Rapport annuel de sécurité de CertiK : Les pertes dans le Web3 en 2025 augmentent de 37 % en glissement annuel, les attaques de phishing et les incidents de la chaîne d'approvisionnement deviennent les principales menaces

marsbitPublié le 2025-12-25Dernière mise à jour le 2025-12-25

Résumé

CertiK, la plus grande entreprise de sécurité Web3, a publié son rapport annuel 2025, révélant une augmentation de 37% des pertes financières dans le secteur, pour un total d'environ 3,35 milliards de dollars. Bien que le nombre d'incidents ait diminué (630 contre 767 en 2024), le coût moyen par attaque a bondi de 66,6% pour atteindre 5,32 millions de dollars, indiquant une concentration sur des cibles à haute valeur. L'attaque de la chaîne d'approvisionnement (supply chain) a été la plus coûteuse, représentant près de la moitié des pertes annuelles (1,45 milliard de dollars), principalement due à un seul incident majeur survenu chez Bybit en février. Le phishing est resté la menace la plus fréquente avec 248 incidents (723 millions de dollars de pertes), amplifié par l'utilisation croissante de l'IA pour créer des escroqueries plus convaincantes et personnalisées. Le rapport note une évolution réglementaire positive (MiCA dans l'UE, progrès législatifs aux États-Unis) qui pousse le secteur vers plus de maturité. La sécurité n'est plus une option mais une infrastructure essentielle, cruciale pour la survie à long terme des projets alors que les attaques deviennent plus sophistiquées.

Le 23 décembre, CertiK, la plus grande entreprise de sécurité Web3 au monde, a publié le « Rapport de sécurité Web3 Skynet Hack3D 2025 », qui présente systématisation des principaux incidents de sécurité et des tendances des risques dans le domaine du Web3 au cours de l'année écoulée. Le rapport indique que l'industrie du Web3 se développe rapidement dans un environnement de marché en reprise et avec des perspectives réglementaires plus claires, mais les risques de sécurité ne se sont pas atténués pour autant, et elle reste confrontée à des défis de sécurité systémiques.

Le rapport montre qu'en 2025, le domaine du Web3 a connu 630 incidents de sécurité, causant des pertes totales d'environ 3,35 milliards de dollars, soit une augmentation de 37 % par rapport à 2024 ; bien que le nombre d'incidents ait diminué de 137 par rapport à l'année précédente, la perte moyenne par attaque a atteint 5,322 millions de dollars, soit une augmentation de 66,6 % en glissement annuel, soulignant la tendance des attaquants à se concentrer sur des cibles à haute valeur.

Les attaques de la chaîne d'approvisionnement augmentent les pertes annuelles

En termes de type d'attaque, les attaques de la chaîne d'approvisionnement sont devenues la source de risque causant les plus grandes pertes en 2025. Bien que seulement deux incidents liés aient été enregistrés sur l'année, les pertes cumulées ont atteint 1,45 milliard de dollars, soit près de la moitié des pertes totales de l'année. Parmi eux, l'incident survenu chez Bybit en février représente la grande majorité des pertes.

Selon le rapport, l'incident de sécurité survenu chez Bybit en février 2025 a causé des pertes d'environ 1,4 milliard de dollars, considéré comme l'un des plus grands vols d'actifs cryptographiques à ce jour. Les attaquants n'ont pas directement pénétré le système de l'exchange, mais ont infiltré l'environnement de développement d'un prestataire de services de portefeuille multi-signatures tiers, en insérant un code malveillant dans le processus de signature, contournant ainsi le mécanisme d'approbation multiple.

CertiK souligne dans le rapport que des incidents similaires reflètent le fait que les attaquants concentrent leurs ressources sur les prestataires de services critiques et les outils de base, plutôt que sur un protocole unique, et que la sécurité de la chaîne d'approvisionnement est devenue un risque systémique incontournable.

Fortes occurrences d'attaques de phishing, l'IA devient un "amplificateur"

En termes de fréquence d'attaque, le phishing reste la menace de sécurité la plus courante en 2025. Le rapport montre que 248 incidents d'attaques de phishing ont été enregistrés sur l'année, causant des pertes d'environ 723 millions de dollars, un nombre légèrement supérieur à celui des attaques exploitant des vulnérabilités de code (240 incidents).

Il est à noter que CertiK estime que ce chiffre est probablement sous-estimé. Un grand nombre d'attaques de phishing et d'arnaques ciblant les utilisateurs individuels n'ont pas été officiellement divulguées, en particulier les attaques d'ingénierie sociale avec des pertes faibles ou survenant hors chaîne.

