Portefeuille matériel : un « coffre-fort froid » pour les clés privées
En bref : les clés privées restent dans l’appareil, et la confirmation des transactions se fait sur l’écran du portefeuille — ce qui réduit le risque de vol des clés via le PC, le navigateur et les extensions malveillantes.
Un portefeuille crypto matériel est un appareil physique qui conserve les clés privées en interne et signe les transactions localement, sans les révéler à l’ordinateur ni au téléphone.
Dans les portefeuilles « chauds », les opérations sont confirmées dans le navigateur ou sur le smartphone. Dans un portefeuille matériel, les clés restent dans l’appareil, et la signature est validée sur son écran (avec des boutons ou un capteur), de sorte qu’un logiciel malveillant présent sur l’hôte n’obtient pas les clés privées.
Comment fonctionne un portefeuille crypto matériel
- Les clés privées sont générées et conservées sur l’appareil.
- La transaction est signée à l’intérieur du portefeuille et confirmée sur l’écran de l’appareil.
- La transaction signée (signature numérique) est envoyée au réseau, tandis que les clés privées restent hors ligne.
Principe : Qui contrôle les clés contrôle les actifs.
Principaux avantages
- Convient au stockage à long terme de montants importants : le risque est plus faible qu’avec les portefeuilles « chauds ».
- Un logiciel malveillant sur PC ou téléphone n’obtient pas les clés privées de l’appareil, mais peut modifier les détails dans l’interface — la vérification de l’adresse et du montant sur l’écran reste donc critique.
- Convient à la DeFi et au staking : connexion via des applications propriétaires ou WalletConnect (connexion du portefeuille à un dApp via QR/session).
Contexte 2025 : davantage de modèles sont apparus pour différents scénarios de connexion (USB, Bluetooth, QR). Le critère clé reste le scénario : pour des opérations fréquentes, l’écran et le confort de validation comptent ; pour le « hold », ce sont le modèle de menace et la qualité du backup.
Les marques connues restent pertinentes à condition de respecter une hygiène de base : backup hors ligne de la seed phrase et vérification des détails de l’opération sur l’écran de l’appareil.
Contenu mis à jour → prise en compte des modèles 2024–2025, des scénarios USB/Bluetooth/QR et des risques typiques de “blind signatures” en DeFi.
- À vérifier avant de confirmer → l’adresse, le réseau et le montant sur l’écran de l’appareil.
- Comment conserver le backup → sauvegarde pratique (métal, passphrase, Shamir).
Comment choisir un portefeuille matériel : 5 critères sans superflu
Cinq critères : les détails affichés à l’écran lors de la signature, le type de prise en charge (native ou via intégrations), la récupération, ainsi que la connexion et le prix.
-
Sécurité (clés et accès)
- PIN et protection contre le brute-force : délais, verrouillage ou effacement après N tentatives.
- Vérification avant signature sur l’écran de l’appareil : adresse, réseau, montant, frais.
- Risques liés à l’accès physique : Secure Element et/ou passphrase réduisent les conséquences du vol de l’appareil.
-
Confort (erreurs de confirmation)
- Critère d’écran : les détails de l’opération doivent s’afficher, et pas seulement “OK/Confirm”.
- Critère d’adresse : des fragments longs et lisibles, pour qu’une substitution soit visible.
- Pour la DeFi, la visibilité de approve/spender (à qui des droits sont accordés) est plus importante que le “blind signing”.
-
Coins et réseaux (type de prise en charge)
- La prise en charge peut être native dans l’application propriétaire ou passer par des intégrations (MetaMask/Electrum/Sparrow), ce qui implique des limites et une UX différentes.
- La compatibilité dépend de la plateforme (PC/Android/iOS) et de l’application utilisée.
- Vérification pratique : un cycle de test “recevoir → envoyer une petite somme” montre quels détails s’affichent à l’écran lors de la signature.
-
Connexion (USB, Bluetooth, QR)
- USB — prévisible ; le QR air-gap réduit le nombre de canaux d’échange de données, mais demande plus de temps.
- Le Bluetooth est pratique avec un téléphone, mais ajoute un canal de communication ; dans un modèle de menace strict, il est plus souvent utilisé comme mode optionnel.
- Nuances selon la plateforme : Android (OTG), iOS (limitations du modèle et de l’application).
