Cryptomonnaie

Multisig : Comment les Trésors Crypto Sont Sécurisés et Volés

Derrière les plus gros vols crypto de l’histoire se cache souvent un système censé être ultra-sécurisé : le multisig. Mais comment fonctionne-t-il vraiment et pourquoi continue-t-il d’être contourné ? La réponse va vous surprendre…

Imaginez un coffre-fort qui ne s’ouvre qu’avec l’accord de plusieurs personnes en même temps. Pas une, pas deux, mais un nombre précis de clés. C’est exactement le principe qui protège aujourd’hui la majorité des milliards stockés dans l’écosystème crypto. Pourtant, malgré cette apparente solidité, certains des plus grands vols de l’histoire ont réussi à franchir cette barrière. Comment est-ce possible ?

Qu’est-ce qu’un portefeuille multisig et pourquoi est-il devenu indispensable ?

Le portefeuille multisig, ou portefeuille à signature multiple, représente l’évolution logique de la sécurité en cryptomonnaie. Au lieu de confier la totalité des fonds à une seule clé privée, le système exige plusieurs approbations pour valider la moindre transaction. Cette approche, inspirée des protocoles bancaires traditionnels et même des systèmes de lancement nucléaire, élimine le point de défaillance unique qui a causé tant de pertes dans les débuts du secteur.

Dans la pratique, on parle de configuration M-sur-N. Par exemple, dans un 2-sur-3, deux clés sur trois doivent signer pour exécuter un mouvement. Cette formule offre un équilibre parfait entre sécurité et praticité pour de nombreux utilisateurs.

Les deux architectures techniques du multisig

Sur Bitcoin, le multisig est natif au protocole via le langage de script. L’adresse elle-même contient les règles d’approbation. C’est une solution minimaliste, extrêmement robuste, mais peu flexible : changer les signataires nécessite de déplacer les fonds vers une nouvelle adresse.

Sur les blockchains compatibles avec les contrats intelligents comme Ethereum, le multisig prend la forme d’un smart contract. Safe, anciennement Gnosis Safe, domine largement ce marché. Le contrat détient les fonds et applique les règles programmées. Cette version offre une flexibilité exceptionnelle : rotation des signataires, modification des seuils, limites de dépenses quotidiennes, timelocks et bien plus.

À retenir : La flexibilité des contrats intelligents est une arme à double tranchant. Elle permet des fonctionnalités avancées tout en ouvrant potentiellement de nouvelles surfaces d’attaque.

Choisir le bon ratio M-sur-N selon son profil

Le choix du seuil n’est pas anodin. Il reflète directement votre tolérance au risque et votre organisation.

Pour un particulier, le 2-sur-3 reste le standard. Une clé sur un hardware wallet à la maison, une autre dans un coffre bancaire, la troisième chez une personne de confiance ou un service de custody. Perdre une clé ne bloque pas tout, voler une clé ne suffit pas pour tout prendre.

Les institutions et DAOs optent souvent pour du 3-sur-5, 4-sur-7 ou plus. Mais attention : plus le nombre de signataires augmente, plus le risque de corrélation entre les clés grandit. Plusieurs clés détenues par la même personne ou sur le même ordinateur annulent complètement l’intérêt du système.

Comment les plus grands trésors crypto sont-ils vraiment protégés ?

Les exchanges, les protocoles DeFi, les DAOs et les fonds institutionnels placent leurs réserves froides derrière des multisigs. Ces configurations protègent des dizaines de milliards de dollars. Les signataires sont souvent des dirigeants, des membres du conseil ou des partenaires de confiance géographiquement dispersés.

L’idée centrale reste la même : aucune personne seule ne doit pouvoir déplacer les fonds. C’est une forme de gouvernance décentralisée appliquée à la custody.

Les grands braquages qui ont marqué l’histoire

Le vol de 1,5 milliard de dollars chez Bybit reste à ce jour le plus important de l’histoire crypto. Les attaquants, souvent liés à des groupes étatiques comme Lazarus, n’ont pas cassé la cryptographie. Ils ont compromis l’interface utilisée par les signataires.

Les dirigeants voyaient une transaction légitime sur leur écran alors que leur hardware wallet signait un payload complètement différent. Toutes les signatures étaient valides, mais le contenu était malveillant. C’est le problème du blind signing.

L’affaire Ronin Bridge (600 millions) a suivi un schéma différent : une concentration excessive des clés chez un même opérateur. Compromettre une seule organisation a suffi à atteindre le seuil requis.

Plus récemment, le braquage UXLINK de 11,3 millions a montré comment un attaquant qui atteint le seuil peut s’ajouter lui-même comme signataire et éjecter les propriétaires légitimes.

Le vrai point faible : l’humain et l’interface

La cryptographie du multisig n’a jamais été cassée dans les grands incidents. Le maillon faible se situe toujours entre l’intention du signataire et ce qu’il valide réellement.

Les payloads de contrats intelligents complexes apparaissent souvent comme des hashes illisibles sur l’écran minuscule d’un hardware wallet. Les attaquants exploitent cette opacité en compromettant l’ordinateur, le navigateur ou l’interface de proposition de transaction.