Le rapport souligne que la popularisation de l'intelligence artificielle réduit considérablement le seuil technique des attaques de phishing. Les attaquants commencent à utiliser l'IA pour générer des sites de phishing, des pop-ups de portefeuille et des messages frauduleux multilingues hautement réalistes, et les combinent avec des données on-chain et des contenus de médias sociaux pour un "ciblage précis". Les méthodes de défense traditionnelles reposant sur la détection d'erreurs grammaticales ou de caractéristiques de modèles deviennent progressivement obsolètes.

Une réglementation plus claire, la sécurité passe de "poste de coût" à "infrastructure"

Face à la montée des risques, le rapport note également des changements positifs dans l'environnement réglementaire mondial. Les progrès législatifs aux États-Unis concernant les stablecoins et la transparence des actifs numériques envoient des signaux politiques plus clairs à l'industrie ; le cadre MiCA de l'UE, les sandboxs réglementaires de Singapour et de Hong Kong poussent également le Web3 vers une phase de développement plus normative.

CertiK indique dans le rapport qu'avec l'entrée continue des institutions et des fonds conformes, la capacité de sécurité évolue d'une "correction a posteriori" vers un élément d'infrastructure dans la conception et l'exploitation des projets. Que ce soit pour les porteurs de projet ou les utilisateurs individuels, la sécurité n'est plus une option, mais une variable clé affectant la viabilité à long terme.

En conclusion, le rapport prévoit que pour l'année à venir, les attaques d'usurpation pilotées par l'IA, les intrusions complexes dans la chaîne d'approvisionnement et les attaques d'ingénierie sociale ciblant les utilisateurs individuels continueront d'évoluer. Dans ce contexte, seuls les projets qui intègrent la sécurité dans la conception de l'architecture, les processus de développement et l'expérience utilisateur pourront se démarquer dans la nouvelle vague de compétition du Web3.

Rapport complet : https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a

Questions liées

QSelon le rapport de CertiK, quelle a été l'augmentation en pourcentage des pertes totales dans le Web3 en 2025 par rapport à 2024 ?

ALes pertes totales dans le Web3 ont augmenté de 37 % en 2025 par rapport à 2024.

QQuel type d'attaque a été identifié comme la source de risque ayant causé le plus de pertes financières en 2025, et quel événement en est un exemple majeur ?

AL'attaque de la chaîne d'approvisionnement (supply chain attack) a été identifiée comme la source de risque ayant causé le plus de pertes. L'événement majeur est l'attaque subie par Bybit en février 2025, qui a entraîné une perte d'environ 1,4 milliard de dollars.

QQuelle a été la menace de sécurité la plus fréquente en 2025 en termes de nombre d'incidents, et comment l'IA influence-t-elle cette menace ?

AL'hameçonnage (phishing) a été la menace de sécurité la plus fréquente avec 248 incidents enregistrés. L'IA agit comme un "amplificateur" en permettant aux attaquants de générer des sites de phishing très réalistes, des messages frauduleux multilingues et de procéder à un "ciblage précis".

QQuel est le changement positif noté par CertiK dans l'environnement réglementaire mondial qui affecte le Web3 ?

ACertiK note un changement positif avec une évolution réglementaire plus claire, notamment les progrès législatifs aux États-Unis concernant les stablecoins, le cadre MiCA de l'UE, et les sandboxs réglementaires à Singapour et à Hong Kong, qui poussent le Web3 vers un développement plus normé.

QComment le rapport envisage-t-il l'évolution future de la sécurité dans le Web3 pour l'année à venir ?

ALe rapport prévoit que les attaques d'imitation pilotées par l'IA, les intrusions complexes dans la chaîne d'approvisionnement et les attaques d'ingénierie sociale ciblant les utilisateurs individuels continueront d'évoluer. Les projets qui intègrent la sécurité dans leur conception, leurs processus de développement et l'expérience utilisateur seront les plus à même de réussir.

Lectures associées

Les modèles de langage les plus avancés commencent à être réglementés comme l'uranium enrichi

