Chargement des prix…

Math des seuils multisig : choisir M-de-N sans regret

Choisir un quorum multisig relève du calcul des probabilités, pas de l'intuition. Voici comment les configurations 2-sur-3, 3-sur-5 et 4-sur-7 se comportent lorsqu'un signataire disparaît, perd sa clé ou reste silencieux.

Math des seuils multisig : choisir M-de-N sans regret

Ce que contrôle réellement un quorum multisig

Un portefeuille multisig est une adresse Bitcoin, Ethereum ou d'une chaîne EVM dont les règles de dépense sont encodées dans la chaîne elle-même plutôt que dans une clé privée unique. Au lieu qu'une seule signature suffise, le script on-chain (Bitcoin) ou le smart contract (Ethereum, souvent un Safe) exige un nombre minimum de signatures distinctes provenant d'un ensemble fixé de signataires autorisés. Ce minimum est le quorum, généralement noté M-sur-N, où N est le nombre total de signataires autorisés et M le seuil qui doit signer avant qu'une transaction ne soit valide.

Considérez N comme la liste des signataires et M comme la règle qui définit ce qu'est une décision valide. Un 2-sur-3 signifie que deux des trois membres de la liste peuvent déplacer les fonds. Un 3-sur-5 signifie que trois sur cinq. Un 4-sur-7 signifie que quatre sur sept. L'aspect intéressant n'est pas le M lui-même, mais ce qui arrive à M lorsque la liste diminue dans la vraie vie, car des personnes perdent leurs hardware wallets, oublient leurs seed phrases, sont hospitalisées, décèdent ou cessent simplement de répondre aux messages.

C'est pourquoi le choix du quorum est un problème de survie déguisé en paramètre de sécurité. Si trois de vos sept signataires disparaissent, votre portefeuille fonctionne toujours car un 4-sur-7 n'a besoin que de quatre signataires actifs. Si deux de vos trois signataires disparaissent, votre 2-sur-3 est gelé définitivement, car aucune combinaison d'un signataire restant ne peut atteindre un seuil de deux. Le seuil n'est pas une propriété statique du portefeuille, c'est une cible mouvante qui dépend de qui est encore en vie, lucide et disposé à signer.

Mathématiques de la perte de clés : survie binomiale pour un ensemble de signataires

La façon la plus claire de raisonner sur le choix du quorum est de modéliser chaque signataire comme indépendant et de se demander : « quelle est la probabilité qu'au moins M de mes N signataires soient encore capables de signer après un certain événement de perte ? » C'est une somme de queues binomiale, et on peut la faire à la main pour les petites valeurs de N qui comptent en pratique.

La formule est simple. Pour chaque nombre possible de signataires perdus k (de 0 jusqu'à N moins M), on calcule la chance que exactement k signataires soient perdus et que M ou plus restent disponibles, puis on additionne ces chances. Une approximation utilisable pour des événements de perte rares et indépendants est : la probabilité de survie est égale à la somme des termes binomiaux où le nombre de signataires survivants est supérieur ou égal à M.

Des chiffres concrets rendent cela moins abstrait. Supposons que chaque signataire ait 5 % de chances par an de devenir définitivement incapable de signer, que ce soit par perte de clé, décès ou mise hors ligne permanente. Ce sont des événements indépendants, ce qui est une idéalisation que vous assouplirez plus tard, mais cela donne une base de référence.

  • 2-sur-3, un signataire perdu : la probabilité qu'exactement un signataire soit perdu est d'environ 13,5 %, et avec un seul perdu, il vous reste deux signataires actifs, donc le portefeuille survit cette année-là.
  • 2-sur-3, deux signataires perdus : la probabilité que deux ou plus soient perdus est d'environ 0,36 % par an, mais dans ce cas le portefeuille est gelé car un signataire actif ne peut pas atteindre un seuil de deux.
  • 3-sur-5, trois signataires perdus : la probabilité que trois ou plus soient perdus est d'environ 0,6 % par an sous la même hypothèse, et trois perdus n'en laissent que deux, ce qui est en dessous du seuil, donc le portefeuille est gelé.
  • 4-sur-7, trois signataires perdus : la probabilité que trois ou plus soient perdus est d'environ 1,2 % par an, mais comme le seuil est de quatre, vous pouvez en perdre trois et continuer à signer, donc le portefeuille est bien plus résilient.

