Configurer une passphrase sur un wallet matériel Monero

Quand Binance a retiré Monero de sa plateforme en février 2024, puis que Kraken a suspendu le XMR pour sa clientèle européenne plus tard la même année sous la pression de MiCA, des centaines de milliers de détenteurs ont fait le même geste en quelques semaines : ils ont sorti leurs pièces des plateformes pour les placer en auto-conservation. Un wallet matériel est la destination évidente — mais brancher un Ledger ou un Trezor ne représente que la moitié du travail. L'élément que la plupart des gens négligent, c'est la passphrase : ce secret facultatif qui transforme une unique phrase de récupération en un nombre illimité de portefeuilles cachés. Sans elle, quiconque trouve vos 24 mots de sauvegarde possède vos fonds. Avec elle, ces mots ne valent presque rien tout seuls.

Ce guide explique ce qu'une passphrase fait réellement sur un wallet matériel Monero, en quoi elle diffère de votre code PIN, et comment la mettre en place sans vous verrouiller définitivement dehors. Si vous avez acheté vos XMR via un service sans KYC comme MoneroSwapper et que vous tenez à préserver leur confidentialité, la passphrase fait toute la différence entre « j'ai une sauvegarde quelque part » et « j'ai une sauvegarde réellement inutile pour un voleur ». Comptez une quinzaine de minutes et une décision à prendre très soigneusement.

Passphrase, PIN et seed : ce que vous protégez vraiment

Ces trois termes sont employés de façon interchangeable un peu partout en ligne, et cette confusion est dangereuse. Ils protègent des choses différentes et tombent en panne de manières différentes. Les distinguer clairement, c'est tout le fondement d'une configuration sécurisée.

• Le PIN : un code court (en général 4 à 8 chiffres) qui déverrouille l'appareil physique. Il empêche un voleur qui s'empare du matériel de l'utiliser immédiatement, et la plupart des appareils s'effacent eux-mêmes après un nombre fixe de tentatives erronées. Le PIN ne quitte jamais l'appareil et ne fait pas partie de vos clés cryptographiques : restaurez votre seed ailleurs, et l'ancien PIN n'a plus aucune importance.
• La phrase de récupération (seed) : la sauvegarde de 24 mots (BIP39) ou de 12/20/33 mots (SLIP-39 Shamir) qui est votre portefeuille. Quiconque détient ces mots peut recréer chaque clé à l'intérieur, y compris votre clé de dépense et votre clé de vue Monero. C'est le joyau de la couronne, et c'est précisément ce que la passphrase vient renforcer.
• La passphrase : un secret supplémentaire — qu'on appelle parfois le « 25e mot » ou le « portefeuille caché » — que vous mélangez à la seed pour dériver un portefeuille complètement différent. Une passphrase vide produit un portefeuille ; n'importe quelle passphrase que vous saisissez en produit un autre, totalement distinct. Elle n'est jamais stockée sur l'appareil, on ne peut donc pas l'extraire du matériel, point final.

Voici le bon modèle mental : le PIN garde la porte, la seed est la clé du coffre, et la passphrase change le coffre que cette clé ouvre. Un voleur qui récupère vos mots de seed mais pas votre passphrase fixe le mauvais coffre, tout simplement.

Comment la passphrase BIP39 crée un portefeuille Monero caché

Si une passphrase est aussi puissante, c'est à cause de la manière dont la seed devient une clé privée. Les wallets matériels ne stockent pas directement la phrase mnémonique native de 25 mots de Monero. Ils conservent à la place une seed BIP39 et en dérivent vos clés Monero à la demande — c'est d'ailleurs pourquoi le même Ledger peut faire tourner Bitcoin, Ethereum et Monero côte à côte.

Les maths en un paragraphe

BIP39 fait passer votre mnémonique et votre passphrase dans PBKDF2 avec HMAC-SHA512, exécuté 2048 fois, pour produire une seed binaire de 512 bits. La passphrase est concaténée au sel (salt) : modifier un seul caractère — ajouter une passphrase là où il n'y en avait pas, ou corriger une faute de frappe — produit une seed mathématiquement sans aucun lien, et donc une clé de dépense et une clé de vue Monero différentes. Il n'existe pas de « presque bon ». Une passphrase Chartreuse7! et une passphrase chartreuse7! ouvrent deux portefeuilles qui n'ont rien en commun.

