1. 💰 ByBit — 1,5 milliard de dollars volés (février 2025)
Park Jin Hyok Wanted
En février 2025, la plateforme crypto ByBit, basée à Dubaï, a subi l’une des plus grandes cyberattaques de l’année.
Le groupe nord-coréen Lazarus a exploité une faille dans un portefeuille tiers intégré, ce qui leur a permis de détourner plus de 1,5 milliard de dollars en Ethereum.
Les hackers ont infiltré le système via une clé compromise, escaladé les privilèges, puis transféré les fonds vers des portefeuilles anonymes avant de les blanchir via des outils DeFi.
Cette attaque souligne les risques liés aux partenaires technologiques et l’importance de renforcer les contrôles de sécurité sur les outils externes.
Leçon : les venues externes (fournisseurs tiers) représentent un immense risque ; audits fréquents et isolation stricte des systèmes critiques sont essentiels nypost.com+15breached.company+15riscitsolutions.com+15.
2. 🇮🇷 Codebreakers vs. Bank Sepah (mars 2025)
En mars 2025, la banque publique iranienne Bank Sepah, basée à Téhéran, a été victime d’une cyberattaque majeure. Le groupe de hackers connu sous le nom de Codebreakers a réussi à pénétrer les systèmes informatiques internes de la banque, exploitant vraisemblablement des vulnérabilités dans les protocoles de sécurité réseau.
.png) |
| Codebreakers et Bank Sepah |
Cette infiltration a permis aux attaquants d’accéder à des données sensibles concernant environ 42 millions de clients, exposant des informations personnelles et financières cruciales.
L’attaque a été détectée grâce à des alertes internes, mais pas avant que les hackers n’aient pu extraire une grande quantité de données. Ce cas illustre l’importance pour les banques nationales de renforcer leurs mesures de cybersécurité, notamment en durcissant les contrôles d’accès et en chiffrant systématiquement les données stockées.
digitalxraid.com+2en.wikipedia.org+2wsj.com+2.
Leçon : même les banques nationales doivent durcir les contrôles réseau, sécuriser les accès et chiffrer les données sensibles.
3. 🛍️ Marks & Spencer – Ransomware Scattered Spider/DragonForce (avril‑mai 2025)
Entre avril et mai 2025, l’enseigne britannique Marks & Spencer (M&S) a été la cible d’une
attaque par ransomware orchestrée par le groupe cybercriminel Scattered Spider, potentiellement en collaboration avec le collectif hacktiviste DragonForce Malaysia. Ce dernier a d’ailleurs revendiqué publiquement l’attaque, en diffusant des preuves telles que des extraits de bases de données et des captures d’écran de documents internes. Les pirates ont réussi à infiltrer les systèmes informatiques du siège de l’entreprise, principalement situé au Royaume-Uni, à l’aide de techniques d’ingénierie sociale sophistiquées, souvent en se faisant passer pour des prestataires ou employés afin de dérober des identifiants. Cette opération leur a permis de chiffrer certaines infrastructures informatiques et de voler un volume important de données.
 |
| src: freepik.com |
Parmi les informations compromises figurent des données personnelles de clients (adresses e-mail, historiques d’achats), des documents internes confidentiels liés aux ressources humaines et aux finances, ainsi que des données sensibles sur les employés. En menaçant de publier l’ensemble de ces documents si aucune rançon n’était versée, les cybercriminels ont exercé une forte pression sur M&S, illustrant leur stratégie classique de double extorsion. L'incident met en lumière les méthodes évoluées des nouveaux acteurs du ransomware, capables de combiner intrusion humaine et offensive numérique, et confirme la montée en puissance des groupes comme Scattered Spider sur la scène cybercriminelle mondiale.
axios.com+2thetimes.co.uk+2riscitsolutions.com+2.
Leçon : combinez MFA, surveillance renforcée, formation des employés, audits de AD et architecture zéro‑trust.
4. 🇰🇷 SK Telecom – fuite massive de données SIM
(avril 2025)
En avril 2025, une importante fuite de données a touché SK Telecom, le principal opérateur mobile de Corée du Sud. L’incident s’est produit sur le territoire sud-coréen et a compromis les données sensibles d’environ 5,4 millions de clients. Les auteurs de cette attaque n’ont pas été officiellement identifiés, mais les premières analyses suggèrent l’implication probable d’un groupe cybercriminel asiatique, actif sur des forums du dark web.
L’attaque a visé spécifiquement les données liées aux cartes SIM, notamment les numéros
 |
| carte SIM |
IMSI (identifiants uniques de cartes SIM), les numéros de téléphone, ainsi que des métadonnées associées aux communications. Ces informations sont particulièrement sensibles car elles peuvent être utilisées pour effectuer des attaques de type SIM swapping, permettant ainsi de détourner les communications d’un utilisateur ou d’intercepter des codes de vérification (2FA).
Selon les premiers rapports techniques, les attaquants ont exploité une faille dans un serveur API mal protégé, exposé sans authentification robuste. Une mauvaise configuration de pare-feu a facilité leur intrusion. Une fois l’accès obtenu, ils ont pu extraire une grande quantité de données, dont une partie a rapidement été mise en vente sur des places de marché du dark web.
Leçon : gestion proactive des clés cryptographiques et remplacement rapide des cartes, avec plans d’intervention d’urgence.
5. 🇺🇸 Salt Typhoon – attaque mondiale sur télécoms (détection en mars 2025)
En mars 2025, une vaste cyberattaque mondiale a été détectée, menée par le groupe Salt Typhoon (également connu sous le nom APT41), un acteur lié à la Chine. L’attaque a ciblé des opérateurs télécoms dans plus de 13 pays répartis sur l’Amérique du Nord, l’Europe, l’Asie et le Moyen-Orient.
Les intrusions, qui ont commencé dès la fin de l’année 2024, ont été menées de manière
discrète à l’aide de vulnérabilités non corrigées dans des équipements réseau critiques, notamment ceux de Fortinet et Ivanti VPN.
Salt Typhoon a utilisé des outils personnalisés de post-exploitation, des techniques furtives comme des maliciels sans fichier, ainsi que des portes dérobées implantées profondément dans les systèmes afin d'assurer une persistance à long terme.
 |
| key |
en.wikipedia.org.
Leçon : renforcer la sécurité des infrastructures essentielles (routeurs, câbles, interconnexions), isoler les systèmes sensibles, assurer une réponse coordonnée.
🔍 Tendances transversales 2025
-
Attaques via la supply chain (ByBit, Google) deviennent de plus en plus fréquentes.
-
Phishing + MFA fatigue = nouvelle arme redoutable (M&S).
-
ESG des tiers critique : audits continus sont indispensables.)
-
Attaques sur infrastructures critiques (Salt Typhoon) impliquent coordination sécuritaire à haut niveau.
