La majorité des hacks crypto majeurs des dernières années ne sont pas des défaillances cryptographiques. FTX, Mt. Gox, Bitfinex 2016, Coinbase OPSEC 2024 : à chaque fois, ce sont des défaillances de garde, pas de protocole. L’utilisateur avait confié ses clés privées à un tiers. Lorsque ce tiers s’est effondré, frauduleusement ou non, les fonds étaient inaccessibles.
C’est le sens technique de la formule “not your keys, not your coins” : si la clé privée qui contrôle un UTXO Bitcoin ou un solde EVM est dans la base de données d’un intermédiaire, vous détenez une créance, pas un actif numérique. Un hardware wallet inverse ce rapport : la clé privée est générée et stockée dans un microcontrôleur dédié, ne quitte jamais ce composant, et les transactions sont signées par challenge-response avec un ordinateur hôte considéré comme non fiable par défaut. Deux constructeurs dominent ce marché en 2026 : Ledger, fondé à Paris en 2014, et Trezor, division hardware de SatoshiLabs basée à Prague, qui a lancé en 2014 le premier hardware wallet commercial de l’histoire crypto.
Hardware wallet : principes fondamentaux
Trois invariants techniques définissent un hardware wallet sérieux.
Le premier est l’isolation de la clé privée. La seed (entropie de 128 ou 256 bits) est dérivée en clés privées via BIP32 et BIP44, et ces clés ne sortent jamais du composant sécurisé. Toute transaction est sérialisée par le logiciel hôte, transmise au dispositif, signée à l’intérieur, et la signature seule revient à l’hôte.
Le second est le composant sécurisé. Un Secure Element (SE) est une puce certifiée résistante aux attaques physiques (analyse par canal auxiliaire, glitching, décapsulation), généralement évaluée selon le référentiel Common Criteria. Un MCU générique (STM32, ARM Cortex-M sans durcissement) offre une isolation logicielle correcte mais cède face à un attaquant physique équipé.
Le troisième est la standardisation. BIP39 spécifie l’encodage de la seed en 12 ou 24 mots mnémoniques. BIP44 définit l’arborescence de dérivation hiérarchique (m/44’/coin’/account’/change/address). Ces standards garantissent l’interopérabilité : une seed générée sur un dispositif peut être restaurée sur n’importe quel wallet compatible, qu’il soit hardware ou software.
Ledger en détail
Ledger SAS, basée à Paris avec un site industriel à Vierzon, commercialise quatre modèles en 2026 : le Nano S Plus (entrée de gamme USB-C), le Nano X (Bluetooth, portable), le Stax (écran e-ink incurvé) et le Flex (écran e-ink plat). Tous embarquent un Secure Element de la famille ST33 produit par STMicroelectronics, certifié Common Criteria EAL5+ pour les Nano S Plus et Nano X, et EAL6+ pour les Stax et Flex.
L’architecture logicielle repose sur BOLOS (Blockchain Open Ledger Operating System), un OS propriétaire qui sandboxe chaque application coin (Bitcoin, Ethereum, Solana) dans son propre contexte d’exécution. Les applications elles-mêmes sont en grande partie open source et publiées sur GitHub, mais le noyau BOLOS reste fermé, justifié par Ledger par les clauses de non-divulgation imposées par STMicroelectronics sur le firmware du SE.
La controverse Ledger Recover, annoncée en mai 2023, a marqué un tournant. Le service permet à l’utilisateur, contre abonnement, de chiffrer sa seed et de fragmenter le résultat en trois parts distribuées à trois prestataires (Ledger, Coincover, EscrowTech). En cas de perte du dispositif, deux parts sur trois reconstituent la seed après vérification KYC. La fonctionnalité est strictement opt-in. La critique communautaire ne porte pas sur l’usage mais sur le fait que le firmware contient désormais le code capable d’exporter une seed chiffrée, brisant la promesse historique d’inextractibilité absolue. Ledger soutient que cette capacité a toujours existé techniquement et que la confiance repose, comme avant, sur l’audit du firmware signé.
Ledger Live, le logiciel compagnon, gère plus de 5 500 actifs et intègre swap, staking et achat fiat via partenaires.
Trezor en détail
SatoshiLabs commercialise quatre modèles : le Model One (historique, OLED, sans Secure Element), le Model T (écran couleur tactile, sans SE), le Safe 3 (avec SE Optiga Trust M) et le Safe 5 (écran couleur tactile, avec SE Optiga Trust M).
