# Les 24 mots : qu'est-ce qu'une identité cryptographique

> Cuadernos Lacre
> https://solo2.net/fr/carnets/articulos/la-difference-entre-mot-de-passe-et-identite.html

Une identité cryptographique n'est pas un mot de passe : aucun serveur ne la conserve et elle ne se récupère pas. Une explication didactique du mécanisme BIP39, pourquoi exactement vingt-quatre mots, et quel poids réel repose sur celui qui les possède.

---

> Pour nous comprendre : Si vous oubliez votre mot de passe Gmail, Google vous le réinitialise. Si vous perdez les 24 mots qui composent une identité cryptographique, il n'y a personne à qui les demander. Ce n'est pas que la procédure soit stricte — c'est qu'il n'existe personne à l'autre bout. Cette différence est toute la différence.

## La différence entre un mot de passe et une identité

Un mot de passe, dans le modèle classique d'internet, n'est pas l'identité de l'utilisateur. C'est un justificatif. L'utilisateur a une identité —un nom, un e-mail, un numéro de client— et, pour prouver devant un serveur qu'il est bien celui qu'il prétend être, présente un mot de passe que le serveur compare à une empreinte qu'il avait mémorisée. Si les empreintes coïncident, le serveur accorde la session. Si le mot de passe est perdu, l'utilisateur reste le même utilisateur ; ce qu'il perd, c'est le justificatif, et il existe une procédure de récupération —un courriel à l'adresse enregistrée, une question de sécurité— pour le restituer.

Une identité cryptographique fonctionne autrement. Ce n'est pas un justificatif que quelqu'un compare à une empreinte mémorisée ; *c'est* un secret mathématique complet en soi. Peu importe où il réside —sur un papier, dans un dispositif, même sur un serveur tiers— : l'identité existe par sa mathématique, non par celui qui la valide. Ici apparaît une propriété semblable à celle que nous avons vue dans « Qu'est-ce que réellement SHA-256 » : la possession ne se démontre pas en exhibant le secret, mais en l'utilisant pour signer. La signature ainsi produite peut être vérifiée par n'importe qui à l'aide d'une valeur publique qui dérive mathématiquement du secret lui-même, sans avoir besoin de connaître le secret en soi, et sans qu'un tiers n'intervienne dans la vérification. Celui qui détient le secret, est l'identité ; celui qui le perd, cesse de l'être. La sentence est catégorique : il n'y a personne à qui demander de vous rendre l'identité. Cet quelqu'un n'existe pas, car il ne la possédait pas en premier lieu.

## Ce que représentent vingt-quatre mots

L'identité cryptographique est habituellement représentée par un secret mathématique de trente-deux octets —deux cent cinquante-six bits. Un nombre difficile à retenir et encore plus difficile à transcrire sans erreur. L'industrie cryptographique a résolu ce problème en 2013 avec un standard petit et élégant appelé BIP39 : une façon de représenter ces deux cent cinquante-six bits comme une séquence de vingt-quatre mots tirés d'une liste officielle de deux mille quarante-huit. L'arithmétique sous-jacente s'emboîte avec élégance ; celui qui veut la voir en détail la trouve en marge.

Le compte n'est pas décoratif. Si quelqu'un transcrit vingt-trois mots correctement et se trompe au vingt-quatrième, la somme de contrôle le détectera : le logiciel lui dira « cette séquence n'est pas valide ». Si quelqu'un transcrit les vingt-quatre correctement, le logiciel dérivera la même identité sans ambiguïté. Le choix de la liste de mots est également délibéré : les mots du vocabulaire BIP39 sont courts, distincts les uns des autres, sans diacritiques, choisis pour minimiser les confusions phonétiques et orthographiques. C'est un vocabulaire conçu pour être mémorisé, écrit et dicté par des êtres humains sans perte.

## De la phrase à la clé

Les vingt-quatre mots ne sont pas la clé cryptographique qui signe les messages. Ils sont une représentation récupérable de l'entropie originale qui, par un processus déterministe appelé PBKDF2, est transformée en une graine (seed) de soixante-quatre octets. De cette graine dérivent, également de manière déterministe, les clés cryptographiques concrètes que l'utilisateur emploie : une clé privée pour signer et une clé publique correspondante qui est publiée pour vérifier les signatures. Même mécanisme dans différents systèmes : les crypto-monnaies utilisent la courbe secp256k1 ; le protocole Signal et de nombreux systèmes modernes utilisent Ed25519 sur la courbe Curve25519. Pour une courbe concrète comme Ed25519, les standards BIP32 et SLIP-0010 prennent cette graine de soixante-quatre octets et dérivent, de manière déterministe, les trente-deux octets qui constituent la clé de signature effective — les mêmes trente-deux octets avec lesquels commence l'exemple de code de la section suivante.

