BIP39 : Mots mnémoniques de sauvegarde de portefeuille Bitcoin
Environ 3,7 millions de bitcoins sont bloqués dans des portefeuilles inaccessibles. Cela représente environ un cinquième de tous les bitcoins jamais émis. Une étude de Chainalysis datant de 2020 estimait ce nombre, et les analystes continuent de le citer en 2026 car il reste quasiment inchangé. La plupart de ces bitcoins appartiennent à des particuliers ayant simplement perdu leur phrase de récupération. Parallèlement, Chainalysis a recensé 158 000 compromissions de portefeuilles personnels en 2025, entraînant des pertes d'environ 713 millions de dollars pour quelque 80 000 victimes. Deux modes de défaillance. Un document au cœur des deux : le BIP39, la spécification qui détermine la signification exacte de votre phrase de récupération de douze ou vingt-quatre mots.
Pourquoi la sauvegarde BIP39 est importante en 2026
Un nouveau portefeuille vous remet une feuille de papier avec douze mots inscrits dessus et vous demande de les noter en lieu sûr. Il s'agit de votre phrase mnémonique BIP39. Conservez-la précieusement et elle constituera la sauvegarde la plus sûre qui soit. À l'inverse, si vous la négligez, vous risquez de la perdre très facilement. Enregistrez ces mots dans n'importe quel portefeuille compatible, sur n'importe quel appareil, et vos fonds vous seront restitués. Si vous les perdez, aucun service d'assistance ne sera disponible.
L'ampleur de ces deux conséquences est désormais mesurable. Le chiffre de 3,7 millions de BTC provient de pièces restées intactes pendant au moins cinq ans dans des portefeuilles de première génération, et il a à peine bougé. Du côté des vols, le rapport de Chainalysis sur le piratage de décembre 2025 recense 3,4 milliards de dollars volés au cours de l'année, dont 713 millions proviennent de 158 000 incidents survenus dans des portefeuilles personnels. Ce même rapport attribue 43,8 % de ces pertes à des clés privées compromises, c'est-à-dire, en clair, principalement des phrases de récupération volées.
Tous les portefeuilles modernes implémentent le protocole BIP39. Ledger, Trezor, MetaMask, Phantom, Trust Wallet, Coinbase Wallet, Exodus, Electrum, Atomic : tous. L’interopérabilité est au cœur de cette norme, car une phrase de récupération générée dans un portefeuille doit pouvoir être restaurée dans un autre. Comprendre concrètement le fonctionnement du protocole BIP39, tant sur le plan mathématique qu’opérationnel, est plus important que de mémoriser la procédure de récupération d’une marque en particulier.
Que sont réellement une phrase mnémotechnique et une liste de mots clés pour le BIP39 ?
Une phrase mnémonique BIP39 porte plusieurs noms : phrase de récupération, phrase mnémonique, code mnémonique, phrase mnémonique, graine de portefeuille. Tous désignent la même chose : une suite de mots codant les mêmes informations qu'une clé cryptographique brute, mais beaucoup plus difficile à retranscrire incorrectement. Douze ou vingt-quatre mots sont extraits d'une liste fixe de 2 048 mots anglais soigneusement sélectionnés. « Abandon » figure en première position. « Zoo » ferme la liste à la position 2 048. « Satoshi » se cache à la position 1 532, au milieu, un petit clin d'œil au créateur pseudonyme du Bitcoin.
Marek Palatinus et Pavol Rusnak (Slush Pool, devenus ensuite SatoshiLabs et Trezor) ont rédigé la spécification le 10 septembre 2013, en collaboration avec Aaron Voisine et Sean Bowe. La proposition d'amélioration Bitcoin 39 (BIP 39) n'a jamais été officiellement promue au statut « final » dans le dépôt BIP. Elle est néanmoins devenue la norme de facto du secteur en l'espace de deux ans environ. Aujourd'hui, il existe dix listes de mots officielles, chacune comportant exactement 2 048 mots : anglais, japonais, coréen, chinois simplifié, chinois traditionnel, espagnol, français, italien, tchèque et portugais.
La liste de mots est volontairement tolérante. Chaque entrée est identifiée de manière unique par ses quatre premières lettres, de sorte que « abandon » et « capacité » ne se confondent jamais, même au premier coup d’œil, et que les fautes de frappe en fin de phrase ne les perturbent pas. Les auteurs ont éliminé les paires de mots partageant un préfixe de quatre lettres, les mots trop rares ou archaïques, ainsi que les homophones évidents.
| position dans la liste de mots | Mot | Notes |
|---|---|---|
| #1 | abandonner | Premier mot de la liste anglaise |
| #1 532 | satoshi | Clin d'œil au créateur pseudonyme de Bitcoin |
| #2048 | zoo | Dernier mot de la liste anglaise |
Associée à la clé hexadécimale qu'elle représente, la phrase mnémotechnique est courte, facile à scanner et tient sur une seule feuille de papier. Une clé privée de 256 bits ressemble à `4a533d1654b17deecf2a6...`, tandis que la même clé, encodée sous la forme d'une graine BIP39 de 24 mots, se lit comme vingt-quatre mots anglais courants. Les deux contiennent la même entropie. Seule l'une d'elles peut être lue à voix haute à un interlocuteur au téléphone sans passer pour un fou.
