La plateforme suédoise Bitrefill, spécialisée dans l'achat de cartes-cadeaux en cryptomonnaies, a été victime d'une cyberattaque le 1er mars 2026, attribuée au groupe Lazarus, associé à la Corée du Nord, comme l'ont révélé nos confrères de Cryptoast. Cette attaque a conduit au vidage de plusieurs wallets crypto et compromis environ 18 500 dossiers clients.

Ce qu'il faut retenir

  • Bitrefill a subi une cyberattaque le 1er mars 2026 attribuée au groupe Lazarus nord-coréen.
  • Des wallets crypto ont été vidés et environ 18 500 dossiers clients ont été compromis.
  • Les hackers ont exploité une brèche à partir de l'ordinateur portable d'un employé pour compromettre les systèmes de Bitrefill.

Les détails de l'attaque

Les hackers ont initialement compromis l'ordinateur portable d'un employé de Bitrefill pour accéder à une sauvegarde technique contenant des données sensibles, avant de progresser à travers l'infrastructure de l'entreprise. Les portefeuilles ont été vidés et les fonds exfiltrés vers des adresses contrôlées par les attaquants, sans que le montant exact ne soit encore divulgué par Bitrefill.

En parallèle, les pirates ont eu accès à environ 18 500 dossiers clients, incluant des adresses e-mail, des adresses de paiement en cryptomonnaies et des adresses IP. Bitrefill a pris des mesures en contactant directement les personnes concernées lorsque des noms chiffrés étaient présents parmi ces dossiers. Suite à des achats inhabituels chez certains partenaires, l'intrusion a été découverte et les systèmes ont été mis hors ligne.

Le groupe Lazarus et ses antécédents

Le groupe Lazarus, affilié au régime nord-coréen, est connu pour ses attaques contre des plateformes crypto. En 2025, ils ont accumulé plus de 2 milliards de dollars en cryptomonnaies, représentant près de 60 % des pertes mondiales liées aux hacks. Ils ont déjà ciblé des plateformes telles que Ronin Network, Harmony's Horizon Bridge, WazirX et Atomic Wallet, leur exploit le plus remarquable étant le piratage de Bybit en février 2025, avec un vol de plus de 1,5 milliard de dollars en ether.

Ce qu'il faut retenir

  • Le groupe Lazarus est associé au régime nord-coréen et a déjà perpétré plusieurs attaques contre des plateformes crypto majeures.
  • En 2025, Lazarus a volé plus de 2 milliards de dollars en cryptomonnaies, soit près de 60 % des pertes mondiales liées aux hacks.
  • L'intrusion sur Bitrefill présente des similitudes avec les modus operandi précédents de Lazarus.

Les mesures prises par Bitrefill

Suite à l'incident, Bitrefill collabore avec des experts en sécurité et les autorités pour retracer les fonds volés. Des mesures correctives ont été mises en place, incluant un renforcement des contrôles d'accès, des tests d'intrusion réguliers et des procédures d'arrêt d'urgence automatisées. La politique de collecte minimale de données de l'entreprise a permis de limiter les dégâts, sans KYC obligatoire.

Et maintenant ?

Les autorités poursuivent l'enquête sur cette cyberattaque. Bitrefill renforce sa sécurité et assure la couverture des pertes sur ses fonds opérationnels sans impacter les utilisateurs.