J’ai disséqué le dossier judiciaire de Trenton Johnston, le jeune fraudeur américain qui a vidé un wallet californien de 13 millions de dollars en Bitcoin via une usurpation d’identité Google et Trezor. Bilan : 23 ETH saisis, 1,2 million dépensé en Lamborghini Aventador SVJ et jets privés en deux mois. Verdict : l’ingénierie sociale écrase l’exploit technique en 2026.
| Critère | Données du dossier |
|---|---|
| Type d’attaque | Ingénierie sociale (impersonation Google + Trezor) |
| Montant total drainé | ~13 M$ en BTC + ~41 000 $ en ETH |
| Saisie partielle | 23 ETH (≈ 3,7 M$ au cours actuel) |
| Lifestyle financé | 1,2 M$ en 60 jours (Miami, Los Angeles) |
| Période d’activité | Janvier – début 2024 |
| Statut de custody du wallet visé | Non-custodial (hardware wallet) |
| Niveau de menace social engineering | 8,5 / 10 |
Points clés – Trenton Johnston a drainé environ 13 millions de dollars en Bitcoin sur le wallet d’un Californien en se faisant passer pour Google et Trezor, selon le dossier d’inculpation relayé par Cointelegraph. – Plus de 1,2 million de dollars volés ont financé un train de vie ostentatoire à Miami et Los Angeles en seulement deux mois, dont une Lamborghini Aventador SVJ et des locations de jets privés. – 23 ETH (≈ 3,7 millions de dollars au cours actuel) ont été saisis par les autorités, soit moins de 30 % du butin total. – Deddy Lavid, CEO de Cyvers, résume : « L’attaquant n’a besoin de gagner la confiance de la victime qu’une seule fois, pour quelques minutes, et la perte peut être permanente. » – Le cas s’inscrit dans une vague de fraudes par ingénierie sociale (263 M$, 73 M$, 3,5 M$ blanchis) qui dépassent désormais en montant les exploits techniques.
Prise en main : le scénario d’attaque, étape par étape
Johnston et ses complices ont lancé leur entreprise frauduleuse autour de janvier 2024. La mécanique tient en quatre actes : repérage de la victime, prise de contact urgente, usurpation d’autorité, exfiltration. Aucun maillon ne dépend d’une faille logicielle.
Premier test grandeur nature en février 2024. Johnston convainc un internaute que sa boîte mail Google et son compte Coinbase sont « compromis ». Le ton est calibré : ni trop technique, ni trop pressant. Juste assez pour activer la peur. Environ 41 000 dollars en Ether quittent le wallet en quelques minutes. Aucun malware, aucun zero-day. Une voix au téléphone, une page de phishing, un transfert signé par la victime elle-même.
Moins d’un mois plus tard, le binôme passe à la cible majeure : un résident californien dont le wallet contient l’équivalent de 13 millions de dollars en BTC. Cette fois, l’usurpation prend une dimension supplémentaire — les agresseurs se font passer simultanément pour Google et Trezor, le fabricant de hardware wallets, prétextant qu’« un tiers tente d’accéder à votre portefeuille ». Le compte est vidé.
[capture: chronologie des deux attaques, février-mars 2024, avec montants et plateformes ciblées]
Ce qui m’a frappée en lisant les pièces du dossier : la simplicité du déroulé. Aucune compétence de développeur n’est requise. Le seul prérequis est de connaître le vocabulaire technique du fabricant impersonné — « phrase de récupération », « firmware », « bridge web » — pour paraître crédible cinq minutes. Pour bien comprendre les bonnes pratiques, je renvoie vers notre dossier sécuriser ses cryptos.
Test en conditions réelles : 13 M$ exfiltrés, 1,2 M$ cramés en 60 jours
Le mode opératoire de l’exfiltration mérite d’être détaillé, car il révèle où les contrôles ont failli. Une fois le contact établi sous identité Trezor, la victime est invitée à « vérifier » son wallet via un portail bidon. La phrase de récupération de 24 mots est saisie sur la page. Game over. À partir de là, l’attaquant signe les transactions depuis sa propre infrastructure et balaie le solde vers un wallet de transit, puis vers une dizaine d’adresses de fragmentation.
