Pour la grande majorité des détenteurs de cryptoactifs, le maillon faible n’est pas la blockchain : c’est la gestion de la seed phrase. Douze ou vingt-quatre mots, à protéger pendant des années contre la perte, le vol, l’incendie et sa propre négligence. Ce modèle, hérité de Bitcoin et généralisé par MetaMask, fonctionne mais reste impitoyable : une erreur unique et irréversible suffit à vider un portefeuille. Les social recovery wallets proposent une autre approche, où la récupération ne repose plus sur une phrase mnémonique mais sur un réseau de gardiens et un smart contract. Argent en a été le pionnier grand public. Cet article décortique le fonctionnement réel de ces portefeuilles, les arbitrages de sécurité qu’ils imposent, et les alternatives disponibles en 2026.
Le problème que la récupération sociale cherche à résoudre
Un wallet crypto classique, qu’il s’agisse de MetaMask, d’un hardware wallet ou d’un wallet mobile, est ce que l’écosystème Ethereum appelle un EOA, pour externally owned account. Son fonctionnement est simple : une clé privée unique contrôle le compte, et cette clé est dérivée d’une seed phrase selon les standards BIP-39 et BIP-32. Tout repose sur ce secret unique. Si vous le perdez, vous perdez l’accès aux fonds définitivement. Si quelqu’un le découvre, il peut tout dépenser sans recours.
Ce modèle est cryptographiquement solide mais humainement fragile. Les statistiques le confirment depuis des années : la quasi-totalité des pertes définitives de cryptoactifs ne vient pas d’une faille protocolaire, mais d’une mauvaise gestion des secrets côté utilisateur. Seed phrase photographiée, mots notés dans un email, plaque métallique perdue lors d’un déménagement. Nous avons détaillé ces vecteurs dans notre dossier sur la seed phrase et les clés privées, et le constat est sans appel : l’irréversibilité absolue est à la fois la force et la faiblesse du modèle.
La récupération sociale part d’une intuition différente. Plutôt que de confier la survie d’un portefeuille à un secret unique que personne ne doit jamais connaître, pourquoi ne pas répartir la capacité de récupération entre plusieurs entités de confiance ? Si vous perdez votre appareil, un groupe de gardiens préalablement désignés peut vous redonner accès au compte, sans qu’aucun d’eux ne puisse, seul, voler vos fonds. C’est le principe que Vitalik Buterin a popularisé dès 2021 dans un texte de référence sur les social recovery wallets.
Comment fonctionne techniquement un social recovery wallet
La récupération sociale n’est possible que parce que le compte n’est pas un simple EOA, mais un smart account, c’est-à-dire un compte dont la logique de contrôle est définie par un smart contract programmable. C’est la distinction fondamentale.
La clé de signature et la logique de contrôle
Sur un wallet classique, la clé privée et la logique de validation sont une seule et même chose : qui détient la clé contrôle le compte, point. Sur un smart account, ces deux dimensions sont séparées. Le contrat définit les règles, et une clé de signature, dite clé de session, sert uniquement à autoriser les opérations courantes. Cette clé vit généralement sur l’appareil de l’utilisateur, dans un environnement sécurisé.
L’avantage de cette séparation est immédiat : si la clé de session est compromise ou perdue, on peut la révoquer et en désigner une nouvelle, sans changer le contrat ni déplacer les fonds. C’est impossible avec un EOA, où la clé privée et l’adresse sont indissociables.
Le rôle des gardiens
Les gardiens sont des entités, adresses ou appareils, que vous désignez pour pouvoir approuver une procédure de récupération. Un gardien peut être :
- un autre de vos appareils (un second smartphone, un hardware wallet) ;
- un proche de confiance, qui détient lui-même un wallet ;
- un service tiers spécialisé dans la garde de gardiens, souvent appelé guardian-as-a-service.
Lorsque vous perdez l’accès à votre clé de session, vous initiez une demande de récupération. Le contrat exige alors qu’un quorum de gardiens, par exemple deux sur trois, approuve l’association d’une nouvelle clé de signature au compte. Aucun gardien ne peut, à lui seul, prendre le contrôle. Le seuil est paramétrable et constitue le cœur de votre modèle de sécurité.
