1,5 milliard de dollars. Disparus en une après-midi. C'était Bybit, février 2025. Le groupe Lazarus de la Corée du Nord ne s'est pas donné la peine de tenter de craquer la cryptographie d'Ethereum. Ils se sont attaqués aux gens à la place — ils ont injecté du JavaScript malveillant dans l'interface du portefeuille utilisée par l'équipe de Bybit, détourné un jeton de session AWS, contourné l'authentification multifacteur et reparti avec 401 347 ETH. Le FBI a confirmé l'attribution en quelques semaines.
Le chiffre est difficile à encaisser : c'était plus d'argent que tous les exploits DeFi de 2025 réunis. Une erreur opérationnelle à un seul échange, et 1,5 milliard de dollars se sont volatilisés. Chainalysis a comptabilisé 3,4 milliards de dollars en vols blockchain pour 2025, en hausse de 55 % par rapport à 2,2 milliards en 2024. La blockchain elle-même allait bien. Les humains qui la géraient ne l'étaient pas.
Comment la blockchain sécurise vos transactions#
Une blockchain est un grand livre distribué — une base de données copiée sur des milliers d'ordinateurs dans le monde. Quand vous envoyez du Bitcoin ou interagissez avec un contrat intelligent sur Ethereum, la transaction est validée par le réseau avant de devenir permanente. Trois mécanismes rendent ce processus difficile à manipuler.
Le hachage cryptographique lie chaque bloc à celui qui le précède. Chaque bloc contient un hash — une empreinte digitale mathématique — des données du bloc précédent. Pour modifier une transaction, il faudrait recalculer tous les hash de la chaîne après celui-ci. Sur Bitcoin, avec des millions de mineurs exécutant des calculs SHA-256, cela nécessite plus de puissance de calcul que n'en possèdent la plupart des pays.
La décentralisation répartit le grand livre entre des milliers de nœuds. Une banque stocke ses données sur des serveurs centralisés. Un pirate qui les compromise contrôle tout. Une blockchain n'a pas de point central. Le grand livre existe partout. L'attaquer signifierait compromettre la majorité de ces nœuds simultanément, à travers différents pays, réseaux et opérateurs.
Les mécanismes de consensus forcent le réseau à s'accorder avant que quoi que ce soit soit enregistré. Les mineurs Bitcoin brûlent de l'électricité en résolvant des énigmes cryptographiques pour valider les transactions. Les validateurs Ethereum mettent en jeu leur propre ETH — s'ils approuvent une transaction frauduleuse, ils perdent leur mise. Attaquer Bitcoin coûterait des milliards en matériel et en électricité. Attaquer Ethereum signifierait acheter et risquer des milliards en ETH.
Ces trois couches ensemble expliquent pourquoi personne n'a jamais hacké Bitcoin ou Ethereum. Mais l'infrastructure que les gens construisent dessus ? C'est une autre histoire.
Les différentes blockchains ont des niveaux de sécurité différents#
Les gens parlent de « blockchain » comme si c'était une seule chose. Ce n'est pas le cas. Il existe des types différents avec des hypothèses de sécurité très différentes.
| Type | Qui peut rejoindre | Qui valide | La sécurité dépend de | Utilisé par |
|---|---|---|---|---|
| Public | N'importe qui | Tous les nœuds | Coût économique de l'attaque | Bitcoin, Ethereum |
| Privé | Sur invitation seulement | Nœuds sélectionnés | Contrôles d'accès, confiance | Hyperledger Fabric |
| Avec permissions | Membres approuvés | Validateurs désignés | Gouvernance + identité | Ripple, Corda |
| Hybride | Public et privé | Varie | Approche combinée | Dragonchain |
Les réseaux publics ont des milliers de validateurs qui se vérifient mutuellement. Pour attaquer Bitcoin, il faudrait dépenser plus que toute l'industrie minière réunie. Personne ne l'a fait. Le compromis est que cette validation distribuée est lente.
JPMorgan gère une blockchain privée parce qu'elle a besoin de contrôler qui participe. Logique pour une banque. Mais une blockchain avec 20 validateurs est très différente d'une avec 20 000. Compromettre quelques nœuds suffit à contrôler le réseau. C'est le prix du privé au lieu du public.
Les blockchains hybrides tentent de combiner les avantages des deux. En pratique, elles combinent aussi leurs surfaces d'attaque.
