De gauche à droite ? Décryptage de la boucle de l’effet de levier financier derrière le boom de l’IA et le pari ultime de Wall Street sur les enjeux

Source : ShenChao TechFlow

Aux premières heures du 21 janvier 2025, dans la petite ville de Méreau, dans le centre de la France.

David Balland a été traîné hors de chez lui en pleine nuit. Il est cofondateur de Ledger, la société de portefeuilles matériels de cryptomonnaies qui prétend sauvegarder plus de 100 milliards de dollars en bitcoins pour les utilisateurs du monde entier.

Selon Le Monde, lorsque les forces spéciales d’élite du GIGN ont fait irruption 48 heures plus tard, Balland manquait un doigt.

Les ravisseurs ont envoyé une vidéo du doigt coupé à l’autre cofondateur de Ledger, Éric Larchevêque, accompagnée d’un message : paiement en cryptomonnaie uniquement. Pas de police. Aucun retard. Ou alors.

Un an plus tard, Ledger annonce son intention de s'introduire à la Bourse de New York à une valorisation dépassant 4 milliards de dollars. Goldman Sachs, Jefferies, Barclays – certains des noms les plus bruyants de Wall Street – soutiennent tous l’opération.

C’est une entreprise fondée sur la « sécurité ».

Ironique ?

Les adresses divulguées

Revenons à 2020.

Cet été-là, un point de terminaison d'API mal configuré a permis aux attaquants d'accéder facilement à la base de données de commerce électronique de Ledger. Plus d'un million d'adresses email ont fuité. Pire encore, les noms, numéros de téléphone et adresses personnelles de 272 000 clients ont été exposés.

Six mois plus tard, l'ensemble de données est apparu sur le forum de hackers RaidForums et a été vendu à un prix négligeable, librement accessible à tous.

Vous pouvez imaginer ce qui a suivi.

Les emails d'hameçonnage ont afflué, attirant les utilisateurs de Ledger vers des liens malveillants pour tenter de voler leurs clés privées. Certains utilisateurs ont reçu des emails incluant leurs noms complets et adresses personnelles, menaçant de visites physiques pour voler leurs cryptos si une rançon n'était pas payée.

Le PDG de Ledger, Pascal Gauthier, a par la suite déclaré que l'entreprise n'indemniserait pas les clients dont les données personnelles avaient été divulguées sur des sites de pirates informatiques, y compris ceux dont l'adresse personnelle avait été exposée.

L'incident a coûté cher à Ledger. Mais le prix réel a été payé par les utilisateurs qui, à ce jour, continuent de vivre dans la peur.

Alors, Ledger a-t-il compris la leçon ?

Même erreur, trois fois

Le 14 décembre 2023, Ledger est à nouveau touché.

Cette fois, le chemin était presque absurde: un ancien employé du grand livre a été victime d'une attaque de hameçonnage, donnant aux attaquants accès à son compte NPMJS.

Personne n'a expliqué depuis combien de temps il avait quitté l'entreprise. Personne n'a expliqué pourquoi un ancien employé avait toujours accès à des systèmes essentiels.

Un code malveillant a été injecté dans Ledger Connect Kit, une bibliothèque de base sur laquelle d'innombrables applications DeFi s'appuient. SushiSwap, Zapper, Phantom, Balancer : le front end de l'écosystème DeFi s'est instantanément transformé en pages d'hameçonnage.

Ledger a résolu le problème en 40 minutes. Mais 600 000 $ avaient déjà disparu.

Le PDG Pascal Gauthier l’a plus tard décrit comme « un incident isolé malheureux ».

Isolé ?

À peine deux semaines avant d'annoncer son projet d'introduction en Bourse, le 5 janvier 2026, Ledger a divulgué une nouvelle violation, impliquant cette fois son processeur de paiement tiers Global-e. Les noms des clients et leurs coordonnées ont été divulgués une fois de plus.

Six ans. Trois manquements majeurs.

À chaque fois, un « incident isolé ». À chaque fois, un « problème de tiers ». Et à chaque fois, les utilisateurs en assumaient les conséquences.

Si une institution financière traditionnelle subissait trois incidents de sécurité majeurs en six ans, les régulateurs auraient retiré son agrément depuis longtemps. Dans la crypto, elle peut entrer en Bourse et tripler sa valorisation.

Récupérer: une trahison publique

Si les violations de données peuvent être imputées à des accidents ou à de la négligence, Ledger Recover était une auto-détonation délibérée.

