En décembre 2018, des serveurs malveillants intégrés au réseau Electrum ont injecté de faux messages dans l’interface du wallet Bitcoin, dérobant 245 BTC, soit environ 1 million de dollars à l’époque. Selon le rapport publié sur GitHub par les développeurs du projet, la faille permettait à n’importe quel serveur tiers d’afficher un texte arbitraire dans le logiciel. La version 3.3.4 a corrigé le problème, mais des vagues successives jusqu’en 2020 ont porté le total estimé à environ 9 000 BTC dérobés.

Au programme

  • En décembre 2018, 245 BTC volés via de faux serveurs Electrum injectant des messages de phishing : faille corrigée en v3.3.4 (GitHub Electrum)
  • Entre 2018 et 2020, des botnets ont saturé jusqu’à 50 % du réseau public Electrum, portant le total estimé à ~9 000 BTC dérobés
  • En 2026, Electrum reste viable mais exige connexion à son propre nœud Bitcoin et vérification GPG à chaque mise à jour

Comment fonctionnait le hack Electrum de 2018 ?

La faille exploitée reposait sur une décision architecturale : dans les versions antérieures à la 3.3.4, n’importe quel serveur du réseau pouvait envoyer un message texte arbitraire directement dans l’interface utilisateur. Electrum interroge des serveurs tiers pour valider les transactions sans télécharger l’intégralité de la blockchain - un choix de légèreté qui a créé ce vecteur d’attaque.

Les attaquants ont déployé des dizaines de serveurs malveillants sur le réseau public. Quand un utilisateur tentait d’envoyer des BTC, un faux message d’erreur s’affichait, lui demandant de “mettre à jour Electrum” via un lien GitHub falsifié. Le fichier téléchargé était un logiciel conçu pour extraire la seed phrase du wallet et la transmettre aux attaquants.

Le vecteur était particulièrement redoutable car le message s’affichait dans le logiciel que l’utilisateur avait lui-même installé. Aucun email suspect, aucun site contrefait à identifier : les bonnes pratiques de sécurité crypto classiques ne protégeaient pas contre ce type d’attaque.

Vecteur d'attaque Electrum (décembre 2018) Un serveur malveillant injecte un faux message dans l'interface Electrum. L'utilisateur télécharge un faux binaire qui vole sa seed phrase. Les BTC sont transférés vers le wallet de l'attaquant. Serveur malveillant Réseau Electrum Faux msg Interface Electrum Victime clique Faux .exe Seed volée Wallet vidé 245 BTC perdus Source : GitHub Electrum, rapport issue #4968, déc. 2018

Pourquoi la faille a-t-elle persisté entre 2018 et 2020 ?

La vulnérabilité découlait d’une décision de conception, pas d’un bug caché. Permettre aux serveurs d’envoyer des notifications textuelles était une fonctionnalité inoffensive en théorie. Elle est devenue une arme dès que des acteurs malveillants ont compris que les utilisateurs faisaient confiance aux messages affichés dans leur propre logiciel.

Le correctif est arrivé avec la version 3.3.4 publiée début 2019 : Electrum a supprimé la possibilité pour les serveurs d’afficher du HTML dans les messages, puis renforcé progressivement la validation des communications serveur-client. Mais les utilisateurs qui ne mettaient pas à jour restaient exposés.

En avril 2019, une variante baptisée “ElectrumDoSMiner” est apparue. Ce botnet organisait des attaques par déni de service contre les serveurs Electrum légitimes, forçant les clients à se connecter aux serveurs malveillants faute d’alternatives disponibles. À certains moments, ces faux serveurs représentaient jusqu’à 50 % du réseau Electrum public, selon les estimations compilées par la communauté Bitcoin. Au total, les différentes vagues entre 2018 et 2020 auraient coûté environ 9 000 BTC aux utilisateurs du wallet.

Quel est l’état d’Electrum en 2026 ?

Electrum reste un projet actif en 2026, maintenu par Thomas Voegtlin et des contributeurs open source. La version 4.x a migré vers Python 3 et l’architecture AsyncIO, et le support du Lightning Network est intégré depuis 2020. Le wallet conserve ses avantages historiques : légèreté, compatibilité avec les hardware wallets, gestion du multi-sig et personnalisation avancée des frais de transaction.

Son positionnement a toutefois évolué. Electrum est aujourd’hui principalement utilisé pour le cold storage et les configurations multi-signature, moins pour les transactions quotidiennes. Des alternatives ont gagné du terrain sur ce second segment.

Sparrow Wallet s’est imposé comme la référence desktop pour les utilisateurs avancés : interface claire, support natif des PSBT (transactions partiellement signées), connexion directe à son propre nœud Bitcoin. BlueWallet couvre les besoins mobiles avec une intégration Lightning fiable. Pour les patrimoines significatifs, le couple BitBox02 + BitBoxApp élimine la surface d’attaque logicielle en gardant la seed sur le matériel.

