{"id":148,"date":"2026-07-02T22:23:18","date_gmt":"2026-07-02T22:23:18","guid":{"rendered":"https:\/\/hoge.gg\/fr\/compromission-cles-privees-menace-crypto\/"},"modified":"2026-07-02T22:23:18","modified_gmt":"2026-07-02T22:23:18","slug":"compromission-cles-privees-menace-crypto","status":"publish","type":"post","link":"https:\/\/hoge.gg\/fr\/compromission-cles-privees-menace-crypto\/","title":{"rendered":"Compromission de cl\u00e9s priv\u00e9es : la faille qui co\u00fbte des milliards"},"content":{"rendered":"<p class=\"wp-block-paragraph\">En 2024, pr\u00e8s de la moiti\u00e9 des sommes d\u00e9rob\u00e9es dans la crypto l&#8217;ont \u00e9t\u00e9 par un seul et m\u00eame moyen : la compromission d&#8217;une cl\u00e9 priv\u00e9e. Pas un bug de smart contract, pas une faille de protocole exotique, mais la perte, le vol ou le d\u00e9tournement de la cl\u00e9 qui contr\u00f4le les fonds. La soci\u00e9t\u00e9 d&#8217;analyse <a href=\"https:\/\/www.chainalysis.com\/blog\/2025-crypto-crime-report-introduction\/\">Chainalysis chiffre ce vecteur \u00e0 43,8 % des montants vol\u00e9s<\/a> cette ann\u00e9e-l\u00e0, loin devant toutes les autres m\u00e9thodes. Et 2025 a battu le record.<\/p>\n\n<h2 class=\"wp-block-heading\">Une menace devenue syst\u00e9mique<\/h2>\n\n<p class=\"wp-block-paragraph\">Le vol de crypto-actifs a franchi un nouveau seuil en 2025. Selon <a href=\"https:\/\/www.chainalysis.com\/blog\/crypto-hacking-stolen-funds-2026\/\">le bilan annuel de Chainalysis<\/a>, plus de 3,1 milliards d&#8217;euros (environ 3,4 milliards de dollars) ont \u00e9t\u00e9 subtilis\u00e9s entre janvier et d\u00e9but d\u00e9cembre, un record absolu. \u00c0 lui seul, le casse de la plateforme Bybit, en f\u00e9vrier, p\u00e8se pr\u00e8s de 1,4 milliard d&#8217;euros. Le point commun de la plupart de ces incidents ne r\u00e9side pas dans une faille cryptographique exotique, mais dans un maillon bien plus banal : la cl\u00e9 qui autorise les transactions.<\/p>\n\n<p class=\"wp-block-paragraph\">Le sujet tombe \u00e0 un moment charni\u00e8re pour les investisseurs fran\u00e7ais. Depuis le 1er juillet 2026, <a href=\"https:\/\/www.amf-france.org\/en\/news-publications\/news\/amf-reminds-digital-asset-service-providers-transitional-period-allowing-them-continue-providing\">la p\u00e9riode transitoire accord\u00e9e par l&#8217;AMF aux anciens PSAN a pris fin<\/a> : seuls les prestataires agr\u00e9\u00e9s au titre du r\u00e8glement europ\u00e9en MiCA peuvent d\u00e9sormais servir les clients fran\u00e7ais. La s\u00e9curisation des cl\u00e9s y devient une obligation r\u00e9glementaire, et non plus une simple bonne pratique.<\/p>\n\n<h2 class=\"wp-block-heading\">Ce qu&#8217;est une cl\u00e9 priv\u00e9e, et pourquoi tout repose sur elle<\/h2>\n\n<p class=\"wp-block-paragraph\">Une cl\u00e9 priv\u00e9e est un tr\u00e8s grand nombre al\u00e9atoire, le plus souvent repr\u00e9sent\u00e9 par 64 caract\u00e8res hexad\u00e9cimaux ou par une phrase de r\u00e9cup\u00e9ration (seed phrase) de douze \u00e0 vingt-quatre mots. Elle ne circule jamais sur la blockchain : elle sert \u00e0 signer les transactions, prouvant que le d\u00e9tenteur autorise un transfert sans jamais r\u00e9v\u00e9ler le secret lui-m\u00eame. De cette cl\u00e9 se d\u00e9rive l&#8217;adresse publique qui re\u00e7oit les fonds.