Trezor Shamir Backup

Depuis 2023, Trezor propose un nouveau format de sauvegarde appelé Single-share Backup, qui remplace progressivement l’approche classique que l'on retrouve sur la plupart des portefeuilles fondée sur le BIP39. Contrairement aux phrases mnémoniques traditionnelles de 12 ou 24 mots, ce nouveau format repose sur une phrase unique de 20 mots issue d’un standard développé par SatoshiLabs : le SLIP39. L’objectif est d’améliorer la robustesse et la lisibilité de la sauvegarde, tout en rendant possible une migration fluide vers un modèle de sauvegarde distribué.

Ce modèle distribué s'appelle le Multi-share Backup. Il repose sur le même principe, mais au lieu de générer une seule phrase mnémonique, il permet de la scinder en plusieurs fragments appelés shares, chacun étant une phrase mnémonique à part entière. Pour restaurer le portefeuille, un certain nombre de ces shares (défini par un seuil) doivent être réunis. Par exemple, dans un schéma 3-de-5, n’importe quels 3 shares sur les 5 existantes permettent de reconstituer le portefeuille. Attention, le système de sauvegarde distribué de Trezor est différent des portefeuilles multisigs. Pour dépenser vos bitcoins, seul votre hardware wallet Trezor est requis. Il ne faut produire qu'une seule signature. La distribution s'applique uniquement au niveau de la phrase mnémonique, c'est-à-dire de la sauvegarde.

Ce système permet de résoudre le problème du point de défaillance unique de la phrase mnémonique sans les inconvénients liés à la gestion d'un multisig ou d'une passphrase BIP39. Le processus de récupération ne repose plus sur une seule information, mais sur plusieurs, avec en plus une certaine tolérance à la perte grâce au seuil.

Les utilisateurs ayant créé un portefeuille avec un Single-share Backup peuvent à tout moment passer à un Multi-share Backup sans avoir à migrer leur portefeuille. Les adresses de réception et les comptes resteront identiques. Le système Multi-share affecte uniquement la sauvegarde, tandis que le reste du portefeuille demeure inchangé.

Le Multi-share Backup est disponible sur les Trezor Model T, Safe 3 et Safe 5. Cette fonctionnalité n'est donc pas prise en charge par le Trezor Model One.

Remarque importante : Le système Multi-share de Trezor est sûr cryptographiquement, car il utilise le schéma Shamir's Secret Sharing pour la distribution. Il est fortement déconseillé d'appliquer un système similaire manuellement en divisant soi-même une phrase mnémonique classique. C'est une mauvaise pratique qui augmente significativement les risques de vol et de perte de vos bitcoins, donc ne le faites pas. Une phrase mnémonique classique se conserve en entier.

Le mécanisme cryptographique sous-jacent aux sauvegardes Multi-share sur les Trezor est le Shamir’s Secret Sharing Scheme (SSSS). Son principe est le suivant : une information secrète (ici, la seed du portefeuille) est transformée en un polynôme mathématique. Ensuite, plusieurs points de ce polynôme sont calculés : chacun devient un share. La reconstruction du secret original se fait par interpolation polynomiale, en réunissant un nombre minimal de points (le seuil).

Aucune information sur le secret ne peut être déduite d’un nombre de shares inférieur au seuil, ce qui garantit une sécurité théorique parfaite de l'information secrète. En d’autres termes, même un attaquant disposant d’une puissance de calcul illimitée ne peut pas deviner la seed si le seuil n’est pas atteint.

Le SLIP39 utilise ce schéma pour distribuer la seed du portefeuille. Chaque share est une phrase de 20 mots, construite à partir d’une liste de 1024 mots (différente de la liste du BIP39).

Lors de la création de votre portefeuille sur le Trezor, vous avez trois options différentes :

Si vous optez pour une phrase mnémonique Single-share SLIP39, vous aurez la possibilité d'évoluer vers un Multi-share plus tard sans avoir à réinitialiser le portefeuille. En revanche, si vous commencez avec un portefeuille classique BIP39 (phrase de 12 ou 24 mots), vous ne pourrez pas le convertir directement en Multi-share. Vous devrez créer un nouveau portefeuille Multi-share de zéro et transférer vos fonds de l'ancien portefeuille au nouveau via une ou plusieurs transactions Bitcoin. Cette opération est plus complexe et coûteuse. Si vous souhaitez faire cette migration, je vous recommande l'achat d'un nouveau hardware wallet Trezor pour éviter de devoir entrer votre seed sur un logiciel de portefeuille.

Dans ce tutoriel, nous allons d'abord voir comment configurer un Multi-share lors de la création du portefeuille, puis, dans une section suivante, nous verrons comment convertir un Single-share en Multi-share sur un portefeuille existant.

