Diviser une clé en cinq fragments dont trois suffisent à la reconstituer, sans qu’un fragment isolé ne révèle la moindre information sur le secret originel. Le procédé porte le nom d’Adi Shamir, co-inventeur de l’algorithme RSA, qui l’a publié en novembre 1979. Quarante-sept ans plus tard, ce schéma structure la sauvegarde des portefeuilles matériels, la custody institutionnelle et les architectures à seuil qui sécurisent une part croissante des actifs on-chain.
Points clés 1. Le partage de secrets de Shamir (Shamir’s Secret Sharing, SSS) repose sur un principe géométrique élémentaire : k points distincts définissent un unique polynôme de degré k-1. 2. Publication originale en novembre 1979 dans Communications of the ACM, par Adi Shamir (Weizmann Institute), co-inventeur de l’algorithme RSA aux côtés de Rivest et Adleman. 3. Les implémentations modernes opèrent en arithmétique modulaire dans des corps finis, garantissant une sécurité dite « information-theoretic » indépendante de la puissance de calcul disponible. 4. Le standard SLIP-0039 (SatoshiLabs) intègre SSS dans la sauvegarde des portefeuilles matériels Trezor pour la récupération de seed phrase. 5. Limite structurelle : SSS partage un secret, il ne signe pas — d’où l’essor parallèle des signatures à seuil (TSS) et du calcul multipartite (MPC).
Janvier 1979, une question simple sur un tableau noir
Au Weizmann Institute, près de Tel-Aviv, un jeune chercheur de trente-deux ans formalise une intuition qui hantait les cryptographes depuis les premiers schémas d’authentification militaire. Comment répartir un secret entre plusieurs détenteurs, sans qu’aucun sous-groupe inférieur au seuil ne puisse le reconstruire, et sans qu’aucune fuite partielle ne dégrade la confidentialité ? L’article qu’Adi Shamir soumet à Communications of the ACM en novembre 1979 propose une réponse mathématique à la fois élégante et opératoire. Le blog d’ingénierie d’Ente, qui consacre une longue analyse pédagogique au schéma le 25 mai 2026, pose la question fondatrice dans des termes qui n’ont pas vieilli : « how do we split a secret? ». L’enjeu n’était pas trivial à l’époque, il est devenu vital pour la cryptographie appliquée aux actifs numériques.
Thèse : SSS, brique silencieuse du wallet moderne
Le partage Shamir ne s’observe pas directement à la surface des produits crypto. Il n’a pas de logo, pas de jeton, pas de gouvernance. Il opère à l’arrière des portefeuilles matériels, des coffres institutionnels et des protocoles de récupération de compte. À mesure que la promesse d’auto-custody se heurte à la réalité de l’erreur humaine — clé perdue, seed phrase brûlée, héritage non préparé — la question reformulée par Ente, « how do we make recovery possible without turning the split secrets into a permanent recovery key? », s’impose comme la frontière technique du custody grand public en 2026.
Contexte historique : de la cryptographie académique à l’auto-custody
L’histoire du partage de secrets s’étire sur près d’un demi-siècle. Avant 1979, plusieurs schémas existaient déjà — partage XOR simple, codes correcteurs d’erreurs — mais aucun n’offrait simultanément la propriété de seuil k-sur-n et la sécurité information-theoretic. Shamir et, indépendamment, George Blakley publient la même année deux constructions distinctes. Celle de Shamir, fondée sur l’interpolation polynomiale, s’imposera par sa simplicité algébrique et la flexibilité du paramétrage du seuil.
Pendant trois décennies, le schéma reste cantonné aux applications militaires, bancaires et gouvernementales. Le partage de la racine des autorités de certification, la sauvegarde des clés de chiffrement des coffres physiques, la sécurisation des clés de signature des constructeurs de cartes à puce constituent les usages historiques. La cryptographie crypto-monétaire, à ses débuts, ne s’en empare pas immédiatement. Le whitepaper Bitcoin de 2008 ne mentionne pas le partage de secrets, et les premiers portefeuilles utilisent une clé privée unique stockée localement.
Le basculement intervient avec la professionnalisation de la garde institutionnelle. Les premiers prestataires de custody crypto, à partir de 2015, doivent répondre à une exigence inédite : conserver des sommes équivalentes à plusieurs centaines de millions d’euros sur des actifs immutables, sans recours possible en cas de fraude ou d’erreur. Le multi-signature on-chain (script Bitcoin P2SH, contrats Ethereum type Gnosis Safe) offre une première réponse, mais publie le seuil sur la blockchain et fragmente la signature à chaque transaction. Le partage Shamir, opéré off-chain au niveau du matériel clé, permet une sauvegarde plus discrète et plus économe en frais.