Sur un horizon de cinq ans, ces chances annuelles se composent. Un 2-sur-3 a environ 1,8 % de chances d'être gelé en cinq ans en cas de perte indépendante, ce qui semble faible jusqu'à ce que vous réalisiez que gelé signifie irrécupérable sans le retour du signataire manquant. Un 3-sur-5 a environ 3 % de chances de passer sous le seuil sur la même période, paradoxalement moins bon que le 2-sur-3 pour la même augmentation de N, car le seuil augmente lui aussi. Un 4-sur-7 a environ 6 % de chances de perdre trois signataires mais reste utilisable car le seuil est de quatre. Cette asymétrie est au cœur de la conception M-sur-N : augmenter N sans augmenter aussi M peut réduire votre fenêtre utilisable.

2-sur-3 contre 3-sur-5 contre 4-sur-7 : les vrais compromis

La plupart des équipes choisissent un seuil au feeling. C'est acceptable pour de petits montants, mais les compromis sont suffisamment concrets pour justifier un choix délibéré.

Multisig 2-sur-3

Un 2-sur-3 est la configuration classique de « trésorerie personnelle », populaire auprès des détenteurs individuels et des petits DAO. Il tolère la perte d'un signataire exactement sans se figer, ce qui lui confère une propriété intéressante : toute panne d'un portefeuille matériel, graine perdue ou cosignataire qui ne répond plus est récupérable. L'inconvénient est qu'un attaquant ou un coerciteur n'a besoin de compromettre que deux signataires, et la surface d'attaque de deux appareils, deux personnes ou deux sauvegardes cloud est faible.

Pour un particulier utilisant trois emplacements de signataire, une configuration courante consiste en un signataire sur un portefeuille matériel conservé à domicile, un sur un portefeuille matériel dans un coffre-fort bancaire, et un détenu par un membre de la famille ou un avocat de confiance. Cela offre une diversité géographique et matérielle avec un faible coût de coordination. Le risque est que le tiers de confiance puisse être victime d'ingénierie sociale, recevoir une assignation à comparaître, ou simplement changer d'avis.

Multisig 3-sur-5

Un 3-sur-5 est la valeur sûre pour les trésors de guerre sérieux. Il tolère la perte de jusqu'à deux signataires, ce qui constitue une redondance significative face à la perte accidentelle comme à la collusion d'un signataire compromis avec un autre signataire compromis. Le seuil de trois relève aussi le coût d'une attaque : un adversaire doit désormais compromettre trois environnements de signataire distincts.

Le compromis, c'est la coordination. Cinq personnes, cinq appareils, cinq plans de sauvegarde, cinq points où quelqu'un est en vacances, malade ou injoignable. Si votre quorum est de trois et que vous n'avez régulièrement que deux signataires disponibles à court terme, le portefeuille devient inutilisable en pratique même s'il est techniquement actif. C'est là que le M-de-N cesse d'être des mathématiques pour devenir de l'exploitation.

Multisig 4-sur-7

Un 4-sur-7 relève du domaine institutionnel. Il tolère trois signataires perdus, ce qui offre une marge généreuse pour des trésors de longue durée, la rotation du personnel d'une petite fondation, ou des family offices où les générations se renouvellent. Le coût est qu'obtenir quatre signatures dans l'urgence est difficile, et la dynamique politique de « qui fait partie des sept » devient une véritable question de gouvernance.

