Passphrase BIP-39 (25e mot) : sécurité avancée du wallet
La passphrase BIP-39 — couramment appelée le "25e mot" — est l’une des fonctionnalités de sécurité les plus puissantes, mais aussi les plus mal comprises, disponibles dans les wallets de cryptomonnaies. Elle ajoute une chaîne choisie par l’utilisateur au processus de dérivation de la seed, ce qui fait que la même phrase mnémonique produit un ensemble totalement différent de clés et d’adresses. Utilisée correctement, elle fournit une défense en profondeur contre la compromission de la seed phrase. Utilisée avec négligence, elle peut entraîner une perte définitive des fonds.
Ce guide explique précisément comment fonctionne la passphrase, quand l’utiliser, quels risques elle introduit, et comment l’implémenter en toute sécurité.
Fonctionnement de la passphrase
Mécanisme technique
Comme décrit dans le standard BIP-39, le processus de dérivation de seed utilise PBKDF2-HMAC-SHA512 :
Seed = PBKDF2(
password = mnemonic_words,
salt = "mnemonic" + passphrase,
iterations = 2048,
key_length = 512 bits
)
Lorsqu’aucune passphrase n’est définie, le sel est simplement la chaîne "mnemonic". Lorsqu’une passphrase est fournie, elle est concaténée au sel : "mnemonic" + "YourPassphrase". Comme le sel est différent, la sortie PBKDF2 est totalement différente, produisant une master key complètement différente, et donc des chemins de dérivation, clés privées, clés publiques et adresses totalement différents.
Propriétés clés
Chaque passphrase est valide. Il n’existe aucun mécanisme de checksum ou de validation pour la passphrase. N’importe quelle chaîne — y compris une chaîne vide, un seul caractère, ou une phrase de 500 caractères — produit un wallet valide. Saisir une mauvaise passphrase ne génère pas de message d’erreur ; cela ouvre silencieusement un wallet différent (généralement vide).
Même mnémonique, wallets différents. Une mnémonique de 24 mots avec la passphrase "alpha" produit un wallet complètement différent de la même mnémonique avec la passphrase "bravo". Il n’existe aucune relation cryptographique entre les deux wallets qu’un attaquant pourrait détecter.
La casse et l’encodage comptent. "MyPassphrase" et "mypassphrase" produisent des wallets différents. Une passphrase avec des espaces en fin de chaîne est différente d’une sans ces espaces. La passphrase est normalisée en UTF-8 NFKD avant le hachage, mais au-delà de cela, une correspondance exacte des caractères est requise.
Pourquoi utiliser une passphrase
Protection contre le vol de seed phrase
Si un attaquant vole votre seed phrase de 24 mots (depuis une sauvegarde papier, une plaque métallique ou un appareil compromis), il peut accéder à tous les fonds du wallet — sauf si une passphrase a été définie. Sans la passphrase, il ne verra que le wallet "de base" (celui dérivé avec une passphrase vide). Vos fonds réels, stockés dans le wallet protégé par passphrase, restent inaccessibles.
Cela transforme votre sécurité d’un facteur unique (ce que vous possédez — la seed phrase) en deux facteurs (ce que vous possédez — la seed phrase, plus ce que vous savez — la passphrase).
Déni plausible
Puisque chaque passphrase produit un wallet valide, vous pouvez maintenir plusieurs wallets à partir de la même seed phrase :
- Sans passphrase — Un wallet leurre avec une petite quantité de fonds.
- Passphrase "alpha" — Votre wallet principal avec des avoirs importants.
- Passphrase "bravo" — Un wallet secondaire pour une protection supplémentaire.
Si vous êtes contraint de révéler votre seed phrase (l’attaque dite "$5 wrench attack"), vous pouvez fournir la seed phrase sans la passphrase. L’attaquant voit un vrai wallet avec quelques fonds, n’a aucun moyen de savoir si des wallets supplémentaires protégés par passphrase existent, et peut se contenter de ce qu’il trouve.
On appelle souvent cela une stratégie de "wallet sous contrainte" ou de "wallet caché".
Protection contre un matériel compromis
Si un hardware wallet présente une vulnérabilité dans la chaîne d’approvisionnement (par exemple, une porte dérobée dans le générateur aléatoire), l’attaquant peut connaître la seed phrase générée par l’appareil. Une passphrase choisie par l’utilisateur, qui n’a jamais été saisie ni générée par le hardware wallet, ajoute une entropie que l’attaquant ne possède pas.
