Risques physiques
Violence physique et crypto
Pourquoi les attaques physiques contre les détenteurs de crypto-actifs rendent la collecte DAC8 et CARF particulièrement dangereuse.
Mis à jour le
Réponse courte
Les détenteurs de crypto-actifs présentent un profil de risque physique différent de celui des titulaires de comptes financiers ordinaires. Les crypto-actifs se transfèrent vite, parfois de façon irréversible, et l’activité publique sur la blockchain peut révéler des indices sur la valeur détenue ou les contreparties. Sous contrainte, une victime peut être forcée de signer une transaction. Une base de données qui relie une identité à une activité crypto peut donc devenir un outil de ciblage si elle fuite, est détournée ou tombe entre de mauvaises mains.
La violence physique liée aux crypto-actifs n’est plus un risque théorique : les agressions, séquestrations et extorsions sont documentées. C’est pourquoi Bull Bitcoin considère que DAC8 et CARF ne sont pas seulement des mesures de déclaration fiscale. Elles peuvent devenir des risques pour la sécurité des personnes.
Faits clés
| Indicateur | Valeur |
|---|---|
| Attaques physiques mondiales liées à la crypto ayant lieu en Europe (Q1 2026) | 82 % |
| Augmentation des « wrench attacks » en 2025 | +75 % |
| Attaques supplémentaires au Q1 2026 vs Q1 2025 | +41 % |
| Montant extorqué en 4 mois (janvier à avril 2026) | 101 M$ |
CertiK, Wrench Attacks Report Q1 2026, mai 2026 (relayé par The Block et CoinAlertNews, 8 mai 2026).
Pourquoi la crypto crée un risque physique particulier
| Facteur de risque | Pourquoi c’est important |
|---|---|
| Transférabilité rapide | Un attaquant peut contraindre une victime à déplacer ses fonds rapidement |
| Irréversibilité | Certains transferts crypto ne peuvent pas être annulés en pratique |
| Registres publics | Une activité liée à une adresse peut en révéler plus qu’un numéro de compte bancaire |
| Exposition des proches | Les attaquants peuvent viser les proches, pas seulement le titulaire |
| Fuite ou accès interne | Une base n’a pas besoin d’être publique pour devenir dangereuse |
Le problème de sécurité ne tient pas seulement à la valeur des crypto-actifs. Il tient au fait qu’une identité peut être reliée à une classe d’actifs dont la détention, les transferts ou les regroupements d’adresses peuvent être observables de l’extérieur. Si une personne mal intentionnée obtient des enregistrements crypto reliés à une identité, elle peut sélectionner ses cibles plus efficacement.
Les attaques physiques contre les détenteurs de crypto-actifs constituent une catégorie de crime documentée. Chainalysis a analysé le lien entre criminalité crypto et attaques physiques, et des travaux académiques sur les « wrench attacks » étudient les agressions coercitives visant les utilisateurs de cryptomonnaies (AFT 2024).
La France, épicentre mondial
La France concentre désormais une part disproportionnée des attaques :
- 70 % des attaques physiques mondiales liées à la crypto se produisent en France ;
- 47 événements violents recensés en France en 2026 au 25 avril (PNACO), soit environ une attaque tous les 2,5 jours ;
- 88 personnes mises en examen, dont plus de 10 mineurs ;
- 75 suspects en détention provisoire ;
- une hausse continue : 18 faits en 2024, puis 67 en 2025, selon Vanessa Perrée, cheffe du PNACO.
Le Parisien, 25 avril 2026. Bitcoin.com, France Charges 88 Over Crypto Kidnappings, 25 avril 2026.
Les cas médiatisés confirment une concentration européenne des attaques physiques récentes, avec une place particulière de la France. L’enjeu de DAC8 doit donc être analysé dans un contexte concret : les données collectées peuvent nourrir une menace déjà active.
Cas emblématiques 2025-2026
| Date | Cas | Cible | Conséquences |
|---|---|---|---|
| Jan. 2025 | David Balland (co-fondateur de Ledger) | Détenteur | Doigt sectionné, rançon d’environ 10 M€ |
| Jan. 2026 | Couple de retraités, Sallanches | Parents du détenteur | 20 h de séquestration, plaies à l’arme blanche, rançon de 8 M€ |
| Fév. 2026 | Une magistrate et sa mère, Saint-Martin-le-Vinoux | Famille du dirigeant | 30 h dans un garage |
| Fév. 2026 | Famille d’un employé de Binance France | Famille de l’employé | Tentative d’intrusion au domicile |
| Mars 2026 | Sillytuna (développeur) | Détenteur | Environ 24 M$ USDC extorqués sous menace |
| 2026 | Mère de 84 ans (États-Unis, par des opérateurs européens) | Mère du détenteur | Rançon de 6 M$ en BTC |
Compilations Fibo-crypto, février-mars 2026. CoinDesk, février 2026. CertiK, mai 2026.
Le changement de modèle : le ciblage par les données
CertiK identifie un changement de mode opératoire : les attaquants ne se contentent plus d’une surveillance physique aléatoire. Ils achètent, croisent et enrichissent des données : noms, adresses, profils financiers, traces de plateformes et fuites précédentes.
A data-driven targeting model is replacing physical surveillance: attackers buy personal information (full names, home addresses, financial profiles) from online brokers.
Le mode opératoire type est désormais :
- acquisition de données personnelles (marchés noirs, fuites) ;
- croisement avec des données de plateformes crypto fuitées (cas Waltio) ;
- identification et surveillance préalable des proches ;
- recrutement local d’exécutants via Telegram ou Snapchat ;
- orchestration depuis l’étranger (Maroc, Dubaï, Europe de l’Est) ;
- passage à l’action par « vecteurs sonnette » (faux livreurs, faux policiers).
Pourquoi DAC8 et CARF aggravent le risque
DAC8 relie des identités civiles à des données transactionnelles crypto. Si ces informations fuitent, elles peuvent aider un réseau criminel à sélectionner une cible, évaluer un patrimoine, identifier des proches et préparer une attaque. La collecte automatique change le profil de risque : elle rend industriellement disponible ce que les attaquants cherchent déjà à obtenir par fuites, achats de données ou corruption.
DAC8 et CARF imposent à des systèmes de reporting de collecter et de normaliser des données. Cela signifie davantage d’enregistrements standardisés, davantage de points d’accès administratifs et davantage de mouvements de données transfrontaliers. Même si chaque acteur officiel agit légalement, chaque copie, interface et compte utilisateur supplémentaire augmente le nombre d’endroits où une défaillance peut survenir.
C’est la différence essentielle entre une demande d’information ciblée et un reporting de masse. Une demande ciblée limite l’exposition à une enquête précise. Le reporting de masse crée une base de données permanente portant sur de larges populations.
Idée reçue à corriger
Le risque ne concerne pas seulement les « baleines ». Un criminel n’a pas besoin de connaître le patrimoine net exact pour décider qu’une cible mérite d’être pressée. Dans certains cas, la simple perception qu’une personne détient de la crypto peut suffire à créer un danger pour elle et sa famille.
Position de Bull Bitcoin
La position de Bull Bitcoin est que l’application des règles fiscales doit tenir compte de la sécurité physique. Un système qui crée de larges bases de données crypto reliées à l’identité devrait être soumis à une exigence de proportionnalité élevée. DAC8 et CARF échouent à ce test parce qu’ils normalisent la collecte de masse au lieu de demandes ciblées et justifiées.