Multisig Bitcoin : custody distribuée

Tant qu'un wallet×Wallet (portefeuille)Logiciel ou appareil qui gère vos clés Bitcoin et permet de signer des transactions. Un wallet ne « contient » pas vraiment vos bitcoins, il contient les clés qui prouvent que vous en êtes propriétaire.Voir dans le lexique → repose sur une seule seed phrase×Seed phrase (phrase de récupération)Suite de 12 ou 24 mots (souvent en anglais) qui encode votre clé maître. Sauvegarde universelle d'un wallet : avec ces mots, vous pouvez restaurer vos fonds sur n'importe quel logiciel compatible.Voir dans le lexique →, il vit avec une faiblesse structurelle : la perte, le vol ou la divulgation de cette seed unique vide le wallet sans recours. Une plaque acier dans un coffre-fort bancaire améliore la résilience physique, une passphrase×PassphraseMot ou phrase supplémentaire que vous ajoutez à votre seed phrase pour créer un wallet caché. Couche de sécurité optionnelle, indépendante de la seed.Voir dans le lexique → BIP39×BIP39Standard qui définit la liste de 2 048 mots utilisée pour les seed phrases. Permet à toutes les marques de wallets de générer des seeds compatibles entre elles.Voir dans le lexique → (« 25e mot ») améliore la résistance au vol, mais aucun de ces dispositifs ne change la nature du problème : il existe un endroit, ou un cerveau, qui détient la clé de tout.

Le multisig×Multisig (multi-signature)Configuration où une transaction doit être signée par plusieurs clés indépendantes pour être valide (par exemple 2 clés parmi 3). Réduit le risque qu'un seul vol de clé fasse perdre les fonds.Voir dans le lexique → (« multi-signature ») répond à cette limite en exigeant plusieurs signatures indépendantes, produites par plusieurs clés distinctes, pour autoriser une dépense. Un attaquant qui met la main sur une seule clé n'a rien : il lui en faut au moins M sur N. Une clé perdue dans un incendie ne ferme pas l'accès aux fonds tant que les autres survivent. Une transmission successorale peut s'appuyer sur des cosignataires sans jamais révéler les clés du vivant. Cet article explique quand passer au multisig, comment choisir entre une solution clés en main et un montage personnel, et pourquoi la sauvegarde du descripteur BIP380 est aussi importante que celle des seeds elles-mêmes.

Le principe : M signatures sur N clés

Un wallet×Wallet (portefeuille)Logiciel ou appareil qui gère vos clés Bitcoin et permet de signer des transactions. Un wallet ne « contient » pas vraiment vos bitcoins, il contient les clés qui prouvent que vous en êtes propriétaire.Voir dans le lexique → multisig×Multisig (multi-signature)Configuration où une transaction doit être signée par plusieurs clés indépendantes pour être valide (par exemple 2 clés parmi 3). Réduit le risque qu'un seul vol de clé fasse perdre les fonds.Voir dans le lexique → est défini par deux nombres : N, le nombre total de clés indépendantes qui composent le wallet, et M, le nombre de signatures nécessaires pour valider une transaction. Les configurations les plus courantes sont 2-of-3 (deux signatures sur trois cosignataires) et 3-of-5 (trois sur cinq). 2-of-2 existe mais est déconseillé : la perte d'une seule clé bloque les fonds définitivement.

Chaque clé est une seed BIP39×BIP39Standard qui définit la liste de 2 048 mots utilisée pour les seed phrases. Permet à toutes les marques de wallets de générer des seeds compatibles entre elles.Voir dans le lexique → classique, générée et stockée comme dans un wallet standard, sur un hardware wallet×Hardware walletPetit appareil dédié (Ledger, Trezor, Coldcard, BitBox, etc.) qui garde la clé privée hors d'un ordinateur potentiellement compromis. Signe les transactions à l'intérieur de l'appareil.Voir dans le lexique → dédié. La différence est dans le rôle : aucune seed individuelle ne donne accès aux fonds. Pour dépenser, vous produisez une signature partielle sur l'appareil 1 (PSBT×PSBT (Partially Signed Bitcoin Transaction)Format standard (BIP 174) qui permet de construire une transaction sur un appareil, la signer sur un autre, et la diffuser depuis un troisième. Base du workflow multisig moderne.Voir dans le lexique →, Partially Signed Bitcoin Transaction, BIP174), vous la transmettez à l'appareil 2 qui ajoute sa signature, et seulement quand M signatures sont réunies la transaction peut être diffusée au réseau.