En mai 2023, Ledger lance un nouveau service au prix de 9,99 $ par mois. Les utilisateurs pouvaient diviser et chiffrer leur phrase de récupération et confier les fragments à trois entreprises : Grand livre, Coincover et EscrowTech. Perdre votre phrase de récupération ? Montrez votre pièce d'identité et récupérez-la.

Pour les utilisateurs quotidiens inquiets de perdre leur phrase de départ, cela semblait rassurant.

Mais il y avait un problème fondamental : la prémisse des portefeuilles matériels est que « la clé privée ne quitte jamais l'appareil ».

Larchevêque, ancien PDG de Ledger, a ensuite admis sur Reddit que si les utilisateurs activaient Recover, les gouvernements pourraient légalement contraindre les trois sociétés à remettre les fragments de clé et à accéder aux fonds des utilisateurs.

La communauté a explosé. Des photos d'utilisateurs en train de graver leurs appareils Ledger ont circulé sur Twitter.

Mudit Gupta, directrice de la sécurité de l’information de Polygon, a tweeté : « Tout ce qui est protégé par la « vérification d’identité » est intrinsèquement non sécurisé, car les identités sont faciles à falsifier. »

Le fondateur de Binance, Changpeng Zhao, s'est également demandé si cela signifiait que les phrases de graines de portefeuille à froid pouvaient être séparées de l'appareil, le qualifiant de fondamentalement opposé aux principes fondamentaux de la crypto.

La réponse de Ledger était sans appel : « Aujourd'hui, la plupart des utilisateurs de crypto comptent encore sur des plateformes d'échange ou des portefeuilles logiciels avec une sécurité limitée. Pour de nombreuses personnes, gérer une phrase de récupération de 24 mots est en soi une barrière insurmontable. Les sauvegardes papier deviennent obsolètes. »

La logique n’est pas mauvaise. Mais lorsque la stratégie de croissance d’une entreprise nécessite de diluer sa proposition de valeur fondamentale, les choses se compliquent.

Les premiers utilisateurs de Ledger étaient des geeks. Les geeks se disputent. Les geeks écrivent de longs billets sur Reddit pour vous critiquer. Mais les geeks ont déjà acheté leur portefeuille – et ils ne stimulent pas la croissance.

La croissance vient des nouveaux arrivants. Les nouveaux arrivants détestent les frictions. Les nouveaux arrivants paieront volontiers 9,99 $ pour avoir l'esprit tranquille. Ils se fichent des « clés privées qui ne quittent jamais l'appareil ».

Ce n'est pas un compromis entre sécurité et commodité.

Il s’agit d’une trahison publique des principaux utilisateurs : ils doivent s’en remettre à leur confiance pour accéder à un marché plus vaste.

L'attaque à la clé

Revenons au doigt manquant de David Balland.

La crypto a un terme : « attaque à la clé ». Peu importe la force de la cryptographie ou la décentralisation du protocole, rien n'empêche quelqu'un de tenir une clé à molette et d'exiger votre clé privée.

Cela ressemble à de l'humour noir, une blague que les programmeurs font en croquant des modèles de menaces sur un tableau blanc.

Mais quand ça arrive, ce n’est pas drôle du tout.

En décembre 2024, l'épouse de l'influenceur crypto belge Stéphane Winkel est enlevée. En mai 2025, le père d'un autre millionnaire de la crypto a perdu un doigt. Le cas de Balland s’inscrit dans une tendance plus large.

Un expert français en sécurité intérieure a déclaré dans une interview : « Les méthodes sont remarquablement similaires. Qu’il s’agisse du même groupe fait toujours l’objet d’une enquête, mais une chose est claire : l’industrie est devenue un terrain de chasse pour les ravisseurs professionnels. »

La question est la suivante : d'où vient la liste de succès ?

Ces 272 000 adresses de domicile de 2020 circulent toujours sur le dark web. Il ne s'agissait pas seulement d'une fuite de données, mais d'un répertoire intitulé « cette personne possède de la crypto », dont la taille de l'actif est à peu près inférable à partir du modèle Ledger acheté. Les acheteurs des modèles les plus chers détenaient probablement le plus de crypto.

En un sens, le destin de Balland a été ensemencé par Ledger lui-même.

Cela peut sembler dur : Ledger n'a pas transmis de données aux ravisseurs. Mais quand une entreprise qui vend de la « sécurité » ne peut même pas protéger les adresses des clients, il est difficile de réclamer une responsabilité nulle.

