kerboul/presentation_cybersecurite
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

feat: presentation RevealJS - Groupe Lazarus et hack de Bybit 2025

Browse Source
This commit is contained in:
Kerboul
2026-03-10 02:12:55 -07:00
commit d4ba035a0b
7 changed files with 1921 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

422
index.html Normal file
View File

@@ -0,0 +1,422 @@
<!DOCTYPE html>
<html lang="fr">
<head>
<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Le Groupe Lazarus et le hack de Bybit (2025)</title>
<!-- Reveal.js core -->
<link rel="stylesheet" href="node_modules/reveal.js/dist/reveal.css">
<link rel="stylesheet" href="node_modules/reveal.js/dist/theme/black.css">
<!-- Highlight.js pour le code -->
<link rel="stylesheet" href="node_modules/reveal.js/plugin/highlight/monokai.css">
<!-- Theme personnalise -->
<link rel="stylesheet" href="css/custom.css">
<!-- Google Fonts -->
<link rel="preconnect" href="https://fonts.googleapis.com">
<link href="https://fonts.googleapis.com/css2?family=Fira+Code:wght@400;700&family=Inter:wght@400;600;700&display=swap" rel="stylesheet">
</head>
<body>
<div class="reveal">
<div class="slides">
<!-- ============================================ -->
<!-- SLIDE 1 : Page de titre -->
<!-- ============================================ -->
<section class="title-slide">
<h1>Le Groupe Lazarus<br>&amp; le hack de Bybit</h1>
<div class="subtitle">Fevrier 2025 / 1,5 milliard de dollars en Ethereum</div>
<div class="authors">Presentation par [Prenom 1], [Prenom 2] et [Prenom 3]</div>
<div class="date">2025 / 2026</div>
</section>
<!-- ============================================ -->
<!-- SLIDE 2 : Sommaire -->
<!-- ============================================ -->
<section>
<h1>Sommaire</h1>
<div class="toc">
<ol>
<li>Qui est le Groupe Lazarus ?</li>
<li>Historique des attaques majeures</li>
<li>Le virage vers les cryptomonnaies</li>
<li>Bybit : la cible</li>
<li>Anatomie technique de l'attaque</li>
<li>Impact sur le marche</li>
<li>Reponse de Bybit et attribution</li>
<li>Se proteger contre ce type d'attaque</li>
<li>Enjeux geopolitiques</li>
<li>Conclusion</li>
</ol>
</div>
</section>
<!-- ============================================ -->
<!-- SLIDE 3 : Qui est le Groupe Lazarus ? -->
<!-- ============================================ -->
<section>
<h1>Qui est le Groupe Lazarus ?</h1>
<div class="two-cols">
<div>
<p>Groupe de hackers etatique lie a la <strong>Coree du Nord</strong>, actif depuis <strong>2009</strong>.</p>
<p>Classe comme <em>Advanced Persistent Threat</em> (APT) par les agences de renseignement occidentales.</p>
<p>Rattache au <strong>Reconnaissance General Bureau</strong> (renseignement militaire nord-coreen) et au <strong>Bureau 121</strong>, l'unite de cyberguerre.</p>
<p>Compose de deux sous-groupes principaux :</p>
<ul>
<li><strong>BlueNorOff</strong> (APT38) : operations financieres</li>
<li><strong>AndAriel</strong> : espionnage cible sur la Coree du Sud</li>
</ul>
</div>
<div>
<h3>Alias connus</h3>
<ul>
<li>Hidden Cobra (Dept. Homeland Security)</li>
<li>ZINC / Diamond Sleet (Microsoft)</li>
<li>APT38 (Mandiant)</li>
<li>Stardust Chollima (CrowdStrike)</li>
<li>Guardians of Peace</li>
<li>NICKEL ACADEMY (Secureworks)</li>
</ul>
<p class="source">Sources : MITRE ATT&CK G0032, US Treasury OFAC, Kaspersky</p>
</div>
</div>
</section>
<!-- ============================================ -->
<!-- SLIDE 4 : Historique des attaques majeures -->
<!-- ============================================ -->
<section>
<h1>Historique des attaques majeures</h1>
<ul class="timeline">
<li><span class="year">2009</span> Operation Troy : attaques DDoS contre la Coree du Sud</li>
<li><span class="year">2013</span> DarkSeoul : wiper contre banques et medias sud-coreens</li>