Comment configurer une passphrase
Hardware wallets
La plupart des principaux hardware wallets prennent en charge la passphrase BIP-39 :
Ledger :
- Dans Ledger Live, allez dans Settings.
- Activez "Passphrase" dans les paramètres avancés.
- Il existe deux modes : "Attached to PIN" (stocke un hash sur l’appareil pour plus de confort) et "Temporary" (doit être saisie à chaque fois).
- Choisissez votre passphrase et confirmez-la.
Trezor :
- Dans Trezor Suite, activez la fonctionnalité passphrase.
- À chaque connexion, Trezor demandera la passphrase.
- Vous pouvez saisir n’importe quelle passphrase — aucune confirmation n’est stockée.
Coldcard :
- Accédez à Passphrase dans le menu.
- Saisissez votre passphrase sur l’appareil.
- Coldcard affiche la première adresse dérivée — vérifiez qu’elle correspond à vos attentes.
Software wallets
Les software wallets qui prennent en charge les passphrases BIP-39 présentent généralement l’option lors de la configuration initiale ou de l’import de seed. Recherchez "Advanced options", "Optional passphrase" ou "25th word" dans le flux de configuration.
Choisir une passphrase forte
La passphrase doit avoir une entropie suffisante pour résister aux attaques par force brute si la seed phrase est compromise :
| Type de passphrase | Entropie approximative | Temps de force brute (ASIC) |
|---|---|---|
| Mot anglais courant | ~10 bits | Secondes |
| Phrase aléatoire de 4 mots | ~50 bits | Années |
| Phrase aléatoire de 6 mots | ~75 bits | Millions d’années |
| 20+ caractères aléatoires | ~120+ bits | Mort thermique de l’univers |
Recommandations :
- Utilisez au moins 4 à 6 mots choisis aléatoirement ou 16+ caractères aléatoires.
- N’utilisez pas d’informations personnelles (noms, dates d’anniversaire, expressions courantes).
- N’utilisez pas un seul mot du dictionnaire.
- Envisagez d’utiliser un générateur de passphrase (comme
diceware) plutôt que d’en inventer une vous-même.
Stratégies de sauvegarde de passphrase
La passphrase fait désormais partie de votre secret de récupération. Si vous perdez soit la seed phrase, soit la passphrase, vous perdez l’accès à vos fonds. Cela crée un défi de sauvegarde : vous devez stocker les deux, mais les stocker ensemble annule l’objectif.
Stratégie 1 : emplacements de stockage séparés
- Stockez la seed phrase à l’emplacement A (par exemple, un coffre ignifuge à domicile).
- Stockez la passphrase à l’emplacement B (par exemple, un coffre bancaire).
- Un attaquant doit compromettre les deux emplacements.
Stratégie 2 : mémorisation + sauvegarde physique
- Mémorisez la passphrase.
- Conservez une sauvegarde chiffrée de la passphrase dans un emplacement distinct de la seed phrase.
- Si vous devenez incapable, la sauvegarde chiffrée garantit que vos héritiers peuvent récupérer les fonds.
Stratégie 3 : Shamir's Secret Sharing pour la passphrase
- Divisez la passphrase en parts avec Shamir's Secret Sharing.
- Distribuez les parts à plusieurs parties de confiance.
- Nécessite M parts sur N pour la reconstituer.
Ce qu’il NE faut PAS faire
- Ne stockez pas la passphrase avec la seed phrase. Cela élimine totalement l’avantage de sécurité.
- Ne vous reposez pas uniquement sur la mémorisation. La mémoire est faillible, surtout sur des années ou des décennies.
- N’utilisez pas une passphrase que vous ne pouvez pas reproduire de manière fiable. Souvenez-vous que la casse, les espaces et les caractères exacts comptent tous.
- Ne stockez pas la passphrase dans un gestionnaire de mots de passe qui contient aussi la seed phrase.
Risques et pièges
Risque 1 : perte définitive des fonds en cas d’oubli de passphrase
C’est le plus grand risque lié à l’utilisation d’une passphrase. Contrairement à une seed phrase avec checksum, il n’existe aucun mécanisme pour vérifier si une passphrase est "correcte". Si vous l’oubliez, la mémorisez mal d’un seul caractère, ou introduisez un caractère caché (espace final, mauvaise normalisation Unicode), vous ouvrirez un wallet différent et vide, et vos fonds seront définitivement inaccessibles.