Vendredi dernier, les deux IA les plus puissantes au monde ont été mises hors ligne par une lettre. Le ministère américain du Commerce a publié un décret d'interdiction d'exportation interdisant tout accès des ressortissants étrangers aux modèles Fable 5 et Mythos 5 d'Anthropic. Pour la première fois, une entité intelligente, existant sous forme de bits, a été placée dans le même cadre de contrôle des exportations que l'uranium enrichi. Historiquement, les contrôles à l'exportation s'appliquaient aux biens physiques ou aux procédés. Mais Fable 5 est un ensemble de paramètres, infiniment reproductible et sans frontière physique. Ce qui est réellement contrôlé, c'est la « densité de capacité » – des compétences en génération de code, en raisonnement et en connaissances – condensée en un point d'accès unique. C'est l'exacte transposition de la logique de l'uranium enrichi au monde numérique : une substance devient sensible uniquement après avoir été concentrée au-delà d'un seuil. L'histoire du nucléaire, réglementé dès 1946, sert de miroir. Une force jugée trop puissaine ne peut être laissée à des entités non étatiques. Le même raisonnement semble s'appliquer désormais aux réseaux de neurones. Trois évolutions sont probables dans la décennie à venir. Premièrement, l'évaluation des modèles deviendra institutionnelle, avec des listes de capacités et des seuils déclenchant automatiquement des contrôles. Deuxièmement, les frontières juridictionnelles s'estomperont : une entreprise à Berlin pourra être soumise aux décrets américains via son fournisseur d'IA. Troisièmement, une scission technologique s'opérera entre les modèles privés américains, soumis aux risques de coupure, et les alternatives open-source ou localisées ailleurs, gagnant en attractivité par leur fiabilité et leur indépendance. Cette situation révèle une crise plus profonde : l'absence de régime de propriété établi pour l'« intelligence ». Juridiquement, un modèle est un service, jamais possédé par l'utilisateur. Les entreprises qui y intègrent leurs processus subissent une perte invisible quand l'accès est révoqué. C'est une nouvelle forme de privation : la privation d'usage. Le contrôle de l'uranium enrichi dure depuis 80 ans. Le contrôle de l'IA commence à peine et pourrait conduire à un monde numérique fracturé. Dans ce monde, le modèle le plus intelligent ne sera pas nécessairement le plus utile. Le plus utile sera celui dont la propriété et l'accès sont les plus clairs et les plus sûrs. À un moment critique, ne pas être dépossédé peut importer bien plus qu'une avance temporaire.

marsbitIl y a 10 mins

Les modèles de langage les plus avancés commencent à être réglementés comme l'uranium enrichi

marsbitIl y a 10 mins

Les ETF Bitcoin enregistrent un retrait record de 4,4 milliards de dollars sur 13 jours, avant un retour des flux pour la première fois en trois semaines

Le marché des ETF spot Bitcoin américains a connu sa période de retraits la plus sévère depuis leur lancement en janvier 2024. Du 15 mai au 3 juin, les produits ont subi des sorties nettes pendant 13 jours consécutifs, totalisant environ 4,37 milliards de dollars. Cet exode de capitaux, dont 75 % provenaient du fonds IBIT de BlackRock, a coïncidé avec une chute du prix du Bitcoin, faisant passer l'actif total sous gestion de 104,3 à 82,8 milliards de dollars en trois semaines. Un signe potentiel de retournement est apparu le 12 juin, avec une entrée nette de 85,84 millions de dollars. Fait notable, aucune des 12 sociétés de fonds n'a enregistré de sorties ce jour-là. Geoff Kendrick de Standard Chartered cite ce flux positif comme l'un des indicateurs que le creux du marché (Bitcoin autour de 59 000 $) pourrait être atteint, notant que « l'hiver est terminé, bienvenue au printemps crypto ». Malgré cette récente reprise, l'impact des flux d'ETF sur le prix reste significatif, expliquant environ 45 % de la volatilité hebdomadaire. Les analystes considèrent cette vague de sorties comme un renversement d'élan majeur, mais pas comme un effondrement structurel, le flux net cumulé depuis le lancement restant supérieur à 55 milliards de dollars.

marsbitIl y a 25 mins

Les ETF Bitcoin enregistrent un retrait record de 4,4 milliards de dollars sur 13 jours, avant un retour des flux pour la première fois en trois semaines

marsbitIl y a 25 mins

Le PDG de Microsoft en long discours : À l'avenir, deux types de capital, le capital humain + le capital de jetons

Le PDG de Microsoft, Satya Nadella, a publié un long article sur X intitulé « Une frontière sans écosystème n'est pas stable », qui a rapidement dépassé 28 millions de vues. Il y explore l'avenir des entreprises à l'ère de l'IA, en introduisant deux concepts clés : le **capital humain** (connaissances, jugement, créativité des employés) et le **capital de jetons** (capacités d'IA développées et possédées par l'entreprise). Nadella souligne que l'IA change fondamentalement la concurrence. Alors que les outils numériques amplifiaient auparavant l'efficacité humaine, les modèles d'IA modernes peuvent absorber et « marchandiser » l'expertise professionnelle unique d'une entreprise, risquant de la transformer en un service standard accessible à tous. Il met en garde contre un scénario où quelques modèles d'IA monopoliserait toute la valeur économique, vidant les secteurs de leur savoir-faire, à l'image des délocalisations passées. La solution, selon lui, ne réside pas dans le choix du « meilleur » modèle, mais dans la construction d'un **écosystème frontalier**. Les entreprises doivent créer une « boucle d'apprentissage » où le capital humain et le capital de jetons interagissent et génèrent des intérêts composés. Cette boucle, intégrant flux de travail, connaissances métier et jugement accumulé, devient la nouvelle propriété intellectuelle de l'entreprise. Elle doit permettre à une organisation de préserver son expertise, même en changeant de modèle d'IA de base, garantissant ainsi sa souveraineté et sa différenciation. L'objectif ultime est de permettre à chaque entreprise et chaque secteur d'innover et de capturer de la valeur, en amplifiant l'expertise des employés pour créer des bénéfices partagés, évitant une concentration du pouvoir et des revenus entre les mains de quelques acteurs de l'IA.

marsbitIl y a 38 mins

Le PDG de Microsoft en long discours : À l'avenir, deux types de capital, le capital humain + le capital de jetons

marsbitIl y a 38 mins

D'une valorisation de 300 millions à une « braderie » à quelques millions, que s'est-il passé avec Messari ?

