Incidents de sécurité chez Kraken en 2025/2026 : Que s’est-il réellement passé sur la plateforme d’échange de cryptomonnaies ?

Contrairement aux premiers rapports de divers médias, l'incident de sécurité découvert lors de Kraken 2025 n'était pas un piratage externe exploitant une vulnérabilité zero-day, mais un incident interneUn membre de l'équipe de support a enregistré des vidéos des systèmes internes et les a partagées sur un forum criminel. Au printemps 2026, un second incident similaire s'est produit, impliquant un autre employé, accompagné d'une tentative d'extorsion que Kraken a publiquement démentie. Environ [nombre manquant] employés ont été touchés. 2 000 comptes — soit 0,02 % de la base d’utilisateurs mondiale. Nick Percoco, directeur de la sécurité de Kraken, a précisé : aucun système n’a été compromis et les fonds des clients n’ont pas été menacés. Cet incident s’inscrit dans une tendance plus large du secteur, marquée par une recrudescence des campagnes de recrutement d’initiés, qui touchent également Coinbase, les opérateurs télécoms et les sociétés de jeux vidéo.

Principaux faits relatifs aux incidents

• Premier incident : Février 2025
• Deuxième incident : Printemps 2026, situation similaire avec un autre employé
• Tentative d'extorsion suivante : Avril 2026, publiquement rejeté par Kraken
• Comptes concernés : environ 2 000 (0,02 % de la base d'utilisateurs mondiale)
• Type de données consultées : exclusivement les dossiers du service client
• Non concerné : Portefeuilles, clés privées, codes d'authentification à deux facteurs, fonds des clients
• Déclaration du directeur de la sécurité Nick Percoco : „ Nos systèmes n'ont jamais été piratés ; nos fonds n'ont jamais été menacés ; nous ne paierons pas ces criminels. “
• Opérateur: Payward Inc. (société mère de Kraken)

Ce qui s'est réellement passé — et non un piratage classique

Cet incident s'inscrit dans une tendance qui s'est considérablement accentuée au sein de la communauté de la sécurité au cours des deux dernières années : Menace interne plutôt qu'exploitation externe.

Février 2025. Kraken a été informé de la diffusion sur un forum criminel d'une vidéo montrant une personne naviguant dans les systèmes internes du service client. Une enquête interne a permis d'identifier un membre de l'équipe de support comme source. L'accès a été immédiatement suspendu, des contrôles d'accès supplémentaires ont été mis en place et les clients concernés ont été avertis. Kraken a coopéré avec les forces de l'ordre dans plusieurs juridictions.

Printemps 2026. Un deuxième signalement similaire. De nouveau un employé du service client, une nouvelle vidéo, la même réaction : identification, suspension du compte, notification des comptes concernés. Puis l’extorsion a commencé : un groupe criminel a exigé un paiement, menaçant de diffuser les vidéos des deux incidents aux médias et sur les réseaux sociaux. Kraken a refusé et a annoncé des poursuites judiciaires.

Important pour le contexte : Il y avait Aucune faille zero-day, aucune vulnérabilité tierce, aucun intrus externe ayant obtenu un accès au système. Les employés avaient un accès légitime — ils en ont abusé.

Ce que les assaillants ont réellement vu — et ce qu'ils n'ont pas vu

Le terme „ fuite de données “ est souvent utilisé de manière générique dans les articles. Dans le cas de Kraken, l'étendue de la violation de données a été clairement définie :

Les éléments suivants peuvent être visualisés :

• Tickets d'assistance client et communications associées
• Données de base dans la mesure où elles sont visibles pour les processus de support (nom, adresse e-mail, pays le cas échéant)
• Des informations concernant éventuellement le statut du compte ou son niveau de vérification peuvent être fournies.

Non examiné ni compromis :

• Adresses de portefeuille et clés privées
• codes 2FA ou clés d'authentification
• Mots de passe ou hachages de mots de passe
• Accès direct aux comptes de trading
• Possibilité d'initier des transactions ou des retraits

Comparé aux véritables piratages boursiers de ces dernières années (Mt. Gox en 2014, Coincheck en 2018, FTX en 2022, Bybit en février 2025 avec une perte de 1,5 milliard de dollars), l'incident Kraken est d'une ampleur bien moindre. autre catégorieAucun risque de perte de fonds clients, aucune interférence avec l'infrastructure de trading.

Vue d'ensemble — le recrutement interne comme tendance du secteur

L'affaire Kraken n'est pas un incident isolé, mais s'inscrit dans une vague organisée et professionnelle. Caractéristiques principales :

• Recrutement sur le Dark Web des employés de grandes plateformes d'échange de cryptomonnaies, de plateformes de jeux et de fournisseurs de télécommunications
• Paiement généralement entre 3 000 et 15 000 USD par employé, en fonction du niveau d'accès
• Promesse marketing des recruteurs : „ Aucun logiciel malveillant requis, anonymat complet “
• Objectif : pas le vol direct, mais Données relatives aux attaques de phishing sur les clients identifiés présentant des soldes de compte élevés

Le cas comparable le plus notable est Coinbase en mai 2025Des pirates ont soudoyé des employés d'un prestataire de services clients indien, obtenant ainsi l'accès aux données d'environ 70 000 comptes. Coinbase a estimé le préjudice total à près de 400 millions de dollars américains, principalement en raison des vagues d'attaques de phishing qui ont suivi, au cours desquelles les informations de comptes divulguées ont été utilisées pour imiter la crédibilité des comptes. Coinbase a également refusé une demande de rançon de 20 millions de dollars américains et a offert une récompense du même montant pour toute information permettant l'arrestation des auteurs.

Comparé à l'incident Coinbase, l'incident Kraken est d'une ampleur bien moindre en termes de dommages et de nombre de comptes touchés, en raison à la fois de la portée différente des personnes impliquées et de la détection précoce par Kraken.

