En août 2019, un individu a menacé de publier plus de 10 000 photos KYC de clients Binance si la plateforme refusait de payer 300 BTC, soit environ 3,5 millions de dollars au cours d’août 2019 (The Hacker News, 2019). Binance a refusé, offert une prime de 25 BTC pour identifier le chanteur, et contesté l’authenticité partielle du leak. Sept ans plus tard, cet épisode reste une référence pour comprendre les risques liés à la concentration des données KYC sur les plateformes centralisées.

En bref

  • Août 2019 : 10 000 photos KYC publiées, rançon 300 BTC refusée par Binance.
  • Source probable : un prestataire KYC sous-traitant de 2018, pas les serveurs Binance.
  • Binance a offert 25 BTC (~290 000 dollars) pour identifier l’auteur.
  • En mai 2025, Coinbase a subi une tentative d’extorsion similaire à 20 millions de dollars.
  • MiCA 2026 concentre plus de données KYC que jamais chez les plateformes agréées CASP.

Que s’est-il passé lors du leak KYC Binance en août 2019 ?

Le 7 août 2019, un compte Telegram nommé “Find Your Binance KYC” a diffusé des centaines de selfies de clients tenant leur pièce d’identité avec la mention manuscrite “Binance, 24/02/2018”. L’auteur, identifié sous le pseudonyme Bnatov Platon, réclamait 300 BTC en échange de son silence sur un stock de plus de 60 000 photos (CoinDesk, 2019). Binance a refusé de négocier et lancé une enquête interne immédiate.

CoinDesk a contacté plusieurs personnes figurant dans les photos publiées. Plusieurs ont confirmé avoir bien soumis ces documents à Binance pour vérification d’identité (The Block, 2019). D’autres photos présentaient des incohérences sur les données postales, alimentant la thèse d’une base partiellement modifiée ou falsifiée.

Le communiqué officiel de Binance pointe vers février 2018 comme période d’origine des documents, une période où la plateforme sous-traitait massivement le traitement KYC à un prestataire externe face à l’afflux d’inscriptions (Binance Blog, 2019). Binance a nié toute compromission directe de ses propres serveurs.

Chronologie du leak KYC Binance - Août 2019 Fév 2018 KYC sous-traités 7 août 2019 Telegram + rançon 8 août 2019 Binance refuse, 25 BTC prime 2025-2026 Coinbase: 20M$ refusés
Chronologie des principales dates du leak KYC Binance et de ses suites. Sources : CoinDesk, Binance Blog, CNBC (2019-2025).

Pourquoi le leak KYC et le hack des 7 000 BTC sont deux incidents distincts ?

Ces deux incidents sont souvent confondus, mais ils n’ont aucun lien confirmé. En mai 2019, Binance a perdu 7 000 bitcoins d’un hot wallet, soit environ 40 millions de dollars à l’époque, via une combinaison de phishing, de malware et de clés API compromises (Reuters, 2019). Ces fonds ont été intégralement remboursés par le fonds SAFU de Binance.

Bnatov Platon a affirmé à CoinDesk que les photos auraient été récupérées en marge du hack de mai via des clés API exfiltrées. Binance dément catégoriquement cette filiation. Les métadonnées des photos pointent vers plus de 14 mois avant le hack, et les fichiers ne portent pas la signature numérique des KYC traités en interne.

La distinction est fondamentale pour les utilisateurs. Le hack des 7 000 BTC visait des fonds, réversibles via le SAFU. Le leak KYC visait des données personnelles : un selfie tenant un passeport ne se “rembourse” pas. Un document d’identité compromis ouvre la voie à l’usurpation d’identité, bien au-delà du périmètre crypto.

Pourquoi Binance a-t-il refusé de payer la rançon ?

Binance a qualifié le leak de “false KYC leak” et offert 25 BTC de prime pour identifier l’auteur au lieu de payer les 300 BTC réclamés (AMBCrypto, 2019). Cette position tient en trois raisons. Payer une rançon transforme la plateforme en cible récurrente. L’origine du leak chez un prestataire tiers limitait la responsabilité juridique directe. Enfin, le fonds SAFU permettait d’indemniser les victimes sans céder à la pression.

