19 milliards de mots de passe compromis révèlent que le véritable problème de sécurité de la crypto n'est pas le code—c'est les gens

Le récit autour de la sécurité crypto évolue de manière inattendue pour l’industrie. Alors que 2025 a marqué une année noire avec le record du plus grand nombre de piratages cryptographiques, la révélation préoccupante ne réside pas dans des exploits sophistiqués de contrats intelligents ou des vulnérabilités élégantes dans le code. Au contraire, 19 milliards de mots de passe compromis et des défaillances opérationnelles de style Web2—identifiants volés, employés manipulés, canaux de support falsifiés—représentent la majorité des pertes. Ce changement de perspective est profondément important car il suggère quelque chose d’contre-intuitif : à mesure que la sécurité en chaîne se renforce, les attaquants s’adaptent en ciblant la vulnérabilité la plus facile dans tout système : l’humain.

Mitchell Amador, CEO de la plateforme de sécurité en chaîne Immunefi, a cristallisé cette évolution lors d’une conversation exclusive : « Malgré le fait que 2025 ait été la pire année pour les piratages, ces attaques proviennent de défaillances opérationnelles Web2, et non du code en chaîne. » La distinction touche au cœur de l’évolution du paysage des menaces dans la crypto. Alors que les pertes s’accumulaient tout au long de 2025, la sécurité en chaîne s’améliorait paradoxalement—une divergence qui pourrait définir la prochaine ère de la protection des actifs numériques.

Le facteur humain devient le maillon faible de la crypto

Les preuves sont accablantes. Environ 17 milliards de dollars en cryptomonnaies ont été siphonnés via des escroqueries et fraudes en 2025, avec des tactiques d’usurpation d’identité et des schémas alimentés par l’IA qui se révèlent être des vecteurs d’attaque d’une efficacité dévastatrice. Le rapport sur la criminalité crypto 2026 de Chainalysis documente un changement sismique dans le comportement des attaquants : les escroqueries par impersonation ont explosé de 1 400 % d’une année sur l’autre, tandis que les schémas augmentés par l’IA se sont révélés 450 % plus rentables que les méthodes de fraude traditionnelles.

Ce n’est pas une abstraction—les dégâts sont concrets. Juste le mois dernier, le chercheur en blockchain ZachXBT a révélé un vol de 282 millions de dollars par ingénierie sociale où les attaquants ont manipulé une cible pour lui faire remettre 2,05 millions de LTC et 1 459 BTC. Le butin a été immédiatement blanchi via des échanges instantanés axés sur la confidentialité en Monero, illustrant comment les défaillances de sécurité opérationnelle se propagent à travers tout l’écosystème.

Ce qui rend ces attaques particulièrement insidieuses, c’est leur faible barrière technique. Un email de phishing convaincant, un agent de support falsifié ou des identifiants compromis contournent tous les pare-feu et les audits de contrats sophistiqués. Les 19 milliards de mots de passe compromis circulant dans divers recoins sombres d’Internet représentent une surface d’attaque en constante expansion—une que les défenses automatisées peinent à contenir.

Impersonation et arnaques par IA surpassent les attaques d’infrastructure traditionnelles

Le calcul criminel a changé. Là où les attaquants se concentraient autrefois sur la recherche de bugs obscurs dans les contrats de tokens ou les implémentations de layer-2, ils privilégient désormais la psychologie sociale et la manipulation à grande échelle. Les données de Chainalysis révèlent ce changement tectonique : les escroqueries et fraudes dépassent désormais les violations directes d’infrastructure comme vecteur principal pour extraire de la valeur de l’écosystème crypto.

Amador explique pourquoi l’exploitabilité du code diminue : « Avec le code devenant moins exploitable, la principale surface d’attaque en 2026 sera les personnes. » Les protocoles DeFi ont considérablement amélioré leur posture de sécurité grâce à des audits, des programmes de bug bounty et une architecture défensive. Pourtant, cette avancée crée une structure d’incitation perverse—les attaquants se déplacent simplement vers des cibles plus molles : utilisateurs individuels, employés d’entreprises et processus opérationnels.

L’ampleur est remarquable. Les escroqueries par impersonation représentent non seulement une catégorie de fraude, mais désormais un vecteur de menace dominant. Combinées à l’ingénierie sociale alimentée par l’IA, capable de synthétiser des identités synthétiques convaincantes et une manipulation personnalisée à la vitesse de la machine, la ciblage des individus est devenu plus efficace et plus rentable que jamais.

Pourquoi la sécurité des contrats intelligents ne peut pas arrêter l’ingénierie sociale

Une statistique édifiante souligne le paradoxe : plus de 90 % des projets crypto présentent encore des vulnérabilités critiques et exploitables dans leur code. Pourtant, cette réalité sombre masque une vérité plus profonde. La vulnérabilité ne réside pas dans le contrat non patché—c’est le mot de passe du portefeuille écrit sur un post-it, la clé USB laissée dans un taxi, l’employé qui clique sur un lien malveillant.

