Dans ce guide
- Ce qu’est réellement le multisig
- Pourquoi le multisig est important
- Configurations courantes
- La complexité cachée
- Bien configurer le multisig
- Sauvegarde et récupération
- Dépenser depuis un multisig
- Garde collaborative
- Quand le multisig est un mauvais choix
- Maintenir le multisig dans le temps
Ce qu’est réellement le multisig
La multi‑signature est une fonctionnalité bitcoin qui exige plusieurs clés privées pour autoriser une transaction. Au lieu qu’une seule clé contrôle les fonds, un portefeuille multisig est gouverné par un ensemble de clés avec un seuil défini.
La notation
Les configurations multisig sont « m‑sur‑n » : n est le nombre total de clés, m est le minimum requis pour signer.
Un multisig 2‑sur‑3 a trois clés au total ; n’importe quelles deux peuvent autoriser une dépense. Un 3‑sur‑5 a cinq clés et requiert trois signatures.
Comment cela fonctionne
Lorsque vous créez un portefeuille multisig, vous créez une adresse bitcoin qui encode les règles : quelles clés publiques sont impliquées et combien de signatures sont requises. Le réseau bitcoin applique ces règles. Une transaction n’est valide que si elle inclut le nombre de signatures requis.
Cette application se fait au niveau du protocole. Personne ne peut contourner le seuil : ni le logiciel de portefeuille, ni un seul détenteur de clé, ni aucune institution. Les règles sont intégrées dans l’adresse elle‑même.
Ce que le multisig n’est pas
- Pas une authentification à deux facteurs. Le 2FA protège l’accès au compte. Le multisig protège le bitcoin lui‑même.
- Pas un schéma de sauvegarde. Le multisig concerne l’autorisation, pas la redondance (même s’il fournit les deux).
- Pas une sécurité magique. Le multisig déplace la surface d’attaque mais ne l’élimine pas. Une mauvaise configuration peut empirer les choses.
→ Lire : Guide de garde du Bitcoin
Pourquoi le multisig est important
Le stockage à clé unique a un problème fondamental : celui qui contrôle cette clé contrôle tout.
Éliminer les points de défaillance uniques
Un point de défaillance unique est tout composant dont la défaillance à elle seule entraîne une perte. Avec une seule clé :
- Si la clé est volée, tous les bitcoin sont perdus.
- Si la clé est perdue, tous les bitcoin deviennent inaccessibles.
- Si une personne est contrainte, elle peut être forcée de tout remettre.
Avec un multisig 2‑sur‑3 :
- Une clé volée ne suffit pas pour voler les fonds.
- Une clé perdue ne vous bloque pas.
- Contraindre une personne ne donne pas accès.
Les mathématiques passent de « une défaillance = perte totale » à « plusieurs défaillances indépendantes requises ».
Exiger une coordination
Le multisig peut imposer qu’aucune personne n’agisse seule :
- Trésorerie d’entreprise. Plusieurs dirigeants doivent approuver les grosses transactions.
- Patrimoine familial. Empêche un membre de la famille de déplacer des fonds unilatéralement.
- Discipline personnelle. Rend les décisions impulsives plus difficiles en exigeant une coordination.
Répartition géographique
Les clés peuvent être stockées dans différents lieux, voire différents pays. Cela protège contre :
- Les catastrophes régionales (incendie, inondation, tremblement de terre)
- Le risque juridictionnel (saisie, action juridique dans un pays)
- Le vol physique (un cambrioleur n’accède qu’à un seul lieu)
Un 2‑sur‑3 avec des clés dans trois pays signifie qu’aucun gouvernement, catastrophe ou voleur ne peut compromettre les fonds à lui seul.
