Waltio est-il sûr ? Analyse complète après la fuite de données de janvier 2026

Par Camille Berteau — 26 mai 2026

Depuis l’annonce de la fuite Waltio fin janvier 2026, les questions affluent : faut-il quitter la plateforme, quels sont les risques réels pour les informations fiscales exposées, que s’est-il réellement passé. J’ai pris le temps de compiler les faits à partir des communications officielles de Waltio, des enquêtes journalistiques et des recommandations de l’administration. Voici l’état des lieux au printemps 2026, ce que ça change concrètement pour les utilisateurs, et ma recommandation pratique en fonction de votre situation.

Ce qui s’est passé, dans l’ordre

La chronologie officielle, telle qu’elle ressort de la communication Waltio du 23 janvier 2026 et des enquêtes menées depuis.

Nuit du 21 au 22 janvier 2026 : une intrusion est menée sur l’infrastructure Waltio. Des données client liées aux rapports fiscaux générés pour l’année 2024 sont exfiltrées. Les éléments compromis incluent les adresses email des utilisateurs concernés et les données agrégées des rapports fiscaux générés : gains, pertes, soldes au 31 décembre 2024.

22 janvier 2026 : le Parquet de Paris publie une communication mentionnant qu’une enquête est en cours concernant la société Waltio dans le cadre de fuites de données personnelles touchant des opérateurs de crypto-actifs.

23 janvier 2026 : Waltio publie un Security Notice public informant ses utilisateurs de l’incident. La communication est relayée par les médias crypto francophones majeurs.

21-23 janvier 2026 : le groupe de hackers connu sous le nom de « Shiny Hunters » prend contact avec Waltio et tente une extorsion. Le Parisien rapporte dès le 23 janvier que le groupe affirme détenir les données personnelles d’environ 50 000 clients, soit près d’un tiers des utilisateurs. Cette information fixe l’ordre de grandeur de l’incident sans être formellement confirmée par Waltio.

Février 2026 : une enquête préliminaire est ouverte sur instructions de la section de lutte contre la cybercriminalité du Parquet de Paris. Elle est confiée à l’Unité nationale cyber de la Gendarmerie nationale, qui travaille depuis sur l’identification des auteurs et l’évaluation de l’ampleur de la fuite.

Fin janvier 2026 : The Big Whale révèle qu’une intrusion antérieure avait eu lieu au premier trimestre 2025. Cette première intrusion, distincte de celle de janvier 2026, aurait permis le vol de 6,18 bitcoins appartenant à la trésorerie de la société via récupération d’une seed phrase stockée dans des outils internes. Cette information reste à confirmer par les autorités mais elle figure dans l’enquête de The Big Whale, relayée dès le 26 janvier 2026 par bitcoin.fr.

Ce qui a été compromis, et ce qui ne l’a pas été

La liste précise des données compromises est un élément central pour évaluer le risque réel pour chaque utilisateur.

Données effectivement exposées : adresses email des utilisateurs ayant généré un rapport fiscal 2024, valeurs agrégées de gains et pertes sur l’année fiscale, soldes crypto au 31 décembre 2024, date et heure de génération des rapports.

Données non compromises, selon les déclarations officielles : mots de passe (stockés sous forme hashée et non exposés), clés API des exchanges connectées à votre compte Waltio, identifiants d’accès aux plateformes externes, adresses de vos wallets publics ou privés, données bancaires (Waltio ne les collecte pas en routine), contenu détaillé de vos transactions individuelles.

En synthèse factuelle : le hacker ne peut pas accéder à vos comptes crypto, il ne peut pas vider vos wallets, il ne peut pas se connecter à votre place sur Waltio ou sur vos exchanges. Il dispose en revanche d’informations patrimoniales agrégées (votre portefeuille total valait environ X € au 31 décembre 2024, vous avez réalisé environ Y € de plus-values) et de votre email.

Les risques concrets pour les utilisateurs concernés

Trois types de risques doivent être distingués.

