Portefeuilles multi-signatures expliqués : sécurité renforcée
Les portefeuilles multi-signatures (multisig) nécessitent plus d’une clé privée pour autoriser une transaction en cryptomonnaie. Au lieu d’une seule clé contrôlant vos fonds, le multisig répartit le contrôle entre plusieurs clés, ce qui réduit fortement les points de défaillance uniques. Si vous perdez une clé, vos fonds ne sont pas perdus. Si une clé est volée, vos fonds ne sont pas compromis. Cela fait du multisig l’un des outils de sécurité les plus puissants à disposition des détenteurs de cryptomonnaies, et un élément essentiel pour toute personne gérant des actifs numériques importants.
Ce guide explique le fonctionnement technique du multisig, présente des configurations pratiques et détaille l’implémentation pour la sécurité personnelle comme pour la gestion de trésorerie d’organisation.
Comment fonctionne le multi-signature
Les bases
Un portefeuille de cryptomonnaie standard utilise une seule clé privée pour signer les transactions. Si vous avez la clé, vous pouvez dépenser. Si vous perdez la clé, les fonds sont perdus. Si quelqu’un vole la clé, il contrôle votre argent.
Un portefeuille multi-signature change ce modèle. Il définit un ensemble de clés autorisées et un seuil, c’est-à-dire le nombre minimal de ces clés nécessaires pour signer une transaction valide.
Cela s’exprime en M-sur-N, où :
- N = nombre total de clés autorisées
- M = nombre minimal de signatures requises (M ≤ N)
Configurations courantes :
| Configuration | Clés requises | Nombre total de clés | Cas d’usage |
|---|---|---|---|
| 2-sur-3 | 2 | 3 | Sécurité personnelle (le plus populaire) |
| 3-sur-5 | 3 | 5 | Trésorerie d’entreprise |
| 2-sur-2 | 2 | 2 | Approbation à deux parties |
| 3-sur-3 | 3 | 3 | Haute sécurité sans redondance |
| 4-sur-7 | 4 | 7 | Grande organisation ou DAO |
Fonctionnement d’une transaction multisig
- Proposition : un détenteur de clé crée une transaction (destinataire, montant, frais) et la signe avec sa clé
- Co-signature : la transaction partiellement signée est partagée avec les autres détenteurs de clés
- Signatures supplémentaires : les autres détenteurs examinent la transaction et ajoutent leurs signatures jusqu’à atteindre le seuil (M)
- Diffusion : une fois M signatures collectées, la transaction est pleinement valide et peut être diffusée au réseau
- Confirmation : le réseau vérifie que le nombre requis de signatures valides est présent et traite la transaction
Bitcoin multisig (natif)
Bitcoin prend en charge le multisig nativement depuis 2012 via des types de scripts spéciaux :
- P2SH (Pay to Script Hash) : format multisig d’origine, les adresses commencent par "3"
- P2WSH (Pay to Witness Script Hash) : multisig SegWit, les adresses commencent par "bc1q" (plus longues)
- P2TR (Taproot) : format plus récent utilisant les signatures Schnorr, peut faire apparaître le multisig comme un single-sig on-chain pour la confidentialité
Les transactions Bitcoin multisig incluent toutes les signatures requises directement dans les données de transaction. La blockchain valide que le nombre correct de signatures provenant des clés publiques désignées est présent.
Ethereum multisig (smart contract)
Ethereum ne prend pas en charge le multisig nativement au niveau du protocole. À la place, la fonctionnalité multisig est implémentée via des smart contracts. Le plus utilisé est Safe (anciennement Gnosis Safe), qui :
- Gère un contrat multisig on-chain
- Stocke la liste des signataires autorisés et le seuil requis
- Traite les transactions uniquement lorsqu’un nombre suffisant de signataires approuve
- Prend en charge tout token ERC-20 et les interactions de contrat arbitraires
Les autres chaînes compatibles EVM (Polygon, Arbitrum, Base, etc.) prennent également en charge les contrats Safe.