Le 12 juin, la plateforme leader des données et du capital marchand dans les cryptos, Blockworks, a annoncé l'acquisition de son concurrent historique Messari pour une contrepartie supérieure à 10 millions de dollars. Alors que Messari était valorisé à environ 300 millions de dollars en 2022, ce prix de vente largement décoté reflète la pression sur les start-ups surévaluées en période de "bear market" profond, ainsi qu'une vague de consolidation dans le secteur des infrastructures de données. Blockworks, fondé en 2018, s'est transformé d'un média et organisateur d'événements vers une plateforme de renseignements sur les marchés de capitaux "on-chain", se concentrant sur les données institutionnelles, les relations avec les investisseurs et les outils de conformité. Messari, également fondé en 2018, s'était imposé comme une plateforme de référence pour la recherche et l'analyse de données cryptos, atteignant une valorisation de 3 milliards de dollars suite à un tour de table en 2022. Cependant, le ralentissement prolongé du marché a mis la société sous pression. L'acquisition permettra à Blockworks d'intégrer le vaste jeu de données et les capacités API de Messari, utilisé par des fonds, des plateformes d'échange et des développeurs, à ses propres forces dans la divulgation standardisée, la conformité et le flux de travail pour les émetteurs d'actifs "on-chain". Le PDG de Messari rejoindra Blockworks en tant que cadre supérieur. Cette consolidation illustre une tendance plus large dans le secteur cryptographique, où la fragmentation des données et des informations laisse place à une intégration, des acteurs construisant des "sources uniques de vérité" pour répondre à la demande croissante des institutions. La disponibilité de données structurées de haute qualité est également présentée comme un carburant essentiel pour le développement des agents d'IA sur la blockchain.

marsbitIl y a 39 mins

D'une valorisation de 300 millions à une « braderie » à quelques millions, que s'est-il passé avec Messari ?

marsbitIl y a 39 mins

Si la bulle de l’IA est déjà en train d’éclater, qui restera vraiment ?

L'intelligence artificielle connaît actuellement une bulle spéculative, reconnue par des acteurs comme Ray Dalio, mais parallèlement, son adoption réelle s'accélère. La situation rappelle la bulle internet de 2000 : bien qu'elle ait causé des pertes massives, elle a laissé des infrastructures critiques (câbles sous-marins, large bande) qui ont permis l'essor des géants ultérieurs. Aujourd'hui, des milliers de milliards de dollars sont investis dans l'infrastructure IA (centres de données, GPU, refroidissement, énergie), tandis que les revenus des applications pures restent encore limités. Cependant, le coût du traitement ("token") a chuté de plus de 99,7% depuis 2023. Cette baisse radicale, loin de réduire les dépenses, les a multipliées, car elle débloque une multitude de nouveaux cas d'usage à forte valeur ajoutée (agents autonomes, RAG, analyse de documents, recherche scientifique). C'est le paradoxe de Jevons appliqué à l'IA. Le marché est en phase de purification : les entreprises sans réelle proposition de valeur ou simple "enveloppe" d'API disparaissent. L'évolution profonde se fait en trois temps : 1. Le transfert de valeur des dépenses d'investissement (CapEx, comme les puces) vers les dépenses d'exploitation (OpEx, les applications qui optimisent les processus métiers). 2. La compression des multiples de valorisation, qui sera compensée par la croissance future des bénéfices des entreprises qui intègrent l'IA. 3. L'adoption massive de l'IA dans tous les secteurs (industrie, finance, droit, santé, R&D), où elle devient un outil indispensable, et non plus un gadget. En conclusion, la bulle financière se dégonflera, éliminant la spéculation creuse. Mais l'infrastructure physique et les capacités techniques qui resteront, désormais abordables, alimenteront la transformation de toutes les industries. Comme l'internet après l'an 2000, l'IA est en train de poser les fondations d'une ère où elle sera omniprésente et essentielle. L'agitation de la bulle est passagère, la puissance transformative sous-jacente, elle, est bien réelle.

marsbitIl y a 1 h

Si la bulle de l’IA est déjà en train d’éclater, qui restera vraiment ?