Introduction en bourse de Ledger : une satire noire sur la « sécurité »
TechFlow SélectionTechFlow Sélection
Introduction en bourse de Ledger : une satire noire sur la « sécurité »
Une entreprise dont le principal argument de vente est la « sécurité » a, historiquement, eu sa plus grande exposition au risque précisément en matière de sécurité.
Dédié à des analyses Web3 approfondiesRédaction : Ada, TechFlow
Dans la nuit du 21 janvier 2025, à Méreau, une petite ville du centre de la France.
David Balland a été arraché de chez lui pendant son sommeil. Il est cofondateur du portefeuille matériel Ledger, une entreprise qui se targue de sécuriser pour ses utilisateurs mondiaux des bitcoins d’une valeur totale de 10 milliards de dollars américains.
Selon le quotidien français Le Monde, quarante-huit heures plus tard, lorsque les forces d’intervention spécialisées françaises (GIGN) ont enfoncé la porte, Balland avait déjà perdu un doigt.
Les ravisseurs ont envoyé à Éric Larchevêque, l’autre cofondateur de Ledger, une vidéo montrant ce doigt coupé, accompagnée d’un message : « Paiement exclusivement en cryptomonnaies, pas d’appel à la police, pas de délai — sinon, les conséquences vous incomberont entièrement. »
Un an plus tard, Ledger annonce son intention de faire une introduction en bourse (IPO) au New York Stock Exchange, avec une valorisation dépassant les 4 milliards de dollars américains. Goldman Sachs, Jefferies et Barclays, parmi les noms les plus prestigieux de Wall Street, figurent tous parmi ses soutiens.
C’est une affaire fondée sur la « sécurité ».
Est-ce ironique ?
Les adresses divulguées
Remontons le temps jusqu’en 2020.
Cet été-là, une mauvaise configuration d’un point de terminaison API a permis aux attaquants d’accéder facilement à la base de données e-commerce de Ledger. Plus d’un million d’adresses e-mail ont été compromises. Pire encore : les noms, numéros de téléphone et adresses postales de 272 000 clients ont également fui.
Six mois plus tard, cette liste a été publiée sur le forum de pirates informatiques Raidforum et mise en vente à un prix dérisoire, accessible librement à quiconque.
Vous pouvez imaginer ce qui s’est ensuivi.
Des courriels de phishing ont afflué comme des flocons de neige, incitant les utilisateurs de Ledger à télécharger des liens malveillants afin de leur subtiliser leurs clés privées et, par là même, leurs cryptomonnaies. Certains utilisateurs de Ledger ont même reçu des messages menaçant de se rendre directement chez eux pour voler leurs actifs, à moins qu’ils ne paient une rançon — et ces messages mentionnaient précisément leur nom et leur adresse.
Pourtant, Pascal Gauthier, PDG de Ledger, a déclaré que l’entreprise ne verserait aucune indemnisation aux clients dont les données personnelles avaient été exposées sur des sites de piratage, y compris ceux dont l’adresse postale avait été divulguée.
Cet incident a causé à Ledger des pertes non négligeables. Mais le véritable coût en a été payé par les utilisateurs, toujours emplis de crainte aujourd’hui.
Ledger en a-t-elle tiré des leçons ?
Le même piège, trois fois
Le 14 décembre 2023, Ledger a encore été victime d’un incident.
Le vecteur d’attaque était encore plus absurde : un ancien employé de Ledger, victime d’une attaque de phishing, a vu ses identifiants NPMJS compromis.
Nul ne précise depuis combien de temps cet employé avait quitté l’entreprise, ni pourquoi il conservait encore des droits d’accès à des systèmes critiques.
Un code malveillant a été injecté dans Ledger Connect Kit, une bibliothèque centrale utilisée par de nombreuses applications DeFi. SushiSwap, Zapper, Phantom, Balancer — l’ensemble de l’interface frontale de l’écosystème DeFi s’est transformé instantanément en une page de phishing.