Multisig pour la sécurité personnelle
Configuration personnelle 2-sur-3
La configuration multisig personnelle la plus populaire est 2-sur-3, qui offre un excellent équilibre entre sécurité et redondance.
Configuration :
- Clé 1 : hardware wallet A (stocké à la maison)
- Clé 2 : hardware wallet B (stocké dans un second lieu, p. ex. bureau ou domicile d’un proche)
- Clé 3 : hardware wallet C ou sauvegarde papier/métal (stocké dans un troisième lieu, p. ex. coffre-fort bancaire)
Pourquoi cela fonctionne :
- Pour dépenser, il faut n’importe quelles 2 des 3 clés
- Perdre ou détruire 1 clé ne vous bloque pas (les 2 autres fonctionnent toujours)
- Un voleur qui dérobe 1 clé ne peut pas dépenser (il en faut 2)
- Un incendie détruisant un lieu ne détruit pas assez de clés pour vous bloquer
- Vous pouvez récupérer en utilisant les 2 clés restantes et en remplaçant celle perdue
Scénarios pratiques de récupération :
| Scénario | Clés disponibles | Peut dépenser ? | Action requise |
|---|---|---|---|
| Fonctionnement normal | Clé 1 + Clé 2 | Oui | Aucune |
| Cambriolage du domicile (Clé 1 volée) | Clé 2 + Clé 3 | Oui | Déplacer les fonds vers un nouveau multisig, remplacer la Clé 1 |
| Incendie de la maison (Clé 1 détruite) | Clé 2 + Clé 3 | Oui | Déplacer les fonds vers un nouveau multisig, remplacer la Clé 1 |
| Oubli de l’emplacement de la Clé 3 | Clé 1 + Clé 2 | Oui | Créer une nouvelle Clé 3, faire une rotation du multisig |
| Deux emplacements compromis | 1 clé seulement | Non | C’est la protection prévue |
Utiliser différentes marques de hardware wallets
Pour une résilience maximale, envisagez d’utiliser différentes marques de hardware wallets pour vos clés multisig :
- Clé 1 : Ledger Nano S Plus
- Clé 2 : Trezor Safe 3
- Clé 3 : Coldcard Mk4 (ou sauvegarde papier)
Cela protège contre une vulnérabilité firmware spécifique à une marque. Si un bug critique est découvert dans le firmware de Ledger, vos clés Trezor et Coldcard ne sont pas affectées, et vos fonds restent sécurisés pendant que vous faites la rotation de la clé compromise.
Logiciels multisig personnels
Pour Bitcoin :
| Logiciel | Fonctionnalités | Difficulté |
|---|---|---|
| Sparrow Wallet | Prise en charge multisig complète, PSBT, compatible air-gap | Intermédiaire |
| Electrum | Historique long, prise en charge hardware wallets | Intermédiaire |
| Caravan (Unchained) | Basé web, configuration guidée, pédagogique | Adapté aux débutants |
| Nunchuk | Mobile-first, multisig collaboratif | Adapté aux débutants |
Pour Ethereum/EVM :
| Logiciel | Fonctionnalités | Difficulté |
|---|---|---|
| Safe (Gnosis Safe) | Standard de l’industrie, éprouvé, basé navigateur | Intermédiaire |
| Rabby | Intégration Safe intégrée | Intermédiaire |
| Frame | Portefeuille desktop avec prise en charge Safe | Intermédiaire |
Multisig pour les entreprises et organisations
Gestion de trésorerie
Les organisations qui gèrent des trésoreries en cryptomonnaie devraient utiliser le multisig pour éviter :
- Le déplacement unilatéral des fonds par un seul employé
- Le vol via un individu compromis
- La perte due à l’incapacité d’une seule personne
- La fraude interne
Configurations d’entreprise typiques :
| Taille de l’organisation | Configuration | Détenteurs de clés |
|---|---|---|
| Petite équipe (2-3 personnes) | 2-sur-3 | Tous les fondateurs/associés |
| Équipe moyenne (4-10) | 3-sur-5 | Membres du conseil, dirigeants clés |
| Grande organisation | 4-sur-7 ou 5-sur-9 | Direction distribuée |
| DAO | Seuil variable | Détenteurs de tokens ou délégués |
Safe (Gnosis Safe) pour les entreprises
Safe est la solution multisig dominante pour les trésoreries d’entreprise basées sur Ethereum, sécurisant plus de 100 milliards de dollars d’actifs sur plus de 40 chaînes en 2026.