<\/p>\n\n<p class=\"wp-block-paragraph\">La cons\u00e9quence est brutale, bien r\u00e9sum\u00e9e par l&#8217;adage \u00ab not your keys, not your coins \u00bb : quiconque d\u00e9tient la cl\u00e9 d\u00e9tient les fonds, point final. Aucun service client pour annuler un virement, aucune banque centrale pour rembourser, aucun bouton d&#8217;annulation. Une cl\u00e9 compromise signifie, dans la quasi-totalit\u00e9 des cas, une perte irr\u00e9versible. C&#8217;est ce caract\u00e8re d\u00e9finitif qui fait de la cl\u00e9 priv\u00e9e la cible la plus recherch\u00e9e des attaquants.<\/p>\n\n<h2 class=\"wp-block-heading\">Les grands vecteurs de compromission<\/h2>\n\n<p class=\"wp-block-paragraph\">Contrairement \u00e0 une id\u00e9e r\u00e9pandue, casser la cryptographie sous-jacente reste hors de port\u00e9e. Les attaquants visent donc l&#8217;humain, le logiciel et l&#8217;infrastructure. Les principales voies d&#8217;entr\u00e9e sont aujourd&#8217;hui bien document\u00e9es.<\/p>\n\n<ul class=\"wp-block-list\"><li><strong>Le hame\u00e7onnage et l&#8217;ing\u00e9nierie sociale<\/strong> : faux sites, faux supports techniques, fausses fen\u00eatres de signature qui poussent la victime \u00e0 valider une transaction pi\u00e9g\u00e9e.<\/li><li><strong>Les logiciels malveillants<\/strong> : infostealers qui aspirent les fichiers de portefeuille, enregistreurs de frappe et d\u00e9tourneurs de presse-papiers qui remplacent l&#8217;adresse copi\u00e9e.<\/li><li><strong>Une phrase de r\u00e9cup\u00e9ration mal stock\u00e9e<\/strong> : photographi\u00e9e, sauvegard\u00e9e dans le cloud ou conserv\u00e9e en clair. En 2022, l&#8217;application Slope avait enregistr\u00e9 des seed phrases en texte lisible sur ses serveurs.<\/li><li><strong>Les attaques sur la cha\u00eene d&#8217;approvisionnement logicielle<\/strong> : d\u00e9pendance pi\u00e9g\u00e9e ou biblioth\u00e8que compromise, comme lors de l&#8217;incident du Ledger Connect Kit en d\u00e9cembre 2023.<\/li><li><strong>La compromission d&#8217;infrastructure<\/strong> : postes de d\u00e9veloppeurs, jetons de session cloud ou serveurs de signature, un sc\u00e9nario au coeur du dossier Bybit.<\/li><li><strong>Les robots aspirateurs<\/strong> : d\u00e8s qu&#8217;une cl\u00e9 fuite, des sweeper bots et parfois des chercheurs de MEV se disputent la vidange du portefeuille en quelques secondes.<\/li><\/ul>\n\n<h2 class=\"wp-block-heading\">Anatomie du casse Bybit : quand l&#8217;interface ment au signataire<\/h2>\n\n<p class=\"wp-block-paragraph\">Le 21 f\u00e9vrier 2025, environ 401 347 ETH quittent un portefeuille froid (cold wallet) de Bybit, pour une valeur proche de 1,4 milliard d&#8217;euros. C&#8217;est, \u00e0 ce jour, le plus grand vol de l&#8217;histoire de la crypto. Le portefeuille \u00e9tait pourtant prot\u00e9g\u00e9 par un dispositif multisignature Safe, exigeant l&#8217;accord de plusieurs signataires avant chaque transfert.