Une wrench attack désigne une attaque physique où l’agresseur force, sous menace ou violence directe, le détenteur de cryptomonnaies à transférer ses avoirs. Le terme vient d’un comic XKCD célèbre de 2009 illustrant l’idée qu’un agresseur n’a pas besoin de casser votre cryptographie — il lui suffit d’une clé à molette à 5 $ pour vous faire avouer votre mot de passe.
En 2025, ces attaques ont explosé de +75 % en un an selon TRM Labs, avec 72 cas vérifiés mondialement et 128 millions de dollars extorqués. La France est l’épicentre mondial : 67 cas recensés en 2025, contre 18 en 2024 et seulement 3 en 2023, d’après les chiffres officiels du Parquet national anti-criminalité organisée (PNACO).
Origine du terme : le comic XKCD
L’expression “wrench attack” trouve son origine dans une bande dessinée XKCD de 2009 (strip 538, “Security”). Le strip représente deux personnages : le premier explique qu’un cryptosystème moderne est impossible à briser sans des milliards d’années de calcul. Le second répond, en brandissant une clé anglaise : “Pas besoin. Frappons-le avec ça jusqu’à ce qu’il nous donne le mot de passe. Coût : 5 $.”
L’idée, devenue maxime du milieu sécurité, est qu’une cryptographie parfaite ne protège pas contre l’agression physique. Pendant 15 ans, le terme est resté une blague de hackers. Depuis 2024, c’est devenu un terme juridique : Reuters, Bloomberg, le Wall Street Journal et désormais le Parquet français l’utilisent pour qualifier une catégorie distincte d’agressions.
Comment se déroule une wrench attack
Le schéma observé sur la majorité des cas documentés depuis 2023 suit une mécanique récurrente :
- Identification de la cible : l’agresseur (ou le commanditaire) identifie un détenteur visible — visibilité publique sur réseaux sociaux, conférences crypto, leaks d’exchanges, ou recoupements on-chain.
- Reconnaissance : observation du domicile, horaires, présence d’enfants ou de proches. La phase peut durer plusieurs jours à plusieurs semaines.
- Action physique : intrusion à domicile, enlèvement dans la rue, faux livreur, faux taxi. Souvent en équipe organisée (3 à 5 personnes).
- Coercition : torture physique (mutilation, brûlures, électrocution), menaces sur la famille, séquestration de proches.
- Transfert forcé : la victime est obligée de déverrouiller ses wallets et signer les transactions. Le hash on-chain prouve la perte.
- Fuite : les fonds sont mixés via Tornado Cash ou des chaînes intermédiaires en quelques heures.
L’ensemble dure typiquement entre 30 minutes et 17 jours (cas le plus long documenté : Manhattan mai 2025, Italien séquestré 17 jours dans une townhouse).
5 cas réels qui structurent le phénomène
1. David Balland (Ledger) — France, janvier 2025
Co-fondateur de Ledger (le hardware wallet le plus vendu au monde), Balland est enlevé près de Paris avec sa compagne. Les ravisseurs lui sectionnent un doigt et envoient la vidéo à Éric Larchevêque (autre co-fondateur de Ledger) pour exiger une rançon de 10 millions d’euros en cryptomonnaies. La gendarmerie le libère après 36 heures via une opération de force. Plusieurs suspects sont arrêtés dans les jours suivants. C’est l’événement médiatique fondateur qui fait basculer le sujet dans l’opinion publique française.
2. Affaire Manhattan — New York, mai 2025
Un Italien de 28 ans, en visite à New York, est attiré dans une townhouse de Manhattan par deux investisseurs crypto se présentant comme partenaires. Il y est séquestré 17 jours, électrocuté avec des fils dénudés, suspendu d’un balcon du 5e étage, contraint de fumer du crack. Il s’échappe et alerte la police. L’enquête est élargie : deux NYPD detectives sont mis en examen pour complicité présumée, ayant fourni des informations aux ravisseurs.
3. Gilbert St. Felix — New York, sentence septembre 2024
St. Felix dirigeait un réseau organisé de home invasions ciblant les détenteurs crypto sur la côte Est des États-Unis. Il a été condamné à 47 ans de prison en septembre 2024 — la sentence la plus lourde jamais prononcée aux États-Unis pour un crime lié aux cryptomonnaies. Le verdict marque un tournant judiciaire : les wrench attacks ne sont plus traitées comme du braquage banal.
4. Ring du Tennessee — Californie, fin 2025
Trois jeunes hommes du Tennessee (21 à 25 ans) montent une opération mobile : ils se déguisent en livreurs Uber Eats / Amazon pour pénétrer dans les domiciles de détenteurs crypto à San Francisco, San Jose et Los Angeles. Pendant six semaines, ils volent 6,5 millions de dollars en cryptos sous la menace d’armes à feu. Le DOJ rend l’indictment fédéral en mars 2026.
