Configurer un Portefeuille Froid Monero en Air Gap
Configurer un Portefeuille Froid Monero en Air Gap
Quand Binance a retiré Monero de son carnet d'ordres en février 2024, suivi de Kraken pour ses clients européens et britanniques quelques mois plus tard sous la pression du règlement MiCA, des milliers de détenteurs ont appris une leçon désagréable : laisser ses XMR sur une plateforme, c'est faire confiance à un tiers capable de geler ou de saisir vos fonds du jour au lendemain. La réaction naturelle a été une vague de migration vers l'auto-conservation, et le segment le plus prudent de cette migration s'est rabattu sur une idée unique — conserver ses clés sur une machine qui n'a jamais touché un réseau. Un portefeuille froid en air gap, c'est exactement cela : un appareil qui signe vos transactions Monero en isolation totale, de sorte que même une connexion Internet entièrement compromise ne pourra jamais atteindre votre clé de dépense.
Ce guide détaille la construction d'une telle configuration à partir de zéro, en exploitant le modèle hot/cold que Monero supporte nativement depuis 2017. Vous obtiendrez deux portefeuilles — une vue en ligne « watch-only » qui suit votre solde, et un coffre hors ligne qui détient les secrets. Si vous alimentez ce coffre de manière privée dès le départ, échanger vers du XMR via un service sans logs comme MoneroSwapper évite la traçabilité d'échange que l'air gap est précisément censé contourner. Faisons-le proprement.
Pourquoi l'Air Gap Est Spécifiquement Crucial pour Monero
Monero masque déjà votre graphe de transactions au niveau protocolaire. Le RingCT dissimule les montants, les adresses furtives cachent le destinataire, et les signatures de cercle (bientôt remplacées par FCMP++) obscurcissent la véritable dépense parmi des leurres. Mais rien de tout cela ne protège les clés privées qui reposent sur un ordinateur portable d'usage quotidien — celui qui fait aussi tourner un navigateur, un client torrent, et ce PDF douteux de la semaine dernière.
La menace, c'est le terminal, pas la blockchain. Les détourneurs de presse-papiers, les infostealers comme Lumma et RedLine, et les clones malveillants de portefeuilles ont siphonné des centaines de millions en cryptomonnaies sur 2024-2025. Un air gap supprime l'intégralité de la surface d'attaque distante, car l'appareil signataire ne possède aucun chemin vers un attaquant.
- Isolation des clés : Votre clé de dépense et votre phrase mnémonique n'existent jamais sur une machine connectée à Internet, donc impossible à exfiltrer par un malware distant.
- Signature vérifiable : Vous inspectez la destination et le montant de chaque transaction sortante sur l'appareil hors ligne avant signature, ce qui neutralise les attaques par substitution de presse-papiers.
- Résilience réglementaire : Avec l'accélération des délistages sous MiCA et la pression de la « travel rule » du GAFI, l'auto-conservation est le seul moyen durable de détenir du XMR — et le stockage à froid en est la forme la plus robuste.
- Fongibilité préservée : Les pièces que vous contrôlez directement conservent la fongibilité de Monero intacte, sans étiquettes « tainted » appliquées par une plateforme qui les suivraient partout.
Ce Dont Vous Avez Besoin Avant de Commencer
Une configuration en air gap nécessite deux appareils et une méthode unidirectionnelle pour faire transiter des fichiers entre eux. La machine en ligne dialogue avec le réseau Monero ; la machine hors ligne ne le fait jamais. Réussissez cette séparation et le reste devient mécanique.
Choisir l'Appareil Hors Ligne
L'option fiable la moins chère est un vieux portable dont la carte Wi-Fi a été physiquement retirée ou désactivée, et dont le port Ethernet reste débranché. Un Raspberry Pi sans périphériques réseau fonctionne aussi, tout comme une machine dédiée démarrant sur Tails depuis une clé USB. Tails est amnésique par défaut — il oublie tout à l'extinction — donc vous l'associez à un stockage chiffré persistant uniquement pour les fichiers du portefeuille, ou bien vous restaurez depuis votre graine à chaque session.
