Coldcard considère chaque ordinateur comme hostile — y compris celui auquel vous choisissez de faire confiance.

Comment ça fonctionne

Coldcard est un dispositif matériel de signature exclusivement Bitcoin, conçu par Coinkite, une société de Toronto qui commercialise le produit depuis 2017. Il n'a qu'une seule fonction : générer et protéger les clés privées d'un portefeuille Bitcoin, puis signer les transactions sans jamais se connecter à un ordinateur par une liaison de données de confiance.

Le déroulement est délibérément indirect. Un portefeuille en lecture seule sur un ordinateur ou un téléphone — Sparrow, Electrum ou les outils propres à Coldcard — construit une transaction non signée au format PSBT. Ce fichier est transféré vers le Coldcard sur une carte microSD, sous forme de QR code, ou via NFC sur le Coldcard Q, plus grand. L'appareil affiche le destinataire et le montant sur son propre écran, l'utilisateur valide avec un code PIN, et la transaction signée repart par le même chemin. La machine hôte se charge de la diffusion mais ne touche jamais à la phrase de récupération.

Les clés résident derrière deux éléments sécurisés provenant de fabricants différents : compromettre une puce ne suffit donc pas à compromettre le portefeuille. Le boîtier est volontairement transparent, afin de rendre visible toute altération physique.

KYC et confidentialité

Il n'y a aucun compte, aucune inscription, aucune adresse e-mail, ni service cloud associé. Le Coldcard est un objet physique, et non un service hébergé : une fois en main, aucun serveur ne connaît son existence, et il n'y a rien à assigner en justice, à geler ou à journaliser. L'appareil ne se connecte pas du tout à Internet, il n'émet donc aucune télémétrie.

La confidentialité dépend ensuite de la manière dont l'appareil est associé. Le Coldcard signe les transactions ; il ne décide pas de la façon dont un portefeuille de bureau interroge le réseau. Un utilisateur qui pointe un portefeuille en lecture seule vers le serveur Electrum d'un inconnu expose ses adresses à ce serveur. Associer le Coldcard à son propre nœud Bitcoin comble cette faille. L'appareil lui-même ne collecte rien ; c'est dans la configuration environnante que la confidentialité des adresses se gagne ou se perd.

Forces et limites

Le principal argument en faveur du Coldcard est le modèle de menace qu'il adopte : tout ordinateur est hostile, y compris celui de son propriétaire. La signature isolée du réseau, la vérification sur l'appareil et les deux éléments sécurisés rendent une compromission à distance difficile et une compromission silencieuse visible. Huit années d'exploitation sous une seule entreprise, avec des vulnérabilités divulguées et corrigées plutôt qu'enterrées, constituent un bilan significatif.

Les limites sont réelles. Le micrologiciel est publié et reproductible, mais il est distribué sous une licence Commons Clause — consultable pour inspection, sans être open source au sens strict, un point que la communauté de la confidentialité soulève régulièrement. Des divulgations passées — un contournement de l'affichage testnet en 2020, une faille d'enregistrement des xpub multisig en 2020–21 corrigée dans le micrologiciel 3.2.1, et une faiblesse d'extraction du code PIN sur le Mk2 depuis longtemps retiré — ont toutes été résolues, mais elles montrent que l'appareil n'échappe pas à l'examen. Il est en outre exclusivement Bitcoin et exige plus de soin qu'un portefeuille mobile que l'on signe d'un geste.

Verdict

Le Coldcard convient à l'utilisateur qui traite la gestion des clés comme une discipline plutôt que comme une commodité, et il frustrera quiconque souhaite déplacer des fonds en quelques secondes. La licence Commons Clause et la série de bogues divulgués sont de vraies réserves, mais aucune ne remet en cause un appareil dont la promesse centrale — garder la phrase de récupération hors de toute machine connectée — tient depuis huit ans. Note: A (9,4/10). Confiance: TRUSTED.