L’arrestation de John Dagita met en lumière une faille présumée dans la gestion d’actifs numériques saisis par l’État américain, sur fond d’enquête transfrontalière. Le pirate utilisait les accés de son pére qui travaillait pour les US Marshals !
John Dagita, connu sous l’alias « Lick », a été arrêté après avoir prétendument détourné plus de 46 millions de dollars en cryptomonnaie au préjudice du Service des Marshals des États-Unis. L’affaire relie un prestataire privé intervenant sur des actifs numériques confisqués, un héritage direct du piratage massif de Bitfinex en 2016 et un travail de traçage mené par l’analyste blockchain ZachXBT. L’opération d’interpellation, conduite avec le FBI et la Gendarmerie royale du Canada, s’accompagne de saisies matérielles significatives. Au-delà du fait divers judiciaire, le dossier pose la question du contrôle opérationnel, de la chaîne d’accès et de la sécurisation des avoirs crypto détenus pour le compte des autorités.
Une arrestation au cœur d’un dispositif sensible
John Dagita a été arrêté dans le cadre d’une opération conjointe du FBI et de la Gendarmerie royale du Canada. D’après le directeur du FBI, Kash Patel, l’interpellation s’est accompagnée de la saisie d’une importante quantité d’argent en billets de 100 dollars, de plusieurs disques durs et de clés électroniques. Ces éléments donnent une première mesure de l’enquête en cours et de l’intérêt des autorités pour les supports matériels susceptibles d’avoir servi à conserver, déplacer ou administrer des actifs numériques.
News & alertes actualités cyber
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.
Le suspect, également désigné sous le pseudonyme « Lick », est présenté comme le fils de Dean Daghita, président-directeur général de Command Services & Support, ou CMDSS, une entreprise installée en Virginie. Depuis octobre 2024, cette société assistait le Service des Marshals des États-Unis dans la gestion et la destruction d’actifs numériques confisqués. Ce point est central, car il situe le dossier non pas à la périphérie d’un écosystème crypto opaque, mais au sein même d’une chaîne de traitement liée à des avoirs déjà saisis par l’État.
Parmi les actifs concernés figuraient notamment des fonds issus du piratage de Bitfinex en 2016. Ce vol reste l’un des plus marquants de l’histoire des cryptomonnaies, avec près de 120 000 bitcoins dérobés par des criminels. Le fait que des avoirs associés à ce dossier aient ensuite été intégrés à un circuit de gestion publique renforce la sensibilité de l’affaire actuelle. Les sommes en jeu ne relèvent pas seulement d’un contentieux financier : elles proviennent d’actifs saisis, donc placés sous une responsabilité institutionnelle directe.
L’accusation porte sur un détournement présumé de plus de 46 millions de dollars (Sic !). À ce stade, les faits rapportés dessinent le scénario d’un abus d’accès plutôt qu’une intrusion externe classique. Le point de fragilité se situerait dans la proximité entre un prestataire privé mandaté pour traiter des actifs numériques et un individu disposant, selon les éléments avancés, d’une capacité à agir sur ces fonds. En matière de cybersécurité, ce type de dossier rappelle que la menace ne vient pas uniquement d’une attaque extérieure, mais aussi d’un mésusage des privilèges accordés dans des environnements hautement sensibles.
Le traçage on-chain et les provocations sur Telegram
Le premier à avoir établi publiquement un lien entre John Dagita et les fonds détournés est l’analyste blockchain ZachXBT. Fin janvier 2026, il a publié une analyse retraçant le transfert de 23 millions de dollars depuis des portefeuilles liés au Service des Marshals américains vers des adresses lui appartenant. Cette étape a donné à l’affaire une base technique décisive : la circulation des fonds pouvait être suivie à partir des portefeuilles concernés, puis rapprochée d’entités associées au suspect.
Selon ZachXBT, Dagita s’est trahi lors d’un échange privé sur Telegram avec un autre pirate, connu sous le nom de Dritan Kapplani Jr. Au cours de cette conversation, il aurait montré sa capacité à déplacer en temps réel d’importantes sommes entre deux portefeuilles de cryptomonnaies. Des analyses supplémentaires auraient ensuite permis de relier ces portefeuilles à des avoirs gouvernementaux confisqués après le piratage de Bitfinex. Le dossier combine ainsi deux dimensions désormais classiques dans les enquêtes crypto : l’observation comportementale sur des canaux privés et la corrélation technique des flux on-chain.
Après le signalement de ces découvertes aux autorités, l’affaire a pris une tournure plus directe. ZachXBT affirme que John Dagita l’a provoqué à plusieurs reprises sur Telegram en lui envoyant de petites sommes d’argent sur son portefeuille public. Ces envois auraient été réalisés avec des fonds vraisemblablement volés. Cette méthode est décrite comme une « attaque par injection de poussière« , ou dust attack, une pratique qui consiste à envoyer de très faibles montants afin de perturber, marquer ou exposer des portefeuilles dans le cadre d’une manœuvre de surveillance, de provocation ou d’intimidation.
Après l’arrestation, ZachXBT a résumé sa lecture de l’affaire en des termes particulièrement directs : « Fin janvier 2026, j’ai découvert comment John avait dérobé plus de 46 millions de dollars d’actifs crypto confisqués au gouvernement américain en abusant de son accès à CMDSS, la société de son père, qui avait un contrat avec le Service des Marshals des États-Unis« . Il a ajouté : « John m’a ensuite nargué à plusieurs reprises via sa chaîne Telegram et a mené des attaques de type dust sur mon portefeuille public avec les fonds volés. Alors, qui rit maintenant, John ? » Le pirate a été arrêté aux Caraïbes.
Au-delà des faits allégués, cette affaire souligne la difficulté de sécuriser des actifs numériques saisis lorsque leur conservation, leur gestion ou leur destruction impliquent des intermédiaires techniques et des accès humains multiples. Elle ouvre surtout un débat de fond sur la gouvernance cyber des portefeuilles institutionnels, la traçabilité des opérations sensibles et la capacité des autorités à prévenir les détournements internes dans la chaîne de traitement des cryptomonnaies confisquées.