« Le multisig déplace le problème du vol de clé vers la manipulation de l’information. »

Bonnes pratiques pour une sécurité maximale

La mise en place d’un multisig efficace exige une discipline rigoureuse. Voici les règles essentielles que suivent les organisations qui n’ont jamais été piratées :

Tout d’abord, l’indépendance totale des signataires. Différentes personnes, différents appareils, différents fabricants de hardware, différentes localisations géographiques et même différents systèmes d’exploitation quand c’est possible.

Ensuite, la vérification indépendante. Chaque signataire doit valider le contenu de la transaction via un canal différent de celui utilisé pour la proposition. Des outils de simulation permettent de prévisualiser exactement ce que fera la transaction avant de signer.

Les timelocks sur les gros montants donnent un temps de réaction en cas de compromission. Les drills de récupération réguliers préparent l’équipe à réagir sereinement en cas de perte de clé.

Multisig versus ses concurrents : MPC et smart accounts

Le multi-party computation (MPC) propose une approche différente. Au lieu de plusieurs clés complètes, il fragmente une clé unique en parts mathématiques. Le résultat ressemble à une signature classique sur la blockchain, mais sans jamais reconstituer la clé entière.

Le MPC offre plus de confidentialité et des frais réduits, mais repose davantage sur la confiance accordée aux fournisseurs. Beaucoup d’institutions utilisent les deux technologies : MPC pour les opérations courantes et multisig pour la gouvernance froide.

Les smart accounts (account abstraction) vont encore plus loin en rendant les portefeuilles programmables. Le multisig devient alors une politique parmi d’autres : récupération sociale, limites de dépenses, clés de session temporaires, etc.

Comment configurer son propre multisig personnel

Pour un particulier, la mise en place est accessible. Commencez par trois hardware wallets de fabricants différents. Déployez un contrat Safe sur une blockchain peu coûteuse ou optez pour un multisig natif Bitcoin selon vos besoins.

Testez toujours avec de petits montants. Documentez précisément les procédures de récupération. Mettez à jour votre configuration dès qu’un signataire change de situation personnelle.

La friction opérationnelle est réelle, mais elle constitue précisément la protection contre les erreurs impulsives ou les compromissions rapides.

Leçons tirées des plus grands incidents

Chaque grand braquage a apporté sa contre-mesure. Après Bybit, la vérification indépendante des payloads est devenue standard. Après Ronin, les audits d’indépendance des clés sont obligatoires. Après les prises de contrôle, les timelocks sur la modification des signataires se généralisent.

La sécurité multisig est cumulative. Chaque victime a payé pour une leçon que la communauté entière peut désormais appliquer gratuitement.

Gouvernance et philosophie derrière le multisig

Au-delà de la technique, le multisig incarne une mini-constitution on-chain. Des règles écrites, exécutées par la mathématique plutôt que par des tribunaux. C’est pourquoi il est devenu l’organe exécutif privilégié des DAOs.

Il matérialise l’idéal crypto : des accords forcés sans intermédiaire de confiance, tout en nécessitant un consensus humain pour agir.

Dans un monde où la confiance est rare, le multisig force les parties à s’accorder tout en empêchant toute trahison individuelle.

L’avenir du multisig dans un écosystème en évolution

Avec l’essor de l’account abstraction, les protections multisig deviendront probablement plus transparentes pour l’utilisateur final. Les interfaces s’améliorent, les hardware wallets décodent mieux les transactions, les outils de simulation deviennent plus puissants.

Mais le principe fondamental restera : la sécurité repose toujours sur l’indépendance des vérifications humaines. Aucune technologie ne remplacera jamais cette vigilance partagée.

Les trésors les plus importants continueront d’être protégés par plusieurs paires d’yeux attentifs, séparés géographiquement et technologiquement.

Checklist opérationnelle pour une mise en place sécurisée

Avant de déployer votre multisig, vérifiez ces points cruciaux :

  • Les signataires utilisent-ils des appareils dédiés jamais connectés à internet pour le signing ?
  • Existe-t-il une procédure documentée et testée de récupération en cas de perte ?
  • Les modifications du jeu de signataires sont-elles protégées par timelock ?
  • Tous les participants ont-ils accès à des outils de simulation indépendants ?
  • Les clés sont-elles réparties sur au moins trois continents différents ?

Respecter ces critères ne garantit pas l’invulnérabilité absolue, mais place votre configuration dans le haut du classement des pratiques sécuritaires actuelles.

Le multisig n’est pas une solution magique. C’est un outil puissant qui exige une culture de la sécurité constante. Dans un univers où les attaques deviennent de plus en plus sophistiquées, cette approche hybride – mathématique et humaine – reste la plus robuste que nous ayons développée collectivement.

Que vous gériez quelques milliers d’euros ou une trésorerie institutionnelle, comprendre profondément le fonctionnement et les pièges du multisig constitue aujourd’hui une compétence essentielle pour tout acteur sérieux du secteur crypto.

La prochaine fois que vous lirez qu’un nouveau protocole ou un exchange a perdu des centaines de millions, posez-vous la question : était-ce une faille technique ou une faille humaine ? La réponse, dans la très grande majorité des cas, vous ramènera toujours au même point : la façon dont les humains interagissent avec leurs clés.

Et c’est précisément là que réside à la fois la plus grande faiblesse et la plus grande force du multisig : il transforme la sécurité en une responsabilité partagée, continue et vigilante.

Passionné et dévoué, j'explore sans cesse les nouvelles frontières de l'information et de la technologie. Pour explorer les options de sponsoring, contactez-nous.