Guide Keystone Pro 3 : Portefeuille sans connexion pour débutants

La configuration du Keystone Pro 3 prend environ 15–20 minutes du déballage à votre première transaction signée. Contrairement au Ledger Nano X ou au Trezor Model T, le Keystone 3 Pro ne se connecte jamais via USB ou Bluetooth — chaque interaction se fait par codes QR, ce qui élimine toute une classe de vecteurs d'attaque basés sur USB. Ce guide vous accompagne à travers chaque étape de la configuration du portefeuille Keystone, y compris l'appairage avec MetaMask mobile sur Android ou iOS.

---

Contenu de la boîte : Déballage du Keystone 3 Pro

Avant d'allumer l'appareil, vérifiez le contenu de l'emballage et recherchez des signes de violation. Keystone expédie le 3 Pro avec un sceau holographique anti-altération sur la boîte extérieure. Si le sceau est cassé ou manquant, n'utilisez pas l'appareil — contactez immédiatement le support Keystone.

Contenu attendu de la boîte :

• Appareil Keystone 3 Pro (écran tactile 4 pouces, lecteur d'empreinte digitale)
• 3 × cartes de sauvegarde de phrase de récupération de qualité métallique (les cartes en acier inoxydable de grade AAA sont vendues séparément sous le nom Keystone Tablet)
• 1 × câble de charge USB-C (charge uniquement — pas de données)
• 3 × cartes de sauvegarde de phrase de récupération en papier
• Guide de démarrage rapide

Notez que le port USB-C du Keystone 3 Pro est alimentation uniquement. Aucun microprogramme, aucune donnée, aucune signature ne transite jamais par ce câble. Les mises à jour du microprogramme utilisent une carte microSD, couverte dans la section maintenance ci-dessous.

Vérification de l'authenticité du microprogramme avant le premier démarrage

Keystone intègre une vérification de la sécurité de la chaîne d'approvisionnement directement dans la séquence de démarrage. Au premier allumage, l'appareil affiche un code QR et une URL — https://keyst.one/verify — où vous pouvez vérifier indépendamment que le hash du microprogramme correspond à la build publiée par Keystone. Complétez cette vérification avant de générer une seed.

---

Étape 1 : Premier démarrage et configuration de la langue

1. Appuyez et maintenez le bouton d'alimentation sur le côté droit du Keystone 3 Pro jusqu'à l'apparition du logo Keystone.
2. Sélectionnez votre langue dans la liste sur l'écran tactile. L'anglais, le chinois simplifié, l'espagnol et plusieurs autres sont disponibles à partir du microprogramme v1.1.0.
3. Lisez et acceptez les conditions d'utilisation sur l'appareil.
4. Complétez la vérification de la chaîne d'approvisionnement en scannant le code QR affiché avec votre téléphone et en comparant le hash du microprogramme à la valeur figurant dans les versions GitHub de Keystone.

---

Étape 2 : Définissez votre PIN

Votre PIN est la première ligne de défense si quelqu'un obtient physiquement le Keystone 3 Pro.

1. Appuyez sur "Set PIN" sur l'écran de configuration.
2. Entrez un PIN entre 6 et 20 chiffres à l'aide du pavé numérique à l'écran. Keystone mélange la disposition du pavé numérique à chaque saisie pour contrer l'observation par-dessus l'épaule.
3. Confirmez le PIN en l'entrant une deuxième fois.
4. Enregistrez votre empreinte digitale (facultatif mais recommandé). Le Keystone 3 Pro dispose d'un capteur d'empreinte digitale hors ligne — les données biométriques ne quittent jamais l'appareil. Vous pouvez enregistrer jusqu'à 5 empreintes digitales.

Directives pour le PIN :

• N'utilisez pas d'années de naissance, de séquences répétitives (111111) ou de suites ascendantes (123456).
• Après 5 tentatives de PIN incorrectes, l'appareil impose un délai de verrouillage augmentant exponentiellement. Après 10 tentatives échouées, le Keystone 3 Pro effectue une réinitialisation d'usine.

---

Étape 3 : Générez ou restaurez une phrase de récupération

C'est l'étape la plus critique pour la sécurité de toute la configuration du portefeuille Keystone. Choisissez entre générer une nouvelle seed ou en restaurer une existante.

