Au cours de la dernière décennie, les portefeuilles matériels ont constitué un consensus majeur en matière de sécurité des actifs cryptographiques. Cependant, avec l’augmentation de la fréquence des transactions en chaîne et la complexité croissante des méthodes d’attaque, les limites de cette solution commencent à apparaître. La sécurité ne se résume plus à savoir si la clé privée est conservée hors ligne ; elle inclut désormais la signature des transactions, les interactions avec le réseau, la confiance dans la chaîne d’approvisionnement et les risques à long terme liés à l’informatique quantique. La prochaine génération de sécurité cryptographique évolue de la "dépendance à un appareil plus sécurisé" vers la "dépendance à une architecture système plus fiable".
1. Portefeuilles matériels : une solution de sécurité longtemps la plus fiable
Dans le domaine de l’auto-garde des actifs cryptographiques, les portefeuilles matériels ont longtemps été considérés comme l’option la plus sûre. La philosophie du stockage à froid, représentée par des marques comme Ledger et Trezor, est presque devenue un consensus pour de nombreux utilisateurs de la cryptographie : les clés privées sont sauvegardées sur un appareil hors ligne, les transactions nécessitent une confirmation physique, et il est difficile pour les pirates d’accéder directement aux actifs de l’utilisateur depuis le réseau.
Pendant longtemps, cette logique a été valable. Un appareil non connecté à Internet peut effectivement bloquer la plupart des attaques à distance. Pour les premiers utilisateurs de la cryptographie, les portefeuilles matériels offraient un sentiment de sécurité simple, clair et tangible.
Mais alors que la taille des actifs cryptographiques augmente, que les transactions en chaîne deviennent plus fréquentes et que les méthodes d’attaque se complexifient, une question devient de plus en plus importante : les portefeuilles matériels sont-ils toujours suffisamment sûrs ? Ne sont-ils qu’une solution dominante à l’étape actuelle, et non la forme ultime de la sécurité cryptographique ?
C’est dans ce contexte qu’un nombre croissant de chercheurs en sécurité s’intéressent à une nouvelle orientation : les portefeuilles cryptographiques isolés, qui protègent les clés privées et les signatures de transactions grâce à une isolation systémique plus claire.
2. Reconsidérer les portefeuilles matériels : le coût de la confiance derrière la sécurité
Les portefeuilles matériels semblent sûrs, mais leur sécurité repose en réalité sur de nombreuses prémisses.
Premièrement, l’utilisateur doit faire confiance au fabricant de l’appareil. Par exemple, le micrologiciel de l’appareil est-il suffisamment sécurisé ? La chaîne d’approvisionnement a-t-elle été compromise ? La puce de sécurité a-t-elle fait l’objet d’audits fiables ? Pour l’utilisateur moyen, il est presque impossible de vérifier ces points de manière indépendante.
Deuxièmement, les mises à jour du micrologiciel peuvent également présenter des risques. Les portefeuilles matériels nécessitent des mises à jour constantes pour corriger des vulnérabilités et prendre en charge de nouvelles fonctionnalités, mais il est difficile pour l’utilisateur de juger si une mise à jour est entièrement fiable. Souvent, l’utilisateur n’a d’autre choix que de faire confiance au fabricant.
De plus, l’appareil physique lui-même comporte des risques. L’appareil peut être perdu, volé, confisqué, voire faire l’objet d’attaques physiques ciblées. Même si l’appareil lui-même n’est pas compromis, la phrase de récupération (seed phrase) que l’utilisateur utilise pour restaurer le portefeuille peut devenir un nouveau point de vulnérabilité.
Ainsi, le problème des portefeuilles matériels ne réside pas dans le fait qu’ils sont "peu sûrs", mais dans le fait que leur sécurité dépend toujours de l’appareil, du fabricant et de la chaîne d’approvisionnement. Pour une industrie qui met l’accent sur la décentralisation et la réduction de la confiance, cette dépendance est remise en question.
3. La difficulté pratique des portefeuilles matériels : les transactions doivent toujours entrer en contact avec un appareil connecté
La promesse de sécurité fondamentale des portefeuilles matériels est que la clé privée ne quitte jamais l’appareil. Mais en pratique, la transaction doit finalement être diffusée sur le réseau blockchain.
Cela signifie que, lors de la signature d’une transaction, le portefeuille matériel doit généralement interagir avec un téléphone, un ordinateur ou un autre appareil connecté. Que ce soit via USB, Bluetooth ou un code QR, ce processus d’interaction crée un point de risque potentiel.
