Rapport annuel de sécurité de CertiK : Les pertes dans le Web3 en 2025 augmentent de 37 % en glissement annuel, les attaques de phishing et les incidents de la chaîne d'approvisionnement deviennent les principales menaces

marsbitPublié le 2025-12-25Dernière mise à jour le 2025-12-25

Résumé

CertiK, la plus grande entreprise de sécurité Web3, a publié son rapport annuel 2025, révélant une augmentation de 37% des pertes financières dans le secteur, pour un total d'environ 3,35 milliards de dollars. Bien que le nombre d'incidents ait diminué (630 contre 767 en 2024), le coût moyen par attaque a bondi de 66,6% pour atteindre 5,32 millions de dollars, indiquant une concentration sur des cibles à haute valeur. L'attaque de la chaîne d'approvisionnement (supply chain) a été la plus coûteuse, représentant près de la moitié des pertes annuelles (1,45 milliard de dollars), principalement due à un seul incident majeur survenu chez Bybit en février. Le phishing est resté la menace la plus fréquente avec 248 incidents (723 millions de dollars de pertes), amplifié par l'utilisation croissante de l'IA pour créer des escroqueries plus convaincantes et personnalisées. Le rapport note une évolution réglementaire positive (MiCA dans l'UE, progrès législatifs aux États-Unis) qui pousse le secteur vers plus de maturité. La sécurité n'est plus une option mais une infrastructure essentielle, cruciale pour la survie à long terme des projets alors que les attaques deviennent plus sophistiquées.

Le 23 décembre, CertiK, la plus grande entreprise de sécurité Web3 au monde, a publié le « Rapport de sécurité Web3 Skynet Hack3D 2025 », qui présente systématisation des principaux incidents de sécurité et des tendances des risques dans le domaine du Web3 au cours de l'année écoulée. Le rapport indique que l'industrie du Web3 se développe rapidement dans un environnement de marché en reprise et avec des perspectives réglementaires plus claires, mais les risques de sécurité ne se sont pas atténués pour autant, et elle reste confrontée à des défis de sécurité systémiques.

Le rapport montre qu'en 2025, le domaine du Web3 a connu 630 incidents de sécurité, causant des pertes totales d'environ 3,35 milliards de dollars, soit une augmentation de 37 % par rapport à 2024 ; bien que le nombre d'incidents ait diminué de 137 par rapport à l'année précédente, la perte moyenne par attaque a atteint 5,322 millions de dollars, soit une augmentation de 66,6 % en glissement annuel, soulignant la tendance des attaquants à se concentrer sur des cibles à haute valeur.

Les attaques de la chaîne d'approvisionnement augmentent les pertes annuelles

En termes de type d'attaque, les attaques de la chaîne d'approvisionnement sont devenues la source de risque causant les plus grandes pertes en 2025. Bien que seulement deux incidents liés aient été enregistrés sur l'année, les pertes cumulées ont atteint 1,45 milliard de dollars, soit près de la moitié des pertes totales de l'année. Parmi eux, l'incident survenu chez Bybit en février représente la grande majorité des pertes.

Selon le rapport, l'incident de sécurité survenu chez Bybit en février 2025 a causé des pertes d'environ 1,4 milliard de dollars, considéré comme l'un des plus grands vols d'actifs cryptographiques à ce jour. Les attaquants n'ont pas directement pénétré le système de l'exchange, mais ont infiltré l'environnement de développement d'un prestataire de services de portefeuille multi-signatures tiers, en insérant un code malveillant dans le processus de signature, contournant ainsi le mécanisme d'approbation multiple.

CertiK souligne dans le rapport que des incidents similaires reflètent le fait que les attaquants concentrent leurs ressources sur les prestataires de services critiques et les outils de base, plutôt que sur un protocole unique, et que la sécurité de la chaîne d'approvisionnement est devenue un risque systémique incontournable.

Fortes occurrences d'attaques de phishing, l'IA devient un "amplificateur"

En termes de fréquence d'attaque, le phishing reste la menace de sécurité la plus courante en 2025. Le rapport montre que 248 incidents d'attaques de phishing ont été enregistrés sur l'année, causant des pertes d'environ 723 millions de dollars, un nombre légèrement supérieur à celui des attaques exploitant des vulnérabilités de code (240 incidents).

Il est à noter que CertiK estime que ce chiffre est probablement sous-estimé. Un grand nombre d'attaques de phishing et d'arnaques ciblant les utilisateurs individuels n'ont pas été officiellement divulguées, en particulier les attaques d'ingénierie sociale avec des pertes faibles ou survenant hors chaîne.