Génération du mnémonique : comment BIP39 construit le code
La génération est rapide et mérite d'être expliquée. Étape 1 : Extraire 128 bits d'entropie d'un générateur de nombres aléatoires cryptographiquement sécurisé (256 bits pour la version à 24 mots). Étape 2 : Appliquer SHA-256 à ces bits d'entropie. Récupérer les 4 premiers bits du hachage (ou 8 bits pour la version à 256 bits) et les ajouter à l'entropie. Cela constitue la somme de contrôle. Vous disposez désormais de 132 bits, ou 264 bits.
La troisième étape est mécanique. Elle consiste à découper les bits en blocs de 11 bits. Chaque bloc correspond à un nombre compris entre 0 et 2 047, qui est directement associé à la liste de mots. 132 divisé par 11 donne 12 mots. 264 divisé par 11 donne 24 mots. La somme de contrôle effectue discrètement le gros du travail plus tard : lors de la restauration, le portefeuille recalcule le SHA-256 et refuse tout ce qui échoue à la vérification. Ainsi, une faute de frappe dans le dernier mot est généralement détectée immédiatement, évitant ainsi la restauration silencieuse d'un portefeuille vide.
L'espace de recherche par force brute est un aspect souvent négligé. Une phrase de 12 mots possède 2 048^12 ≈ 5,4 × 10^39 combinaisons valides après application de la somme de contrôle. Une phrase de 24 mots en possède 2 048^24 ≈ 3 × 10^79. Imaginez un attaquant qui tenterait de deviner 10^18 clés par seconde. Même avec une phrase de 128 bits, il faudrait environ 10 quadrillions d'années. À titre de comparaison : l'univers observable contient environ 10^80 atomes. Aucune attaque publique en 2025 n'a réussi à deviner une phrase mnémonique BIP39 par force brute. Toutes les pertes documentées sont dues à des phrases volées, jamais à des phrases devinées.
Une dernière étape est nécessaire avant que les mots ne permettent de déverrouiller quoi que ce soit. La phrase mnémonique est traitée par PBKDF2-HMAC-SHA512, avec 2 048 itérations, et salée avec la chaîne littérale « mnemonic » concaténée à une phrase secrète optionnelle. Le résultat de 512 bits constitue la graine proprement dite. C’est cette graine que BIP32 (la couche supérieure) utilise pour générer chaque clé privée du portefeuille.
Mnémonique, phrase de récupération, clés : trois éléments distincts, trois niveaux. C’est cette séparation qui explique pourquoi une phrase de récupération de douze mots peut donner naissance à un portefeuille totalement différent. Changez la phrase de récupération, et le sel change, la phrase de récupération change, et chaque clé change.
BIP39 vs BIP32 vs BIP44 : Comment les couches s’empilent
Voici le cauchemar du débutant. Vous restaurez vos douze mots corrects dans un autre portefeuille. Ce nouveau portefeuille affiche un solde nul. Les mots étaient valides, mais pas le chemin de dérivation. BIP39, BIP32 et BIP44 sont trois propositions d'amélioration Bitcoin différentes qui, ensemble, transforment votre phrase de récupération en adresses. Si deux logiciels diffèrent sur le chemin, ils chercheront discrètement dans la mauvaise branche de l'arbre.
| Standard | Année | Emploi |
|---|---|---|
| BIP32 | 2012 | Portefeuilles déterministes hiérarchiques — transformez une graine en un arbre de clés |
| BIP39 | 2013 | Encodage mnémotechnique de la graine |
| BIP44 | 2014 | Chemin de dérivation standard : m/44'/coin'/account'/change/index |
Si votre portefeuille utilise un chemin non standard (certains outils anciens ou spécifiques à un matériel le font), une restauration dans un autre portefeuille ne donnera aucun résultat tant que vous n'aurez pas défini manuellement le chemin. Les mots de passe ne sont pas perdus. La liste d'adresses est simplement lue à partir d'une autre branche du même arbre. Il est bon de le savoir avant de s'inquiéter.
12 mots contre 24 et la phrase de passe
Le débat entre les clés de chiffrement à 12 et 24 mots est essentiellement théorique. Douze mots offrent 128 bits d'entropie, vingt-quatre en offrent 256. Ces deux valeurs sont largement hors de portée de toute attaque par force brute, et la version à 128 bits correspond à la norme AES pour les données ultra-confidentielles du gouvernement américain. Vingt-quatre mots protègent contre les futures attaques quantiques sur l'espace de recherche ; douze mots restent inviolables selon les modèles actuels.
