Le guide complet : ce qui se passe sur la blockchain, ce qui reste privé,
votre rituel mensuel pas à pas, et les règles d'or pour ne jamais mettre vos clés en danger.
Références : « Mastering Bitcoin » 3ᵉ éd. (Antonopoulos), ch. 4, 5, 7, 9, 13 — texte intégral sur github.com/bitcoinbook/bitcoinbook.
1. Le principe : un coffre-fort à retardement
Vos bitcoins sont enfermés dans des verrous temporels inscrits dans la blockchain
elle-même (opcode OP_CHECKLOCKTIMEVERIFY, ch. 7 du livre). Ce n'est pas une
promesse d'un logiciel ou d'une banque : ce sont les règles de consensus de Bitcoin,
vérifiées par des dizaines de milliers de nœuds, qui rendent toute dépense mathématiquement
invalide avant la hauteur de bloc choisie. Personne — pas même vous, pas même un voleur avec
toutes vos clés — ne peut dépenser avant l'échéance.
Le cycle : les dépôts arrivent verrouillés, mûrissent au bloc N+4320 (~30 jours),
puis une seule transaction — signée sur votre Ledger — reverrouille tout pour 30 jours.
2. Votre mois type : 500 € en BTC, pas à pas
Achetez vos 500 € de BTC où vous voulez (exchange, Relai, etc.). À ~90 000 €/₿,
cela fait ≈ 0,0055 ₿.
Ouvrez le dashboard → carte « Adresse de dépôt ». Scannez le QR ou copiez
l'adresse. Vérifiez les 6 premiers et 6 derniers caractères entre ce que vous
collez dans l'exchange et ce qu'affiche le dashboard (parade au malware qui substitue
les adresses dans le presse-papier).
Envoyez. C'est tout : recevoir ne demande aucune signature, et les fonds sont
verrouillés à la seconde où ils arrivent sur l'adresse. Le dashboard détecte le
dépôt, fige le prix du jour (votre base de coût, utile aussi pour l'impôt) et l'ajoute
à l'historique.
Une fois par mois, à la maturité, vous recevez une notification. Sur le
dashboard : bouton « Préparer le re-lock » → branchez le Ledger → signez
(vérifiez le montant et la hauteur de verrou sur l'écran de l'appareil) →
bouton « Diffuser ». 30 secondes, une fois par mois.
Où vont les 500 € ? La mécanique des UTXOs
Bitcoin ne connaît pas les « comptes » : il connaît des UTXOs — des pièces de
monnaie électroniques de montant quelconque (ch. 6). Chaque dépôt mensuel crée une pièce de
plus dans le verrou courant. Au re-lock, toutes les pièces mûres sont fondues en une
seule — c'est la consolidation, qui maintient les frais bas pour toujours :
La consolidation mensuelle : vos achats DCA du mois + le stack existant fusionnent
en un UTXO unique. Sans elle, 5 ans de DCA = 60 pièces à dépenser un jour, très cher en frais.
3. La PSBT : le chèque en attente de signature
Quand vos fonds mûrissent, le Mac prépare une PSBT (Partially Signed Bitcoin
Transaction, BIP174 — ch. 5 et 7) : une transaction complète mais inerte. Tout y est
— les pièces consommées, la destination, les frais, la hauteur du nouveau verrou — sauf la
signature. C'est un chèque rempli mais non signé : n'importe qui peut le lire, personne ne
peut l'encaisser. Il transite du Mac au Ledger sans qu'aucune clé ne circule jamais dans
l'autre sens.
Le trajet d'un re-lock : préparation watch-only → vérification humaine → signature
sur l'appareil → diffusion. Les clés ne bougent jamais.
Les 4 points que le dashboard vous fait cocher avant de signer (et que vous
re-vérifiez sur l'écran du Ledger — c'est lui la seule vérité) :
Le montant — la totalité des fonds mûrs, rien ne part ailleurs ;
La destination — une adresse dérivée de votre xpub (le garde-fou la
re-calcule indépendamment ; comparez début et fin de l'adresse) ;
L'échéance — la hauteur de bloc du nouveau verrou (~30 jours) ;
Les frais — en ₿ et en % (plafonnés à 0,5 % par le garde-fou, rejet automatique
au-delà, ch. 9 : protection contre les « absurd fees »).
Tant que les 4 cases ne sont pas cochées, la commande de signature reste floutée. Si un
seul point vous semble anormal : ne signez pas, rien ne presse — les fonds mûrs
restent à vous, et un nouveau roll peut être préparé à tout moment.