Quel que soit votre choix, la règle est absolue : cet appareil ne se connecte à aucun réseau, jamais, pour le reste de sa vie. Au moment où il le fait, l'air gap est rompu et vous devez considérer les clés comme potentiellement exposées.
Options Logicielles
Trois clients Monero gèrent bien la signature à froid. Le Monero GUI officiel et le CLI embarquent le flux complet de portefeuille froid. Feather Wallet, un client communautaire léger, ajoute un flux de signature hors ligne soigné, idéal pour les utilisateurs qui ne veulent pas faire tourner un nœud complet. Les trois sont open source et reproductibles.
| Approche | Avantages | Inconvénients |
|---|---|---|
| Portable air-gap maison (GUI/CLI) | Contrôle total, aucun coût matériel, open source, supporte un nœud complet | Transferts de fichiers manuels, courbe d'apprentissage plus raide |
| Feather Wallet en mode hors ligne | Léger, pas de nœud complet nécessaire, interface de signature à froid agréable | Dépend de nœuds distants pour la partie en ligne (utilisez le vôtre ou Tor) |
| Portefeuille matériel (Ledger) | Compact, élément sécurisé, restauration simple | Firmware fermé, dépendance au fabricant, support XMR limité |
| Portefeuille chaud sur appareil quotidien | Instantané, pratique pour de petites dépenses | Clés exposées à tout malware sur la machine — ce n'est pas du stockage à froid |
Pour la suite de ce guide, je vais supposer l'approche DIY en air gap avec le client officiel, parce qu'elle enseigne le modèle sous-jacent que toutes les autres méthodes abstraient. Une fois que vous maîtrisez la séparation hot/cold, le flux du portefeuille matériel n'est qu'une variante de la même idée, avec les secrets scellés dans une puce.
Comment Fonctionne Réellement la Séparation Hot/Cold
La conception de signature à froid de Monero sépare la capacité à voir les fonds de la capacité à les dépenser. Cela correspond directement aux deux clés que chaque portefeuille Monero dérive de sa phrase mnémonique : la clé de vue, qui permet à un logiciel de détecter les sorties entrantes vous appartenant, et la clé de dépense, qui est nécessaire pour autoriser leur dépense.
La machine en ligne héberge un portefeuille watch-only construit uniquement à partir de votre adresse et de votre clé de vue privée. Elle scanne la blockchain, reconnaît les sorties à adresse furtive qui vous reviennent, et affiche votre solde — mais elle est physiquement incapable de bouger la moindre pièce. La machine hors ligne héberge le portefeuille complet, clé de dépense incluse, et reste la seule à pouvoir produire une signature valide.
Si votre portefeuille watch-only est un jour compromis, un attaquant apprend votre solde et vos transactions entrantes — mais il ne pourra jamais dépenser un seul piconero, car la clé de dépense n'a jamais quitté l'appareil en air gap.
Dépenser devient donc un échange entre les deux. Le portefeuille en ligne rédige une transaction non signée, le portefeuille hors ligne l'inspecte et la signe, et le portefeuille en ligne diffuse le résultat signé vers le mempool. Les images de clé — les marqueurs cryptographiques qui empêchent la double dépense — sont calculées hors ligne et resynchronisées pour que le portefeuille watch-only sache quelles sorties sont déjà dépensées. Rien de secret ne franchit le gap ; seuls des artefacts de transaction circulent.
Étape par Étape : Construire Votre Portefeuille Froid en Air Gap
Prévoyez une heure pour votre première mise en place. Travaillez lentement — chaque erreur ici est récupérable, sauf une graine divulguée ou un air gap brisé. Préparez une clé USB propre (ou une webcam compatible QR sur chaque appareil) pour les transferts.