<\/p>\n\n<p class=\"wp-block-paragraph\">L&#8217;attaque n&#8217;a cass\u00e9 aucune cl\u00e9. Selon <a href=\"https:\/\/www.nccgroup.com\/research\/in-depth-technical-analysis-of-the-bybit-hack\/\">l&#8217;analyse technique du NCC Group<\/a> et le <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/lazarus-hacked-bybit-via-breached-safe-wallet-developer-machine\/\">compte rendu de BleepingComputer<\/a>, les assaillants ont d&#8217;abord compromis le poste d&#8217;un d\u00e9veloppeur de Safe par ing\u00e9nierie sociale, d\u00e9rob\u00e9 des jetons de session AWS pour contourner l&#8217;authentification \u00e0 plusieurs facteurs, puis inject\u00e9 un code JavaScript malveillant dans l&#8217;interface de signature. Les signataires de Bybit ont valid\u00e9 ce qu&#8217;ils croyaient \u00eatre un transfert de routine ; en r\u00e9alit\u00e9, ils autorisaient une prise de contr\u00f4le totale du contrat.<\/p>\n\n<p class=\"wp-block-paragraph\">Cinq jours plus tard, <a href=\"https:\/\/www.ic3.gov\/psa\/2025\/psa250226\">le FBI attribuait officiellement l&#8217;op\u00e9ration<\/a> au groupe nord-cor\u00e9en Lazarus, qu&#8217;il d\u00e9signe sous le nom de TraderTraitor. La secousse a gagn\u00e9 les march\u00e9s : l&#8217;Ethereum a plong\u00e9 d&#8217;environ 24 % et le Bitcoin est pass\u00e9 sous les 83 000 euros dans les heures qui ont suivi. La le\u00e7on est d\u00e9cisive : une cl\u00e9 peut rester parfaitement secr\u00e8te tout en \u00e9tant, dans les faits, compromise, d\u00e8s lors que l&#8217;on manipule ce qu&#8217;elle signe.<\/p>\n\n<h2 class=\"wp-block-heading\">Ronin, Harmony, DMM : une d\u00e9cennie de cl\u00e9s d\u00e9rob\u00e9es<\/h2>\n\n<p class=\"wp-block-paragraph\">Bybit n&#8217;est que le dernier \u00e9pisode d&#8217;une longue s\u00e9rie. Le pont Ronin, adoss\u00e9 au jeu Axie Infinity, avait perdu en mars 2022 l&#8217;\u00e9quivalent de 575 millions d&#8217;euros apr\u00e8s que des attaquants eurent mis la main sur cinq des neuf cl\u00e9s de validateurs, un pi\u00e8ge lui aussi qualifi\u00e9 d&#8217;ing\u00e9nierie sociale par les enqu\u00eateurs. Le tableau ci-dessous r\u00e9capitule les principaux vols li\u00e9s \u00e0 une compromission de cl\u00e9s ou de processus de signature.<\/p>\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Incident<\/th><th>Date<\/th><th>Montant approx. (EUR)<\/th><th>Vecteur<\/th><th>Attribution<\/th><\/tr><\/thead><tbody><tr><td>Bybit<\/td><td>F\u00e9v. 2025<\/td><td>1,4 milliard<\/td><td>Interface de signature compromise<\/td><td>Lazarus<\/td><\/tr><tr><td>Ronin (Axie Infinity)<\/td><td>Mars 2022<\/td><td>575 millions<\/td><td>5 cl\u00e9s de validateurs sur 9<\/td><td>Lazarus<\/td><\/tr><tr><td>DMM Bitcoin<\/td><td>Mai 2024<\/td><td>280 millions<\/td><td>Processus de signature compromis<\/td><td>Lazarus (soup\u00e7on)<\/td><\/tr><tr><td>WazirX<\/td><td>Juil. 2024<\/td><td>210 millions<\/td><td>Multisignature Safe d\u00e9tourn\u00e9e<\/td><td>Lazarus (soup\u00e7on)<\/td><\/tr><tr><td>Harmony (pont Horizon)<\/td><td>Juin 2022<\/td><td>92 millions<\/td><td>Multisignature 2 sur 5<\/td><td>Lazarus<\/td><\/tr><tr><td>Atomic Wallet<\/td><td>Juin 2023<\/td><td>92 millions<\/td><td>Cl\u00e9s d&#8217;utilisateurs<\/td><td>Lazarus (soup\u00e7on)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n<p class=\"wp-block-paragraph\">Les analyses de r\u00e9f\u00e9rence, du <a href=\"https:\/\/www.coindesk.com\/policy\/2022\/04\/14\/us-officials-tie-north-korean-hacker-group-to-axies-ronin-exploit\">rattachement de Ronin \u00e0 Lazarus par les autorit\u00e9s am\u00e9ricaines<\/a> \u00e0 la <a href=\"https:\/\/www.elliptic.co\/blog\/540-million-stolen-from-the-ronin-defi-bridge\">reconstitution du parcours des fonds par Elliptic<\/a>, dessinent un m\u00eame mode op\u00e9ratoire. Une base de donn\u00e9es ouverte, <a href=\"https:\/\/github.com\/tayvano\/lazarus-bluenoroff-research\">maintenue sur GitHub<\/a>, documente d&#8217;ailleurs m\u00e9thodiquement des dizaines de ces op\u00e9rations.<\/p>\n\n<h2 class=\"wp-block-heading\">Ce que disent les chiffres<\/h2>\n\n<p class=\"wp-block-paragraph\">La compromission de cl\u00e9s n&#8217;est pas seulement spectaculaire, elle est structurellement dominante. Apr\u00e8s 43,8 % des sommes vol\u00e9es en 2024, cette cat\u00e9gorie a repr\u00e9sent\u00e9 <a href=\"https:\/\/www.theblock.co\/post\/382477\/crypto-hack-2025-chainalysis\">88 % des montants d\u00e9rob\u00e9s aux services centralis\u00e9s au premier trimestre 2025<\/a>. La part des portefeuilles personnels touch\u00e9s est pass\u00e9e de 7,3 % des pertes en 2022 \u00e0 44 % en 2024, signe d&#8217;une bascule vers l&#8217;utilisateur final.<\/p>\n\n<p class=\"wp-block-paragraph\">Deux dynamiques coexistent. D&#8217;un c\u00f4t\u00e9, une poign\u00e9e de m\u00e9ga-vols concentre l&#8217;essentiel des montants : les trois plus gros piratages de 2025 p\u00e8sent \u00e0 eux seuls 69 % des pertes des plateformes. De l&#8217;autre, une criminalit\u00e9 de masse frappe les particuliers, avec pr\u00e8s de 158 000 incidents recens\u00e9s sur des portefeuilles individuels en 2025, pour environ 80 000 victimes et 655 millions d&#8217;euros d\u00e9rob\u00e9s. Les acteurs \u00e9tatiques restent au premier rang : la Cor\u00e9e du Nord aurait d\u00e9tourn\u00e9 plus de 2 milliards de dollars sur la seule ann\u00e9e 2025.<\/p>\n\n<h2 class=\"wp-block-heading\">Cold wallet, hot wallet, multisig, MPC : la hi\u00e9rarchie du risque<\/h2>\n\n<p class=\"wp-block-paragraph\">Toutes les m\u00e9thodes de conservation ne se valent pas, mais aucune n&#8217;est infaillible. Le choix se joue sur un compromis entre praticit\u00e9 et surface d&#8217;exposition.