Dans l'univers des actifs numériques, on vante souvent l'inviolabilité de la blockchain et la robustesse des protocoles cryptographiques. Pourtant, pour les entreprises qui opèrent dans ce secteur, le risque le plus critique ne se situe pas sur la blockchain elle-même, mais dans les couches d'infrastructures classiques.
Une série de failles majeures au sein de l'entreprise Waltio, que The Big Whale est en mesure de révéler, le rappelle brutalement : la sécurité des données clients reste négligée par de nombreux services, transformant des bases de données mal protégées en véritables annuaires pour le crime organisé.
La start-up française, fondée en 2019, fournit un outil d'aide à la déclaration fiscale pour les contribuables détenant des actifs numériques. Elle revendique 80 000 clients, dont certains possèdent de très gros patrimoines.
Selon nos informations, elle a été victime d'une intrusion dans ses systèmes au premier trimestre 2025.
Contrairement à un autre événement survenu le 21 janvier 2026, celui-ci n'a jamais été communiqué.
550 000 dollars dérobés dans la trésorerie de Waltio
Lors de cette attaque, des crypto-actifs appartenant à l’entreprise ont été dérobés via la récupération d’une “seed” stockée dans les outils en ligne de Waltio (une sorte de mot de passe permettant d’accéder aux fonds).
6,18 bitcoins ont été subtilisés dans la trésorerie, soit près de 550 000 dollars au cours actuel. “Nous ne pouvons ni confirmer, ni infirmer cette information”, nous a répondu dans un e-mail Pierre Morizot, patron de la start-up.
En outre, il est très probable que les hackers aient aussi eu accès aux données des clients : le système de Waltio ne prévoyait pas de ségrégation entre les données de l’entreprise et celles des clients (principalement des adresses e-mails reliées à des soldes de patrimoine crypto).
Nous sommes en mesure d’affirmer que l’entreprise a fait appel à une société de cybersécurité, toujours au premier trimestre 2025, dans le but de tirer cette affaire au clair.
L’enquête de cette dernière n’a pas pu aller très loin en raison d’un problème majeur : Waltio n’avait pas mis en place de procédure permettant d’analyser les traces numériques laissées par les administrateurs de la plateforme.
Comme recommandation, la société d’audit a suggéré de changer l’intégralité du système car Waltio était “à l’aveugle” sur tout ce qu’il pouvait se passer.
“Il fallait installer le BA-BA de la sécurité informatique et de la ségrégation, avec notamment des remontées de logs et une politique d’accès conforme pour une société qui gère des données aussi sensibles”, explique à The Big Whale une source ayant été témoin de la situation.
Mais la question la plus importante est la suivante : quelles données ont été dérobées ?
Pour son patron Pierre Morizot : “Il n’y a absolument aucun lien entre les fonds de la société et le produit. Ce sont deux infrastructures technologiques totalement décorrélées qui ne communiquent pas.”
"C'est l'infrastructure globale de Waltio qui était à risque. Certes, le CRM de l'entreprise et son wallet sont décorrélés, mais une vulnérabilité sur les accès globaux de l'entreprise a permis aux pirates d'avoir un large accès à ses différents outils”, insiste notre source.
“La seule chose que l’on sait avec certitude, c’est qu’il y a eu une compromission en raison du vol des cryptos”, souligne ce témoin. “Mais étant donné que rien n’était ségrégué dans l’infrastructure globale, cela implique que le fichier client était fortement à risque au moment de l’attaque”.
Selon le règlement européen RGPD, une entreprise a l’obligation de signaler la situation à la CNIL et de prévenir ses clients si des données personnelles sont concernées et surtout s’il existe un risque pour les personnes.
Interrogé à ce sujet, Waltio n’a pas été en mesure d’apporter la preuve que cet incident avait été reporté.
“Ce piratage se situe dans une zone grise : l'absence de logs ne permet pas d'établir avec certitude ce qui s'est passé, ce qui pourrait expliquer qu’ils considèrent qu’il n’y a rien à communiquer”, souligne un expert.
Enquête du Parquet de Paris sur une nouvelle attaque
Après des rumeurs diffusées sur les réseaux sociaux fin décembre 2025, avançant que son ficher clients se trouverait sur des forums de hackers (démenties par l’entreprise), Waltio a fait l’objet d’une communication le 22 janvier 2026 de la part du Parquet de Paris.
Celui-ci indique que des opérateurs de crypto-actifs ont “récemment été victimes de fuites de données personnelles”.
Il est fait mention “d’une enquête en cours concernant la société Waltio”.
Cela est confirmé par l’entreprise le 23 janvier 2026, qui évoque une intrusion survenue dans ses systèmes dans la nuit du 21 janvier 2026 :
“Les données exposées concernent un périmètre limité lié à la génération de rapports fiscaux 2024, arrêtés au 31/12/2024. Dans les cas où le rapport fiscal est complet, on peut y trouver : l’adresse e-mail de l’utilisateur, des données agrégées issues du rapport fiscal 2024: gains et pertes, soldes au 31/12/2024 selon la structure du rapport”, explique-t-elle dans un communiqué.