-
Prix (paiement pour l’UX, pas pour la “magie”)
- En général ~$50–$300+ : la hausse du prix est le plus souvent liée à l’écran, au tactile et au confort.
- Le risque supply-chain est plus faible en achetant auprès de vendeurs officiels ; les appareils “d’occasion” et “préconfigurés” augmentent le risque de compromission.
- Dépenses liées au backup : métal, second exemplaire, stockage séparé.
Autres points à prendre en compte
- Logiciel : Ledger Live / Trezor Suite / BitBoxApp et compatibilité avec des portefeuilles tiers pour les réseaux nécessaires.
- Documentation et mises à jour : instructions claires et fréquence des versions pour la plateforme visée.
- Backup : 24 mots / microSD / Shamir (si disponible) et test unique de restauration “à vide”.
- Réaction aux vulnérabilités : rapidité, transparence, correctifs.
L’échec typique n’est pas lié à un “piratage de la puce”, mais à des erreurs de manipulation : achat hors vendeurs officiels, copies numériques de la seed phrase et signature sans vérification de l’adresse/du réseau/du montant sur l’écran de l’appareil.
Comparaison des portefeuilles matériels 2024–2025 : ce qui s’achète réellement pour son prix
Le tableau n’est pas un “classement”. Il aide à comparer les scénarios : multidevise universel, air-gap par QR ou BTC-only pour une isolation stricte.
Comment lire : 1) écran (adresse/réseau/montant lors de la signature), 2) connexion (USB/BT/QR), 3) “# coins”. La “prise en charge” peut être native (application propriétaire) ou via intégrations (MetaMask/Electrum/Sparrow).
Les prix et le nombre de coins sont indicatifs : ils dépendent de la région, des livraisons et des mises à jour.
| Modèle | Prix | # Coins | Compatibilité | Particularités | Avantages | Inconvénients |
|---|---|---|---|---|---|---|
| Trezor One | ~$65 (59 €) |
1000 | PC Android (OTG) |
OLED ; 2 boutons sans SE ; open-source |
Prix bas : “barrière d’entrée” démarrage et configuration simples code ouvert |
Pas de BT ni d’iOS petit écran : l’adresse est plus difficile à vérifier sans SE, le rôle de la passphrase est plus important en cas d’accès physique |
| Trezor Model T | ~$219 | 1800+ | PC Android (OTG) |
Tactile 1.54″ (couleur) microSD (Shamir) open-source |
Écran tactile : vérification des données plus simple Shamir Backup pour le backup Monero disponible |
Plus cher que beaucoup d’alternatives pas de BT/iOS sans SE, la discipline autour de la passphrase reste importante |
| Ledger Nano X | $149 | 5500+ | PC Android/iOS (BT) |
OLED ; 2 boutons BT + batterie SE CC EAL5+ |
Large couverture d’actifs et d’intégrations scénario mobile : BT + batterie puce SE comme avantage contre l’accès physique |
Firmware fermé (modèle de confiance différent) controverses réputationnelles autour des fonctions/incidents de la marque sur iOS, certains scénarios peuvent être limités |
| Ledger Stax | $279 | 5500+ | PC Android/iOS (BT) |
E-Ink 3.7″ (tactile) charge Qi SE EAL6+ |
Grand E-Ink : moins de confirmations “à l’aveugle” grand écran et tactile SE EAL6+ |
Prix très élevé batterie non amovible firmware fermé |
| Coldcard Mk4 | $150 | BTC-only | PC PSBT : microSD/USB |
OLED + clavier 2× SE ; sans BT NFC (opt.) |
BTC-only : focus strict PSBT/microSD pour signature hors ligne multisig et modes de protection |
BTC uniquement barrière d’entrée plus élevée (PSBT, multisig, Sparrow) moins de confort “quotidien” |
| Keystone 3 Pro | $149 | 5500+ | Autonome (QR) Android / iOS |
Écran 4″ ; 3× SE empreinte ; sans USB/BT self-destruct |
Air-gap par QR : sans câble ni canal de données BT grand écran : vérification des détails plus simple pratique pour la DeFi mobile via QR |
Le processus QR est plus lent que l’USB/BT appareil plus volumineux que les “clés USB” UX dépendante des applications/couplages |
