Les plus grands cybercasses de l'histoire : Les piratages de Bybit, MGM et Sony – similitudes, impacts, dommages et sensibilisation
Les similitudes et différences sont impressionnantes. Dans notre série irrégulière Les plus grands cybercasses, nous analysons les attaques informatiques les plus marquantes de l’histoire. L’article du jour se penche sur les piratages de Bybit, MGM et Sony. Nous résumons les événements : ce qui s’est passé, comment cela s’est produit, qui l’a découvert, quels dommages ont été causés et quelles en ont été les conséquences. Nous examinons ensuite quelles mesures auraient pu être mises en place pour contrer ces attaques et si une vigilance accrue aurait pu changer la donne.
À la fin, nous faisons le bilan, comparons les cas et réfléchissons à ce qui aurait pu être mieux fait, notamment sous l’angle de la sensibilisation à la cybersécurité. Commençons par l’incident le plus récent, le piratage de Bybit en février 2025 :
Le piratage de 1,5 milliard de dollars de Bybit en 2025
En février 2025, Bybit, une plateforme d’échange de cryptomonnaies basée à Dubaï, a subi le plus grand piratage jamais enregistré sur une bourse crypto. Des cybercriminels ont dérobé pour 1,5 milliard de dollars d’Ethereum. L’attaque a été attribuée au groupe Lazarus, une organisation cybercriminelle soutenue par l’État nord-coréen, connue pour cibler les systèmes financiers numériques [1].
Les attaquants ont pénétré le système grâce à une opération hautement sophistiquée en plusieurs phases, qui a débuté par la compromission de l’interface du portefeuille Safe, probablement via une faille de la chaîne d’approvisionnement ou par ingénierie sociale. Ils ont injecté un script malveillant manipulant les données de transaction en temps réel sans déclencher les systèmes de surveillance internes. Plus précisément, l’assaillant a intégré un delegatecall dans la logique des transactions [2], permettant des mises à jour non autorisées de contrats et la redirection des fonds vers des portefeuilles sous leur contrôle. Les données de transaction présentées à l’équipe de signature de Bybit semblaient légitimes, mais une fois signées, les actifs étaient détournés sur la blockchain. Les hackers ont ensuite initié des retraits immédiats et brouillé la traçabilité des fonds via des techniques de chain-hopping. Une analyse forensique de la blockchain a confirmé l’implication du groupe Lazarus sur la base de comportements et de signatures numériques [1].
Bybit a détecté la faille lors d’une transaction de routine le 21 février 2025. Les alertes de sécurité ont été déclenchées presque immédiatement, entraînant l’isolement du portefeuille compromis et l’arrêt des retraits non autorisés. Des protocoles d’urgence ont été activés en quelques minutes [1].
L’impact financier a été colossal : 1,5 milliard de dollars en Ether dérobés. Malgré cela, Bybit est restée solvable. En moins de 72 heures, la plateforme a sécurisé 447 000 ETH en liquidités d’urgence auprès de partenaires comme Binance et Galaxy Digital, évitant ainsi toute suspension des retraits et stabilisant ses opérations. La valeur de l’Ethereum a chuté de 24 % après l’attaque, et le Bitcoin est passé sous la barre des 90 000 $, témoignant de l’inquiétude du marché [1].
En utilisant la taxonomie des dommages définie par Bada et al. [3], les conséquences peuvent être évaluées comme suit :
- 5 – Dommage financier : Plus grand vol de cryptomonnaie enregistré, problème de liquidité immédiat, surveillance financière accrue à long terme.
- 4 – Dommage opérationnel : Infrastructure de stockage à froid temporairement désactivée, processus d’approbation des transactions révisé.
- 4 – Dommage réputationnel : Visibilité mondiale et impact sur la confiance, malgré une gestion rapide de la crise.
- 2 – Dommage légal et réglementaire : Enquêtes réglementaires attendues et surveillance accrue, mais aucune sanction officielle annoncée en mars 2025.