C'est la manière standard dont toute l'industrie présente le mécanisme à l'utilisateur —portefeuilles de crypto-monnaies, gestionnaires d'identité décentralisée, Signal dans sa partie d'identité persistante, Solo2 parmi eux— : l'utilisateur, en pratique, ne voit jamais la graine ni les clés dérivées. Il voit les vingt-quatre mots lors de la création de son identité et, facultativement, les note sur un papier. Les mots voyagent ensuite entre ses appareils lorsqu'il souhaite migrer l'identité : il les saisit dans la nouvelle application, l'application dérive la même graine, les mêmes clés, la même identité. C'est un mécanisme portable, cryptographiquement solide et, dans les limites du raisonnable, mémorisable.

## Comment signer avec la clé (un coup de pinceau Zig)

## Ce que la phrase n'est pas

Il convient de dissiper trois idées reçues fréquentes. La phrase n'est pas un mot de passe au sens propre : elle n'est pas comparée à une empreinte stockée sur un serveur ; elle est saisie sur l'appareil de l'utilisateur pour reconstruire mathématiquement l'identité. La phrase ne se récupère pas : si elle est perdue, il n'y a personne à qui la demander ; si elle est dupliquée, l'identité est également dupliquée. La phrase n'est pas un identifiant séparable de l'identité : la phrase *est* l'identité. Quiconque la possède peut agir en son nom, sans permission supplémentaire, sans processus d'autorisation, sans récupération possible.

C'est cette troisième propriété qui change le poids de l'affaire. Un mot de passe perdu est un désagrément administratif. Une identité cryptographique perdue est l'identité elle-même. Un papier avec la phrase trouvé par des tiers n'est pas un risque de vol de compte : c'est la remise de l'identité entière. La promesse du système — que personne ne puisse révoquer votre identité ni vous bloquer arbitrairement — s'accompagne inséparablement de la responsabilité — que vous êtes le seul dépositaire de quelque chose que personne ne peut restituer pour vous.

## La promesse et le poids

Le modèle d'identité cryptographique reçoit souvent le qualificatif d'*auto-souveraine* —self-sovereign dans la littérature anglo-saxonne—. Le choix du mot est délibéré et décrit assez précisément la condition. L'utilisateur est souverain sur son identité dans un sens presque médiéval : elle n'est concédée par aucun roi, aucun émetteur, aucune autorité centrale ; elle ne peut pas non plus être retirée par l'un des précédents. Mais aussi, comme le monarque médiéval, l'utilisateur assume l'entière conséquence de ses erreurs : il n'y a pas de régent pour prendre des décisions à sa place s'il perd le sceau.

Le choix entre une identité gérée par un tiers et une identité auto-souveraine n'a pas de réponse universelle correcte. Pour le compte d'un forum sans importance, l'identité gérée est probablement proportionnelle au risque. Pour une identité professionnelle qui signe des documents juridiquement contraignants, pour une identité économique qui garde ses propres économies, pour une identité de communication professionnelle avec des clients qui ont confié des informations sensibles, la question change. Là, la question n'est plus « est-ce pratique ? » mais devient « qui, à part moi, a le pouvoir d'agir en mon nom, et dans quelles circonstances ? ».

## Où ce mécanisme apparaît dans les systèmes réels

Le BIP39 est né dans le monde de Bitcoin en 2013 et s’est rapidement étendu à tout l’écosystème des cryptomonnaies : tout portefeuille sérieux accepte aujourd’hui une phrase BIP39 de douze ou vingt-quatre mots comme sauvegarde de l’identité économique de son détenteur. En dehors des cryptomonnaies, le même concept sous-jacent — paire cryptographique prouvant l’auteur sans intermédiaire — apparaît dans d’autres systèmes avec une syntaxe différente. Les clés SSH qu’un administrateur système utilise pour accéder à ses serveurs sont un cas classique : une clé privée que l’administrateur garde sur sa machine et une publique qui est copiée sur chaque serveur ; aucun service centralisé n’intervient. Le protocole Signal utilise Ed25519 avec un matériel de clé persistant sur l’appareil ; l’eIDAS européen, dans sa partie signature qualifiée, repose sur le même principe cryptographique, avec la différence que la clé est gardée par un prestataire de services de confiance qualifié au lieu de l’utilisateur.

