Wallets de garde et wallets non gardés, et pourquoi cette distinction est cruciale
Coinbase détient vos clés, MetaMask ne les détient pas — et cette seule phrase décide si votre crypto survivra à une faillite, à une liste de sanctions ou à un mot de passe oublié. Un guide en langage clair.
Quand FTX a fait faillite le 11 novembre 2022, environ 9,4 millions de détenteurs de comptes ont découvert, dans la même semaine, que leur crypto ne leur appartenait pas réellement. Les conditions d’utilisation de l’échange étaient claires, comme le sont les documents juridiques — enfouies, techniques et jamais lues — stipulant que les actifs étaient une dette de l’entreprise, et non un dépôt gardé. Deux ans et demi plus tard, le 6 mars 2025, la succession de faillite de Celsius Network a finalisé les distributions à environ 71 cents par dollar pour les détenteurs de comptes « Earn », qui avaient également, sans le savoir, transféré la propriété de leur crypto à la plateforme. Dans les deux cas, la substance juridique de « J’ai 20 000 $ de bitcoin sur la plateforme » s’est révélée très différente de « J’ai 20 000 $ de bitcoin ».
Ce qui est en jeu est la différence entre posséder un objet et avoir une créance sur une entreprise qui vous doit cet objet. Cette distinction correspond presque parfaitement à la séparation technique entre wallets de garde (custodial) et wallets non gardés (non-custodial). Un wallet de garde signifie que un tiers (un échange, une fintech, parfois un émetteur) contrôle les clés privées ; un wallet non gardé signifie que vous les contrôlez. L’échange se fait entre commodité, récupérabilité et intégration d’un côté, et souveraineté et éloignement de la faillite de l’autre. Cet article explique ce que sont chacun, où ils sont appropriés, et les choix de conception spécifiques — multisig, modules de sécurité matériels, récupération sociale, MPC — qui ont évolué pour atténuer les aspérités des deux modèles.
Qu’est-ce qu’un wallet de garde réellement
Un wallet de garde est un compte chez un service. Le service détient les clés privées cryptographiques ; l’utilisateur dispose d’un identifiant de connexion, éventuellement avec authentification à deux facteurs ou vérifications biométriques. Coinbase, Binance, Kraken, Crypto.com, Revolut, PayPal et Cash App opèrent tous des wallets de garde. Le balance visible par l’utilisateur est une entrée dans le registre interne du service, et non une clé que l’utilisateur contrôle sur la blockchain. Quand l’utilisateur «envoie du bitcoin à un ami», le service signe la transaction avec ses propres clés pour l’utilisateur et actualise le registre interne.
L’analogie est un compte bancaire. La loi bancaire (dans la plupart des juridictions) rend le déposant un créancier général non garanti de la banque, protégé jusqu’à une limite d’assurance-dépôt. La garde de crypto n’a pas de régime d’assurance équivalent dans la plupart des pays. En Amérique, la directive SAB 121 de la SEC de 2022 (ultérieurement annulée en 2025) avait exigé que les gardiens reconnaissent la crypto client comme un actif et une dette dans le bilan ; l’effet pratique était que la crypto client serait mélangée aux propres actifs du gardien dans une succession de faillite. Les cas Celsius et FTX ont confirmé cette interprétation en justice. Le régime de charte de confiance de la DFS de New York est parmi les rares à offrir un véritable éloignement de la faillite pour la garde de crypto.
Qu’est-ce qu’un wallet non gardé réellement
Un wallet non gardé est un logiciel (et parfois un matériel) qui génère et stocke les clés privées sur un appareil contrôlé par l’utilisateur. MetaMask, Rabby, Phantom, Trust Wallet, Ledger Live avec un appareil Ledger, et Trezor Suite avec un appareil Trezor sont des wallets non gardés. Quand l’utilisateur «envoie du bitcoin à un ami», le logiciel du wallet signe la transaction localement avec la clé de l’utilisateur et la diffuse au réseau. Aucun tiers ne peut empêcher la transaction, bloquer l’adresse ou saisir le balance ; de même, aucun tiers ne peut récupérer le balance si l’utilisateur perd sa clé.
La clé est généralement dérivée d’une phrase de seed de 12 ou 24 mots selon BIP-39, une norme permettant que la même phrase de seed reconstruit les mêmes clés sur tout wallet compatible. La phrase de seed est l’actif. Un utilisateur qui écrit la phrase de seed, la stocke dans deux lieux géographiquement séparés et ne la tape jamais sur un site web ou un appareil non matériel, a réduit son risque de wallet non gardé à un niveau similaire à celui du vol physique du support de stockage. La plupart des pertes de wallets non gardés ne viennent pas d’une défaillance cryptographique ; elles viennent d’une mauvaise gestion de la phrase de seed, de phishing, d’extensions de navigateur frauduleuses ou d’autorisations de contrats intelligents malveillants.