Jamais il n’est fait référence à l’incident du premier trimestre 2025.
Ces épisodes s’inscrivent dans un contexte brûlant, au moment où une vague d'agressions de détenteurs de crypto-actifs déferle sur la France. Depuis le 1er janvier 2025, près de 30 cas ont été recensés par les médias, dont certains particulièrement violents (tous comptabilisés ici).
On en compte au moins 7 depuis le début de l'année 2026, auxquels il faut ajouter l'attaque avortée visant un couple parisien travaillant dans le secteur.
Les outils d’aide à la déclaration fiscale au centre des convoitises
Pour les réseaux criminels cherchant à accumuler des données privées sur les détenteurs de crypto-actifs, les sociétés telles que Waltio sont assurément des cibles de choix.
Selon des sources proches de l’enquête, ses concurrents Koinly et BlockPit subissent des vagues d’attaques informatiques et de phishing depuis plusieurs mois.
Mais Waltio semble être la plus touchée.
Une faille via l’inscription Google sur la plateforme aurait également été exploitée.
En clair, si un pirate connaissait l’adresse e-mail d’un client de Waltio s’étant inscrit via son compte Gmail, il était possible d’accéder facilement à son interface Waltio et donc à toutes ses informations.
Interrogé sur ce point, Pierre Morizot déclare : “Comme nous l’avons déjà communiqué à deux reprises (au mois d’octobre 2025 aux utilisateurs concernés puis le 24 décembre 2025 publiquement sur X), nous pouvons confirmer que Waltio a connu en octobre 2025 un incident de sécurité concernant 216 comptes, soit moins de 0,2 % de notre base utilisateurs. Le jour de la découverte, tous les utilisateurs concernés ont été informés, la CNIL a été notifiée.”
Selon lui, la faille a été résolue “immédiatement en octobre 2025”, précisant également que l’entreprise “ne gère pas les fonds de ses utilisateurs”.
Waltio ne stocke pas non plus de noms ou d’adresses physiques, seulement des e-mails et des informations sur le patrimoine crypto de ses clients. Mais ces informations sont particulièrement critiques et peuvent être facilement recoupées avec d’autres fuites de données récentes (opérateurs téléphoniques, France Travail, sites de e-commerce, fédérations sportives, etc.).
À l’arrivée, les pirates sont en mesure de constituer des annuaires complets de détenteurs de crypto-actifs (nom, adresse physique, numéro de téléphone, etc.) auxquels ils peuvent relier un montant de patrimoine en actifs numériques et dans certains cas le détail de leurs transactions.
Ces personnes font ensuite l’objet d’appels téléphoniques lors desquels les criminels tentent de les arnaquer.
Un procédé que confirme le Parquet de Paris, qui évoque également des appels de faux représentants de l’ordre (policiers, gendarmes, douaniers, magistrats), dont l’objectif est d’obtenir des informations complémentaires sur les détenteurs ou encore des documents ou objets sensibles (moyens de paiement, clés de récupération (”seeds”), biens de valeur, etc.).
Pour les plus fortunés, ces informations sont même à l'origine d'agressions particulièrement violentes à leur domicile. C'est particulièrement vrai pour les clients de Waltio (et des entreprises similaires) dont la vie financière est désormais exposée.
En traitant des données hautement critiques sans les protocoles de chiffrement ou de segmentation adéquats, ces sociétés continueront à faire l’objet d’attaques récurrentes et de plus en plus sophistiquées.
“Afin de protéger au mieux ces données, nous avons mis en place des contrôles de sécurité stricts, régulièrement audités par un cabinet de premier plan dans le cadre de notre certification SOC 2”, indique le dirigeant d’une entreprise similaire sollicité dans le cadre de notre enquête.
Avant d’ajouter : “Au-delà de ces audits, ces contrôles font également l’objet de tests de sécurité réguliers, incluant des tests d’intrusion internes (2 par an) et externes (1 par an)”.
Waltio assure être en train de mettre en place ce type de sécurité, après un premier renforcement réalisé courant 2025.
Dans un contexte où les données fuitées permettent de localiser et d'identifier précisément les portefeuilles les plus garnis, la frontière entre le cyber-risque et la sécurité physique s'estompe. La recrudescence d'attaques ciblées montre que la donnée est devenue l'actif le plus toxique s'il est mal conservé.
Pour les entreprises visées, ces cas renforcent le fait que la due diligence technique sur la conservation des données est désormais aussi cruciale que l'audit des smart contracts.
Ce contenu n'est pas disponible publiquement
Prêt à accéder à une recherche réellement exploitable ?
S’abonner à notre briefing hebdomadaire