Fonctionnalités clés :
- File d’attente des transactions avec workflow d’approbation
- Permissions basées sur les rôles (proposeur, signataire, observateur)
- Limites de dépense qui contournent le multisig pour les petits montants
- Système de modules pour logique personnalisée (paiements récurrents, time-locks)
- Prise en charge du déploiement multi-chaînes
- Prise en charge de la signature via hardware wallet
- Simulation complète de transaction avant exécution
- Transactions par lot pour économiser du gas
Configurer un Safe :
- Visitez app.safe.global
- Connectez votre portefeuille
- Choisissez le réseau
- Ajoutez les adresses des propriétaires (adresse de chaque signataire)
- Définissez le seuil de confirmation (M)
- Vérifiez et déployez le contrat Safe
- Approvisionnez le Safe pour les frais de gas de la transaction de déploiement
Bonnes pratiques opérationnelles pour les organisations
- Distribution des clés : assurez-vous qu’aucune personne n’a accès à deux clés et qu’elles ne sont pas stockées au même endroit physique
- Procédures d’urgence : documentez ce qui se passe si un détenteur de clé est indisponible (vacances, maladie, départ)
- Protocole de rotation : prévoyez un plan pour remplacer les détenteurs de clés quand des membres quittent l’équipe
- Tests : testez régulièrement le processus d’approbation des transactions avec de petits montants
- Sauvegarde : chaque détenteur de clé doit sauvegarder sa clé de manière sécurisée
- Communication : établissez un canal sécurisé pour coordonner les approbations de transaction
- Piste d’audit : utilisez l’historique intégré des transactions pour la conformité et la comptabilité
Multisig vs autres approches de sécurité
Multisig vs single-sig avec passphrase
| Fonctionnalité | Multisig (2-sur-3) | Single-Sig + Passphrase |
|---|---|---|
| Clés requises pour dépenser | 2 | 1 (seed + passphrase) |
| Protection si 1 clé est volée | Oui | Non (si les deux sont volées) |
| Récupération si 1 clé est perdue | Oui | Dépend de la sauvegarde |
| Complexité | Plus élevée | Plus faible |
| Coût (on-chain) | Frais plus élevés | Frais standard |
| Confidentialité | Plus faible (plusieurs signatures visibles sur Bitcoin) | Standard |
| Adapté aux organisations | Oui | Non |
Multisig vs MPC (Multi-Party Computation)
| Fonctionnalité | Multisig | MPC |
|---|---|---|
| Empreinte on-chain | Plusieurs signatures visibles | Signature standard unique |
| Prise en charge protocolaire | Native (Bitcoin), smart contracts (ETH) | Protocole off-chain |
| Rotation des clés | Nécessite une nouvelle adresse multisig | Possible sans changer d’adresse |
| Transparence | Entièrement auditable on-chain | Le protocole doit être digne de confiance |
| Complexité | Bien comprise | Cryptographie plus complexe |
| Implémentations open-source | Nombreuses | Moins nombreuses |
| Idéal pour | Particuliers, petites équipes | Institutions, garde à grande échelle |
Multisig vs partage de secret de Shamir
Le partage de secret de Shamir (SSS) divise un secret unique (seed phrase) en plusieurs parts. Le multisig distribue l’autorité de signature réelle sur plusieurs clés indépendantes.