Atténuation : testez minutieusement votre passphrase avant d’envoyer des fonds. Configurez le wallet, vérifiez la première adresse de réception, envoyez un petit montant, restaurez depuis seed phrase + passphrase sur un autre appareil, et confirmez que vous pouvez accéder aux fonds.
Risque 2 : keylogging lors de la saisie de la passphrase
La passphrase doit être saisie dans le wallet à un moment donné. Sur un software wallet, cela signifie la taper sur un ordinateur — où des keyloggers ou enregistreurs d’écran peuvent la capturer. Sur un hardware wallet avec saisie sur l’appareil (Coldcard, Trezor), la passphrase est saisie sur l’écran de l’appareil, ce qui est nettement plus sûr.
Atténuation : saisissez la passphrase uniquement sur un hardware wallet avec saisie sur l’appareil, ou sur un ordinateur air-gapped.
Risque 3 : complications d’héritage
L’utilisation d’une passphrase ajoute de la complexité à la planification successorale. Vos héritiers ont besoin de :
- La seed phrase.
- La passphrase.
- De savoir qu’une passphrase existe et est requise.
- D’instructions sur la manière de l’utiliser.
Si l’un de ces éléments manque, la transmission échoue. Consultez notre guide Seed Phrase pour des stratégies de succession qui tiennent compte des passphrases.
Risque 4 : faux sentiment de sécurité
Une passphrase faible (un seul mot courant, une date d’anniversaire, le nom d’un animal) peut être brute-forcée si l’attaquant possède la seed phrase. Un attaquant disposant de la seed phrase et d’un cluster GPU peut tester des milliards de candidats de passphrase avec la fonction PBKDF2 connue. Utilisez une passphrase forte, générée aléatoirement.
Risque 5 : fautes de frappe pendant la configuration
Si vous configurez un wallet avec une passphrase contenant une faute de frappe non remarquée, le wallet fonctionnera normalement — vous recevrez des fonds et effectuerez des transactions avec succès. Mais la prochaine fois que vous restaurerez depuis la seed phrase et saisirez la passphrase sans la faute (ou avec une autre faute), vous obtiendrez un wallet différent. Vos fonds seront alors bloqués derrière cette faute de frappe.
Atténuation : après la configuration, restaurez immédiatement le wallet sur un autre appareil avec seed phrase + passphrase pour vérifier que les mêmes adresses exactes apparaissent.
Idée fausse du "25e mot"
Le terme "25e mot" est une simplification qui peut être trompeuse :
- La passphrase n’est pas limitée aux mots de la liste BIP-39. Elle peut être n’importe quelle chaîne UTF-8.
- La passphrase n’est pas encodée comme un mot mnémonique supplémentaire — elle est utilisée comme partie du sel PBKDF2.
- La passphrase n’a pas de checksum, contrairement au 24e mot mnémonique qui inclut des bits de checksum.
- Une mnémonique de 12 mots peut aussi avoir une passphrase — ce serait alors le "13e mot" selon cette logique, mais le terme "25e mot" est utilisé de façon générique.
Le terme techniquement correct est "passphrase BIP-39" ou "passphrase mnémonique".
Utilisez le SafeSeed Key Derivation Tool pour voir comment différentes passphrases génèrent des adresses complètement différentes à partir de la même seed phrase. Entrez une mnémonique de test avec et sans passphrase pour observer l’effet. Tous les calculs s’exécutent dans votre navigateur — aucune donnée n’est transmise.
Passphrase vs PIN du wallet vs mot de passe
Ces trois concepts sont souvent confondus :
| Fonctionnalité | Passphrase BIP-39 | PIN du wallet | Mot de passe du wallet |
|---|---|---|---|
| Ce que cela protège | Dérivation de seed | Accès à l’appareil | Accès à l’application |
| Où c’est stocké | Nulle part (vous la mémorisez) | Sur l’appareil | Sur l’appareil/serveur |
| Peut être modifié | Non (crée un nouveau wallet) | Oui | Oui |
| En cas d’oubli | Fonds inaccessibles | Réinitialisation appareil, restauration depuis seed | Réinitialisation du mot de passe |
| Cible force brute | PBKDF2 avec seed | Verrouillage appareil | Dépend de l’implémentation |
| Portée | Tous les wallets depuis la seed | Un seul appareil | Une seule application |
La passphrase est fondamentalement différente car elle modifie les clés dérivées. Un PIN ou un mot de passe ne fait que contrôler l’accès à des clés déjà présentes sur un appareil.
