Crypto-rapts, fuites de données, et criminalité : et si le vrai problème n’était pas Bitcoin et les cryptomonnaies ?

« HEY HEY HEY ! It’s a total lack of respect ». Chaque fois qu’un enlèvement lié aux cryptomonnaies fait la une, le réflexe est le même : pointer la crypto. Pourtant, à lire attentivement les récents travaux d’investigation du Monde sur les fuites massives de données personnelles en France, on réalise que le vrai vecteur de ces crimes n’est pas le Bitcoin, c’est la négligence numérique généralisée. Un angle mort collectif. Une responsabilité qui dépasse largement la sphère crypto.

Cet article s’appuie en partie sur l’excellente série d’enquêtes « Données personnelles, la grande fuite » publiée par Le Monde, ainsi que sur l’interview de Marie-Laure Denis, présidente de la CNIL.

L’angle facile : la crypto comme bouc émissaire

Commençons par une scène maintenant malheureseument trop connue dans notre secteur. Un détenteur de cryptomonnaies, ou l’un de ses proches, est enlevé, séquestré, contraint de vider son portefeuille sous la menace. Le fait divers devient viral. Les commentaires fusent : « C’est à cause du Bitcoin », « Il faut réguler tout ça ». La mécanique médiatique est rodée, presque pavlovienne.

En témoigne d’ailleurs cette semaine le discours d’Emmanuel Macron sur le sujet. En marge de la réunion des ministres des finances du G7 à Paris, lors de la conférence « No money for terror », le président français a appelé à réguler les cryptomonnaies pour éviter qu’elles ne deviennent un outil au service du terrorisme et de la criminalité organisée. Le discours pointant aussi, au passage, le pseudonymat et l’opacité supposée des cryptomonnaies.

« Ne laissons pas s’installer autour des cryptoactifs une forme d’opportunités pour les criminels (…) « De facto, nous serons complices d’activités terroristes »

Alors, c’est compréhensible. Certes, la préoccupation est réelle. Mais le discours souffre d’un biais de cadrage redoutable : il identifie l’outil là où c’est le substrat qui pose problème. Les crypto-rapts, la criminalité et tout ce qui s’en suit ne sont pas nés de la blockchain. Ils sont nés de la donnée. Et pour comprendre d’où vient cette donnée, il faut regarder ce qui se passe, en ce moment même, en France. Loin des tribunes médiatisées du G7.

🚨🇫🇷 « Ne laissons pas s’installer autour des cryptoactifs une forme d’opportunité pour les criminels et terroristes. »

➡️ Emmanuel Macron appelle à renforcer la régulation de secteur crypto afin d’éviter l’émergence d’un nouveau « Far West ». pic.twitter.com/yJqUZYeOnD

— Journal du Coin (@LeJournalDuCoin) May 20, 2026

Quand les médias aggravent le problème

D’ailleurs, l’ironie est cruelle. Au moment même où l’on débat de la sécurité des détenteurs de crypto, les médias traditionnels contribuent eux-mêmes à les exposer, sans s’en rendre compte, ou sans y prendre garde.

Lors de la couverture d’une tentative de rapt visant un entrepreneur crypto en Seine-et-Marne, le 13H de TF1 a pris soin de flouter le visage de la victime. Une bonne pratique.

Mais dans le même reportage, la chaîne a diffusé en plein écran la façade de sa maison, avec la commune d’habitation clairement identifiée en bandeau.

Le Journal du Dimanche, lui, a même communiqué l’adresse. C’est un exemple parmi d’autres. Mais, c’est précisément ce type d’information, adresse, commune, type de logement, quartier, qui, croisée avec des données issues de fuites, permet à un groupe criminel de construire un profil opérationnel sur une cible, un réseau. Flouter un visage ne sert à rien si l’on diffuse simultanément la géolocalisation du domicile. Bref, la protection des victimes ne se découpe pas en tranches.

Alors, est ce la faute aux cryptomonnaies ?

Récapitulons. Les médias pointent Bitcoin. Les politiques pointent Bitcoin. Et pendant ce temps, une victime voit sa façade diffusée, son adresse publiée dans la presse, et son profil reconstitué en quelques clics par n’importe quel criminel motivé.

