Guide Coldcard : Configuration Air-Gapped Complète avec Sparrow Wallet

Tutoriel pas-à-pas pour sécuriser vos Bitcoin avec le hardware wallet le plus paranoïaque du marché

Décembre 2025 | Tutoriel technique | Catégorie : Sécurité

Sommaire

1. Introduction : Pourquoi le mode air-gapped ?
2. Réception et vérification du Coldcard
3. Génération de la seed phrase
4. Configuration de Sparrow Wallet
5. Export du wallet vers Sparrow
6. Signature d'une transaction
7. Fonctionnalités avancées
8. Bonnes pratiques de sécurité
9. Troubleshooting
10. Checklist finale

1. Introduction : Pourquoi le mode air-gapped ?

Éliminez toute surface d'attaque réseau pour une sécurité Bitcoin maximale

1.1 Qu'est-ce que le mode air-gapped ?

Le terme "air-gapped" (littéralement "séparé par l'air") désigne un appareil qui n'a aucune connexion avec un autre système — ni USB, ni WiFi, ni Bluetooth. La seule façon de communiquer avec lui est via un support physique amovible, typiquement une carte MicroSD.

Dans le contexte du Coldcard, le mode air-gapped signifie que votre clé privée ne touche jamais un ordinateur connecté à Internet. Les transactions sont signées hors-ligne, puis transférées via carte SD.

1.2 Différence avec la connexion USB

Risques du mode USB :

• Attaques BadUSB (firmware malveillant)
• Malware sur l'ordinateur interceptant les données
• Exploitation de failles du protocole USB

Avantages du mode air-gapped :

• Aucune surface d'attaque réseau
• Clé privée physiquement isolée
• Même un ordinateur compromis ne peut pas voler vos clés

1.3 Vue d'ensemble du processus

┌─────────────────┐         ┌─────────────────┐
│    COLDCARD     │         │    SPARROW      │
│   (hors-ligne)  │         │   (en ligne)    │
└────────┬────────┘         └────────┬────────┘
         │                           │
         │  1. Export wallet.json    │
         │  ─────────────────────►   │
         │       (carte SD)          │
         │                           │
         │  2. Création PSBT         │
         │  ◄─────────────────────   │
         │       (carte SD)          │
         │                           │
         │  3. Signature             │
         │  (sur Coldcard)           │
         │                           │
         │  4. PSBT signé            │
         │  ─────────────────────►   │
         │       (carte SD)          │
         │                           │
         │  5. Broadcast             │
         │                    ───────┼──► Réseau Bitcoin
         │                           │

1.4 Prérequis

Matériel nécessaire :

• ✅ Coldcard Mk4 ou Coldcard Q (acheter uniquement sur coinkite.com)
• ✅ Carte MicroSD (8-32 Go, qualité fiable)
• ✅ Adaptateur MicroSD → SD ou USB (pour votre ordinateur)
• ✅ Ordinateur avec Sparrow Wallet installé
• 🔋 Optionnel : Batterie externe USB-C (pour utilisation totalement déconnectée)

Logiciel :

• Sparrow Wallet (dernière version) — sparrowwallet.com

2. Réception et vérification du Coldcard

Assurez-vous que votre appareil n'a pas été compromis pendant le transport

2.1 Vérification du packaging

À la réception de votre Coldcard, vérifiez scrupuleusement l'emballage :

Étape 2.1.1 : Sachet anti-tamper

Le Coldcard est livré dans un sachet plastique spécial avec un numéro unique imprimé.

⚠️ ATTENTION : Si le sachet est ouvert, percé ou si le numéro semble altéré, ne pas utiliser le Coldcard. Contactez Coinkite immédiatement.

Étape 2.1.2 : Boîte et contenu

Ouvrez le sachet et vérifiez le contenu :

• 1× Coldcard Mk4 (ou Q)
• 1× Carte MicroSD (parfois incluse)
• 1× Sticker Coinkite
• Documentation papier

2.2 Premier démarrage

Étape 2.2.1 : Alimentation

Branchez le Coldcard via USB (uniquement pour l'alimentation) ou utilisez une batterie externe.

💡 Conseil : Pour un setup 100% air-gapped dès le départ, utilisez une batterie externe USB-C. Le Coldcard ne transmettra aucune donnée par USB si vous ne le configurez pas ainsi.

Étape 2.2.2 : Écran d'accueil

Au premier démarrage, vous verrez :

Welcome to Coldcard!
Press ✓ to continue

Appuyez sur ✓ (touche OK).

