Un employé des impôts à Bobigny a exploité un logiciel interne pour établir des dossiers sur des experts crypto, le milliardaire Vincent Bolloré, un surveillant de prison et un juge. Celui-ci a ensuite vendu ces informations à des criminels, qui ont payé 800 euros pour organiser une attaque contre un surveillant directement chez lui à Montreuil.
Le recours en appel de l’accusé a été rejeté le 6/1, selon les médias locaux.
L’affaire est notable non seulement pour le comportement criminel, mais surtout par la manière dont les cibles sont choisies. La nouvelle vector d’attaque ne repose plus sur le doxxing via Telegram ou des échanges compromis, mais sur un accès privilégié au système d’identification de l’État – où une simple requête peut relier un nom à une adresse, un numéro de téléphone et une structure familiale.
En 2024, la Police Nationale française a enregistré 93 enquêtes liées à la violation du secret professionnel et 76 cas de détournement de données à des fins illicites. L’organisme qualifie la vente de recherches dans la base de données nationale via réseaux sociaux et dark web d’« uberisation » de la commercialisation des dossiers.
Une enquête exclusive de TF1 a également révélé un « menu de services » opérant sur Snapchat : 30 euros pour une recherche d’immatriculation, 150 euros pour une vérification de liste de personnes recherchées, et 250 euros pour débloquer un véhicule bloqué illicitement. Les transactions bancaires impliquant un suspect varient de 15 à 5 000 euros.
Le modèle de sécurité en crypto repose sur l’irréversibilité des transactions, et l’auto-custodie élimine le risque d’intermédiaire. Cependant, dès que l’attaquant connaît l’identité réelle, le problème ne relève plus de la cryptographie mais devient une question de coercition.
On peut considérer cela comme une « valeur exploitable maximale » dans la vie réelle – IRL MEV. Sur la blockchain, le MEV provient de la visualisation en amont des flux de transactions. Dans l’espace physique, la valeur est exploitée en observant les profils d’identité, puis en choisissant la voie de coercition la moins coûteuse.
*Les services illégaux de recherche dans les bases de données sont vendus à des prix transparents : 30 euros pour une immatriculation, 150 euros pour une vérification de liste de personnes recherchées, 250 euros pour le déblocage d’un véhicule.*Le marché de la recherche illégale de données s’est structuré avec une grille tarifaire claire. Le Parisien rapporte le 18/12 que les attaques contre des investisseurs crypto en France ont fortement augmenté, obligeant le gouvernement à promulguer en août 2025 un décret visant à retirer les adresses personnelles des dirigeants de crypto de l’inscription au RCS.
Cette mesure vise à réduire le risque de violence et de harcèlement, tout en laissant l’accès aux forces de l’ordre, aux douanes et aux impôts.
Autrefois, le RCS publiait l’adresse des dirigeants dans les documents Kbis – dossiers d’entreprise publics. Le décret d’août ne fait que combler une faille. En revanche, la base de données fiscale reste accessible à des milliers de fonctionnaires, et la surveillance repose principalement sur la détection d’anomalies après coup.
Le système fiscal contient des données extrêmement détaillées : l’adresse est mise à jour via la déclaration, le numéro de téléphone apparaît dans la correspondance, la structure familiale est indiquée par la déclaration de personnes à charge, et les dossiers de plus-value relient chaque type d’actif à une personne spécifique. TF1 indique que les agents fiscaux français peuvent accéder à toutes ces données.
Sur le plan « économique », ce modèle penche clairement en faveur de l’attaquant : une recherche coûte quelques dizaines à quelques centaines d’euros, alors qu’un intrusion réussie peut rapporter un revenu à six chiffres.
ENISA a recensé 586 incidents affectant des organismes publics dans l’UE en 2024. La menace principale ne vient pas d’attaques techniques sophistiquées, mais de personnels internes disposant d’un accès légitime qui extraient des données pour les revendre sur le marché secondaire.
*Les organismes publics de l’UE ont subi 586 incidents de sécurité en 2024, la France enregistrant 93 violations du secret professionnel et 76 cas de vol de données.*Ghalia C. a reconnu avoir fourni des informations à trois personnes impliquées dans l’attaque contre le surveillant. La somme de 800 euros indique une transaction de service. Son historique de recherches inclut des experts crypto, le milliardaire Bolloré, un inspecteur de santé et un juge – ce qui montre une vente de droits d’accès, et non une simple rancune personnelle.
Les détenteurs de crypto avec des profils à risque – profits particulièrement attractifs pour la criminalité violente. Les actifs auto-custodés ne peuvent pas être gelés par une banque ou annulés par un tribunal. Leur valeur importante peut être transférée immédiatement. Et signaler l’incident peut parfois signifier se mettre à la merci des autorités fiscales.
L’exclusion de l’adresse du registre public montre que les institutions ont compris que le risque physique lié à la crypto diffère fondamentalement de celui de la finance traditionnelle. La banque peut geler un compte, le courtier peut annuler une transaction, mais la transaction crypto, elle, ne peut pas.
Ce principe de finalité a déplacé la menace de la sécurité technique vers la sécurité d’identité. Lorsqu’on résout la question de l’identité, la coercition devient simple.
La réaction de la France face à la vague d’attaques crypto inclut le masquage des adresses à partir de 2025, mais les propositions de déclaration d’actifs en 2026 créent de nouveaux risques. Si les données d’identité sont une ressource rare, trois tendances peuvent être anticipées : étendre la sécurité du registre, renforcer le contrôle dans le système étatique, et poursuivre la vente interne de droits d’accès, car l’intérêt économique reste élevé.
Le paradoxe est que l’Europe étend la transparence crypto via la vérification d’identité obligatoire, la déclaration de portefeuille et le suivi des transactions DeFi pour lutter contre le blanchiment et l’évasion fiscale. Ces exigences créent des bases de données centralisées reliant identité et actifs. Plus la base est complète, plus la valeur pour l’attaquant est grande.
Le projet de budget français pour 2026 propose une taxe de 1% par an sur les crypto-actifs supérieurs à 2 millions d’euros, obligeant à déclarer aussi bien les actifs auto-custodés qu’à l’étranger. Cela crée involontairement un « honeypot » : une liste gérée par l’État des personnes détenant de grandes quantités de crypto, avec leur adresse.
La communauté technique considère souvent la sécurité crypto comme une gestion de clés, ce qui est vrai pour les attaques on-chain. Mais l’affaire Bobigny montre que la gestion de clés devient insignifiante lorsque la coercition physique est intégrée au modèle de menace. Un portefeuille matériel ne protège pas lorsqu’un attaquant connaît l’adresse et se présente armé. La faille réside dans la couche d’identité, pas dans la couche blockchain.
Ce cas met en lumière une structure de marché des capitaux qui fonctionne en secret. Les cibles ignorent qu’elles ont été consultées jusqu’à ce que l’attaquant frappe à la porte.
Thạch Sanh