4. Ce qui est public on-chain, ce qui reste privé
La blockchain est un registre public et éternel (ch. 13 : « les transactions
n'exposent ni identité ni pouvoir de re-dépense — c'est pourquoi elles peuvent être
publiques »). Voici exactement ce que le monde voit et ne voit pas :
Donnée
Qui la voit
PUBLIC
Adresses du coffre, montants, dates des
transactions, graphe des re-locks (chaque verrou pointe vers le précédent)
Tout le monde, pour toujours. Un observateur patient peut estimer votre stack —
mais sans aucun nom dessus.
PUBLIC
Au moment d'une dépense : la feuille de
script utilisée (la condition « clé + délai »)
En Taproot (v2), seule la feuille utilisée est révélée — la branche d'héritage
reste invisible à vie si elle ne sert jamais.
PRIVÉ
Votre seed (24 mots) et les clés privées
Personne. Elles ne quittent jamais le Ledger — l'appareil signe à l'intérieur
et ne sort que la signature (ch. 5 : « la plupart des hardware wallets n'exportent jamais
les clés privées »).
PRIVÉ
Le xpub et les descripteurs
(kit de récupération)
Le Mac (lecture seule) et vos sauvegardes papier. Un xpub ne permet pas de
dépenser — mais il révèle tout votre historique : gardez-le confidentiel.
PRIVÉ
Base de coût (prix de chaque dépôt),
journal, étiquettes
Uniquement le Mac (deposits.json, journal.csv) — jamais
diffusé (ch. 5 : les labels restent dans le wallet).
PRIVÉ
La clé d'héritage et son délai (Taproot)
Invisible même on-chain tant qu'elle ne sert pas. En P2WSH (v1), elle ne devient
publique qu'à la première dépense.
Qui détient quoi : la séparation des rôles est la sécurité.
5. Les règles d'or des clés (Mastering Bitcoin, ch. 4, 5, 13)
Les 24 mots ne se tapent nulle part. Jamais dans un ordinateur, un téléphone,
une photo, un cloud, un mail. Ils se sont écrits une fois, sur papier/métal, à la
création du Ledger — et n'en sortent plus. Quiconque a la seed a les fonds
(ch. 13 : « possession is ten-tenths of the law »).
Personne ne vous demandera jamais votre seed. Ni « le support Ledger », ni
moi, ni le dashboard, ni une mise à jour. Toute demande des 24 mots = arnaque, sans
exception.
L'écran du Ledger est la seule vérité. Un Mac piraté peut afficher n'importe
quoi ; l'appareil, lui, montre le montant, l'adresse de destination et la policy du
verrou avant de signer. Lisez-le, à chaque fois.
La seed seule ne suffit pas pour ce coffre (ch. 13, avertissement sur les
scripts complexes) : conservez le kit de récupération (descripteurs) avec elle.
L'inverse est vrai aussi : le kit sans la seed ne peut pas dépenser.
Le xpub n'est pas une clé de dépense, mais protégez-le quand même (ch. 5) :
qui l'a peut reconstituer tout votre historique et vos soldes.
Testez la restauration avant d'en avoir besoin. Un backup jamais testé n'est
pas un backup (ch. 13 : l'histoire des 7 000 ₿ perdus par excès de chiffrement).
6. Et si… (les scénarios de panne)
Scénario
Conséquence
Le Mac meurt ou est volé
Aucun fonds en danger (aucune clé dessus). Sur une
machine neuve : Bitcoin Core + kit de récupération → le coffre réapparaît en lecture seule.
Le Ledger est perdu/cassé
Achetez-en un autre, restaurez les 24 mots :
mêmes clés, rien d'autre à faire. La seed papier est la vraie sauvegarde, l'appareil n'est
qu'un outil.
Seed ET Ledger perdus
Le chemin d'héritage sauve tout : la seed de secours
devient valide ~1 an après le dernier verrou. C'est aussi le mécanisme de succession.
Le Mac est piraté
Le pirate voit vos soldes (vie privée), peut proposer de
fausses PSBT — mais les garde-fous les rejettent, et l'écran du Ledger vous montrerait la
supercherie. Il ne peut rien signer.
Un re-lock reste coincé (frais bas)
Bouton « Accélérer (RBF) » : même
transaction, frais doublés, re-signée sur le Ledger (ch. 9, BIP125).
Vous voulez vendre en panique
Impossible avant maturité — c'est le but.
La fenêtre où vendre est possible ne s'ouvre que quelques minutes par mois, puis tout se
reverrouille. La discipline est dans le protocole, pas dans votre volonté.
En résumé : vous achetez, vous envoyez, ça se verrouille tout seul. Une fois par
mois, deux boutons et une signature sur l'écran du Ledger. Vos clés ne touchent jamais
internet, votre historique fiscal se tient à jour tout seul, et même votre succession est
prévue. Le reste, c'est le consensus Bitcoin qui s'en charge.