Un outil de détection open-source et un cadre d'identification standard de l'industrie — voilà quelques-unes des productions d'un seul chercheur travaillant avec une bourse de six mois.
Les résultats, publiés par la Fondation Ethereum, sont issus d'un programme appelé ETH Rangers, qui a été mis en place fin 2024 pour financer des travaux de sécurité bénéficiant à l'écosystème crypto au sens large.
Un chercheur, une bourse, 100 opérateurs
L'un des bénéficiaires de la subvention a utilisé le financement pour construire le projet Ketman, une enquête centrée sur les fausses identités de développeurs au sein des entreprises crypto.
Sur six mois, le projet a traqué 100 travailleurs nord-coréens infiltrés dans des organisations Web3. Environ 53 projets ont été contactés et avertis qu'ils avaient peut-être embauché des opérateurs actifs liés à la République populaire démocratique de Corée (RPDC).
La Fondation Ethereum a décrit cette menace comme « l'une des menaces de sécurité opérationnelle les plus pressantes auxquelles est confronté l'écosystème Ethereum aujourd'hui ».
🚨 Un projet financé par la #Ethereum Foundation a révélé 100 travailleurs informatiques nord-coréens qui se sont infiltrés dans des entreprises #Web3 en utilisant de fausses identités. 💛#cryptosona $ETH pic.twitter.com/aCDKUV4mGO
— CryptOpus (@ImCryptOpus) 17 avril 2026
Le site web du projet Ketman expose les tactiques utilisées par ces travailleurs — modèles comportementaux, habitudes techniques et astuces d'identité qui leur permettent de passer pour des développeurs légitimes.
Certains signaux d'alerte sont étonnamment basiques. Des travailleurs ont été pris en train de réutiliser les mêmes photos de profil et métadonnées sur différents comptes GitHub.
Lors de sessions de partage d'écran, des adresses e-mail non liées ont été accidentellement exposées. Dans certains cas, les paramètres linguistiques des appareils — réglés sur le russe — ont trahi des identités qui contredisaient les nationalités revendiquées.
ETHUSD se négocie à 2 348 $ sur le graphique 24h : TradingView
Comment les opérateurs ont été pris
Le projet Ketman n'a pas seulement identifié des individus. Il a construit une infrastructure. Un outil open-source a été développé pour signaler une activité GitHub inhabituelle liée à des comptes suspects.
Un cadre distinct pour identifier les travailleurs liés à la RPDC a été co-écrit avec la Security Alliance, une organisation à but non lucratif spécialisée dans la sécurité blockchain. Les deux ressources sont désormais disponibles pour que d'autres organisations puissent les utiliser.
Les rapports indiquent que la Fondation Ethereum n'a pas divulgué les méthodes spécifiques utilisées pour démasquer les opérateurs au-delà de ce que les publications du projet Ketman décrivent elles-mêmes. Le site web du projet propose cependant des comptes-rendus détaillés sur les schémas opérationnels qui ont trahi les travailleurs.
Une menace mesurée en milliards
La présence de la Corée du Nord dans la crypto n'est pas nouvelle. Des groupes de piratage liés à l'État, dont le célèbre groupe Lazarus, ont été associés à certains des plus grands vols de l'histoire de l'industrie.
Selon les rapports, des acteurs de dollars en actifs numériques ont été volés par des acteurs nord-coréens au fil des ans.
Le programme ETH Rangers a été créé spécifiquement pour combler les lacunes en matière de sécurité grâce à des individus financés par des bourses effectuant un travail d'intérêt public.
Le projet Ketman représente l'un de ses premiers résultats documentés publiquement. Il n'a pas été divulgué si d'autres bénéficiaires de subventions ont produit des résultats similaires.
Image en vedette de Chief Learning Officer, graphique de TradingView