2.3 Vérification du firmware

Avant toute utilisation, vérifiez que le firmware est authentique et à jour.

Étape 2.3.1 : Vérifier la version actuelle

Menu : Advanced/Tools → Upgrade Firmware → Show Version

Notez la version affichée (ex : 5.2.0).

Étape 2.3.2 : Télécharger le firmware officiel

Sur votre ordinateur, allez sur : coldcard.com/docs/upgrade

Téléchargez :

• Le fichier firmware (.dfu)
• Le fichier de signature (.txt ou .asc)

Étape 2.3.3 : Vérifier la signature (optionnel mais recommandé)

# Importer la clé publique Coinkite
gpg --keyserver keyserver.ubuntu.com --recv-keys 4589779ADFC14F3327534EA8A3A31BAD5A2A5B10

# Vérifier la signature
gpg --verify firmware-*.txt

Vous devez voir : Good signature from "Coinkite Inc."

Étape 2.3.4 : Mettre à jour via carte SD

1. Copiez le fichier .dfu sur la carte MicroSD
2. Insérez la carte dans le Coldcard
3. Menu : Advanced/Tools → Upgrade Firmware → From MicroSD
4. Sélectionnez le fichier
5. Confirmez la mise à jour

Le Coldcard redémarrera avec le nouveau firmware.

3. Génération de la seed phrase

Créez les 24 mots qui contrôlent l'intégralité de votre patrimoine Bitcoin

3.1 Option 1 : Génération par le device (recommandé)

C'est la méthode la plus simple et sécurisée pour la plupart des utilisateurs.

Étape 3.1.1 : Lancer la génération

Menu : New Seed Words → 24 Words

Étape 3.1.2 : Ajouter de l'entropie (optionnel)

Le Coldcard vous propose d'ajouter de l'entropie en appuyant sur des touches aléatoires. Faites-le pendant 30-60 secondes.

Étape 3.1.3 : Noter les 24 mots

Le Coldcard affiche les mots 4 par 4. Notez-les sur papier (jamais sur un appareil électronique).

Mots 1-4:    abandon  ability  able     about
Mots 5-8:    above    absent   absorb   abstract
...
Mots 21-24:  zero     zone     zoo      [checksum]

⚠️ CRITIQUE : Ces 24 mots sont la seule façon de récupérer vos Bitcoin. Perdez-les = perdez tout. Ne les photographiez pas. Ne les stockez pas numériquement.

Étape 3.1.4 : Vérification

Le Coldcard vous demande de confirmer certains mots pour vérifier que vous les avez bien notés.

3.2 Option 2 : Import d'une seed existante

Si vous avez déjà une seed phrase (ex : migration depuis un autre wallet) :

Étape 3.2.1 : Import

Menu : Import Existing → 24 Words

Entrez chaque mot en utilisant les touches. Le Coldcard propose l'autocomplétion après les premières lettres.

3.3 Option 3 : Génération par dés (niveau paranoïaque)

Pour les utilisateurs qui ne font confiance à aucun générateur aléatoire électronique.

Étape 3.3.1 : Préparer les dés

Vous aurez besoin de :

• Dés à 6 faces de qualité casino (non pipés)
• Papier et stylo
• Environ 30 minutes

Étape 3.3.2 : Lancer la procédure

Menu : New Seed Words → Dice Rolls

Étape 3.3.3 : Effectuer 99 lancers

Lancez le dé 99 fois et entrez chaque résultat (1-6) sur le Coldcard.

Pourquoi 99 ? La formule : log2(6^99) ≈ 256 bits d'entropie, équivalent à une seed de 24 mots.

Étape 3.3.4 : Génération de la seed

Après les 99 lancers, le Coldcard calcule les 24 mots correspondants. Le dernier mot inclut le checksum.

3.4 Configuration du PIN

Étape 3.4.1 : PIN principal

Le Coldcard exige un PIN en deux parties :

• Préfixe : 2-6 chiffres
• Suffixe : 2-6 chiffres

Exemple : 1234 - 5678 (PIN complet : 1234-5678)

💡 Conseil : Utilisez un PIN de 4+4 minimum. Évitez les dates de naissance ou séquences évidentes.

Étape 3.4.2 : Anti-phishing

Entre le préfixe et le suffixe, le Coldcard affiche deux mots anti-phishing. Ces mots sont uniques à votre appareil et votre préfixe.

