écosystème. Cela implique d’adopter des architectures Zero Trust, de réaliser des audits réguliers, d’investir dans le renseignement sur les menaces et de prioriser la sensibilisation des employés.
Dans un monde où les attaquants n’ont besoin que d’un seul maillon faible, votre résilience doit commencer partout.