Bonne question — vous devriez la poser à tout portefeuille. Voici exactement comment Bad Wallet protège vos bitcoins, en français clair, sans rien éluder.
Bad Wallet est non dépositaire. Vos clés et vos bitcoins vivent sur votre appareil. On ne les détient jamais — donc on ne peut ni les perdre, ni les geler, ni les remettre à quiconque.
Dois-je vous donner ma phrase de récupération ?
Non — et on ne la demandera jamais. Votre phrase de récupération et les clés privées qu’elle déverrouille sont générées et conservées sur votre appareil. Elle ne transite jamais vers nos serveurs ; il n’y a aucun champ pour la saisir chez nous, parce qu’on n’en veut jamais.
Alors, que stockez-vous réellement ?
Presque rien. Pour parler à nos serveurs, votre app dérive une clé d’identité distincte — sur son propre chemin, isolée des clés qui détiennent vos bitcoins — et la clé publique correspondante sert de pseudonyme. C’est tout ce qu’on voit. Pas de nom, pas d’e-mail, pas de téléphone, pas de pièce d’identité. Pas de KYC.
Un pirate pourrait-il vider mon portefeuille via vos serveurs ?
Non. La clé qui vous authentifie auprès de nos serveurs n’est délibérément pas celle qui contrôle vos fonds — des chemins de dérivation différents, jamais mélangés. Même si nos serveurs étaient entièrement compromis, il n’y a ni clé privée ni bitcoin à y voler. On ne peut pas déplacer vos bitcoins, et personne qui s’y introduit ne le peut non plus.
Comment sécurisez-vous les comptes sans mots de passe ?
Chaque requête de votre app est signée avec votre clé d’identité — la même cryptographie secp256k1 que Bitcoin lui-même — et horodatée avec un numéro à usage unique. Nos serveurs vérifient la signature, rejettent tout ce qui est rejoué ou périmé, et exigent une petite preuve de travail qui rend les bots et les abus vite coûteux. Aucun mot de passe à hameçonner, aucun compte à pirater.
Et si je perds mon téléphone ?
Votre phrase de récupération est votre sauvegarde — conservez-la en lieu sûr et vous pourrez restaurer votre portefeuille sur n’importe quel appareil. Comme on ne détient pas vos clés, un téléphone perdu ne signifie jamais des bitcoins perdus. Vous allez dans un endroit risqué ? Bad Wallet prend en charge les portefeuilles leurres.
Les portefeuilles leurres, expliqués →Puis-je vérifier tout ça moi-même ?
Oui — c’est tout l’intérêt. Le moteur Bitcoin qui gère vos clés et signe vos transactions est open source. Ne nous croyez pas sur parole ; lisez-le. Les applications clientes deviennent open source à l’ouverture de la bêta.
github.com/Sour-Labs/btc-wallet-kmp ↗Pour les curieux techniques
Un contrôle en cinq étapes s’exécute avant le traitement de toute requête : (1) une fenêtre temporelle de ±120 secondes, (2) une preuve de travail par route, (3) un cache anti-rejeu indexé par clé publique, horodatage et nonce, (4) la validation de signature ECDSA (encodage DER, low-S), et (5) une limitation de débit par clé. Votre identité d’API est dérivée sur un chemin durci (m/2026'/0'/0') tenu à l’écart des chemins BIP-44/84/86 qui détiennent vos fonds — compromettre l’un ne peut donc jamais exposer l’autre.
Lire le protocole de sécurité complet →Ne faites pas confiance. Vérifiez.
C’est toute l’idée derrière Bitcoin — et derrière Bad Wallet.