Le rapport souligne que la popularisation de l'intelligence artificielle réduit considérablement le seuil technique des attaques de phishing. Les attaquants commencent à utiliser l'IA pour générer des sites de phishing, des pop-ups de portefeuille et des messages frauduleux multilingues hautement réalistes, et les combinent avec des données on-chain et des contenus de médias sociaux pour un "ciblage précis". Les méthodes de défense traditionnelles reposant sur la détection d'erreurs grammaticales ou de caractéristiques de modèles deviennent progressivement obsolètes.

Une réglementation plus claire, la sécurité passe de "poste de coût" à "infrastructure"

Face à la montée des risques, le rapport note également des changements positifs dans l'environnement réglementaire mondial. Les progrès législatifs aux États-Unis concernant les stablecoins et la transparence des actifs numériques envoient des signaux politiques plus clairs à l'industrie ; le cadre MiCA de l'UE, les sandboxs réglementaires de Singapour et de Hong Kong poussent également le Web3 vers une phase de développement plus normative.

CertiK indique dans le rapport qu'avec l'entrée continue des institutions et des fonds conformes, la capacité de sécurité évolue d'une "correction a posteriori" vers un élément d'infrastructure dans la conception et l'exploitation des projets. Que ce soit pour les porteurs de projet ou les utilisateurs individuels, la sécurité n'est plus une option, mais une variable clé affectant la viabilité à long terme.

En conclusion, le rapport prévoit que pour l'année à venir, les attaques d'usurpation pilotées par l'IA, les intrusions complexes dans la chaîne d'approvisionnement et les attaques d'ingénierie sociale ciblant les utilisateurs individuels continueront d'évoluer. Dans ce contexte, seuls les projets qui intègrent la sécurité dans la conception de l'architecture, les processus de développement et l'expérience utilisateur pourront se démarquer dans la nouvelle vague de compétition du Web3.

Rapport complet : https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a

Questions liées

QSelon le rapport de CertiK, quelle a été l'augmentation en pourcentage des pertes totales dans le Web3 en 2025 par rapport à 2024 ?

ALes pertes totales dans le Web3 ont augmenté de 37 % en 2025 par rapport à 2024.

QQuel type d'attaque a été identifié comme la source de risque ayant causé le plus de pertes financières en 2025, et quel événement en est un exemple majeur ?

AL'attaque de la chaîne d'approvisionnement (supply chain attack) a été identifiée comme la source de risque ayant causé le plus de pertes. L'événement majeur est l'attaque subie par Bybit en février 2025, qui a entraîné une perte d'environ 1,4 milliard de dollars.

QQuelle a été la menace de sécurité la plus fréquente en 2025 en termes de nombre d'incidents, et comment l'IA influence-t-elle cette menace ?

AL'hameçonnage (phishing) a été la menace de sécurité la plus fréquente avec 248 incidents enregistrés. L'IA agit comme un "amplificateur" en permettant aux attaquants de générer des sites de phishing très réalistes, des messages frauduleux multilingues et de procéder à un "ciblage précis".

QQuel est le changement positif noté par CertiK dans l'environnement réglementaire mondial qui affecte le Web3 ?

ACertiK note un changement positif avec une évolution réglementaire plus claire, notamment les progrès législatifs aux États-Unis concernant les stablecoins, le cadre MiCA de l'UE, et les sandboxs réglementaires à Singapour et à Hong Kong, qui poussent le Web3 vers un développement plus normé.

QComment le rapport envisage-t-il l'évolution future de la sécurité dans le Web3 pour l'année à venir ?

ALe rapport prévoit que les attaques d'imitation pilotées par l'IA, les intrusions complexes dans la chaîne d'approvisionnement et les attaques d'ingénierie sociale ciblant les utilisateurs individuels continueront d'évoluer. Les projets qui intègrent la sécurité dans leur conception, leurs processus de développement et l'expérience utilisateur seront les plus à même de réussir.

Lectures associées

Le plus grand IPO de l'histoire déclenche un débat acharné : SpaceX vaut-il 1.77 trillion de dollars ?

