Comment protéger ses cryptos ? Le guide Capital des wallets

Populaire au sein de la cryptosphère, l’adage anglais «Not your keys, not your coins» (si tu n’as pas la clé, tu n’as pas l’argent) montre à quel point la conservation des actifs numériques a toujours été une question… clé. Capital décrypte les différentes méthodes de garde de cryptomonnaies.

Portefeuilles crypto Ledger, Tangem et Trezor. © Capital

Par Jérémy Le Bescont, Chef de rubrique crypto et Web3 à beincrypto1.de et 21 Millions

Publié le 6 septembre 2024 à 10h48.

Lecture : 5 min

Réservé aux abonnés

L'une des forces du bitcoin et des autres cryptomonnaies est de permettre à tout utilisateur une gestion personnelle de ses fonds, sans tiers de confiance. Les faillites de plateformes, comme celles de Mt. Gox ou de FTX, ont démontré l’importance d’une garde (sécurisation et conservation) personnelle. Néanmoins, l’histoire de la crypto est aussi truffée de récits de pertes de sommes considérables par des utilisateurs peu précautionneux. Pour comprendre cette problématique récurrente, il faut revenir à la source de ce qui constitue une cryptomonnaie : une unité de compte écrite sur une adresse, qui n’est accessible que si l’on détient le mot de passe de cette adresse, c’est-à-dire la clé privée. Cette clé est à protéger à tout prix : sa perte est synonyme de perte des fonds associés à son adresse. La plupart des portefeuilles cryptos facilitent sa conservation en proposant une phrase de récupération – communément appelée «seed» (graine) – qui consiste en une suite de 12, 24 ou même 25 mots (générés à partir d’une liste publique de 2 048 mots), qui permet d’accéder à une ou plusieurs clés privées. On l’appelle aussi phrase mnémonique car ces mots peuvent être mémorisés facilement, de manière à ne laisser aucune trace écrite.

La perte d’une seed est synonyme de la perte des clés privées qu’elle contient, et des fonds associés à celles-ci. La gymnastique est donc quelque peu périlleuse car ces clés privées ou ces seeds ne peuvent pas être confiées de façon non chiffrée à une tierce personne ou stockées dans un cloud puisque leur seule possession permet de déplacer des fonds.

Hors-ligne ou connecté ?

En réalité, il n’existe aucune méthode parfaitement infaillible, seulement des manières de limiter les risques. Avant d’explorer les différents modèles, il faut distinguer entre les «hot wallets» et les «cold wallets», qui correspondent à deux contextes d’utilisation différents :

- les hot wallets désignent des portefeuilles connectés, appelés à interagir avec des applications en ligne ;

- les cold wallets sont à l’inverse destinés à rester hors ligne afin de ne pas être exposés à la moindre faille de sécurité.

En pratique, les portefeuilles connectés sont conçus pour une utilisation fréquente et leur usage est plutôt recommandé pour de petites sommes. Les portefeuilles hors ligne servent plutôt de coffres-forts, pour conserver des montants conséquents ou des NFT de valeur. Pour dissiper une confusion récurrente, il faut préciser qu’un portefeuille ne contient pas les cryptoactifs, mais la clé privée ; les fonds, eux, sont sur la blockchain. Les portefeuilles connectés les plus répandus sont des logiciels sous forme d’applications d’ordinateur ou de téléphone, ou d’extension de navigateur : il y a notamment Coinbase Wallet et MetaMask, uniquement compatibles avec Ethereum et ses blockchains secondaires (Arbitrum, Base, Optimism, Polygon, etc.), et d’autres plus polyvalents comme Exodus, Trust, Phantom et Zengo, compatibles avec la plupart des blockchains existantes. Ces logiciels ont pour eux d’être relativement faciles à utiliser, avec le gros inconvénient d’être vulnérables aux piratages en cas de compromission de l’appareil. A noter que le modèle de Zengo diffère des autres puisqu’il consiste à diviser la clé secrète en deux parties, dont l’une est stockée sur votre appareil et l’autre sur un serveur de l’entreprise, afin de limiter l’accès à l’ensemble de la clé.

Le meilleur compromis reste le portefeuille matériel, celui-ci pouvant être destiné à un usage connecté, ou rester au froid. Dans cette catégorie, il est difficile de ne pas citer le leader du secteur : le français Ledger, né sur les cendres de La Maison du Bitcoin. Depuis 2014, l’entreprise a réussi à dominer le secteur en commercialisant une sorte de clé USB, accompagnée d’un logiciel propriétaire pour la gestion des différents actifs. Jamais violés, ces appareils se sont écoulés à plus de 7 millions d’exemplaires en dix ans, un volume qui permet à la marque de revendiquer la sécurisation de «20 % des volumes de cryptomonnaies qui circulent dans le monde», comme l’a déclaré le PDG Pascal Gauthier à Capital. Des résultats qui ne satisfont pourtant pas la société, dont le siège est basé à Vierzon (18). L’année 2024 est celle de la modernisation de sa gamme, avec la commercialisation du Stax. Annoncé dès 2022, cet appareil de la taille d’une carte de crédit se présente avec un écran incurvé qui recouvre sa face avant et sa tranche : conçu par le créateur de l’iPod, Tony Fadell, il permet d’afficher une œuvre NFT. Un atout ironiquement responsable des cauchemars de la firme française puisque la difficulté de production de cet écran incurvé engendra un retard de commercialisation de plus de dix-huit mois. Son prix ? 399 euros.