Kraken dans un contexte européen : premier fournisseur mondial agréé MiCAR

Pour les utilisateurs allemands et européens, un deuxième événement est au moins aussi important que l'incident de sécurité lui-même : Kraken est devenue la première grande plateforme mondiale d'échange de cryptomonnaies à recevoir une licence MiCAR complète le 25 juin 2025. — émis par la Banque centrale d'Irlande.

Ce que cela signifie en pratique :

• Kraken peut proposer ses services directement et de manière réglementée dans les 30 pays de l'EEE.
• Supervision par la Banque centrale d'Irlande, en coordination avec les autorités nationales (en Allemagne, la BaFin).
• Normes de protection des consommateurs à l'échelle de l'UE, obligations de transparence, mécanismes de surveillance robustes
• La licence couvre les sept activités liées aux cryptomonnaies réglementées par MiCAR : conservation, négociation, gestion de portefeuille, paiements, etc.

Vous pouvez en savoir plus sur le cadre réglementaire européen et les observations actuelles de l'ESMA dans notre article sur... Réglementation MiCA et pratique des licences à Malte.

Ce cadre réglementaire est pertinent pour évaluer l'incident de délit d'initié : une bourse agréée MiCAR est soumise non seulement à des normes de sécurité internes, mais aussi à d'autres normes. Obligations de déclaration à l'autorité de surveillance En cas d'incident de sécurité, Kraken gère l'incident conformément à la loi DORA pour la continuité des opérations et au RGPD pour les fuites de données. Kraken a officiellement traité l'incident dans les deux domaines.

Importance pour les utilisateurs en Allemagne

Dans le contexte actuel, l'impact concret sur les clients de Kraken en Allemagne reste gérable. Les points les plus importants sont les suivants :

• Ceux qui ne font pas partie des 2 000 comptes concernés, est pratiquement insensible aux incidents de délit d'initié.
• Qui est concerné ?, Kraken nous a informés directement de ce risque. Le principal danger réside dans la probabilité accrue de tentatives d'hameçonnage ciblées utilisant de véritables données clients.
• Vagues de suivi du phishing Voici les risques réels qui découlent de fuites de données de ce type. Les pirates utilisent les données divulguées pour simuler la crédibilité, par exemple en passant de faux appels d'assistance mentionnant de vrais numéros de compte ou un statut de vérification.

Recommandations qui ne vont pas de soi dans ce contexte :

• L'authentification à deux facteurs (2FA) avec une application d'authentification au lieu des SMS (l'échange de carte SIM reste le vecteur d'attaque le plus courant pour l'authentification à deux facteurs par SMS)
• Liste blanche de retrait Activez votre compte Kraken — tous les paiements sont effectués uniquement vers des adresses pré-approuvées.
• Compte de messagerie séparé pour les comptes boursiers qui ne sont pas liés à d'autres services
• Portefeuille matériel Pour les placements à long terme, les comptes de trading ne contiennent que les titres activement négociés.

Que se passe-t-il en cas de pertes ? — les conséquences du phishing

Dans le cadre de notre pratique en matière de criminalistique numérique, nous constatons régulièrement des violations de données de ce type. Vagues de suivi d'hameçonnage avec un délai de 4 à 8 semaines. Les pirates exploitent précisément les données divulguées et contactent les clients concernés sous prétexte d'un „ contrôle de sécurité “ ou d'une „ transaction suspecte “. Quiconque obtient ainsi les données du portefeuille ou la phrase de récupération d'un client peut retirer directement ses cryptomonnaies.

Dans de tels cas, la procédure médico-légale est claire :

1. Sécurisation immédiate des preuves — Adresses de portefeuille, identifiants de transaction, historique complet des communications avec le prétendu „ personnel de support “, voir notre article sur Preuves dans les cas de fraude aux cryptomonnaies.
2. Évaluation médico-légale initiale à propos d'un Vérification du portefeuille — Précisions sur la destination des pièces et sur les points de contact permettant de les retracer.
3. requêtes de blocage de stablecoins En cas de pertes en USDT ou USDC, voir Cryptomonnaies bloquées : comment Tether et Circle peuvent vous aider. Tether a augmenté sa capacité de blocage d'ici 2025 grâce à Investissement dans Crystal Intelligence encore agrandi.
4. accusations criminelles — même si, en pratique, le taux de réussite dans la résolution des affaires est limité, le rapport constitue la base de poursuites civiles et de demandes de blocage parallèles.

Conclusion

L'incident interne chez Kraken ne prouve pas une insécurité générale de la plateforme ; il prouve que la plus grande menace actuelle pour le secteur des cryptomonnaies est… non pas dans les logiciels défectueux, mais dans le recrutement d'employés ayant un accès privilégié Kraken a réagi promptement dans les deux cas, en informant les comptes concernés, en respectant les procédures de signalement réglementaires et en résistant aux tentatives d'extorsion. Cette réaction est appropriée et distingue clairement cet incident des cas où les plateformes d'échange dissimulent les faits pendant des mois ou indemnisent les victimes.

Pour les utilisateurs allemands, le second développement, moins médiatisé, est tout aussi important : depuis juin 2025, Kraken est la première grande plateforme d’échange de cryptomonnaies au monde à disposer d’une licence MiCAR complète, la plaçant ainsi sous un régime réglementaire européen strict. Ceux qui appliquent systématiquement les mesures de sécurité essentielles (application d’authentification, liste blanche de retraits, adresse e-mail distincte, portefeuille matériel pour les avoirs) sont bien préparés pour se protéger contre les attaques de phishing résultant d’incidents de délit d’initié de ce type.

FAQ – Foire aux questions concernant l’incident de sécurité Kraken