Votre clé de secours ultime : une phrase de 24 mots qui peut redonner l'accès à votre compte si vous perdez tout le reste. Hors ligne et extrêmement solide selon les normes cryptographiques actuelles.
Une phrase de récupération, c'est votre clé de secours ultime : une séquence unique de 24 mots qui peut redonner un accès complet à votre compte, même si vous perdez :
Votre mot de passe (oublié ou compromis)
Toutes vos clés d'accès (appareils perdus ou clés matérielles)
L'accès à votre téléphone (volé, brisé ou perdu)
Elle utilise la cryptographie HMAC-SHA256 avec une architecture à connaissance nulle : on ne voit ni ne stocke jamais votre phrase.
24 mots tirés d'une liste standardisée
⚠️ Ceci est un exemple, votre phrase sera complètement unique
De la configuration à la récupération : voici comment votre phrase de récupération protège votre compte
Générez votre phrase unique
Le système génère 24 mots aléatoires tirés de la liste BIP39
Une clé cryptographique est dérivée de votre phrase sur votre appareil
Un hachage sécurisé de cette clé est envoyé au serveur (la clé d'origine reste avec vous)
Vous notez les 24 mots dans l'ordre
Gardez-la en sécurité, hors ligne
Écrivez-la sur papier, rangez-la dans un coffre-fort ou un coffret bancaire
Pensez à la diviser entre plusieurs emplacements sécurisés
Ne la stockez jamais sous forme numérique (pas de photos, pas de cloud, pas de gestionnaire de mots de passe)
Ne la partagez avec personne, pas même le personnel de soutien
Retrouvez l'accès au compte
Entrez vos 24 mots dans l'ordre exact
Le système recrée votre clé cryptographique localement
Vous prouvez la propriété en signant un défi aléatoire
Une période d'attente de 24 heures démarre; elle vous permet de refuser des tentatives non autorisées depuis d'autres sessions
On ne voit jamais votre phrase de récupération, même pas chiffrée. Votre appareil génère la phrase et en dérive une clé cryptographique. On ne stocke qu'un hachage bcrypt de cette clé, ce qui rend mathématiquement impossible, pour nous ou pour un attaquant, de retrouver votre phrase ou d'accéder à votre compte.
Une fois votre phrase de récupération utilisée, elle est marquée comme « compromise » dans notre système. Vous devez immédiatement réinitialiser votre mot de passe, ajouter de nouvelles clés d'accès et générer une nouvelle phrase de récupération. Ça empêche un attaquant de réutiliser une phrase volée.
On vérifie votre phrase par cryptographie défi-réponse. Votre navigateur signe un défi aléatoire de 256 bits avec HMAC-SHA256 en utilisant votre clé dérivée. Notre serveur vérifie que cette signature correspond au hachage de clé stocké, sans jamais voir votre phrase.
Générez une nouvelle phrase de récupération en tout temps. L'ancienne devient immédiatement invalide, et la nouvelle prend le relais. La rotation est atomique et sûre côté transaction : les deux opérations réussissent ou échouent ensemble.
L'écrire clairement sur papier
La ranger dans un coffre-fort ou un coffret bancaire
Envisager des plaques de sauvegarde en métal pour la résistance au feu
La diviser entre plusieurs emplacements sécurisés
Vérifier l'ordre et l'orthographe des mots
La stocker dans un gestionnaire de mots de passe ou une appli de notes
Prendre des photos ou captures d'écran
L'envoyer par courriel à vous-même ou à quelqu'un d'autre
La stocker dans le nuage (Dropbox, Google Drive)
La partager avec qui que ce soit, même le personnel de soutien
Toute personne qui possède votre phrase de récupération de 24 mots peut tenter d'accéder à votre compte. Traitez-la avec le même soin qu'un acte de propriété, un passeport ou des informations bancaires. Les tentatives de récupération déclenchent une période d'attente de 24 heures, et si vous êtes connecté, vous recevez une demande de confirmation pour approuver ou bloquer la tentative. Si vous soupçonnez que votre phrase est compromise, connectez-vous immédiatement et générez-en une nouvelle pour invalider l'ancienne.
Générez votre phrase de récupération et sécurisez votre compte.
Comment me protéger contre l'ingénierie sociale?