Les plus grandes attaques blockchain et ce qui a vraiment mal tourné#
Regardez les chiffres et vous remarquerez quelque chose. Presque aucune de ces attaques n'a visé le protocole blockchain lui-même. C'étaient des défaillances opérationnelles. Quelqu'un a réutilisé un mot de passe. Quelqu'un a laissé une clé privée sur un serveur. Quelqu'un a déployé un contrat intelligent sans le vérifier correctement.
| Attaque | Montant | Année | Cause première |
|---|---|---|---|
| Bybit | 1,5 G$ | 2025 | JS malveillant dans l'interface du portefeuille, jetons AWS détournés |
| DMM Bitcoin | 305 M$ | 2024 | Compromission de clé privée à l'échange japonais |
| PlayDapp | 290 M$ | 2024 | Vulnérabilité de clé privée, plateforme de jeux |
| WazirX | 230 M$ | 2024 | Exploitation de portefeuille multi-sig via interface de garde |
| Cetus DEX | 223 M$ | 2025 | Vérification de débordement manquée dans le code d'échange |
| Balancer | 128 M$ | 2025 | Bug de direction d'arrondi |
| Orbit Chain | 80 M$ | 2024 | Pont cross-chain vidé |
Les compromissions de portefeuilles et les vols de clés privées ont représenté 69 % de toute la valeur volée au premier semestre 2025. Les employés compromis ont causé 55,6 % de tous les incidents en 2024. Personne n'a craqué aucun chiffrement. Des gens ont cliqué sur le mauvais lien, réutilisé des mots de passe ou laissé des clés où ils n'auraient pas dû les laisser. Des erreurs banales valant chacune des centaines de millions.
Les vulnérabilités blockchain courantes que vous devriez connaître#
Quinze ans plus tard, personne n'a craqué le grand livre blockchain principal. Ce qui continue à être craqué, c'est tout ce qui gravite autour.
Les contrats intelligents sont en haut de la liste. Ce sont des morceaux de code qui s'exécutent automatiquement en chaîne, et une fois déployés, vous ne pouvez pas les corriger comme une mise à jour d'application ordinaire. Un bug et n'importe qui dans le monde peut l'exploiter. La DAO l'a appris en 2016 quand un bug de réentrance a coûté 60 millions de dollars. Neuf ans plus tard, on en voit encore. En 2024, 8,5 % de tous les vols venaient de vulnérabilités de contrats intelligents. Halborn a examiné les 100 plus grands hacks DeFi et a trouvé que la vérification d'entrée défectueuse en était à l'origine dans 35 % des cas.
| Vulnérabilité | Ce qui se passe | Ampleur des dégâts |
|---|---|---|
| Attaque à 51 % | Une entité prend le contrôle majoritaire de la validation du réseau | Ethereum Classic a été touchée plusieurs fois en 2020 |
| Attaque Sybil | Les faux nœuds inondent le réseau pour perturber le consensus | Courant sur les blockchains plus petites avec peu de validateurs |
| Hameçonnage | Les utilisateurs sont trompés pour signer des transactions malveillantes ou révéler des clés | 410 M$ perdus au H1 2025 sur 132 incidents |
| Exploitation de prêt flash | Les fonds empruntés manipulent les prix des jetons au cours d'une seule transaction | Euler Finance — 197 M$, le plus grand jamais enregistré |
| Piratage de pont | Les vulnérabilités du pont cross-chain permettent la frappe de jetons non adossés | Les pertes ont chuté de 338 M$ (2023) à 114 M$ (2024) |
| Rug pull | Les développeurs font le buzz sur un jeton puis drainent toute la liquidité | 1,9 % des pertes totales en 2024 |
Halborn a publié une statistique qui m'a marqué. Parmi les protocoles piratés dans les principaux incidents DeFi, seuls 19 % avaient des portefeuilles multi-signature. 2,4 % utilisaient le stockage à froid. Aucune banque n'opérerait de cette façon. Mais en crypto, la plupart des projets ont été lancés sans l'un ni l'autre et ont espéré que ça marcherait.
Les meilleures pratiques de sécurité blockchain qui fonctionnent réellement#
Qu'est-ce qui sépare les projets qui survivent de ceux qui font la une des journaux pour les piratages ? Quelques éléments basiques.
Les audits de contrats intelligents viennent en premier. Vous payez une entreprise de sécurité indépendante pour examiner votre code avant le déploiement. Ils cherchent les bugs de réentrance, les débordements d'entiers, les failles de contrôle d'accès. Oui, ça coûte cher.
| Type de projet | Coût d'audit |
|---|---|
| Jeton ou NFT simple | 5 000 $ - 15 000 $ |
| Protocole de jalonnement ou de gouvernance | 15 000 $ - 40 000 $ |
| Protocole DeFi complet | 40 000 $ - 100 000 $ |
| Système multi-chaîne d'entreprise | 100 000 $ - 200 000 $+ |
CertiK, Hacken, OpenZeppelin, Trail of Bits — les principaux auditeurs. Les contrats audités se font quand même pirater parfois. Mais les contrats non audités s'effondrent beaucoup plus souvent.
Les portefeuilles multi-sig sont indispensables pour n'importe quel compte important. Exiger deux ou trois signatures pour chaque transaction signifie qu'une clé compromise ne suffira pas. Bybit utilisait une multi-sig mais s'est quand même fait attaquer parce que les attaquants ont ciblé l'interface de signature, pas les clés directement. La multi-sig n'est qu'une couche, pas la seule défense.
