Quels sont les conseils de sécurité les plus importants pour les portefeuilles matériels pour les débutants ?

Gardez la phrase de récupération privée, éloignée d'Internet, et stockez-la de manière résistante aux dommages. Ledger et Trezor mettent tous deux en garde contre les copies numériques non chiffrées comme les photos, le stockage dans le cloud et les applications de notes, car l'exposition compromet le portefeuille matériel.

Puis-je changer ma phrase de récupération si je pense qu'elle a été exposée ?

Non, une phrase de récupération est immuable. Les conseils de Ledger indiquent que la changer signifie créer un nouveau portefeuille avec une nouvelle phrase de récupération et transférer des fonds vers ce nouveau portefeuille.

Une phrase de récupération de 24 mots est-elle réellement crackable ?

Ledger décrit une phrase de récupération BIP-39 de 24 mots comme ayant environ 1,1579×10^79 combinaisons possibles, ce qui rend le brute forcing impraticable. Le risque dominant est la manipulation opérationnelle, comme le stockage numérique ou le partage.

Une sauvegarde en métal est-elle meilleure qu'une sauvegarde papier pour une phrase de récupération de portefeuille matériel ?

À la fois Ledger et Trezor positionnent les sauvegardes en métal comme plus durables que le papier car elles résistent au feu et à l'eau. Trezor cite également la résistance à la pression et à la corrosion, ce qui vise la récupération après sinistre à long terme plutôt que le piratage en ligne.

Les sauvegardes multisig ou SLIP39 signifient-elles que je peux cesser de m'inquiéter du stockage de la phrase de récupération ?

Non. Ledger et Trezor présentent tous deux le multisig comme nécessitant plusieurs clés pour autoriser les transactions, mais cela ne remplace pas le stockage sécurisé de la phrase de récupération pour les clés sous-jacentes. Ledger signale également que le partage de style Shamir est complexe et nécessite une mise en œuvre soigneuse.

Meilleures pratiques pour portefeuilles matériels :…

Les meilleures pratiques pour les portefeuilles matériels consistent à gérer un livre de risques à double sens : arrêter l'exposition de la phrase de récupération qui conduit au vol, et éviter l'échec de la sauvegarde qui entraîne une perte permanente. La bonne configuration garde vos clés hors ligne tout en maintenant votre chemin de récupération suffisamment simple pour être exécuté des années plus tard.

Points clés

Quiconque possède votre phrase de récupération peut prendre vos fonds, et si vous perdez la phrase de récupération et l'accès à l'appareil, la récupération est impossible.
Une phrase de récupération BIP-39 de 24 mots est effectivement impossible à forcer par brute force, donc le risque dominant est l'exposition opérationnelle comme les photos, les notes dans le cloud et le copier-coller.
Les sauvegardes en métal sont positionnées comme l'option durable par défaut car elles résistent au feu et à l'eau, et Trezor cite également la résistance à la pression et à la corrosion.
Des couches avancées comme les phrases de passe, les sauvegardes multi-partages SLIP39, le multisig, les sauvegardes sur un deuxième appareil et les services de récupération chiffrés réduisent des risques spécifiques mais ajoutent de la complexité qui peut créer de nouveaux modes de défaillance.

Le modèle de sécurité des portefeuilles matériels

Les meilleures pratiques pour les portefeuilles matériels commencent par un modèle mental clair : l'appareil est là pour garder les clés privées hors des machines connectées à Internet, mais le système de récupération est ce qui décide si les fonds sont volables ou récupérables.

Le portefeuille matériel signe les transactions sans exporter la clé privée, mais la phrase de récupération peut recréer l'ensemble du portefeuille sur un autre appareil. Cela fait de la phrase de récupération la clé maîtresse de votre portefeuille crypto, pas un « réinitialiser ».lienLedger et Trezor le considèrent de cette manière : quiconque obtient la phrase peut accéder aux fonds associés.

C'est ici que la plupart des discussions sur la « sécurité Ledger » et la « sécurité Trezor » sont mal évaluées. Les gens se fixent sur la possibilité que quelqu'un puisse forcer un seed. Les propres chiffres de Ledger montrent que c'est une impasse : le BIP-39 utilise une liste de 2048 mots, et une phrase de 24 mots a environ 1,1579×10^79 combinaisons. Ce n'est pas le chemin d'attaque.

Le chemin d'attaque est l'exposition, ce qui signifie que la phrase apparaît quelque part où elle ne devrait pas : un rouleau de photos, une application de notes, un brouillon d'email, un disque cloud ou un historique du presse-papiers.