Le poncif du « crypto millionnaire » fait vendre. Il nourrit un récit simple : des gens qui ont fait fortune dans un « Far West numérique », qui l’ont un peu cherché, et qui paient le prix de leur témérité. C’est confortable. C’est faux. Les victimes de ces enlèvements ne sont pas toutes des baleines affichant leur richesse. Certaines sont de simples épargnants, des entrepreneurs du secteur comme le précisait Le ministre de l’Intérieur récemment, des gens ordinaires dont les données, patrimoine estimé, adresse, habitudes, ont fuité quelque part, un jour, dans l’une de ces milliers de brèches qui parsèment le paysage numérique français.

Alors, si ce n’est pas la crypto, c’est la faute à qui ? La réponse est moins télévisuelle, moins simple, moins vendeuse. Elle tient en deux mots : la donnée. Et les chiffres qui suivent devraient définitivement clore le débat.

6 167 fuites en un an : la France sous les eaux

Les chiffres publiés par la CNIL dans son rapport annuel 2025 donnent le vertige. En un an, 6 167 fuites de données ont été signalées à l’autorité, soit 10 % de plus que l’année précédente, elle-même déjà record. Sur les deux dernières années civiles, une quatre-vingtaine de fuites ont concerné au moins un million de Français. L’Agence nationale des titres sécurisés, le ministère de l’Intérieur, France Travail, Free, Auchan, Parcoursup, la CFDT : aucun secteur n’est épargné.

C’est une hémorragie structurelle. Et comme le résume Marie-Laure Denis, présidente de la CNIL, dans son interview accordée au Monde : l’État a « une responsabilité particulière » à l’égard des données des Français, et doit impérativement se « mettre à niveau ». Elle annonce dans la foulée un renforcement des contrôles et des sanctions.

Ce tsunami de fuites de données a une conséquence directe, concrète, physique. Selon l’enquête du Monde, des données issues de ces fuites auraient joué un rôle dans plusieurs épisodes d’enlèvement et de séquestration liés aux cryptomonnaies. Le mécanisme est simple et brutal : un fichier volé contenant adresses, patrimoine estimé et habitudes de vie suffit à transformer un détenteur de Bitcoin en cible opérationnelle pour un groupe criminel organisé.

Le lien avec la crypto n’est pas causal. Il est circonstanciel. Ce qui intéresse le ravisseur, c’est la liquidité rapide et la difficulté de traçabilité immédiate. Mais ce qui le guide jusqu’à sa victime, c’est la donnée. Une donnée qui traîne sur BreachForums, vendue pour quelques euros, accessible à n’importe quel individu muni d’une connexion internet.

L’infrastructure invisible du crime : infostealers et marchés noirs

Pour comprendre comment cette donnée circule, il faut plonger dans l’écosystème cybercriminel que Le Monde décortique avec précision. Deux rouages méritent une attention particulière.

Les infostealers d’abord, ces logiciels qui se glissent dans un faux Photoshop ou un mod de jeu piraté et aspirent en quelques secondes identifiants, mots de passe et cookies. Revendus moins de 10 euros sur les marchés clandestins, ils sont selon l’Anssi le vecteur dominant des fuites récentes.

BreachForums et le groupe ShinyHunters ensuite, quatre membres français arrêtés en 2025, pas des génies, des jeunes isolés entre 20 et 25 ans attirés par la reconnaissance cybercriminelle. Et ironie du sort : c’est une adresse de portefeuille crypto qui a permis de confondre le suspect principal. La blockchain, registre public et immuable, a ici servi la justice, pas les criminels.

L’État, premier maillon faible

1 fuite de données sur 5 en France concerne une administration publique

C’est là que le tableau devient vraiment inconfortable. Car si la donnée des Français circule aussi librement sur les marchés clandestins, c’est aussi parce que l’État français est lui-même une passoire numérique. Selon la Cour des comptes, une fuite de données sur cinq en France concerne une administration publique. Des ministères régaliens ont été touchés en 2025 et 2026 dont notamment Sébastien Lecornu.

Il y a dans cette séquence un exemple qui résume tout. En janvier 2026, la CNIL a infligé une amende de 5 millions d’euros à France Travail pour ne pas avoir assuré la sécurité des données des personnes en recherche d’emploi, suite à la cyberattaque massive de 2024 qui avait exposé les données de 37 millions de chômeurs. Autrement dit : l’État a condamné l’État. Une main réprimande ce que l’autre a laissé fuir. On pourrait en sourire si les conséquences n’étaient pas aussi concrètes pour les victimes.

