SSP Editorial Team

Self-custody sans aller jusqu'au cold storage — la voie médiane pour la plupart des utilisateurs

·8 min de lecture·Par SSP Editorial Team
Couverture bleu marine SSP pour Self-custody sans aller jusqu'au cold storage, avec icônes wallet, clé, bouclier et éclair sur un dégradé sombre

Il y a une mauvaise lecture courante de la self-custody : "pour bien le faire, il te faut une hardware wallet air-gapped dans un coffre, idéalement avec une passphrase que tu ne saisis que sur un laptop blindé Faraday acheté en cash". C'est un modèle. Ce n'est pas le modèle, et pour la plupart des utilisateurs c'est le mauvais modèle — trop de friction pour le niveau réel de menace, ce qui fait qu'ils ne finissent jamais de tout configurer et que les fonds restent sur l'exchange.

C'est le cinquième article de la série Self-Custody Fundamentals. Le précédent détaillait ce que la self-custody exige réellement de toi en cinq catégories de travail. Celui-ci porte sur le spectre de la self-custody — et pourquoi la bonne réponse pour la plupart des gens vit au milieu, pas du côté cold storage.

TL;DR

  • La self-custody n'est pas un seul setup. C'est un spectre : d'un hot wallet mobile avec lequel tu signes toute la journée, jusqu'à un vault multisig totalement air-gapped qui prend 30 minutes à ouvrir.
  • Le bon point dépend du modèle de menace, fréquence des transactions et montant détenu.
  • "Cold storage" désigne en général une hardware wallet air-gapped qui ne touche jamais un appareil connecté. Le vrai cold storage est lourd opérationnellement et réservé aux montants à l'échelle d'une trésorerie.
  • Pour la plupart, le bon point est warm storage — un wallet non custodial sur des appareils que tu utilises au quotidien, avec des clés réparties sur deux appareils, aucun ne signant seul. Le 2-of-2 de SSP est conçu pour ce point.
  • Les hot wallets "daily-driver" (un seul appareil, une seule clé, mobile) conviennent à l'argent de poche. Ce n'est pas là que doivent vivre les soldes significatifs.

Le spectre réel

La self-custody n'est pas binaire. Elle existe sur un continuum à peu près comme suit :

1. Custodial. Ce n'est pas de la self-custody. L'exchange détient les clés. Voir l'article sur les sept modes de défaillance.

2. Hot wallet à clé unique. De la self-custody, mais avec tout le jeu de clés sur un appareil le plus souvent connecté. MetaMask sur desktop, Phantom sur téléphone, une Trust Wallet basique. Pratique, peu de friction, mais tout le wallet est à un bug ou une extension malveillante près d'être vidé.

3. Cold wallet à clé unique. Une hardware wallet (Ledger, Trezor, Coldcard) qui signe hors-ligne et se connecte brièvement pour pousser les transactions. La clé ne touche jamais une machine connectée. Plus solide que le hot, mais toujours un point unique de défaillance sur la seed phrase, et assez de friction pour que les utilisateurs cessent de l'utiliser au quotidien.

4. Hot wallet multisig. Deux clés ou plus, mais toutes sur des appareils plus ou moins connectés. Le 2-of-2 de SSP est ici — une clé sur l'extension de navigateur, une sur le téléphone. Les deux signatures sont requises ; aucun appareil seul ne déplace les fonds. Les deux appareils sont des surfaces d'attaque différentes, donc la compromission d'un seul ne vide pas le wallet.

5. Multisig avec une clé froide. Comme le 4, mais avec au moins un signataire sur un hardware hors-ligne. Plus de résistance à l'attaque distante, plus de friction pour les envois courants.

6. Vault multisig entièrement froid. Tous les signataires hors-ligne, souvent répartis physiquement. Le setup que BitGo, Casa ou Unchained Capital vendent pour le stockage institutionnel. Recovery et signature impliquent des cérémonies en personne. Latence opérationnelle de jours à semaines par transaction.

