Coinbase refuse de payer une rançon de 20 millions de dollars après un piratage massif qui expose les données personnelles de certains clients. L’incident pourrait coûter jusqu’à 400 millions de dollars à la plateforme. En parallèle, une enquête de la SEC relance les critiques sur la transparence du géant crypto.
Une faille critique au pire moment pour Coinbase
Quelques jours à peine avant son entrée dans l’indice boursier S&P 500, Coinbase a confirmé avoir été victime d’un piratage ciblé. Des hackers ont réussi à mettre la main sur des données sensibles concernant une « petite portion » des utilisateurs. Pas de mots de passe ni de clés privées en fuite, mais des informations personnelles comme noms, adresses, e-mails, numéros partiels de sécurité sociale, coordonnées bancaires masquées et copies de pièces d’identité ont été dérobées. Les assaillants, qui ont soudoyé des employés à l’étranger pour accéder aux données, ont exigé une rançon de 20 millions de dollars. Coinbase a refusé de payer.
Jusqu’à 400 millions de dollars de coûts pour contenir la crise
Coinbase estime l’impact financier de cette attaque entre 180 et 400 millions de dollars. La majeure partie de ce montant est destinée au remboursement des clients floués et à la mise en place d’une prime de 20 millions pour toute information permettant de retrouver les responsables. L’entreprise affirme coopérer avec les autorités et avoir renforcé ses systèmes de sécurité. Un nouveau centre de support client sera également implanté aux États-Unis pour limiter les risques liés à l’externalisation.
La question des « utilisateurs vérifiés » refait surface
En parallèle, la SEC (Securities Exchange Commission) poursuit une enquête discrète entamée sous l’administration Biden, portant sur la manière dont Coinbase aurait présenté son nombre d’utilisateurs dans ses documents financiers. Le régulateur s’interroge sur l’usage du terme « utilisateurs vérifiés », un indicateur abandonné en 2023 car jugé peu pertinent. Bien que cette métrique ait été présentée avec des réserves dès l’origine, la SEC cherche à déterminer si elle a pu induire les investisseurs en erreur. Coinbase assure sa pleine coopération, tout en contestant la légitimité de poursuivre cette enquête.
Que faire si vous avez un compte ?
Coinbase promet de dédommager les victimes, mais ne propose aucune garantie sur l’usage futur des données volées. Les experts conseillent aux clients concernés de prendre des mesures préventives : gel des rapports de crédit, vigilance face aux tentatives de phishing, et utilisation de portefeuilles crypto hors ligne (cold wallets). Si votre banque figure dans les informations potentiellement exposées, un changement de compte pourrait même se considérer. Comme quoi dans le monde de la crypto, la sécurité reste un maillon faible, même chez les géants du secteur.