Près de 80 % des vols de données auraient pu être évités avec le 2FA

Plus accablant encore : l’authentification multifacteur, mesure de cybersécurité élémentaire, celle qui consiste à valider une connexion via un second appareil, n’est toujours pas déployée partout sur les systèmes d’information sensibles de l’État. La CNIL elle-même estime que près de 80 % des violations de données de grande ampleur en 2024 auraient pu être évitées avec cette mesure basique.

Un adolescent de 15 ans, décrit par la procureure Johanna Brousse comme « pas un prodige », a réussi à pirater l’Agence nationale des titres sécurisés. Son arrestation en avril dernier a provoqué une réaction gouvernementale : 200 millions d’euros annoncés pour renforcer la protection des services numériques, fusion de deux agences, fléchage des amendes CNIL vers un fonds de modernisation. Des annonces que le député Philippe Latombe (Les Démocrates), très au fait des sujets numériques, juge comme une potentielle « usine à gaz ». Pendant ce temps, les données des Français, adresses, numéros de téléphone, situations patrimoniales, continuent de circuler.

Et certaines de ces données mènent, in fine, à des séquestrations.

Réguler la crypto ou sécuriser la donnée ? Il faut choisir ses batailles

Revenons donc à Macron et à son appel à la régulation crypto. La démarche n’est pas illégitime en soi. « For Sure ». Le cadre MiCA en Europe constitue d’ailleurs une avancée réelle, une tentative sérieuse d’encadrer les acteurs du secteur sans étouffer l’innovation. La lutte contre le financement du terrorisme via les actifs numériques est un sujet que personne dans l’écosystème crypto responsable ne balaie d’un revers de main.Mais pointer la crypto comme vecteur principal des enlèvements, c’est confondre le moyen de paiement et l’infrastructure du crime.

Il existe d’ailleurs un précédent historique instructif. Dans les années 1990-2000, l’essor du téléphone portable a été associé à une explosion des demandes de rançon lors d’enlèvements : les criminels pouvaient communiquer de façon mobile et difficile à tracer. Personne n’a sérieusement proposé d’interdire les portables. On a amélioré les techniques d’investigation et la coopération internationale. La logique devrait être identique avec la crypto.

L’échec de l’Europe

Enfin, il y a quelque chose de profondément révélateur dans la concomitance de ces trois actualités : les crypto-rapts qui font la une, le rapport CNIL qui documente 6 167 fuites en un an, et le discours du G7 qui pointe Bitcoin. Elles racontent toutes la même histoire, mais chacune depuis un angle différent.

Ce qui rend le tableau encore plus inquiétant, c’est la direction que prend l’Europe sur ces sujets. Le 15 avril 2026, Ursula von der Leyen annonçait en grande pompe le lancement d’une application européenne de vérification d’âge, présentée comme une révolution en matière de protection des mineurs en ligne. Confidentialité maximale, technologie zero knowledge proof, open source : le projet cochait toutes les cases.

Vingt-quatre heures plus tard, un consultant en cybersécurité avait contourné l’ensemble du système en moins de deux minutes. Cette application est conçue comme le prototype du futur portefeuille d’identité numérique européen, dont le déploiement est prévu pour 500 millions de citoyens d’ici fin 2026. Les failles identifiées ne concernent donc pas seulement la vérification d’âge, elles pointent vers les fondations mêmes de l’infrastructure numérique de demain.

C’est là que le débat sur la surveillance et la régulation prend une dimension vertigineuse. D’un côté, les États réclament davantage de traçabilité sur les flux crypto au nom de la lutte contre le crime. De l’autre, ils sont incapables de sécuriser leurs propres systèmes d’identification. On nous demande de confier nos données d’identité à des infrastructures publiques qui se font pirater en deux minutes, par un consultant seul dans son bureau. Et c’est Bitcoin le problème.

Les cryptomonnaies sont nées précisément de la méfiance envers les institutions financières et leur incapacité à protéger les données et les avoirs de leurs clients. Des années plus tard, ces mêmes institutions laissent fuir massivement les données personnelles de millions de citoyens, et construisent en parallèle des infrastructures d’identité numérique qui s’effondrent au premier test.

Et quand ces données servent à organiser des enlèvements, c’est Bitcoin qu’on montre du doigt. Le Bitcoin n’a pas créé le crime organisé. « For sure». Est-ce qu’il lui a juste fourni un moyen de paiement pratique ? « For sure». Le vrai problème a un nom, un chiffre, et une adresse : 6 167 fuites. En un an. En France.