| BitBox02 | $120 | ~1500 | PC Android (USB-C) |
USB-C compact bords tactiles backup microSD |
Backup microSD : restauration rapide bon équilibre entre “transparence + matériel” version BTC-only disponible |
Pas d’iOS sur le modèle classique moins de réseaux que Ledger la commande tactile demande une période d’adaptation |
| NGRAVE ZERO | $398 (398 €) |
1000+ | Autonome (QR) Android / iOS |
Tactile 4″ ; caméra SE EAL7 ; biométrie entièrement hors ligne |
Accent mis sur le “matériel” et les risques physiques grand écran + confirmations hors ligne backup Graphene comme scénario distinct |
Prix très élevé expérience moins répandue et moins d’intégrations firmware fermé ; scénario via smartphone/couplage |
| SafePal S1 | $50 | 30 000+ | Autonome (QR) Android / iOS ; USB |
Écran + caméra batterie support Binance Labs |
Entrée abordable dans le stockage “à froid” larges listes de réseaux/tokens scénario QR sans câble |
UI datée et navigation par boutons mises à jour peu fréquentes et UX inégale compromis sur le boîtier/les sensations |
Vérification pratique : 1) l’actif figure dans la liste officielle et le type de prise en charge est clair ; 2) l’écran de l’appareil affiche l’adresse, le réseau, le montant et les frais avant la signature.
Aperçus des portefeuilles matériels : 8 modèles et des compromis faciles à comprendre
Aperçus rapides par scénario : polyvalence, air-gap, BTC-only ou grand écran.
Comment lire : 1) “Essentiel” (scénario et modèle de confiance), 2) paramètres (écran/connexion/logiciel), 3) points forts et limites, 4) conclusion sur l’usage.
Trezor One — un « vétéran » simple pour débuter
Essentiel : portefeuille abordable sans Bluetooth ni batterie. Souvent choisi comme “premier froid”, mais sans Secure Element ; en cas de risque d’accès physique, une passphrase est généralement ajoutée.
- Connexion : USB (micro-USB) • sans BT/batterie
- Actifs : >1 000 (BTC, ETH, LTC, ERC-20 et autres)
- Écran/commande : OLED (mono) • 2 boutons
- Compatibilité : Windows / macOS / Linux ; Android (OTG) • iOS — non
- Logiciel : Trezor Suite (Desktop + Web + Bridge)
- Modèle de protection : open-source ; SE : non • PIN, Passphrase, signature hors ligne
|
Points forts
|
Limites
|
À qui cela convient : scénario filaire de base et “barrière d’entrée” vers le stockage à froid ; pour une classe avec écran tactile ou SE, d’autres modèles de la gamme sont plus souvent envisagés.
Trezor Model T — le vaisseau amiral Trezor avec écran tactile
Essentiel : écran tactile couleur et saisie du PIN/passphrase sur l’appareil. Présence de Shamir Backup. Approche “open-source sans Secure Element”.
- Connexion : USB-C • microSD pour Shamir • sans BT/batterie
- Actifs : ≈1 800+ • Monero — disponible sur ce modèle
- Écran : tactile couleur 1.54″ • saisie sur l’appareil
- Compatibilité : PC ; Android (OTG) • iOS — non
- Logiciel : Trezor Suite
- Modèle de protection : open-source ; SE : non • Shamir, CoinJoin, FIDO2
|
Points forts
|
Limites
|
À qui cela convient : scénarios où l’UX tactile et Shamir Backup comptent dans un modèle de confiance aussi “ouvert” que possible.
Ledger Nano X — un multidevise “pour tous les jours”
Essentiel : portefeuille compact avec Bluetooth et batterie pour les scénarios mobiles. Ledger Live couvre les opérations de base. Présence d’un Secure Element CC EAL5+, mais firmware fermé.
- Connexion : USB-C / Bluetooth • batterie
- Actifs : ≈5 500+
- Écran : OLED 128×64 • 2 boutons
- Compatibilité : PC ; Android / iOS • limitations possibles
- Logiciel : Ledger Live
- Modèle de protection : SE CC EAL5+ • PIN, Passphrase, U2F
|
Points forts
|
Limites
|
À qui cela convient : “un seul portefeuille pour de nombreux usages” (multiréseaux + scénario mobile), si un firmware fermé est acceptable.