Le délai de sécurité
La plupart des implémentations ajoutent un délai temporel entre l’approbation des gardiens et l’effectivité du changement de clé. Ce délai, souvent de plusieurs jours, sert de filet anti-collusion. Si un attaquant parvenait à compromettre suffisamment de gardiens et déclenchait une récupération frauduleuse, le propriétaire légitime, encore en possession de sa clé d’origine, dispose d’une fenêtre pour annuler l’opération. C’est une protection asymétrique élégante : elle ne gêne presque pas l’utilisateur honnête, mais complique sérieusement la tâche d’un attaquant.
Argent, le pionnier grand public
Argent a été l’un des premiers portefeuilles à porter ce modèle auprès du grand public, en misant sur une expérience mobile soignée et l’absence totale de seed phrase à la création. À l’ouverture d’un compte, l’utilisateur ne note aucun mot : la clé de session est générée et stockée sur l’appareil, et la sécurité repose sur la configuration des gardiens. Toute la documentation technique du protocole est consultable sur docs.argent.xyz, et la présentation produit sur argent.xyz.
L’approche d’Argent illustre bien les promesses du smart account au-delà de la seule récupération :
- Plafonds de dépense quotidiens : au-delà d’un certain montant, une transaction nécessite une validation par les gardiens, ce qui limite l’impact d’un appareil compromis.
- Liste blanche d’adresses : les transferts vers des adresses de confiance sont instantanés, tandis qu’un nouveau destinataire peut être soumis à un délai.
- Frais payables en stablecoins : grâce à l’abstraction de compte, l’utilisateur n’a pas besoin de détenir de l’ETH brut pour payer le gaz, un obstacle classique pour les débutants.
Argent a historiquement opéré sur Ethereum, puis sur des Layer 2 comme zkSync et StarkNet, où les frais de transaction réduits rendent les opérations de smart account économiquement viables. Le coût du gaz est en effet un paramètre critique : exécuter la logique d’un contrat à chaque transaction coûte plus cher que signer depuis un simple EOA. C’est l’une des raisons pour lesquelles ces wallets se sont d’abord développés sur les réseaux à bas coûts, un sujet que nous abordons dans notre dossier complémentaire sur les portefeuilles et leur sécurisation.
L’account abstraction, le standard qui généralise le modèle
Pendant des années, chaque wallet à récupération sociale a dû déployer son propre type de contrat, avec des règles propriétaires. Le standard EIP-4337, l’account abstraction, a changé la donne en proposant une infrastructure commune, sans modification du protocole de base d’Ethereum.
Le principe de l’EIP-4337
L’EIP-4337 introduit la notion de UserOperation : au lieu d’envoyer une transaction signée classique, l’utilisateur émet une intention d’opération, qui est traitée par des acteurs spécialisés appelés bundlers, puis validée par le smart account selon sa propre logique. Le standard complet est documenté dans l’EIP-4337 et expliqué de manière pédagogique sur la page account abstraction d’ethereum.org.
Concrètement, l’account abstraction permet à n’importe quel smart account de définir ses propres règles de validation : multisig, gardiens, plafonds, paiement des frais par un tiers (paymaster), sessions temporaires. La récupération sociale n’est plus une fonctionnalité isolée d’un produit, mais un cas d’usage parmi d’autres d’une infrastructure standardisée.
EIP-1271 et la vérification des signatures par contrat
Un détail technique souvent négligé mais essentiel : un smart account ne signe pas comme un EOA. Pour qu’une application décentralisée puisse vérifier qu’une signature émane bien d’un smart account, le standard EIP-1271 définit une méthode de validation de signature côté contrat. Sans ce standard, de nombreuses dApps ne sauraient pas reconnaître les signatures d’un wallet à récupération sociale. Son adoption croissante est un signal de maturité de l’écosystème smart account.