Si vous avez besoin d'aide pour la configuration initiale de votre appareil, nous avons également un tutoriel détaillé pour chaque modèle de Trezor :

Vous avez passé les étapes de configuration initiale de votre Trezor et vous êtes prêt à créer le portefeuille. Dans Trezor Suite, cliquez sur le bouton "Create new wallet".

Choisissez l'option "Multi-share Backup", puis cliquez sur "Create wallet".

Acceptez les conditions d'utilisation sur votre Trezor et confirmez la création du portefeuille.

Dans Trezor Suite, cliquez sur "Continue to backup".

Lisez attentivement les instructions, validez-les, puis cliquez sur "Create wallet backup".

Pour plus d'informations sur la manière adéquate de sauvegarder et de gérer vos phrases mnémoniques, je vous recommande vivement de suivre cet autre tutoriel, particulièrement si vous êtes débutant :

Sur le Trezor, choisissez le nombre total de shares que vous souhaitez configurer. Les configurations les plus courantes sont 2-de-3 et 3-de-5. Pour cet exemple, je vais créer un 2-de-3, donc je sélectionne 3 shares. Chaque share représentera une phrase mnémonique de 20 mots.

Confirmez ensuite le seuil, c'est-à-dire le nombre de shares nécessaires pour récupérer l'accès au portefeuille et aux bitcoins qu'il contient.

Le Trezor va créer vos différentes shares (phrases mnémoniques) en utilisant son générateur de nombres aléatoires. Assurez-vous de ne pas être observé durant cette opération. Notez les mots fournis sur l'écran sur le support physique de votre choix. Il est important de conserver les mots numérotés et dans l'ordre séquentiel.

Je vous recommande de noter chaque share sur un support distinct et de gérer soigneusement leur stockage afin d'éviter que plusieurs ne soient accessibles au même endroit. Par exemple, pour une configuration 2-de-3 comme la mienne, une option serait de conserver une share chez moi, une autre chez un ami de confiance, et la dernière dans un coffre de banque. Le choix des emplacements de stockage va dépendre de votre stratégie personnelle de sécurisation.

Vous pouvez voir sur le haut de l'écran quelle share vous êtes en train de consulter.

Pour passer aux mots suivants, cliquez sur le bas de l'écran. Vous pouvez revenir en arrière en glissant vers le bas. Une fois tous les mots notés, restez appuyé sur l'écran pour passer à la share suivante, et répétez cette opération.

À la fin de l'enregistrement de chaque share, on vous demandera de sélectionner les mots de votre phrase mnémonique dans l'ordre pour confirmer que vous les avez correctement notés.

Et voilà, vous avez réussi à sauvegarder votre portefeuille en utilisant l'option Multi-share. Vous pouvez maintenant poursuivre avec le reste des instructions de configuration.

Si vous disposez déjà d'un portefeuille Trezor avec une sauvegarde Single-share (une phrase mnémonique SLIP39, et non une phrase classique BIP39), et que vous souhaitez améliorer la disponibilité et la sécurité de la sauvegarde de votre portefeuille, vous pouvez établir un système Multi-share sans avoir à transférer vos bitcoins.

Pour ce faire, connectez et déverrouillez votre hardware wallet. Dans Trezor Suite, accédez aux paramètres.

Allez dans l'onglet "Device".

Cliquez ensuite sur "Create Multi-share Backup".

Lisez les instructions, puis cliquez sur "Create Multi-share Backup".

Vous devrez ensuite saisir votre phrase mnémonique actuelle (en Single-share) sur l'écran de votre Trezor. Sélectionnez le nombre de mots (par défaut, c'est 20).

Utilisez ensuite le clavier sur l'écran de la Trezor pour entrer chaque mot de votre phrase mnémonique actuelle.

Vous pourrez alors choisir la configuration de votre Multi-share Backup en suivant les instructions fournies dans la section précédente.

Une fois votre Multi-share Backup créé, vous devrez décider de ce que vous faites de votre phrase mnémonique Single-share initiale. Comme le portefeuille Bitcoin reste le même, cette phrase unique permet toujours d'y accéder. Cela va dépendre de votre stratégie de sécurisation, mais en général, il est conseillé de détruire cette phrase pour éliminer ce point de défaillance unique, ce qui est justement l'objectif du Multi-share Backup. Si vous décidez de la détruire, assurez-vous de le faire de manière sécurisée, car elle donne toujours accès à vos bitcoins.

Félicitations, vous êtes maintenant au point sur l'utilisation des Single-share et Multi-share Backups sur les hardware wallets Trezor. Pour aller plus loin dans la sécurisation de votre portefeuille, je vous conseille de découvrir ce tutoriel sur les passphrases BIP39 :

Si vous avez trouvé ce tutoriel utile, je vous serais reconnaissant de laisser un pouce vert ci-dessous. N'hésitez pas à partager cet article sur vos réseaux sociaux. Merci beaucoup !