Saisons
Classement
Actualités
Apprendre
Recherche
Classement
Écosystème
Portefeuille
yellow banner logo
TRADING
PLATEFORME EN DIRECT
COMMENCER MAINTENANT
yellow shooting stars
background stars

Portefeuilles matériels hors ligne vs USB vs Bluetooth : lequel est réellement plus sûr ?

profile-alexey-bondarev
Alexey Bondarevil y a 3 heures
#Portefeuille Crypto
Portefeuilles matériels hors ligne vs USB vs Bluetooth : lequel est réellement plus sûr ?

La façon dont un portefeuille matériel se connecte au monde extérieur suscite de vifs débats parmi les détenteurs de crypto, alors qu’aucun attaquant n’a jamais volé de fonds en interceptant un signal USB ou Bluetooth. Toutes les failles documentées ont ciblé le firmware, les puces physiques ou l’infrastructure environnante. La vraie question n’est pas quel câble couper, mais contre quel modèle de menace se préparer.

TL;DR

  • Les portefeuilles hors ligne éliminent certains vecteurs d’attaque à distance mais en introduisent de nouveaux via l’analyse des QR et les microcontrôleurs des cartes microSD, et ils ne peuvent pas prendre en charge les protocoles de signature anti‑klepto.
  • Les portefeuilles USB avec éléments sécurisés certifiés n’ont jamais été compromis via leur connexion de données ; le protocole anti‑klepto, disponible uniquement via des canaux persistants, représente un véritable progrès en matière de sécurité.
  • Le Bluetooth n’a jamais été exploité sur un portefeuille matériel malgré des années d’inquiétude dans la communauté ; l’isolation par élément sécurisé rend l’interception BLE pratiquement inutile pour les attaquants.

Tous les portefeuilles matériels ne se valent pas

Les portefeuilles matériels partagent un principe central : les clés privées restent sur l’appareil tandis que la signature des transactions se fait en isolation de l’ordinateur hôte. Au‑delà de cette base commune, les appareils divergent fortement. Le mode de connectivité, l’architecture des puces, la transparence du firmware et la conception physique varient selon les fabricants et les modèles.

Le marché se divise en trois camps de connectivité. Les appareils uniquement USB comme Trezor Safe 3 et BitBox02 se branchent directement sur un ordinateur. Les portefeuilles compatibles Bluetooth comme les Ledger Nano X et Ledger Stax se connectent sans fil aux téléphones. Les signers hors ligne comme Coldcard, Foundation Passport, Keystone 3 Pro, NGRAVE ZERO et Ellipal Titan ne se connectent jamais à aucun réseau.

Chaque approche implique des compromis.

L’USB offre une communication bidirectionnelle à faible latence mais crée un canal de données physique.

Le Bluetooth ajoute de la commodité sur mobile mais ouvre une interface sans fil. Le mode hors ligne élimine totalement les canaux de données électroniques mais limite les protocoles de sécurité que l’appareil peut prendre en charge.

Le prix et la philosophie varient aussi largement. Un Trezor Safe 3 ou un Ledger Nano S Plus coûte environ 79 $. Coldcard Mk4 est à 148 $ et Foundation Passport à 199 $. NGRAVE ZERO se situe à 398 $. L’option gratuite est AirGap Vault, qui transforme n’importe quel smartphone inutilisé en signer hors ligne.

À lire aussi : Ethereum Eyed For Euro Stablecoin Settlement Layer

Ce que signifie réellement « hors ligne »

Le NIST définit un réseau « air‑gapped » comme une séparation physique entre systèmes qui empêche tout transfert de données non autorisé. Pour les portefeuilles matériels, cela signifie pas de données USB, pas de Wi‑Fi, pas de Bluetooth, pas de NFC, pas de cellulaire. Le seul pont entre l’appareil et le monde extérieur est la lumière ou un support de stockage amovible.

Les portefeuilles hors ligne suivent un flux de travail cohérent. Une application compagnon sur téléphone ou ordinateur construit une transaction non signée, généralement formatée en PSBT (Partially Signed Bitcoin (BTC) Transaction, selon BIP‑174).