Trois propriétés fondamentales découlent de cette mécanique :

• Résilience aux pertes. Sur un 2-of-3, vous pouvez perdre une seed et garder l'accès aux fonds avec les deux autres. Vous reconstituez ensuite un nouveau multisig pour remplacer la clé perdue.
• Résistance aux vols. Un cambrioleur qui trouve une plaque acier chez vous récupère une seed sur trois : il ne peut rien faire seul. Pour vider le wallet, il devrait trouver deux des trois clés, idéalement géographiquement distantes.
• Résistance à la coercition. Même sous contrainte, vous ne pouvez pas signer seul. Un agresseur qui exige le transfert immédiat se heurte à un obstacle protocolaire : il faudrait organiser la signature des deux autres cosignataires, ce qui prend du temps et donne des opportunités.

Le multisig fonctionne nativement sur Bitcoin depuis 2012 (BIP11, BIP16). Il est invisible côté blockchain×BlockchainGrand livre comptable public partagé qui enregistre toutes les transactions Bitcoin dans des blocs liés cryptographiquement les uns aux autres. Chaque participant du réseau en garde une copie.Voir dans le lexique → à partir de Taproot×TaprootMise à jour majeure de Bitcoin activée en novembre 2021 (BIP 341). Apporte plus de confidentialité, de flexibilité pour les scripts et l'efficacité des signatures Schnorr.Voir dans le lexique → (BIP341, 2021), ce qui améliore aussi la confidentialité : une transaction multisig ressemble désormais à une transaction single-sig classique pour l'observateur extérieur.

Ce que le multisig résout vraiment

Le multisig×Multisig (multi-signature)Configuration où une transaction doit être signée par plusieurs clés indépendantes pour être valide (par exemple 2 clés parmi 3). Réduit le risque qu'un seul vol de clé fasse perdre les fonds.Voir dans le lexique → ne change rien à la sécurité cryptographique du Bitcoin lui-même : une seed unique bien gérée reste inattaquable par force brute. Ce qu'il change, c'est la topologie de la confiance. Tout le bénéfice tient dans cinq scénarios concrets.

Scénario 1 : seed perdue ou détruite. Sur un wallet×Wallet (portefeuille)Logiciel ou appareil qui gère vos clés Bitcoin et permet de signer des transactions. Un wallet ne « contient » pas vraiment vos bitcoins, il contient les clés qui prouvent que vous en êtes propriétaire.Voir dans le lexique → single-seed, perdre la seed est définitif. Sur un 2-of-3, vous perdez une copie, les fonds restent accessibles avec les deux autres. Vous recréez un nouveau multisig avec une seed fraîche pour remplacer la perdue, vous y migrez les fonds. Ce n'est plus une catastrophe, c'est une opération de maintenance.

Scénario 2 : cambriolage du domicile. Sur un single-seed, si le voleur trouve la plaque acier (ou la note papier), il vide le wallet. Sur un 2-of-3 distribué (par exemple : domicile, coffre bancaire, famille de confiance ou résidence secondaire), il faudrait que le voleur ait accès simultané à au moins deux des trois lieux. Statistiquement improbable.

Scénario 3 : phishing×Phishing (hameçonnage)Attaque où l'on se fait passer pour un service légitime via email, SMS ou site clone, pour vous extorquer des identifiants ou votre seed phrase.Voir dans le lexique → ou malware ciblé. Sur un single-seed, si vous tapez la seed sur un site malveillant ou si un infostealer la trouve sur votre PC, le wallet est perdu en quelques minutes. Sur un multisig où chaque clé vit sur un hardware air-gapped×Air-gappedAppareil totalement déconnecté d'Internet (pas même USB). Niveau de sécurité maximum pour signer une transaction multisig dans un wallet froid.Voir dans le lexique → distinct, l'attaque doit compromettre M devices indépendants. Tellement plus dur que l'attaque cherche ailleurs.

Scénario 4 : décès non préparé. Sur un single-seed sans transmission organisée, les bitcoins meurent avec vous. Sur un multisig collaboratif (Casa Inheritance, Unchained legacy) ou personnel avec cosignataire héritier, la procédure est documentée : le ou les héritiers signent avec leur clé, plus la clé qui leur revient au décès, et accèdent aux fonds sans que vous ayez révélé la moindre seed de votre vivant.

Scénario 5 : « rubber-hose attack ». Une attaque par contrainte physique sur le détenteur. Sur un single-seed, l'attaquant obtient tout en une session. Sur un multisig avec une clé géographiquement distante (coffre bancaire fermé en heures non ouvrables, par exemple), l'attaquant ne peut pas vider immédiatement le wallet, ce qui rend l'attaque beaucoup moins rentable.

