La vague criminelle derrière une rançon d’un million : les cadres de la crypto victimes d’attaques au « tournevis »
TechFlow SélectionTechFlow Sélection
La vague criminelle derrière une rançon d’un million : les cadres de la crypto victimes d’attaques au « tournevis »
Outre les attaques de hackers, les millionnaires de la cryptomonnaie doivent faire face à des menaces sécuritaires provenant du monde réel.
Dédié à des analyses Web3 approfondiesRédaction : Sam Schechner, Robert McMillan, Angus Berwick
Traduction : Luffy, Foresight News
Une clé anglaise posée sur des codes informatiques débordants, symbole de la cybercriminalité
Tôt mardi matin, des cris de « Au secours ! Au secours ! Au secours ! » ont retenti dans les ruelles étroites d’un quartier branché de Paris.
Trois hommes masqués ont soudainement attaqué une femme de 34 ans, dont le père dirige Paymium, une bourse française de cryptomonnaies. Les assaillants, armés d’un spray au poivre et d’un objet ressemblant à une arme, ont tenté de forcer la femme et son jeune enfant à monter dans une camionnette blanche camouflée en véhicule de livraison.
Mais le mari de la femme s’est immédiatement interposé entre sa famille et les agresseurs, tandis qu’un voisin a rapidement emporté l’enfant. La femme a crié : « Lâchez-moi ! ». Les attaquants ont frappé violemment son mari avec un bâton, laissant son crâne ensanglanté, comme visible sur des vidéos capturées par des caméras de bâtiments voisins.
D’autres voisins se sont alors rassemblés, un commerçant s’apprêtait à jeter un extincteur, et les ravisseurs non aboutis ont pris la fuite en sautant à l’arrière de la camionnette.
Cette attaque audacieuse constitue le dernier exemple d’une vague mondiale de violences et d’enlèvements ciblant les cadres du secteur des cryptomonnaies et leurs familles. Les victimes ont été frappées à coups de crosse, kidnappées, et dans deux cas, des doigts ont même été coupés.
Le but des criminels est clair : obtenir des rançons en cryptomonnaies s’élevant à plusieurs millions de dollars.
Ces attaques sont couramment appelées « attaques à la clé anglaise », car les criminels utilisent des outils simples pour infliger de la souffrance afin de contraindre les victimes, plutôt que de recourir à des techniques complexes de piratage informatique.
Des défenses numériques aux menaces réelles
Pendant longtemps, les attaques informatiques ont constitué le principal risque pour les riches détenteurs de cryptomonnaies. Mais pour se protéger contre les pirates, les investisseurs avisés stockent de plus en plus leurs cryptomonnaies sur des dispositifs physiques hors ligne, rendant ainsi le vol à distance plus difficile. Cependant, la criminalité réelle liée aux cryptomonnaies contourne ces mesures de sécurité.
« Beaucoup ont atteint un niveau de sécurité comparable à celui qui cache de l’or sous son matelas », explique Jameson Lopp, cofondateur de Casa, une entreprise spécialisée dans la sécurité du bitcoin. « Mais si vous êtes une personne exposée… vous devez rester vigilant face aux attaques physiques. »
Cette semaine, la bourse de cryptomonnaies Coinbase a révélé que jusqu’à 97 000 clients avaient vu leurs informations personnelles (y compris adresses et soldes de comptes) divulguées, amplifiant encore ces inquiétudes. L’entreprise affirme que ces données auraient pu être volées par un prestataire ou employé corrompu, et elle a rejeté une demande de rançon de 20 millions de dollars.
Un autre facteur stimulant la criminalité : la forte hausse de la valeur des cryptomonnaies, avec un bond de 54 % du bitcoin au cours de l’année écoulée, créant ainsi une foule de cibles potentiellement fortunées.
Selon des responsables gouvernementaux et des experts du secteur, la France a connu au moins cinq enlèvements liés aux cryptomonnaies ces derniers mois, et des dizaines de cas similaires ont été recensés dans le monde entier au cours de l’année passée. Selon la presse locale, en juillet dernier, un milliardaire australien des cryptomonnaies a échappé de justesse à un enlèvement en Estonie, repoussant des assaillants déguisés en peintres. En mars, une influenceuse crypto de Houston a été attaquée chez elle ; son mari a engagé un échange de tirs avec des cambrioleurs venus chercher son ordinateur portable en pleine nuit.
Certaines attaques sont maladroites et les criminels sont rapidement arrêtés, mais des signes indiquent que des groupes criminels organisés perçoivent un énorme potentiel lucratif.
« Les criminels testent le retour sur investissement des “attaques à la clé anglaise” », dit Lopp.
En septembre dernier, un homme de Floride a été condamné à 47 ans de prison pour avoir dirigé un gang spécialisé dans les cambriolages à main armée transétatiques visant des cryptomonnaies. Dans l’une de ces attaques, il a pointé un revolver rose sur la tête d’un homme de 76 ans à Durham, Caroline du Nord, menaçant de lui couper les organes génitaux. La victime a finalement transféré 150 000 dollars en cryptomonnaies aux assaillants. L’homme a ensuite été condamné à verser plus de 500 000 dollars en compensation.