Cette propriété explique aussi pourquoi la fonctionnalité n'offre aucune voie de récupération. L'appareil est incapable de distinguer une passphrase correcte d'une mauvaise ; les deux dérivent des portefeuilles d'apparence parfaitement valide. Tapez la mauvaise chaîne et vous atterrissez simplement dans un portefeuille vide qui n'a jamais détenu la moindre pièce. Ne tapez rien, et vous êtes dans votre portefeuille « standard ».

Déni plausible et portefeuille leurre

C'est ici que la passphrase devient un outil de confidentialité, et plus seulement un second mot de passe. Comme le portefeuille à passphrase vide est pleinement fonctionnel, vous pouvez y conserver un petit solde réel en guise de leurre. Vos avoirs sérieux, eux, vivent derrière une passphrase que vous seul connaissez.

Pour une monnaie comme Monero — où les adresses furtives, RingCT et CLSAG masquent déjà vos soldes et vos contreparties on-chain — la passphrase comble la dernière brèche : la contrainte physique. Un attaquant qui vous force à déverrouiller l'appareil voit le leurre, pas le portefeuille caché, et rien sur l'appareil ne prouve qu'un second portefeuille existe. Combiné à la fongibilité de Monero, on s'approche autant qu'il est possible d'une « monnaie à déni plausible » dans le cadre de l'auto-conservation. Côté ordinateur, le portefeuille en lecture seule (watch-only) construit à partir de votre clé de vue exportée permet au Monero GUI de scanner la chaîne (les view tags, depuis la mise à jour de 2022, rendent l'opération bien plus rapide) tandis que votre clé de dépense reste scellée dans l'appareil.

Ledger ou Trezor : la gestion de la passphrase comparée

Les deux grandes familles de wallets matériels prennent en charge Monero et toutes deux gèrent les passphrases, mais les façons de procéder diffèrent suffisamment pour que cela compte. Depuis que Ledger Live a pris ses distances avec la gestion native de Monero, la plupart des utilisateurs Ledger associent désormais l'appareil à Feather Wallet ou au Monero GUI/CLI officiel ; Trezor se connecte directement via le Monero GUI/CLI.

La colonne la plus importante de toutes, c'est « saisie de la passphrase ». Taper la passphrase sur l'appareil lui-même signifie qu'elle ne touche jamais le clavier ni la mémoire de votre ordinateur, ce qui déjoue les enregistreurs de frappe (keyloggers) et les renifleurs de presse-papiers. La saisir sur l'ordinateur est plus rapide et autorise des chaînes plus longues, mais ne le faites que sur une machine en laquelle vous avez confiance. Pour Monero en particulier, vérifiez toujours la sous-adresse de réception sur l'écran du wallet matériel avant d'envoyer quoi que ce soit — l'appareil affichant l'adresse est votre seule défense contre un ordinateur compromis qui la remplacerait.

Comment configurer votre portefeuille Monero protégé par passphrase

Les libellés exacts des menus varient selon le modèle et la version du firmware, mais la séquence est la même d'un appareil à l'autre. Faites cela hors ligne, dans un endroit privé, sans aucune caméra en vue.