Différence clé : avec SSS, la clé doit être reconstituée en un seul endroit pour signer. Avec le multisig, les clés n’ont jamais besoin d’être au même endroit, chaque signataire signe indépendamment. Cela rend le multisig plus sûr pour un usage actif, tandis que SSS est principalement un mécanisme de sauvegarde/récupération.
Shamir Backup de Trezor (SLIP-39) utilise SSS pour la sauvegarde de seed phrase. Cela peut être combiné avec une configuration multisig pour une sécurité en couches.
Configurer un portefeuille Bitcoin multisig : guide pratique
Utiliser Sparrow Wallet (2-sur-3)
Prérequis :
- Sparrow Wallet installé sur votre ordinateur
- 3 hardware wallets (ou 2 hardware wallets + 1 sauvegarde papier/métal)
- Chaque hardware wallet initialisé avec une seed phrase unique
Étape 1 : recueillir les informations des co-signataires
Pour chaque hardware wallet :
- Connectez-vous à Sparrow
- Allez dans Settings > Export > Master Fingerprint and Extended Public Key (xpub)
- Exportez le xpub pour le chemin de dérivation souhaité
- Enregistrez ou notez le xpub et l’empreinte
Étape 2 : créer le portefeuille multisig dans Sparrow
- File > New Wallet
- Choisissez "Multi Signature" comme type de policy
- Définissez M=2, N=3
- Pour chaque co-signataire :
- Sélectionnez la source (hardware wallet, xpub, etc.)
- Importez le xpub du co-signataire
- Sparrow génère le portefeuille multisig avec des adresses partagées
Étape 3 : vérifier sur chaque appareil
Avant de déposer des fonds :
- Générez une adresse de réception dans Sparrow
- Vérifiez cette adresse sur chaque hardware wallet pour confirmer qu’ils sont d’accord sur la configuration multisig
- Cette étape confirme qu’aucune information de co-signataire n’a été falsifiée pendant la configuration
Étape 4 : sauvegarder la configuration du portefeuille
Exportez le fichier de configuration du portefeuille (contient les xpubs, les chemins de dérivation et le seuil, sans clé privée). Stockez des copies de ce fichier avec chaque sauvegarde de clé. Sans la configuration du portefeuille, la récupération exige de rassembler à nouveau tous les xpubs.
Étape 5 : tester le workflow
- Envoyez un petit montant à l’adresse multisig
- Créez une transaction pour le renvoyer
- Signez avec la Clé 1 (crée un PSBT — Partially Signed Bitcoin Transaction)
- Signez avec la Clé 2 (finalise le PSBT)
- Diffusez la transaction entièrement signée
Utilisez le Key Derivation Tool de SafeSeed pour dériver indépendamment les clés publiques étendues (xpubs) à partir de chaque seed phrase impliquée dans votre configuration multisig. Cette vérification croisée garantit que les xpubs fournis par vos hardware wallets correspondent à ce que les seed phrases doivent produire.
Configurer un multisig Ethereum : guide Safe
Créer un Safe (2-sur-3)
Prérequis :
- 3 adresses Ethereum contrôlées par des parties/appareils différents
- ETH pour les frais de gas afin de déployer le contrat Safe
- Un navigateur avec un portefeuille Web3 (MetaMask, Rabby, etc.)
Étape 1 : aller sur Safe
- Visitez app.safe.global
- Connectez votre portefeuille Web3
- Cliquez sur "Create Safe"
Étape 2 : configurer le Safe
- Choisissez le réseau (Ethereum, Polygon, Arbitrum, etc.)
