Waltio dans la tourmente. La frontière entre risque numérique et danger physique s’efface brutalement pour les investisseurs français. Alors que la transparence fiscale devient la norme, la start-up Waltio, pilier de l’aide à la déclaration de cryptoactifs, se retrouve au centre d’une tourmente judiciaire et sécuritaire. Une enquête du Parquet de Paris, ouverte en janvier 2026, expose aujourd’hui une succession de vulnérabilités critiques qui auraient transformé les données de milliers de contribuables en cibles pour le crime organisé.
- Waltio, start-up française spécialisée dans la déclaration de cryptoactifs, s’est retrouvée au cœur d’une tourmente judiciaire suite à une enquête révélant des vulnérabilités critiques.
- Des intrusions informatiques ont conduit au vol de cryptoactifs et à l’exposition de données fiscales sensibles, exacerbant les risques de sécurité pour les investisseurs en France.
Des intrusions répétées et une trésorerie impactée dès 2025 chez Waltio
Selon une enquête menée par le média The Big Whale, Waltio aurait été victime d’une intrusion majeure dans ses systèmes dès le premier trimestre 2025. Cet incident, se serait traduit par le vol d’environ 550 000 dollars en cryptoactifs (soit 6,18 bitcoins au cours de l’époque) directement dans la trésorerie de la société. L’attaque aurait été rendue possible par la récupération d’une seed (phrase de récupération) stockée de manière non sécurisée sur les outils en ligne de l’entreprise.
Plus préoccupant encore pour les utilisateurs, l’enquête interne menée à l’époque par une société de cybersécurité aurait révélé une absence critique de segrégation entre les données propres à l’entreprise et les fichiers clients. En raison d’un manque de journaux d’activité (logs), les experts n’ont pas pu déterminer avec certitude si les pirates avaient extrait le fichier client, composé d’adresses e-mail reliées à des soldes de patrimoine crypto. Cette vulnérabilité structurelle a conduit les auditeurs à recommander une refonte totale du système dès 2025, soulignant que Waltio opérait alors « à l’aveugle » sur ses propres accès.
Une fuite de données confirmée en janvier 2026 et des risques accrus
Le 22 janvier 2026, le Parquet de Paris a confirmé l’ouverture d’une enquête préliminaire à la suite d’une nouvelle cyberattaque survenue dans la nuit du 21 janvier. Waltio a officiellement reconnu qu’un « périmètre de données lié aux rapports fiscaux 2024 avait été exposé ». Ces informations incluent les adresses e-mail des utilisateurs ainsi que des données agrégées : gains, pertes et soldes au 31 décembre 2024. Bien que l’entreprise précise que les mots de passe et les fonds des clients ne sont pas concernés, la nature des données fuitées est extrêmement sensible.
Depuis le début de l’année 2025, la France connaît une vague d’agressions physiques sans précédent ciblant les détenteurs de cryptomonnaies. De nombreux cas aussi violents les uns que les autres ont été recensés par les médias, dont des séquestrations et des enlèvements signalés encore en janvier 2026. La circulation de fichiers détaillant précisément les patrimoines numériques pourrait permettre au crime organisé de constituer des « annuaires » de cibles lucratives et cela inquiète forcément l’écosystème. Les victimes font désormais l’objet de tentatives d’extorsion sophistiquées, incluant des appels de faux policiers ou magistrats cherchant à obtenir des clés de récupération ou des virements sous prétexte de « sécurisation ».
Waltio se défend : « Nous n’avons rien dissimulé »
Face à l’orage médiatique, Pierre Morizot, cofondateur de Waltio s’est exprimé hier. Sa ligne de front ? La distinction fondamentale entre le portefeuille de la société et les données de ses clients tout en soulignant l’importance de l’attitude délétère de certains médias dans ces situations de crise.
Selon la direction, le vol de 2025 n’était pas une fuite de données, mais un « simple » (si l’on peut dire) vol de trésorerie. Pierre Morizot est catégorique : il n’y a eu aucune dissimulation. La preuve ? Un récépissé de plainte pénale déposée auprès du Procureur de la République de Paris dès le 25 mars 2025.
Pour Waltio, ne pas prévenir la CNIL ou les utilisateurs à l’époque n’était pas un oubli coupable, mais une application stricte de la loi : puisque aucune donnée personnelle n’était compromise, l’alerte générale n’avait pas lieu d’être.
Un bouclier face aux accusations d’insécurité physique
Mais là où le ton monte d’un cran, c’est sur la corrélation faite entre ces failles et la vague de violence qui frappe les « crypto-enthousiastes » français. Waltio refuse de porter le chapeau de bouc émissaire d’un mal plus profond. Imputer les agressions physiques à la seule société reviendrait, selon son dirigeant, à une simplification excessive d’une problématique systémique.
Si la start-up admet ses responsabilités pour les incidents d’octobre 2025 et janvier 2026, pour lesquels la CNIL a bien été saisie, elle s’efforce de rappeler qu’être une cible ne signifie pas être complice.
La succession d’incidents chez Waltio illustre la responsabilité critique des tiers de confiance dans le secteur des cryptoactifs. Alors que les détenteurs sont encouragés à déclarer leurs gains, la sécurisation de ces données fiscales devient un enjeu de sécurité physique. Pour Waltio, qui affirme avoir renforcé ses protocoles et être engagé dans une démarche de certification de sécurité stricte, le défi reste de restaurer la confiance alors que la frontière entre cyber-risque et danger réel s’estompe.
L’article Cyberattaques chez Waltio : Des failles de sécurité majeures au cœur de l’enquête est apparu en premier sur Journal du Coin.