Ces scénarios ne sont pas théoriques : chacun a fait perdre des bitcoins documentés ces dix dernières années. Le multisig n'est pas une paranoïa, c'est la réponse architecturale à des risques observés.

Quand y passer : seuil et trade-offs

Le multisig×Multisig (multi-signature)Configuration où une transaction doit être signée par plusieurs clés indépendantes pour être valide (par exemple 2 clés parmi 3). Réduit le risque qu'un seul vol de clé fasse perdre les fonds.Voir dans le lexique → n'est pas gratuit. Il introduit une complexité opérationnelle réelle qu'il faut peser contre les bénéfices.

Le surcoût matériel. Trois hardware wallets distincts coûtent 250 à 500 EUR au lieu de 80 à 230 EUR pour un single. Multiplié par les trois plaques métal pour les sauvegardes, on est entre 400 et 800 EUR de mise initiale.

La complexité du quotidien. Une simple dépense Lightning routinière passe parfois par la signature manuelle de deux devices. Pour une grosse transaction L1, il faut sortir deux hardwares de leurs lieux respectifs, brancher, signer, transmettre la PSBT×PSBT (Partially Signed Bitcoin Transaction)Format standard (BIP 174) qui permet de construire une transaction sur un appareil, la signer sur un autre, et la diffuser depuis un troisième. Base du workflow multisig moderne.Voir dans le lexique →, signer à nouveau. Compter 15 à 30 minutes par transaction si vos clés sont géographiquement distribuées. Beaucoup plus si une clé est en coffre bancaire (vous ne pouvez signer que pendant les heures d'ouverture).

Le risque opérationnel. Un multisig mal configuré peut bloquer l'accès aux fonds tout aussi définitivement qu'une seed perdue. La sauvegarde du descripteur (voir plus bas) est un point de défaillance supplémentaire que personne n'anticipe au premier abord.

Compte tenu de ces frictions, voici les seuils pratiques qui se sont stabilisés dans la communauté :

• Jusqu'à 10 000 EUR détenus. Single-seed + hardware wallet×Hardware walletPetit appareil dédié (Ledger, Trezor, Coldcard, BitBox, etc.) qui garde la clé privée hors d'un ordinateur potentiellement compromis. Signe les transactions à l'intérieur de l'appareil.Voir dans le lexique → + plaque métal + passphrase×PassphraseMot ou phrase supplémentaire que vous ajoutez à votre seed phrase pour créer un wallet caché. Couche de sécurité optionnelle, indépendante de la seed.Voir dans le lexique → BIP39×BIP39Standard qui définit la liste de 2 048 mots utilisée pour les seed phrases. Permet à toutes les marques de wallets de générer des seeds compatibles entre elles.Voir dans le lexique → optionnelle. Le multisig est ici une sur-ingénierie qui coûte plus en risque opérationnel qu'il ne rapporte en sécurité.
• 10 000 à 100 000 EUR. Zone grise. Single-seed avec passphrase et sauvegardes redondantes (deux plaques en deux lieux) reste raisonnable. Le multisig devient pertinent si vous voyagez beaucoup, si vous êtes publiquement identifié comme bitcoiner×BitcoinerPersonne qui s'intéresse à Bitcoin, en détient, et adhère plus ou moins à ses valeurs (souveraineté individuelle, monnaie saine, décentralisation).Voir dans le lexique →, ou si vous préparez une transmission.
• Au-delà de 100 000 EUR. Multisig recommandé. Le surcoût de complexité s'amortit largement face à l'asymétrie « perte irréversible vs petit dérangement ».
• Au-delà de 1 000 000 EUR. Multisig obligatoire, et probablement combiné avec un service collaboratif type Casa ou Unchained pour la garantie de transmission et la qualité de la documentation.

Un autre critère : le profil personnel. Un développeur Bitcoin qui manipule des PSBT au quotidien peut passer au multisig dès 5 000 EUR sans douleur. Un retraité qui touche rarement à son wallet×Wallet (portefeuille)Logiciel ou appareil qui gère vos clés Bitcoin et permet de signer des transactions. Un wallet ne « contient » pas vraiment vos bitcoins, il contient les clés qui prouvent que vous en êtes propriétaire.Voir dans le lexique → doit attendre un seuil plus haut et privilégier les solutions assistées.