- Nommez votre Safe (référence interne uniquement)
- Ajoutez 3 adresses propriétaires
- Définissez le seuil à 2 (2-sur-3)
- Vérifiez la configuration
Étape 3 : déployer
- Vérifiez la transaction de déploiement
- Confirmez et signez la transaction
- Payez les frais de gas
- Attendez la confirmation de la transaction
- Votre Safe est maintenant actif avec sa propre adresse unique
Étape 4 : approvisionner le Safe
- Copiez l’adresse du Safe
- Envoyez des fonds depuis n’importe quel portefeuille vers cette adresse
- Les tokens apparaissent dans la liste d’actifs du Safe
Étape 5 : créer et approuver des transactions
- N’importe quel propriétaire peut proposer une transaction
- Les autres propriétaires examinent et approuvent dans l’interface Safe
- Lorsque 2 propriétaires sur 3 ont approuvé, la transaction peut être exécutée
- Un propriétaire exécute (paie le gas), ce qui déclenche la transaction on-chain
Concepts multisig avancés
Rotation des clés
Avec le temps, vous pouvez devoir remplacer des clés dans votre configuration multisig :
- Un hardware wallet est perdu ou endommagé
- Un membre de l’équipe quitte l’organisation
- Une clé est soupçonnée d’être compromise
Rotation multisig Bitcoin :
- Créez un nouveau portefeuille multisig avec le nouvel ensemble de clés
- Transférez tous les fonds de l’ancien multisig vers le nouveau
- L’ancienne adresse multisig est abandonnée
Rotation Safe (Ethereum) :
- Proposez l’ajout de la nouvelle adresse propriétaire
- Approuvez avec le seuil existant
- Proposez la suppression de l’ancienne adresse propriétaire
- Approuvez avec le seuil existant
- Aucun transfert de fonds nécessaire, même contrat Safe avec propriétaires mis à jour
Multisig avec time-lock
Ajoutez un délai entre l’approbation d’une transaction et son exécution :
- Offre une fenêtre pour détecter et annuler les transactions non autorisées
- Utile pour la gestion de trésorerie d’organisation
- Safe prend en charge des modules de time-lock
Planification successorale avec multisig
Le multisig offre un cadre puissant pour l’héritage en cryptomonnaie :
Exemple : configuration successorale 2-sur-4
- Clé 1 : votre clé principale (hardware wallet)
- Clé 2 : votre clé secondaire (emplacement différent)
- Clé 3 : clé du conjoint ou d’un membre de la famille
- Clé 4 : clé de l’avocat successoral (enveloppe scellée)
Pendant votre vie, vous utilisez les Clés 1 et 2 pour les transactions normales. En cas de décès, n’importe quelles 2 des 3 clés restantes permettent d’accéder aux fonds.
Risques et limites du multisig
Complexité accrue
Le multisig ajoute de la complexité à chaque étape :
- La configuration demande une mise en place et une vérification rigoureuses
- Les transactions exigent une coordination entre détenteurs de clés
- Les sauvegardes doivent inclure le fichier de configuration du portefeuille, pas seulement les seeds individuelles
- La récupération exige de réunir le nombre seuil de clés
Frais de transaction plus élevés
Bitcoin : les transactions multisig sont plus volumineuses (davantage de données de signature), ce qui entraîne des frais plus élevés. La différence est faible pour le multisig Taproot mais notable pour P2SH.
Ethereum : les transactions Safe ont un surcoût de gas lié à l’exécution du smart contract. C’est généralement modéré, mais notable en période de prix du gas élevés.
Exigence de coordination
Chaque transaction requiert la participation active de M détenteurs de clés. Si un détenteur est indisponible (voyage, maladie, non-réponse), les transactions sont retardées. Concevez votre configuration M-sur-N en tenant compte des indisponibilités attendues.
Sauvegarde de configuration
Perdre le fichier de configuration du portefeuille (contenant tous les xpubs) en plus des seeds individuelles peut rendre la récupération extrêmement difficile. Assurez-vous que le fichier de configuration est sauvegardé avec chaque clé.
FAQ
Quelle est la meilleure configuration multisig pour un usage personnel ?