En 2017, SatoshiLabs — fabricant des portefeuilles Trezor — publie le standard SLIP-0039, intitulé Shamir’s Secret-Sharing for Mnemonic Codes. Le document décrit une mise en œuvre du schéma adaptée aux contraintes des seed phrases BIP-39 : encodage des fragments sous forme de mots mémorisables, gestion des groupes hiérarchiques, contrôle d’erreur intégré. La même année, plusieurs prestataires institutionnels — sans rendre publiques leurs architectures complètes — intègrent SSS dans leurs procédures de cold storage.
La période 2020-2024 voit le schéma migrer du back-office vers l’interface utilisateur. Casa, Unchained Capital, plusieurs solutions de récupération sociale Ethereum reposent en partie ou en totalité sur des dérivés du partage Shamir. La cryptographie de 1979 entre dans la routine de centaines de milliers de détenteurs d’actifs numériques.
Analyse technique : polynômes, points et arithmétique finie
Le cœur mathématique du schéma tient en une phrase : un polynôme de degré k-1 est déterminé de manière unique par k points distincts. Pour partager un secret S entre n participants avec un seuil de reconstruction k, on construit un polynôme :
p(x) = S + a₁·x + a₂·x² + … + a_{k-1}·x^{k-1}
Les coefficients a₁ à a_{k-1} sont tirés aléatoirement et tenus secrets. Chacun des n participants reçoit un couple (xᵢ, p(xᵢ)) avec xᵢ ≠ 0 distinct pour chaque participant. La valeur p(0) = S correspond au secret. Pour reconstituer ce secret, k participants quelconques rassemblent leurs couples et appliquent l’interpolation de Lagrange, qui permet d’évaluer un polynôme en n’importe quel point à partir de k points connus. Le calcul de p(0) restitue alors S sans ambiguïté.
Deux propriétés rendent le schéma remarquable. Premièrement, la sécurité est dite information-theoretic : avec moins de k fragments, l’ensemble des polynômes compatibles couvre la totalité de l’espace des secrets possibles. Aucune corrélation statistique ne permet de réduire l’incertitude, même avec une puissance de calcul infinie. Deuxièmement, le seuil k et le nombre total n sont paramétrables indépendamment : on peut produire 100 fragments avec un seuil de 3, ou 5 fragments avec un seuil de 4, selon le modèle de menace visé.
Les implémentations réelles, comme le rappelle le blog d’ingénierie d’Ente, n’utilisent pas l’arithmétique des nombres réels. Le calcul flottant introduit des erreurs d’arrondi incompatibles avec la précision exigée et fait fuiter de l’information sur la taille du secret. Les implémentations standardisées opèrent dans un corps fini — typiquement GF(2^8) pour des secrets octet-par-octet (compatible avec une implémentation par tables précalculées), ou GF(p) pour un grand nombre premier p lorsque la taille du secret le justifie. Toutes les opérations — addition, multiplication, division, inverse — se réduisent modulo p ou via les lois du corps GF(2^n).
Comparons les paramètres usuels :
| Paramètre | SSS classique (Shamir 1979) | SLIP-0039 (Trezor) | Implémentations MPC institutionnelles |
|---|---|---|---|
| Corps de calcul | GF(p), p premier choisi | GF(256) avec polynôme irréductible | Scalaires de courbes elliptiques |
| Granularité | Mot ou bloc | Octet par octet | Scalaire entier sur la courbe |
| Encodage utilisateur | Numérique | Mots mnémoniques | Aucun — clé jamais reconstituée |
| Reconstruction du secret | Oui, sur un appareil | Oui, sur l’appareil Trezor | Non — signature distribuée |
| Seuil paramétrable | Oui (k libre) | Oui, hiérarchique possible | Oui (k libre) |
| Source | Shamir, Comm. ACM, 1979 | SLIP-0039 spec, SatoshiLabs | Documentations protocoles |
La différence essentielle entre SSS « pur » et MPC ne tient pas au schéma de partage en lui-même, mais à l’usage qui en est fait. Dans SSS classique, le secret est reconstitué à un instant T, sur un appareil donné, pour être utilisé (signature, déchiffrement). Cette reconstitution constitue un point unique de vulnérabilité temporel : si l’appareil est compromis pendant cette fenêtre, le secret fuit en clair. Le MPC évite cette reconstitution. Les participants exécutent collectivement le calcul qui aurait été fait sur le secret entier, sans qu’aucun n’observe le secret en clair. Le partage Shamir reste alors un des éléments de l’architecture, mais ne suffit plus à lui seul.