Quand N augmente, la tentation de « simplement ajouter un signataire » est forte, et c'est l'erreur de conception que cet article n'arrête pas de mettre en garde. Faire passer N de cinq à sept tout en conservant M à trois augmente certes la tolérance à la perte, mais cela élargit aussi la surface de compromission et ralentit la coordination. Le bon ajustement lorsqu'on ajoute un signataire consiste généralement à augmenter M en parallèle, sinon le portefeuille devient plus facile à attaquer relativement à sa résilience.

Les risques que les mathématiques seules ne capturent pas

La survie binomiale suppose l'indépendance, et dans les configurations crypto réelles, les défaillances des signataires sont fortement corrélées. C'est la partie que la plupart des guides passent sous silence, et c'est là que les portefeuilles meurent en pratique.

Concentration géographique et fournisseur

Si vos cinq signataires utilisent tous des appareils Trezor, une seule attaque de chaîne d'approvisionnement ou un bug de firmware peut compromettre les cinq. Si les cinq signataires vivent dans le même pays, une catastrophe naturelle, une crise politique ou un changement de régime juridique peut mettre le portefeuille hors service d'un coup. Si les cinq sauvegardes sont stockées dans iCloud, le compromission d'un identifiant Apple expose tout le lot.

Le remède, c'est la diversité sur au moins trois axes : fournisseur d'appareils, localisation physique, et idéalement juridiction juridique. Deux signataires avec Ledger, deux avec Trezor, un avec un appareil Keystone air-gapped, tous dans des villes différentes et idéalement des pays différents, est plus résilient que cinq configurations identiques au même bureau, même si les mathématiques les traitent à l'identique.

Outils de coordination à point unique

Un nombre surprenant de multisigs « distribués » s'effondrent en un point de défaillance unique à travers leur couche de coordination. Si votre trésorerie 3-sur-5 utilise un groupe Telegram partagé pour les décisions de signature, et que le téléphone de l'administrateur du groupe est saisi, les autres signataires peuvent même ne pas savoir qu'une transaction est en attente. Si votre Safe utilise un seul Relayer ou un seul endpoint RPC, cet endpoint devient un point de défaillance même si les clés sont réparties.

La règle pratique est que les canaux de coordination doivent être au moins aussi distribués que les signataires eux-mêmes, et idéalement davantage. E-mail plus Signal plus en personne plus un fallback papier, c'est le genre de surdimensionnement qui s'avère utile le jour où un canal tombe.

Bugs logiciels dans l'interface du portefeuille

Safe, Sparrow, Electrum, Nunchuk et d'autres frontaux multisig ont tous connu à un moment donné des bugs affectant l'affichage des transactions, la dérivation des adresses ou le décompte des signatures. Un signataire n'a pas besoin d'être compromis pour que le portefeuille se comporte mal : l'UI peut mentir sur ce qui est signé, ou le portefeuille peut exiger un seuil différent de celui imposé par la chaîne. Les utilisateurs de multisig doivent traiter l'interface du portefeuille comme partie intégrante de leur modèle de confiance, épingler des versions spécifiques, et vérifier les détails de la transaction sur au moins deux appareils indépendants avant de signer.

Récupération par inactivité et le problème de l'interrupteur d'homme mort

Le mode de défaillance le moins anticipé en multisig n'est pas le vol. C'est la disparition lente et ennuyeuse d'un signataire, souvent le plus important, et la manière dont elle finit par bloquer tout le monde.

Pourquoi « simplement ajouter un signataire » peut tout casser

Lorsqu'un signataire devient injoignable, la réaction instinctive consiste à migrer vers un nouveau portefeuille avec un ensemble de signataires élargi, mais la plupart des multisigs on-chain ne permettent pas d'ajouter des signataires. Les multisigs Bitcoin sont généralement verrouillés à la configuration, et même Safe sur Ethereum, qui prend en charge les changements de seuil via son contrat, exige que le seuil existant soit atteint pour autoriser la modification. Si votre 2-sur-3 a perdu un signataire et que les deux restants peuvent encore atteindre le seuil, vous pouvez en principe migrer. Si votre 2-sur-3 a perdu deux signataires, personne ne peut rien signer, y compris une transaction de migration.

