Quand le fisc fabrique les listes des ravisseurs : la France, capitale européenne du kidnapping crypto

Vue(s) : 112

Le 24 avril 2026, Pavel Durov, fondateur de Telegram, publie sur X un message qui sonne comme un acte d’accusation : « 41 enlèvements de détenteurs de cryptomonnaies en France en 3 mois et demi de 2026. Pourquoi ? Le fisc français vend les données des détenteurs de cryptomonnaies à des criminels (Ghalia C.) + fuites massives de bases de données fiscales. Maintenant, le même État veut aussi les pièces d’identité et les messages privés des utilisateurs des réseaux sociaux. Plus de données = plus de fuites = plus de victimes. C’est pourquoi Telegram préférerait quitter le marché français plutôt que de donner accès aux messages privés à ses bureaucrates corrompus. » Le post est viral en moins de douze heures. Et il pose une question que la presse française mainstream ne pose pratiquement jamais : pourquoi la République française est-elle devenue, en 2026, le pays le plus dangereux d’Europe occidentale pour qui détient des actifs numériques ?

Une statistique vertigineuse : un enlèvement crypto tous les 2,5 jours

Les chiffres parlent d’eux-mêmes. Selon les données rendues publiques par le parquet national de lutte contre la criminalité organisée (PNAT-CO) en avril 2026, la France a connu plus de 135 affaires d’enlèvements ou de tentatives d’enlèvement liés aux cryptomonnaies depuis 2023. Sur les seuls trois premiers mois et demi de 2026, le compteur s’établit à 41 cas avérés — soit, selon le calcul du chercheur Rand Hindi, fondateur de Nillion, « un enlèvement crypto tous les 5 jours » ; selon le décompte plus large incluant les tentatives et complicités, « un cas tous les 2,5 jours ». Le PNAT-CO a annoncé l’inculpation de 88 suspects, dont 75 placés en détention provisoire. Plus de dix sont mineurs, ce qui éclaire un autre phénomène inquiétant : le recrutement par les réseaux organisés de jeunes délinquants des banlieues, embauchés à la tâche pour aller cueillir un entrepreneur crypto ou son enfant.

La France concentre désormais, à elle seule, la majorité des enlèvements crypto recensés en Europe de l’Ouest. Cette anomalie statistique n’est pas climatique : elle a une cause administrative.

L’affaire Ghalia C. : quand le fisc devient logiciel de ciblage

Le 30 juin 2025, une fonctionnaire de 32 ans en poste à la Direction départementale des Finances publiques de Bobigny est mise en examen pour « complicité de violences en bande organisée » et « association de malfaiteurs ». Son nom : Ghalia C., affectée à la fiscalité des entreprises. Les enquêteurs du service départemental de police judiciaire de Seine-Saint-Denis lui reprochent d’avoir consulté de manière illicite, depuis son poste de travail, le logiciel « Mira » de la DGFiP — un outil interne qui agrège les adresses, le patrimoine net, les revenus et, depuis l’extension du contrôle fiscal aux actifs numériques, les déclarations de portefeuilles de cryptomonnaies des citoyens français.

L’affaire éclate après l’agression d’un surveillant pénitentiaire de la maison d’arrêt de la Santé, à son domicile de Montreuil, en septembre 2024. Les enquêteurs établissent que les agresseurs disposaient de l’adresse exacte de la victime — adresse remontée par une consultation Mira sans aucun motif professionnel. L’analyse du poste de travail de Ghalia C. révèle alors l’ampleur réelle du dossier : à côté du surveillant, elle avait également effectué des recherches sur le milliardaire Vincent Bolloré et, surtout, sur « des spécialistes et investisseurs en cryptomonnaies ». Mode opératoire : transmission des données à un commanditaire dont elle refuse, à ce jour, de livrer l’identité ; paiements reçus via Western Union.

Devant la chambre de l’instruction de Paris, Ghalia C. reconnaît avoir transmis des informations, tout en niant avoir eu connaissance des intentions violentes du donneur d’ordre. Sa demande de remise en liberté est rejetée. Elle reste incarcérée. Mais la question que pose cette affaire dépasse de loin le cas individuel d’une fonctionnaire corrompue : combien d’autres agents Mira ont, à un moment ou à un autre, vendu des fragments de ces bases ? Et combien de cibles ont déjà été dressées avant que le hasard d’une enquête sur un surveillant n’expose le réseau ?