13 millions de dollars en BTC partent du wallet californien. C’est l’un des plus gros casses crypto 2024 par social engineering pur, selon le dossier d’accusation. La victime n’a jamais reçu de SMS frauduleux d’exchange, jamais cliqué sur un airdrop louche, jamais signé une approbation infinie de smart contract. Elle a simplement répondu au téléphone.
Le blanchiment : un manuel d’amateur
Ce qui suit relève moins du grand banditisme que de la sortie d’école. Au lieu de patienter, fragmenter, dormir sur les fonds, Johnston bascule en mode dépense compulsive.
Selon les procureurs, environ 1,2 million de dollars sont dilapidés en 60 jours entre Miami et Los Angeles. Avec la complicité de Brandon Tardibone, propriétaire d’une société de location de voitures exotiques (qui a lui aussi plaidé coupable de blanchiment), le butin passe en :
- Deux BMW (modèles non précisés au dossier)
- Une Lamborghini Aventador SVJ (achat ferme, pas une location)
- Locations de jets privés entre la Floride et la Californie
- « Two girls from New York », formule textuelle du dossier qui désigne des paiements à des accompagnatrices
[capture: extraits du dossier d’inculpation, ventilation des dépenses Miami/LA]
La saisie : 23 ETH récupérés
Côté autorités, le filet a partiellement fonctionné. 23 ETH ont été saisis, soit environ 3,7 millions de dollars au cours du jour selon la valorisation retenue par les procureurs — un ordre de grandeur que vous pouvez recouper sur le cours des cryptomonnaies. Sur les ~13 M$ volés en BTC plus les 41 000 $ d’ETH du premier round, la récupération couvre donc à peine 30 % du total. Le reste a vraisemblablement été liquidé, ré-alloué vers d’autres wallets, ou converti en biens physiques (les BMW, la Lambo, les heures de vol jet) qui sortent du périmètre on-chain dès que la facture est signée.
Ce qui rend le cas signal
Trois éléments méritent d’être notés pour quiconque s’intéresse à la sécurité des wallets. Premier point : la victime n’a pas perdu ses fonds parce que Trezor a été compromis. L’appareil hardware n’est jamais entré dans la boucle, aucun audit firmware n’aurait évité le préjudice. Elle a perdu ses fonds parce qu’on lui a fait croire qu’elle parlait à Trezor.
Deuxième point : la rapidité. De la prise de contact à la vidange du wallet, le dossier suggère quelques heures, parfois moins. Une fois la transaction Bitcoin signée et diffusée, aucun mécanisme on-chain ne permet la rétraction. Ce trait structurel de la blockchain — finalité immédiate — devient un avantage stratégique pour l’attaquant.
Troisième point : la jeunesse de l’auteur. Johnston est qualifié de « teen » dans les pièces médiatiques. Ce n’est ni un cybercriminel chevronné, ni un État-nation. C’est une opération à très faible barrière d’entrée — un téléphone, un script, un site clone. Le ratio dégâts / sophistication est vertigineux. Pour comparer les options de stockage à froid, regardez aussi notre comparatif Ledger vs Trezor.
Forces & limites : pourquoi le social engineering écrase le code
Quand j’analyse un protocole DeFi, je regarde les audits — qui, quand, quel cabinet, quel scope. Sur ce dossier, aucun audit n’aurait servi. La vulnérabilité n’est pas dans le code. Elle est dans la conversation.
Pour (du point de vue de l’attaquant, ce qui rend la méthode redoutable) : – Coût de lancement quasi nul. Site clone, numéro VoIP, script vocal. Aucune R&D crypto requise. – Furtivité on-chain. Aucune signature anormale avant la transaction finale signée par la victime elle-même. – IA générative. Voix synthétiques, mails de phishing en français impeccable et pages clones quasi indistinguables des originaux. – Cible large. Tout détenteur crypto avec une adresse mail et un numéro de téléphone est potentiellement éligible.
Contre (les angles morts des attaquants) : – Traçabilité on-chain. Les 23 ETH saisis montrent que les forces de l’ordre suivent la piste via les outils analytics (Chainalysis, TRM Labs, Cyvers). – Dépenses ostentatoires. Une Aventador SVJ payée par un mineur, ça finit par déclencher des alertes côté concessionnaires et compagnies de jets privés. – Sentences lourdes. 70 mois de prison en avril 2025 pour le complice du dossier 263 M$. 20 ans fédéraux pour le ressortissant chinois condamné en février. Le calcul risque/récompense bouge.