EIP-7702, le pont entre EOA et smart account
En 2026, une évolution majeure mérite attention : l’EIP-7702 permet à un EOA classique de se comporter temporairement comme un smart account, en déléguant son exécution à du code de contrat. Cela ouvre la voie à une adoption progressive de l’account abstraction sans imposer aux utilisateurs de migrer entièrement vers un nouveau type de compte. Pour la récupération sociale, c’est potentiellement un accélérateur d’adoption : un utilisateur de MetaMask pourrait bénéficier de fonctionnalités de gardiens sans abandonner son adresse historique.
Les alternatives à Argent en 2026
Argent n’est pas seul. L’écosystème des smart accounts s’est densifié, et plusieurs approches coexistent selon le profil d’utilisateur.
Safe, la référence multisig pour les trésoreries
Safe (anciennement Gnosis Safe) est le standard de fait pour la garde collective de fonds, en particulier pour les DAO et les trésoreries d’entreprise. Son modèle repose sur un multisig configurable : il faut un quorum de signataires (par exemple trois sur cinq) pour exécuter une transaction. La documentation officielle est disponible sur docs.safe.global. La récupération sociale et le multisig partagent une racine commune, la répartition du contrôle entre plusieurs entités, mais leurs objectifs diffèrent : Safe vise la gouvernance collective d’un compte, tandis qu’un wallet de récupération sociale vise la résilience d’un compte individuel.
Les wallets mobiles à smart account
Plusieurs portefeuilles mobiles intègrent désormais l’account abstraction et des mécanismes de récupération sans seed phrase, en s’appuyant sur des facteurs comme la biométrie de l’appareil, des sauvegardes cloud chiffrées ou des passkeys (clés d’accès basées sur le standard WebAuthn). Des explorateurs et gestionnaires de portefeuille comme Zerion illustrent la convergence vers une expérience proche des applications grand public, où la complexité cryptographique est masquée derrière une couche produit soignée.
Les approches MPC, une autre philosophie
Il existe une famille de solutions distincte, fondée sur le MPC (multi-party computation), où la clé privée est fragmentée en plusieurs parts détenues par des entités différentes, sans jamais être reconstituée en un seul endroit. Le MPC offre une récupération sans seed phrase, mais son modèle de confiance diffère de la récupération sociale on-chain : la logique de sécurité repose sur la cryptographie distribuée hors chaîne plutôt que sur un smart contract public et auditable. Le choix entre les deux dépend de votre tolérance à la confiance accordée aux fournisseurs MPC et de votre exigence de transparence on-chain.
Les vrais arbitrages de sécurité
La récupération sociale n’est pas une solution miracle. Elle déplace le risque, et il faut comprendre où.
Ce qu’elle améliore réellement
L’élimination de la seed phrase supprime le vecteur de perte le plus courant chez les particuliers. Plus de phrase mnémonique à protéger pendant dix ans, plus de risque qu’un proche tombe sur une plaque métallique mal cachée. La capacité de révoquer une clé compromise sans déplacer les fonds est, elle aussi, un gain de sécurité tangible que les EOA n’offrent pas. Enfin, les plafonds de dépense et les listes blanches réduisent l’impact d’un appareil compromis.
Ce qu’elle introduit comme nouveaux risques
Le premier risque est le smart contract lui-même. Un wallet à récupération sociale dépend du code de son contrat, qui peut contenir des bugs ou des vulnérabilités. C’est exactement le type de surface d’attaque que nous analysons dans notre dossier sur l’audit de smart contract : un contrat non audité, ou audité superficiellement, devient un point de défaillance que le modèle EOA n’a pas. La maxime ne your keys, not your coins évolue ici en your contract, your rules : il faut faire confiance au code.
Le deuxième risque est la configuration des gardiens. Un seuil mal choisi crée des problèmes dans les deux sens. Un seuil trop bas (un seul gardien) recrée une vulnérabilité unique. Un seuil trop élevé, ou des gardiens devenus injoignables, peut rendre la récupération impossible. La récupération sociale ne supprime pas la responsabilité de l’utilisateur, elle la transforme : il faut désormais maintenir une liste de gardiens à jour et joignables.