Notez ces mots ! Si un jour ils changent, c'est que l'appareil a été compromis.

Étape 3.4.3 : Confirmation

Entrez le PIN complet une seconde fois pour confirmer.

4. Configuration de Sparrow Wallet

Installez le compagnon logiciel qui orchestrera vos transactions en toute sécurité

4.1 Installation

Étape 4.1.1 : Téléchargement

Rendez-vous sur sparrowwallet.com et téléchargez la version correspondant à votre OS :

• Windows : .exe
• macOS : .dmg
• Linux : .deb ou .tar.gz

Étape 4.1.2 : Vérification de signature (recommandé)

# Importer la clé de Craig Raw (développeur Sparrow)
gpg --keyserver keyserver.ubuntu.com --recv-keys E946 1833 4C67 4B40

# Vérifier
gpg --verify sparrow-*.asc

Étape 4.1.3 : Installation

Installez normalement selon votre système d'exploitation.

4.2 Première configuration

Étape 4.2.1 : Lancement

Au premier lancement, Sparrow vous demande de configurer un serveur Bitcoin.

Étape 4.2.2 : Choix du serveur

Pour débuter : Utilisez un serveur public, puis migrez vers une solution personnelle.

Configuration serveur public :

Type: Electrum Server
URL: electrum.blockstream.info
Port: 50002
SSL: Oui

Étape 4.2.3 : Test de connexion

Cliquez sur "Test Connection". Vous devez voir "Connected" avec le numéro de bloc actuel.

5. Export du wallet vers Sparrow

Connectez votre portefeuille hors-ligne au monde en partageant uniquement vos clés publiques

5.1 Export depuis le Coldcard

Étape 5.1.1 : Insérer la carte SD

Insérez une carte MicroSD formatée dans le Coldcard.

Étape 5.1.2 : Exporter le fichier wallet

Menu : Advanced/Tools → Export Wallet → Generic JSON

Le Coldcard crée un fichier coldcard-export.json sur la carte SD.

💡 Note : Ce fichier contient uniquement la clé publique étendue (xpub), PAS la clé privée. Il est "safe" de le transférer sur un ordinateur en ligne.

Étape 5.1.3 : Choisir le type d'adresse

Sélectionnez le type d'adresse souhaité :

5.2 Import dans Sparrow

Étape 5.2.1 : Créer un nouveau wallet

Dans Sparrow : File → New Wallet

Donnez un nom (ex : "Coldcard Main").

Étape 5.2.2 : Importer le fichier

• Sélectionnez Airgapped Hardware Wallet
• Cliquez sur Import File...
• Naviguez vers la carte SD et sélectionnez coldcard-export.json

Étape 5.2.3 : Vérification

Sparrow affiche les informations du wallet :

• Fingerprint (empreinte)
• Derivation path (chemin de dérivation)
• xpub

Cliquez sur Apply pour finaliser.

5.3 Vérification de l'adresse de réception

Étape 5.3.1 : Générer une adresse dans Sparrow

Onglet Receive → Copiez l'adresse affichée.

Étape 5.3.2 : Vérifier sur le Coldcard

Menu : Address Explorer

Naviguez jusqu'à l'index 0 et vérifiez que l'adresse correspond exactement à celle affichée dans Sparrow.

⚠️ CRITIQUE : Si les adresses ne correspondent pas, n'envoyez pas de fonds. Il y a un problème de configuration.

6. Signature d'une transaction

Maîtrisez le workflow air-gapped pour envoyer vos Bitcoin en toute sécurité

6.1 Création de la transaction dans Sparrow

Étape 6.1.1 : Aller dans l'onglet Send

Onglet Send dans Sparrow.

Étape 6.1.2 : Remplir les détails

Étape 6.1.3 : Créer la transaction

Cliquez sur Create Transaction.

Sparrow affiche un résumé. Vérifiez :

• Adresse de destination
• Montant envoyé
• Frais de transaction
• Adresse de change (si applicable)

Étape 6.1.4 : Finaliser pour signature

Cliquez sur Finalize Transaction for Signing.

6.2 Export du PSBT

Étape 6.2.1 : Sauvegarder le PSBT

Cliquez sur Save Transaction et enregistrez le fichier .psbt sur la carte SD.

Étape 6.2.2 : Éjecter la carte

Éjectez proprement la carte SD de l'ordinateur.