L'autre côté du livre des risques est la perte permanente. Si l'appareil est perdu ou détruit et que la phrase de seed est également perdue, les fonds sont irrécupérables. Ce n'est pas une ligne d'alarme, c'est le modèle de garde.

Donc le travail est la conception opérationnelle : un processus de sauvegarde et de récupération qui survit à la fois aux attaquants et à votre futur vous, sans ajouter des couches que vous ne pouvez pas exécuter de manière fiable.

Règles de gestion de la phrase de seed qui comptent

Les éléments non négociables sont ennuyeux, et c'est pourquoi ils fonctionnent. La première règle est la confidentialité : la phrase de seed ne doit jamais être partagée, car la possession équivaut au contrôle. Ledger et Trezor encadrent cela comme un accès total, pas un accès partiel. Si un agent de support, un site de « synchronisation de portefeuille » ou une application frauduleuse le demande, c'est tout le jeu.

La deuxième règle est de rester hors d'internet. Ledger et Trezor avertissent tous deux contre le stockage numérique non crypté pour la phrase de seed, y compris les captures d'écran, les photos, le stockage cloud et les applications de notes. La raison n'est pas subtile. Les logiciels malveillants et le phishing n'ont pas besoin de briser un portefeuille matériel s'ils peuvent voler la sauvegarde qui le régénère.

La troisième règle est d'accepter que vous ne pouvez pas « changer votre seed » comme un mot de passe. Ledger est explicite sur le fait qu'une phrase de seed est immuable. La rotation signifie créer un nouveau portefeuille avec une nouvelle phrase de seed et transférer des fonds. Cela compte parce que la bonne réponse à une exposition suspectée n'est pas de chercher un paramètre. C'est de traiter le portefeuille comme compromis et de migrer.

La quatrième règle est la discipline des transactions. Un portefeuille matériel protège les clés, pas le jugement. La signature aveugle est le mode d'échec où l'appareil approuve une transaction que l'utilisateur ne comprend pas réellement, souvent parce que l'écran ne peut pas montrer de détails significatifs.

L'habitude à développer est de vérifier une transaction avant de signer : confirmer la destinationadresse, le réseau, et ce que la transaction autorise sur l'écran de l'appareil, pas seulement dans une fenêtre contextuelle du navigateur.

Choisir un stockage de sauvegarde hors ligne durable

Le support de sauvegarde est une décision de récupération après sinistre, pas un concours de protection contre les hackers. Le papier fonctionne jusqu'à ce qu'il ne fonctionne plus. Ledger souligne les problèmes physiques évidents, et Trezor ajoute plus : le papier est vulnérable au feu et à l'eau, et avec le temps, il peut se dégrader.

Les sauvegardes en métal sont présentées par Ledger et Trezor comme plus durables que le papier car elles résistent à des menaces comme le feu et l'eau, et Trezor cite également la résistance à la pression et à la corrosion.

La stratégie de localisation est là où les gens transforment accidentellement « sûr » en « irrécupérable ». Une seule copie à un seul endroit concentre le risque de catastrophe. Plusieurs copies à plusieurs endroits réduisent cela, mais chaque copie supplémentaire augmente le nombre d'endroits où un attaquant peut la trouver.

La manière claire d'y penser est d'avoir deux plans de défaillance distincts : (1) que se passe-t-il si la graine est exposée, et (2) que se passe-t-il si la graine est perdue.

Pour (1), l'objectif est de minimiser les chemins d'exposition. Cela signifie pas de copies numériques, pas de photos « temporaires », et pas de saisie de la phrase dans un ordinateur sauf lorsque l'appareil l'exige explicitement pour la récupération. Pour (2), l'objectif est la survie. Une sauvegarde en métal dans un coffre-fort à domicile a un profil de risque différent d'une sauvegarde en métal dans une boîte bancaire.

Trezor signale que l'accès à la banque peut être conditionnel aux politiques bancaires, ce qui rappelle que « sécurisé » et « disponible quand vous en avez besoin » ne sont pas la même chose.

Un test de stress utile est le voyage. Si la récupération devait se faire loin de chez soi, après un vol, ou lors d'un déménagement, les emplacements et les instructions fonctionnent-elles toujours ? Si la réponse est non, la configuration n'est pas terminée.

Protections avancées pour des modèles de menaces plus élevés

Les couches supplémentaires sont des outils, pas des badges. Chacune réduit un côté du livre des risques tout en augmentant souvent l'autre par la complexité.

Les phrases de passe sont la mise à niveau la plus courante. Trezor recommande d'utiliser une phrase de passe forte et unique, de l'écrire et de la stocker en toute sécurité. Le compromis est évident : une phrase de passe peut protéger des fonds si une phrase de graine est exposée, mais l'oublier ou mal l'enregistrer crée un verrouillage auto-infligé.