De nombreuses attaques ne nécessitent pas de voler directement la clé privée. Un attaquant peut falsifier les informations de la transaction, faisant croire à l’utilisateur qu’il signe une opération légitime alors qu’il autorise en réalité une action malveillante ; il peut également utiliser des contrats malveillants, des faux sites web, le détournement du presse-papiers, etc., pour amener l’utilisateur à effectuer une opération dangereuse à son insu.
C’est également une limite pratique des portefeuilles matériels : l’appareil lui-même peut être hors ligne, mais le processus de transaction de l’utilisateur est difficile à maintenir complètement hors ligne.
Si l’utilisateur souhaite améliorer encore la sécurité, il peut utiliser un dispositif à air gap plus strict, c’est-à-dire un appareil totalement déconnecté du réseau qui ne transmet des données que via des codes QR. Mais cette méthode est plus complexe à utiliser, et l’utilisateur moyen aura du mal à la maintenir sur le long terme. Finalement, la plupart des gens devront faire un compromis entre sécurité et commodité.
C’est pourquoi le secteur commence à envisager une autre possibilité : plutôt que de dépendre de l’utilisateur pour manipuler correctement l’appareil à chaque fois, il vaut mieux, dès la conception du système, séparer plus clairement la clé privée, la signature et l’étape de connexion au réseau.
4. Portefeuilles cryptographiques isolés : isoler le risque dans la conception du système
Le principe central des portefeuilles cryptographiques isolés n’est pas compliqué : faire en sorte que la gestion des clés privées, la signature des transactions et la diffusion sur le réseau se trouvent dans des environnements distincts.
En termes simples, l’environnement de la clé privée et de la signature reste autant que possible hors ligne, sans contact direct avec Internet ; la partie connectée est uniquement responsable de l’envoi de la transaction déjà signée sur la blockchain et ne peut pas accéder à la clé privée.
L’avantage de cette conception est que, même si la partie connectée est compromise, l’attaquant ne pourra accéder qu’aux données de transaction signées, et non à la clé privée elle-même. Pour l’utilisateur, cela équivaut à placer la clé de ses actifs les plus précieux dans un environnement plus fermé et plus difficile d’accès.
La différence avec les portefeuilles matériels traditionnels réside dans le fait que ces derniers dépendent davantage d’un appareil spécifique pour réaliser l’isolation, tandis que les portefeuilles cryptographiques isolés mettent l’accent sur la conception structurelle de l’ensemble du système. La sécurité ne dépend pas entièrement d’un matériel donné, mais de la séparation effective entre la clé, la signature et le réseau.
C’est également la signification de "l’architecture comme sécurité" : la sécurité ne consiste pas seulement à acheter un appareil sûr, mais à isoler les chemins dangereux dès le départ.
5. Sécurité post-quantique : un risque futur qui entre dès maintenant dans les discussions
Outre les risques d’attaque actuels, un autre problème pris de plus en plus au sérieux par l’industrie est l’informatique quantique.
De nombreux systèmes cryptographiques actuels reposent sur des algorithmes cryptographiques tels que le chiffrement à courbe elliptique et RSA, qui sont toujours considérés comme sûrs dans un environnement informatique traditionnel. Mais si les ordinateurs quantiques atteignent un niveau de puissance suffisant à l’avenir, ces algorithmes pourraient être compromis.
Cela peut sembler être un problème lointain, mais la communauté cryptographique mondiale commence déjà à s’y préparer. Le National Institute of Standards and Technology (NIST) des États-Unis a publié ses premières normes de chiffrement post-quantique en 2024, ce qui montre que la sécurité post-quantique est passée du stade de la discussion théorique à celui de la préparation pratique.
Pour les actifs cryptographiques, cette question est particulièrement importante, car une exposition des actifs blockchain à un risque peut avoir des conséquences à long terme. Il est également important de noter qu’il existe une approche d’attaque appelée "collecter maintenant, décrypter plus tard". Cela signifie qu’un attaquant peut collecter des données aujourd’hui, puis tenter de les décrypter une fois que les capacités de calcul quantique seront suffisamment matures.
Ainsi, la sécurité post-quantique n’est pas un problème à considérer uniquement lorsque les ordinateurs quantiques seront réellement matures. Pour les utilisateurs et les projets qui détiennent des actifs à long terme, une planification précoce fait elle-même partie de la stratégie de sécurité.
6. Modèle de sécurité sans matériel : réduire la dépendance à un appareil unique
Derrière l’architecture d’isolation se cache en réalité une nouvelle approche de la sécurité.