Configurations courantes
| Configuration | Clés requises | Idéal pour | Redondance | Complexité |
|---|---|---|---|---|
| 2‑sur‑3 | 2 sur 3 | Standard pour la plupart | Peut perdre 1 clé | Moyenne |
| 3‑sur‑5 | 3 sur 5 | Très grosses sommes, organisations | Peut perdre 2 clés | Élevée |
| 2‑sur‑2 | Les deux | Comptes joints, coordination obligatoire | Aucune | Moyenne |
| Collaborative | 2‑sur‑3 avec fournisseur | Support de récupération, héritage | Fournisseur aide | Moyenne |
2‑sur‑3 : le standard
Deux clés sur trois sont requises. C’est la configuration la plus courante pour de bonnes raisons :
- Redondance. Perdez une clé, vous gardez l’accès.
- Sécurité. Une clé compromise ne suffit pas à voler les fonds.
- Praticité. Deux signatures suffisent pour les transactions courantes.
Répartition typique :
- Clé 1 : Appareil de signature principal (hardware wallet)
- Clé 2 : Appareil de signature de secours (autre hardware wallet, autre lieu)
- Clé 3 : Clé de récupération d’urgence (stockage sécurisé hors site ou détenue par une personne de confiance)
3‑sur‑5 : redondance maximale
Trois clés sur cinq sont requises. Plus complexe, mais plus résilient :
- Peut perdre deux clés et récupérer quand même
- Peut avoir deux clés compromises sans perte
- Permet une distribution plus large entre lieux et personnes
Cela a du sens pour des montants très importants ou des organisations avec plusieurs parties prenantes.
2‑sur‑2 : coordination obligatoire
Les deux clés sont nécessaires pour chaque transaction. Pas de redondance.
- Aucune partie ne peut agir seule.
- La perte de l’une des clés signifie la perte des fonds.
- Chaque transaction exige la coordination des deux parties.
Cas d’usage :
- Comptes joints où les deux parties doivent être d’accord
- Situations où empêcher une action unilatérale importe plus que la redondance
Garde collaborative
La garde collaborative implique un tiers qui détient une ou plusieurs clés :
- Vous détenez deux clés et un fournisseur en détient une. Vous pouvez toujours agir sans le fournisseur, mais celui‑ci peut aider à la récupération.
La complexité cachée
Le multisig est conceptuellement simple mais opérationnellement complexe. La plupart des échecs sont des échecs de maintenance : documentation manquante, données de configuration perdues, et chemins de récupération jamais pratiqués.
Plus de clés, plus de problèmes
Chaque clé nécessite :
- Génération sécurisée
- Stockage sécurisé
- Procédures de sauvegarde
- Vérification régulière
- Planification de la succession
Avec 2‑sur‑3, vous avez trois fois la gestion de clés d’une solution à clé unique. Avec 3‑sur‑5, cinq fois. Ce n’est pas seulement du travail de mise en place. C’est une charge opérationnelle continue.
Le problème de configuration du portefeuille
Contrairement aux portefeuilles à clé unique, les portefeuilles multisig nécessitent des informations supplémentaires pour être reconstruits : quelles clés publiques sont impliquées, le seuil (m‑sur‑n), les chemins de dérivation et le type de script.
Ces données de configuration sont séparées des clés. Si vous perdez la configuration, vous pourriez ne pas pouvoir dépenser même si vous avez toutes les clés.
C’est le mode d’échec le plus courant du multisig. Les gens sauvegardent les phrases‑graine avec soin, mais oublient le fichier de configuration du portefeuille. Des années plus tard, ils ne peuvent pas reconstruire le portefeuille.
Surcharge de coordination
Chaque transaction nécessite la coordination de plusieurs signatures :
- Déplacer un appareil de signature vers un autre endroit, ou
- Transférer des transactions partiellement signées entre appareils, ou
- Utiliser un logiciel qui coordonne la signature entre parties
Pour un stockage à froid de long terme avec des retraits rares, c’est gérable. Pour des transactions fréquentes, la surcharge est significative.
Dépendance logicielle
Le multisig nécessite un logiciel de portefeuille qui le prend en charge. Tous les portefeuilles ne le font pas.