<\/p>\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Mod\u00e8le<\/th><th>Principe<\/th><th>Force<\/th><th>Limite<\/th><\/tr><\/thead><tbody><tr><td>Hot wallet<\/td><td>Cl\u00e9 sur un appareil connect\u00e9<\/td><td>Pratique et rapide<\/td><td>Expos\u00e9 aux logiciels malveillants<\/td><\/tr><tr><td>Cold wallet (hardware)<\/td><td>Signature hors ligne<\/td><td>Cl\u00e9 isol\u00e9e d&#8217;Internet<\/td><td>Vuln\u00e9rable si l&#8217;interface ment (cas Bybit)<\/td><\/tr><tr><td>Multisignature<\/td><td>M signatures requises sur N<\/td><td>Pas de point unique de d\u00e9faillance<\/td><td>Signataires manipulables (Bybit, WazirX)<\/td><\/tr><tr><td>MPC<\/td><td>Cl\u00e9 fragment\u00e9e en parts<\/td><td>Aucune cl\u00e9 compl\u00e8te n&#8217;existe jamais<\/td><td>Complexit\u00e9 et d\u00e9pendance au fournisseur<\/td><\/tr><\/tbody><\/table><\/figure>\n\n<p class=\"wp-block-paragraph\">Le portefeuille mat\u00e9riel reste le socle recommand\u00e9 pour un particulier, \u00e0 condition de v\u00e9rifier chaque transaction sur l&#8217;\u00e9cran de l&#8217;appareil, et non sur celui de l&#8217;ordinateur. Pour une tr\u00e9sorerie d&#8217;entreprise, la multisignature ou le MPC r\u00e9partissent le risque, mais le cas Bybit rappelle qu&#8217;aucun sch\u00e9ma ne dispense de v\u00e9rifier ce que l&#8217;on signe r\u00e9ellement.<\/p>\n\n<h2 class=\"wp-block-heading\">Le cadre r\u00e9glementaire : AMF, MiCA et la garde des cl\u00e9s<\/h2>\n\n<p class=\"wp-block-paragraph\">En France, la conservation de cl\u00e9s priv\u00e9es pour le compte de tiers est une activit\u00e9 r\u00e9glement\u00e9e. Depuis l&#8217;entr\u00e9e en application pleine de MiCA, <a href=\"https:\/\/www.amf-france.org\/en\/news-publications\/depth\/mica\">le r\u00e8glement impose aux prestataires des exigences pr\u00e9cises<\/a> de s\u00e9curisation des cl\u00e9s, de r\u00e9silience informatique et de fonds propres ou d&#8217;assurance. La garde d&#8217;actifs se d\u00e9finit d&#8217;ailleurs comme la conservation des cl\u00e9s priv\u00e9es et le pouvoir d&#8217;en faire usage pour le compte du client.<\/p>\n\n<p class=\"wp-block-paragraph\">Le calendrier vient de basculer. Un prestataire non agr\u00e9\u00e9 qui poursuivrait son activit\u00e9 apr\u00e8s le 1er juillet 2026 s&#8217;expose \u00e0 deux ans d&#8217;emprisonnement et \u00e0 30 000 euros d&#8217;amende, l&#8217;AMF pouvant en outre publier une liste noire et faire bloquer les sites concern\u00e9s. Un angle mort subsiste toutefois : les portefeuilles auto-h\u00e9berg\u00e9s (self-custody) et les \u00e9changes pleinement d\u00e9centralis\u00e9s sortent du champ de MiCA. La protection r\u00e9glementaire s&#8217;arr\u00eate l\u00e0 o\u00f9 commence la responsabilit\u00e9 individuelle du d\u00e9tenteur de la cl\u00e9.<\/p>\n\n<h2 class=\"wp-block-heading\">Comment r\u00e9duire le risque<\/h2>\n\n<ul class=\"wp-block-list\"><li>Utiliser un portefeuille mat\u00e9riel et v\u00e9rifier l&#8217;adresse de destination directement sur son \u00e9cran.<\/li><li>Conserver la phrase de r\u00e9cup\u00e9ration hors ligne, jamais en photo ni dans le cloud ; envisager une sauvegarde sur support m\u00e9tallique.<\/li><li>Se m\u00e9fier de la signature \u00e0 l&#8217;aveugle et privil\u00e9gier les portefeuilles qui d\u00e9codent et affichent le contenu r\u00e9el de la transaction.