Ledger a certes corrigé le problème en 40 minutes, mais 600 000 dollars américains avaient déjà disparu.
Dans sa déclaration post-incident, le PDG Pascal Gauthier écrivait : « Il s’agit d’un événement malheureux et isolé. »
Isolé ?
Et puis, le 5 janvier 2026 — soit deux semaines avant l’annonce officielle de son projet d’IPO — Ledger a essuyé une nouvelle fuite de données, cette fois imputable à son prestataire tiers de traitement des paiements, Global-e : les noms et coordonnées des clients ont à nouveau été exposés.
Six ans, trois fuites majeures.
Chaque fois, on parle d’un « événement isolé », chaque fois d’un « problème tiers », mais chaque fois, ce sont les utilisateurs qui en supportent les conséquences.
Si une institution financière traditionnelle commettait trois incidents de sécurité en six ans, elle serait immédiatement déchue de sa licence par les autorités de régulation. Dans le monde de la cryptographie, en revanche, elle peut procéder à une introduction en bourse, avec une valorisation triplée.
Recover : une trahison publique
Si les fuites de données peuvent être attribuées à des accidents ou à des négligences, Recover constitue quant à lui une auto-explosion délibérée.
En mai 2023, Ledger a lancé un nouveau service facturé 9,99 dollars américains par mois, permettant aux utilisateurs de confier des fragments chiffrés de leur mnémonique à trois sociétés : Ledger, Coincover et EscrowTech. En cas d’oubli de la phrase mnémonique, l’utilisateur pouvait simplement présenter une pièce d’identité pour la récupérer.
Pour les utilisateurs ordinaires, constamment inquiets de perdre leur phrase mnémonique, cela semblait effectivement rassurant.
Mais un problème fondamental se posait : n’est-ce pas précisément sur le principe selon lequel « la clé privée ne quitte jamais l’appareil » que repose toute la logique commerciale des portefeuilles matériels ?
Par la suite, Éric Larchevêque, ancien PDG de Ledger, a reconnu sur Reddit un fait troublant : si un utilisateur active Recover, les autorités peuvent, par voie judiciaire, contraindre les trois entreprises concernées à remettre leurs fragments de clés, permettant ainsi l’accès aux actifs de l’utilisateur.
La communauté a explosé. Des photos de brûlage de dispositifs Ledger ont même circulé sur Twitter.
Mudit Gupta, responsable de la sécurité informatique chez Polygon, a tweeté : « Tout ce qui est protégé par une “authentification” est, par nature, peu sûr, car la falsification en est trop aisée. »
Changpeng Zhao, fondateur de Binance, a quant à lui interrogé : « Cela signifie-t-il que la phrase mnémonique d’un portefeuille froid peut désormais être dissociée de l’appareil ? », ajoutant que cette approche contredit radicalement les principes défendus par la communauté cryptographique.
La réponse de Ledger fut cependant la suivante : « La grande majorité des utilisateurs de cryptomonnaies continuent aujourd’hui d’héberger leurs actifs sur des plateformes d’échange ou des portefeuilles logiciels offrant une sécurité limitée ; or, pour beaucoup, la gestion des 24 mots de la phrase mnémonique constitue en soi un obstacle insurmontable. Cela signifie aussi que les sauvegardes papier deviennent une solution obsolète. »
Ce raisonnement est juste. Toutefois, lorsqu’une stratégie de croissance exige qu’une entreprise dilue sa promesse fondamentale, la situation devient délicate.
Les anciens utilisateurs de Ledger sont des geeks. Les geeks sont exigeants, bruyants, et rédigent de longs posts critiques sur Reddit. Mais ils ont déjà acheté leur portefeuille — ils ne contribuent plus à la croissance.
La croissance vient des débutants. Les débutants détestent les complications, paient volontiers 9,99 dollars américains pour se sentir en sécurité, et ne se soucient guère de détails techniques tels que « la clé privée ne quitte jamais l’appareil ».