1. Mettez d'abord le firmware à jour. Connectez l'appareil et appliquez le dernier firmware via l'application officielle (Ledger Live ou Trezor Suite) avant de toucher à la moindre clé. Par le passé, des firmwares obsolètes ont raté des correctifs touchant la passphrase et l'app Monero.
2. Initialisez l'appareil et sauvegardez la seed. Générez une nouvelle phrase de récupération de 24 mots sur l'appareil et inscrivez-la sur papier ou sur acier. Cette seed est votre portefeuille standard (sans passphrase). Confirmez-la sur l'appareil quand il vous le demande — ne la photographiez jamais et ne la tapez jamais sur un ordinateur.
3. Activez la fonction passphrase. Dans les réglages de l'appareil, activez « Passphrase » (Ledger l'appelle passphrase temporaire ou attachée ; Trezor la nomme « Passphrase / portefeuilles cachés »). L'appareil vous demandera désormais une passphrase à chaque déverrouillage, ou proposera de l'ignorer pour le portefeuille standard.
4. Choisissez votre méthode de saisie. Sélectionnez la saisie sur l'appareil pour une sécurité maximale. Réservez la saisie sur l'ordinateur aux passphrases longues, et uniquement sur une machine de confiance.
5. Saisissez votre passphrase et ouvrez le portefeuille caché. Choisissez quelque chose de robuste mais mémorisable — une passphrase que vous ne pouvez pas reconstituer est perdue à jamais. Évitez les citations dont vous pourriez vous souvenir de travers ; privilégiez une phrase personnelle mêlant majuscules, minuscules et un chiffre. L'appareil en dérive un tout nouveau portefeuille Monero.
6. Connectez-vous à votre logiciel de portefeuille Monero. Ouvrez Feather ou le Monero GUI, choisissez « Périphérique matériel » et laissez-le créer le portefeuille en lecture seule à partir de votre clé de vue exportée. Il générera votre adresse principale et vos sous-adresses.
7. Vérifiez l'adresse de réception sur l'écran de l'appareil. Générez une adresse de réception et confirmez que les premiers et derniers caractères concordent entre l'affichage de l'appareil et le logiciel. Envoyez d'abord un petit montant de test.
8. Sauvegardez la passphrase séparément. Rangez la passphrase dans un lieu physique différent de celui des mots de seed. Ensemble, ils déverrouillent tout ; séparés, ni l'un ni l'autre ne suffit. Puis effacez et restaurez l'appareil une fois pour prouver que votre sauvegarde fonctionne réellement.

Il n'existe aucun lien « passphrase oubliée », aucun ticket de support, aucun outil de force brute qui vous sauvera. Une passphrase perdue signifie que les pièces qui se trouvent derrière sont mathématiquement irrécupérables — traitez la sauvegarde de cette chaîne aussi sérieusement que la seed elle-même.

Un cas concret : voyage et scénarios de contrainte

Imaginez une situation courante. Vous franchissez une frontière où les agents — à un point d'entrée dans l'espace Schengen, à la douane française au retour, ou à l'arrivée aux États-Unis — peuvent exiger que vous déverrouilliez vos appareils électroniques, le refus pouvant entraîner une retenue ou un refus d'entrée. Avec une configuration à portefeuille unique, déverrouiller l'appareil revient à tout livrer. Avec une passphrase, vous déverrouillez vers le portefeuille leurre — un vrai portefeuille Monero, fonctionnel, contenant un montant modeste — et le portefeuille caché derrière votre passphrase reste invisible. Pas de dossier, pas de deuxième icône de compte, rien à divulguer, puisque rien sur l'appareil ne révèle son existence.

Les spécialistes des menaces appellent cela « l'attaque à la clé à molette à 5 dollars » : la façon la moins chère de casser une cryptographie solide consiste à contraindre la personne qui détient les clés. Une passphrase n'arrête pas la contrainte, mais elle vous donne quelque chose à céder qui satisfait la demande sans exposer votre épargne. Les professionnels de la sécurité et des organisations comme La Quadrature du Net préconisent depuis longtemps exactement ce type de cloisonnement pour les personnes qui franchissent des frontières avec des données sensibles.

La même logique vaut chez vous. Si un cambrioleur dérobe votre plaque de seed en acier, ces 24 mots ne restaurent que le leurre. Vos avoirs réels — disons, les XMR que vous avez accumulés au fil d'échanges périodiques sans KYC — restent verrouillés derrière une phrase qui n'a jamais été écrite au même endroit. Cette séparation est tout l'intérêt de la démarche : l'accès physique à un seul secret ne devrait jamais équivaloir à l'accès physique à votre argent.

Et le cadre légal en France ?