Elle encode cette transaction sous forme de code QR ou la sauvegarde sur une carte microSD. L’appareil hors ligne scanne le QR ou lit le fichier, affiche les détails de la transaction sur son écran de confiance, signe avec la clé privée stockée dans son élément sécurisé, puis produit un QR ou un fichier signé.

La signature basée sur QR repose sur des séquences de QR animés pour les transactions volumineuses. Des standards comme la spécification Uniform Resource de Blockchain Commons avec fountain codes, ou le protocole BBQr de Coinkite, répartissent les données sur des dizaines d’images. Un seul QR atteint sa limite de lisibilité vers 3 à 5 Ko, si bien que les transactions multisig complexes ou CoinJoin exigent de la patience.

La signature via microSD évite totalement cette contrainte de taille. Coldcard l’utilise comme méthode principale. Mais les cartes microSD contiennent des microcontrôleurs embarqués avec un firmware piratable, comme le chercheur Bunnie Huang l’a documenté. Il est donc légitime de se demander si un mini‑ordinateur branché sur votre portefeuille préserve réellement la « séparation physique ».

Le paysage des appareils hors ligne inclut plusieurs approches distinctes :

  • Coldcard Mk4 (148 $) ne gère que Bitcoin, avec deux éléments sécurisés de fournisseurs différents, un firmware entièrement open source et reproductible, et des fonctions comme les codes PIN pièges qui peuvent briquer l’appareil sous la contrainte
  • NGRAVE ZERO (398 $) revendique une certification EAL7 pour son environnement d’exécution de confiance ProvenCore spécifiquement, pas pour l’appareil entier, et son firmware reste en grande partie propriétaire
  • Foundation Passport (199 $) combine une architecture de sécurité à la Coldcard avec un design convivial et un matériel comme un logiciel entièrement open source
  • Keystone 3 Pro (149 à 169 $) fonctionne sur un Android 8.1 personnalisé avec trois puces d’élément sécurisé et fut le premier portefeuille à ouvrir le firmware de son élément sécurisé
  • Ellipal Titan 2.0 (169 $) utilise un boîtier entièrement métallique scellé avec auto‑destruction anti‑intrusion

À lire aussi : Bitcoin Hits $72.7K High On Iran Peace Optimism

Les portefeuilles USB et Bluetooth reposent sur les éléments sécurisés, pas sur l’isolement

Les portefeuilles connectés en USB communiquent via le protocole USB HID, avec des couches applicatives propriétaires par‑dessus. Ledger utilise l’APDU, le standard des cartes à puce. Trezor utilise protobuf sur HID avec Trezor Bridge comme démon. BitBox02 utilise des messages protobuf chiffrés via le Noise Protocol Framework, établissant un canal chiffré de bout en bout vérifié par un code d’appairage hors bande. Ce chiffrement est unique parmi les portefeuilles USB. Même un ordinateur hôte totalement compromis ne peut pas lire ni manipuler les données en transit.

L’épine dorsale sécuritaire de ces portefeuilles est l’élément sécurisé, une puce résistante aux altérations, certifiée pour résister à la sonde physique, aux glitchs de tension et à l’analyse par canaux auxiliaires. Les appareils Ledger récents utilisent des puces ST33K1M5 certifiées EAL6+, sur lesquelles leur système d’exploitation personnalisé BOLOS s’exécute directement, en pilotant l’écran et les boutons depuis l’intérieur du périmètre sécurisé.

Trezor a suivi une autre voie pendant des années.

Ses premiers modèles ne comportaient aucun élément sécurisé. Les Safe 3 et Safe 5 ont ajouté des puces Infineon OPTIGA Trust M certifiées EAL6+ pour l’application du PIN et l’attestation de l’appareil. Mais la signature cryptographique s’effectue toujours sur le microcontrôleur généraliste, pas dans l’élément sécurisé. Le futur Trezor Safe 7 introduit TROPIC01, le premier élément sécurisé entièrement auditables et open source, développé par Tropic Square, une filiale de SatoshiLabs.