Cette doctrine est depuis devenue la norme dans le secteur. Aucun grand exchange n’a versé une rançon crypto documentée depuis 2019. En mai 2025, Coinbase a appliqué la même logique en refusant publiquement 20 millions de dollars d’extorsion, après la compromission des données d’environ 1% de ses utilisateurs mensuels par des employés de support corrompus (CNBC, 2025).

Quels autres incidents KYC ont suivi depuis 2019 ?

Le leak Binance 2019 n’était pas isolé. Entre 2020 et 2025, au moins une dizaine d’exchanges ont subi des fuites de données utilisateurs. La base de données Ledger a exposé 270 000 adresses postales en 2020. FTX a vu ses données clients circuler après son effondrement en 2022. La breach Coinbase de mai 2025 reste la plus récente fuite confirmée chez un exchange de premier rang.

Année Plateforme Données exposées Rançon demandée
2019 Binance 60 000 photos KYC 300 BTC, refusée
2020 Ledger 270 000 adresses physiques Aucune
2022 FTX Données KYC + soldes N/A (faillite)
2025 Coinbase Donnees ~1% utilisateurs mensuels 20 M$, refusée

Sur quatre des cinq plus grandes fuites KYC documentées, la compromission est passée par un tiers: sous-traitant KYC, prestataire marketing, employé de support. Le périmètre d’attaque réel d’un utilisateur n’est pas celui de la plateforme seule, mais l’ensemble des prestataires ayant accès à ses documents.

Quelles leçons concrètes tirer pour protéger ses données KYC en 2026 ?

Le cadre MiCA impose depuis décembre 2024 un KYC strict à tout exchange opérant en Europe. La directive TFR abaisse le seuil à zéro euro pour les transferts vers wallets non hébergés. Plus de données KYC, plus concentrées chez un nombre réduit d’opérateurs agréés CASP. La surface d’attaque a mécaniquement augmenté.

Quatre pratiques réduisent concrètement ce risque. Premièrement, utiliser une adresse email dédiée exclusivement aux exchanges crypto, jamais réutilisée. Deuxièmement, filigraner les documents envoyés : une mention manuscrite “Pour usage exclusif Binance, date” rend la photo difficile à réutiliser en cas de fuite. Troisièmement, limiter le nombre d’exchanges actifs à deux ou trois maximum. Quatrièmement, conserver la majorité de ses actifs en wallet non-custodial.

Questions fréquentes

Le leak KYC Binance de 2019 était-il authentique ?

Partiellement. CoinDesk a confirmé l’authenticité de plusieurs photos auprès des personnes concernées, mais Binance soutient que les documents proviennent d’un sous-traitant actif en février 2018, pas de ses serveurs internes (CoinDesk, 2019). Sur les 60 000 fichiers revendiqués, la part exacte de documents authentiques n’a jamais été établie publiquement.

Comment savoir si mes données KYC ont fuité ?

Trois canaux permettent de vérifier. Le site Have I Been Pwned indexe les principales fuites crypto depuis 2020. Les alertes officielles des plateformes par email. Les services spécialisés comme SpyCloud ou Constella qui scannent le dark web. En France, la CNIL collecte les déclarations de violations de données et publie un registre consultable en ligne.

Le KYC est-il évitable sur les plateformes en 2026 ?

Sur les exchanges centralisés agréés CASP en Europe, non. MiCA rend le KYC obligatoire pour tout retrait dépassant 1 000 euros, et la directive TFR abaisse ce seuil à zéro euro pour les transferts vers wallets non hébergés. La seule alternative reste le trading sur DEX (Uniswap, Jupiter) via un wallet non-custodial, à la légalité variable selon l’usage et le pays de résidence.

Sources

Nous ajouter à vos sources préférées sur Google