Le contrôle véritablement intéressant réside dans la phrase de passe, parfois appelée « le 25e mot ». N'importe quelle chaîne de caractères, quelle que soit sa longueur, est intégrée au sel PBKDF2 avant la génération de la graine. Phrase de passe différente, portefeuille différent, mais mêmes mots. Ceci permet une fonctionnalité unique à BIP39 : le déni plausible. Il est impossible de prouver l'existence d'une phrase de passe, car toute phrase de passe possible génère un portefeuille valide (même vide). Un utilisateur sous la contrainte peut transmettre les douze mots à un portefeuille « leurre » contenant de faibles fonds, tandis que ses véritables avoirs sont protégés par une phrase de passe dont lui seul se souvient. Le piège est symétrique : perdre la phrase de passe signifie perdre définitivement le portefeuille associé — sans possibilité de récupération ni d'assistance.
Vol de phrases clés BIP39 : les leçons de 2023-2025
Si les mathématiques sont infaillibles, les humains qui les entourent ne le sont pas. Ces trois dernières années ont offert un véritable manuel d'échecs.
En juin 2023, Atomic Wallet a été victime d'un vol de plus de 100 millions de dollars, touchant au moins 5 500 comptes utilisateurs. Elliptic a imputé cette opération au groupe nord-coréen Lazarus. Atomic a affirmé que moins de 0,1 % de ses 5 millions d'utilisateurs avaient été affectés. La cause exacte du vol n'a jamais été officiellement confirmée, mais il est clair que les données de récupération stockées sur les appareils ont été compromises.
Le 14 décembre 2023, le package npm « Connect Kit » de Ledger a été compromis pendant environ cinq heures grâce au jeton npm d'un ancien employé victime d'hameçonnage. Du code malveillant du groupe Angel Drainer a été diffusé dans les versions 1.1.5 à 1.1.7 et injecté discrètement dans de nombreuses dApps EVM. Environ 600 000 $ ont été dérobés avant que Ledger ne retire le package. Il ne s'agissait pas d'une faille matérielle de Ledger, mais d'une compromission de la chaîne d'approvisionnement d'une dépendance JavaScript ayant affecté les portefeuilles des utilisateurs à un niveau différent.
Les piratages de portefeuilles électroniques à grande échelle ont persisté jusqu'en 2024. Le rapport de Scam Sniffer de janvier 2025 a recensé 494 millions de dollars volés via ces scripts, ciblant 332 000 adresses victimes. Inferno Drainer détenait 40 à 45 % de parts de marché et Pink Drainer 28 % avant leur retrait. Nombre de ces victimes ont volontairement divulgué leurs phrases de récupération dans de fausses fenêtres contextuelles de « validation de portefeuille » imitant celles de MetaMask ou Phantom.
La menace la plus personnelle est celle des logiciels malveillants ciblant le presse-papiers. Kaspersky a révélé la campagne « GitVenom » en février 2025 : environ 5 BTC (environ 485 000 $) ont été dérobés par un code malveillant remplaçant le contenu du presse-papiers, diffusé via de faux dépôts GitHub. Les victimes se situaient principalement au Brésil, en Turquie et en Russie. Un autre cheval de Troie, ClipBanker, distribué dans un faux programme d’installation de Proxifier en 2025, a touché plus de 2 000 utilisateurs de Kaspersky sur les cryptomonnaies BTC, ETH, XMR, DOGE, SOL, TRX, XRP et XTZ, remplaçant discrètement les adresses copiées par des adresses contrôlées par l’attaquant lors du collage.
Chainalysis a établi que les pertes liées aux portefeuilles personnels s'élevaient à 713 millions de dollars en fin d'année, réparties sur 158 000 incidents, dont 43,8 % étaient imputables à des clés privées compromises. Il s'agit très majoritairement de vols de phrases de récupération.
Sauvegarde sécurisée d'un portefeuille Bitcoin BIP39 : papier, métal, Shamir
La défense pratique repose essentiellement sur des moyens physiques. Le papier résiste à l'encre et à un rangement soigné pendant des années, mais il s'enflamme aux alentours de 233 °C, tandis qu'un incendie domestique classique atteint 600 à 1 100 °C. La capsule Cryptosteel, fabriquée en acier inoxydable 303/304, a subi des tests thermiques indépendants et les données restent lisibles jusqu'à 1 350 °C. Billfodl utilise un acier inoxydable de qualité marine, résistant à environ 1 400 °C selon les spécifications du fournisseur.