Bybit responded with extensive structural changes. It partnered with its wallet provider to redesign its multisignature framework, added manual verification layers to sensitive processes, launched a bounty program for fund recovery, and completed a proof-of-reserves audit within three days. CEO Ben Zhou communicated transparently through livestreams and public updates to reassure stakeholders.
Le piratage visait clairement les développeurs de la plateforme et notre expérience montre que les départements informatiques ne sont pas beaucoup mieux sensibilisés que le reste de l’entreprise. Nous constatons que les initiatives de sensibilisation à la cybersécurité, notamment la formation à l’ingénierie sociale, les simulations de phishing et de smishing et la détection d’anomalies en temps réel pour l’approbation des transactions, auraient pu réduire la probabilité d’une manipulation réussie de l’interface ou alerter les opérateurs avant l’exécution de l’opération. Un mécanisme d’alerte au phishing aurait pu atténuer les vecteurs d’attaque en amont, tels que les exploits ciblés par les employés.
En conclusion, l’incident de Bybit montre à quel point des défenses multicouches, une gestion de crise immédiate et compétente et une résilience financière sont essentielles pour répondre aux cyberattaques parrainées par des États contre des infrastructures financières critiques. La protection et la récupération étaient donc au centre des préoccupations lors de l’incident de Bybit, mais qu’en est-il de l’identification et de la prévention ?
Le piratage de 100 millions de dollars de MGM Resorts en 2023
En septembre 2023, MGM Resorts International, un géant mondial de l’hôtellerie et des casinos, a subi une cyberattaque qui a gravement perturbé ses opérations et exposé des données sensibles de ses clients. L’attaque a été attribuée au groupe ALPHV (BlackCat), en collaboration avec Scattered Spider, un groupe spécialisé dans les attaques d’ingénierie sociale [4][5].
Les attaquants ont infiltré le réseau de MGM en utilisant des techniques d’ingénierie sociale telles que le vishing et le phishing. En se faisant passer pour un employé lors d’un appel téléphonique au service d’assistance informatique, ils ont trompé le personnel de support pour obtenir des informations d’identification. À partir de là, ils ont obtenu un accès non autorisé aux systèmes internes et ont déployé des logiciels malveillants pour perturber les opérations. L’attaque aurait été menée par des acteurs motivés financièrement, basés notamment aux États-Unis et au Royaume-Uni [5].
MGM a pris conscience de la faille le 10 septembre 2023, ou peu avant, lorsque des activités inhabituelles sur le réseau ont été détectées et que des systèmes internes ont commencé à tomber en panne. En réponse, l’entreprise a immédiatement désactivé les systèmes affectés afin de contenir la menace [4].
L’impact financier a été colossal. MGM a déclaré une perte estimée à 100 millions de dollars en EBITDA ajusté pour ses opérations à Las Vegas au troisième trimestre 2023, en plus de coûts directs de réponse à la cybersécurité inférieurs à 10 millions de dollars [4].
Nous avons classé cet incident selon la taxonomie des préjudices de Bada et al. [3], comme nous l’avons fait pour le piratage de Bybit. Les conséquences sont les suivantes :
- 4 – Préjudice financier : 100 millions de dollars de pertes, coûts de réponse et passifs futurs.
- 4 – Préjudice opérationnel : perturbation des machines à sous, de l’enregistrement des clients dans les hôtels et des services numériques. Regardez la vidéo montrant toutes les machines à sous hors service 😉 [6].
- 4 – Préjudice réputationnel : exposition médiatique et atteinte à la réputation d’une marque phare de l’hôtellerie.
- 3 – Préjudice juridique et réglementaire : exposition de données personnelles, y compris des permis de conduire, numéros de sécurité sociale et passeports de clients enregistrés avant 2019, entraînant des implications juridiques et réglementaires.