Un nouvel appareil de milieu de gamme chez Ledger

Destiné aux plus fortunés donc, et il y en a visiblement beaucoup, puisque Pascal Gauthier nous confie que «le lancement de Ledger Stax a été le plus réussi de l’histoire des produits Ledger». Mais Ledger n’en reste pas là. A la surprise générale, elle a annoncé le 26 juillet le lancement d’un autre portefeuille : le Flex. Plus petit mais sensiblement similaire au Stax, affublé d’une petite barre métallique rappelant les plus belles heures du Nano, il est également doté d’un écran (dont on dit qu’il est plus réactif que celui du Stax). Avec son prix de 249 euros, le Flex s’empare du segment «moyen de gamme» de Ledger et pourrait bien vampiriser les ventes du Stax, même si Pascal Gauthier ne le voit pas ainsi : «Ledger Stax est un produit haut de gamme, qui offre une expérience complètement unique. Beaucoup d’utilisateurs souhaitent utiliser le produit le plus premium, assure-t-il. Avec le Flex, nous avons voulu créer un wallet avec un écran tactile sécurisé, mais à un prix plus accessible. Avec le Ledger Nano S Plus, Nano X, Flex et Stax, nous avons désormais un Ledger pour chaque personne et chaque besoin.» Ces deux appareils – compatibles Bluetooth – ont un autre atout : ils permettent de sécuriser et de se connecter à des comptes en ligne, comme Google, sans le traditionnel mot de passe. «Les ambitions de Ledger dépassent l’univers crypto, développe le PDG de Ledger. Nous voulons sécuriser non seulement vos cryptoactifs, mais également l’ensemble de votre vie numérique, qu’il s’agisse de vos documents, vos données, votre identité... Au cours des prochaines années, nous allons continuer d’innover dans cette direction.» De quoi permettre à l’entreprise française de continuer à se démarquer ? Les concurrents sont nombreux mais n’affichent pas, du moins pour le moment, la même ambition.

Parmi eux, les appareils de la firme tchèque Trezor sont à signaler : moins onéreux (entre 59 et 169 euros selon le modèle), ils sont très appréciés, même si leur conception en usine serait moins sécurisée que celle de leurs concurrents de l’Hexagone. Dans cette catégorie, on retrouve les appareils de Coldcard, Jade ou le Passport, mais ceux-ci sont plutôt destinés à un public éclairé. Parmi les outils simples à utiliser, il existe l’alternative suisse Tangem, qui se présente sous la forme d’une application mobile activable avec une carte NFC. Un concept qui limite les risques sauf, là encore, dans le cas d’un téléphone vérolé. Pour cet outil, comptez entre 60 et 80 euros. L’entreprise helvète revendique 1,5 million de cartes vendues depuis 2018 et vient de commercialiser un portefeuille en forme de bague connectée.

Dernière recommandation pour tout achat d’un portefeuille physique : il est plus prudent de procéder à l’acquisition directement chez le constructeur ou un revendeur agréé afin d’avoir la garantie d’un appareil intègre. Pour les plus autodidactes, soulignons qu’un portefeuille physique n’est pas forcément onéreux : un simple appareil (ordinateur ou téléphone) vierge de toute exploitation ou reformaté peut faire l’affaire, à la condition de le garder hors ligne. Ecrire sa clé sur une feuille de papier est aussi possible, même si dans ce cas il est préférable de la diviser et de séparer ses lieux de conservation, une technique communément appelée «paper wallet». Par ailleurs, se protéger à plusieurs est possible avec la gestion collective permise par les portefeuilles dits multisignatures : ils nécessitent la validation d’une majorité de signataires (deux sur trois, trois sur quatre, etc.), pour effectuer des transactions. Cette pratique existe sur de nombreux portefeuilles bitcoin, comme le français Liana, ou sur les blockchains de type Ethereum avec le portefeuille Gnosis Safe. En France toujours, l’entreprise Legapass – certifiée par le Conseil supérieur du notariat – propose aussi une solution au grand public à l’aide du chiffrement de tout ou partie d’une clé grâce à une méthode distribuée par Proton Mail, référence suisse du mail sécurisé, et complétée par «une dizaine d’étapes de sécurité», nous explique son fondateur Jean-Charles Chemin.

Enfin, pas d’inquiétude pour les plus technophobes : l’avenir devrait voir son lot de solutions faciles, à commencer par celles des français de Cometh et de Smoo.th, qui vont, en substance, permettre de sécuriser les portefeuilles dans le cloud ou sur le téléphone. L’outil des premiers a convaincu Sam Altman, le fondateur d’OpenAI, pour les portefeuilles de son réseau World Chain, tandis que les fondateurs de Smoo.th sont issus d’une firme bien connue pour la sécurité crypto… Ledger.

La suite est réservée aux abonnés

Abonnez-vous à Capital à partir de 1€ le premier mois