Les chiffres 2025 ne laissent plus place au doute : les wrench attacks ne sont pas un phénomène conjoncturel. C’est une nouvelle catégorie criminelle qui s’installe durablement, avec sa propre infrastructure, ses propres économies d’échelle, et ses propres dynamiques d’apprentissage.
TRM Labs documente +75 % d’attaques physiques crypto en un an (72 cas vérifiés mondialement en 2025 vs 41 en 2024). CertiK pousse plus loin : +250 % d’agressions physiques si on élargit aux home invasions et assaults non-kidnapping. En France, le PNACO compte 67 cas en 2025 vs 3 en 2023 — multiplication par 22 en deux ans.
Cette accélération n’est pas un hasard. Trois drivers structurels la portent, et aucun ne va se résoudre seul d’ici 2027.
Driver 1 — Le prix du Bitcoin a déverrouillé une nouvelle classe d’opportunités criminelles
Quand le Bitcoin valait 5 000 $, voler 10 BTC à un détenteur représentait 50 k$ — équivalent à un cambriolage de bijouterie de banlieue. Risque/récompense défavorable pour des criminels organisés.
Quand le Bitcoin a franchi 100 000 $ fin 2024, ces mêmes 10 BTC valent 1 M$. Le calcul change radicalement. Une opération à plusieurs assaillants (3-5 personnes) sur 24-48h devient économiquement justifiée si le butin est de l’ordre du million. Le crime organisé, dont les calculs sont rigoureux, a basculé.
Le pic 2025-2026 du Bitcoin a aussi un effet de médiatisation amplifiée : les success stories crypto remplissent les magazines, créent l’image du “millionnaire crypto” comme cible visible. C’est exactement ce schéma qui s’est produit en France entre les fortunes Ledger, les fondateurs Coinhouse, les early adopters parisiens.
Si le Bitcoin continue de monter en 2026-2027 (scenarios médians des analystes : 150-250 k$), le driver s’intensifie. Aucune raison structurelle de ralentissement.
Driver 2 — Le crime organisé s’est professionnalisé
Les 88 mises en examen du PNACO en avril 2026 sur seulement 12 affaires révèlent un fait structurant : les wrench attacks ne sont plus des faits divers, ce sont des opérations de crime organisé avec des architectures stables.
Les éléments récurrents identifiés par les enquêtes 2024-2025 :
Donneurs d’ordres internationaux — souvent basés en Israël, à Dubaï, ou en Europe de l’Est. Recrutés via groupes Telegram fermés type “Crypto Hunt”, “Wallet Recovery”, “OPSEC Discussion” (noms volontairement anodins). Ils identifient les cibles, planifient les opérations, achètent les informations.
Recruteurs intermédiaires locaux — basés dans le pays cible (France, Allemagne, USA). Ils sélectionnent les exécutants, organisent les planques, blanchissent les premières tranches de fonds. Ils ne touchent pas physiquement aux victimes.
Exécutants terrain — souvent jeunes (>10 mineurs parmi les 88 mis en examen français), recrutés sur réseaux sociaux pour 3 000 à 10 000 € par opération. Ils sont sacrifiables et remplaçables : si l’un est arrêté, il y en a dix autres demain.
Cette structure est résiliente aux arrestations terrain. Démanteler un commando local ne fait pas tomber le réseau — il en monte un nouveau dans les semaines suivantes. Les enquêtes doivent remonter aux donneurs d’ordres à l’étranger, ce qui dépend de l’entraide internationale et de la coopération de pays parfois peu motivés.
Driver 3 — L’apprentissage croisé entre criminels
Le troisième driver est le moins visible mais probablement le plus puissant : les modes opératoires s’améliorent par diffusion.
Le mode “faux livreur” est un exemple. Apparu aux États-Unis fin 2024 (cas Tennessee/Californie, 6,5 M$ volés), il est documenté dans la presse crypto en mars 2026. Trois mois plus tard, le même mode opératoire apparaît en France (cas Nice, mai 2026, encore en cours d’enquête). C’est une réplication directe — pas une coïncidence.