L'introduction en bourse (IPO) de SpaceX, potentiellement la plus importante de l'histoire, est prévue à un prix de 135 dollars par action, visant une valorisation de 1,77 billion de dollars. Cette opération pourrait augmenter la fortune de Musk de plus de 220 milliards de dollars. **Arguments des optimistes** (menés par les banques conseils Goldman Sachs et Morgan Stanley) : La valorisation ne se justifie pas uniquement par le lancement de fusées, mais par le potentiel à long terme de Starlink (Internet par satellite), des lancements à bas coût et des futures activités d'IA/Infrastructures spatiales. Ils prévoient des revenus atteignant plusieurs centaines de milliards, voire des milliers de milliards de dollars d'ici 2030-2040. Pour ARK Invest, la valorisation à l'IPO pourrait même être sous-évaluée par rapport aux projections à long terme. **Arguments des pessimistes** (instituts de recherche indépendants comme Morningstar, PitchBook, New Constructs) : Tout en reconnaissant la qualité unique de SpaceX, ils jugent la valorisation excessive et déjà anticipatrice d'une croissance future parfaite. Leurs modèles d'évaluation (DCF, somme des parties) aboutissent à des valorisations justes comprises entre 780 milliards et 1,7 billion de dollars, inférieures au prix de 1,77 billion. Ils mettent en garde contre des hypothèses de croissance irréalistes, les risques liés à Musk, et conseillent d'attendre un meilleur point d'entrée après l'IPO. **Conclusion** : Le débat ne porte pas sur la qualité de SpaceX, largement reconnue, mais sur la justification du prix de 135 dollars. Malgré cette controverse, la demande pour l'IPO reste forte, avec une couverture de l'offre multipliée par quatre.

marsbitIl y a 42 mins

Le plus grand IPO de l'histoire déclenche un débat acharné : SpaceX vaut-il 1.77 trillion de dollars ?

marsbitIl y a 42 mins

Les plus grandes banques du Japon visent un déploiement de stablecoin d'ici l'exercice 2026 dans le cadre d'une poussée réglementaire

Les trois plus grandes banques japonaises – Mitsubishi UFJ Financial Group, Sumitomo Mitsui Banking Corp. et Mizuho Bank – prévoient de lancer conjointement un stablecoin lié au yen d'ici fin mars 2027. Elles ont établi un conseil pour développer le cadre d'émission, qui s'appuierait sur un accord de fiducie. Cette initiative, initialement explorée fin 2025 et testée dans le cadre d'un projet pilote réglementaire, vise à soutenir les transactions commerciales et les paiements transfrontaliers. Elle intervient dans un contexte de soutien réglementaire actif au Japon, où une loi de 2022 réserve l'émission de stablecoins à des institutions agréées. Récemment, le parti au pouvoir a également appelé à promouvoir l'usage des stablecoins libellés en yen en Asie, une ambition qui pourrait être accentuée lors de la réunion annuelle de la Banque asiatique de développement organisée par le Japon l'année prochaine.

bitcoinistIl y a 1 h

Les plus grandes banques du Japon visent un déploiement de stablecoin d'ici l'exercice 2026 dans le cadre d'une poussée réglementaire

bitcoinistIl y a 1 h

Le « GENIUS Act » et le « CLARITY Act » adoptés : Quelle est la véritable architecture du rendement sur chaîne ?

L'article distingue trois types de crédit en chaîne (on-chain) : le prêt cryptographique surcollatéralisé, le prêt non garanti (historiquement défaillant), et le crédit adossé à des actifs (Asset-Backed Credit - ABC), présenté comme la catégorie à la croissance la plus rapide et la seule résolvant structurellement le problème de sélection adverse. L'ABC repose sur des garanties réelles identifiables, des droits légaux hors chaîne et des mécanismes de recouvrement. La croissance des actifs du monde réel (RWA) tokenisés est significative, tirée par une deuxième vague de crédit privé tokenisé (ex : Maple Finance, Centrifuge). La demande provient principalement des stablecoins (3230 milliards de dollars), cherchant un rendement conforme. Cependant, l'article souligne que le modèle actuel de "fonds tokenisés" ne résout pas le problème de sélection adverse au niveau du protocole ; il reporte simplement les risques et la structure du fonds sous-jacent. Le contexte réglementaire américain, avec les lois GENIUS (interdisant aux émetteurs de stablecoins de verser des rendements) et CLARITY (étendant cette interdiction aux plateformes), crée un tournant. Désormais, le rendement sur les dollars en chaîne doit être fourni via des produits d'investissement distincts et conformes. La "vault" (sorte de coffre-fort numérique ou contrat intelligent de type ERC-4626) devient donc l'architecture centrale incontournable. Elle n'est plus un simple outil de packaging, mais le lieu où s'encodent la conformité, la transparence, l'évaluation du crédit, la structure des paiements (waterfall) et les mécanismes de recouvrement. Sa conception est désormais une question architecturale de premier ordre pour délivrer un rendement conforme et résoudre la sélection adverse directement au niveau de la couche protocole, dans un paysage post-GENIUS/CLARITY.