La fuite ANTS : 19 millions de Français exposés

L’affaire Ghalia C. n’est que la partie visible. Le 20 avril 2026, Pavel Durov publie un premier message d’alerte signalant qu’une attaque informatique a frappé l’Agence nationale des titres sécurisés (ANTS), l’opérateur public en charge des cartes d’identité, passeports et permis de conduire. Selon les éléments rendus publics, les données personnelles d’environ 19 millions de citoyens français ont été compromises. Que des informations aussi sensibles, agrégées en un point unique par décision de l’État, finissent par fuir vers les réseaux criminels n’est pas un accident statistique : c’est la conséquence prévisible d’un choix politique. Plus on centralise des données, plus le pot de miel grossit, plus les insiders corrompus et les attaquants externes ont d’incitation à frapper.

S’y ajoutent les fuites du côté des opérateurs privés réglementés : Ledger (le fabricant français de portefeuilles physiques basé à Vierzon), Coinbase, et plusieurs plateformes d’échange ont vu leurs bases clients partiellement exposées en 2024-2025. Or ces données sont précieuses, parce que la conjonction « nom + adresse postale + montant détenu » est exactement celle dont un commando a besoin pour préparer un enlèvement. C’est dans ce contexte que vient s’ajouter, à partir de 2026, le déploiement de la directive européenne DAC8, qui contraint les plateformes crypto à transmettre automatiquement au fisc l’ensemble des transactions de leurs clients résidents. Plus la base s’enrichit, plus la valeur d’une fuite augmente.

Des affaires emblématiques : Balland, Bourgogne, et les autres

L’affaire fondatrice reste celle de David Balland, cofondateur de Ledger, enlevé en janvier 2025 avec son épouse. Les ravisseurs lui ont mutilé une main pour faire pression sur son associé, à qui une rançon en cryptomonnaies était réclamée. L’opération, mêlant violence physique et chantage numérique, sert depuis de modèle à une criminalité d’un nouveau genre — moins sophistiquée que le piratage, beaucoup plus brutale, et dont la rentabilité est désormais établie.

Le 13 avril 2026, à Avallon, dans l’Yonne, l’histoire se répète sous une autre forme. Des malfaiteurs font irruption au domicile d’un entrepreneur crypto absent ce jour-là. Faute de pouvoir saisir la cible principale, ils enlèvent sa femme et son fils de 11 ans, qu’ils transportent dans une chambre d’hôtel à Boissy-Saint-Léger, dans le Val-de-Marne. Une rançon de 400 000 dollars en cryptomonnaies est exigée du père. La machine de la gendarmerie française se met immédiatement en mouvement : la Section de recherches de Dijon, l’Unité nationale de police judiciaire, le GIGN et son antenne de Dijon, le groupement départemental de l’Yonne et la Section de recherches de Paris — au total, près de cent gendarmes engagés. Le 14 avril à 6 h du matin, le GIGN donne l’assaut. Les otages sont libérés sains et saufs. Sept suspects sont interpellés sur place et sur le territoire national. Aucune rançon n’a été versée. Le ministre de l’Intérieur Laurent Nuñez salue sur X « le travail des enquêteurs et du GIGN ».

Ces succès opérationnels — et il y en a d’autres — ne doivent pas masquer l’essentiel : les ravisseurs disposaient d’informations précises sur le statut de la cible et sur le montant de son portefeuille numérique. Toute la chaîne logique du crime repose sur l’existence préalable de données qualifiées, et donc sur une faille en amont. Comme l’écrit Rand Hindi, « les forces de police françaises sont heureusement formidables, le problème est que tout le reste est dysfonctionnel — donc cela ne va pas s’arrêter de sitôt. »

Le diagnostic Durov : un État qui crée le risque qu’il prétend combattre

C’est ce paradoxe que Pavel Durov met sur la table avec une brutalité que ses détracteurs ne sauraient lui pardonner. Lui-même placé sous contrôle judiciaire en France depuis son arrestation en août 2024 — pour des griefs tournant autour du refus de Telegram de coopérer avec les services français sur les contenus chiffrés —, le fondateur de la messagerie russe ne cache pas le fond de sa pensée : la France lui demande des accès qu’elle est elle-même incapable de protéger. Quand l’État réclame les pièces d’identité numériques des utilisateurs des réseaux sociaux, quand il exige le déchiffrement des conversations privées, quand il oblige les plateformes crypto à reverser leurs registres complets, il prétend agir au nom de la sécurité — mais il fabrique, en pratique, des bases de données qui finiront, par fuite ou par corruption interne, dans les mains de ceux contre lesquels la sécurité est censée jouer.

« Plus de données = plus de fuites = plus de victimes » : la formule de Durov a la dureté d’un théorème. Et l’affaire Ghalia C. en est la démonstration empirique presque parfaite. Le logiciel Mira n’a pas été piraté par un hacker russe ou nord-coréen. Il a été consulté, depuis l’intérieur même de l’administration fiscale, par une fonctionnaire française de 32 ans, payée en Western Union, pour le compte d’un commanditaire qu’elle protège encore par son silence. Le gouvernement n’a pas eu besoin d’ennemi extérieur pour transformer ses propres bases en arme contre ses propres citoyens.