Le risque de phishing ciblé est le plus probable. Un hacker qui dispose de votre email et du fait que vous êtes un utilisateur crypto avec un certain patrimoine peut concevoir des emails de phishing extrêmement crédibles : faux emails de Waltio vous demandant de « confirmer votre identité après l’incident », faux emails d’exchanges vous invitant à « sécuriser votre compte », faux emails de l’administration fiscale. Mesure de protection : ne jamais cliquer sur un lien dans un email non sollicité, toujours se rendre sur les sites officiels en tapant l’adresse soi-même.

Le risque d’attaque ciblée est plus grave mais plus rare. Un hacker qui sait que vous détenez un patrimoine crypto significatif peut cibler spécifiquement votre adresse email pour des attaques plus élaborées : phishing vocal, ingénierie sociale auprès de votre opérateur téléphonique pour un SIM swap, intrusion sur votre réseau domestique. Ce risque concerne principalement les profils à patrimoine élevé (plus de 100 000 € de soldes crypto).

Le risque fiscal indirect est plus théorique mais à noter. Si les données fuitées venaient à tomber entre les mains de l’administration fiscale (ce qui n’est pas l’objectif du hacker, mais peut arriver), elle disposerait d’un moyen supplémentaire de recoupement avec vos déclarations. C’est un argument de plus pour déclarer correctement et ne pas sous-estimer ses plus-values.

Ce que le hacker ne peut pas faire avec les données fuitées : vider vos wallets, se connecter à votre compte Waltio ou exchange, effectuer des transactions en votre nom, accéder à vos fonds. Les données exposées sont surtout informationnelles, pas opérationnelles.

La réponse de Waltio et ce qui a été mis en place

Waltio a pris plusieurs mesures dans les jours qui ont suivi la détection de l’incident.

La société a notifié individuellement les utilisateurs concernés par email, avec le détail exact des données les concernant qui ont été exposées. Cette communication directe, plutôt que la simple annonce publique, est conforme aux obligations du RGPD en cas de violation de données. Si vous avez généré un rapport fiscal sur l’année 2024 via Waltio (donc au cours du printemps/été 2025 ou ultérieurement) et que vous n’avez reçu aucune communication, vous n’êtes vraisemblablement pas concerné par la fuite.

La CNIL a été saisie conformément à l’obligation réglementaire de notification en cas de violation de données personnelles. L’enquête administrative CNIL peut déboucher sur des sanctions pécuniaires selon les conclusions sur les manquements éventuels de la société en matière de sécurité.

Waltio a également publié une FAQ détaillée sur son Help Center qui répond aux questions les plus fréquentes. Cette FAQ est régulièrement mise à jour au fur et à mesure des développements de l’enquête.

Sur le plan technique, Waltio a annoncé avoir renforcé ses dispositifs de sécurité, notamment sur la partie infrastructure serveur et sur la segmentation des données en base. Les détails techniques précis restent confidentiels, ce qui est normal pour ne pas fournir d’indications aux attaquants futurs.

Ce que je recommande aux utilisateurs concernés

Voici la liste d’actions recommandées aux utilisateurs Waltio concernés par la fuite.

Changez votre mot de passe Waltio si vous ne l’avez pas déjà fait. Ce n’est pas strictement nécessaire puisque les mots de passe hashés n’ont pas été exposés, mais c’est une bonne pratique de sécurité après tout incident, quelle qu’en soit la portée exacte.

Activez l’authentification à deux facteurs sur Waltio si ce n’est pas déjà fait. C’est une protection supplémentaire qui rend extrêmement difficile un accès non autorisé à votre compte même en cas de compromission du mot de passe.

Soyez vigilants sur vos emails dans les mois qui suivent. Les attaques de phishing exploitant ce type de fuite peuvent intervenir plusieurs semaines ou mois après l’incident. Ne cliquez sur aucun lien dans un email non sollicité, même si l’expéditeur semble légitime.

Vérifiez vos comptes d’échange et vos wallets régulièrement. Non pas parce qu’ils seraient directement exposés, mais parce que l’activité de phishing ciblée augmente généralement après ce type d’incident. Un simple passage en revue hebdomadaire des accès et des soldes est une bonne habitude.

Documentez l’incident côté patrimoine. Gardez les emails de notification Waltio, les captures d’écran de l’annonce publique, les détails des données vous concernant. Ces informations peuvent être utiles si vous souhaitez engager une action collective contre Waltio sur la base d’une insuffisance de sécurité avérée, ou simplement pour archivage personnel.