Mais ce n’est pas un simple arbitrage entre sécurité et commodité.
C’est une trahison publique envers la clientèle historique, une trahison de la confiance placée en elle, afin d’obtenir un laissez-passer vers un marché plus vaste.
L’attaque au cliquet
Revenons sur le doigt coupé de David Balland.
Dans le secteur de la cryptographie, on parle d’« attaque au cliquet » (*wrench attack*). Cela signifie que, quelle que soit la complexité de la cryptographie ou le degré de décentralisation d’un protocole, rien ne résiste à quelqu’un brandissant un cliquet devant vous et vous demandant votre clé privée.
Ce terme semble presque relever de l’humour noir, comme une plaisanterie inventée par des développeurs lorsqu’ils dessinent des modèles de menace sur un tableau blanc.
Mais quand cela se produit réellement, ce n’est absolument pas drôle.
En décembre 2024, la femme de Stéphane Winkel, influenceur belge spécialisé dans les cryptomonnaies, a été enlevée. En mai 2025, le père d’un autre milliardaire crypto a eu un doigt sectionné. L’affaire Balland n’est qu’un épisode d’une tendance bien plus large.
Un expert français en sécurité intérieure a déclaré, dans un entretien : « Ces affaires présentent toutes les mêmes caractéristiques. Nous ignorons encore s’il s’agit du même groupe criminel, mais nous pouvons affirmer sans équivoque que ce secteur est devenu un terrain de chasse pour des kidnappeurs professionnels. »
La question est alors la suivante : d’où provient la liste des proies ?
Les 270 000 adresses domiciliaires compromises en 2020 circulent encore sur le dark web. Ce n’est pas une fuite ordinaire. C’est une liste étiquetée « Cette personne détient des cryptomonnaies », dont l’ampleur des avoirs peut même être approximativement estimée en fonction du modèle de portefeuille Ledger acheté : celui qui a opté pour le modèle le plus coûteux est vraisemblablement aussi celui qui détient le plus d’actifs.
En un sens, le sort de Balland est la conséquence directe d’une erreur commise par Ledger.
Cela peut paraître excessif, car Ledger n’a pas délibérément remis ces données aux ravisseurs. Pourtant, lorsqu’une entreprise dont la promesse centrale est la « sécurité » ne parvient pas à protéger les adresses postales de ses clients, il lui est difficile de prétendre n’y porter aucune responsabilité.
La logique des 4 milliards de dollars
Après tant de critiques, parlons maintenant de la raison pour laquelle Wall Street continue de soutenir Ledger.
La réponse tient en un seul mot : FTX.
En novembre 2022, FTX s’est effondrée, faisant passer sa valorisation de 32 milliards de dollars américains à zéro du jour au lendemain. Des dizaines de milliers d’utilisateurs ont vu leurs actifs gelés dans ce gouffre, sans pouvoir les récupérer à ce jour.
Le vieil adage « Pas vos clés, pas vos coins » est soudain devenu une leçon sanglante et concrète.
Mais la demande de portefeuilles matériels a ensuite explosé, et Ledger est le seul acteur doté d’une reconnaissance de marque véritable sur ce marché. Selon un rapport de BSCN, elle détient 50 à 70 % des parts de marché. Ledger affirme détenir en dépôt des bitcoins d’une valeur de 10 milliards de dollars américains, soit environ 5 % de la capitalisation boursière mondiale du bitcoin.
Plus important encore : le timing.
En 2025, les entreprises cryptographiques ont levé 3,4 milliards de dollars américains via des introductions en bourse. Circle et Bullish ont chacun collecté plus d’un milliard de dollars américains. BitGo vient tout juste de devenir la première entreprise cryptographique cotée en 2026. Kraken attend son tour, avec une valorisation estimée à 20 milliards de dollars américains.
Il s’agit d’un véritable festin de sorties — et Ledger ne veut surtout pas manquer sa place à la table.