La philosophie Trezor est l’auditabilité radicale. Le firmware Trezor Core, le bootloader, les schémas matériels (KiCad), la suite logicielle Trezor Suite et même les builds reproductibles sont publiés sur GitHub sous licences libres. Tout chercheur peut compiler son propre firmware, vérifier l’empreinte avec celle distribuée par SatoshiLabs et auditer la chaîne complète. C’est l’argument différenciant historique face à Ledger.
L’absence de Secure Element sur Model One et Model T a longtemps été assumée comme un choix philosophique : un SE certifié implique un firmware soumis aux NDA du fondeur, donc non auditable bout-en-bout. SatoshiLabs a fini par évoluer avec la gamme Safe, qui intègre la puce Optiga Trust M d’Infineon, certifiée Common Criteria EAL6+. La PIN, la passphrase et la seed sont désormais protégées contre les attaques physiques avancées, sans renoncer à la publication du firmware Trezor Core.
Trezor Suite gère environ 8 000 actifs et propose des intégrations natives avec Sparrow Wallet pour le Bitcoin avancé (PSBT, multi-sig, Tor).
Comparatif technique
| Critère | Ledger | Trezor |
|---|---|---|
| Société | Ledger SAS (Paris, France) | SatoshiLabs (Prague, Tchéquie) |
| Modèles 2026 | Nano S Plus, Nano X, Stax, Flex | Model One, Model T, Safe 3, Safe 5 |
| Prix entrée de gamme | ~79 EUR (Nano S Plus) | ~69 EUR (Model One) / ~79 EUR (Safe 3) |
| Prix haut de gamme | ~399 EUR (Stax) / ~249 EUR (Flex) | ~169 EUR (Safe 5) |
| Secure Element | Oui sur toute la gamme (ST33, EAL5+/EAL6+) | Uniquement Safe 3 et Safe 5 (Optiga Trust M, EAL6+) |
| Firmware open source | Apps oui, OS BOLOS non | Intégralement (firmware + matériel + suite) |
| Actifs supportés | ~5 500 | ~8 000 |
| Application compagnon | Ledger Live (desktop + mobile iOS/Android) | Trezor Suite (desktop + Suite Lite mobile) |
| Écran | Monochrome (Nano) / e-ink couleur (Stax, Flex) | OLED (One) / tactile couleur (T, Safe 5) |
| Connectique | USB-C, Bluetooth (Nano X, Stax, Flex) | USB-C, pas de Bluetooth |
| Sauvegarde tierce | Ledger Recover (opt-in, payant) | Shamir Backup (SLIP39, gratuit, sans tiers) |
| Philosophie | Sécurité physique certifiée first | Auditabilité totale first |
L’absence de Bluetooth chez Trezor est un choix assumé : SatoshiLabs considère la surface d’attaque sans-fil comme un risque non justifié par le gain ergonomique. Ledger soutient l’inverse, arguant que le protocole Bluetooth ne véhicule jamais de données sensibles en clair et que les transactions transitent chiffrées de bout en bout.
Sur la sauvegarde, le Shamir Backup de Trezor (standard SLIP39) divise la seed en N parts dont K reconstituent le secret, sans dépendre d’aucun prestataire externe. C’est mathématiquement équivalent au principe de Ledger Recover mais sans tiers de confiance.
Vulnérabilités historiques
Deux incidents marquants méritent d’être documentés pour calibrer la décision.
En 2018, l’équipe de recherche Kraken Security Labs a publié une attaque sur Trezor One par voltage glitching. Un attaquant disposant d’un accès physique au dispositif, d’un équipement spécialisé et de quelques minutes pouvait extraire la seed depuis la mémoire flash. La vulnérabilité tenait à l’absence de Secure Element sur ce modèle et à une vérification de PIN insuffisamment durcie contre les attaques par canal auxiliaire. SatoshiLabs a corrigé partiellement par firmware, mais le vecteur restait théoriquement exploitable jusqu’à l’arrivée de la gamme Safe. Aucun vol documenté de fonds via ce vecteur n’a été rapporté à grande échelle.