Les conclusions respectives de Chainalysis et Immunefi convergent vers une réalité inconfortable. Les outils de défense qui pourraient réduire considérablement le risque restent largement sous-utilisés. Moins de 1 % de l’industrie déploie des pare-feu. Moins de 10 % ont mis en place des systèmes de détection alimentés par l’IA. Ces lacunes ne sont pas des échecs techniques ; ce sont des échecs organisationnels. L’infrastructure existe pour prévenir la majorité des désastres opérationnels qui ont marqué 2025, mais leur adoption reste abyssale.

La perspective d’Amador encadre ce défi en termes humains : « Le facteur humain est désormais le maillon faible que les experts en sécurité en chaîne et les acteurs du Web3 doivent prioriser. » Ce n’est pas de la hyperbole. Un mot de passe compromis, contrairement à un bug de contrat intelligent, ne nécessite aucune recherche sophistiquée de vulnérabilités pour être exploité. C’est une distribution à grande échelle, une manipulation rendue triviale par l’IA, et la malléabilité éternelle de la psychologie humaine.

La course à l’armement de l’IA : défenseurs contre attaquants à la vitesse de la machine

Si 2025 appartenait aux criminels apprenant comment exploiter les personnes à grande échelle, 2026 appartiendra à la technologie qui permet et contrecarre cette exploitation à la vitesse de la machine. « L’IA changera le tempo de la sécurité des deux côtés, » explique Amador. Les défenseurs déploieront des systèmes de surveillance et de réponse pilotés par l’IA qui opèrent à la vitesse de la machine, détectant anomalies et bloquant les attaques en millisecondes. Parallèlement, les attaquants utiliseront des outils identiques pour la recherche de vulnérabilités, l’ingénierie d’exploits et les campagnes massives d’ingénierie sociale.

Cette course à l’armement introduit une catégorie de risque à laquelle peu dans l’industrie sont suffisamment préparés. À mesure que la sécurité du code se renforce, la frontière de la vulnérabilité se déplace des contrats statiques vers des interfaces dynamiques humain-machine. L’interface entre utilisateur, portefeuille, échange et protocole devient le nouveau champ de bataille—un lieu où l’IA permet à la fois une défense sans précédent et une tromperie sans précédent.

Les agents en chaîne introduisent de nouvelles vulnérabilités

Peut-être le risque le plus prospectif qu’Amador a identifié dépasse complètement les paradigmes classiques de la cybersécurité. À mesure que les agents autonomes en chaîne et les systèmes d’IA acquièrent la capacité d’exécuter des décisions et de transférer des actifs sans intervention humaine, une nouvelle surface d’attaque apparaît. « Les agents IA en chaîne peuvent être plus rapides et plus puissants que les opérateurs humains, et ils sont particulièrement vulnérables à la manipulation si leurs voies d’accès ou couches de contrôle sont compromises, » a-t-il averti.

Cela représente un changement qualitatif dans le risque. Les défaillances de sécurité précédentes nécessitaient qu’un attaquant compromette un portefeuille ou un compte d’échange—des actifs discrets et identifiables. Les agents IA, en revanche, opèrent avec une autorité déléguée à travers protocoles et pools de liquidités. Compromettre la couche de contrôle d’un seul agent donne à l’attaquant un accès algorithmique aux flux de capitaux à la vitesse de la machine. « Nous sommes encore au début de l’apprentissage sur la manière de sécuriser correctement ces agents, » reconnaît Amador, « et cela sera l’un des défis de sécurité majeurs du prochain cycle. »

L’avenir : la sécurité au-delà du code

Le consensus émergent parmi les experts en sécurité est frappant. La sécurité en chaîne s’améliore indéniablement, mais les pertes totales continuent d’augmenter. Cette contradiction apparente se dissout lorsque l’on change de perspective, du code aux opérations. L’adversaire n’est pas un programmeur malin trouvant une faille de réentrancy—c’est un criminel sophistiqué utilisant 19 milliards de mots de passe compromis, des identités synthétiques et la manipulation psychologique pour extraire de la valeur des individus.

La réponse de l’industrie crypto déterminera si 2026 inversera les dégâts de 2025. Elle nécessite des investissements dans des systèmes de défense alimentés par l’IA, une gestion des mots de passe de niveau entreprise, des contrôles multi-signatures et de l’éducation. Elle exige de combler le déficit d’adoption qui laisse 99 % des projets sans protection par une infrastructure de sécurité de base. Plus fondamentalement, elle nécessite de reconnaître que la cryptographie la plus forte au monde ne sert à rien si le maillon le plus faible reste le jugement humain, la compromission et la tromperie.

La bataille pour la sécurité ne se joue plus en chaîne. Elle se joue dans les interfaces utilisateur, les contrôles d’accès d’entreprise, les tableaux de bord de surveillance et les espaces entre l’intention humaine et l’exécution automatisée. Et dans cette arène, la partie qui combine sophistication technologique et discipline opérationnelle finira par l’emporter.