Skip to content
Ressources

Risques physiques

Violence physique et crypto

Pourquoi les attaques physiques contre les détenteurs de crypto-actifs rendent la collecte DAC8 et CARF particulièrement dangereuse.

Mis à jour le

Réponse courte

Les détenteurs de crypto-actifs présentent un profil de risque physique différent de celui des titulaires de comptes financiers ordinaires. Les crypto-actifs se transfèrent vite, parfois de façon irréversible, et l’activité publique sur la blockchain peut révéler des indices sur la valeur détenue ou les contreparties. Sous contrainte, une victime peut être forcée de signer une transaction. Une base de données qui relie une identité à une activité crypto peut donc devenir un outil de ciblage si elle fuite, est détournée ou tombe entre de mauvaises mains.

La violence physique liée aux crypto-actifs n’est plus un risque théorique : les agressions, séquestrations et extorsions sont documentées. C’est pourquoi Bull Bitcoin considère que DAC8 et CARF ne sont pas seulement des mesures de déclaration fiscale. Elles peuvent devenir des risques pour la sécurité des personnes.

Faits clés

IndicateurValeur
Attaques physiques mondiales liées à la crypto ayant lieu en Europe (Q1 2026)82 %
Augmentation des « wrench attacks » en 2025+75 %
Attaques supplémentaires au Q1 2026 vs Q1 2025+41 %
Montant extorqué en 4 mois (janvier à avril 2026)101 M$

CertiK, Wrench Attacks Report Q1 2026, mai 2026 (relayé par The Block et CoinAlertNews, 8 mai 2026).

Pourquoi la crypto crée un risque physique particulier

Facteur de risquePourquoi c’est important
Transférabilité rapideUn attaquant peut contraindre une victime à déplacer ses fonds rapidement
IrréversibilitéCertains transferts crypto ne peuvent pas être annulés en pratique
Registres publicsUne activité liée à une adresse peut en révéler plus qu’un numéro de compte bancaire
Exposition des prochesLes attaquants peuvent viser les proches, pas seulement le titulaire
Fuite ou accès interneUne base n’a pas besoin d’être publique pour devenir dangereuse

Le problème de sécurité ne tient pas seulement à la valeur des crypto-actifs. Il tient au fait qu’une identité peut être reliée à une classe d’actifs dont la détention, les transferts ou les regroupements d’adresses peuvent être observables de l’extérieur. Si une personne mal intentionnée obtient des enregistrements crypto reliés à une identité, elle peut sélectionner ses cibles plus efficacement.

Les attaques physiques contre les détenteurs de crypto-actifs constituent une catégorie de crime documentée. Chainalysis a analysé le lien entre criminalité crypto et attaques physiques, et des travaux académiques sur les « wrench attacks » étudient les agressions coercitives visant les utilisateurs de cryptomonnaies (AFT 2024).

La France, épicentre mondial

La France concentre désormais une part disproportionnée des attaques :

  • 70 % des attaques physiques mondiales liées à la crypto se produisent en France ;
  • 47 événements violents recensés en France en 2026 au 25 avril (PNACO), soit environ une attaque tous les 2,5 jours ;
  • 88 personnes mises en examen, dont plus de 10 mineurs ;
  • 75 suspects en détention provisoire ;
  • une hausse continue : 18 faits en 2024, puis 67 en 2025, selon Vanessa Perrée, cheffe du PNACO.

Le Parisien, 25 avril 2026. Bitcoin.com, France Charges 88 Over Crypto Kidnappings, 25 avril 2026.

Les cas médiatisés confirment une concentration européenne des attaques physiques récentes, avec une place particulière de la France. L’enjeu de DAC8 doit donc être analysé dans un contexte concret : les données collectées peuvent nourrir une menace déjà active.

Cas emblématiques 2025-2026

DateCasCibleConséquences
Jan. 2025David Balland (co-fondateur de Ledger)DétenteurDoigt sectionné, rançon d’environ 10 M€
Jan. 2026Couple de retraités, SallanchesParents du détenteur20 h de séquestration, plaies à l’arme blanche, rançon de 8 M€
Fév. 2026Une magistrate et sa mère, Saint-Martin-le-VinouxFamille du dirigeant30 h dans un garage
Fév. 2026Famille d’un employé de Binance FranceFamille de l’employéTentative d’intrusion au domicile
Mars 2026Sillytuna (développeur)DétenteurEnviron 24 M$ USDC extorqués sous menace
2026Mère de 84 ans (États-Unis, par des opérateurs européens)Mère du détenteurRançon de 6 M$ en BTC

Compilations Fibo-crypto, février-mars 2026. CoinDesk, février 2026. CertiK, mai 2026.

Le changement de modèle : le ciblage par les données

CertiK identifie un changement de mode opératoire : les attaquants ne se contentent plus d’une surveillance physique aléatoire. Ils achètent, croisent et enrichissent des données : noms, adresses, profils financiers, traces de plateformes et fuites précédentes.

A data-driven targeting model is replacing physical surveillance: attackers buy personal information (full names, home addresses, financial profiles) from online brokers.

CertiK, Wrench Attacks Report Q1 2026

Le mode opératoire type est désormais :

  • acquisition de données personnelles (marchés noirs, fuites) ;
  • croisement avec des données de plateformes crypto fuitées (cas Waltio) ;
  • identification et surveillance préalable des proches ;
  • recrutement local d’exécutants via Telegram ou Snapchat ;
  • orchestration depuis l’étranger (Maroc, Dubaï, Europe de l’Est) ;
  • passage à l’action par « vecteurs sonnette » (faux livreurs, faux policiers).

Pourquoi DAC8 et CARF aggravent le risque

DAC8 relie des identités civiles à des données transactionnelles crypto. Si ces informations fuitent, elles peuvent aider un réseau criminel à sélectionner une cible, évaluer un patrimoine, identifier des proches et préparer une attaque. La collecte automatique change le profil de risque : elle rend industriellement disponible ce que les attaquants cherchent déjà à obtenir par fuites, achats de données ou corruption.

DAC8 et CARF imposent à des systèmes de reporting de collecter et de normaliser des données. Cela signifie davantage d’enregistrements standardisés, davantage de points d’accès administratifs et davantage de mouvements de données transfrontaliers. Même si chaque acteur officiel agit légalement, chaque copie, interface et compte utilisateur supplémentaire augmente le nombre d’endroits où une défaillance peut survenir.

C’est la différence essentielle entre une demande d’information ciblée et un reporting de masse. Une demande ciblée limite l’exposition à une enquête précise. Le reporting de masse crée une base de données permanente portant sur de larges populations.

Idée reçue à corriger

Le risque ne concerne pas seulement les « baleines ». Un criminel n’a pas besoin de connaître le patrimoine net exact pour décider qu’une cible mérite d’être pressée. Dans certains cas, la simple perception qu’une personne détient de la crypto peut suffire à créer un danger pour elle et sa famille.

Position de Bull Bitcoin

La position de Bull Bitcoin est que l’application des règles fiscales doit tenir compte de la sécurité physique. Un système qui crée de larges bases de données crypto reliées à l’identité devrait être soumis à une exigence de proportionnalité élevée. DAC8 et CARF échouent à ce test parce qu’ils normalisent la collecte de masse au lieu de demandes ciblées et justifiées.

Pages liées