Vendredi matin, Bruno Retailleau, ministre français de l’Intérieur, a réuni des dirigeants d’entreprises de cryptomonnaies pour proposer de nouvelles mesures de sécurité destinées au secteur. Retailleau a indiqué que l’attaque de mardi ressemblait à d’autres enlèvements récents en France, et les responsables affirment que les cerveaux utilisent des applications comme Telegram et Signal pour recruter des jeunes criminels inconnus, puis les diriger à distance.
« Ces affaires sont probablement liées », a déclaré Retailleau lors d’un entretien télévisé.
Le prix de l’étalage de richesse en ligne
Jusqu’à présent, les victimes rapportées des « attaques à la clé anglaise » sont principalement liées à des personnalités du secteur, soit célèbres pour leur activité dans les cryptomonnaies, soit devenues visibles en étalant leur richesse en ligne.
Killian Desnos, une célébrité du jeu en ligne surnommée Teufeurs, bien connu pour ses diffusions sur YouTube et Twitch. En août 2023, un homme déguisé en livreur Amazon a sonné à la porte du père de Desnos dans une petite ville du nord-ouest de la France, selon les procureurs.
L’individu et un complice ont traîné de force le père de Desnos dans une voiture, puis ont rapidement envoyé à Desnos une vidéo de rançon : son père ligoté, une arme pointée sur la tête. Les procureurs disent que Desnos, alors résidant à Malte, a alerté la police tout en payant la rançon. Le lendemain, son père a été libéré, et deux suspects ont rapidement été arrêtés.
« Je me rends compte maintenant qu’étaler sa richesse en ligne n’est pas une bonne chose », a écrit Desnos à l’époque sur la plateforme X.
La question cruciale aujourd’hui est de savoir comment les criminels localisent leurs cibles dans la réalité, et comment y faire face.
Des membres de la communauté des cryptomonnaies indiquent avoir mis leurs profils Instagram en privé et tentent d’effacer de la sphère publique les adresses de leurs familles. Un cadre affirme être particulièrement inquiet pour ses jeunes enfants. Après l’attaque de mardi, Paymium a appelé les autorités à alléger leurs obligations de divulgation, estimant que les fuites de données pourraient exposer ses clients à des risques.
Outre la fuite de données de Coinbase, deux autres incidents inquiètent les enquêteurs : le premier est le piratage en juillet 2020 de Ledger, une entreprise française de portefeuilles de cryptomonnaies produisant des dispositifs physiques pour stocker hors ligne les clés cryptographiques. Les hackers ont infiltré la base de données de Ledger, entraînant la publication en ligne des noms, emails et adresses postales de 272 000 clients. Le second est l’intrusion dans Kroll, une société de conseil en risques, où les pirates ont obtenu les adresses et autres informations personnelles des créanciers impliqués dans la procédure de faillite de la société de cryptomonnaies Genesis.
Des enquêteurs en cybersécurité affirment que les données issues de ces deux attaques circulent désormais sur des forums criminels.
D’autres soulignent que d’énormes quantités de données personnelles ont été volées et divulguées au cours de la dernière décennie. En France, les registres publics des entreprises peuvent contenir les adresses personnelles des entrepreneurs.
Taylor Monahan, chercheuse en sécurité chez MetaMask, indique que les cybercriminels excellent à croiser des bases de données ou même à acheter des informations pour localiser les adresses des victimes. Ces renseignements sont souvent publiés publiquement pour intimider ou exposer l’identité des victimes, une attaque numérique connue sous le nom de « doxxing ».
« La jeune génération est très compétente en ligne, très douée pour le doxxing », dit-elle.
Certains utilisateurs de Ledger se plaignent déjà que cette fuite de données les expose à des chantages et menaces. Début 2021, le cinéaste de Los Angeles Naeem Seirafi a commencé à recevoir des e-mails et SMS de phishing exigeant d’entrer les informations de son compte Ledger pour valider un nouveau dépôt ou éviter la perte d’actifs suite à une « vulnérabilité ».
Ensuite, on lui a demandé de payer une rançon de 0,3 bitcoin (environ 10 000 dollars à l’époque), sous menace d’attaquer sa famille. « Vous détenez de grandes quantités de cryptomonnaies », a-t-on écrit dans un message, « je vais partager ces informations avec de mauvaises personnes dans votre région. »
La menace s’est concrétisée : lorsque Seirafi était sorti, ses parents ont subi une « fausse alerte virtuelle » à leur domicile. La police locale a reçu un appel au 911 signalant qu’une personne avait tiré sur un ami chez Seirafi. Selon un rapport de police, près de dix policiers ont fait irruption dans sa maison, avant de constater qu’il s’agissait d’un canular.
