Crypto Personnelle: Hardware Wallets, Passphrase et Backup Resistant a la Coercition

Garder du Bitcoin sur un exchange en 2026 revient a laisser des lingots sur le comptoir d'une bijouterie porte ouverte. En mai, une plateforme de taille moyenne a perdu 38 millions de reais a cause d'un drainer signe depuis un domaine sosie, et trois mois plus tot un trader de Sao Paulo a ete retenu sept heures jusqu'au transfert de 14 BTC. L'auto-custody n'est pas une ideologie libertarienne, c'est de la gestion patrimoniale. Mais remplacer l'exchange par un Ledger Nano X colle a un MacBook deverrouille ne deplace pas le probleme, ca change juste le vecteur. La vraie question n'est pas 'quel wallet acheter', c'est 'quel modele de menace je defends et pour combien d'annees'. Ce texte couvre les deux bouts: la cle privee et l'humain qu'on peut forcer a la livrer.

Commencez par le modele de menace avant le hardware. Sous 10 000 dollars et un risque dominant phishing, un Coldcard Mk4 ou Trezor Safe 5 avec un PIN de huit chiffres suffit. Au-dela de 100 000 dollars, l'attaque physique ciblee entre en jeu et il faut passphrase BIP39, distribution geographique et plausible deniability. Mon tableau a cinq colonnes: adversaire (script kiddie, escroc telephonique, crime organise, conjoint, etat), capacite, motivation, cout d'attaque, mitigation. Ceux qui ont lu OPSEC pour Chercheurs en Securite: Modele de Menace Personnel reconnaitront le squelette; on l'adapte ici au vecteur financier, plus agressif parce que l'attaquant connait la valeur exacte de la cible via la blockchain publique.

Hardware wallet choisi, l'erreur classique suivante est de n'utiliser que le seed 12 ou 24 mots sorti d'usine. La passphrase BIP39, ce 25eme mot optionnel, est ce qui distingue une vraie custody d'un theatre de securite. Elle permet de deriver deux wallets ou plus du meme seed: un decoy avec 400 dollars en sats pour montrer sous contrainte, et le vrai derriere une passphrase forte. Utilisez une phrase de sept mots ou plus en diceware, jamais quelque chose de memorable du genre nom du chien plus date de naissance. La passphrase n'est pas stockee sur l'appareil; un voleur du Coldcard sans la passphrase tombe sur le decoy et repart. Combine aux techniques de Mots de Passe et MFA: Migrer vers les Passkeys sans Casser Votre Recuperation, le rayon d'explosion d'une compromission isolee s'effondre.

Sauvegarder le seed sur papier plastifie dans un coffre a 400 euros est une illusion confortable. Le papier brule a 233 degres et un incendie domestique depasse 800. La solution pratique est l'estampage acier inox: Cryptosteel Capsule, Blockstream Jade Plate ou, pour les bricoleurs, une plaque 304 et des poincons numerotes. Distribuez geographiquement: une copie chez vous, une chez vos parents dans une autre ville, une au coffre de banque a votre nom. Pour des montants serieux, envisagez Shamir Secret Sharing 3-sur-5 via SLIP39, supporte nativement sur le Trezor Safe 5: aucun site ne suffit a compromettre le fonds, et vous survivez a la perte de deux unites. Qui a deja implemente Crypto de Disque et Sauvegardes: VeraCrypt, LUKS et Strategie 3-2-1 Resiliente capte la logique 3-2-1 appliquee a l'entropie brute.

Le phishing crypto est passe du mail basique aux wallet drainers polis. L'attaque dominante en 2026 est l'annonce sponsorisee Google qui s'affiche au-dessus du vrai site MetaMask, redirige vers un clone pixel-perfect et demande de 'reconnecter le wallet via WalletConnect'. La signature reclamee est un setApprovalForAll qui accorde un pouvoir illimite sur vos tokens ERC-20. Defense en couches: jamais d'acces wallet via recherche, uniquement par favoris verifies; navigateur dedie sous profil Firejail (voir Sandbox d Applications sous Linux avec Bubblewrap, Firejail et Flatpak); audit mensuel des approvals avec Revoke.cash; signature de transactions complexes avec blind-signing desactive sur Ledger pour forcer l'affichage du calldata complet. Pour les gros montants, montez un Coldcard air-gapped via QR, jamais d'USB.

Le scenario que personne ne veut repeter est le sequestre express ou l'intrusion armee a domicile. Ici la passphrase decoy sauve des vies, mais le playbook doit etre repete. Gardez 1000 a 3000 dollars en sats dans un hot wallet sacrifiable sur le telephone, avec un volume credible pour qu'un criminel moyen accepte et reparte. Le vrai wallet a passphrase vit sur un appareil cache hors residence principale. Combinez avec cameras locales sans cloud, plan de contact dead man switch via personne de confiance et hygiene type Securite Personnelle Anti-Doxxing: Supprimer ses Donnees des Data Brokers Bresiliens pour reduire la probabilite d'etre une cible identifiable. Annonce publique pour vendre une voiture chere plus photo de manoir sur Instagram, c'est l'invitation qui precede 80 pour cent des cas remontes par la police de Sao Paulo en 2025.

L'heritage numerique est l'angle mort qui tue plus de crypto que tous les hackers. Si vous mourez demain sans instructions accessibles, vos 3 BTC deviennent un exemple dans une these sur les coins perdues. La solution n'est pas d'envoyer le seed par WhatsApp a votre conjointe; c'est un pli scelle d'instructions pas a pas chez un avocat de confiance, contenant la localisation physique des backups, le nom des appareils, un indice indirect de passphrase (jamais la passphrase elle-meme) et le contact d'un ami technique pouvant assister. Traitez-le comme un runbook testable: faites executer un dry run sur le wallet decoy par un proche de votre vivant. La crypto personnelle serieuse est un processus, pas un produit: hardware wallet a passphrase forte, backup metallique Shamir distribue, navigation isolee, decoy repetee et runbook d'heritage teste. Faites-le bien une fois, et dormez tranquille dix ans.