5. Anson Que — Manille, mars 2024
Homme d’affaires philippin connu pour ses positions crypto, Anson Que est enlevé près de Manille. Les ravisseurs réclament 200 millions de pesos en cryptomonnaies. La rançon est partiellement payée, mais Que est néanmoins assassiné. Premier cas documenté de wrench attack mortelle en Asie.
Pourquoi ça explose en 2025
Trois facteurs convergent pour expliquer la multiplication par 22 des cas en deux ans :
1. Le prix du Bitcoin a atteint un sommet historique au-delà de 100 000 $ fin 2024 / début 2025. Chaque BTC devient une cible plus attractive pour le crime organisé qui calcule en ratio risque/récompense.
2. La médiatisation des “millionnaires crypto” crée des cibles identifiables. Les flexs sur Instagram, les NFT bored apes, les interviews dans la presse économique : chaque exposition publique augmente le risque physique.
3. Le crime organisé s’est professionnalisé. Les wrench attacks 2025 ne sont plus des faits divers isolés — le PNACO français a mis en examen 88 personnes dans 12 affaires en avril 2026, révélant des réseaux structurés avec donneurs d’ordres à l’étranger, recruteurs intermédiaires et exécutants locaux (dont plus de 10 mineurs).
Ari Redbord, responsable politique chez TRM Labs, résume : “Le vrai nombre est probablement significativement plus élevé. Beaucoup d’incidents sont enregistrés comme des cambriolages ordinaires, l’élément crypto étant souvent omis ou ignoré.”
Pourquoi la France est devenue l’épicentre mondial
Les chiffres PNACO sont sans équivalent ailleurs :
| Année | Cas en France |
|---|---|
| 2023 | 3 |
| 2024 | 18 |
| 2025 | 67 |
| 2026 (janvier-avril) | 47 (projection : ~141 sur l’année) |
Rapportés au nombre de détenteurs crypto, la France est environ 15 à 30 fois plus exposée que les États-Unis. Plusieurs hypothèses se combinent : concentration géographique des holders riches, médiatisation française des fortunes crypto, organisation criminelle locale plus structurée qu’ailleurs, et historiquement moins de police spécialisée sur les flux on-chain.
Le tracker public de Jameson Lopp (co-fondateur de Casa) recense plus de 215 cas mondiaux depuis 2020 — chiffre considéré comme un plancher tant l’underreporting est massif.
Comment s’en protéger
La protection contre les wrench attacks repose sur quatre couches complémentaires :
- OPSEC publique : minimiser la visibilité de votre exposition crypto. Pas de flex sur les réseaux, pas d’interviews qui détaillent votre portefeuille, pas de profil LinkedIn qui mentionne “early Bitcoin investor”.
- Sécurité physique passive : domicile sécurisé, présence de témoins, voisinage attentif. C’est la couche la plus chère et la plus contraignante.
- Décoy / faux wallet : afficher sous la menace une interface crédible mais factice qui satisfait l’agresseur sans révéler les vrais avoirs. C’est la couche la moins développée du marché — l’angle de Kronobi.
- Alerte silencieuse géolocalisée : pouvoir prévenir des proches ou les autorités pendant l’agression, sans signal visible à l’écran qui alerterait l’agresseur.
Aucune couche prise isolément n’est suffisante. Les hardware wallets (Ledger, Trezor) protègent contre le piratage à distance mais sont inutiles face à l’agression physique — comme l’a démontré dramatiquement l’affaire Balland. Les multisigs ralentissent l’agresseur mais ne l’arrêtent pas s’il a le temps. Le leurre combiné à l’alerte silencieuse couvre précisément l’angle où les wallets traditionnels échouent.
Ce que change Kronobi
Kronobi est conçu pour la dernière minute d’une wrench attack — le moment où vous êtes déjà sous menace, où aucune cryptographie ne peut plus vous aider, et où chaque seconde compte. L’app ressemble visuellement à un wallet crypto classique. Sous la menace, deux modes de déclenchement (code de panique 0 0 0 0 0 0 ou tap discret sur le bouton Face ID) activent en silence l’envoi de votre position GPS à vos contacts d’urgence pendant que l’écran affiche un faux solde et simule un faux transfert pour satisfaire l’agresseur.
Aucun signal visible. Aucun son. Aucune vibration. Vos vraies cryptos restent intactes dans vos wallets habituels — Kronobi n’y touche jamais.
En savoir plus sur le fonctionnement de Kronobi →
Sources
- PNACO — Communiqué crypto-rapts (avril 2026)
- TRM Labs — The Rise of Wrench Attacks and Crypto-related Violent Crime
- CoinDesk — Wrench attacks jumped 75% in 2025
- NBC News — Crypto kidnapping: how armed gangs are hunting the internet's high rollers
- Tracker public Jameson Lopp — physical-bitcoin-attacks