Faut-il quitter Waltio après l’incident

C’est la question qui me revient le plus souvent, et elle n’a pas de réponse universelle. Ça dépend de votre profil et de votre tolérance au risque.

Les arguments pour rester. L’incident a été significatif mais les données exposées sont patrimoniales agrégées, pas opérationnelles. Aucun accès aux fonds n’a été compromis. Waltio a réagi conformément aux obligations RGPD, a notifié la CNIL, a renforcé sa sécurité. Le produit reste le plus abouti du marché français sur la fiscalité crypto, et changer d’outil en pleine campagne déclarative a un coût opérationnel significatif (reconnecter toutes les sources, recalibrer les paramètres, vérifier la conformité du nouveau calcul).

Les arguments pour partir. La fuite révèle que l’infrastructure Waltio avait des failles exploitables, et l’enquête révèle potentiellement un historique plus long de problèmes de sécurité que ce qui avait été communiqué initialement. Si vous avez un patrimoine crypto significatif et que vous êtes particulièrement sensible à la protection de vos données patrimoniales, basculer vers un concurrent comme Koinly ou évaluer d’autres alternatives peut être rationnel.

Ma recommandation personnelle, après avoir examiné de nombreux dossiers depuis janvier. Pour un profil avec un patrimoine crypto inférieur à 50 000 €, l’incident est regrettable mais ne justifie pas à mon sens un changement d’outil. Les inconvénients du changement l’emportent sur le risque résiduel. Pour un patrimoine plus significatif, le ratio s’équilibre, et un arbitrage individuel a du sens, éventuellement en consultant un spécialiste en protection de données personnelles.

J’ajouterai un point important. La réalité du marché SaaS est que toutes les entreprises sont susceptibles de subir une fuite de données un jour. Koinly, Blockpit (qui a absorbé Accointing fin 2023), CoinTracker, tous les concurrents ont potentiellement les mêmes vulnérabilités. Quitter Waltio pour Koinly ne vous protège pas des futurs incidents chez Koinly. La vraie leçon de l’affaire Waltio n’est pas « cet outil est mauvais », c’est « toute donnée centralisée est vulnérable, traitez-la avec les précautions qui s’imposent ».

La dimension systémique : la sécurité des SaaS fiscaux

L’affaire Waltio a ouvert un débat plus large sur la sécurité des SaaS fiscaux crypto, que la plateforme Cybermalveillance.gouv.fr a explicitement traité début 2026.

L’angle central : ces outils centralisent des informations patrimoniales sensibles sur leurs utilisateurs (soldes, historique, cessions, plus-values) dans des bases de données qui deviennent des cibles attractives pour les attaquants. Le secteur crypto fiscal n’a pas, historiquement, fait l’objet d’une attention sécuritaire aussi poussée que les banques traditionnelles, alors que les données manipulées sont de même nature et tout aussi sensibles.

On peut s’attendre à ce que l’affaire Waltio accélère plusieurs évolutions : renforcement des exigences de sécurité dans les conditions d’agrément MiCA pour les outils qui y sont soumis, évolutions de la doctrine CNIL sur les données patrimoniales agrégées, possibles actions collectives d’utilisateurs qui pourraient créer une jurisprudence sur la responsabilité des SaaS en cas d’insuffisance de sécurité.

Pour un utilisateur, les implications pratiques sont claires. La catégorie outils fiscaux du site continuera de suivre ces évolutions. Dans l’immédiat, la précaution raisonnable consiste à limiter la surface de données partagée avec chaque outil : n’exposer que le strict nécessaire, archiver hors ligne les données sensibles, activer toutes les mesures de sécurité disponibles (2FA, clé API en lecture seule, IP whitelisting si proposé).

L’incident Waltio n’est pas un effondrement de plateforme : aucun fonds utilisateur n’a été touché et la société continue d’opérer normalement. Il reste néanmoins un signal d’alerte sérieux pour le secteur des SaaS fiscaux crypto. La reconstruction de la confiance passera par les preuves techniques durables, pas par la communication de crise.