En juillet 2020, Ledger a subi une fuite de données impactant 270 000 emails clients et environ 9 500 adresses postales complètes, exfiltrés depuis une base marketing exposée par une mauvaise configuration d’API. Ce n’était pas une vulnérabilité produit mais un échec OPSEC d’entreprise. Les conséquences ont été lourdes : campagnes de phishing massives, tentatives d’extorsion, et même des menaces physiques pour quelques utilisateurs identifiés. Aucune clé privée n’a été compromise.
Sur l’ensemble de leur histoire, ni Ledger ni Trezor n’ont enregistré de vol de fonds via une vulnérabilité hardware exploitée à distance sans accès physique.
Cas d’usage : qui choisit quoi ?
L’investisseur long terme avec un patrimoine crypto significatif (au-delà de 50 000 EUR) cherche le meilleur compromis sécurité physique et ergonomie. Le Ledger Stax et le Trezor Safe 5 sont taillés pour ce profil, avec écran couleur, certification EAL6+ et confort d’usage quotidien.
L’utilisateur DeFi actif, qui interagit fréquemment avec Uniswap, Aave, Pendle ou des protocoles EVM divers, privilégie le Ledger Nano X couplé à Metamask. La compatibilité matérielle avec Metamask est mature, le Bluetooth permet une signature mobile, et la gestion fine des permissions de smart contracts (clear signing) est plus aboutie côté Ledger en 2026.
Le maximaliste Bitcoin, attaché à la souveraineté logicielle et méfiant envers les boîtes noires, choisira le Trezor Safe 3 ou le Model T. L’intégration avec Sparrow Wallet, Specter Desktop et les configurations multi-sig avancées (PSBT, Tor, nœud personnel) est exemplaire.
Pour une configuration multi-signatures (2-de-3 ou 3-de-5), le choix du constructeur importe peu : la sécurité du schéma repose sur la diversification des dispositifs, et il est même recommandé de mélanger constructeurs et générations matérielles pour limiter le risque de vulnérabilité commune.
Setup checklist
Quel que soit le modèle retenu, six étapes ne se négocient pas.
Acheter exclusivement sur le site officiel du constructeur (ledger.com, trezor.io) ou auprès d’un revendeur certifié listé par le constructeur. Jamais sur Amazon Marketplace, eBay ou un revendeur tiers : le risque de supply chain attack (dispositif pré-initialisé avec une seed connue de l’attaquant) est réel.
Vérifier l’intégrité du sceau d’emballage et l’absence de seed pré-imprimée dans la boîte. Un dispositif authentique génère sa seed devant vous, lors de la première initialisation.
Initialiser le dispositif déconnecté de tout réseau, dans un environnement physique non surveillé (pas de caméra, pas de smartphone à proximité).
Inscrire la seed à la main sur un support durable. Un papier suffit pour démarrer, mais un backup en acier (Cryptosteel Capsule, Billfodl, SAFU Ninja) résiste au feu, à l’eau et à la corrosion à 25 ans et au-delà.
Tester la procédure de récupération sur un dispositif vierge ou réinitialisé avant tout transfert de fonds significatif. C’est l’étape la plus souvent omise et la plus critique : une seed mal copiée ne se révèle qu’au pire moment.
Activer une passphrase BIP39 (souvent appelée 25e mot) pour les montants importants. La passphrase est un secret additionnel mémorisé qui dérive un wallet caché distinct, offrant une couche de déni plausible en cas de contrainte physique.
Conclusion
Ledger et Trezor incarnent deux philosophies cohérentes plus que deux qualités opposées. Ledger optimise la résistance physique et la certification industrielle au prix d’un firmware partiellement fermé. Trezor optimise l’auditabilité bout-en-bout et la souveraineté logicielle, avec un rattrapage récent sur le Secure Element via la gamme Safe. Aucun des deux n’a connu de compromission cryptographique de produit en plus de dix ans d’existence. Le vrai facteur de risque, dans l’écrasante majorité des pertes documentées, reste l’utilisateur lui-même : seed photographiée, phishing accepté, dispositif acheté hors circuit officiel. Le hardware wallet n’est qu’un outil. La discipline opérationnelle décide du résultat.
Aucune affiliation avec Ledger ou SatoshiLabs. Cet article est éditorial. Possession et gestion d’actifs numériques engagent votre seule responsabilité. Sources : ledger.com, trezor.io, anssi.gouv.fr, common-criteria-portal.org.