Duress wallet
Un duress wallet est un wallet « leurre » à donner sous contrainte. Réalisable via passphrase BIP-39 différente. Permet de céder un petit montant en cas d'agression sans perdre l'ensemble. Tactique de défense classique.
Définition
Un duress wallet (« portefeuille de contrainte ») est un wallet visible et fonctionnel, intentionnellement peu garni, conçu pour être révélé à un agresseur ou à une autorité qui exigerait l'accès aux fonds. Il joue le rôle d'un « cash décoratif » : on cède un montant modeste pour préserver la masse principale, cachée dans un autre wallet. C'est une réponse pragmatique à la menace bien réelle de la wrench attack, parfois traduite « attaque à la clé de cinq dollars » en référence au célèbre comic xkcd 538.
Comment le construire
La méthode la plus courante utilise la passphrase optionnelle de BIP-39 :
- Générer une seed phrase de 12 ou 24 mots.
- Initialiser le wallet « décoratif » sans passphrase (ou avec la passphrase A).
- Y déposer un montant crédible : 0,01 BTC à 0,05 BTC selon le profil.
- Initialiser le wallet principal avec une passphrase B mémorisée.
- Utiliser le wallet principal pour la majorité des fonds.
Les hardware wallets modernes (Coldcard, Trezor, Passport, BitBox) supportent nativement ce schéma : on entre la passphrase au démarrage et on accède à un univers complètement différent.
Profil de crédibilité
Un duress wallet n'a de valeur que s'il paraît crédible. Quelques règles :
| Critère | Recommandation | |---|---| | Solde | 5 à 15 % du patrimoine perçu | | Historique de transactions | Activité régulière, achats variés | | Adresses utilisées | Pas vide depuis 6 mois | | Liens à votre identité | Visible (mail, blog, Twitter) | | Type d'adresse | Standard (P2WPKH, P2TR) |
Un wallet vide depuis 2 ans ou contenant exactement 0,001 BTC paraîtra suspect. L'art consiste à équilibrer le coût acceptable (ce qu'on est prêt à céder) avec la vraisemblance.
Limites
Plusieurs scénarios mettent en échec le duress wallet :
- Adversaire bien renseigné : un kidnappeur qui connaît votre patrimoine via une fuite KYC ou un OSINT ne croira pas à un solde trop bas.
- Coercition prolongée : sous torture extrême, beaucoup finiront par révéler la passphrase principale.
- Données saisies : ordinateur saisi avec wallet desktop ouvert, fichier de passphrase trouvé.
Ce dispositif protège donc surtout contre l'agression opportuniste et le hold-up court : un cambrioleur qui veut partir vite avec quelque chose.
Combinaison avec d'autres défenses
Le duress wallet s'intègre dans une défense en profondeur :
- Déni plausible : nier l'existence du wallet caché.
- Multisig géographiquement distribué : aucune clé seule ne dépense.
- Timelock : verrou temporel sur certaines clés.
- Coffre bancaire pour une partie des sauvegardes.
À retenir
Un duress wallet n'est pas un gadget mais une pratique de sécurité opérationnelle (opsec) légitime pour quiconque détient un patrimoine BTC significatif et a une exposition publique. À combiner systématiquement avec une bonne discrétion sur son patrimoine réel. Voir wrench attack.
Termes lies
- Passphrase BIP-39La passphrase BIP-39, ou « 25e mot », est une phrase ajoutée à la seed pour générer un wallet distinct. Sans elle, un attaquant ayant la seed n'accède qu'à un wallet « leurre ». Elle doit avoir une forte entropie sinon elle se brute-force. Elle permet aussi le déni plausible.
- Déni plausibleLe déni plausible permet de nier l'existence d'un wallet (caché derrière une passphrase). Outil utile en cas de coercition. Défaut : la mémorisation de plusieurs passphrases. Pratique courante chez les hodlers exposés.
- Wrench attackLa wrench attack (« attaque à la clé à molette ») désigne la coercition physique pour obtenir un wallet. Risque réel pour les détenteurs visibles. Mitigée par self-custody discrète, multisig géographique, duress wallet. Plusieurs cas en France en 2025.
Glossaire inspire du dictionnaire de Loic Morel sur Pandul.fr.