Imaginez recevoir un appel d’un soi-disant support Coinbase qui connaît votre adresse exacte, votre dernier dépôt et même les quatre derniers chiffres de votre carte d’identité. Vous pensez que c’est normal ? C’est exactement ce qui arrive à des milliers d’utilisateurs depuis des mois. Et le pire, c’est que la plateforme savait.
La plus grosse fuite de données jamais reconnue par Coinbase
Le 15 mai 2025, Coinbase a fini par l’admettre : une brèche majeure a compromis les informations personnelles de moins de 1 % de ses 9 millions d’utilisateurs actifs mensuels. Moins de 1 %, ça semble peu. Sauf quand on parle de plusieurs dizaines de milliers de personnes riches en crypto dont les noms, adresses physiques, numéros de téléphone et parfois une partie du numéro de sécurité sociale américain se baladent désormais sur le dark web.
Ce qui rend cette affaire glaçante, ce n’est pas seulement l’ampleur. C’est surtout la méthode : des employés corrompus, payés quelques milliers de dollars pour ouvrir la porte aux criminels.
Comment des contractors ont vendu l’accès aux bases internes
Tout a commencé avec du social engineering inversé. Au lieu d’attaquer les clients directement, les criminels ont ciblé les sous-traitants qui gèrent le support client à l’étranger. Un message, une promesse de 5 000 ou 10 000 dollars, et certains ont accepté d’extraire des listes entières de données sensibles.
Ces insiders avaient un accès légitime aux outils internes. Aucun besoin de pirater un serveur : il suffisait de faire des recherches, prendre des captures d’écran et les envoyer via Telegram. Résultat ? Des bases de données ultra-ciblées : uniquement les utilisateurs avec de gros soldes, souvent plusieurs centaines de milliers voire millions de dollars en crypto.
Les attaquants n’ont même pas cherché à vider les comptes directement. Ils savaient que c’était trop risqué. Leur objectif était plus vicieux : construire la liste parfaite pour des campagnes de phishing ultra-personnalisées.
Une rançon de 20 millions refusée… et un bounty du même montant
Le 11 mai 2025, Coinbase reçoit un mail clair : 20 millions de dollars en Bitcoin, sinon la base complète sera vendue publiquement. La direction refuse de payer. Quatre jours plus tard, l’information sort via un dépôt SEC et une annonce officielle.
En réponse, Coinbase lance son propre bounty de 20 millions de dollars – le plus gros jamais offert par une plateforme crypto – pour identifier et arrêter les responsables. Un message fort, mais qui ne rassure personne sur le fait que les données sont déjà entre de mauvaises mains.
« Nous refusons de céder au chantage. Nous préférons investir cette somme pour traquer les criminels. »
Coinbase Security Team – 15 mai 2025
ZachXBT avait tout vu venir depuis février
Ce qui rend l’histoire encore plus accablante, c’est qu’un enquêteur indépendant l’avait prédit avec une précision effrayante.
Dès le 3 février 2025, ZachXBT publiait un thread explosif : plus de 300 millions de dollars volés à des utilisateurs Coinbase en deux mois seulement, via des arnaques où les escrocs connaissaient des détails impossibles à deviner sans accès interne.
Il montrait des wallets qui recevaient des fonds de dizaines de victimes, des faux sites clonés en temps réel, des numéros de téléphone spoofés identiques à ceux de Coinbase. Et surtout, il accusait directement la plateforme de minimiser le problème et de ne pas agir assez vite.
En avril, il allait plus loin : « Vous avez une fuite de données clients que vous refusez de reconnaître publiquement ». Le message est resté lettre morte… jusqu’à ce que l’extorsion force Coinbase à parler.
Pourquoi cette fuite est pire qu’un simple hack de portefeuille
Un hack de clés privées, c’est grave. Mais on peut changer de wallet, transférer ses fonds, dormir tranquille.
Ici, c’est différent. Les données volées sont immuables :
- Nom et prénom complet
- Adresse postale exacte
- Numéro de téléphone personnel
- Copie de passeport ou permis de conduire
- Parfois une partie du numéro de sécurité sociale
Ces informations ne s’effacent pas. Elles permettent non seulement du phishing ultra-efficace, mais aussi du harassment physique. On se souvient des enlèvements en France où des détenteurs de crypto ont été ciblés chez eux parce que leur adresse avait fuité.
Aux États-Unis, certains utilisateurs rapportent déjà recevoir des colis non sollicités, des appels à toute heure, voire des visites « par erreur » à leur domicile. La peur est réelle.
Les mesures annoncées par Coinbase : suffisantes ou pansement sur une jambe de bois ?
Face à la tempête, la plateforme a sorti l’artillerie :
- Remboursement intégral des victimes prouvant un vol lié directement à la fuite
- Nouveau centre de support basé aux États-Unis avec surveillance renforcée
- Délais intentionnels sur les gros retraits pour utilisateurs à risque
- Pop-ups d’alerte anti-arnaque renforcés
- Recommandation massive d’utiliser des clés hardware et la whitelist d’adresses
Mais beaucoup estiment que c’est trop peu, trop tard. Pourquoi ces données sensibles étaient-elles accessibles à des contractors externes en premier lieu ? Pourquoi avoir attendu une tentative d’extorsion pour prévenir les utilisateurs ?
L’impact boursier et le timing catastrophique
L’annonce tombe au pire moment : Coinbase venait juste d’entrer dans le S&P 500, symbole ultime de maturité institutionnelle. Le titre plonge de 7,2 % en une journée, effaçant des milliards de capitalisation.
Le message envoyé aux institutions est désastreux : même la plateforme la plus « sérieuse » du secteur peut laisser fuiter les données personnelles de ses meilleurs clients.
Ce que vous devez faire immédiatement si vous avez un compte Coinbase
Voici la checklist de survie post-fuite :
- Désactivez immédiatement tout retrait vers de nouvelles adresses sans votre validation manuelle
- Activez la whitelist d’adresses de retrait (seules les adresses que vous ajoutez manuellement seront autorisées)
- Passez à une clé hardware (Ledger, Trezor) pour la 2FA – oubliez les SMS
- Changez votre numéro de téléphone associé au compte si possible
- Soyez extrêmement méfiant envers tout appel ou mail « Coinbase » – raccrochez et reconnectez-vous via l’app officielle
- Transférez vos avoirs importants vers un wallet froid dont vous seul avez les clés
Et surtout : ne cliquez jamais sur un lien reçu par mail ou SMS, même s’il semble parfaitement légitime.
Vers une nouvelle ère de la sécurité dans la crypto ?
Cette affaire pourrait marquer un tournant. Les exchanges centralisés, même les plus gros, montrent leurs limites. Beaucoup prédisent une accélération vers les solutions décentralisées et le self-custody.
Car au final, la leçon est brutale : tant que vous laissez vos données personnelles (et vos fonds) entre les mains d’un tiers, vous restez vulnérable. Pas seulement à un hack technique, mais à la simple cupidité humaine.
La confiance, dans la crypto, se gagne difficilement. Coinbase vient d’en perdre une grande partie. Reste à savoir si elle pourra la regagner un jour.
En résumé : Une fuite causée par des insiders corrompus, connue depuis des mois, reconnue seulement après une tentative d’extorsion. Des données immuables entre les mains de criminels. Des utilisateurs riches devenus des cibles à vie. Et une plateforme qui paiera probablement 400 millions de dollars pour limiter les dégâts.
La question n’est plus de savoir si vous serez visé. Elle est de savoir quand.
La crypto promettait la liberté financière. Elle rappelle parfois qu’elle peut aussi exposer dangereusement ceux qui y croient le plus.