Impact terrain : custody, récupération sociale, héritage numérique
Pour les prestataires de custody, l’introduction du partage Shamir transforme la cartographie des risques. Avant SSS, la séparation des clés reposait sur la multiplication des coffres physiques, des HSM (Hardware Security Modules), ou sur la signature multipartite on-chain. Chacune de ces approches grève les coûts opérationnels, l’auditabilité ou la latence transactionnelle. Le partage Shamir permet de répartir une clé maître sur plusieurs sites géographiques distincts, avec un seuil de reconstitution choisi librement, sans publier le moindre indice sur l’architecture sur la chaîne. La signature reste mono-clé du point de vue du protocole on-chain ; seuls la sauvegarde et le recovery sont distribués.
Pour les utilisateurs particuliers, le bénéfice opérationnel est plus tangible encore. Une seed phrase BIP-39 unique constitue un point de défaillance bien documenté : feu, vol, oubli, contrainte physique. Le standard SLIP-0039 permet de scinder cette seed en plusieurs groupes hiérarchiques. Par exemple, deux groupes de cinq parts chacun, avec un seuil de trois parts dans chaque groupe pour reconstituer la clé. L’utilisateur peut déposer trois parts chez ses proches, deux dans un coffre bancaire, et conserver une part avec lui — la perte d’un sous-ensemble ne compromet ni la confidentialité ni la récupérabilité.
Les schémas de récupération sociale sur Ethereum, défendus publiquement par Vitalik Buterin, co-fondateur d’Ethereum, à plusieurs reprises depuis 2021, prolongent cette logique. Argent, Soul Wallet et plusieurs wallets EIP-4337 (account abstraction) recourent à des combinaisons de partage de clé et de gardiens contractuels. Tous ne s’appuient pas strictement sur SSS — certains utilisent un schéma plus simple de gardiens multi-signature on-chain — mais la primitive Shamir alimente fréquemment la couche off-chain de ces dispositifs. L’évolution de la TVL des contrats type Gnosis Safe, documentée mois après mois par DefiLlama, constitue un indicateur indirect de la pénétration des architectures à seuil dans l’écosystème EVM.
Le marché de l’héritage numérique constitue un terrain d’application plus récent. Plusieurs services européens et nord-américains proposent des architectures où les parts Shamir sont confiées à un notaire, un mandataire post-mortem et un proche, avec activation conditionnelle. La conformité avec les régimes successoraux nationaux reste un travail en cours et constitue l’un des chantiers réglementaires identifiés par l’AMF en France pour la prochaine itération du règlement MiCA.
Perspectives contradictoires : ce que SSS ne fait pas
Le partage Shamir n’est pas un couteau suisse cryptographique. Plusieurs limites structurelles méritent d’être posées avant toute généralisation.
Premièrement, SSS ne fournit aucune garantie de vérifiabilité. Un participant malveillant qui présenterait une part falsifiée lors de la reconstruction perturberait l’interpolation sans que les autres puissent immédiatement identifier la source de la corruption. Les schémas étendus — Verifiable Secret Sharing (VSS) de Feldman ou Pedersen — comblent cette lacune au prix d’hypothèses cryptographiques supplémentaires, comme l’engagement homomorphique sur des courbes elliptiques, et d’une charge calculatoire accrue.
Deuxièmement, la reconstitution centralisée du secret reste le talon d’Achille opérationnel. Tant que la clé est rassemblée sur un appareil pour signer une transaction, ce moment constitue une fenêtre d’attaque exploitable par un malware ou un système compromis. Le MPC et les signatures à seuil (TSS) — FROST pour Schnorr, plusieurs variantes pour ECDSA — répondent à cette critique en distribuant non seulement la sauvegarde, mais aussi l’opération de signature. Pour des actifs nominatifs à forte valeur, plusieurs custodians institutionnels ont migré ou complètent SSS par du MPC depuis 2022-2024.