- Vérifiez vos binaires. Sur la machine en ligne, téléchargez le client Monero depuis getmonero.org, puis contrôlez les empreintes SHA-256 et vérifiez la signature GPG par rapport à la clé du mainteneur. Les builds reproductibles signifient que le binaire doit correspondre à ce que la communauté a compilé indépendamment. Ne sautez jamais cette étape — un portefeuille piégé annule toutes les autres précautions.
- Créez le portefeuille hors ligne. Déplacez le binaire vérifié vers l'appareil en air gap via USB. Générez-y un tout nouveau portefeuille avec
monero-wallet-cli. Écrivez la phrase mnémonique de 25 mots sur papier — jamais en photo, jamais dans un fichier texte. Ce portefeuille hors ligne contient à la fois la clé de dépense et la clé de vue. - Exportez les identifiants en lecture seule. Sur le portefeuille hors ligne, notez l'adresse principale et lancez la commande qui révèle la clé de vue privée. Ces deux valeurs sont tout ce dont la partie en ligne aura jamais besoin.
- Construisez le portefeuille watch-only en ligne. Sur la machine connectée, choisissez « Créer un portefeuille à partir des clés » (lecture seule) et entrez l'adresse, la clé de vue privée, et une hauteur de restauration correspondant à la date de création du portefeuille. Laissez-le se synchroniser contre votre propre nœud ou un nœud distant de confiance via Tor.
- Alimentez-le et confirmez. Envoyez du XMR à votre nouvelle adresse. Le portefeuille watch-only détectera la sortie entrante une fois confirmée. Si vous acquérez le Monero en privé, faites passer l'achat par un swap sans KYC pour que la transaction d'alimentation ne porte aucun lien d'identité.
- Synchronisez les sorties et les images de clé. Pour dépenser, exportez les sorties depuis le watch-only, portez le fichier sur l'appareil hors ligne, importez-les, puis exportez les images de clé vers le côté en ligne et importez-les. Cela rend le solde watch-only précis et conscient de ce qui est dépensable.
- Rédigez, signez et diffusez. Sur le portefeuille en ligne, créez une transaction non signée vers votre destination. Déplacez le fichier
unsigned_monero_txvers l'appareil hors ligne, vérifiez le destinataire et le montant à l'écran, puis signez-le. Rapportez le fichiersigned_monero_txrésultant et soumettez-le au réseau.
Pour de petites dépenses fréquentes, vous pouvez remplacer le transfert USB par des QR codes animés — Feather et le GUI savent tous deux encoder les transactions non signées et signées en séquences QR scannées par la caméra de chaque appareil, ce qui garde la machine hors ligne entièrement sans ports actifs.
Un Exemple Concret : Détention à Long Terme Bien Faite
Imaginons un détenteur basé en France qui accumule du XMR comme réserve de confidentialité. Il achète par petits lots sur plusieurs mois, à chaque fois en échangeant du BTC ou de l'USDT contre du Monero et en l'envoyant directement à l'adresse de son portefeuille froid en air gap. Le portefeuille watch-only en ligne suit le solde qui s'accumule ; la graine est dans un coffre ignifuge, avec une sauvegarde en acier dans un second lieu.
La conformité fiscale et la confidentialité ne sont pas opposées ici. La DGFiP traite les cryptoactifs comme des biens meubles incorporels imposables au régime du PFU lors d'une cession en euros, et l'auto-conservation n'exempte personne de déclarer ses cessions imposables — mais détenir en stockage à froid signifie simplement qu'il n'y a aucun dépositaire tiers et aucune plateforme à laquelle l'administration pourrait soumettre une réquisition pour obtenir l'historique complet du portefeuille. Lorsque le détenteur finit par dépenser, il signe hors ligne, diffuse via un nœud routé sur Tor, et la couche de propagation Dandelion++ obscurcit quel nœud a relayé la transaction en premier.