Si votre logiciel de portefeuille disparaît ou devient incompatible, vous avez besoin d’un logiciel alternatif qui fonctionne avec votre configuration. Choisissez un logiciel qui :
- Est open source (auditable)
- A été utilisé de manière fiable pendant des années
- Prend en charge vos hardware wallets
- Permet d’exporter la configuration du portefeuille dans des formats standards
Bien configurer le multisig
Un setup multisig n’est aussi sûr que son maillon le plus faible.
Génération des clés
Chaque clé doit être générée indépendamment sur un appareil dédié :
- Utilisez des hardware wallets. Des fabricants différents pour différentes clés ajoutent une défense en profondeur.
- Générez hors‑ligne. Sans connexion à Internet.
- Vérifiez l’aléa. Utilisez des appareils avec génération de nombres aléatoires vérifiée.
- Génération indépendante. Ne dérivez pas plusieurs clés d’une seule seed.
Sélection des appareils
Pour un 2‑sur‑3, envisagez d’utiliser différentes marques de hardware wallets. Cela :
- Réduit le risque de vulnérabilités firmware d’un seul fabricant
- Assure que vous ne dépendez pas de la continuité d’une seule entreprise
- Fournit une défense en profondeur
Conseils pratiques :
- Préférez des fournisseurs indépendants (évitez trois appareils du même fabricant).
- Préférez des appareils avec un solide historique et un flux de vérification que vous utiliserez réellement.
- Préférez des logiciels et matériels qui facilitent l’export d’un descripteur de portefeuille standard et la ré‑importation ailleurs.
Création du portefeuille
- Exportez les clés publiques étendues (xpubs) de chaque appareil
- Utilisez un logiciel compatible multisig pour créer le portefeuille
- Vérifiez l’adresse résultante sur chaque appareil matériel
- Envoyez un petit montant de test
- Entraînez‑vous à dépenser avant de déposer des fonds significatifs
Critique : Chaque hardware wallet doit vérifier indépendamment la configuration multisig. Ne faites pas confiance uniquement au logiciel. Confirmez que les adresses correspondent sur l’écran de chaque appareil.
Options logicielles
Plusieurs applications prennent bien en charge le multisig :
- Sparrow Wallet (desktop, excellent support multisig, se connecte à votre propre nœud)
- Electrum (ancien, compatible multisig)
- Specter Desktop (conçu pour le multisig avec hardware wallets)
- Nunchuk (coordination mobile‑friendly)
Choisissez un logiciel open source fiable depuis des années, qui prend en charge votre matériel et permet l’export de la configuration dans des formats standards.
Sauvegarde et récupération
La sauvegarde en multisig est plus complexe qu’en clé unique. Vous sauvegardez plusieurs éléments, et ils sont tous importants.
Que sauvegarder
1. Phrases‑graine pour chaque clé
- Écrites sur papier ou gravées dans l’acier
- Stockées dans des lieux séparés et sécurisés
- Jamais stockées numériquement ni photographiées
2. Fichier de configuration du portefeuille
C’est l’élément critique que la plupart oublient. Sauvegardez :
- Le descripteur ou fichier de configuration du portefeuille
- Les clés publiques étendues (xpubs) de toutes les clés du setup
- Les chemins de dérivation utilisés
- Le type de script (P2SH, P2WSH, etc.)
Sans cela, vous ne pouvez pas reconstruire les adresses du portefeuille même avec toutes les phrases‑graine.
3. Instructions de reconstruction
Documentez comment reconstruire le portefeuille :
- Quel logiciel a été utilisé
- Quels hardware wallets ont été utilisés
- Où les clés sont stockées
- Processus de reconstruction étape par étape
Lieux de sauvegarde
Pour 2‑sur‑3 :
- Sauvegarde clé 1 : Lieu A (ex. coffre à domicile)
- Sauvegarde clé 2 : Lieu B (ex. coffre bancaire)
- Sauvegarde clé 3 : Lieu C (ex. membre de confiance, avocat)
Stockez la configuration du portefeuille avec au moins deux sauvegardes de clés. La configuration n’est pas secrète (elle contient des clés publiques, pas privées), mais la perdre est catastrophique.