Cela ne signifie pas qu’Electrum soit dépassé. Pour un utilisateur qui maîtrise ses fondamentaux, il reste un outil solide, à condition d’appliquer des pratiques rigoureuses.

Lecture CryptoActu Le hack Electrum de 2018 illustre un principe souvent négligé : la confiance dans l’interface d’un logiciel ne garantit pas l’intégrité du réseau qu’il utilise. Ce vecteur, un message affiché par un tiers non authentifié dans un logiciel légitime, reste actif dans d’autres protocoles. Les bridges cross-chain et certains wallets multi-chain exposent des surfaces comparables, comme les hacks DeFi de 2024-2025 l’ont démontré à répétition.

Comment sécuriser un wallet Electrum en 2026 ?

4 pratiques constituent le minimum recommandé pour tout utilisateur d’Electrum :

  • Vérifier la signature GPG du binaire à chaque mise à jour, avec la clé publique de Thomas Voegtlin (ThomasV.gpg). Un binaire dont la signature ne correspond pas doit être rejeté immédiatement.
  • Connecter Electrum à son propre nœud Bitcoin via Electrum Personal Server ou electrs. Cette configuration supprime l’accès aux serveurs tiers publics et le vecteur d’attaque utilisé en 2018.
  • Utiliser un hardware wallet (Ledger, Trezor, BitBox02) pour tout solde supérieur à 0,1 BTC. La seed ne quitte jamais le dispositif physique, même si le logiciel hôte est compromis.
  • Configurer du multi-sig 2-of-3 pour les patrimoines significatifs. Cette architecture exige 2 signatures sur 3 pour valider une transaction, éliminant le risque d’un point de défaillance unique.

Ces recommandations s’appliquent au-delà d’Electrum. Tout wallet logiciel exposé à un réseau public partage une surface d’attaque comparable. La sécurisation de ses actifs crypto est un processus continu, pas une configuration réalisée une seule fois.

Pourquoi le phishing reste-t-il aussi efficace contre les wallets crypto ?

Le phishing fonctionne parce qu’il exploite la confiance, pas une faille technique. Dans le cas Electrum, les victimes n’ont pas cliqué sur un email suspect : elles ont vu un message dans leur propre logiciel. Ce contexte réduit drastiquement la méfiance naturelle.

En 2026, les techniques ont évolué. Les arnaques crypto intègrent désormais des interfaces générées par IA capables d’imiter des sites officiels, des faux tokens “approval” qui vident un wallet en une transaction, et des campagnes ciblées par wallet grâce à l’analyse on-chain (les adresses à fort solde sont identifiables publiquement). La vigilance reste la première ligne de défense, quelle que soit l’évolution des outils.

Questions fréquentes

Qu’est-ce que le hack Electrum de décembre 2018 ?

En décembre 2018, des serveurs malveillants intégrés au réseau Electrum ont injecté de faux messages dans l’interface du wallet, poussant les utilisateurs à télécharger un binaire frauduleux. Ce logiciel volait la seed phrase et vidait le portefeuille. 245 BTC ont été dérobés lors de cette première vague, selon le rapport GitHub des développeurs.

Electrum est-il sûr à utiliser en 2026 ?

Electrum reste fiable en 2026 à condition de respecter 3 points : vérifier la signature GPG du binaire à chaque mise à jour, connecter le wallet à son propre nœud Bitcoin (Electrum Personal Server ou electrs), et coupler le logiciel à un hardware wallet pour tout solde supérieur à 0,1 BTC. Sans ces précautions, la surface d’attaque reste réelle. Nos guides de sécurité crypto détaillent les étapes complètes.

Comment vérifier qu’un wallet crypto n’est pas compromis ?

Plusieurs signaux d’alerte existent : message inattendu demandant une mise à jour, adresse de réception qui change sans action de l’utilisateur, signature GPG invalide sur le binaire téléchargé. Pour Electrum spécifiquement, toute notification serveur demandant de cliquer sur un lien externe ou de télécharger un fichier doit être traitée comme une tentative de phishing et signalée via le GitHub officiel.

Quelle alternative à Electrum recommander en 2026 ?

Pour les utilisateurs desktop, Sparrow Wallet offre une interface avancée avec support natif des PSBT et connexion à son propre nœud. Sur mobile, BlueWallet intègre Lightning de façon fiable. Pour les patrimoines significatifs, le couple BitBox02 + BitBoxApp élimine la surface d’attaque logicielle. Ces 3 alternatives sont open source et activement maintenues. Retrouvez notre comparatif dans nos guides wallets Bitcoin.

À retenir

Le hack Electrum de décembre 2018 a coûté 245 BTC à ses premières victimes, et plusieurs milliers à la communauté jusqu’en 2020. La faille était architecturale et a été corrigée en v3.3.4. En 2026, Electrum reste un wallet viable, mais la connexion à son propre nœud et la vérification des signatures GPG sont non négociables pour qui veut éviter de répéter l’histoire.

Sources

Signal Neutre
Impact Mineur
EN DIRECT