| Méthode | Chaleur | Eau | Notes |
|---|---|---|---|
| Papier | Brûlures à environ 233 °C | L'encre coule | Le moins cher, remplaçable |
| Capsule de Cryptosteel | Résiste à 1 350 °C | Oui | Test thermique indépendant |
| Billfodl | Résistance nominale : 1 400 °C | Oui | Évaluation du fournisseur |
| SLIP-39 (Shamir) | Cela dépend du substrat | Cela dépend | Divise la semence en parts M sur N |
Au-delà du support physique, deux choix structurels sont importants. Il faut conserver deux copies géographiquement distinctes, au cas où un incendie ou une inondation détruirait entièrement un site. Il convient également de considérer le partage de secret de Shamir via SLIP-39, que Trezor a lancé sur la Model T en août 2019. SLIP-39 divise une clé secrète en plusieurs segments de vingt mots, dont n'importe quel M-sur-N suffit à la récupération. L'équipe Casa, en revanche, a explicitement rejeté Shamir au profit d'une signature multiple géographique comme modèle de récupération. Ces deux systèmes sont conçus pour éliminer le problème de point de défaillance unique inhérent au protocole BIP-39 standard.
Portefeuilles crypto compatibles avec BIP39 en 2026
Presque tous les systèmes prennent en charge BIP39, mais l'interopérabilité présente des limites. Il est important de savoir quels portefeuilles utilisent quels chemins de dérivation avant de supposer qu'une restauration se déroulera sans problème.
| Portefeuille | Chaînes | Chemin par défaut |
|---|---|---|
| Ledger Nano | BTC, ETH, plus de 5 500 actifs | BIP44 m/44'/coin'/0' |
| Modèle Trezor T | BTC, ETH, et bien d'autres | Option BIP44 / SLIP-39 |
| MetaMask | EVM | m/44'/60'/0'/0/index |
| Fantôme | Solana, EVM | m/44'/501'/n'/0' pour SOL |
| Portefeuille Coinbase | BTC, EVM, SOL | Norme BIP44 |
Au-delà de BIP39 : clés d’accès, MPC et ERC-4337
2025 a marqué la première année de commercialisation d'une alternative crédible et grand public au protocole BIP39. Coinbase Smart Wallet, basé sur les clés ERC-4337 et l'authentification Web, a franchi le cap du million de comptes en août. L'application a enregistré 270 000 nouveaux comptes en une seule journée, le 16 août, lors du déploiement de l'application de base. Les utilisateurs se connectent avec la reconnaissance faciale ou leur empreinte digitale, qu'ils utilisent déjà pour tous leurs autres services, sans jamais avoir à saisir de phrase de récupération.
Les comptes intelligents ERC-4337 sont désormais déployés à plus de 40 millions d'exemplaires sur Ethereum et les réseaux de couche 2. Le nombre cumulé d'opérations utilisateur a dépassé les 100 millions, soit une croissance d'environ 10 fois par rapport à 2023. L'EIP-7702, activé avec la mise à niveau Pectra en mai 2025, a enregistré 11 000 autorisations EOA vers comptes intelligents dès sa première semaine. L'EIP-7702 permet aux portefeuilles ordinaires de fonctionner comme des comptes intelligents à la demande, sans avoir à supprimer leurs clés existantes. Côté infrastructure, les fournisseurs de portefeuilles intégrés Privy (75 millions de portefeuilles), Dynamic (plus de 50 millions) et Web3Auth – désormais MetaMask Embedded – (20 millions d'utilisateurs actifs mensuels) s'appuient tous sur le calcul multipartite ou les signatures à seuil. L'utilisateur final ne détient jamais de graine BIP39.
Rien de tout cela ne signifie que BIP39 est voué à disparaître ; la norme est bien trop ancrée dans les mœurs. Ledger a livré son huit millionième appareil en 2025 et a vu ses ventes augmenter de 31 %. En réalité, on observe une nette bifurcation. Le segment des utilisateurs avancés — BIP39, portefeuille matériel et phrase secrète — reste la référence. Le segment grand public, quant à lui, est progressivement remplacé par des clés d'accès et une abstraction des comptes, conçus pour ceux qui ne souhaitent pas manipuler de mots.
Règles rapides pour toute personne détenant une graine BIP39
Cinq règles permettent de se prémunir contre la plupart des risques. Ne saisissez jamais votre phrase secrète dans un champ de texte connecté à Internet, car les fenêtres publicitaires frauduleuses sont conçues pour détecter le copier-coller. Ne la photographiez jamais non plus, car les photos sont synchronisées avec des services cloud que vous ne contrôlez pas entièrement. Pour tout objet que vous comptez conserver longtemps, privilégiez le métal au papier. Testez la restauration sur un autre portefeuille avant de lui faire confiance. Enfin, si vous utilisez une phrase secrète, conservez-la physiquement séparément : même type de menace, mais dans un endroit différent, jamais dans le même tiroir.
