Démarrer

La Passphrase (25ème mot) : Quand l’ultime sécurité devient votre pire ennemi

Vous êtes un utilisateur prudent. Très prudent. Lorsque vous avez configuré votre Ledger ou Trezor, vous ne vous êtes pas contenté des 24 mots de la Seed Phrase. Vous avez activé l’option avancée : la Passphrase (aussi appelée « 25ème mot » ou « Extension Word »). C’est une sécurité redoutable qui permet de créer des portefeuilles cachés, invisibles même sous la menace. Mais aujourd’hui, vous avez un problème : vous restaurez votre Ledger avec vos 24 mots, et le solde affiche 0 €. Le portefeuille est vide. Vous n’avez pas été piraté. Vous avez juste oublié (ou mal orthographié) votre Passphrase. Et le piège, c’est que le système ne vous dit pas « Mot de passe incorrect ». Il vous ouvre simplement un autre portefeuille, vide. Bienvenue dans l’enfer silencieux de la Passphrase oubliée.

I. Seed Phrase vs Passphrase : La différence vitale

Il ne faut pas confondre :

  1. Seed Phrase (24 mots) : Elle est générée par l’appareil. Les mots sont dans une liste fixe (BIP39). Il y a un correcteur (Checksum).
  2. Passphrase (Le 25ème mot) : C’est VOUS qui la choisissez. Ça peut être « MotDePasse », « 1234 », ou « JeSuisRiche! ».
    • Pas de liste de mots.
    • Pas de longueur limite (jusqu’à 100 caractères).
    • Sensible à la casse (Majuscules/Minuscules comptent).
    • Pas de vérification : Tout mot entré est valide et génère un portefeuille unique.

II. Le piège du « Silent Failure » (Échec Silencieux)

C’est ce qui rend la récupération si difficile psychologiquement. Si vous avez défini la passphrase « Soleil », vous accédez à vos 10 BTC. Si vous tapez « soleil » (minuscule) ou « Soleil  » (avec un espace), le Ledger ne dit pas « Erreur ». Il calcule mathématiquement une nouvelle adresse, qui est vide.

  • Symptôme : L’utilisateur croit qu’il a été volé. Il voit 0 BTC. Il panique.
  • Réalité : Les fonds sont juste à côté, dans une dimension parallèle accessible uniquement avec la bonne casse (« S » majuscule).

III. La stratégie du « Hidden Wallet » (Portefeuille Caché)

Cette fonction sert à la plausible deniability (déni plausible).

  • Vous mettez 100€ sur le portefeuille sans passphrase (les 24 mots seuls).
  • Vous mettez 1 000 000€ sur le portefeuille avec la Passphrase « Secret123 ».
  • Si un cambrioleur vous menace, vous donnez les 24 mots. Il voit 100€. Il les prend et part. Il ne peut pas savoir qu’il existe un niveau caché.
  • Le revers : Si vous oubliez « Secret123 », vous êtes dans la même situation que le cambrioleur. Vous ne voyez que les 100€.

IV. Comment Lereum Recoveries retrouve une Passphrase ?

Contrairement à la Seed Phrase (liste limitée), la Passphrase peut être n’importe quoi. Cependant, l’humain est prévisible.

  1. Nous avons besoin de la Seed Phrase (24 mots) : Sans elle, impossible de calculer quoi que ce soit. (Nous utilisons un protocole sécurisé pour que vous nous la transmettiez).
  2. L’attaque dirigée : Nous ne testons pas toutes les combinaisons de l’univers. Nous testons VOS hypothèses.
    • « C’était peut-être le nom de ma fille + 2020 ? »
    • « J’ai peut-être mis une majuscule ou un caractère spécial ? »
  3. La permutation intelligente : Nos algorithmes testent toutes les fautes de frappe possibles (a/4, e/3, espaces en trop, majuscules inversées) autour de vos souvenirs.

V. Cas pratique : L’histoire de l’espace en trop

Un client de Lereum était persuadé que sa Passphrase était « Bitcoin2021 ». Solde : 0. Après analyse, nous avons découvert qu’en configurant son Ledger, il avait, par habitude de dactylographie, appuyé sur la barre espace après le mot. La vraie passphrase était « Bitcoin2021  » (avec un espace à la fin). Cet espace invisible valait 2 millions d’euros. Seul un algorithme de Brute Force peut tester systématiquement ces milliers de variations invisibles.

VI. Comment sécuriser sa Passphrase à l’avenir ?

  • Ne comptez pas sur votre mémoire. Un accident de voiture peut effacer vos souvenirs.
  • Notez la Passphrase, mais jamais au même endroit que les 24 mots.
  • Stockez les 24 mots chez vous (coffre), et la Passphrase chez un tiers de confiance (Notaire, coffre bancaire, parents). Il faut les deux pour voler les fonds.

Liste des points clés :

  • La Passphrase est sensible à la casse (majuscules) et aux espaces.
  • Un mauvais mot de passe ouvre un portefeuille vide, pas un message d’erreur.
  • C’est une sécurité optionnelle mais redoutable en cas d’oubli.
  • L’humain fait souvent des erreurs de frappe mineures lors de la création (QWERTY/AZERTY, pavé numérique).
  • Lereum peut tester des milliards de variations autour de votre mot de passe supposé.

FAQ : Passphrase

1. J’ai perdu ma Passphrase mais j’ai le PIN du Ledger. C’est bon ? OUI ! Si le Ledger est encore configuré, le PIN déverrouille l’accès à la Passphrase enregistrée (si vous l’avez attachée au PIN). Transférez les fonds tout de suite ! Le danger est si vous réinitialisez le Ledger ou mettez à jour le firmware.

2. Combien de caractères max pour une Passphrase ? Le standard BIP39 autorise des phrases très longues, mais le Ledger limite souvent la saisie à 100 caractères.

3. Si Lereum trouve ma Passphrase, pouvez-vous voler mes fonds ? Techniquement, oui, puisque nous avons besoin des 24 mots + la Passphrase pour tester. C’est pourquoi nous signons un contrat légal strict devant avocat et nous opérons sur des serveurs isolés (Air-Gapped). Notre réputation est notre actif le plus précieux.

4. Est-ce que Metamask utilise une Passphrase ? Généralement non. Metamask utilise un mot de passe pour chiffrer le fichier local, mais ce n’est pas une « BIP39 Passphrase » cryptographique. Cependant, on peut importer un compte Ledger avec Passphrase dans Metamask.

5. J’ai essayé 10 passphrases, est-ce que je bloque mon Ledger ? Non. Comme la Passphrase génère un nouveau wallet à chaque fois, vous ne « bloquez » rien. Vous ouvrez juste 10 wallets vides différents. Vous pouvez essayer à l’infini (Temporary Passphrase).

Revenir aux actualités

Partager :

Plus d'actualités

Newsletter


    Il est temps de récupérer vos accès !