Le troisième risque est la collusion. Si vos gardiens se connaissent entre eux et peuvent s’entendre, le délai de sécurité reste votre dernière protection. D’où l’importance de choisir des gardiens indépendants et de configurer un délai suffisant.
Comparaison avec le hardware wallet
Faut-il pour autant abandonner le hardware wallet ? Non. Le cold storage hors ligne reste le standard de sécurité maximale pour des montants importants détenus sur le long terme, comme nous le détaillons dans notre comparatif Ledger vs Trezor. Le social recovery wallet ne s’oppose pas au hardware wallet : ils répondent à des besoins différents. Le smart account excelle sur la résilience opérationnelle et l’usage quotidien actif, en particulier en DeFi ; le hardware wallet excelle sur la conservation passive de réserves importantes. Une stratégie mature combine souvent les deux, en utilisant d’ailleurs un hardware wallet comme l’un des gardiens du smart account.
Cadre réglementaire et fiscal en France
Un wallet à récupération sociale dont vous gardez seul le contrôle de la logique de signature relève de la self-custody. À ce titre, il n’entre pas dans le champ des obligations imposées aux prestataires de services sur crypto-actifs par le règlement MiCA (UE 2023/1114), pleinement applicable depuis le 30 décembre 2024. La situation change si un service tiers intervient comme custodian ou comme gardien professionnel : ce prestataire peut alors relever du statut PSCA. La liste des prestataires enregistrés en France est publiée par l’AMF.
Sur le plan fiscal, le type de wallet est neutre : ce sont les cessions de cryptoactifs contre monnaie ayant cours légal qui déclenchent l’imposition, selon le régime des plus-values prévu par le CGI. Le fait d’utiliser un smart account plutôt qu’un EOA ne modifie ni le fait générateur ni le mode de calcul. La déclaration des comptes détenus auprès d’organismes établis hors de France via le formulaire 3916-bis vise les comptes custodials étrangers, pas les wallets non-custodial que vous contrôlez vous-même.
Pour qui la récupération sociale a-t-elle du sens ?
La récupération sociale s’adresse en priorité à trois profils. D’abord, les utilisateurs actifs en DeFi, qui interagissent fréquemment avec des protocoles et apprécient les plafonds de dépense, les sessions et le paiement de gaz en stablecoins. Ensuite, les débutants effrayés par la responsabilité d’une seed phrase, pour qui la récupération par gardiens offre un filet de sécurité psychologiquement rassurant et techniquement réel. Enfin, les utilisateurs qui détiennent des montants intermédiaires sur un wallet de tous les jours et veulent éviter le scénario catastrophe de la perte d’appareil.
Pour la conservation de réserves importantes sur le long terme, le hardware wallet en cold storage reste préférable. Et pour la trésorerie collective d’une organisation, le multisig de type Safe demeure le standard. Le bon réflexe en 2026 n’est pas de choisir un modèle unique, mais de répartir ses actifs selon leur usage : un smart account à récupération sociale pour l’activité quotidienne, un cold storage pour les réserves, un multisig pour les fonds partagés.
Conclusion
Les social recovery wallets répondent à un problème réel et coûteux : la fragilité humaine de la seed phrase. En s’appuyant sur des smart accounts, des gardiens et des délais de sécurité, ils offrent une résilience opérationnelle que les wallets classiques ne peuvent pas fournir. La standardisation par l’account abstraction (EIP-4337), l’adoption de l’EIP-1271 et l’arrivée de l’EIP-7702 ancrent ce modèle dans l’infrastructure d’Ethereum plutôt que dans des produits isolés.
Mais ces portefeuilles ne suppriment pas le risque, ils le redistribuent. La sécurité se déplace de la protection d’un secret unique vers la confiance dans un smart contract et la bonne configuration d’un réseau de gardiens. Pour l’utilisateur sérieux, cela signifie une chose : comprendre le contrat sur lequel reposent ses fonds, auditer la qualité de l’implémentation, et configurer ses gardiens avec autant de soin qu’il protégeait autrefois sa seed phrase. La récupération sociale n’est pas la fin de la responsabilité de l’utilisateur, c’en est la version moderne.