Tester la récupération
Avant de dépendre du multisig pour des montants importants :
- Créez la configuration avec des montants de test
- Simulez la perte d’une clé (pouvez‑vous dépenser avec les deux restantes ?)
- Reconstruisez le portefeuille à partir des sauvegardes (les adresses correspondent‑elles ?)
- Vérifiez que la documentation est suffisamment complète pour qu’une autre personne puisse la suivre
Une sauvegarde jamais testée est une histoire, pas une sauvegarde.
Dépenser depuis un multisig
Utiliser multisig est plus impliqué que l’usage d’une clé unique.
Le processus de signature
Pour dépenser depuis un multisig 2‑sur‑3 :
- Créer une transaction. Spécifier destinataire, montant, frais. Crée un modèle de transaction non signé.
- Première signature. Signer avec un hardware wallet.
- Deuxième signature. Signer avec un autre hardware wallet.
- Diffuser. Envoyer la transaction finalisée au réseau.
La transaction partiellement signée (PSBT) est transférée entre appareils via carte SD, USB, codes QR ou transfert de fichiers.
Considérations pratiques
Clés au même endroit : signer avec un appareil, puis l’autre, puis diffuser. Simple.
Clés réparties : soit vous voyagez vers chaque lieu, soit vous transférez la PSBT électroniquement via un canal sécurisé, soit vous utilisez un logiciel de garde collaborative qui coordonne à distance.
Pour un stockage à froid de long terme avec des retraits rares, voyager pour signer est acceptable. Pour un accès plus fréquent, vous avez besoin d’une méthode de coordination.
Vérifier avant de signer
Avec multisig, la vérification est encore plus importante. Vérifiez l’adresse du destinataire et le montant sur l’écran de chaque hardware wallet. Ne faites pas confiance uniquement à l’écran de l’ordinateur.
Garde collaborative
La garde collaborative se situe entre l’autogarde totale et la délégation à un gardien. Vous gardez un contrôle significatif tout en bénéficiant d’un soutien opérationnel.
Comment cela fonctionne
Configuration typique : 2‑sur‑3 où vous détenez la Clé 1 (principale) et la Clé 2 (backup, autre lieu), et un prestataire détient la Clé 3.
Vous pouvez toujours dépenser sans le prestataire (avec vos deux clés). Le prestataire ne peut pas dépenser sans vous. Mais il peut :
- Aider à la récupération si vous perdez une clé
- Fournir une deuxième signature si vous choisissez de l’impliquer
- Offrir un support d’héritage via sa clé
Avantages
- Filet de sécurité de récupération. Perdez une clé, le prestataire peut aider.
- Support d’héritage. Le prestataire participe aux processus de succession.
- Pas de point de défaillance unique. Aucune partie n’a de contrôle unilatéral.
- Souveraineté maintenue. Vous pouvez toujours sortir sans la coopération du prestataire.
Inconvénients
- Vie privée. Le prestataire connaît votre historique de transactions.
- Dépendance. Pour la récupération, vous dépendez du prestataire qui doit rester opérationnel.
- Coût. Les prestataires facturent ce service.
Évaluer les prestataires
Demandez :
- Pouvez‑vous toujours dépenser sans eux ?
- Que se passe‑t‑il s’ils cessent leurs activités ?
- À quelles informations ont‑ils accès ?
- Quel est leur modèle de sécurité pour la clé qu’ils détiennent ?
- Quelles sont les procédures d’héritage et de récupération ?
→ Lire : Comment choisir un prestataire de garde Bitcoin
Quand le multisig est un mauvais choix
Le multisig n’est pas toujours la réponse. Parfois, il ajoute de la complexité sans bénéfice proportionnel.
Pour de petits montants
Si le montant ne justifie pas la charge opérationnelle, une clé unique avec une bonne sauvegarde est plus simple et suffisante. Règle générale : si perdre les bitcoin serait gênant mais pas bouleversant, l’autogarde simple peut suffire.