Le 2-sur-3 est la recommandation la plus répandue pour un usage personnel. Il offre une excellente redondance (perdre une clé n’est pas catastrophique) tout en restant gérable. Vous pouvez tolérer qu’une clé soit volée, perdue ou détruite tout en conservant l’accès à vos fonds.
Puis-je configurer un multisig uniquement avec des software wallets ?
Oui, mais cela affaiblit fortement le modèle de sécurité. L’intérêt du multisig vient de la distribution des clés dans des environnements physiques distincts et sécurisés. Si les trois clés sont des software wallets sur des appareils connectés à internet, elles peuvent toutes être compromises par un malware sophistiqué. Utiliser au moins un hardware wallet dans votre multisig améliore fortement la sécurité.
Combien coûte le multisig ?
Pour Bitcoin, il n’y a pas de coût de configuration, seulement des frais de transaction plus élevés (environ 30-70 % de plus que le single-sig selon le format). Pour Ethereum, déployer un contrat Safe coûte du gas (variable selon les conditions réseau, généralement 10-50 $ sur le mainnet Ethereum, beaucoup moins sur les L2). Les coûts de transaction courants incluent le surcoût de gas du multisig.
Que se passe-t-il si je perds 2 clés sur 3 dans une configuration 2-sur-3 ?
Avec une seule clé restante, vous ne pouvez pas atteindre le seuil 2-sur-3, et vos fonds deviennent définitivement inaccessibles. C’est pourquoi la séparation géographique et des sauvegardes durables (métal) pour toutes les clés sont essentielles. La sauvegarde de chaque clé doit se trouver dans un emplacement sécurisé différent.
Des personnes différentes peuvent-elles détenir des clés multisig sur différents continents ?
Oui, et c’est une stratégie courante pour les avoirs de grande valeur et les trésoreries d’organisation. Le multisig Bitcoin utilisant des PSBTs (Partially Signed Bitcoin Transactions) est particulièrement adapté, car le fichier de transaction partiellement signé peut être transmis électroniquement au signataire suivant. Safe sur Ethereum gère cela nativement via son interface web.
Le multisig est-il compatible avec toutes les cryptomonnaies ?
Pas directement. Bitcoin prend en charge le multisig nativement. Ethereum et les chaînes EVM le prennent en charge via des smart contracts (Safe). Certaines autres blockchains ont une prise en charge multisig native (par ex., les chaînes Cosmos SDK). Certaines chaînes exigent des solutions personnalisées. Avant de configurer un multisig, vérifiez que votre cryptomonnaie choisie dispose d’une implémentation multisig mature et auditée.
Puis-je ajouter ou supprimer des signataires d’un multisig existant ?
Pour le multisig Bitcoin, non : vous devez créer un nouveau portefeuille multisig et transférer les fonds. Pour Safe (Ethereum), oui : vous pouvez ajouter ou supprimer des propriétaires via une transaction de gouvernance approuvée par le seuil existant. C’est l’un des avantages de Safe par rapport au multisig natif de Bitcoin.
Comment les hardware wallets fonctionnent-ils avec le multisig ?
Chaque hardware wallet dans un multisig détient l’une des N clés. Lorsqu’une transaction doit être signée, la transaction partiellement signée est envoyée à chaque hardware wallet participant à tour de rôle. Chaque appareil affiche les détails de la transaction, et l’utilisateur confirme sur l’appareil. Le PSBT (ou la transaction Safe) accumule les signatures jusqu’à atteindre le seuil.
Guides associés
- Cold Wallet Complete Guide — Combiner multisig et cold storage
- Hardware Wallet Setup Guide — Choisir des hardware wallets pour les clés multisig
- Wallet Backup Guide — Sauvegarder les configurations multisig et les clés
- Crypto Wallet Types Explained — Où le multisig s’inscrit dans le paysage des portefeuilles
- Seed Phrase Security Guide — Protéger les clés individuelles dans votre multisig