Solo2, plateforme éditrice de cette publication, utilise une phrase BIP39 de vingt-quatre mots comme identité pour chaque utilisateur. L’utilisateur, lors de la création de son compte, voit les mots une seule fois. Ils ne sont stockés sur aucun serveur de Solo2 ni de quiconque : si l’utilisateur les note et les garde, il conserve son identité pour toujours. S’il les perd, il les perd. C’est la conséquence cohérente d’une architecture sans opérateur intermédiaire : si Solo2 pouvait rendre son identité à l’utilisateur qui l’a perdue, elle pourrait aussi la donner à quiconque ferait pression sur Solo2 pour l’obtenir.

## Pour le lecteur professionnel

Quatre considérations pour celui qui envisage d’adopter une identité cryptographique autosouveraine (autosoberana) dans un contexte professionnel :

1. La phrase est l’identité. La garde physique — papier, plusieurs copies dans des lieux différents, éventuellement métal gravé pour un usage à long terme — offre plus de garanties que la garde numérique, qui augmente la surface d’attaque sans réduire le risque de perte.
2. Il n’y a pas de récupération. Concevoir le processus en supposant qu’un jour la copie primaire sera perdue vaut bien mieux que de le découvrir le jour où on la perd. Une seconde copie géographiquement séparée résout presque tous les scénarios.
3. Ce n’est pas la même chose qu’un certificat qualifié eIDAS. Pour la signature qualifiée dans l’Union — actes notariés, certaines démarches administratives — la législation impose un prestataire qualifié qui garde la clé. L’identité cryptographique autosouveraine sert à la communication professionnelle et à la signature documentaire avec valeur probante, mais ne remplace pas automatiquement le certificat qualifié dans les cas où la norme l’exige.
4. Si l’identité doit être transférée — héritage, succession professionnelle, cessation d’activité — il convient de préparer la procédure avant, pas après. Des procédures formelles avec enveloppes scellées à la cire (lacre), des instructions à un exécuteur testamentaire, un dépôt chez un notaire, sont des arrangements classiques parfaitement compatibles avec la nature cryptographique de l’actif.

---

*Cet article clôt le trio conceptuel qui a ouvert le cycle — hash, chiffrement, identité —. Les trois idées se construisent les unes sur les autres : le hash donne l’empreinte inaltérable, le chiffrement donne la confidentialité sans tiers de confiance, l’identité donne l’auteur sans tiers de concession. Les trois partagent une propriété qui n’est pas non plus idéologique : elles transfèrent, du gestionnaire d’un service à celui qui l’utilise, des capacités techniques qui résidaient traditionnellement chez l’opérateur. Elles transfèrent avec elles également des responsabilités. Parler avec honnêteté de l’une des trois exige de parler également des deux autres.*

## Sources et lectures complémentaires

- Palatinus, M.; Rusnak, P.; Voisine, A.; Bowe, S. — *BIP-0039: Mnemonic code for generating deterministic keys*, Bitcoin improvement proposal de 2013. Standard de fait pour les phrases de récupération dans l’industrie cryptographique.
- RFC 8032 — Edwards-Curve Digital Signature Algorithm (EdDSA), incluant Ed25519. IETF, janvier 2017. Spécification normative du schéma de signature utilisé dans une grande partie de l’industrie contemporaine.
- RFC 2898 — PKCS #5 : Password-Based Cryptography Specification, version 2.0. IETF, septembre 2000. Définit l’algorithme PBKDF2 utilisé dans la dérivation BIP39 de phrase à graine (seed).
- Règlement (UE) n° 910/2014 (eIDAS) et son évolution par le Règlement (UE) 2024/1183 (eIDAS 2) — cadre européen d’identité électronique et de signature qualifiée. Régime différent de l’autosouverain, mais conceptuellement appuyé sur les mêmes primitives cryptographiques.
- Allen, C. — *The Path to Self-Sovereign Identity* (2016). Texte canonique sur les principes et les engagements du modèle autosouverain, antérieur mais pertinent pour la compréhension de la famille de solutions contemporaines.

---

*Cuadernos Lacre · Une publication de Menzuri Gestión S.L. · écrite par R.Eugenio · éditée par l'équipe de Solo2.*
*https://solo2.net/fr/carnets/*
