Coinbase sous pression : la sécurité remise en question et une industrie en alerte

Une fuite de données d’une ampleur inédite

Le 14 mai 2025, Coinbase annonce une brèche majeure ayant compromis les données personnelles de près de 70 000 clients. En cause : un sous-traitant externe du service client, accusé d’avoir transmis illégalement des informations confidentielles.

Quelles données ont été volées ?

Les données compromises sont issues du processus KYC (Know Your Customer) imposé par les régulateurs :

• Nom et prénom

• Adresse email et numéro de téléphone

• Numéro de sécurité sociale (SSN)

• Copies de documents d’identité (carte nationale, passeport, permis…)

Ces informations permettent de cibler les utilisateurs avec des attaques d’ingénierie sociale, comme des appels ou emails frauduleux se faisant passer pour Coinbase.

Une méthode simple, des effets destructeurs

Avec ces données en main, les attaquants ont pu :

• Convaincre certains utilisateurs de transmettre leurs identifiants

• Accéder à des portefeuilles numériques

• Effectuer des retraits non autorisés, avec perte d’actifs pour certains

Brian Armstrong dénonce une réglementation obsolète

Le PDG Brian Armstrong ne s’est pas contenté d’un simple communiqué. Il a ouvertement critiqué les exigences KYC actuelles qu’il considère comme :

• Inadaptées à l’ère numérique

• Dangereuses pour les utilisateurs

• Obsolètes, car conçues dans les années 1970

Son argument principal ?

Plus une entreprise collecte de données sensibles, plus elle devient une cible. Or, ces données sont imposées par les régulateurs, mais les conséquences d’un piratage retombent exclusivement sur les entreprises et leurs clients.

Il plaide pour une modernisation des obligations réglementaires, à l’aide de technologies comme :

• ZKPs (zero-knowledge proofs) : qui permettent de vérifier une identité sans en dévoiler les détails

• Identité décentralisée (DID) : stockée sur la blockchain et contrôlée par l’utilisateur

Un timing controversé : mise à jour juridique en pleine crise

Le 15 mai, soit un jour après l’annonce de la fuite, Coinbase a modifié ses conditions d’utilisation. Cette mise à jour stipule que tout recours juridique devra désormais se faire devant les tribunaux de l’État de New York uniquement.

Conséquences immédiates :

• Accusations de manipulation et mauvaise foi de la part des utilisateurs

• Multiplication de tentatives de recours collectifs (class actions)

• Sentiment de trahison chez certains clients qui y voient une tentative d’étouffer l’affaire

Coinbase, de son côté, affirme que cette modification juridique avait été annoncée 30 jours à l’avance, conformément à ses obligations contractuelles.

Un choc pour la confiance dans le secteur

Cette affaire pose une question fondamentale : peut-on concilier exigence réglementaire et sécurité des utilisateurs dans la crypto ?

Ce que révèle cette crise :

• Les plateformes centralisées restent des cibles vulnérables

• Le stockage de données personnelles devient un risque stratégique

• Les régulateurs imposent des normes héritées de l’ère bancaire, mal adaptées aux dynamiques décentralisées

Cette situation génère une perte de confiance généralisée, non seulement envers Coinbase, mais aussi envers tout l’écosystème centralisé des exchanges.

Une affaire à suivre de très près

Coinbase traverse l’une des crises les plus sérieuses de son histoire. Sa capacité à redresser la barre pourrait faire figure de test grandeur nature pour tout le secteur.

L’industrie crypto se trouve à un carrefour :

• Soit elle continue à évoluer sous des règles dépassées, risquant de perdre la confiance des utilisateurs

• Soit elle adopte des outils cryptographiques modernes pour réconcilier sécurité, conformité et confidentialité

Dans les deux cas, cette affaire servira de précédent.