Cas d’usage avancés
Multiples wallets cachés
Les utilisateurs avancés peuvent maintenir plusieurs wallets à partir d’une seule seed phrase :
- Passphrase vide : petit montant (leurre)
- Passphrase A : épargne principale
- Passphrase B : allocation de trading
- Passphrase C : réserve d’urgence
Chaque wallet est totalement indépendant. Il n’existe aucun lien on-chain entre eux. Le risque augmente avec le nombre de passphrases à mémoriser et à sauvegarder.
Combinaison avec la multi-signature
Pour un stockage institutionnel ou de très grande valeur, combinez une passphrase BIP-39 avec la multi-signature :
- La clé de chaque signataire est dérivée d’une seed phrase + passphrase unique.
- Un attaquant doit obtenir plusieurs seed phrases ET leurs passphrases correspondantes.
- Cela fournit plusieurs couches de sécurité indépendantes.
FAQ
Qu’est-ce que la passphrase BIP-39 ou le "25e mot" ?
La passphrase BIP-39 est une chaîne optionnelle choisie par l’utilisateur, ajoutée au processus de dérivation de seed (sel PBKDF2). Lorsqu’elle est utilisée, la même seed phrase mnémonique génère un ensemble totalement différent de clés et d’adresses. Elle est souvent appelée "25e mot", bien qu’elle puisse être n’importe quelle chaîne de texte, pas seulement un mot BIP-39.
Puis-je changer ma passphrase ?
Pas comme un mot de passe classique. Puisque la passphrase détermine quelles clés sont dérivées, changer de passphrase signifie ouvrir un wallet différent avec des adresses différentes. Pour "changer" votre passphrase, vous devez créer un nouveau wallet avec la nouvelle passphrase et transférer tous les fonds de l’ancien wallet vers le nouveau.
Que se passe-t-il si j’oublie ma passphrase ?
Vos fonds deviennent définitivement inaccessibles. Il n’existe aucun mécanisme de récupération, aucune option de réinitialisation, et aucun moyen réaliste de brute-forcer une passphrase forte. C’est pourquoi une sauvegarde correcte de la passphrase est essentielle.
La passphrase est-elle stockée sur mon hardware wallet ?
Certains hardware wallets offrent une option pour associer une passphrase à un PIN secondaire (par exemple, le mode "Attached to PIN" de Ledger). Dans ce cas, un indice ou un hash est stocké sur l’appareil pour plus de commodité. Cependant, la méthode canonique est le mode "temporary", où la passphrase doit être saisie à chaque fois et rien n’est stocké sur l’appareil.
Tous les wallets prennent-ils en charge la passphrase BIP-39 ?
La plupart des wallets compatibles BIP-39 prennent en charge la fonctionnalité passphrase, mais certains ne l’exposent pas dans leur interface utilisateur. Vérifiez la documentation de votre wallet. Les principaux hardware wallets (Ledger, Trezor, Coldcard) la prennent tous en charge.
Un attaquant peut-il savoir si j’utilise une passphrase ?
Non. Puisque la valeur par défaut (passphrase vide) produit aussi un wallet valide, il n’existe aucun moyen de déterminer à partir de la seed phrase seule si des wallets supplémentaires protégés par passphrase existent. Même si un attaquant obtient votre seed phrase et trouve des fonds dans le wallet de base, il ne peut pas savoir si des wallets protégés par passphrase existent.
La passphrase est-elle sensible à la casse ?
Oui. "MyPassphrase", "mypassphrase" et "MYPASSPHRASE" produisent tous des wallets différents. Les espaces comptent aussi — "my pass" et "mypass" sont différents. Soyez extrêmement précis dans l’enregistrement de votre passphrase.
Puis-je utiliser la passphrase avec une seed phrase de 12 mots ?
Oui. La fonctionnalité passphrase fonctionne avec toute longueur de mnémonique BIP-39 (12, 15, 18, 21 ou 24 mots). Le processus PBKDF2 est le même quelle que soit la longueur de la mnémonique.