La logique des 4 milliards

Après toute cette négativité, pourquoi Wall Street soutient-elle toujours Ledger ?

Un mot : FTX.

En novembre 2022, FTX s'effondre. Une estimation de 32 milliards de dollars s'est volatilisée du jour au lendemain. Des centaines de milliers d'utilisateurs ont vu leurs avoirs gelés, et beaucoup n'ont jamais été récupérés.

« Pas vos clés, pas vos coins » est soudain devenu une leçon brutale.

La demande de portefeuilles matériels a explosé, et Ledger était le seul acteur à bénéficier d'une réelle reconnaissance de la marque. Selon BSCN, elle contrôle 50 à 70 % du marché. Ledger prétend protéger 100 milliards de dollars en bitcoins, soit environ 5 % de l'offre mondiale totale.

Le timing compte aussi.

En 2025, les crypto-entreprises ont levé 3,4 milliards de dollars via des introductions en Bourse. Circle et Bullish ont chacun levé plus d'un milliard de dollars. BitGo est devenue la première crypto-entreprise à entrer en Bourse en 2026. Kraken s'alignerait sur une évaluation de 20 milliards de dollars.

C’est un festin de sortie. Ledger ne veut pas manquer la table.

Les fondateurs veulent de la liquidité. Les VC veulent partir. Et les marchés secondaires, alimentés par une frénésie de bitcoins, sont prêts à acheter tout ce qui est étiqueté « crypto ».

Selon le Rapport sur la croissance du marché, le marché mondial des portefeuilles crypto a été évalué à 914 millions de dollars en 2026 et devrait atteindre 12,7 milliards de dollars d’ici 2035, avec un TCAC de 33,7 %. Si l’adoption s’accélère – comme le suggèrent les ETF bitcoins et l’intérêt institutionnel – le grand livre est bien placé pour capter les avantages.

Une estimation de 4 milliards de dollars ne concerne pas le matériel. Il s’agit du récit de « l’infrastructure de garde crypto ». Les investisseurs n'achètent pas un fabricant d'appareils, mais le seul « coffre-fort numérique » reconnaissable du secteur.

En d’autres termes, il s’agit d’une tarification narrative, et non d’une tarification professionnelle.

La vérité au-delà des chandeliers

Les récits, bien sûr, peuvent changer du jour au lendemain.

Regardez les crypto-actions cotées en 2025. Comment ont-ils fonctionné ?

Cercle : de 298 $ à 69 $.

Bullish: de 118 $ à 34 $.

BitGo : + 25 % au premier jour, gains effacés en trois jours.

C’est le sort des crypto-actions : corrélées au bitcoin, déconnectées des fondamentaux.

Marcin Kazmierczak, cofondateur et directeur de l’exploitation de l’oracle modulaire Redstone, a déclaré dans une interview qu’en dépit de l’incertitude persistante, le contexte réglementaire reste favorable à Ledger.

Il a prévenu que les revenus de Ledger étaient toujours liés aux cycles du matériel de consommation – « un nouveau ralentissement prolongé ferait absolument mal, comme nous l’avons vu en 2022 » – mais a noté qu’une introduction en Bourse pourrait bénéficier d’« un cycle institutionnel plus fort que l’enthousiasme pur du commerce de détail ».

Survie de l'adaptable

L'histoire d'introduction en Bourse de Ledger est un miroir de l'industrie de la crypto.

Une entreprise vendant du « security », dont les plus grands risques historiques provenaient de défaillances de sécurité.

Un produit promettant un contrôle total de l'utilisateur sur les clés privées, offrant désormais la garde de clés par des tiers.

Une équipe dont le cofondateur a perdu un doigt, s'apprêtant à entrer sur le marché des capitaux le plus public de tous.

Des contradictions ? Absolument.

Mais la crypto n'a jamais consisté à résoudre des contradictions. Il s’agit de survivre avec eux.

La violation de données de 2020 n'a pas tué Ledger. L'attaque de la supply-chain de 2023 non plus. Ni le backlash de récupération. Ni l’enlèvement d’un cofondateur.

Il a survécu. Et maintenant, il devient public.

C’est peut-être la métaphore la plus profonde de la crypto :

Dans un monde où même les doigts d’un fondateur ne sont pas en sécurité, rien ne l’est vraiment.

Mais l'argent trouve toujours où aller.

Et les entreprises encore en ruine deviennent souvent les rois du prochain cycle.

Que Ledger soit l'un d'eux, l'avenir nous le dira.

Ou la prochaine violation le fera.