Les portefeuilles compatibles Bluetooth utilisent le Bluetooth Low Energy uniquement comme couche de transport. L’implémentation de Ledger considère la connexion BLE comme compromise par défaut. Le MCU STM32WB55 avec sa radio BLE agit comme relais. L’élément sécurisé contrôle indépendamment l’écran et les boutons. Les clés privées ne sortent jamais du périmètre de l’élément sécurisé.

Les principales caractéristiques de sécurité de l’implémentation BLE sur les appareils Ledger comprennent :

  • L’appairage utilise Numeric Comparison, la méthode BLE standard la plus robuste, avec une authentification AES‑CMAC pour empêcher les attaques de type homme‑du‑milieu
  • Seules des données publiques (transactions non signées, transactions signées) transitent sur le canal sans fil, jamais les seeds ni les clés privées
  • Les utilisateurs peuvent désactiver complètement le Bluetooth et revenir à l’USB à tout moment
  • L’élément sécurisé valide et affiche les détails de la transaction indépendamment de la pile BLE

Le fait que Trezor ait ajouté le Bluetooth au Safe 7 après des années d’évitement de la connectivité sans fil traduit un consensus dans l’industrie. Le BLE est acceptable lorsqu’une isolation correcte via élément sécurisé est en place.

À lire aussi : Why Central Banks May Struggle To Control Inflation This Time

Toutes les attaques réelles ont visé le firmware et le physique, jamais le câble

Le fait le plus révélateur en matière de sécurité des portefeuilles matériels est le suivant : parmi toutes les failles documentées depuis la naissance du secteur, aucune attaque réussie ne s’est appuyée sur l’interception ou la manipulation du canal de transport de données. Ni l’USB. Ni le Bluetooth. Ni les codes QR.

Douglas Bakkum, cofondateur de Shift Crypto (BitBox), a catalogué systématiquement toutes les vulnérabilités connues et conclu que la communication hors ligne apporte peu de sécurité supplémentaire tout en dégradant l’expérience utilisateur.

Les Kraken Security Labs ont démontré en janvier 2020 que les seeds pouvaient être extraites des Trezor One et Trezor Model T en environ 15 minutes avec quelque 75 $ de matériel. L’attaque utilisait un glitch de tension pour rétrograder la protection en lecture du microcontrôleur STM32 de RDP2 à RDP1, puis extrayait le seed chiffré via le débogage ARM SWD et bruteforçait le PIN.

Cette vulnérabilité est inhérente à la famille de puces STM32 et ne peut pas être corrigée par une mise à jour de firmware. La recommandation de Trezor pour atténuer le risque était d’utiliser une passphrase BIP39, qui n’est pas stockée sur l’appareil.

La fuite de la base de données Ledger de juin 2020 a causé plus de dommages concrets que toutes les vulnérabilités matérielles réunies. Une clé d’API mal configurée a exposé 1,1 million d’adresses e‑mail et environ 272 000 enregistrements complets de clients, incluant noms, adresses de domicile adresses et numéros de téléphone.

Les conséquences ont été dévastatrices. De faux portefeuilles Ledger avec un firmware altéré ont été envoyés par la poste aux victimes. Des e‑mails d’extorsion exigeaient entre 700 et 1 000 dollars en Bitcoin. Une série d’attaques physiques contre des détenteurs de crypto a suivi et se poursuit encore aujourd’hui. En janvier 2025, le cofondateur de Ledger, David Balland, a été kidnappé en France et s’est fait sectionner un doigt.

La controverse autour de Ledger Recover en mai 2023 a brisé une hypothèse centrale que de nombreux utilisateurs avaient. Le service optionnel de Ledger, facturé 9,99 $ par mois, chiffre la phrase de récupération de l’utilisateur, la divise en trois fragments et les distribue à Ledger, à Coincover et à un troisième dépositaire, en exigeant une vérification d’identité KYC.