<li><span class="year">2014</span> Hack de Sony Pictures : vol de donnees, destruction de systemes</li>
<li><span class="year">2016</span> Braquage de la Bangladesh Bank via SWIFT : <strong>81 M$</strong> voles</li>
<li><span class="year">2017</span> WannaCry : ransomware mondial, 200 000 machines dans 150 pays</li>
<li><span class="year">2022</span> Ronin Network (Axie Infinity) : <strong>620 M$</strong> en crypto</li>
<li><span class="year">2022</span> Horizon Bridge (Harmony) : <strong>100 M$</strong></li>
<li><span class="year">2023</span> Atomic Wallet : <strong>100 M$</strong>, Stake.com : <strong>41 M$</strong></li>
<li><span class="year">2024</span> WazirX (Inde) : <strong>235 M$</strong></li>
<li><span class="year">2025</span> <span class="alert">Bybit : 1,5 milliard de dollars</span></li>
</ul>
<p class="source">Sources : FBI, Chainalysis, Wikipedia</p>
</section>
<!-- ============================================ -->
<!-- SLIDE 5 : Le virage crypto -->
<!-- ============================================ -->
<section>
<h1>Le virage vers les cryptomonnaies</h1>
<div class="two-cols">
<div>
<h3>Pourquoi la crypto ?</h3>
<ul>
<li>Les sanctions internationales (ONU, USA, UE) bloquent les circuits financiers classiques</li>
<li>La blockchain offre un pseudo-anonymat exploitable avec des mixers et des bridges cross-chain</li>
<li>Les exchanges centralisees concentrent des milliards dans quelques wallets</li>
<li>Les smart contracts tiers representent une surface d'attaque sous-estimee</li>
</ul>
</div>
<div>
<h3>Estimation des vols</h3>
<div class="big-number">&gt; 3 Md$</div>
<p style="text-align:center;">voles en cryptomonnaies depuis 2017 par des groupes lies a la Coree du Nord.</p>
<p>Selon les estimations, les revenus issus du cybercrime representent environ <strong>50% des rentrees en devises etrangeres</strong> de la RPDC.</p>
<p>Ces fonds financent directement les programmes nucleaire et balistique.</p>
<p class="source">Sources : Chainalysis 2024 Crypto Crime Report, Nations Unies</p>
</div>
</div>
</section>
<!-- ============================================ -->
<!-- SLIDE 6 : Bybit - Contexte -->
<!-- ============================================ -->
<section>
<h1>Bybit : la cible</h1>
<div class="two-cols">
<div>
<ul>
<li>Fondee en 2018, basee a <strong>Dubai</strong></li>
<li>2e exchange mondial par volume de trading au moment de l'attaque</li>
<li>Environ <strong>16 milliards de dollars</strong> d'actifs sous gestion</li>
<li>Des millions d'utilisateurs dans le monde</li>
</ul>
<p>L'attaque a cible le <strong>cold wallet Ethereum</strong> de Bybit, le coffre-fort hors ligne cense etre la couche de securite ultime.</p>
</div>
<div>
<h3>Cold wallet vs Hot wallet</h3>
<div class="diagram">
<div class="box cyan">Hot Wallet<br><small>en ligne, rapide</small></div>
<div class="arrow">&larr;&rarr;</div>
<div class="box">Cold Wallet<br><small>hors ligne, securise</small></div>
</div>
<p>Un cold wallet necessite plusieurs signatures (multisig) pour autoriser un transfert. En theorie, meme si un signataire est compromis, les fonds restent proteges.</p>
<p><strong>En theorie.</strong></p>
</div>
</div>
</section>
<!-- ============================================ -->
<!-- SLIDE 7 : Anatomie technique 1/3 -->
<!-- ============================================ -->
<section>
<h1>Anatomie de l'attaque (1/3)</h1>
<h2>Vecteur initial : Safe{Wallet}</h2>
<p><strong>Safe{Wallet}</strong> (anciennement Gnosis Safe) est un service tiers utilise par Bybit pour gerer la signature multiple (multisig) de ses cold wallets.</p>
<p>Les attaquants ont compromis l'infrastructure de Safe{Wallet} elle-meme,
pas directement les systemes de Bybit.</p>
<div class="diagram">