Ledger Stax — grand E-Ink et accent sur le confort de confirmation
Essentiel : accent sur la lisibilité : E-Ink incurvé 3.7″, tactile, charge Qi et aimants. Côté usage, il reste proche du Nano X, mais les confirmations à l’écran sont plus faciles à lire. SE EAL6+.
- Connexion : USB-C / Bluetooth • Qi • batterie
- Actifs : ≈5 500+
- Écran : 3.7″ E-Ink (tactile) • always-on
- Compatibilité : PC ; Android / iOS
- Logiciel : Ledger Live
- Modèle de protection : SE EAL6+ • PIN, Passphrase
|
Points forts
|
Limites
|
À qui cela convient : scénarios où la lisibilité et le confort des confirmations à l’écran sont prioritaires.
Coinkite Coldcard — BTC-only et contrôle maximal
Essentiel : portefeuille BTC pour le “mode strict” : PSBT via microSD (air-gap), 2× Secure Element, duress-PIN et modes de protection. Souvent utilisé pour le multisig et le hold de long terme.
- Connexion : USB (alimentation) • microSD (PSBT) • sans BT/batterie
- Actifs : BTC-only
- Commande : OLED + clavier • 12 touches
- Compatibilité : PC + hors ligne via microSD
- Logiciel : Electrum / Sparrow / Specter
- Modèle de protection : 2× SE • duress PIN, Brick Me, tamper
|
Points forts
|
Limites
|
À qui cela convient : hold BTC et schémas multisig, lorsque le contrôle compte plus que le confort “au quotidien”.
Keystone 3 Pro — air-gap par QR pour une DeFi active
Essentiel : échange de données via QR (sans BT et sans échange de données par USB), grand écran tactile 4″, 3× Secure Element et modes de protection. Le scénario visé — DeFi mobile via WalletConnect et couplage avec des applications compatibles.
- Connexion : Air-gap (QR) • sans BT/USB de données
- Actifs : ≈5 500+
- Écran : tactile 4″ + caméra
- Compatibilité : Android / iOS • PC via QR
- Logiciel : Keystone Companion • WalletConnect
- Modèle de protection : 3× SE • Self-Destruct, Fingerprint
|
Points forts
|
Limites
|
À qui cela convient : QR air-gap et opérations DeFi actives sur téléphone, avec la signature hors ligne comme priorité.
BitBox02 — minimalisme et backup microSD “en une étape”
Essentiel : portefeuille filaire compact avec backup microSD “par fichier”, approche open-source et puce sécurisée. Versions Multi et BTC-only disponibles.
- Connexion : USB-C • microSD (backup)
- Actifs : ≈1 500+ (Multi) • BTC-only — version distincte
- Commande : OLED • bords tactiles
- Compatibilité : PC ; Android (USB-C) • iOS — non
- Logiciel : BitBoxApp
- Modèle de protection : SE ATECC608A • Anti-Klepto, U2F
|
Points forts
|
Limites
|
À qui cela convient : stockage soigné avec priorité à une sauvegarde simple et à une UX minimaliste.
NGRAVE ZERO — un “coffre de bureau” avec EAL7 et mode QR
Essentiel : appareil hors ligne au format “mini-smartphone” : échange QR, grand écran, SE EAL7, capteurs anti-altération et backup physique Graphene. Classe de niche avec accent sur les risques physiques.
- Connexion : Air-gap (QR) • USB-C : charge/firmware
- Actifs : ~1 000+
- Écran : tactile 4″ + caméra • 480×800
- Compatibilité : Android / iOS
- Logiciel : Liquid • WalletConnect ; intégrations QR
- Modèle de protection : SE EAL7 • capteurs anti-altération, NGRAVE OS
|
Points forts
|
Limites
|
À qui cela convient : modèle de menace strict et montants importants, lorsque la priorité va à la signature hors ligne et à la robustesse physique de l’appareil.
Modèles de niche et alternatives dignes d’intérêt
Ici, il ne s’agit pas des “grands classiques”, mais d’appareils pensés pour des scénarios précis : ultra-budget, Trezor avec SE, BTC-only avec bonne UX, open-source pour une approche technique, carte NFC pour le quotidien.
SafePal S1
Format : air-gap via QR (USB — optionnel, selon le scénario).
Actifs : plus de 30 000 tokens/réseaux annoncés — la prise en charge réelle dépend de SafePal App.