C'est pourquoi « simplement ajouter un signataire » est la bonne intuition au mauvais moment. Le moment d'élargir votre ensemble de signataires ou de modifier le seuil, c'est quand tout fonctionne, lors de migrations planifiées, pas au milieu d'une crise où il manque un signataire et où les autres paniquent.

Mettre en place un interrupteur d'homme mort

Un interrupteur d'homme mort, dans ce contexte, est un plan préétabli qui s'active si un signataire est resté silencieux pendant une période définie. Les mises en œuvre pratiques incluent :

  • Un jeu d'instructions écrit et notarié qui désigne un exécuteur et précise ce qu'il faut faire si le signataire n'a rien signé pendant, disons, 90 jours. L'exécuteur ne reçoit pas la clé, mais il reçoit l'autorité et les contacts pour convoquer les signataires restants en vue d'une migration planifiée.
  • Un wrapper de contrat intelligent basé sur l'inactivité autour du Safe qui, après un délai, autorise une transaction à seuil réduit pour remplacer les signataires. C'est délicat, car cela réintroduit un point de défaillance unique en donnant à un mécanisme le pouvoir d'agir sans le signataire manquant, mais pour des trésors de longue durée cela peut faire la différence entre continuité et blocage.
  • Une cérémonie programmée de « signe-qui-tu-es » chaque trimestre, où chaque signataire signe une microtransaction sans effet. La chaîne enregistre l'horodatage de dernière activité de chaque signataire, et un réviseur désigné remarque lorsque l'un d'eux cesse de se manifester.

L'honnête vérité, c'est que la plupart des patrimoines crypto ne disposent d'aucun de ces mécanismes, et le résultat est exactement ce à quoi on s'attendrait : des portefeuilles qui ont fonctionné sans accroc pendant des années deviennent définitivement inaccessibles lorsque le détenteur d'origine décède ou devient incapable. Le coût de mise en place d'un interrupteur d'homme mort est faible. Le coût de son absence est la perte totale.

Implications pratiques pour configurer votre multisig

En combinant mathématiques et exploitation, voici une séquence de décision qui convient à la plupart des lecteurs correspondant à l'archétype de cet article.

Étape 1 : définir votre tolérance à la perte

Décidez combien de signataires vous pouvez vous permettre de perdre sans figer le portefeuille, et choisissez M comme ce nombre plus un. Si vous avez besoin que le portefeuille survive à deux pertes simultanées, fixez M à trois. Si vous n'avez besoin que d'en survivre une, M à deux suffit. Résistez à la tentation de fixer M égal à N, ce qui revient à obtenir un portefeuille à signataire unique avec des étapes supplémentaires.

Étape 2 : dimensionner N avec une marge

Choisissez N au moins M plus deux pour les petites configurations, et M plus trois pour les trésors sérieux. Cela vous laisse la marge nécessaire pour absorber une perte tout en restant capable de migrer, et pour intégrer un signataire successeur sans avoir à relever immédiatement le seuil. Sous l'hypothèse de perte indépendante de 5 % par an évoquée plus haut, un 3-sur-5 survit à la perte de deux signataires, et un 4-sur-7 survit à la perte de trois, avec une marge confortable pour des défaillances corrélées.

Étape 3 : diversifier sur trois axes

Répartissez les signataires sur au moins deux fournisseurs d'appareils, deux localisations physiques, et idéalement deux juridictions juridiques. Évitez de placer plus d'une sauvegarde de signataire sur le même cloud, le même gestionnaire de mots de passe ou la même lignée matérielle. Traitez toute dépendance commune comme un signataire caché qui compte dans votre N effectif.

Étape 4 : rédiger le manuel de récupération

Documentez, sur papier et dans un format que votre exécuteur pourra retrouver, exactement ce qui se passe si chaque signataire devient injoignable. Incluez l'adresse du portefeuille de récupération, la blockchain et le logiciel de portefeuille utilisés, les emplacements des sauvegardes, et les coordonnées des autres signataires. Stockez ces informations dans au moins deux endroits qui ne dépendent pas de la même personne en vie pour être récupérés.