Si ce même détenteur avait laissé son stack sur une plateforme centralisée, un seul délistage motivé par MiCA aurait pu forcer une vente précipitée ou un retrait gelé. L'air gap a transformé une responsabilité de garde en une réserve privée et souveraine — ce qui est précisément l'objectif.
FAQ
Un portefeuille en air gap est-il excessif pour de petites sommes en Monero ?
Pour des montants d'argent de poche que vous dépensez chaque semaine, un portefeuille mobile chaud convient parfaitement et reste bien plus pratique. L'approche air gap justifie sa complexité dès que vous stockez une somme dont la perte par malware serait véritablement douloureuse. Beaucoup font tourner les deux : un portefeuille chaud pour les dépenses et un coffre en air gap pour l'épargne.
Que se passe-t-il si mon appareil hors ligne tombe en panne ?
Rien n'est perdu, car le portefeuille vit dans la phrase mnémonique de 25 mots, pas dans le matériel. Restaurez-la sur n'importe quelle nouvelle machine hors ligne et vous récupérez le contrôle complet de la clé de dépense. C'est précisément pour cela que la sauvegarde de la graine compte plus que l'appareil lui-même — gardez les mots, remplacez le matériel sans hésiter.
Puis-je utiliser un portefeuille matériel à la place de tout construire ?
Oui. Un Ledger conserve votre clé de dépense dans un élément sécurisé et signe les transactions sans que les clés ne quittent jamais la puce, ce qui atteint un objectif d'isolation similaire avec moins de travail manuel. Les compromis sont un firmware fermé, une dépendance au fabricant et un support historiquement plus lent des fonctionnalités spécifiques à Monero, raison pour laquelle les utilisateurs avancés préfèrent souvent l'air gap DIY pour la transparence totale.
Dois-je faire tourner mon propre nœud pour le portefeuille en ligne ?
Pas obligatoirement, mais c'est l'option la plus privée. Connecter votre watch-only à un nœud distant public divulgue votre activité de clé de vue et votre IP à l'opérateur de ce nœud, sauf si vous passez par Tor ou I2P. Faire tourner votre propre nœud — ou au minimum utiliser un nœud de confiance derrière Tor — garde ces métadonnées entre vos mains.
FCMP++ changera-t-il le fonctionnement des portefeuilles froids ?
La mise à jour remplace les signatures de cercle par les Full-Chain Membership Proofs++ pour un ensemble d'anonymat largement plus vaste, en parallèle de la refonte des adresses Seraphis et Jamtis prévue sur la feuille de route. Le modèle de signature hot/cold lui-même reste identique — vous continuerez à rédiger en ligne et à signer hors ligne — donc une configuration en air gap montée aujourd'hui reste pertinente sans modification.
Conclusion
Un portefeuille froid Monero en air gap, c'est la différence entre posséder sa confidentialité et la louer à celui qui détient vos clés. La mise en place coûte un après-midi et un vieux portable, et en échange vous obtenez un coffre que des attaquants distants ne peuvent tout simplement pas atteindre — votre clé de dépense isolée, chaque transaction inspectée avant signature, et vos XMR à l'abri de la prochaine vague de délistages. Associez cela à des binaires vérifiés, une sauvegarde de graine en acier, et un nœud routé sur Tor, et vous obtenez un stockage qui rivalise avec n'importe quel custodian, sans le custodian.
La dernière pièce du puzzle est l'alimentation, sans réintroduire la surveillance que vous venez d'éliminer par ingénierie. Acquérez votre Monero via un swap sans logs et sans KYC pour que les pièces atterrissent dans votre stockage à froid avec un historique propre — vous pouvez acheter du Monero anonymement avec MoneroSwapper et l'envoyer directement à votre adresse en air gap. Construisez d'abord le portefeuille, alimentez-le ensuite en privé, et vos clés restent vraiment les vôtres.
🌍 Lire en