SSP Editorial Team

Qu'est-ce que le multisig, et pourquoi ça compte

·7 min de lecture·Par SSP Editorial Team
Couverture bleu marine SSP avec icônes de clé, bouclier et cadenas sur un dégradé sombre, ouverture de la série Multisig Deep Dive

Si vous avez lu la série Self-Custody Fundamentals, vous l'avez terminée avec un portefeuille SSP 2-of-2 fonctionnel et vos mille premiers dollars retirés de l'exchange. Cette série répondait au pourquoi — pourquoi les custodians échouent, pourquoi vos clés comptent, pourquoi une check-list bat un plan parfait. Cette série — Multisig Deep Dive — répond au comment. Plus précisément : comment le portefeuille que vous utilisez déjà fonctionne réellement, et pourquoi « multisig » est une idée bien plus large que la configuration à deux appareils qui a rendu le vôtre possible.

C'est l'article 1 sur 7. Les six suivants deviennent progressivement plus techniques. Celui-ci est l'orientation — ce qu'est le multisig, en quoi il diffère du portefeuille que la plupart des gens ont déjà utilisé, et ce pour quoi il est réellement bon (et moins bon). Si vous vous arrêtez ici, vous comprendrez quand même la catégorie. Si vous continuez, le reste de la série remplit la spécification en dessous.

TL;DR

  • Multisig est l'abréviation de « multi-signature ». Un portefeuille multisig est un portefeuille où plus d'une clé privée doit signer avant que l'argent puisse bouger.
  • La notation courte est m-of-n : vous avez n clés au total, et m d'entre elles doivent signer pour autoriser une transaction. Le default de SSP est 2-of-2 : deux clés existent, les deux doivent signer.
  • Le multisig n'est ni un backup de votre seed ni la même chose que social recovery. C'est un modèle de signature différent, pas un modèle de stockage différent.
  • Il est bon pour trois choses : supprimer le risque de single-point-of-failure, imposer un contrôle conjoint, et rendre certains schémas d'attaque beaucoup plus difficiles.
  • Il ne vous empêche pas d'être phishé, ne remplace pas une bonne hygiène de seed, et est surdimensionné si votre exposition totale est de vingt dollars. Il commence à se justifier quelque part entre « premier solde significatif » et « c'est devenu de l'argent réel pour moi ».

Ce que « multisig » signifie vraiment

Toute transaction sur Bitcoin, Ethereum ou n'importe quelle blockchain à modèle de compte doit être signée par une clé privée avant que le réseau ne l'accepte. L'adresse à laquelle vous recevez de l'argent est dérivée mathématiquement de la moitié publique de cette clé. L'adresse est une boîte aux lettres publique ; la clé privée est la seule chose qui peut l'ouvrir.

Un portefeuille single-signature — ce que la plupart des portefeuilles sont par défaut — a exactement une clé privée. Une clé crée l'adresse. Une clé signe la transaction. Perdez la clé, vous perdez l'argent.

Un portefeuille multi-signature a plusieurs clés privées associées à une seule adresse (Bitcoin) ou à un seul smart-contract account (Ethereum et la plupart des chaînes à modèle de compte). L'adresse est construite d'une manière que la chaîne sous-jacente comprend : « cette adresse exige m des n clés publiques suivantes pour signer avant que tout output puisse bouger ».

La notation est m-of-n :

  • 2-of-2 — deux clés existent, les deux doivent signer. Le default de SSP. Chaque signataire est un appareil différent.
  • 2-of-3 — trois clés existent, deux d'entre elles doivent signer. Courant pour les setups personnels de cold storage : laptop + téléphone + appareil de récupération, deux d'entre eux vous laissent entrer.
  • 3-of-5 — cinq clés, trois d'entre elles signent. Utilisé par les entreprises et certains setups d'héritage.

La chaîne ne se soucie pas de qui détient les clés. Elle se soucie que le seuil requis de signatures arrive avant d'accepter la transaction. C'est tout. Le multisig est une règle de dépense, pas un logiciel.