La colère de la communauté s’est concentrée sur une révélation fondamentale : le firmware de Ledger a toujours eu la capacité technique d’extraire les phrases de récupération depuis l’élément sécurisé. Le CTO Charles Guillemet a expliqué que cela est inhérent à toute architecture de portefeuille matériel. Le cofondateur Éric Larchevêque a confirmé sur Reddit que l’utilisation de Recover signifie que les actifs pourraient être gelés par un gouvernement.

À lire aussi : Cardano Whale Wallets Reach 4-Month Peak Amid 42% Drop

Le problème Anti-Klepto donne à l’USB un véritable avantage de sécurité

Dark Skippy, divulgué en août 2024 par les cofondateurs de Frostsnap Lloyd Fournier et Nick Farrow aux côtés du développeur BitVM Robin Linus, a montré qu’un firmware malveillant pouvait exfiltrer l’intégralité de la phrase de récupération d’un utilisateur via seulement deux signatures de transaction.

L’attaque intègre des données de la phrase de récupération dans les nonces de signature. Un attaquant surveillant la blockchain publique pourrait reconstruire la phrase à l’aide de l’algorithme Pollard’s Kangaroo. Cela affecte tous les portefeuilles matériels, quel que soit leur mode de connexion.

La défense contre Dark Skippy est le protocole anti‑klepto. Dans une signature ECDSA standard, le portefeuille matériel génère un nonce aléatoire en interne.

Si le firmware est malveillant, il peut choisir des nonces qui encodent du matériel de clé privée. L’utilisateur n’a aucun moyen de le détecter.

La signature anti‑klepto, mise en œuvre pour la première fois par BitBox02 début 2021, exige que le logiciel hôte contribue un nonce aléatoire supplémentaire. Le portefeuille matériel doit intégrer ce nonce externe dans son processus de signature. Si le portefeuille ne l’intègre pas correctement, la vérification de la signature échoue. Cela rend détectable l’exfiltration furtive de clés.

Le protocole nécessite un canal persistant, bidirectionnel et à faible latence. C’est précisément ce que fournissent l’USB et le Bluetooth. Le scan de QR codes le rend peu pratique, car chaque tour supplémentaire de vérification anti‑klepto exigerait un nouveau cycle de scan de séquences de QR animés. Actuellement, seuls BitBox02 et Blockstream Jade implémentent la signature anti‑klepto. Les portefeuilles air‑gapés ne peuvent pratiquement pas prendre en charge ce protocole.

Cela ne signifie pas que l’air gap est du théâtre. Il élimine plusieurs vecteurs réels :

  • Attaques BadUSB où un appareil compromis se présente comme un clavier auprès de l’hôte
  • L’empreinte d’énumération de périphérique USB qui divulgue des informations sur le système connecté
  • L’attaque par canal auxiliaire de consommation d’énergie OLED découverte par Christian Reitter en 2019, où des mesures de puissance sur USB pouvaient partiellement récupérer un code PIN ou des informations de phrase de récupération affichés
  • Les attaques de débogage JTAG sur des MCU non sécurisés, comme celle que Kraken Security Labs a trouvée sur la Ledger Nano X, où une modification du firmware avant l’installation des applications était possible

Ce sont de vrais vecteurs que l’air gap élimine. Ce sont aussi des vecteurs qu’une architecture d’élément sécurisé adéquate, des protocoles USB chiffrés et un démarrage vérifié atténuent en grande partie.

À lire aussi : Billions Vanished In Crypto Fraud Last Year, Here's What The FBI Found

Le Bluetooth n’a jamais été exploité sur un portefeuille matériel

Malgré la forte anxiété de la communauté au sujet du Bluetooth, le bilan empirique est clair. Aucun portefeuille matériel de cryptomonnaies n’a jamais été compromis via sa connexion Bluetooth. Cela inclut des tests contre chaque grande classe de vulnérabilités BLE.

BlueBorne, un ensemble de huit CVE divulguées en 2017, permettait l’exécution de code à distance sans appairage sur plus de 5 milliards d’appareils Bluetooth.

Mais il exploitait des failles d’implémentation dans les piles Bluetooth des systèmes d’exploitation, et non le matériel BLE.

