GUIDE · SÉCURITÉ DE LA SELF-CUSTODY
Seed phrase : les erreurs à éviter
Votre phrase de récupération est la clé unique de tous vos crypto-actifs. La protéger correctement n'est pas une option : c'est ce qui sépare un wallet sûr d'une perte irréversible.
Réponse courte
Une seed phrase (phrase de récupération) est une suite de 12 à 24 mots qui représente la clé maîtresse de votre wallet : quiconque la connaît peut restaurer le portefeuille et déplacer tous les fonds. Elle ne doit donc jamais être photographiée, stockée dans le cloud ou un e-mail, saisie sur un site web, ni communiquée à qui que ce soit — même à un « support officiel », car aucun service légitime ne la demande. La bonne pratique tient en une phrase : la conserver hors ligne, sur papier ou métal, en plusieurs copies, dans des lieux distincts et sûrs.
Le rôle de la seed phrase
Quand vous initialisez un wallet, l'appareil ou l'application génère une seed phrase : 12 ou 24 mots tirés d'une liste standardisée. Ce standard s'appelle BIP39, et c'est lui qui permet à n'importe quel wallet compatible de comprendre la même phrase. Ces mots ne sont pas décoratifs : ils encodent, sous une forme lisible par un humain, la racine cryptographique d'où sont dérivées toutes vos clés privées.
Concrètement, la seed phrase sert à une chose essentielle : la récupération. Si votre téléphone tombe en panne, si votre wallet hardware est perdu, volé ou détruit, vous ressaisissez ces mots dans un nouveau wallet et vous retrouvez l'accès à vos fonds. C'est une force — vous n'êtes pas prisonnier d'un seul appareil — mais aussi un risque : cette même phrase suffit à n'importe qui pour prendre le contrôle de votre portefeuille.
Une clé, pas un mot de passe
Il faut bien comprendre que la seed phrase n'est pas un mot de passe que l'on peut réinitialiser. Personne ne peut vous la « renvoyer » : il n'existe aucun bouton « mot de passe oublié » en self-custody. Si vous la perdez, vous perdez l'accès à vos fonds ; si quelqu'un la découvre, il peut tout prendre. Cette double propriété explique pourquoi sa protection mérite toute votre attention.
Les erreurs à éviter
La plupart des pertes de crypto-actifs en self-custody ne viennent pas d'un défaut technique, mais d'une mauvaise manipulation de la seed phrase. Voici les fautes les plus courantes — et les plus coûteuses.
- La photographier ou en faire une capture d'écran. Une image part presque toujours dans une sauvegarde cloud (iCloud, Google Photos). Elle devient alors lisible par quiconque accède à votre compte ou au service. Une seed phrase ne doit jamais exister sous forme d'image.
- La stocker dans le cloud ou un e-mail. Drive, Dropbox, Notes synchronisées, brouillon d'e-mail à soi-même : tout cela revient à confier votre clé maîtresse à un serveur que vous ne contrôlez pas, et qui peut être piraté ou fuité.
- La ranger dans un gestionnaire de mots de passe. Même chiffré, un gestionnaire reste un logiciel connecté, exposé au phishing et aux compromissions. La seed phrase appartient au monde hors ligne, pas à un coffre numérique.
- La saisir sur un site web. Aucun site légitime ne vous demande de taper vos 12 ou 24 mots pour « connecter » ou « vérifier » un wallet. C'est la signature même du phishing : le faux site enregistre la phrase et vide le portefeuille en quelques secondes.
- La partager. Confier sa seed phrase à un proche, un « conseiller » ou un inconnu serviable revient à lui donner les pleins pouvoirs sur vos fonds. La self-custody ne se partage pas.
- Répondre à un « support officiel » qui la demande. C'est toujours une arnaque. Aucune équipe de wallet ou de plateforme sérieuse ne réclame votre phrase de récupération, par aucun canal.
- N'en garder qu'une seule copie, sans sauvegarde. Un papier unique perdu dans un incendie ou un dégât des eaux, et vos fonds disparaissent. L'absence de copie de secours est une erreur silencieuse mais fatale.
Erreur, risque et bonne pratique
Pour fixer les idées, voici les fautes les plus fréquentes, leur conséquence concrète et la réponse prudente.
| Erreur | Risque encouru | Bonne pratique |
|---|---|---|
| Photo / capture d'écran | Synchronisation cloud → vol à distance | Aucune trace numérique, jamais |
| Stockage cloud / e-mail | Fuite ou piratage du compte | Support physique hors ligne |
| Gestionnaire de mots de passe | Compromission du coffre, phishing | Papier ou plaque métallique |
| Saisie sur un site web | Phishing → portefeuille vidé | Restauration dans l'app officielle seulement |
| Partage avec un tiers | Contrôle total cédé à autrui | Ne jamais communiquer la phrase |
| Copie unique sans backup | Perte définitive en cas de sinistre | Plusieurs copies, lieux distincts |
Les bonnes pratiques
Protéger une seed phrase ne demande pas de matériel sophistiqué, mais de la rigueur. Le principe directeur est toujours le même : la garder hors ligne et redondante.