Point fort : faible prix d’entrée dans le stockage à froid + large couverture des réseaux dans les listes.
Limite : UX plus simple et firmware fermé — modèle de confiance différent des appareils open-source.
À qui cela convient : scénarios où un prix minimal est prioritaire avec de larges listes de réseaux, et où le processus QR reste acceptable en vitesse.
Trezor Safe 3
Format : filaire (USB), sans Bluetooth.
Écosystème : Trezor Suite (PC + Android via OTG).
Point fort : “expérience Trezor” + Secure Element dans une gamme plus accessible.
Limite : pas d’iOS/BT et pas de tactile — confirmation et navigation moins “mobiles”.
À qui cela convient : scénarios où l’interface Trezor et la puce SE comptent face aux risques d’accès physique.
Blockstream Jade
Format : modes hybrides — USB / Bluetooth / QR.
Focus : approche open-source et scénarios BTC (souvent via Green et des portefeuilles compatibles).
Point fort : choix du mode de connexion selon la situation (USB pour la simplicité, BT pour la mobilité, QR pour l’isolation).
Limite : absence de Secure Element “classique” — point décisif dans certains scénarios.
À qui cela convient : approche open-source et flexibilité des modes de connexion sans dépendre d’un seul scénario.
Foundation Passport
Format : BTC-only avec QR air-gap et accent sur une UX claire.
Intégrations : le plus souvent couplé à Sparrow/Specter et à d’autres outils BTC.
Point fort : focus BTC strict sans interface purement “technicienne”.
Limite : prix élevé et strictement BTC-only (sans scénario “au cas où pour les alts”).
À qui cela convient : stockage uniquement de BTC avec QR air-gap, lorsque la lisibilité et la navigation comptent en priorité.
Tangem Wallet
Format : “smart card” NFC sans écran — gestion via smartphone.
Sécurité : Secure Element (souvent indiqué EAL6+) ; firmware fermé/non modifiable.
Point fort : seuil d’entrée minimal et scénario quotidien très rapide.
Limite : sans écran sur l’appareil, il n’existe pas de vérification “matérielle” de l’adresse/du montant ; la dépendance au smartphone augmente.
À qui cela convient : scénarios où la vitesse et le format carte comptent, tandis que l’autonomie et la vérification sur écran passent au second plan.
Guide de sélection : un portefeuille matériel selon le profil et le scénario
Le choix se résume à trois paramètres : actifs (BTC-only ou multiréseaux), signature (USB / Bluetooth / QR) et échelle du risque (opérations quotidiennes ou montants importants).
Logique de sélection en bref :
- Téléphone : Bluetooth (Ledger) ou QR air-gap (Keystone / SafePal / NGRAVE).
- Moins de confirmations “à l’aveugle” : adresse et montant lisibles à l’écran (écran plus grand ou interface plus transparente).
- Montants importants : priorité aux schémas multisig + backups répartis, puis choix du modèle.
1) Pour débuter et pour un usage quotidien
- Trezor Safe 3 / Trezor One — scénario filaire et écosystème Suite ; la protection contre les substitutions dépend de la vérification de l’adresse à l’écran.
- Ledger Nano S Plus — solution abordable avec une large prise en charge des coins dans un scénario USB.
- SafePal S1 — beaucoup de réseaux pour un prix minimal avec signature par QR ; vitesse inférieure à l’USB/BT.
2) DeFi/NFT et usage actif
- Ledger Nano X / Ledger Stax — Bluetooth, Ledger Live et intégrations pour les multiréseaux.
- Keystone 3 Pro — QR air-gap pour la DeFi mobile via WalletConnect et des applications compatibles ; l’échange par QR ajoute des étapes et réduit le nombre de canaux de transmission de données.
- BitBox02 Multi — backup microSD et écosystème ; la couverture des réseaux doit être comparée aux tokens visés.
3) Montants importants et modèle de menace strict
- Multisig 2-sur-3 — moins de risque de “point de défaillance unique” : différentes marques + stockage séparé des clés et des backups.
- NGRAVE ZERO — QR air-gap et accent sur la protection (plus cher et moins “quotidien” comme format).
- La routine compte plus que le modèle : passphrase, backup métallique, test de restauration et vérification de l’adresse/du montant à l’écran.