Les forums spécialisés (Telegram, Discord crypto noir, parfois forums dark web) partagent les techniques : comment identifier les cibles via leaks d’exchanges, comment scanner les wallets sur etherscan, comment éviter les caméras de surveillance, comment mixer les fonds via Tornado Cash ou des chains intermédiaires.
Cette mutualisation criminelle accélère le rythme d’innovation des modes opératoires. Là où les forces de l’ordre apprennent en 6-18 mois après les faits, les criminels apprennent en 2-4 semaines par effet réseau.
Trois scénarios pour 2027
À partir des trois drivers, trois scénarios crédibles se dessinent pour 2027.
Scénario A — Stabilisation autour de 100-150 cas/an en France
Probabilité : ~35 %.
Les enquêtes PNACO démantèlent les réseaux les plus visibles. Une sentence exemplaire (15-20 ans pour les donneurs d’ordres) crée un effet dissuasif. La coopération internationale Israël-France-Dubaï s’organise via Eurojust et Interpol. Les nouveaux entrants sont découragés par le risque judiciaire élevé.
Le phénomène reste élevé mais plafonne. Les chiffres se stabilisent autour de 100-150 cas annuels — niveau préoccupant mais non explosif.
Indicateur de bascule : première sentence française à plus de 15 ans dans une affaire wrench attack. Si elle tombe en 2026-2027, le scénario A devient probable.
Scénario B — Escalade vers 200-300 cas/an
Probabilité : ~45 %.
Le Bitcoin atteint 150-200 k$. De nouveaux réseaux se montent plus vite que les précédents ne sont démantelés. Les sentences restent modestes (5-10 ans), ne créant pas de dissuasion suffisante. L’écosystème criminel se professionnalise davantage : peut-être l’apparition de “wrench attacks as a service” où des criminels expérimentés louent leur expertise à des donneurs d’ordres moins compétents.
La France passe à 200-300 cas/an en 2027. Le sujet devient majeur dans le débat politique (questions à l’Assemblée, polémiques presse, demandes de loi spéciale).
C’est le scénario médian le plus probable selon les analystes TRM Labs / Chainalysis interrogés.
Scénario C — Sortie de catégorie : terrorisme crypto
Probabilité : ~20 %.
Un événement de très grande ampleur change la nature du phénomène. Possibles déclencheurs :
- Assassinat ciblé d’un dirigeant crypto français/européen (au-delà de la mutilation, mort effective)
- Opération multi-cibles simultanée (10 attaques coordonnées en 24h sur des holders identifiés)
- Attaque visant une infrastructure (siège d’un exchange, événement crypto, conférence)
Ce scénario forcerait une réponse politique majeure : loi spécifique (catégorie “terrorisme crypto” comme on a “terrorisme islamiste”), brigade dédiée à plein temps, peut-être déploiement renforcé de gendarmerie autour des événements et fondateurs identifiés.
Probabilité honnête : modérée mais non négligeable. Les sociologues du crime notent que chaque nouvelle catégorie criminelle traverse une “phase d’événement marquant” après 2-4 ans d’installation. Pour les wrench attacks, cet événement pourrait survenir en 2026-2027.
Implications concrètes pour les détenteurs
Quel que soit le scénario, le niveau de risque pour un détenteur crypto francophone en 2027 sera au moins équivalent à 2025, probablement supérieur. Trois implications opérationnelles :
1. Re-calibrer son OPSEC publique : l’invisibilité reste la meilleure protection. Si vous n’êtes pas sur la liste, vous n’êtes pas attaqué. Audit régulier de vos traces publiques.
2. Empiler les couches de protection : aucun outil seul ne suffit. Hardware wallet + custody différée si gros patrimoine + alerte silencieuse pour la phase d’agression + plan d’urgence familial. Coût total : 200 à 5000 € selon profil. Faible vs la valeur protégée.
3. Anticiper la phase B (menace immédiate) : c’est l’angle systématiquement sous-protégé. Les outils dédiés (Kronobi, équivalents émergents) sont nouveaux et peu coûteux. Ne pas les adopter en 2026 reviendra dans deux ans à ne pas avoir d’alarme à domicile en 1995.
L’épicentre français du phénomène ne va pas se réabsorber spontanément. Les détenteurs crypto doivent élever leur niveau de protection au rythme où les attaquants élèvent le leur — c’est-à-dire vite.