Foresight NewsIl y a 1 h

Le « GENIUS Act » et le « CLARITY Act » adoptés : Quelle est la véritable architecture du rendement sur chaîne ?

Foresight NewsIl y a 1 h

Bureau de Renseignement TechFlow : Le Nouveau Modèle Fable d'Anthropic Limite la Recherche en Biosécurité et Fait Polémique, l'IPC Américain Grimpe à 4,2 %, un Sommet depuis Trois Ans

La controverse éclate autour des nouveaux modèles Fable et Mythos d'Anthropic, accusés d'entraver discrètement la recherche en biosécurité via des limitations et une rétention obligatoire des données. Le fondateur d'Anthropic révèle que son départ d'OpenAI fut dû à un manque d'honnêteté, et non à des divergences de sécurité. OpenAI envisage quant à lui une guerre des prix. Dans le secteur crypto, BlackRock poursuit ses démarches pour un ETF Bitcoin générateur de revenus, tandis que des avertissements concernent l'impact des stablecoins sur les dépôts bancaires. Malgré une inflation américaine en hausse à 4,2% et la fermeture du détroit d'Hormuz par l'Iran, le Bitcoin ne joue pas son rôle de valeur refuge. Sur le front technologique, Nvidia et AMD rivalisent d'innovations matérielles et logicielles pour l'IA. Un tribunal allemand établit un précédent en tenant Google responsable des réponses erronées de son IA, et Microsoft étend son assistant Copilot. Les marchés sont agités : l'or et les actions chutent, tandis que la Corée du Sud subit des turbulences boursières. Des avancées majeures sont signalées, comme l'utilisation d'interface cerveau-ordinateur pour la cécité, mais aussi une inquiétante première : un drone autonome ayant tué un soldat. Le fil rouge de ces événements souligne les tensions croissantes autour de la régulation de l'IA et son test dans un monde réel marqué par l'instabilité géopolitique et économique.

marsbitIl y a 1 h

Bureau de Renseignement TechFlow : Le Nouveau Modèle Fable d'Anthropic Limite la Recherche en Biosécurité et Fait Polémique, l'IPC Américain Grimpe à 4,2 %, un Sommet depuis Trois Ans

marsbitIl y a 1 h

Alibaba crée un nouveau département, quel signal ?

Le mois de juin a été marqué par un ajustement organisationnel majeur chez Alibaba dans le domaine de l'IA. Le groupe a fusionné ses deux principales entités dédiées à l'IA — le département du grand modèle Tongyi et le Future Life Lab — pour créer le nouveau "Token Foundry Business Unit", placé sous la direction directe du PDG Daniel Zhang. Cette réforme s'inscrit dans une série de réorganisations rapides. Il y a trois mois, Alibaba avait déjà créé le groupe d'affaires Alibaba Token Hub (ATH) pour consolider ses ressources en IA. La création de Token Foundry indique une transition de la phase d'intégration des ressources à celle d'accélération de la commercialisation. L'objectif est de devenir un fournisseur de base à l'ère de l'IA, en alignant la recherche fondamentale sur les modèles et l'exploration des scénarios d'application. Parallèlement, Jingren Zhou, architecte clé de la série de modèles Qwen, a été nommé scientifique en chef du groupe et dirigera le nouveau "Alibaba AI Future Research Institute". Cette nomination vise à le libérer de la gestion opérationnelle pour se concentrer sur la recherche de pointe à long terme. Ces changements reflètent une tendance globale parmi les géants technologiques (Google, Microsoft, Meta, Amazon) à unifier leurs forces en IA sous une direction centralisée pour améliorer l'efficacité et l'intégration avec les activités commerciales. La pression commerciale est un moteur important. Alibaba a annoncé que ses activités d'IA étaient entrées dans une phase de retour sur investissement commercial. Des produits comme la plateforme MaaS "Bailian" connaissent une demande élevée. Cependant, la concurrence sur le marché chinois des MaaS s'intensifie, avec des rivaux comme ByteDance et Tencent progressant rapidement. En résumé, la création de Token Foundry est une réponse stratégique d'Alibaba pour structurer ses capacités en IA, allier innovation à long terme et commercialisation à court terme, et rester compétitif dans une fenêtre d'opportunité qui se rétrécit rapidement.

marsbitIl y a 2 h

Alibaba crée un nouveau département, quel signal ?