6.3 Signature sur le Coldcard

Étape 6.3.1 : Insérer la carte SD

Insérez la carte dans le Coldcard.

Étape 6.3.2 : Charger la transaction

Menu : Ready To Sign

Le Coldcard détecte automatiquement le fichier PSBT.

Étape 6.3.3 : Vérifier les détails

Le Coldcard affiche :

TXID: abc123...
Sending: 0.05000000 BTC
To: bc1q...xyz
Fee: 0.00001234 BTC (5.2 sat/vB)

Press ✓ to sign
Press ✗ to cancel

⚠️ VÉRIFIEZ TOUT : Adresse de destination (caractère par caractère pour les gros montants), montant, frais. C'est votre dernière ligne de défense.

Étape 6.3.4 : Signer

Appuyez sur ✓ pour signer.

Le Coldcard crée un fichier signé : xxx-signed.psbt

6.4 Broadcast de la transaction

Étape 6.4.1 : Retour vers l'ordinateur

Insérez la carte SD dans l'ordinateur.

Étape 6.4.2 : Charger la transaction signée

Dans Sparrow : Load Transaction → Sélectionnez le fichier signé.

Étape 6.4.3 : Broadcast

Cliquez sur Broadcast Transaction.

Sparrow envoie la transaction au réseau Bitcoin. Vous recevez un TXID de confirmation.

7. Fonctionnalités avancées

Exploitez les mécanismes de protection contre la contrainte physique et les attaques sophistiquées

7.1 Duress PIN (PIN sous contrainte)

Le Duress PIN ouvre un wallet leurre contenant un petit montant, en cas de menace physique.

Configuration :

Menu : Settings → Login Settings → Duress PIN

Définissez un PIN différent du PIN principal. Ce PIN déverrouillera un wallet secondaire dérivé différemment.

Usage :

• Mettez quelques satoshis sur le wallet leurre
• En cas de contrainte ("donne-moi ton PIN !"), donnez le Duress PIN
• L'attaquant verra un wallet avec peu de fonds

7.2 Brick Me PIN (autodestruction)

Le Brick Me PIN détruit définitivement les clés stockées dans le Coldcard.

Configuration :

Menu : Settings → Login Settings → Brick Me PIN

⚠️ DANGER : Utilisez uniquement si vous avez un backup sûr de votre seed. Le Brick Me PIN est irréversible.

7.3 Passphrase BIP39 (25ème mot)

La passphrase ajoute un "25ème mot" à votre seed, créant un wallet entièrement différent.

Configuration :

Menu : Passphrase → Entrez votre passphrase

Avantages :

• Même si quelqu'un trouve vos 24 mots, il lui manque la passphrase
• Permet le "plausible deniability" (wallet caché)
• Plusieurs wallets avec une seule seed (passphrase différente = wallet différent)

⚠️ ATTENTION : Perdre la passphrase = perdre l'accès au wallet associé. Backupez-la séparément de la seed.

7.4 Backup chiffré sur carte SD

Création d'un backup :

Menu : Advanced/Tools → Backup System → Backup

Le Coldcard crée un fichier .7z chiffré avec votre PIN sur la carte SD.

Restauration :

En cas de besoin, ce backup peut restaurer l'intégralité de la configuration du Coldcard (seed, paramètres, etc.).

7.5 Vérification d'adresse sur le device

Pour les transactions importantes, vérifiez toujours l'adresse sur le Coldcard :

Menu : Address Explorer → Naviguez jusqu'à l'index souhaité

Comparez caractère par caractère avec l'adresse affichée par Sparrow.

8. Bonnes pratiques de sécurité

Protégez votre investissement matériel et vos backups avec une stratégie réfléchie

8.1 Stockage du Coldcard

8.2 Stockage de la seed phrase

Support recommandé :

Répartition géographique :

Ne gardez pas tous vos backups au même endroit. Exemple :

• Copie 1 : Chez vous (coffre)
• Copie 2 : Chez un parent de confiance
• Copie 3 : Coffre bancaire

8.3 Procédure de récupération (test obligatoire)

Avant d'envoyer des montants importants, testez la récupération :

1. Créez le wallet avec la seed
2. Envoyez un petit montant (ex : 10 000 sats)
3. Réinitialisez le Coldcard (Destroy Seed)
4. Restaurez depuis la seed notée
5. Vérifiez que vous voyez le solde

Si le test réussit, vous êtes sûr que votre backup fonctionne.