La gendarmerie en première ligne — encore

Dans cette mécanique, la gendarmerie nationale tient un rôle qui mérite d’être souligné. C’est elle qui localise, qui assaille, qui libère. C’est le GIGN, ses antennes territoriales, les sections de recherche — Dijon, Paris, Versailles, Marseille — qui démantèlent ces réseaux, neutralisent les commandos, et libèrent les otages. Lors de la Paris Blockchain Week 2026, le représentant du ministère de l’Intérieur Jean-Didier Berger a confirmé qu’un « plan de réponse renforcé » avait été adopté avec le ministre Laurent Nuñez. Mais comme dans le dossier des vols de carburant en milieu rural, comme dans tant d’autres champs, on retrouve la même asymétrie de fond : la gendarmerie absorbe la conséquence opérationnelle d’une vulnérabilité systémique qu’elle n’a ni créée ni les moyens de résoudre.

Les enquêteurs gendarmiques font, à chaque fois, un travail remarquable. Mais combien faudra-t-il d’assauts du GIGN à six heures du matin pour qu’une question de fond soit posée ? Combien de doigts coupés, combien d’enfants traumatisés, combien d’entrepreneurs contraints à fuir le territoire — Ledger a confirmé que plusieurs de ses dirigeants ont délocalisé leurs résidences principales hors de France — pour que l’État cesse de centraliser tout ce qu’il peut centraliser, sous prétexte de transparence, de lutte anti-blanchiment ou d’efficacité administrative ?

La France, pays le plus dangereux d’Europe pour les détenteurs de crypto

Le verdict est sans appel : en 2026, la France concentre la majorité des enlèvements crypto recensés en Europe occidentale. Devant l’Allemagne, devant le Royaume-Uni, devant l’Italie. Cette anomalie n’est pas due à une particularité du tissu criminel français, ni à une concentration exceptionnelle de fortunes numériques sur le territoire. Elle est due à la conjonction unique de quatre facteurs :

  1. une fiscalité crypto extensive (impôt sur les plus-values dès 305 €, projet d’imposition annuelle de 1 % sur les avoirs supérieurs à 2 M€, contrôle des wallets auto-hébergés) qui contraint à la déclaration centralisée ;
  2. un arsenal de bases de données fiscales et administratives (Mira, ANTS, DAC8) dont les niveaux de sécurité interne se sont révélés défaillants ;
  3. une culture du grand banditisme structurée, capable de recruter, d’organiser et d’exécuter des enlèvements professionnels ;
  4. une politique de surveillance qui, loin de régresser face aux fuites avérées, prévoit de s’étendre — accès aux messages privés des réseaux sociaux, identification numérique généralisée, projet de portefeuille européen IDAS.

Que l’avertissement vienne de Pavel Durov plutôt que d’une voix médiatique française intérieure dit quelque chose de l’état du débat en France : il faut désormais qu’un fondateur russe de messagerie chiffrée, lui-même mis en cause judiciairement par Paris, vienne énoncer publiquement ce que tout le secteur sait déjà en privé. La presse économique française commence à peine à prendre la mesure du phénomène. La presse généraliste préfère traiter chaque enlèvement comme un fait divers isolé, sans jamais relier les points.

Mais les points sont là. Ils forment un dessin reconnaissable. Et tant que l’État continuera de croire que la solution à un problème de fuite de données est d’en collecter davantage, le GIGN continuera de partir à six heures du matin libérer une mère et son enfant de 11 ans dans une chambre d’hôtel du Val-de-Marne.

Sources principales :
– Pavel Durov, posts sur X des 20 et 24 avril 2026.
– « Cryptomonnaies : le GIGN libère une mère et son fils après leur enlèvement, 7 personnes interpellées », CNEWS / AFP, 14 avril 2026.
– « Rançon de 400 000 dollars en cryptomonnaies, intervention du GIGN », France 3 Bourgogne-Franche-Comté, avril 2026.
– « France : Une employée du fisc vendait des informations confidentielles contre de l’argent », Journal du Coin, janvier 2026, à partir de l’enquête du Parisien.
– « Le fisc au service du crime organisé ? L’affaire Ghalia C. qui secoue Bercy », 75secondes.fr, janvier 2026.
– « Enlèvements et séquestrations crypto », Cryptoast, janvier 2026.
– Communications du parquet national de lutte contre la criminalité organisée (PNAT-CO), avril 2026.
– Déclarations de Jean-Didier Berger, représentant du ministère de l’Intérieur, à la Paris Blockchain Week 2026.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *