Visé par un piratage, le géant des cryptos Coinbase sort le carnet de chèques pour retrouver les cybercriminels. L’exchange, qui doit rejoindre prochainement le prestigieux indice boursier américain S&P 500, vient en effet de mettre en place, ce 15 mai, un programme de récompense, doté de 20 millions de dollars, pour toute information permettant l’arrestation et la condamnation des criminels responsables de cette attaque.
Soit le montant que les cybercriminels ont tenté d’extorquer à l’entreprise il y a quelques jours, le 11 mai. Coinbase a annoncé que des pirates avaient réussi à voler des données « d’un petit nombre » de clients, moins de 1% des utilisateurs.
Ils auraient soudoyé des agents de support pour faire main basse sur ces informations confidentielles. Ces derniers ont été licenciés et seront poursuivis en justice.
Coinbase, the world’s biggest Bitcoin custodian, confirms its systems were breached and customer data, including drivers licenses and passport images, has been stolen. www.sec.gov/Archives/edg…
— Steve Herman
(@newsguy.bsky.social) 15 mai 2025 à 16:22
Se faire passer pour Coinbase
Les données compromises sont relatives à l’identité et aux informations de contact. Des documents d’identité, comme des permis de conduire et des passeports, sont également concernés par la fuite, de même que des données du compte, comme l’historique des transactions. « Leur objectif était de constituer une liste de clients qu’ils pourraient contacter en se faisant passer pour Coinbase, incitant ainsi les gens à leur remettre leurs cryptomonnaies », précise l’exchange.
Coinbase s’est déjà montré par le passé très généreux dans ses récompenses, comme avec ce bug repéré qui s’était traduit par le versement de 250 000 dollars.
Une prodigalité qui s’explique aisément. Selon un document envoyé au gendarme boursier, la cyberattaque pourrait coûter à l’entreprise entre 180 et 400 millions de dollars ! Soit a minima neuf fois plus que la prime de 20 millions de dollars.
6000 clients dépouillés en 2021
En octobre 2021, Coinbase, fondé en 2012, avait déjà eu un gros problème de sécurité. Six mille de ses clients avaient vu leurs comptes siphonnés. A l’époque, l’entreprise avait pointé des attaques par hameçonnage ou par ingénierie sociale.
Si les données du géant des cryptos n’avaient pas été compromises, les attaquants avaient pu pu profiter d’une faille dans l’authentification à double facteur par SMS.
Ils avaient ainsi pu obtenir des jetons d’authentification valides pour accéder aux comptes et les piller.