Le cliché "utilise le cold storage" implique l'option 6. C'est correct pour une trésorerie. C'est exagéré pour un individu avec cinq chiffres en crypto qui veut faire du DeFi de temps en temps.

Ce que "cold storage" veut dire vraiment (et pourquoi la plupart n'en ont pas besoin)

Le cold storage est un engagement strict : la clé de signature ne touche jamais un appareil connecté à Internet. Pas un laptop avec le WiFi coupé — un laptop qui n'a jamais eu de WiFi activé. Implications :

  • Signature air-gapped. Tu construis la transaction sur une machine chaude, tu la transfères (via QR ou microSD) à l'appareil froid, tu signes là, tu renvoies la transaction signée. Chaque envoi est un workflow.
  • Appareil séparé. L'appareil froid ne doit pas être ton téléphone ni ton laptop. Une hardware wallet dédiée ou un vieux laptop wipé qui vit dans un tiroir.
  • Sécurité physique. Un cold storage qui vit dans un tiroir d'un appart non verrouillé n'est pas vraiment froid. L'enjeu, c'est de rendre l'attaque distante impossible, donc l'accès physique devient la menace — il vit alors dans un coffre, un coffre-fort de banque ou un site distant géographiquement.

C'est le bon modèle pour quelques situations précises :

  • Un détenteur long terme qui sait sincèrement qu'il ne touchera pas les fonds avant des années.
  • Une trésorerie (perso ou corporate) avec des montants pour lesquels toute latence opérationnelle est acceptable pour réduire la surface d'attaque à presque zéro.
  • Héritage ou portage générationnel où l'optimisation est à l'échelle de décennies, pas du jour.

Pour tous les autres, la friction du cold storage annule sa sécurité. Le pattern qui a tué d'innombrables utilisateurs : ils achètent une hardware wallet, la configurent, puis (a) la laissent dans un tiroir sans s'en servir parce que le workflow embête, pendant que les fonds restent sur l'exchange à attendre d'être "enfin déplacés", ou (b) perdent l'appareil sans que la seed soit correctement sauvegardée, parce que la discipline cold n'a jamais été intégrée.

Un multisig hot que tu utilises vraiment bat un cold wallet que tu n'utilises pas.

Warm storage : où la plupart devraient vivre

"Warm storage" n'est pas un terme standard, mais il capte l'idée juste : clés sur des appareils que tu utilises pour de vrai, avec un modèle de sécurité assez fort pour résister aux attaques réalistes.

Les propriétés qui le définissent :

  • Plusieurs clés, plusieurs appareils. Une compromission d'un appareil — extension malveillante, téléphone avec déverrouillage volé — ne doit pas vider le wallet. Le modèle 2-of-2 règle ça directement.
  • Surfaces d'attaque différentes par clé. Une extension de navigateur et une appli mobile sont du code différent, des OS différents, des profils de menace différents. Un attaquant qui compromettrait les deux en même temps fait quelque chose de très spécifique contre toi.
  • Faible friction de transaction. Envoyer une transaction courante ne devrait pas prendre 20 minutes et une microSD. Ça devrait être un tap sur chaque appareil — cinq secondes d'effort marginal, pas cinq minutes.
  • Récit recovery honnête. Tu perds un appareil, tu récupères encore via l'autre plus le flow wallet-recovery. Tu perds la seed entière, tu es en difficulté — mais bonnes pratiques seed phrase traite cette couche.

Pour un utilisateur individuel détenant $1k–$100k qui interagit avec DeFi ou signe des transactions chaque semaine, le warm storage est la bonne réponse. Tu gagnes l'amélioration de sécurité qui compte — aucune compromission d'un seul appareil ne te vide — sans payer la taxe air-gap à chaque transaction.

Quand ajouter du cold storage au-dessus

Il n'y a pas de règle "warm storage à la place de cold". Pour des montants qui justifient le coût opérationnel, la bonne réponse, c'est les deux : un warm pour l'activité courante et un setup cold pour la couche épargne.