Le stockage à froid est le meilleur moyen de sécuriser les fonds que vous ne déplacez pas. Un portefeuille jamais connecté à Internet ne peut pas être piraté en ligne. Les bourses qui ont survécu aux deux dernières années sans incidents majeurs gardaient la majorité des fonds clients hors ligne.
La surveillance en temps réel fait la différence. Venus Protocol avait un système d'alerte qui a détecté des appels suspects 18 heures avant une attaque. Ils ont tout bloqué et sauvé l'argent. L'attaquant a même perdu de l'argent en frais de transaction. Chainalysis Hexagate, Forta Network, OpenZeppelin Defender — ces outils surveillent la blockchain 24h/24 et attrapent les anomalies que personne ne verrait.
Il y a aussi les basiques qui comptent : modules de sécurité matérielle pour les clés privées, contrôle d'accès basé sur les rôles pour que personne ne puisse approuver un gros transfert seul, rotation régulière des identifiants, plan d'intervention en cas de fuite écrit à l'avance.
DeFi devient plus sûr, CeFi se détériore#
Les chiffres de 2024 pour DeFi et CeFi m'ont surpris.
| Pertes 2024 | Incidents | Évolution annuelle | |
|---|---|---|---|
| DeFi | 769 M $ | 221 | −44,8 % |
| CeFi | 726 M $ | 11 | +77,5 % |
CeFi a eu onze incidents et perdu presque autant que DeFi l'a perdu en 221 incidents. Un mauvais jour dans une bourse centralisée fait plus de dégâts que des mois d'attaques DeFi réunies.
DeFi améliore vraiment. Les pertes de ponts diminuent. Plus de projets se font auditer avant de lancer. Les programmes de bounty d'Immunefi paient les hackers pour trouver les failles en premier, et ça marche.
CeFi s'aggrave. Les bourses gardent des milliards de cryptomonnaie client dans quelques comptes d'employés. Un email de phishing suffit à un développeur pour que vous lisiez un article sur un piratage à neuf chiffres. Bybit a dû remplacer 1,5 milliard de dollars en trois jours après leur faille de février 2025. Ils l'ont fait, mais de justesse. Tout le monde ne le pourrait pas.
Le marché de la sécurité blockchain explose#
Fortune Business Insights estime le marché de la sécurité blockchain à 5 milliards de dollars en 2025, avec une projection de 8,4 milliards d'ici 2026. Coherent Market Insights prévoit une croissance à 128 milliards de dollars d'ici 2032, soit un taux de croissance annuel de 57 %.
Deux choses expliquent cette tendance. D'abord, il y a simplement plus d'argent en chaîne chaque année – plus d'argent à protéger. Ensuite, les régulateurs ne sont plus facultatifs. Le cadre MiCA de l'UE impose des normes de sécurité spécifiques à toute entreprise de crypto opérant en Europe. La CFTC américaine a lancé un Digital Assets Pilot Program qui accepte les garanties tokenisées, mais seulement pour les entreprises disposant de contrôles de sécurité sérieux. Si vous voulez de l'argent institutionnel, vous avez besoin d'une sécurité de niveau institutionnel. Avant, c'était un argument marketing. Maintenant, c'est une exigence légale.
La technologie progresse aussi. Anthropic a mené un exercice de red-team et trouvé 4,6 millions de dollars de bugs dans des contrats intelligents en utilisant l'analyse par IA – des vulnérabilités qui auraient pris des semaines aux auditeurs humains à découvrir. Les preuves à connaissance zéro permettent aux transactions blockchain de rester privées sans perdre la capacité à les vérifier. Le calcul multi-parties remplace les configurations multi-sig traditionnelles dans la gestion des clés blockchain d'entreprise.
Ce que cela signifie pour vous#
Si vous détenez de la crypto, les bases suffisent : un portefeuille matériel, une phrase de graine écrite sur papier et rangée en lieu sûr, l'authentification à deux facteurs via une application (pas SMS), et de la méfiance envers tout lien prétendument envoyé par votre bourse. La plupart des gens qui perdent de la crypto la perdent au phishing ou au mauvais stockage de clés, pas aux exploits au niveau du protocole.
Si vous construisez en chaîne, le processus est plus complexe mais transparent : auditer avant de lancer, multi-sig sur votre trésorerie, surveillance en temps réel sur vos contrats, et un plan de réponse aux incidents rédigé avant la crise du samedi à 3 heures du matin. Le grand livre distribué qui soutient tout cela est solide – quinze ans de Bitcoin l'ont prouvé. Mais les contrats intelligents, les ponts, les portefeuilles et la sécurité opérationnelle construits dessus ne sont aussi bons que ceux qui les gèrent. Et à 3,4 milliards de dollars de pertes par an, nous ne les gérons clairement pas assez bien.