Seirafi a ensuite rejoint une action collective intentée devant un tribunal fédéral californien contre Ledger, réclamant des dommages-intérêts. La plainte affirme : « Pour les hackers, la liste des clients de Ledger est une mine d’or. »
Les avocats représentant le groupe ont refusé de commenter. Ledger a plaidé devant le tribunal que Seirafi n’a subi aucune perte due à la fuite de données, car il n’a pas perdu d’argent. Le porte-parole de l’entreprise a refusé tout autre commentaire.
« Doigts : 9/10 »
David Balland, l’un des cofondateurs de Ledger, ne participe plus directement à l’entreprise. Dans la nuit de mardi janvier de cette année, lui et son compagnon ont été kidnappés à leur domicile près de Vierzon, dans le centre de la France, selon des responsables français.
Janvier 2023, rue Mereau près de Vierzon, en France : la police française boucle le site après un enlèvement
Quelques heures plus tard, d’autres cofondateurs de Ledger, dont Eric Larchevêque, ont reçu un message de rançon du cerveau de l’opération, exigeant 10 millions d’euros. Selon des sources proches du dossier, ils ont confirmé l’authenticité du message grâce au T-shirt porté par David, et l’un des messages contenait une vidéo montrant les ravisseurs tranchant un doigt de Balland.
Des négociateurs de la police ont communiqué avec les ravisseurs aux côtés de Larchevêque, tentant de gagner du temps, acceptant de verser initialement plus d’un million d’euros, tandis que les enquêteurs localisaient le lieu de détention de Balland et de son compagnon.
« C’était une course contre la montre », a déclaré plus tard Laure Beccuau, procureure de Paris, lors d’un entretien télévisé. « Nous devions sauver deux otages, préserver leurs vies. »
La police a finalement retrouvé les ravisseurs dans une maison louée près d’un champ agricole, à environ 40 minutes en voiture au sud du lieu de l’enlèvement. Une descente a permis de libérer Balland, mais son compagnon n’était pas là.
« Nous pensions qu’ils seraient détenus ensemble. Quand nous avons découvert qu’ils étaient séparés, la situation est devenue très compliquée », a déclaré Nicolas Bacca, un autre cofondateur de Ledger.
Le compagnon de Balland n’a été retrouvé que le lendemain, dans une camionnette volée située à une heure et demie de route au nord, après le versement d’une nouvelle rançon.
La procureure parisienne Laure Beccuau lors d'une conférence de presse après l'enlèvement de Balland et de son compagnon
Heureusement, le cerveau avait exigé le paiement de la rançon en USDT, une cryptomonnaie indexée sur le dollar américain, pouvant être gelée. L’équipe de Ledger a lancé immédiatement après la libération des otages une procédure de blocage, et selon des sources proches du dossier, a réussi à récupérer environ 80 % des 3 millions d’euros déjà versés, puis davantage dans les jours suivants.
« Nous avons vécu une violence inimaginable », a publié Balland sur les réseaux sociaux, demandant du respect pour la vie privée de sa famille. Selon des captures d’écran de l’époque, il avait temporairement modifié sa biographie sur la plateforme X en : « Doigts : 9/10 ».
On ignore encore comment les assaillants ont trouvé l’adresse de Balland. Selon des sources, l’adresse familiale n’avait pas été exposée lors de la fuite de données de Ledger.
En avril, un homme a été formellement inculpé dans cette affaire. Selon des sources, cet individu était déjà incarcéré pour des accusations liées à l’enlèvement du père de Desnos en 2023, et aurait planifié depuis sa prison l’enlèvement de Balland. Les enquêteurs poursuivent leurs recherches pour savoir s’il agissait pour le compte d’autres commanditaires.
Au début du mois, le père d’un autre entrepreneur crypto maltais a été enlevé à Paris alors qu’il promenait son chien, et une vidéo de rançon montrait que l’on avait tranché un de ses doigts. Selon les procureurs, plusieurs personnes ont été arrêtées dans cette affaire, âgées de 18 à 26 ans.
Moins de quinze jours plus tard, un autre cas typique s’est produit.
Mardi, la fille du PDG de Paymium a réussi à s’échapper après avoir résisté farouchement avec l’aide de son mari. La « arme » trouvée sur place n’était en réalité qu’un jouet, selon la police.
Eric Larchevêque, cofondateur de Ledger, en 2018
Source : Bloomberg
« Ils vont bien », a déclaré vendredi dernier Pierre Noizat, PDG de Paymium, parlant de sa fille et de son gendre dans un entretien télévisé, qualifiant ce dernier de « héros », ajoutant : « Il a eu quelques points de suture. »
Noizat et d’autres victimes d’attaques affirment que cette vague criminelle ébranle leur confiance dans la capacité de la France à contrôler les gangs criminels et les trafiquants de drogue.
Larchevêque, cofondateur de Ledger, a dénoncé cette semaine sur la plateforme X la « mexicanisation » en cours de la France. « Combien d’entrepreneurs, combien de talents envisagent sérieusement de quitter ce pays qui ne protège plus ses citoyens ? »
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