- Support physique durable. Notez la phrase sur papier de qualité, à l'abri de l'humidité, ou gravez-la sur une plaque métallique conçue pour résister au feu et à l'eau. Le métal protège contre les sinistres qui détruiraient un simple papier.
- Plusieurs copies. Réalisez au moins deux exemplaires identiques. Une seule copie est un point unique de défaillance ; deux ou trois copies réduisent fortement le risque de perte accidentelle.
- Des lieux distincts. Rangez ces copies dans des endroits séparés et sûrs (domicile, coffre, lieu de confiance). Évitez de les concentrer au même endroit, où un seul vol ou un seul incendie suffirait à tout faire disparaître.
- Une passphrase optionnelle. Certains wallets permettent d'ajouter un mot de passe supplémentaire (« 25e mot » ou passphrase) qui s'ajoute à la seed. C'est une protection avancée : elle renforce la sécurité, mais sa perte rend les fonds irrécupérables. À réserver aux utilisateurs qui maîtrisent l'enjeu.
- Jamais de saisie inutile. Ne ressaisissez votre seed phrase que pour une vraie restauration, dans l'application officielle de votre wallet, idéalement sur un appareil hors ligne. En usage normal, vous n'avez pas à la retaper.
Ces réflexes s'inscrivent dans une démarche plus large de protection de vos avoirs. Pour la vue d'ensemble, consultez notre guide comment sécuriser ses cryptoactifs, et pour le choix d'un appareil dédié, notre comparatif des meilleurs wallets hardware.
Que faire si la seed phrase est compromise
Si vous avez le moindre doute — phrase photographiée, saisie sur un site suspect, vue par un tiers, stockée un jour dans le cloud — il faut la considérer comme définitivement compromise. Une seed phrase ne se « re-sécurise » pas : dès qu'elle a pu être vue, les adresses qui en dépendent ne sont plus sûres.
- Générez un nouveau wallet avec une nouvelle phrase de récupération, totalement indépendante de l'ancienne.
- Transférez vos fonds de l'ancien wallet vers le nouveau, sans attendre : un attaquant qui détient la phrase peut agir à tout moment.
- Abandonnez les anciennes adresses. Ne réutilisez plus jamais le wallet compromis ni sa seed phrase, et détruisez les copies physiques de l'ancienne phrase.
- Sauvegardez la nouvelle phrase correctement, cette fois en appliquant toutes les bonnes pratiques : hors ligne, plusieurs copies, lieux distincts.
La rapidité prime : entre le moment où une seed phrase fuit et celui où un attaquant l'utilise, il peut ne s'écouler que quelques minutes. Pour comprendre pourquoi la self-custody place cette responsabilité entre vos mains, revenez au hub des wallets où nous détaillons l'ensemble de la démarche.
Questions fréquentes
Qu'est-ce qu'une seed phrase exactement ?
Une seed phrase (ou phrase de récupération) est une suite de 12 à 24 mots générée par votre wallet selon le standard BIP39. Elle représente, sous forme lisible, la clé maîtresse qui dérive toutes vos clés privées. Quiconque la connaît peut restaurer le wallet et déplacer les fonds : c'est le secret le plus sensible de toute la self-custody.
Puis-je prendre une photo ou une capture d'écran de ma seed phrase ?
Non. Une photo ou une capture d'écran finit presque toujours synchronisée vers le cloud (Google Photos, iCloud, sauvegarde automatique). Elle devient alors accessible à tout pirate ayant accès à votre compte ou à un service tiers. La règle est simple : la seed phrase ne doit jamais exister sous forme numérique.
Un support « officiel » peut-il me demander ma seed phrase ?
Jamais. Aucun support technique, aucune équipe d'un wallet ou d'une plateforme légitime ne vous demandera votre phrase de récupération. Toute personne qui la réclame — par e-mail, message, téléphone ou formulaire — est une arnaque. La seule réponse est de ne jamais la communiquer.
Faut-il saisir sa seed phrase sur un site web ?
Non, sauf restauration directe dans l'application officielle de votre propre wallet, hors ligne quand c'est possible. Un site web qui demande de « connecter » ou « vérifier » votre wallet en saisissant les 12 ou 24 mots est presque toujours un site de phishing conçu pour vider votre portefeuille.
Sur quel support conserver sa seed phrase ?
Sur un support physique et hors ligne : papier rangé en lieu sûr, ou mieux, une plaque métallique résistante au feu et à l'eau. L'idéal est d'avoir plusieurs copies stockées dans des endroits distincts, à l'abri du vol comme des sinistres. On évite tout fichier, cloud, e-mail ou gestionnaire de mots de passe.
Que faire si ma seed phrase a peut-être été exposée ?
Considérez-la comme compromise. Générez immédiatement un nouveau wallet avec une nouvelle phrase de récupération, puis transférez vos fonds vers ce nouveau wallet le plus vite possible. Une seed phrase exposée ne peut pas être « sécurisée » à nouveau : la seule réponse est d'abandonner les adresses associées.
Cet article est une information générale à visée pédagogique. Il ne constitue ni un conseil juridique, ni une recommandation d'investissement. Pour tout cas concret, consultez un professionnel qualifié.