Wrench attack
La wrench attack (« attaque à la clé à molette ») désigne la coercition physique pour obtenir un wallet. Risque réel pour les détenteurs visibles. Mitigée par self-custody discrète, multisig géographique, duress wallet. Plusieurs cas en France en 2025.
L'attaque physique à la clé à molette
La wrench attack ("attaque à la clé à molette") est la coercition physique pour obtenir l'accès aux fonds Bitcoin d'une victime. Le terme vient d'un comic XKCD de 2009 où, pour casser un cryptage, l'attaquant n'utilise pas un supercalculateur mais une clé à molette pour frapper l'utilisateur jusqu'à ce qu'il révèle sa clé. C'est l'attaque la plus simple et la plus brutale : pas de cryptanalyse, juste de la violence.
Les cas réels
Plusieurs cas documentés. France, août 2024 : enlèvement d'un crypto-investisseur, doigts coupés pour forcer la transmission de la seed. Plusieurs cas en Amérique latine, en Europe de l'Est. Aux États-Unis, kidnappings ciblés sur des "bitcoin whales" identifiés sur les réseaux sociaux. Le pattern est clair : exposer publiquement sa fortune Bitcoin attire les criminels.
Les défenses
Discrétion : ne pas afficher publiquement ses montants ou sa "richesse Bitcoin" sur les réseaux. Multisig géographique : un 2-of-3 où une clé est en sécurité hors du domicile (banque, ami, autre maison) rend la coercition immédiate impossible. Duress wallet : un wallet "leurre" avec un petit montant à céder sous contrainte (passphrase BIP-39 différente). Time-locked vaults : avec OP_VAULT (à venir), tu pourrais imposer un délai de 24-48h entre la requête et la dépense effective.
Le problème du multisig sous coercition
Même un multisig 2-of-3 peut être attaqué si l'attaquant force la victime à révéler les emplacements des clés. Une mitigation classique : ne pas savoir soi-même l'emplacement de toutes les clés. Si tu as confié une clé à un proche sans connaître où il la garde précisément, tu ne peux pas la trahir. C'est le principe de la "collaborative custody".
Les vaults en réflexion
OP_VAULT (BIP-345) en cours de discussion proposerait un délai imposé entre la signature d'une dépense et son exécution, avec une "clé de récupération" pour annuler une dépense frauduleuse. Permet de gagner du temps pour réagir face à une coercition. Pas encore activé.
La leçon culturelle
Une part importante de la sécurité Bitcoin est sociale, pas technique. La discrétion sur tes montants, le multisig réfléchi, la planification d'héritage, sont autant de réflexes qui se construisent dans la durée. La self-custody n'est pas un produit qu'on achète : c'est une discipline qu'on développe.
Termes lies
- Duress walletUn duress wallet est un wallet « leurre » à donner sous contrainte. Réalisable via passphrase BIP-39 différente. Permet de céder un petit montant en cas d'agression sans perdre l'ensemble. Tactique de défense classique.
- Déni plausibleLe déni plausible permet de nier l'existence d'un wallet (caché derrière une passphrase). Outil utile en cas de coercition. Défaut : la mémorisation de plusieurs passphrases. Pratique courante chez les hodlers exposés.
- Multisig (multisignature)Une transaction multisig requiert plusieurs signatures pour être valide (M-of-N). Permet de partager le contrôle d'un wallet entre plusieurs parties ou clés stockées séparément. C'est l'outil clé pour la sécurité avancée et l'héritage. Standard avec Sparrow, Specter, Liana, Nunchuk.
- Passphrase BIP-39La passphrase BIP-39, ou « 25e mot », est une phrase ajoutée à la seed pour générer un wallet distinct. Sans elle, un attaquant ayant la seed n'accède qu'à un wallet « leurre ». Elle doit avoir une forte entropie sinon elle se brute-force. Elle permet aussi le déni plausible.
Glossaire inspire du dictionnaire de Loic Morel sur Pandul.fr.