Passer à l'auto-conservation ne change rien à vos obligations. En France, les comptes d'actifs numériques détenus à l'étranger doivent être déclarés à la DGFiP, et les plus-values de cession sont soumises au prélèvement forfaitaire unique. La confidentialité que procure une passphrase est une protection contre le vol et la contrainte, pas un blanc-seing fiscal : déclarez vos opérations comme la loi l'exige. Sur le plan réglementaire, l'AMF supervise les prestataires de services sur actifs numériques en France, et le cadre MiCA — qui a poussé des plateformes comme Kraken à retirer le XMR pour l'Europe — encadre désormais l'ensemble du marché de l'UE. Rien de tout cela n'interdit de détenir Monero en wallet matériel ; cela rend simplement l'achat sans KYC plus rare sur les plateformes régulées, d'où l'intérêt des services qui n'en demandent pas.

FAQ

Une passphrase Monero, est-ce la même chose que la seed de 25 mots ?

Non. Le logiciel propre à Monero utilise une mnémonique de 25 mots, mais les wallets matériels emploient une seed BIP39 de 24 mots et en dérivent les clés Monero. La passphrase est un secret supplémentaire ajouté par-dessus ces 24 mots — le surnom de « 25e mot » désigne les passphrases BIP39 en général, pas le format natif de 25 mots de Monero. Ce sont deux systèmes différents qui partagent par hasard une terminologie prêtant à confusion.

Que se passe-t-il si j'oublie ma passphrase ?

Les fonds de ce portefeuille caché deviennent définitivement inaccessibles. Contrairement au PIN, la passphrase fait partie de la dérivation des clés : il n'y a donc ni réinitialisation ni service de récupération. C'est pourquoi vous devez sauvegarder la passphrase dans un lieu sûr distinct et tester une restauration complète de l'appareil avant d'y transférer le moindre montant significatif.

Peut-on deviner que je possède un portefeuille caché ?

Pas à partir de l'appareil. Les wallets matériels ne stockent rien qui révèle qu'une passphrase a été utilisée, et le portefeuille à passphrase vide a l'air parfaitement normal. Sur la chaîne, les signatures de cercle de Monero, les adresses furtives et RingCT font qu'un observateur ne peut ni relier vos adresses ni voir les soldes, dans un sens comme dans l'autre — c'est ce qui fait de la passphrase un véritable outil de déni plausible.

Dois-je saisir la passphrase sur l'appareil ou sur mon ordinateur ?

Sur l'appareil dès que possible. La saisir sur le matériel la tient à l'écart du clavier, de la mémoire et du presse-papiers de votre ordinateur, ce qui déjoue les logiciels malveillants qui, sinon, la captureraient. La saisie sur l'ordinateur est acceptable pour des passphrases très longues sur une machine de pleine confiance, mais c'est l'option la plus faible.

Utiliser une passphrase ralentit-il mon portefeuille Monero ?

Pas plus que n'importe quel portefeuille Monero adossé à un appareil matériel. Le balayage de la chaîne dépend de votre clé de vue et de votre nœud, pas de la passphrase ; la mise à jour des view tags de 2022 a déjà réduit considérablement les temps de scan. La passphrase n'influe que sur les clés dérivées, pas sur la vitesse de synchronisation une fois le portefeuille ouvert.

Conclusion

Un wallet matériel protège vos Monero des voleurs en ligne ; une passphrase les protège de quiconque détient la sauvegarde. La configuration est brève — mettre à jour le firmware, sauvegarder la seed, activer la passphrase, vérifier une adresse, et ranger les deux secrets séparément — mais c'est la rigueur qui l'entoure qui fait tout. Soignez la sauvegarde et testez une restauration avant de lui confier de la vraie valeur, car les mêmes maths qui rendent la passphrase incassable rendent aussi une passphrase oubliée irrécupérable.

Si vous faites entrer des fonds soucieux de confidentialité dans cette configuration, gardez toute la chaîne privée : acquérez vos XMR sans livrer votre identité, puis acheminez-les directement vers une adresse de réception protégée par passphrase que vous avez vérifiée sur l'appareil. Vous pouvez acheter du Monero anonymement via MoneroSwapper, sans compte et sans KYC, l'envoyer directement vers votre portefeuille caché, et obtenir au final des pièces privées on-chain et à déni plausible dans votre poche.