KNOB (CVE‑2019‑9506) réduisait l’entropie de la clé de chiffrement à 1 octet lors de l’appairage Bluetooth Classic, mais n’affecte pas le BLE, qui est ce qu’utilisent les portefeuilles matériels.

BIAS (CVE‑2020‑10135) permettait l’usurpation de périphériques appairés mais ciblait, là encore, uniquement le Bluetooth Classic. BrakTooth, un ensemble de 16 vulnérabilités affectant plus de 1 400 produits en 2021, touchait les piles Bluetooth Classic, pas le BLE. SweynTooth en 2020 visait spécifiquement le BLE, provoquant des plantages et des contournements de sécurité, mais n’a jamais été démontré contre un portefeuille matériel.

La raison architecturale est simple. Même si un attaquant compromettait totalement la connexion BLE, il obtiendrait l’accès aux données de transaction signées et non signées, les mêmes données qui sont de toute façon diffusées publiquement sur la blockchain.

Il ne peut pas extraire les clés privées, qui sont isolées dans l’élément sécurisé. Il ne peut pas forger d’approbations de transaction, qui nécessitent un appui physique sur un bouton. Il ne peut pas modifier des transactions sans être détecté car l’écran de confiance affiche les détails provenant de l’élément sécurisé, et non du canal BLE.

Une préoccupation adjacente au Bluetooth mérite d’être notée. En 2025, des chercheurs ont découvert des vulnérabilités dans la puce ESP32 d’Espressif, utilisée dans des portefeuilles comme Blockstream Jade. La faille pourrait théoriquement permettre l’injection de firmware malveillant via les interfaces sans fil de la puce. Il s’agit d’un problème d’implémentation spécifique à la puce plutôt que d’une vulnérabilité du protocole Bluetooth.

À lire aussi : Main Quantum Risk For Bitcoin Is Consensus, Not Code, Grayscale Warns

Qui a réellement besoin de quel niveau d’isolation

Le marché des portefeuilles matériels atteignait une estimation de 350 à 680 millions de dollars en 2025, la large fourchette reflétant des méthodologies de recherche différentes, et croît de 20 à 30 % par an. Ledger domine avec plus de 6 millions d’unités vendues au total. SatoshiLabs a expédié 2,4 millions d’unités Trezor rien qu’en 2024. La connectivité USB représente encore environ 47 % du marché, mais recule à mesure que le Bluetooth progresse.

Pour les investisseurs particuliers détenant moins de 50 000 dollars en Ethereum (ETH), Solana (SOL) ou Bitcoin, un portefeuille USB doté d’un élément sécurisé certifié offre une sécurité largement suffisante.

Les principales menaces à ce niveau sont le phishing, l’ingénierie sociale et une mauvaise conservation de la phrase de récupération. Aucune méthode de connectivité ne traite aucun de ces points. La convivialité elle‑même est une fonction de sécurité, car les flux de travail air‑gapés complexes augmentent le risque d’erreur de l’utilisateur.

Pour les gros détenteurs et le stockage froid à long terme, les portefeuilles air‑gapés apportent des avantages significatifs. Pas principalement en éliminant la surface d’attaque USB, mais en raison du modèle d’opérationnel de sécurité qu’ils imposent. Un portefeuille air‑gapé conservé dans un lieu sécurisé est physiquement séparé des appareils utilisés au quotidien. Cela réduit l’exposition aux attaques de la chaîne d’approvisionnement, aux logiciels malveillants et au vol physique.

Pour les utilisateurs DeFi actifs et les traders d’abord mobiles, le Bluetooth est une nécessité pratique, pas un compromis de sécurité. Le Ledger Nano X avec Ledger Live, ou le futur Trezor Safe 7, permet la signature de transactions mobiles avec les mêmes protections d’élément sécurisé que l’USB.

L’intégration par QR codes du Keystone 3 Pro avec MetaMask offre une alternative air‑gapée pour les chaînes EVM, bien qu’avec nettement plus de friction par transaction.