Pour atténuer les risques futurs, MGM a restauré ses systèmes clients, renforcé ses capacités de surveillance et lancé une enquête médico-légale en collaboration avec les autorités, y compris le FBI. L’entreprise a également revu ses processus de contrôle d’accès et ses protocoles de sécurité pour les employés.
Une meilleure sensibilisation à la cybersécurité, à travers des simulations régulières de phishing et vishing, des formations obligatoires pour les employés et l’introduction d’outils d’alerte rapide, aurait pu aider à détecter et à prévenir la compromission initiale ou à en réduire l’ampleur.
L’attaque contre MGM illustre comment une seule attaque d’ingénierie sociale bien exécutée peut se transformer en catastrophe de cybersécurité à grande échelle et en crise menaçant la continuité des activités. Mais bon, les gens continueront toujours à jouer…
Le célèbre piratage de 100 millions de dollars de Sony en 2014
Fin 2014, Sony Pictures Entertainment (SPE) a été la cible d’une des cyberattaques les plus médiatisées de l’histoire des entreprises. Les assaillants, se faisant appeler les « Guardians of Peace » (GOP), ont infiltré les systèmes de Sony, volé une quantité massive de données et déployé un malware destructeur rendant inutilisables une grande partie de l’infrastructure informatique de l’entreprise [7].
Les attaquants ont obtenu l’accès en combinant des e-mails de spear-phishing et des techniques d’exploitation du réseau. Selon les preuves médico-légales citées dans les enquêtes ultérieures, l’accès initial aurait été obtenu en incitant des employés à ouvrir des pièces jointes malveillantes, permettant ainsi l’installation d’un malware et l’établissement d’un point d’ancrage dans le réseau. À partir de là, ils ont escaladé leurs privilèges et se sont déplacés latéralement à travers les systèmes avant de déployer un malware de type wiper, appelé Destover, qui a détruit des fichiers et des enregistrements de démarrage sur les systèmes Windows de Sony. Les autorités américaines ont attribué l’attaque à la Corée du Nord, apparemment en représailles à la sortie prévue de The Interview, un film satirique mettant en scène un complot visant à assassiner le dirigeant du pays [8][9].
Sony a pris conscience de la faille bien trop tard : le 24 novembre 2014, les ordinateurs des employés ont affiché un message des attaquants, accompagné d’un graphique de squelette rouge (comme dans un film !). Simultanément, les systèmes internes sont devenus inaccessibles et une fuite massive de données a été découverte lors de l’enquête médico-légale [7].
L’estimation des dommages financiers varie, mais les pertes dépasseraient probablement les 100 millions de dollars, incluant les coûts d’enquête, de remédiation, les réclamations juridiques, les réponses réglementaires, la perte de productivité et d’autres coûts indirects [7].
En appliquant notre taxonomie [3], les préjudices peuvent être classés comme suit :
- 4 – Préjudice financier : enquête, règlements juridiques et projets annulés entraînant plus de 100 millions de dollars de pertes.
- 4 – Préjudice opérationnel : les systèmes internes de Sony ont été largement désactivés pendant plusieurs semaines, affectant la productivité et interrompant plusieurs processus métier.
- 4 – Préjudice réputationnel : fuite d’e-mails internes et de films non sortis, nuisant à l’image publique de Sony et à ses relations avec l’industrie.
- 3 – Préjudice juridique et réglementaire : déclenchement de poursuites intentées par des employés et d’enquêtes réglementaires en raison de l’exposition des données personnelles.
Après le piratage, Sony a mis en place des contrôles d’accès renforcés, révisé ses procédures de réponse aux incidents, déployé des systèmes de détection des points de terminaison et travaillé en étroite collaboration avec des entreprises spécialisées en cybersécurité et les forces de l’ordre américaines. L’entreprise a également examiné son exposition aux risques des tiers et lancé une refonte à long terme de la sécurité de son infrastructure.