Multisig personnel avec Sparrow Wallet

Pour les utilisateurs qui veulent zéro dépendance à un tiers, le multisig×Multisig (multi-signature)Configuration où une transaction doit être signée par plusieurs clés indépendantes pour être valide (par exemple 2 clés parmi 3). Réduit le risque qu'un seul vol de clé fasse perdre les fonds.Voir dans le lexique → personnel monté avec Sparrow Wallet×Wallet (portefeuille)Logiciel ou appareil qui gère vos clés Bitcoin et permet de signer des transactions. Un wallet ne « contient » pas vraiment vos bitcoins, il contient les clés qui prouvent que vous en êtes propriétaire.Voir dans le lexique → est la référence. Le principe : trois hardware wallets de trois marques différentes, Sparrow comme coordinateur, sauvegardes distribuées géographiquement, descripteur sauvegardé séparément.

Le choix de trois marques distinctes (par exemple Ledger×Ledger, Trezor, Coldcard, BitBoxPrincipales marques de hardware wallets. Ledger Nano S Plus / X (français, le plus vendu), Trezor Model T (tchèque, open source), Coldcard Mk4 (canadien, ultra-secure, Bitcoin-only), BitBox02 (suisse, open source).Voir dans le lexique → + Trezor×Ledger, Trezor, Coldcard, BitBoxPrincipales marques de hardware wallets. Ledger Nano S Plus / X (français, le plus vendu), Trezor Model T (tchèque, open source), Coldcard Mk4 (canadien, ultra-secure, Bitcoin-only), BitBox02 (suisse, open source).Voir dans le lexique → + Coldcard×Ledger, Trezor, Coldcard, BitBoxPrincipales marques de hardware wallets. Ledger Nano S Plus / X (français, le plus vendu), Trezor Model T (tchèque, open source), Coldcard Mk4 (canadien, ultra-secure, Bitcoin-only), BitBox02 (suisse, open source).Voir dans le lexique →, ou Trezor + BitBox×Ledger, Trezor, Coldcard, BitBoxPrincipales marques de hardware wallets. Ledger Nano S Plus / X (français, le plus vendu), Trezor Model T (tchèque, open source), Coldcard Mk4 (canadien, ultra-secure, Bitcoin-only), BitBox02 (suisse, open source).Voir dans le lexique → + Coldcard) est délibéré : il protège contre un bug spécifique à un fabricant qui rendrait l'ensemble des appareils inutilisables. Si un jour Ledger publie une mise à jour défectueuse, vos autres clés restent opérationnelles.

Le déroulé d'une configuration 2-of-3 personnel :

1. Initialiser chaque hardware indépendamment. Trois seeds générées sur trois devices, trois plaques métal gravées immédiatement, trois lieux de stockage distincts (domicile, coffre bancaire, famille de confiance ou résidence secondaire).
2. Exporter l'xpub×xpub (extended public key)Clé publique étendue. Permet à un wallet en mode lecture seule de connaître les adresses et les soldes sans pouvoir signer. Utilisée pour le tracking et l'observation.Voir dans le lexique → multisig de chaque device. Chaque hardware fournit une clé publique×Clé publique (public key)Nombre dérivé mathématiquement de la clé privée, qui sert à construire une adresse Bitcoin. Peut être partagé librement.Voir dans le lexique → étendue (xpub) au format BIP48 P2WSH ou BIP86 Taproot×TaprootMise à jour majeure de Bitcoin activée en novembre 2021 (BIP 341). Apporte plus de confidentialité, de flexibilité pour les scripts et l'efficacité des signatures Schnorr.Voir dans le lexique →. À récupérer sur Sparrow par USB ou par fichier exporté.
3. Créer le wallet multisig dans Sparrow. Type « Multi Signature », quorum 2-of-3, ajout des trois xpubs. Sparrow calcule alors le descripteur BIP380 complet qui définit le wallet.
4. Sauvegarder le descripteur. Sparrow génère un fichier .json ou un texte affichable. À sauvegarder en plus des trois seeds, dans plusieurs endroits, idéalement aussi sur une plaque métal ou imprimé puis stocké comme une seed (le descripteur n'est pas un secret au même titre, mais il est indispensable à la récupération).
5. Tester avec un petit montant. Envoyer 50 EUR au multisig depuis un exchange×Exchange (plateforme d'échange)Service qui permet d'acheter, vendre et échanger des cryptos contre des monnaies fiat. Exemples : Kraken, Coinbase, Bitstamp, Bitvavo. La plupart sont custodial.Voir dans le lexique →. Une fois confirmé, simuler une dépense complète : générer une PSBT×PSBT (Partially Signed Bitcoin Transaction)Format standard (BIP 174) qui permet de construire une transaction sur un appareil, la signer sur un autre, et la diffuser depuis un troisième. Base du workflow multisig moderne.Voir dans le lexique → sur Sparrow, signer sur device 1, transférer la PSBT à device 2, signer, diffuser. Si la transaction sort, le multisig est viable.