L’approche traditionnelle des portefeuilles matériels consiste à réduire les risques via un appareil physique. Elle place la clé privée dans l’appareil, rendant plus difficile l’accès à distance par un attaquant. Cette méthode est efficace et a été validée par le marché.
Mais le modèle de sécurité sans matériel tente d’aller plus loin en réduisant la dépendance à un appareil spécifique. Il pose la question suivante : est-il possible, grâce à la conception du système, de rendre certains chemins d’attaque intrinsèquement difficiles à réaliser ?
Cette approche entraîne plusieurs changements.
Premièrement, l’utilisateur n’a plus besoin de dépendre entièrement d’un fabricant de matériel particulier. Deuxièmement, la sécurité n’est plus entièrement liée à une puce ou un appareil spécifique. Troisièmement, si le système lui-même peut être open source et soumis à des audits communautaires, l’évaluation de la sécurité peut être plus transparente.
Cela ne signifie pas que les portefeuilles matériels n’ont aucune valeur. Les dispositifs matériels resteront probablement des outils importants dans un système de sécurité. Mais dans les infrastructures de sécurité cryptographique de nouvelle génération, ils pourraient ne plus être le cœur unique, mais plutôt une partie de l’architecture de sécurité globale.
7. Lock.com : un pionnier dans cette direction
Dans ce domaine, Lock.com est l’un des projets qui explore actuellement de manière précoce et explicite l’architecture de signature isolée et la sécurité post-quantique.
Lock.com est encore en phase d’accès anticipé et n’a pas encore été lancé publiquement. Il tente d’intégrer dans une même architecture sans matériel la gestion des clés privées, la signature hors ligne et l’approche cryptographique post-quantique, dans le but de réduire la dépendance des portefeuilles matériels traditionnels à l’égard du matériel physique et de la confiance dans le fabricant.
Le projet étant encore à un stade précoce, de nombreux détails techniques et fonctionnalités nécessitent d’être affinés. Mais sur le plan de l’orientation, il représente une nouvelle tendance qui émerge dans le secteur : la sécurité des portefeuilles à l’avenir pourrait ne plus dépendre uniquement de la sécurité de l’appareil, mais aussi de la clarté de l’architecture système et de la rigueur de l’isolation.
8. Les infrastructures cryptographiques passent d’outils ponctuels à des systèmes complets
L’émergence des portefeuilles sans matériel n’est pas un phénomène isolé. Elle reflète une tendance plus large de mise à niveau globale des infrastructures cryptographiques.
Par le passé, les fonctions de portefeuille, de communication, de stockage et d’exécution des transactions étaient souvent dispersées dans différents produits. L’utilisateur devait combiner lui-même divers outils et assumer de nombreux risques opérationnels. À l’avenir, ces fonctionnalités pourraient être intégrées dans des infrastructures plus complètes.
Parallèlement, le jugement des utilisateurs en matière de sécurité évolue. Auparavant, beaucoup se fiaient à la réputation de la marque et de l’appareil. Aujourd’hui, de plus en plus d’utilisateurs et de développeurs s’intéressent à la question de savoir si le code est open source, si le système est auditable et si l’architecture est transparente.
En d’autres termes, le sentiment de sécurité évolue de "je fais confiance à cette marque" vers "je peux comprendre et vérifier ce système".
Dans cette tendance, la direction représentée par Lock.com est une vision de l’infrastructure de sécurité de nouvelle génération : une sécurité qui n’est pas attachée à un appareil ou à un fabricant unique, mais intégrée à l’architecture même du système.
9. L’industrie change de question
Un changement important est en cours dans le domaine de la sécurité cryptographique.
Par le passé, la question que les utilisateurs se posaient le plus souvent était : Quel portefeuille matériel dois-je acheter ?
Aujourd’hui, de plus en plus de personnes commencent à demander : À quelle architecture de sécurité puis-je faire confiance ?
Ce changement de question montre que la compréhension de la sécurité par l’industrie s’approfondit. Les portefeuilles matériels ont effectivement protégé un grand nombre d’actifs d’utilisateurs au cours de la dernière décennie, et leur valeur historique ne doit pas être niée. Mais avec l’évolution des méthodes d’attaque, l’apparition du risque quantique dans les discussions et l’émergence de nouvelles architectures d’isolation, il n’est plus certain que le matériel soit la réponse ultime.
L’infrastructure de sécurité cryptographique de nouvelle génération pourrait réduire la dépendance à un appareil physique unique et s’appuyer davantage sur la conception des systèmes, l’isolation des clés et des solutions cryptographiques plus prospectives.
Cette transformation a déjà commencé.