<\/li><li>D\u00e9dier un appareil ou un profil de navigateur distinct aux op\u00e9rations \u00e0 forte valeur.<\/li><li>R\u00e9voquer r\u00e9guli\u00e8rement les autorisations de d\u00e9pense accord\u00e9es aux contrats, via un outil de type revoke.cash.<\/li><li>Consid\u00e9rer toute cl\u00e9 expos\u00e9e comme imm\u00e9diatement perdue et migrer les fonds sans attendre.<\/li><li>C\u00f4t\u00e9 \u00e9quipes, durcir les postes des signataires et simuler chaque transaction avant sa validation.<\/li><\/ul>\n\n<h2 class=\"wp-block-heading\">Ce qui vient : abstraction de compte et signature v\u00e9rifiable<\/h2>\n\n<p class=\"wp-block-paragraph\">La r\u00e9ponse de l&#8217;industrie ne consiste pas \u00e0 supprimer la cl\u00e9 priv\u00e9e, mais \u00e0 faire en sorte qu&#8217;une cl\u00e9 compromise ne signifie plus la fin de la partie. L&#8217;abstraction de compte (standard ERC-4337) ouvre la voie \u00e0 des comptes intelligents dot\u00e9s de r\u00e9cup\u00e9ration sociale, de plafonds de d\u00e9pense et de cl\u00e9s de session r\u00e9vocables. Les passkeys et les enclaves s\u00e9curis\u00e9es des smartphones rapprochent, de leur c\u00f4t\u00e9, la signature d&#8217;un usage grand public.<\/p>\n\n<p class=\"wp-block-paragraph\">Surtout, le traumatisme Bybit acc\u00e9l\u00e8re l&#8217;adoption de la signature lisible (clear signing), qui consiste \u00e0 afficher en clair ce que la transaction ex\u00e9cute r\u00e9ellement avant toute validation. Les donn\u00e9es de march\u00e9 que suivent des plateformes comme <a href=\"https:\/\/www.coingecko.com\/en\/coins\/ethereum\">CoinGecko<\/a> le confirment \u00e0 chaque cycle : la valeur stock\u00e9e augmente, et avec elle l&#8217;incitation \u00e0 s&#8217;emparer des cl\u00e9s. La s\u00e9curit\u00e9 des cl\u00e9s priv\u00e9es n&#8217;est pas un d\u00e9tail technique ; c&#8217;est la condition de survie de tout un secteur.<\/p>\n\n<p class=\"wp-block-paragraph\">Par la r\u00e9daction de HOGE Wire, desk s\u00e9curit\u00e9 et exploits.<\/p>","protected":false},"excerpt":{"rendered":"<p>La compromission de cl\u00e9s priv\u00e9es est le premier vecteur de vol crypto, du pont Ronin au casse Bybit. D\u00e9cryptage des m\u00e9canismes, des chiffres et des parades pour prot\u00e9ger ses actifs.<\/p>\n","protected":false},"author":4,"featured_media":149,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[12],"tags":[],"class_list":["post-148","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security-exploits"],"_links":{"self":[{"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/posts\/148","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/comments?post=148"}],"version-history":[{"count":0,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/posts\/148\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/media\/149"}],"wp:attachment":[{"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/media?parent=148"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/categories?post=148"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/tags?post=148"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}