Les fondateurs veulent réaliser des plus-values, les fonds de capital-risque doivent sortir de leurs investissements, tandis que le marché secondaire, porté par l’euphorie autour du bitcoin, est prêt à acheter n’importe quelle action portant l’étiquette « cryptographie ».
Selon le Market Growth Report, le marché mondial des portefeuilles matériels de cryptomonnaies s’élevait à 914 millions de dollars américains en 2026, et devrait atteindre environ 12,7 milliards de dollars américains d’ici 2035, avec un taux de croissance annuel composé (TCAC) de 33,7 %. Si l’adoption des portefeuilles matériels s’accélère — ce que suggèrent notamment le succès des ETF bitcoin et l’intérêt croissant des investisseurs institutionnels — Ledger sera parfaitement positionnée pour profiter de cette croissance.
Quant à la valorisation de 4 milliards de dollars américains, elle repose sur la narration du « fournisseur d’infrastructures de garde cryptographique ». Les investisseurs n’achètent pas une société de matériel, mais le « coffre-fort numérique » le plus reconnu dans ce secteur.
Autrement dit, cette valorisation reflète une narration, non une performance opérationnelle.
La vérité se trouve hors des graphiques en chandeliers
Bien entendu, le problème avec les narrations, c’est qu’elles peuvent changer du jour au lendemain.
Regardez comment se sont comportées, au cours des six derniers mois, les actions des entreprises cryptographiques cotées en 2025 :
Circle : chute de 298 dollars américains à 69 dollars américains.
Bullish : chute de 118 dollars américains à 34 dollars américains.
BitGo a grimpé de 25 % à son premier jour de cotation, mais a perdu l’intégralité de cette hausse trois jours plus tard.
Telle est la destinée des actions cryptographiques : elles suivent le mouvement du bitcoin, indépendamment de leurs fondamentaux.
Marvin Kazmierczak, cofondateur et directeur des opérations de Redstone, un oracle modulaire, a déclaré, dans un entretien, que, malgré l’incertitude persistante du marché, le cadre réglementaire reste favorable à Ledger.
Il a ajouté que les revenus de Ledger restent tributaires du cycle des équipements grand public, et a mis en garde contre « un autre ralentissement durable, qui aurait nécessairement un impact — nous l’avons observé en 2022 » ; toutefois, il a souligné que l’IPO pourrait bénéficier d’un « cycle institutionnel plus puissant que l’engouement purement grand public ».
Survie du plus apte
L’histoire de l’IPO de Ledger est un miroir du secteur de la cryptographie.
Une entreprise dont la promesse centrale est la « sécurité » présente historiquement son plus grand risque précisément en matière de sécurité.
Elle propose un produit garantissant le « contrôle total de la clé privée par l’utilisateur », tout en lançant un service confiant des fragments de cette clé à des tiers.
Une équipe dont un cofondateur a eu un doigt sectionné s’apprête à introduire sa société sur un marché boursier davantage ouvert et transparent.
Y a-t-il là une contradiction ?
Bien entendu.
Mais la loi de la survie dans le monde de la cryptographie n’a jamais consisté à éliminer les contradictions, mais à vivre avec elles.
La fuite de données de 2020 n’a pas tué Ledger, ni l’attaque de la chaîne d’approvisionnement de 2023, ni la controverse autour de Recover, ni même l’enlèvement d’un cofondateur.
Non seulement elle survit, mais elle va bientôt entrer en bourse.
Cela constitue peut-être la métaphore la plus profonde du secteur de la cryptographie :
Dans un monde où même les doigts des fondateurs ne sont pas en sécurité, rien n’est véritablement sûr.
Mais l’argent finit toujours par trouver sa destination.
Et les entreprises qui demeurent debout au milieu des ruines sont souvent celles qui domineront le prochain cycle.
Que Ledger fera-t-elle partie de ce groupe ? Le temps nous le dira.
Ou bien, la prochaine fuite de données.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
深潮TechFlow