<div class="box red">Lazarus</div>
<div class="arrow">&rarr;</div>
<div class="box red">Safe{Wallet}<br><small>compromis</small></div>
<div class="arrow">&rarr;</div>
<div class="box">Interface de<br>signature Bybit</div>
<div class="arrow">&rarr;</div>
<div class="box cyan">Signataires<br>Bybit</div>
</div>
<p>Les signataires de Bybit ont vu une interface apparemment legitime. Ils ont approuve ce qui semblait etre une transaction de routine, mais le contenu reel de la transaction avait ete modifie cote serveur.</p>
<p class="source">Source : CoinTelegraph, Fevrier 2025</p>
</section>
<!-- ============================================ -->
<!-- SLIDE 8 : Anatomie technique 2/3 -->
<!-- ============================================ -->
<section>
<h1>Anatomie de l'attaque (2/3)</h1>
<h2>Exploitation du smart contract</h2>
<p>La fausse transaction approuvee par les signataires a modifie la logique du smart contract du cold wallet :</p>
<ol>
<li>Les signataires approuvent une transaction qui semble normale</li>
<li class="fragment">La transaction reelle modifie le <em>implementation contract</em> du proxy wallet</li>
<li class="fragment">La nouvelle logique donne le controle total a l'attaquant</li>
<li class="fragment">L'attaquant transfere ~400 000 ETH en une seule operation</li>
</ol>
<div class="fragment">
<div class="big-number">~400 000 ETH</div>
<p style="text-align:center;">soit environ <strong>1,5 milliard de dollars</strong> au cours du jour</p>
</div>
<p class="source fragment">C'est le plus gros vol de cryptomonnaies de l'histoire.</p>
</section>
<!-- ============================================ -->
<!-- SLIDE 9 : Anatomie technique 3/3 -->
<!-- ============================================ -->
<section>
<h1>Anatomie de l'attaque (3/3)</h1>
<h2>Phase de blanchiment</h2>
<p>Une fois les fonds transferes, les attaquants ont lance un processus de blanchiment sophistique et rapide :</p>
<div class="diagram">
<div class="box red">400K ETH<br>voles</div>
<div class="arrow">&rarr;</div>
<div class="box">Dispersion<br><small>multiples wallets</small></div>
<div class="arrow">&rarr;</div>
<div class="box">Mixers<br><small>Tornado Cash etc.</small></div>
<div class="arrow">&rarr;</div>
<div class="box">Bridges<br><small>cross-chain</small></div>
<div class="arrow">&rarr;</div>
<div class="box cyan">Conversion<br>en BTC</div>
</div>
<ul>
<li>Les fonds sont disperses vers des centaines de wallets intermediaires</li>
<li>Utilisation de <strong>mixers</strong> (protocoles de melange) pour brouiller l'origine</li>
<li>Passage par des <strong>bridges cross-chain</strong> (Ethereum vers d'autres blockchains)</li>
<li>Conversion progressive en Bitcoin puis potentiellement en monnaie fiat via des exchanges non-regulees</li>
<li>Utilisation de DEX (exchanges decentralisees) pour eviter le KYC</li>
</ul>
</section>
<!-- ============================================ -->
<!-- SLIDE 10 : Impact sur le marche -->
<!-- ============================================ -->
<section>
<h1>Impact sur le marche</h1>
<div class="two-cols">
<div>
<h3>Chute des cours</h3>
<div class="big-number" style="font-size:2em;">ETH : -20%</div>
<p>Ethereum a perdu plus de 20% de sa valeur dans les heures suivant l'annonce du hack.</p>
<div class="big-number" style="font-size:2em;">BTC &lt; 90K$</div>
<p>Le Bitcoin est passe sous la barre symbolique des 90 000 dollars.</p>
</div>
<div>
<h3>Effets en chaine</h3>
<ul>
<li>Ruee vers les retraits sur Bybit et d'autres exchanges</li>
<li>Plusieurs plateformes ont temporairement <strong>suspendu les retraits</strong></li>
<li>Panique generalisee sur les marches crypto</li>
<li>Les regulateurs de plusieurs pays ont ouvert des enquetes sur la securite des exchanges</li>