Une fois le multisig fonctionnel, ne plus jamais y toucher autrement qu'avec ce flux. Et documenter la procédure pour soi-même (dans une lettre d'instructions chez un notaire ou un proche, sans révéler les seeds) et pour ses héritiers potentiels.

Le descripteur BIP380 : la sauvegarde oubliée

L'erreur la plus fréquente sur les multisig×Multisig (multi-signature)Configuration où une transaction doit être signée par plusieurs clés indépendantes pour être valide (par exemple 2 clés parmi 3). Réduit le risque qu'un seul vol de clé fasse perdre les fonds.Voir dans le lexique → personnels est de croire que les trois seeds suffisent à reconstituer le wallet×Wallet (portefeuille)Logiciel ou appareil qui gère vos clés Bitcoin et permet de signer des transactions. Un wallet ne « contient » pas vraiment vos bitcoins, il contient les clés qui prouvent que vous en êtes propriétaire.Voir dans le lexique →. Elles ne suffisent pas. Pour retrouver les fonds, il faut aussi le descripteur : la chaîne de caractères qui définit le wallet (quorum, ordre des xpubs, type de script, chemin de dérivation). Sans descripteur, même avec les trois seeds en main, vous ne pouvez pas reconstruire l'adresse exacte qui détient vos bitcoins.

Le descripteur, défini par le standard BIP380, ressemble à ceci :

wsh(sortedmulti(2,[fingerprint1]xpub1.../0/*,[fingerprint2]xpub2.../0/*,[fingerprint3]xpub3.../0/*))

Trois caractéristiques clés :

• Il contient les xpubs des trois clés. Ce ne sont pas des secrets stricto sensu (les xpubs ne révèlent pas les clés privées), mais leur fuite permet à un observateur de suivre toutes vos transactions ; à protéger comme une donnée privée.
• Il définit le quorum et l'ordre. 2-of-3 avec xpub1 + xpub2 + xpub3 dans cet ordre précis génère des adresses différentes que xpub3 + xpub1 + xpub2. La fonction sortedmulti dans Sparrow trie alphabétiquement, ce qui élimine cette dépendance ; mais à confirmer pour chaque configuration.
• Il est indispensable. En l'absence du descripteur, vous devez deviner la configuration exacte. Avec 3 hardwares de marques différentes et plusieurs schémas de dérivation possibles (BIP48 P2WSH, BIP86 Taproot×TaprootMise à jour majeure de Bitcoin activée en novembre 2021 (BIP 341). Apporte plus de confidentialité, de flexibilité pour les scripts et l'efficacité des signatures Schnorr.Voir dans le lexique →, etc.), les combinaisons sont nombreuses. Plusieurs cas documentés de fonds bloqués pendant des semaines à cause d'un descripteur perdu.

Comment sauvegarder le descripteur :

• Exporter depuis Sparrow (fichier .json ou texte) et stocker plusieurs copies : sur clé USB chiffrée à votre domicile, sur disque externe chez un proche, idéalement aussi imprimé et placé avec les sauvegardes seed.
• Certains hardware (Coldcard×Ledger, Trezor, Coldcard, BitBoxPrincipales marques de hardware wallets. Ledger Nano S Plus / X (français, le plus vendu), Trezor Model T (tchèque, open source), Coldcard Mk4 (canadien, ultra-secure, Bitcoin-only), BitBox02 (suisse, open source).Voir dans le lexique →, Trezor×Ledger, Trezor, Coldcard, BitBoxPrincipales marques de hardware wallets. Ledger Nano S Plus / X (français, le plus vendu), Trezor Model T (tchèque, open source), Coldcard Mk4 (canadien, ultra-secure, Bitcoin-only), BitBox02 (suisse, open source).Voir dans le lexique → Safe 5) permettent de stocker le descripteur directement sur le device, ce qui aide pour la récupération.
• Documenter le descripteur dans la lettre d'instructions transmise au notaire ou à l'héritier, sans inclure les seeds.
• Tester la récupération à partir du descripteur seul + une des seeds, dans un wallet jetable, pour vérifier que vous savez le faire et que la configuration est juste.

Une métaphore : la seed est la clé, le descripteur est le plan du coffre. Sans le plan, on ne sait pas où l'insérer.