En quoi le multisig diffère d'un portefeuille à clé unique avec une seed de backup

C'est la confusion la plus fréquente, donc autant être précis.

Si vous avez un hot wallet ordinaire — MetaMask, un portefeuille Phantom, un portefeuille Bitcoin single-key — et que vous notez sa seed phrase sur papier, vous avez deux copies d'une seule clé. La seed et l'appareil contiennent le même secret sous des formes différentes. Quiconque trouve le papier de la seed, seul, peut vider le portefeuille. La seed n'est pas un second signataire ; c'est un backup du premier.

Un portefeuille multisig a plusieurs clés indépendantes, chacune avec sa propre seed. Pour bouger de l'argent il faut que m d'entre elles soient toutes présentes et toutes signent la même transaction. Trouver un papier de seed ne suffit pas — il manque toujours au voleur l'autre signataire, et un portefeuille 2-of-2 est immobile sans lui.

C'est pour cela que le multisig change la posture de sécurité d'un portefeuille d'une manière qu'une seed de backup ne fait pas. Une seed de backup vous protège de perdre l'accès. Le multisig vous protège qu'un attaquant gagne l'accès. Ils sont orthogonaux — et un setup self-custody sérieux finit par vouloir les deux.

Si vous voulez la mécanique détaillée spécifiquement pour SSP, What is 2-of-2 multisig? est l'article existant autour duquel toute cette série gravite. Lisez-le après celui-ci — c'est la plongée la plus détaillée dans le setup spécifique que vous utilisez déjà.

Les trois choses pour lesquelles le multisig est vraiment bon

1. Pas de single point of failure. Perdre un appareil, se faire phisher sur un appareil, taper accidentellement une seed dans un formulaire malveillant — aucune de ces choses, à elle seule, ne vide un portefeuille multisig bien configuré. L'attaquant (ou votre propre mauvaise journée) doit compromettre assez de clés pour franchir le seuil. Ce n'est pas impossible, mais cela arrête les scénarios d'erreur-unique qui vident la plupart des portefeuilles retail.

2. Contrôle conjoint imposable. Si deux personnes détiennent chacune une clé dans un 2-of-2, aucune ne peut dépenser sans l'autre. La chaîne l'applique. Aucune confiance requise, aucun contrat nécessaire, aucun service d'escrow. La blockchain elle-même devient l'arbitre de la règle de dépense. C'est la propriété qui intéresse les entreprises, les associations et les setups familiaux.

3. Difficulté d'attaque asymétrique. Un portefeuille single-key a un secret à voler. Un multisig 2-of-2 en a deux, à des endroits différents, sur des appareils différents, avec des surfaces d'attaque différentes (une extension de navigateur et un téléphone, dans le cas de SSP). Un attaquant qui a construit un malware pour une plateforme doit construire une attaque séparée et coordonnée pour l'autre. C'est une opération bien plus difficile que de gratter des seeds d'une seule machine compromise.

Ce que le multisig n'est pas

Ce n'est pas magique. Quelques choses précises qu'il ne fait pas :

  • Il ne protège pas contre l'ingénierie sociale. Si on vous trompe pour que vous signiez une transaction malveillante sur les deux appareils, le multisig signe cette transaction. La chaîne n'a aucune idée que vous avez été trompé.
  • Ce n'est pas social recovery. Social recovery (Argent, les gardiens de Safe) est un pattern de smart contract où des personnes de confiance peuvent vous aider à récupérer un portefeuille single-key. Le multisig est une règle de dépense sur chaque transaction. Nous ferons plus loin dans la série un article complet sur la différence.
  • Ce n'est pas la même chose que MPC. Les portefeuilles multi-party computation (Fireblocks, Coinbase MPC, certains produits institutionnels) divisent une seule clé en parts en utilisant la cryptographie. Du point de vue de la chaîne il y a toujours une seule signature. Le multisig est l'inverse : plusieurs clés distinctes, plusieurs signatures distinctes, toutes visibles on-chain.
  • Il ne remplace pas une bonne pratique de seed phrase. Vous devez encore sauvegarder la seed de chaque signataire. La seed reste le chemin de récupération. Le multisig protège la dépense ; il ne réinvente pas le stockage.