<li>Remise en question de la fiabilite des solutions multisig tierces</li>
</ul>
</div>
</div>
<p class="source">Sources : CNA, CoinTelegraph, Fevrier 2025</p>
</section>
<!-- ============================================ -->
<!-- SLIDE 11 : Reponse de Bybit -->
<!-- ============================================ -->
<section>
<h1>Reponse de Bybit</h1>
<ul>
<li><strong>Detection rapide</strong> : l'incident a ete identifie en quelques heures</li>
<li><strong>Communication de crise</strong> : Bybit a publie des communiques transparents des le jour meme</li>
<li><strong>Bounty program</strong> : une prime a ete offerte pour aider a tracer et recuperer les fonds</li>
<li class="fragment"><strong>ZachXBT</strong>, analyste blockchain independant, a identifie le Groupe Lazarus comme responsable en quelques heures, via des patterns de transactions reconnaissables</li>
<li class="fragment"><strong>Arkham Intelligence</strong> a confirme l'attribution en tracant les wallets vers des adresses liees a des operations precedentes de Lazarus</li>
<li class="fragment">Le <strong>FBI</strong> a ensuite officiellement confirme l'implication de la Coree du Nord</li>
</ul>
<div class="fragment">
<p>Bybit a declare etre reste <strong>solvable</strong> tout au long de la crise et a annonce avoir recupere une partie des fonds voles.</p>
</div>
</section>
<!-- ============================================ -->
<!-- SLIDE 12 : Attribution a Lazarus -->
<!-- ============================================ -->
<section>
<h1>Attribution a Lazarus</h1>
<h2>Comment sait-on que c'est eux ?</h2>
<div class="two-cols">
<div>
<h3>Indices techniques</h3>
<ul>
<li>Reutilisation de wallets lies a des hacks precedents (Axie Infinity, Horizon Bridge)</li>
<li>Patterns de blanchiment identiques : meme sequence mixer/bridge/DEX</li>
<li>Infrastructure de commande et controle (C2) recoupee avec des operations anterieures</li>
<li>Timing et methodes coherents avec le modus operandi de BlueNorOff</li>
</ul>
</div>
<div>
<h3>Confirmations officielles</h3>
<ul>
<li><strong>ZachXBT</strong> : attribution publique en moins de 24h</li>
<li><strong>Arkham Intelligence</strong> : analyse on-chain confirmant les liens</li>
<li><strong>FBI</strong> : communique officiel confirmant l'implication de la RPDC</li>
<li><strong>Chainalysis</strong> et <strong>Elliptic</strong> : rapports detailles de tracage des fonds</li>
</ul>
<p>L'attribution en cybersecurite est toujours delicate, mais le faisceau de preuves ici est particulierement solide.</p>
</div>
</div>
</section>
<!-- ============================================ -->
<!-- SLIDE 13 : Comment se proteger ? -->
<!-- ============================================ -->
<section>
<h1>Comment se proteger ?</h1>
<div class="two-cols">
<div>
<h3>Pour les exchanges / entreprises</h3>
<ul>
<li>Auditer regulierement les <strong>dependances tierces</strong> (supply chain security)</li>
<li>Implementer une approche <strong>zero-trust</strong> pour les outils de signature</li>
<li>Verifier les transactions au niveau du hardware, pas seulement via une interface web</li>
<li>Deployer du <strong>monitoring on-chain</strong> en temps reel pour detecter les mouvements anormaux</li>
<li>Pratiquer des exercices de <strong>red team</strong> reguliers</li>
</ul>
</div>
<div>
<h3>Pour les utilisateurs individuels</h3>
<ul>
<li>Utiliser des <strong>hardware wallets</strong> (Ledger, Trezor) pour les fonds importants</li>
<li>Ne jamais laisser de grosses sommes sur un exchange</li>
<li>Activer l'authentification multi-facteurs (MFA) partout</li>
<li>Se mefier du <strong>phishing</strong> et de l'ingenierie sociale</li>
<li>Diversifier les lieux de stockage</li>
</ul>
</div>
</div>
<p>La lecon principale de ce hack : <strong>la securite d'un systeme depend aussi de celle de ses prestataires</strong>.</p>
