Les hackers nord-coréens de Lazarus viennent de faire une nouvelle victime dans le monde des cryptomonnaies. Les pirates sont en effet parvenus à dérober une partie des cryptos détenues par la plateforme Bitrefill au cours d’une intrusion. Des données clients ont aussi été compromises.
Bitrefill, une plateforme de e-commerce qui permet aux utilisateurs de dépenser leurs cryptos, vient de subir une cyberattaque massive. Dans la journée du 1ᵉʳ mars 2026, des pirates sont parvenus à pénétrer dans l’infrastructure interne de l’entreprise. Pour arriver à leurs fins, les attaquants ont d’abord compromis l’ordinateur portable d’un employé.
March 1st incident report
On March 1, 2026, Bitrefill was the target of a cyberattack. Based on indicators observed during the investigation – including the modus operandi, the malware used, on-chain tracing and reused IP + email addresses (!) – we find many similarities…
— Bitrefill (@bitrefill) March 17, 2026
Dans l’ordinateur, les hackers ont trouvé un ancien identifiant de connexion. Avec cet identifiant, ils ont pu accéder à une sauvegarde technique qui contenait des informations sensibles sur les activités de Bitrefill. De fil en aiguille, les pirates se sont glissés dans le système. Une fois à l’intérieur, ils n’ont pas tardé à se connecter à une « partie de la base de données et à certains portefeuilles crypto ».
À lire aussi : Crypto et dark web – le Monero est de plus en plus populaire chez les cybercriminels
Vol de cryptos et de données
Sans surprise, les cybercriminels ont d’abord siphonné les portefeuilles crypto de Bitrefill. Les actifs numériques ont été exfiltrés vers d’autres portefeuilles, sous le contrôle des attaquants. Ils ont aussi pu obtenir des informations sur les clients de l’entreprise. Les pirates ont consulté 18 500 enregistrements concernant des achats, comprenant des informations comme des adresses e-mail, des adresses de paiement crypto et des métadonnées, notamment des adresses IP. Environ 1 000 dossiers de clients comprennent des informations jugées sensibles. Les dossiers comportent notamment les noms des clients, chiffrés par Bitrefill. Comme les pirates informatiques « ont pu accéder aux clés de chiffrement, nous considérons ces données comme potentiellement compromises », admet le groupe originaire de Suède.
Dans la foulée, les hackers ont aussi pu effectuer des achats suspects auprès de fournisseurs de l’entreprise. C’est d’ailleurs à ce moment-là que Bitrefill s’est rendu compte de l’intrusion. La société explique avoir « détecté l’incident après avoir constaté des habitudes d’achat suspectes auprès de certains fournisseurs ». Nos « stocks de cartes-cadeaux et nos chaînes d’approvisionnement » étaient compromis, souligne le groupe.
« Bitrefill a été conçu pour stocker très peu de données personnelles. Nous sommes une boutique en ligne, et non un fournisseur de services de cryptomonnaies », explique Bitrefill, soulignant qu’elle n’exige pas que ses clients remplissent un formulaire de type KYC (Know Your Customer).
Ce formulaire sert à vérifier l’identité des utilisateurs en ligne en récupérant un très grand nombre de données personnelles, comme leurs noms ou leurs adresses postales. Pour les clients qui choisissent de remplir le formulaire KYC, notamment « pour accéder à des niveaux d’achat supérieurs ou à certains produits », les données sont directement stockées par un prestataire externe.
Encore un coup de Lazarus
Bitrefill explique avoir mis ses systèmes hors ligne pour contenir l’attaque. L’entreprise suédoise attribue l’attaque à Lazarus, le gang de hackers à la solde de la Corée du Nord. Les investigations menées par ses équipes « révèle de nombreuses similitudes entre cette attaque et les cyberattaques précédentes menées par le groupe nord-coréen » contre d’autres entreprises du monde des cryptomonnaies.
Depuis des années, les cybercriminels nord-coréens dérobent des montagnes de cryptomonnaies sur ordre du gouvernement nord-coréen. Ils sont notamment à l’origine du hack du Ronin Network ou du piratage de Bybit l’an dernier, qui s’est soldé par le vol de plus de 1,4 milliard de dollars. Au cours de l’année dernière, Lazarus a amassé plus de deux milliards de dollars de cryptomonnaies. Les pirates ne sont visiblement pas prêts de lever le pied. Le montant total volé chez Bitrefill n’a pas encore été communiqué. En revanche, l’entreprise assure qu’elle couvrira elle‑même ces pertes en piochant dans les fonds destinés aux opérations courantes.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.