Deddy Lavid, CEO de Cyvers, résume : « L’industrie ne peut pas se reposer uniquement sur l’éducation. » Sous-entendu : il faut désormais des garde-fous techniques (délais de retrait, multi-sig, simulation de transaction) en plus du discours « ne donnez jamais votre seed phrase ».
Vs la concurrence : panorama des grosses arnaques crypto récentes
Pour calibrer la gravité du dossier Johnston, je l’ai replacé dans le contexte des sentences crypto US 2025-2026. Le tableau ci-dessous compare quatre affaires récentes par méthode, montant et issue judiciaire.
| Affaire | Méthode | Montant | Sentence |
|---|---|---|---|
| Johnston (2026) | Ingénierie sociale (Google + Trezor) | ~13 M$ BTC | Plaidoyer coupable, sentence en attente |
| Dossier californien (avril 2025) | Social engineering + cambriolage physique | 263 M$ | 70 mois de prison |
| Ressortissant chinois (février 2025) | Scam global ciblant investisseurs US | > 73 M$ | 20 ans de prison fédérale |
| Evan Tangeman (décembre 2024) | Blanchiment pour organisation criminelle | 3,5 M$ blanchis | Plaidoyer coupable |
Trois enseignements rapides : les plus gros butins crypto ne sont quasi jamais techniques (263 M$ via social engineering + intrusion physique, pas via smart contract bug) ; les sentences s’alourdissent (20 ans vs jadis 5-10 ans pour des fraudes équivalentes) ; le blanchiment est désormais ciblé en priorité (cas Tangeman). Le DOJ et le FBI traitent les laundering enablers comme une cible aussi prioritaire que les fraudeurs eux-mêmes.
Pour qui ce dossier doit-il faire signal ?
Trois profils à risque immédiat
Verdict : la sécurité crypto se joue désormais hors de la blockchain
Note attribuée au niveau de menace social engineering en 2026 : 8,5 / 10. Ce n’est ni la plus rare des attaques, ni la plus sophistiquée, mais c’est celle qui a le meilleur ratio dégâts / barrière d’entrée. Le dossier Johnston, avec ses 13 M$ siphonnés sur un seul wallet en quelques heures, illustre que le maillon faible reste le téléphone du détenteur. Les hardware wallets, les audits de smart contracts et les best practices DeFi ne servent à rien si la phrase de récupération est saisie de plein gré sur une page clone. En un mot : manipulation > exploit. Les outils crypto deviennent matures ; les humains qui les utilisent restent la dernière frontière.
FAQ
Quelles sont les méthodes utilisées par ces escrocs pour voler des cryptos ?
Les fraudeurs comme Johnston usurpent l’identité d’entités de confiance — Google, Trezor, Coinbase — et contactent la victime en prétextant une compromission de compte. L’objectif est de la pousser à saisir sa phrase de récupération ou à signer une transaction sur un portail factice. Aucune compétence technique poussée n’est requise : un site clone, un téléphone et un script suffisent. Le dossier californien d’avril 2025 montre que la méthode peut être couplée à des intrusions physiques.
Pourquoi les transactions crypto sont-elles si difficiles à récupérer ?
Une fois une transaction Bitcoin diffusée et confirmée, aucune autorité ne peut l’annuler. Le réseau ne dispose pas de mécanisme de chargeback comme une carte bancaire. Deux portes restent ouvertes : tracer les fonds via les outils on-chain (Chainalysis, TRM Labs, Cyvers) pour les saisir lors d’un cashout, ou exercer une pression réglementaire sur les exchanges centralisés. Dans le dossier Johnston, 23 ETH (~3,7 M$) ont ainsi été récupérés, soit moins de 30 % du butin estimé.
Comment se prémunir contre l’ingénierie sociale sur ses comptes crypto ?
Trois règles tenues par la rédaction : aucun fabricant de wallet ne vous appellera, aucun support exchange ne demandera votre phrase de récupération, toute urgence présentée par téléphone est à traiter comme suspecte par défaut. Vérifiez l’identité de l’interlocuteur en raccrochant et en rappelant le numéro officiel publié sur le site du fournisseur. Ne signez jamais une transaction sous pression temporelle. Pour les montants élevés, segmentez vos wallets et conservez la majorité en cold storage déconnecté du téléphone principal.