Critique à chaque signature : vérification de l’adresse, du réseau et du montant sur l’écran de l’appareil. La seed se conserve hors ligne (de préférence sur métal), et le PIN/la seed/passphrase ne sont pas transmis à des tiers.
Questions et réponses (FAQ)
Backup de la seed phrase pour un portefeuille matériel : métal, passphrase ou Shamir — que choisir ?
Le niveau de base — métal et second exemplaire conservé ailleurs. Pour des montants importants, une passphrase peut être ajoutée ou un Shamir 2-sur-3 peut être utilisé ; une étape distincte consiste à vérifier une fois la restauration sur un appareil “propre”. Une analyse détaillée du backup se trouve dans un autre article : seed phrase : stockage et backups.
USB, Bluetooth ou QR (air-gap) : quel impact sur un portefeuille matériel et sur la confirmation ?
QR/PSBT réduit le nombre de canaux d’échange de données, USB reste une option valable si la vérification se fait à l’écran, Bluetooth ajoute un canal de communication au profit de la mobilité. Le principe général : la vérification de l’adresse/du réseau/du montant se fait sur l’appareil, et non dans l’application.
PC/smartphone infecté et portefeuille matériel “propre” : où le risque subsiste-t-il ?
Les clés privées ne quittent pas l’appareil, mais un hôte infecté peut modifier l’adresse et les détails dans l’interface. Réaction pratique : arrêt des opérations et passage à un environnement propre ; en cas de doute, un scénario nouvelle seed + passphrase et transfert des fonds peut être appliqué.
DeFi/NFT via un portefeuille matériel : qu’est-ce qui doit être visible au moment de signer ?
Il est critique que l’écran de l’appareil affiche clairement les détails de l’opération et le type d’action (par exemple, transfer ou approve), et dans EVM — qui est le spender et quel allowance est accordé. Une explication plus poussée sur les approvals et la révocation des autorisations est disponible séparément : approval/allowance : vérification et revoke.
Que faut-il vérifier sur l’écran de l’appareil avant de signer ?
À qui (adresse), quoi (actif/montant), où (réseau/chainId), combien (frais). Dans EVM séparément : transfer ou approve, et qui est le spender. Si l’opération n’est pas claire, la signature est reportée.
Quand un multisig avec des portefeuilles matériels a-t-il du sens ?
Pour des montants importants, un schéma 2-sur-3 avec des appareils de marques différentes réduit le risque de point de défaillance unique. Conditions du scénario : stockage séparé des clés et des backups, test de perte d’un appareil. Le montage pas à pas et les nuances cross-vendor sont décrits séparément : multisig 2-sur-3 : principes et montage.
Héritage et portefeuille matériel : que faut-il prévoir ?
Deux couches : des documents juridiques et une “instruction technique” distincte (où se trouvent les backups et quel est l’ordre des actions). La seed phrase n’est pas placée dans un testament ; le scénario doit fonctionner sans la participation du propriétaire.
Conclusion : un stockage à froid qui fonctionne vraiment
Un portefeuille matériel conserve les clés privées à l’intérieur de l’appareil et signe les transactions hors ligne. La confirmation à l’écran réduit le risque de substitution d’adresse et de “signature de la mauvaise opération”.
Formule pratique : clés hors ligne + backup séparé + vérification à l’écran — un socle de base plus important que le “modèle haut de gamme”.
La seed phrase ne doit jamais passer sous forme numérique (photos/scans/cloud/saisie sur PC). Si la seed a existé “en numérique”, le risque de compromission est considéré comme plus élevé.
|
Recommandé
|
À éviter
|
Mini-algorithme de démarrage
- Achat : vendeur officiel → vérification de l’emballage et du contenu.
- Initialisation : la seed est créée sur l’appareil → notée hors ligne → second exemplaire.
- Accès : PIN → si nécessaire passphrase (stockage séparé).
- Vérification : transfert test aller/retour avec un petit montant.
- Séparation : une adresse distincte pour le stockage et une autre “opérationnelle” pour la DeFi.
- Maintenance : mises à jour uniquement depuis des sources officielles + révision périodique des autorisations (allowance).
Idée finale : la sécurité ne vient pas du “portefeuille le plus cher”, mais de la routine : backup hors ligne, stockage séparé et vérification à l’écran.