Le tableau des échanges
| Dimension | De garde (Custodial) | Non gardé (logiciel) | Non gardé (matériel) |
|---|---|---|---|
| Qui contrôle les clés | Le service | L’utilisateur (clés sur appareil) | L’utilisateur (clés sur matériel dédié) |
| Récupération si oubli du mot de passe | Oui — reset par email/KYC | Seulement via phrase de seed | Seulement via phrase de seed |
| Éloigné de la faillite | Généralement non (sauf charte de confiance NYDFS) | Oui | Oui |
| Sujet au blocage d’adresse | Oui | Non (au niveau du wallet) | Non (au niveau du wallet) |
| Exposition au phishing | Uniquement au niveau du compte | Élevée — autorisations de dApp malveillantes | Réduite — confirmation par appareil physique |
| Usage typique | Trading, on/off ramp, conversion fiat | DeFi, NFT, balances plus petites | Stockage long terme, balances importantes |
Où chacun est approprié
La règle la plus utile est celle que les fintechs de consommation ont utilisée pendant des décennies : séparer «l’argent de dépense» de «l’argent de réserve». Les wallets de garde sont opérationnellement plus faciles — ils sont l’on-ramp du fiat, ils gèrent la tuyauterie de déclaration fiscale, ils s’intègrent aux cartes de débit, et un mot de passe oublié est un problème récupérable plutôt qu’une perte permanente. Ils sont le lieu idéal pour la balance de travail que l’utilisateur trade activement. Les wallets non gardés, particulièrement les versions matérielles, sont le lieu idéal pour toute balance que l’utilisateur ne trade pas activement et ne serait pas à l’aise de perdre à cause d’une défaillance de gardien.
Le seuil où il devient inutile de laisser la crypto sur un gardien est personnel, mais la règle de travail parmi les conseillers plus conservateurs est quelque part autour de la limite d’assurance-dépôt du produit fiat équivalent — 100 000 € en l’UE sous le Système de Garantie des Dépôts (AMF (Autorité des Marchés Financiers) comme contrepartie locale pertinente), 250 000 $ en Amérique sous FDIC. Au-dessus de ce seuil, le risque de défaillance du gardien (même dans une entreprise bien gérée) commence à dépasser la commodité opérationnelle, et un wallet matériel avec une phrase de seed correctement stockée devient l’assurance moins coûteuse.
Le terrain intermédiaire : MPC, multisig et wallets intelligents
La séparation de garde/non-garde n’est pas binaire en 2026. Trois architectures intermédiaires ont atteint un niveau de maturité pour un usage pratique. Le calcul multipartie (MPC), utilisé par Fireblocks, Copper, Coinbase Custody et le wallet de consommation Zengo, divise la clé en parts qui ne sont jamais réassemblées en un seul lieu ; les transactions sont signées en combinant des signatures partielles. L’utilisateur n’a plus une seule phrase de seed récupérable, mais le système n’a pas non plus un seul point de compromission. Le multisig (utilisé par des plateformes de trésorerie comme Safe, Casa et Unchained) nécessite M signatures sur N provenant de clés séparées pour autoriser une transaction ; une configuration institutionnelle typique pourrait être 3 sur 5 sur des appareils géographiquement séparés. Les wallets de compte intelligent / d’abstraction de compte selon ERC-4337 permettent des règles de récupération programmables, une récupération sociale, des limites de dépenses quotidiennes et des clés de session, réduisant l’écart avec l’UX bancaire de consommation familière tout en gardant l’utilisateur en contrôle.
L’échange pour chacun de ces modèles est la complexité. Le MPC ajoute une dépendance récurrente à un fournisseur de service ; le multisig ajoute une charge opérationnelle et un ralentissement de la signature des transactions ; les comptes intelligents dépendent de la sécurité du code du contrat intelligent lui-même (Argent, Safe et Biconomy ont tous été audités de manière extensive, mais le niveau de contrat intelligent est une nouvelle surface d’attaque par rapport à un wallet EOA simple). Pour un utilisateur à haut revenu, un mélange de portefeuille sensé est maintenant typiquement : un gardien régulé pour la balance de trading et d’on-ramp fiat ; un wallet matériel (Ledger ou Trezor) pour la tranche de stockage froid long terme ; et un wallet de compte intelligent avec récupération sociale pour la balance DeFi active et de consommation.