Quand vous le voulez vraiment

Un modèle mental utile : le multisig paye la friction qu'il ajoute lorsque votre exposition franchit la ligne où une erreur de clé unique cesse d'être récupérable avec votre revenu mensuel ordinaire.

Pour la plupart des gens, cela veut dire :

  • Moins de ~100 $ : Un hot wallet single-key convient. La friction du multisig dépasse la valeur protégée.
  • 100 $ à ~10 000 $ : Un setup 2-of-2 comme SSP commence à avoir du sens. Deux appareils n'est pas pesant ; la protection contre la compromission d'un seul appareil est significative.
  • 10 000 $+ ou fonds d'entreprise : Le multisig est plus ou moins le setup professionnel par défaut. Le m-of-n exact dépend de si vous êtes une personne ou plusieurs, géographiquement distribuées ou non, en train de planifier l'héritage ou non. L'article 2 de cette série couvre ces choix.

Le cadre Not your keys, not your coins, explained pose pourquoi vous feriez de la self-custody en premier lieu. Cet article et le suivant répondent à quel type de self-custody, une fois que vous avez décidé.

Ce que cela signifie pour vous

Trois conclusions à emporter dans le reste de la série :

  1. Le multisig est une règle de dépense, pas un logiciel. Tout portefeuille qui implémente le contrat m-of-n est un portefeuille multisig ; la différence entre eux est l'UX et les chaînes supportées.
  2. Il est complémentaire aux backups de seed, pas un substitut. Vous avez besoin des deux : des backups pour gérer la perte, du multisig pour gérer le vol.
  3. Il s'adapte à votre stack. Le m-of-n exact que vous voulez dépend de qui est impliqué et de combien est en jeu. L'article suivant, 2-of-2 vs 2-of-3 vs m-of-n multisig, parcourt le choix pratique pour les setups personnels, conjoints et corporatifs. Si vous avez terminé la check-list des 1000 premiers de Self-Custody Fundamentals, le 2-of-2 était le default — mais ce n'est pas la seule option, et le prochain article est l'endroit où vous décidez si vous y restez.

Pour un rappel rapide de l'implémentation SSP spécifique autour de laquelle gravite cette série — deux appareils, extension de navigateur + app mobile, UX single-signer — commencez par Meet SSP Wallet. Tout dans cette série utilise ce setup comme exemple courant.

Partager cet article

Articles connexes

Couverture bleu marine SSP avec icônes bouclier, clé, œil barré et CPU sur dégradé sombre, chapitre modes de défaillance de Multisig Deep Dive

Modes de défaillance multisig et comment SSP les atténue

Cinq modes de défaillance multisig : appareil perdu, seed perdue, compromission de clé, panne serveur, destruction totale — et la récupération dans SSP.

10 min read
Couverture bleu marine SSP avec icônes de clé, éclair et bouclier sur dégradé sombre, chapitre UX single-signer de Multisig Deep Dive

Multisig single-signer : comment SSP fait que deux appareils ressemblent à un portefeuille

Comment SSP réduit le multisig 2-of-2 en UX single-signer, ce qui est caché, où ça casse, et pourquoi la friction visible est la sécurité.

9 min read
Couverture bleu marine SSP avec icônes de clé, bouclier, empreinte et cadenas sur dégradé sombre, chapitre comparatif social-recovery de Multisig Deep Dive

Social recovery vs multisig : deux réponses à la perte d'une clé

Le multisig protège contre le vol ; la social recovery contre la perte. Comparaison côte à côte de quand chacun gagne en setup solo, conjoint et d'équipe.

8 min read