</section>
<!-- ============================================ -->
<!-- SLIDE 14 : Enjeux geopolitiques -->
<!-- ============================================ -->
<section>
<h1>Enjeux geopolitiques</h1>
<div class="two-cols">
<div>
<h3>Financement etatique</h3>
<p>Les fonds voles ne servent pas a enrichir des individus. Ils alimentent directement les programmes <strong>nucleaire</strong> et <strong>balistique</strong> de la Coree du Nord.</p>
<p>Estimations :</p>
<ul>
<li>~50% des revenus en devises de la RPDC proviendraient du cybercrime</li>
<li>Environ 1 700 membres dans la seule unite BlueNorOff</li>
<li>Formation des hackers a l'universite Kim Chaek et au Mirim College, avec un passage a Shenyang (Chine)</li>
</ul>
</div>
<div>
<h3>Cyberguerre asymetrique</h3>
<p>La Coree du Nord dispose de peu de ressources materielles mais presente une <strong>menace asymetrique</strong> considerable dans le cyberespace.</p>
<ul>
<li>Cout d'une operation cyber : faible</li>
<li>Rendement potentiel : milliards de dollars</li>
<li>Risque pour les operateurs : minimal (juridiction nord-coreenne)</li>
<li>Difficulte d'attribution et de riposte pour les victimes</li>
</ul>
<p>Les sanctions internationales sont contournees par le cyberespace.</p>
</div>
</div>
<p class="source">Sources : US Army report 2020, Nations Unies, Recorded Future</p>
</section>
<!-- ============================================ -->
<!-- SLIDE 15 : Conclusion -->
<!-- ============================================ -->
<section>
<h1>Conclusion</h1>
<ul>
<li>Le Groupe Lazarus est l'une des menaces cyber les plus actives et les plus financierement devastatrices au monde</li>
<li>Le hack de Bybit (fevrier 2025) est le plus gros vol de cryptomonnaies de l'histoire : <strong>1,5 milliard de dollars</strong></li>
<li>L'attaque a exploite une faiblesse dans un <strong>outil tiers</strong> (Safe{Wallet}), pas directement dans les systemes de Bybit</li>
<li>La securite de la supply chain logicielle est un enjeu critique pour toute organisation</li>
<li>Le cybercrime etatique nord-coreen represente un defi geopolitique majeur, a l'intersection de la cybersecurite, de la finance et des relations internationales</li>
</ul>
<p style="margin-top:1.5em;"><strong>En tant que futurs professionnels de l'informatique</strong>, comprendre ces attaques et les mecanismes de defense associes est essentiel, quelle que soit votre specialisation.</p>
</section>
<!-- ============================================ -->
<!-- SLIDE 16 : Questions -->
<!-- ============================================ -->
<section class="end-slide">
<h1>Questions ?</h1>
<p style="margin-top:1em; color: var(--color-muted); font-family: var(--font-mono);">Merci de votre attention.</p>
<div style="margin-top:2em; text-align:left; max-width:600px; margin-left:auto; margin-right:auto;">
<h3>Sources principales</h3>
<ul style="font-size:0.65em;">
<li>Wikipedia : Lazarus Group</li>
<li>CoinTelegraph : "How the Bybit hack happened" (mars 2025)</li>
<li>Arkham Intelligence : attribution Lazarus</li>
<li>FBI : communique officiel (fevrier 2025)</li>
<li>Chainalysis : Crypto Crime Report 2024/2025</li>
<li>MITRE ATT&CK : G0032 Lazarus Group</li>
<li>US Army : "North Korean Tactics" (ATP 7-100.2, 2020)</li>
</ul>
</div>
</section>
</div><!-- .slides -->
</div><!-- .reveal -->
<!-- Reveal.js scripts -->
<script src="node_modules/reveal.js/dist/reveal.js"></script>
<script src="node_modules/reveal.js/plugin/highlight/highlight.js"></script>
<script>
Reveal.initialize({
hash: true,
slideNumber: true,
progress: true,
center: false,
transition: 'fade',
transitionSpeed: 'fast',
plugins: [RevealHighlight],
width: 1280,
height: 720
});
</script>
</body>
</html>