Quand vous ne pouvez pas l’entretenir
Le multisig exige un entretien continu : vérifier les sauvegardes, maintenir le matériel en état, mettre à jour les logiciels, maintenir la documentation. Si vous ne le ferez pas de manière réaliste, une configuration plus simple ou une garde professionnelle peut être plus sûre.
Pour des transactions fréquentes
Si vous dépensez régulièrement, la coordination multisig devient lourde. Envisagez :
- Un hot wallet à clé unique pour des transactions fréquentes et petites
- Un cold storage multisig pour des avoirs de long terme
- Déplacer les bitcoin du cold vers le hot selon les besoins
Sans compréhension suffisante
Un multisig mal implémenté est pire qu’une clé unique bien implémentée. Si vous ne comprenez pas ce que vous faites, vous êtes plus susceptible de perdre la configuration du portefeuille, de créer des adresses impossibles à dépenser, de faire de mauvais backups ou de commettre des erreurs lors des dépenses.
Apprenez en profondeur avant de l’implémenter, ou utilisez une garde collaborative où un prestataire gère la complexité.
Maintenir le multisig dans le temps
Le multisig n’est pas « configurer et oublier ». La sécurité à long terme exige une attention continue.
Vérification périodique
Au moins une fois par an :
- Vérifiez que chaque sauvegarde de phrase‑graine est lisible et accessible
- Confirmez que les hardware wallets s’allument et fonctionnent
- Testez que vous pouvez reconstruire le portefeuille à partir des sauvegardes
- Vérifiez que la sauvegarde de configuration du portefeuille est intacte
- Revoyez si la configuration correspond toujours à vos besoins
Cycle de vie du matériel
Les hardware wallets ne durent pas éternellement :
- Les batteries meurent
- Le firmware devient obsolète
- Les fabricants arrêtent des produits
- De nouvelles vulnérabilités de sécurité apparaissent
Planifiez le remplacement. Lors d’une mise à niveau : configurez un nouveau dispositif, vérifiez qu’il fonctionne avec votre multisig, envisagez de migrer vers de nouvelles clés si l’ancien matériel est compromis, mettez à jour la documentation.
Mises à jour logicielles
Gardez le logiciel de portefeuille à jour, mais prudemment :
- Attendez les premiers retours de bugs après les nouvelles versions
- Vérifiez les mises à jour depuis les sources officielles
- Testez avec de petits montants après mise à jour
- Gardez la capacité d’utiliser d’anciennes versions si nécessaire
Changements de vie
Votre configuration doit évoluer avec votre vie. Déménagement ? Mettez à jour les lieux de stockage des clés. Nouveaux membres de la famille ? Pensez à la succession. Votre modèle de menace a changé ? Réévaluez la configuration.
Documentation pour les autres
Votre multisig est inutile pour les héritiers s’ils ne peuvent pas le comprendre. Rédigez des instructions claires de reconstruction, expliquez où chaque composant est stocké, identifiez qui contacter pour de l’aide, testez qu’une autre personne puisse suivre votre documentation.
→ Lire : Planification d’héritage Bitcoin
Lectures complémentaires
- Bitcoin Security Guide. Fondamentaux de sécurité.
- Bitcoin Custody vs Hardware Wallet vs Multisig. Comparaison des options.
- Bitcoin Inheritance Planning. Succession pour l’autogarde.
- How to Choose a Bitcoin Custody Provider. Si la garde collaborative vous intéresse.
- What Breaks Custody. Modèles d’échec courants.
Sources supplémentaires
- BIP11: M-of-N Standard Transactions. Standard multisig d’origine.
- BIP16: Pay to Script Hash. P2SH a permis un multisig largement utilisé.
- BIP67: Deterministic ordering of public keys. Tri des clés pour une génération d’adresse cohérente.
- BIP174: Partially Signed Bitcoin Transaction Format. Standard PSBT pour la signature coordonnée.
- Bitcoin Core: Output script descriptors. Format précis de politique de portefeuille incluant multisig.