Une allocation raisonnable pour un utilisateur avec des montants sérieux :

  • Hot wallet (un petit setup mobile uniquement) : argent de poche, interactions DeFi quotidiennes. Traite le solde ici comme du cash dans un portefeuille — de quoi tenir deux semaines, pas tes économies.
  • Warm wallet (SSP 2-of-2 ou un multisig équivalent sur tes appareils quotidiens) : le compte courant. De quelques centaines à des bas-cinq chiffres. La plupart des transactions partent de là.
  • Cold wallet (multisig hardware air-gapped, ou un seul signataire froid) : la couche épargne. Cinq chiffres et au-delà que tu ne comptes pas toucher avant des mois ou des années. Procédures de recovery documentées, dans des plans de succession, avec une clé dans un coffre ou chez la famille.

La répartition n'est pas arbitraire — c'est la même logique que celle des banques entre courant, épargne et dépôt à terme. Les fonds en usage actif restent chauds. Les fonds en stockage long terme passent au froid. Chaque palier accepte la friction adaptée à son horizon.

Pour la plupart des utilisateurs la couche cold n'existe pas encore, parce que la couche warm suffit. Quand les soldes grandissent, la couche cold s'ajoute.

Ce que ça veut dire pour toi

Trois prises :

  1. Ne laisse pas "cold storage" être la raison qui te garde sur une exchange. Un multisig warm que tu utilises aujourd'hui est dramatiquement plus sûr qu'un setup cold que tu monteras le mois prochain. Sors les fonds d'abord, raffine le modèle après.
  2. Aligne le setup sur ton modèle de menace, pas sur le marketing. Si ta menace réaliste est une extension de navigateur malveillante et un remplaçant de presse-papiers — et c'est le cas pour à peu près tout utilisateur retail — un 2-of-2 entre navigateur et mobile vainc les deux. Une cage de Faraday dans la cave ne t'apporte pas plus de sécurité contre les vraies menaces.
  3. Planifie de faire grandir la couche épargne avec le temps. Quand tes avoirs grossissent, la bonne réponse passe sans doute de "tout warm" à "warm + cold". N'essaie pas les deux le jour un ; fais le warm proprement d'abord, et ajoute la couche cold quand le montant justifie le coût.

Le prochain et dernier article de la série, self-custody checklist for your first $1,000, passe en revue les étapes concrètes qu'un nouvel utilisateur de self-custody devrait suivre, dans l'ordre — pensé pour la première somme significative en crypto que tu détiens, pas la dixième.

Partager cet article

Articles connexes

Couverture bleu marine SSP pour Checklist self-custody pour tes premiers 1 000 $, avec icônes wallet, clé, bouclier et empreinte sur un dégradé sombre

Checklist self-custody pour tes premiers 1 000 $ — le playbook de démarrage concret

Huit étapes ordonnées pour monter SSP 2-of-2, écrire les deux seeds, tester la recovery et sortir tes premiers 1 000 $ de l'exchange en un après-midi.

8 min read
Couverture bleu marine SSP pour Ce que la self-custody exige réellement de toi, avec icônes clé, bouclier, empreinte et CPU sur un dégradé sombre

Ce que la self-custody exige réellement de toi — la liste honnête

Backups, opsec, gestion d'appareils, plan de recovery, temps et attention : la facture en cinq catégories que la self-custody met sur toi.

8 min read
Couverture bleu marine SSP pour Les 7 modes de défaillance qu'une exchange peut subir, avec icônes bouclier, cadenas, œil masqué et éclair sur un dégradé sombre

Les 7 modes de défaillance qu'une exchange peut subir (et à quoi chacun ressemble)

Insolvabilité, piratages, gels, exit scams, sanctions, blocages KYC, suspensions de retraits — les sept façons dont vos fonds peuvent partir.

9 min read