Étape 5 : planifier les migrations avant d'en avoir besoin

Prévoyez de migrer le portefeuille vers un nouvel ensemble de signataires tous les un à trois ans, non pas parce que l'ancien est cassé, mais parce que la rotation est bon marché quand tout va bien et impossible quand quelque va mal. Traitez chaque migration comme un exercice d'évacuation pour le jour J.

Comment suivre la sécurité multisig de manière intelligente

La conception multisig évolue lentement, mais les menaces qui l'entourent avancent vite : nouveaux logiciels de portefeuille, nouveaux modules Safe, nouveaux bugs au niveau des chaînes et nouvelles techniques d'ingénierie sociale visant les co-signataires. Suivre tout cela manuellement est une bataille perdue d'avance. Zippfeed met en avant les actualités multisig et d'auto-garde avec une notation de sentiment (haussier, neutre ou baissier) ainsi qu'une cote d'importance, afin que vous puissiez repérer rapidement les risques réels et ignorer le bruit de fond.

Questions fréquemment posées

Un multisig 2-sur-3 est-il достаточно sûr pour des avoirs importants ?
Un 2-sur-3 convient pour des fonds personnels et de petites trésorerie, mais sa résilience est limitée : la perte ou la compromission de deux signataires gèle définitivement le portefeuille, et deux signataires de mèche peuvent le vider. Pour des montants où une telle perte serait lourde de conséquences, un 3-sur-5 ou un 4-sur-7 avec des signataires diversifiés est le choix le plus défendable. Le multisig réduit le risque lié à une clé unique, mais ne supprime pas les risques opérationnels et de coordination : le reste de votre configuration compte autant que le seuil lui-même.
Comment fonctionne concrètement un quorum multisig on-chain ?
Sur Bitcoin, le quorum est appliqué par un script qui exige M signatures valides parmi une liste de N clés publiques avant que les fonds puissent bouger. Sur Ethereum et les chaînes EVM, un Safe ou un smart contract similaire détient les fonds et vérifie qu'au moins M de ses N adresses propriétaires ont appelé le contrat pour approuver une transaction. Dans les deux cas, c'est la chaîne, et non l'application de portefeuille, qui fait foi sur la validité d'une transaction. C'est pourquoi une interface de portefeuille compromise ne peut pas déplacer les fonds seule, mais cela signifie aussi que vous ne pouvez pas récupérer le portefeuille en réinstallant le logiciel : les règles vivent dans la chaîne ou dans le contrat.
Dois-je augmenter le nombre de signataires pour renforcer la sécurité du portefeuille ?
Ajouter des signataires n'est utile que si vous relevez aussi le seuil, et uniquement si les nouveaux signataires apportent une diversité réelle plutôt que de dupliquer une dépendance existante. Passer N de trois à cinq en gardant M à deux augmente la tolérance à la perte, mais élargit aussi la surface d'attaque, car un attaquant dispose désormais de davantage de co-conspirateurs potentiels parmi les signataires. L'approche disciplinée consiste à fixer N à au moins M plus deux, à diversifier selon l'appareil, la géographie et la juridiction, et à migrer vers un portefeuille neuf lorsque la composition évolue de manière significative.
Que devient un multisig si un signataire décède ou disparaît ?
Si les signataires encore en vie atteignent ou dépassent M, le portefeuille reste fonctionnel et les survivants peuvent aussi autoriser une migration vers un nouvel ensemble de signataires, en remplaçant le signataire disparu. Si le nombre de signataires vivants tombe sous M, le portefeuille est gelé définitivement : personne ne peut signer, y compris pour une migration ou une transaction de récupération. C'est pourquoi un plan de reprise écrit, un contrôle périodique de type « sign-alive » et un exécuteur désigné ne sont pas optionnels. Ils constituent le seul mécanisme capable de déplacer les fonds lorsqu'un signataire disparaît et que les autres doivent agir sans lui.