Troisièmement, SSS ne dit rien de la gouvernance du seuil. Choisir k = 3 sur n = 5 implique des hypothèses sur la coordination des détenteurs, la disponibilité géographique, la robustesse face à la collusion. Un seuil trop bas concentre le risque ; trop haut, il rend la récupération impraticable. Plusieurs incidents documentés dans la littérature de sécurité — dont des cas d’auto-custody familiale échouée — illustrent les écarts entre la promesse mathématique et la réalité humaine.
Enfin, comme toute primitive cryptographique, SSS reste vulnérable aux attaques par canal auxiliaire (timing, consommation électrique) au moment des opérations de calcul sur les fragments. Les implémentations matérielles certifiées Common Criteria intègrent des contre-mesures dédiées, mais aucune solution purement logicielle ne peut prétendre à une immunité totale.
Prospective : entre SSS, MPC et signatures à seuil
À horizon 2027-2030, l’architecture custody crypto évoluera vraisemblablement vers des configurations hybrides. Le partage Shamir conservera son rôle dans la sauvegarde froide à long terme — sa simplicité, sa maturité de spécification via SLIP-0039, son coût opérationnel modéré le rendent difficile à déloger pour le cold backup. En parallèle, les signatures à seuil et le MPC capteront l’opérationnel chaud : signature de transactions à forte fréquence, hot wallets institutionnels, dépôts CEX. La distinction se fera moins sur la mathématique sous-jacente — souvent dérivée des mêmes travaux des années 1980 — que sur l’enveloppe d’exécution.
Plusieurs questions ouvertes structureront le débat. La compatibilité du SSS « pur » avec les courbes post-quantiques fait l’objet de travaux préliminaires ; les schémas à base d’isogénies ou de réseaux ne s’adaptent pas trivialement à l’interpolation polynomiale sur des scalaires. La normalisation européenne, dans le cadre des travaux ETSI et de l’extension MiCA aux services de garde, pourrait formaliser des exigences de robustesse à un seuil donné pour les dépositaires agréés. Reste enfin la pédagogie : sans utilisateurs capables de comprendre et de gérer leurs propres parts, la promesse mathématique perd sa traction opérationnelle. La question soulevée par Ente en 2026 conserve toute son acuité pour la prochaine décennie.
FAQ
Le partage Shamir suffit-il à sécuriser une seed phrase ?
Il améliore considérablement la robustesse face à la perte ou au vol, mais ne dispense pas d’une politique de stockage rigoureuse. La sécurité dépend autant du choix du seuil et de la qualité des dépositaires que de la primitive cryptographique elle-même. Une seed scindée en cinq fragments dont trois logés au même endroit annule le bénéfice du schéma.
Quelle différence entre SSS et le multi-signature on-chain ?
Le multi-signature opère au niveau du protocole : la blockchain vérifie que k clés distinctes ont signé la transaction. SSS opère hors-chaîne, sur la sauvegarde d’une clé unique. Le multi-sig publie la politique de signature ; SSS la garde privée. Les deux mécanismes peuvent se combiner dans une même architecture de custody institutionnelle.
Peut-on utiliser le partage Shamir directement dans un smart contract ?
Le schéma lui-même est un protocole cryptographique exécuté off-chain. Un smart contract peut consommer le résultat (clé reconstituée, signature à seuil agrégée) mais ne calcule pas le partage sur la chaîne : le coût en gas serait prohibitif et la confidentialité compromise par la transparence native de l’EVM.
Adi Shamir détient-il un brevet sur ce schéma ?
Non. La publication de 1979 dans Communications of the ACM a placé le schéma dans le domaine académique librement utilisable. Les implémentations standardisées comme SLIP-0039 sont, elles aussi, disponibles sous licence ouverte. Ce libre accès explique en partie la diffusion massive du partage Shamir dans l’écosystème open source.
Sources citées – Adi Shamir, « How to Share a Secret », Communications of the ACM, novembre 1979. – Ente Engineering, « How Shamir’s Secret Sharing Works », ente.com/blog, 25 mai 2026 — lien externe. – SatoshiLabs, SLIP-0039 specification, Shamir’s Secret-Sharing for Mnemonic Codes. – BIP-39, Mnemonic Code for Generating Deterministic Keys, Bitcoin Improvement Proposal. – Documentations publiques des projets MPC institutionnels et schémas TSS (FROST, GG18/GG20 pour ECDSA). – Communications publiques de Vitalik Buterin sur la récupération sociale, 2021-2024.
