Security Notice – 23 janvier 2026

Chers utilisateurs,

Dans la nuit du 21 janvier 2026, nous avons été informés d’une attaque particulièrement sophistiquée en provenance d’un acteur malveillant indiquant détenir des données de nos utilisateurs et en fournissant un échantillon permettant d’en vérifier l’authenticité.

Dès réception de ce message, nous avons déclenché nos procédures de gestion d’incident, mobilisé notre équipe technique et notre conseil juridique, et engagé des experts externes afin d’analyser la situation avec le plus haut niveau d’exigence.

Nous souhaitons être transparents sur plusieurs points : ce qui s’est passé, quelles données sont concernées, lesquelles ne le sont pas et ce que cela change concrètement pour vous.

Que s’est-il passé ? 

Nos investigations montrent qu’il ne s’agit pas d’une intrusion active sur notre infrastructure de production actuelle, les services Waltio fonctionnent normalement, les comptes utilisateurs et l’infrastructure de production sont sécurisés.

Les premières investigations internes indiquent que les causes de cette intrusion sont solutionnées.

Quelles données sont concernées ? 

Les données exposées concernent un périmètre limité lié à la génération de rapports fiscaux 2024, arrêtés au 31/12/2024. Dans les cas où le rapport fiscal est complet, on peut y trouver :

• l’adresse email de l’utilisateur
• des données agrégées issues du rapport fiscal 2024: gains et pertes, soldes au 31/12/2024 selon la structure du rapport. 

Une partie significative des enregistrements correspond à des rapports incomplets : pour ces utilisateurs, les informations présentes seraient plus limitées (par exemple des compteurs tels que le nombre de comptes et le nombre de transactions), sans résultats fiscaux complets (sans solde et sans calcul de gains et de pertes). 

Quelles données ne sont pas concernées ? 

Je veux être très clair : aucune donnée permettant d’accéder à vos crypto-actifs n’est compromise.

Ne sont pas concernés :

• vos mots de passe
• les clés API d’exchanges
• les adresses de wallets
• l’historique détaillé de vos transactions
• toute information permettant de déplacer des fonds
• les données bancaires (IBAN, carte bancaire)

Pour rappel, Waltio ne possède aucune autre donnée personnelle que votre email. Nous ne vous demandons aucune information relative à votre identité (prénom, nom, adresse postale, numéro de téléphone, date de naissance). 

Comment vous protéger contre l’ingénierie sociale ? 

Le risque principal suite à cet incident n’est pas un risque technique de vol de fonds. Le risque principal est l’arnaque ciblée : phishing, appels téléphoniques, SMS, usurpation d’identité de services clients.

Certains attaquants peuvent utiliser des éléments contextuels (par exemple l’existence d’un rapport fiscal ou des informations agrégées) pour paraître crédibles.

Il convient de retenir que :

• nous ne vous demanderons jamais d’effectuer un transfert “pour sécuriser” vos fonds
• nous ne vous demanderons jamais d’informations sensibles par téléphone, SMS ou via un lien reçu de manière inattendue
• méfiez-vous particulièrement des appels entrants et des messages vous incitant à agir rapidement. 

Comme énoncé précédemment, Waltio ne détient pas votre numéro de téléphone ou votre adresse postale. Nous ne vous appellerons donc jamais, ni ne vous enverrons de SMS ou de courrier postal.

Si vous doutez de l’authenticité d’un email Waltio, nous vous invitons à vérifier le code de sécurité présent au bas de chacun de nos emails marketing. Cette série de mots peut être comparée avec ceux présents dans votre compte, dans l’onglet “Profil” puis “Préférences”. 

Par mesure de prudence, nous recommandons également :

• de renforcer la sécurité de votre email (mot de passe unique et authentification à deux facteurs)
• de privilégier un email dédié à vos services crypto, distinct de votre identité personnelle

Ce que nous faisons, dès maintenant

Notre priorité est double : comprendre précisément le périmètre de l’attaque et vous protéger.

Nous avons engagé et poursuivons les actions suivantes :

• Investigations techniques approfondies 
• Revue complète des configurations historiques 
• Mobilisation d’experts externes en cybersécurité pour qualifier l’incident et nous assister dans l’analyse
• Renforcement continu de nos pratiques de sécurité et de nos contrôles
• Envoi d’une communication directe aux utilisateurs potentiellement concernés, avec des recommandations claires et opérationnelles
• Envoi d’une notification à la CNIL 
• Dépôt de plainte et échanges actifs avec les enquêteurs de l’unité nationale cyber de la gendarmerie nationale. 

Transparence et responsabilité

Nous mesurons pleinement l’inquiétude que ce type d’événement peut générer. Nous regrettons profondément cette situation.

Nous mettons à votre disposition une FAQ dédiée avec les réponses aux questions les plus fréquentes. En cas de questions relatives à vos données, notre délégué à la protection des données personnelles reste à votre disposition via dpo@waltio.com. Notre équipe Support est également à votre disposition sur hello@waltio.com. 

Sincèrement,
Pierre – CEO de Waltio