Cadre réglementaire en 2026
Le Titre V de MiCA réglemente les services de wallets de garde comme une activité CASP nécessitant une autorisation. Le gardien doit séparer les actifs clients de ses propres («séparation Article 70»), maintenir une politique de garde écrite, et est responsable des pertes causées par des incidents ICT. La réglementation, important, ne s’étend pas aux wallets non gardés — les fournisseurs de wallets logiciels et matériels qui ne prennent jamais la garde sont hors du champ. Cette position a survécu à une dernière poussée de lobbying lors des négociations du trilogue et a été confirmée dans le rapport final RTS de l’ESMA à la fin de 2024. En Amérique, la directive FinCEN du Trésor de 2024 a atteint une conclusion similaire : un fournisseur de logiciel non gardé n’est pas un transmetteur de monnaie (AMF (Autorité des Marchés Financiers) comme contrepartie locale pertinente).
Cette frontière réglementaire est la raison pour laquelle l’écosystème des wallets de crypto de consommation n’a pas consolidé. Les wallets de garde portent un fardeau de licence, des exigences de capital et des obligations de déclaration AML ; les wallets non gardés ne les portent pas, mais ils ne peuvent offrir ni on-ramp fiat ni aucun service qui touche l’argent de l’utilisateur. Le pont est typiquement un partenariat — MetaMask utilise MoonPay et Transak pour les on-ramps fiat, Phantom utilise Coinbase Pay, Ledger utilise Coinify — où l’entité régulée fait l’on-ramp et transfère la crypto dans le wallet de garde personnelle de l’utilisateur. L’utilisateur obtient une expérience utilisateur unique ; le périmètre réglementaire est préservé.
Les modes de défaillance de la phrase de seed
Pour les utilisateurs non gardés, la plus grande source de perte est la mauvaise gestion de la phrase de seed. Trois modèles dominent les post-mortems. Premier, photographier la seed (la sauvegarde cloud l’expose à toute compromission du compte cloud). Deuxième, taper la seed sur un site web prétendant être un outil de récupération de wallet — chaque fournisseur majeur de wallets non gardés opère un programme continu de suppression de phishing. Troisième, stocker la seed dans un seul lieu physique et la perdre à cause d’un incendie, d’une inondation ou d’un vol. La solution dans chaque cas est bien connue : écrire la seed sur papier ou la graver sur acier, la stocker dans deux lieux séparés, ne jamais l’entrer sur un appareil qui n’est pas le wallet matériel dédié.
- Utilisez un wallet matériel dédié pour toute balance que vous ne seriez pas à l’aise de perdre.
- Gravez ou écrivez la phrase de seed sur un support durable et non numérique ; stockez des copies dans deux lieux géographiquement séparés.
- Ne tapez jamais une phrase de seed sur un site web ou un appareil non matériel — aucun wallet légitime ne la demande lors d’un usage ordinaire.
- Audit les autorisations de contrats intelligents trimestriellement (revoke.cash est l’outil standard) ; une autorisation malveillante est l’équivalent moderne d’une phrase de seed volée.
- Pour les balances supérieures à l’équivalent de l’assurance-dépôt fiat, planifiez l’héritage — une phrase de seed que personne d’autre ne connaît est effectivement détruite à la mort du détenteur.
La réponse pratique
La réponse banale, répétée et correcte pour la plupart des utilisateurs est : garder la balance de trading de manière gardée sur un lieu régulé avec un bilan sain ; garder la balance long terme de manière non gardée sur un wallet matériel avec une phrase de seed sauvegardée ; utiliser un wallet de compte intelligent pour la balance DeFi et de consommation quotidienne où l’abstraction de compte fournit les fonctionnalités de récupération et de limites que les utilisateurs de finance traditionnelle attendent. La distinction entre de garde et non gardé n’est pas idéologique ; elle est opérationnelle. Différentes portions d’un portefeuille ont des lieux optimaux différents, et un montage sensé utilise les deux.
Pour les utilisateurs qui mettent cela en pratique, le checklist de sécurité des wallets explique la sauvegarde de seed, l’audit des autorisations et la planification de l’héritage. Notre tableau de marché inclut un panneau de risque de gardien qui suit la cadence de preuve de réserves sur les principaux échanges, et le calculateur de coût de stockage compare le coût annuel total de garder 50 000 $ à 1 million $ entre les configurations de garde, de wallet matériel et de multisig. Les mécanismes diffèrent ; la logique sous-jacente — adapter l’architecture de stockage au cas d’usage, pas au marketing — ne diffère pas.