En avril 2026, la Corée du Nord a volé 285 millions de dollars à un protocole DeFi. Pas avec un exploit zero-day. Pas avec un malware sophistiqué. Avec six mois de conversations amicales et de manipulation psychologique ciblant une poignée de signataires multisig. Ce n'est pas un cas isolé : l'ingénierie sociale est devenue le vecteur d'attaque privilégié des acteurs étatiques les plus avancés de la planète. Et si votre stratégie de défense repose encore principalement sur la technologie, vous avez un problème. Un gros problème. Voici pourquoi les États-nations ont abandonné les exploits complexes au profit de la manipulation humaine, et ce que cela change concrètement pour votre posture de sécurité.

Le hack de Drift : autopsie d'un braquage sans effraction technique

L'attaque contre le protocole Drift sur Solana est un cas d'école. Les hackers nord-coréens n'ont pas cherché une faille dans le code. Ils ont passé six mois à établir des relations de confiance avec les personnes qui détenaient les clés. Littéralement. Des échanges sur Telegram, des visioconférences, des documents partagés — tout un théâtre de légitimité construit patiemment. Quand le moment est venu, les signataires multisig ont pré-signé des autorisations sans réaliser ce qu'ils validaient réellement. 285 millions de dollars transférés en 12 minutes.

Ce qui me frappe dans cette affaire, c'est le ratio effort/résultat. Développer un zero-day exploitable sur une plateforme bien auditée coûte des mois de recherche et peut être corrigé en heures. Manipuler un humain qui a confiance en vous ? C'est presque indétectable par les outils traditionnels. Et ça fonctionne à tous les coups ou presque.

Pourquoi les États-nations pivotent vers le facteur humain

La tendance n'est pas nouvelle, mais elle s'accélère brutalement. En 2025-2026, on observe une convergence claire : la Corée du Nord avec Drift et les attaques sur les développeurs via de faux recrutements LinkedIn, l'Iran avec ses campagnes de password spraying contre 300 organisations israéliennes via Microsoft 365, la Russie avec UAC-0255 qui usurpe l'identité du CERT-UA pour distribuer des malwares, la Chine avec Storm-1175 qui combine ingénierie sociale et zero-days pour déployer des ransomwares.

Le point commun ? Dans chaque cas, le vecteur initial est humain. Le zero-day ou le malware vient après, quand la porte est déjà ouverte. Les acteurs étatiques ont compris que la surface d'attaque la plus rentable n'est pas dans le code — elle est dans les habitudes, la confiance et la fatigue des équipes.

Ce que ça change pour les RSSI et les équipes sécurité

Si vous êtes RSSI, DSI ou responsable sécurité, voici ce que ce changement de paradigme implique concrètement. Premièrement, vos simulations de phishing annuelles ne suffisent plus. Les campagnes étatiques durent des mois, utilisent des prétextes hyper-crédibles et ciblent spécifiquement les personnes à haut privilège. Formez vos admins, vos signataires de processus critiques et vos dirigeants à reconnaître l'ingénierie sociale de longue durée — pas juste les emails frauduleux basiques.

Deuxièmement, le MFA n'est pas une option, c'est un minimum vital. Mais même le MFA peut être contourné par des attaques de type adversary-in-the-middle ou par manipulation directe de la victime. La vraie défense, c'est la segmentation des privilèges et les timelocks sur les opérations critiques. Aucune action irréversible ne devrait pouvoir s'exécuter sans un délai de validation impliquant plusieurs parties indépendantes.

Troisièmement, intégrez le renseignement sur les menaces (CTI) dans votre stratégie. Savoir que la DPRK cible votre secteur avec des faux profils de recruteurs change concrètement votre posture de défense. Les équipes de sécurité qui ne consomment pas de CTI sont aveugles face à ces menaces.

Mon avis d'expert

On a collectivement surinvesti dans les outils et sous-investi dans les humains. Je vois des entreprises avec des SOC à 500 K€ par an qui n'ont jamais formé leurs administrateurs à résister à une tentative d'ingénierie sociale ciblée. Le hack de Drift devrait être un électrochoc : les meilleures protections techniques du monde ne servent à rien si la personne qui détient les clés peut être manipulée. En 2026, votre programme de sensibilisation n'est plus un nice-to-have — c'est votre première ligne de défense contre les acteurs les plus sophistiqués de la planète.

Conclusion

L'ingénierie sociale étatique est entrée dans une nouvelle ère. Les campagnes sont plus longues, plus ciblées, plus patientes. Elles exploitent la confiance, pas les vulnérabilités techniques. Pour y faire face, il faut repenser la sécurité comme un problème humain autant que technologique : formation continue, segmentation des privilèges, timelocks sur les opérations critiques, et intégration du renseignement sur les menaces dans les processus opérationnels. Les outils ne vous sauveront pas. Vos équipes, bien formées et bien outillées, peut-être.

Besoin d'un regard expert sur votre sécurité ?

Discutons de votre contexte spécifique.

Prendre contact