8.4 Mises à jour firmware

Quand mettre à jour :

• Correctifs de sécurité critiques : Immédiatement
• Nouvelles fonctionnalités : Attendre 1-2 semaines (retours communautaires)
• Mises à jour mineures : À votre convenance

Comment mettre à jour :

1. Téléchargez le firmware sur coldcard.com
2. Vérifiez la signature GPG
3. Copiez sur carte SD
4. Menu : Advanced/Tools → Upgrade Firmware → From MicroSD

⚠️ Ne jamais activer les mises à jour automatiques (elles n'existent pas sur Coldcard, mais c'est un principe général).

9. Troubleshooting

Résolvez les problèmes courants pour retrouver un fonctionnement optimal de votre configuration

9.1 Le Coldcard ne s'allume pas

9.2 Transaction non reconnue par le Coldcard

Symptôme : Le Coldcard affiche "No PSBT found" ou ignore le fichier.

Solutions :

• Vérifiez que le fichier est bien .psbt (pas .txt)
• Vérifiez que le wallet correspond (même xpub)
• Re-créez la transaction dans Sparrow
• Formatez la carte SD en FAT32

9.3 Adresses différentes entre Sparrow et Coldcard

Cause probable : Mauvais type de dérivation.

Solution :

1. Vérifiez le derivation path dans Sparrow
2. Pour Native Segwit : m/84'/0'/0'
3. Réimportez le wallet avec le bon chemin

9.4 Erreur "Invalid PSBT"

Causes possibles :

• PSBT créé pour un autre wallet
• Fichier corrompu lors du transfert
• Version incompatible

Solution :

• Vérifiez que vous utilisez le bon wallet dans Sparrow
• Re-créez et re-exportez le PSBT
• Mettez à jour Sparrow et/ou le firmware Coldcard

9.5 PIN oublié

Mauvaise nouvelle : Après 13 tentatives incorrectes, le Coldcard efface la seed.

Solution :

• Essayez de vous souvenir (vous avez 13 essais)
• Si échec : restaurez depuis votre backup de seed sur un nouveau Coldcard

10. Checklist finale

Validez tous les points critiques avant de confier votre patrimoine à ce système

Avant d'envoyer des fonds importants

• Seed phrase notée sur support durable (papier ou métal)
• Seed phrase testée (récupération réussie)
• Seed phrase stockée en lieu sûr (pas chez vous uniquement)
• PIN mémorisé (et mots anti-phishing notés)
• Adresse vérifiée sur le Coldcard (pas seulement Sparrow)
• Petit montant test envoyé et récupéré
• Firmware vérifié et à jour
• Passphrase backupée séparément (si utilisée)

Procédure de transaction sécurisée

1. Créer la transaction dans Sparrow
2. Exporter le PSBT sur carte SD
3. Vérifier les détails sur le Coldcard (adresse, montant, frais)
4. Signer sur le Coldcard
5. Importer la transaction signée dans Sparrow
6. Broadcaster
7. Vérifier la confirmation sur un explorateur indépendant

Maintenance régulière

• Vérifier les mises à jour firmware (mensuel)
• Tester l'accès au backup (annuel)
• Vérifier l'état physique du stockage de seed (annuel)

📚 Articles Connexes — Sécurité Technique

• Multisig 2 Of 3 Bitcoin Tutoriel
• Verifier Firmware Hardware Wallet
• Seedsigner Diy Tutoriel Complet
• Passphrase 25Eme Mot Bitcoin

Ressources complémentaires

Documentation officielle :

• Coldcard Docs
• Sparrow Wallet Docs

Standards techniques :

• BIP39 (Mnemonic phrases)
• BIP84 (Native Segwit derivation)
• PSBT (BIP174 - Partially Signed Bitcoin Transactions)

Vidéos recommandées :

• Ministry of Nodes - Tutoriels Coldcard
• BTC Sessions - Coldcard Setup Guide

Document rédigé en décembre 2025

Ce tutoriel est fourni à titre éducatif. La sécurité de vos fonds dépend de votre rigueur dans l'application de ces procédures.

Liens internes recommandés :

• France 2026 : La Fin de la Souveraineté Financière — Pourquoi le self-custody est essentiel
• Multisig 2-of-3 : Configuration pratique — Niveau de sécurité supérieur
• La Passphrase (25ème mot) — Stratégies avancées
• Vérifier le firmware de son hardware wallet — Sécurité approfondie