Pour la conservation institutionnelle, le calcul est totalement différent. Le segment entreprise représente environ 69 % des revenus des portefeuilles matériels malgré un nombre d’unités moindre. Des configurations multi‑signatures réparties sur plusieurs appareils air‑gapés, potentiellement de fabricants différents, offrent une défense en profondeur qu’aucune méthode de connectivité d’un seul appareil ne peut égaler.

À lire aussi : Can AI Really Run DeFi? New Findings Expose Major Risks

Conclusion

Le débat air‑gap vs USB vs Bluetooth génère plus de chaleur que de lumière. Le canal de transport de données est le composant le moins exploité de toute la surface d’attaque des portefeuilles matériels. Chaque vol avéré impliquant des portefeuilles matériels a été attribué à une extraction physique, à une altération de la chaîne d’approvisionnement, à l’ingénierie sociale ou à une infrastructure environnante compromise. Aucun n’a été attribué à des communications USB ou Bluetooth interceptées.

L’air gap apporte une valeur réelle en tant que discipline de sécurité opérationnelle plutôt qu’en tant que défense cryptographique.

Un appareil qui reste dans un coffre et ne communique que par QR codes est plus difficile à attaquer parce qu’il est plus difficile d’y accéder, et non parce que les QR codes seraient plus sûrs que l’USB.

Pendant ce temps, le canal bidirectionnel de l’USB permet des protocoles anti‑klepto qui représentent l’avancée la plus significative en matière de sécurité de signature sur portefeuille matériel de ces dernières années, une défense que les portefeuilles air‑gapés ne peuvent structurellement pas adopter. Les trois faits qui devraient guider toute décision : la qualité de l’élément sécurisé compte davantage que la méthode de connectivité, le firmware open source permet un audit communautaire quel que soit le couche de transport, et le multisig entre appareils de fabricants différents offre une protection plus forte que l’air gap de n’importe quel portefeuille pris isolément.

À lire ensuite : Schwab Warns Even 1% Bitcoin Allocation Reshapes Portfolio Dynamics

Avertissement et avertissement sur les risques : Les informations fournies dans cet article sont à des fins éducatives et informatives uniquement et sont basées sur l'opinion de l'auteur. Elles ne constituent pas des conseils financiers, d'investissement, juridiques ou fiscaux. Les actifs de cryptomonnaie sont très volatils et sujets à des risques élevés, y compris le risque de perdre tout ou une partie substantielle de votre investissement. Le trading ou la détention d'actifs crypto peut ne pas convenir à tous les investisseurs. Les opinions exprimées dans cet article sont uniquement celles de l'auteur/des auteurs et ne représentent pas la politique officielle ou la position de Yellow, de ses fondateurs ou de ses dirigeants. Effectuez toujours vos propres recherches approfondies (D.Y.O.R.) et consultez un professionnel financier agréé avant de prendre toute décision d'investissement.
Articles d'apprentissage connexes
Comment choisir un hardware wallet : 10 critères qui comptent
Guide pour choisir un hardware wallet adapté à vos besoins : sécurité, sauvegarde, open source, compatibilité multi‑chaînes et pratiques de récupération.
Top 5 portefeuilles crypto isolés physiquement qu’aucun hacker ne peut atteindre
Apr 05, 2026
Comparaison de cinq portefeuilles matériels hors ligne pour sécuriser Bitcoin et autres cryptos grâce à une isolation totale des connexions réseau.
Meilleurs portefeuilles USDT en 2026 : comparaison des options froides et chaudes
Présentation des principaux portefeuilles USDT matériels et logiciels, avec un focus sur la compatibilité réseaux, les frais et la sécurité.
Top 10 portefeuilles DeFi pour un trading sécurisé en 2026
Comparaison des meilleurs portefeuilles DeFi matériels et logiciels pour la sécurité, le multichain et les frais de swap en 2026.
Comment protéger votre Bitcoin des menaces quantiques dès maintenant
Mar 17, 2026
Conseils pratiques pour réduire dès maintenant le risque quantique sur vos bitcoins et préparer une éventuelle transition vers des solutions post-quantiques.