Il est évident que : une meilleure sensibilisation à la cybersécurité, incluant des simulations de phishing, de la formation pour les employés sur les communications suspectes et des outils pour des alertes rapides (comme un bouton de signalement de phishing), aurait probablement pu empêcher la compromission initiale ou, au moins, retarder le mouvement latéral en alertant les équipes de sécurité plus tôt.
Le piratage de Sony en 2014 a simplement démontré ce que des acteurs sophistiqués parrainés par des États peuvent accomplir.
Conclusion et analyse comparative
De mon point de vue, les trois cas — Sony (2014), MGM (2023) et Bybit (2025) — révèlent des modèles récurrents dans l’exposition aux risques cybernétiques à travers les industries.
Préjudice/Impact sur l’entreprise
- Sony: Préjudice sévère à la réputation et aux opérations avec plus de 100 millions de dollars de pertes et des perturbations des activités.
- MGM: Perte financière (+/- 100 millions de dollars), temps d’arrêt opérationnel et surveillance réglementaire, bien que les opérations principales aient repris en quelques semaines.
- Bybit: Préjudice financier catastrophique (1,5 milliard de dollars de vol), mais la récupération opérationnelle a été rapide grâce au soutien en liquidités.
Si l’on examine seulement ces trois incidents, on pourrait avoir l’impression que, bien que les chances de survie aient augmenté avec le temps, les dommages et pertes restent énormes. Mais tirer une telle conclusion à partir de ces trois cas serait en tout cas très peu sérieux.
Acteurs menaçant et méthodes d’accès
- Sony: Parrainé par un État (Corée du Nord), accès par spear-phishing et exploitation interne.
- MGM: Ingénierie sociale par le groupe Scattered Spider, se faisant passer pour des employés dans des appels au support informatique.
- Bybit: Groupe Lazarus, exploitant l’infrastructure de portefeuilles via une injection de code et un éventuel compromis de la chaîne d’approvisionnement.
Cela aurait-il pu être évité avec une meilleure sensibilisation à la cybersécurité ?
De notre point de vue, oui. Tous les incidents ont impliqué un élément de manipulation humaine ou un comportement de sécurité négligé. Une meilleure sensibilisation, une formation à la détection du phishing/vishing et des mécanismes d’alerte en temps réel auraient pu perturber les chaînes d’attaque dès le début et limiter considérablement l’impact.
Nous constatons encore que la plupart des entreprises pratiquent la sensibilisation à la cybersécurité. Cependant, ce n’est pas toujours fait de la meilleure manière. Presque aucun CISO ne défend le slogan nécessaire : « Sensibilisation pour la sensibilisation à la cybersécurité ! » Comme l’a dit Simon Sinek : Commencez par pourquoi ! [10] 😉
Au revoir, Palo Stacho
References
[1] https://cointelegraph.com/learn/articles/how-the-bybit-hack-happened
[3] Taxonomy: https://academic.oup.com/cybersecurity/article/4/1/tyy006/5133288 and harm rating by the authors: 0 – No Harm: No discernible impact; operations and business continuity remain fully intact. 1 – Minor Harm: Negligible impact; no disruption to business continuity. 2 – Moderate Harm: Limited impact; business continuity is partially affected, but core operations remain functional. 3 – Substantial Harm: Significant impact; business continuity is noticeably disrupted, with reduced operational capacity.4 – Severe Harm: Major impact; widespread disruption to business continuity across multiple functions. 5 – Catastrophic Harm: Critical impact; business continuity is compromised and the organization’s operational viability is at risk.
[5] https://www.bbc.com/news/technology-66803401
[6] Youtube – MGM Slots down: https://www.youtube.com/watch?v=uh9Tyz9X3Vo
[10] Youtube – Simon Sinek TEDxPugetSound “Start with why” https://www.youtube.com/watch?v=u4ZoJKF_VuA&t=9s