SLIP39 et le partage de type Shamir visent à résoudre le problème du « point de défaillance unique ». Trezor prend en charge les sauvegardes SLIP39 sur Safe 3, y compris les sauvegardes de 20 mots, et il est également compatible BIP39 pour restaurer des sauvegardes de 12, 18 ou 24 mots. Ledger discute du partage secret de Shamir comme une option avancée et souligne explicitement qu'il est complexe et doit être mis en œuvre avec soin.

La complexité n'est pas abstraite ici. Si le schéma de seuil, les emplacements des parts ou l'étiquetage sont incorrects, la récupération échoue.

Le multisig change le modèle d'autorisation. À la fois Ledger et Trezor décrivent le multisig comme nécessitant plusieurs clés pour autoriser des transactions, réduisant ainsi la dépendance à une seule clé. Ils soulignent également le point essentiel que les gens oublient : le multisig ne remplace pas le stockage sécurisé des graines. Chaque clé sous-jacente a toujours un problème de sauvegarde.

Les sauvegardes sur un second appareil se situent dans un terrain d'entente. Ledger décrit le stockage de la phrase de graine dans un second portefeuille matériel comme une protection contre la perte ou les dommages de la phrase originale et comme un moyen d'accéder aux fonds depuis l'un ou l'autre appareil.

Cela réduit le risque de temps d'arrêt si un appareil échoue, mais cela ne supprime pas la nécessité de protéger la phrase de graine elle-même.

Planification de la récupération et maintenance à long terme

Une configuration qui ne peut pas être récupérée des années plus tard n'est pas sécurisée, c'est juste une perte retardée. La maintenance à long terme commence par une vérification périodique que la sauvegarde est toujours lisible et toujours à l'endroit où elle est censée être. Trezor recommande explicitement de vérifier l'usure, en particulier pour les sauvegardes papier.

Le métal réduit ce risque, mais cela ne supprime pas la nécessité de confirmer que la sauvegarde existe et est accessible.

Rédigez des instructions de récupération comme si elles devaient être utilisées sous stress, car elles le seront. Cela signifie documenter quel type de sauvegarde il s'agit, à quelle famille d'appareils elle se restaure, et quels secrets supplémentaires existent. Si une phrase de passe est utilisée, les instructions doivent préciser que la phrase de graine seule n'est pas suffisante.

Si le multi-part SLIP39 est utilisé, les instructions doivent indiquer le seuil nécessaire pour récupérer et comment les parts sont identifiées.

La récupération basée sur un service se situe dans une zone contestée, et les sources reflètent cette division. Ledger décrit une approche de sauvegarde numérique chiffrée où la Phrase de Récupération Secrète est chiffrée, dupliquée, divisée en trois fragments et distribuée via des canaux chiffrés de bout en bout et authentifiés vers des HSM gérés par trois entreprises indépendantes.

Ledger Recover est présenté comme un service optionnel payant, fourni par Coincover, destiné à restaurer l'accès si la phrase de graine est perdue, endommagée ou hors de portée. Les conseils de Trezor dans ces sources penchent fortement dans l'autre sens, en mettant l'accent sur l'évitement des copies numériques et en se concentrant sur le stockage hors ligne plus SLIP39 et les phrases de passe.

La bonne façon d'évaluer ce choix est opérationnelle, pas idéologique. Les services de récupération chiffrés visent à réduire le risque de « je l'ai perdu ». Ils introduisent également des dépendances d'identité et de fournisseur que les méthodes purement hors ligne évitent, et les sources ne fournissent pas de comparaison neutre et quantifiée.

La décision appartient à la question plus large de votre posture de sécurité de portefeuille crypto, pas comme une case par défaut.

La Conclusion

J'ai vu des gens passer des heures à débattre des spécifications des éléments sécurisés et ensuite prendre une photo de leur phrase de graine « juste pour une minute ». C'est le décalage le plus coûteux dans toute cette catégorie. Les calculs de Ledger sur l'entropie BIP-39 rendent la force brute non problématique. L'exposition est le problème.

L'habitude qui persiste est simple : traiter la phrase de graine comme un instrument de porteur, et traiter la récupération comme un exercice d'incendie. Si les étapes ne sont pas suffisamment claires pour qu'un étranger compétent puisse les exécuter à partir de vos instructions écrites, la configuration est trop complexe. Cet état d'esprit fait plus pour sécuriser votre portefeuille crypto que n'importe quel autre paramètre supplémentaire.