Option A : Générer une nouvelle seed

1. Appuyez sur "Create Wallet" sur l'écran d'accueil.
2. Choisissez la longueur de la seed : 12, 18 ou 24 mots. Pour une entropie maximale, sélectionnez 24 mots.
3. Confirmez l'option du dé si vous souhaitez mélanger votre propre entropie dans la seed. Keystone vous permet de lancer un dé physique jusqu'à 99 fois et d'entrer chaque résultat — l'appareil combine votre entropie de dé avec son TRNG interne. C'est facultatif mais recommandé par la spécification BIP-39 pour une aléatoire maximale.
4. Notez chaque mot en ordre sur les cartes de sauvegarde en papier incluses. Le Keystone 3 Pro affiche un mot à la fois, plein écran, pour minimiser l'exposition par-dessus l'épaule.
5. Confirmez votre sauvegarde en entrant les mots demandés dans le quiz de vérification. L'appareil vous demandera d'entrer 4–6 mots aléatoires de votre liste.

Ne photographiez jamais l'écran de la phrase de récupération. N'entrez jamais votre phrase de récupération dans un logiciel, un site web ou un stockage cloud.

Option B : Restaurer une seed existante

1. Appuyez sur "Import Wallet" sur l'écran d'accueil.
2. Sélectionnez mnémonique BIP-39, puis choisissez le nombre de mots (12, 18 ou 24).
3. Entrez chaque mot à l'aide du clavier à l'écran. Keystone complète automatiquement à partir de la liste de mots BIP-39 pour réduire les erreurs de saisie.
4. Vérifiez l'empreinte digitale ou entrez votre PIN pour confirmer l'importation.

---

Étape 4 : Configurez une passphrase BIP-39 (facultatif mais recommandé)

Une passphrase BIP-39 — parfois appelée le « 25e mot » — agit comme un deuxième secret qui dérive un portefeuille complètement différent de la même seed. Même si votre phrase de récupération est découverte, l'attaquant ne peut pas accéder aux fonds sans la passphrase.

1. Accédez à Menu → Paramètres → Portefeuille → Passphrase.
2. Activez "Passphrase" et entrez votre passphrase. Elle peut contenir des lettres, des chiffres et des symboles jusqu'à 128 caractères.
3. Confirmez la passphrase en l'entrant à nouveau.
4. Notez l'empreinte digitale du portefeuille affichée après la confirmation. C'est une courte chaîne hexadécimale unique à votre combinaison seed + passphrase. Enregistrez-la aux côtés de votre sauvegarde de seed afin de pouvoir vérifier la passphrase correcte à l'avenir sans réentrer la chaîne complète.

Une passphrase n'est pas récupérable par quelque moyen que ce soit. Si vous l'oubliez, les fonds du portefeuille dérivé sont inaccessibles de manière permanente.

---

Étape 5 : Appairez le Keystone 3 Pro avec MetaMask Mobile

MetaMask Mobile (iOS et Android, v7.12.0 et versions ultérieures) supporte nativement la signature des portefeuilles matériels basée sur QR. C'est le flux d'appairage le plus courant pour les chaînes EVM (Ethereum, Polygon, BNB Chain, etc.).

Prérequis :

• Application MetaMask Mobile installée sur votre téléphone (dernière version de l'App Store ou Google Play)
• Keystone 3 Pro avec un portefeuille déjà créé (Étapes 1–4 terminées)
• Les deux appareils disposent de caméras

Étapes d'appairage

1. Sur le Keystone 3 Pro, appuyez sur le menu "…" sur l'écran d'accueil et sélectionnez "Connect Software Wallet".
2. Sélectionnez "MetaMask" dans la liste des applications prises en charge.
3. Choisissez le ou les comptes que vous souhaitez exposer à MetaMask. Le Keystone 3 Pro affichera un code QR codant votre clé publique étendue (format XPUB/UR:CRYPTO-ACCOUNT).
4. Ouvrez MetaMask Mobile sur votre téléphone. Appuyez sur le menu à trois lignes → "Hardware Wallet" → "Keystone".
5. Appuyez sur "Scan QR code" et pointez la caméra de votre téléphone vers l'écran du Keystone 3 Pro. MetaMask importe votre clé publique étendue et dérive vos adresses Ethereum sans jamais voir votre clé privée.
6. Sélectionnez le compte que vous souhaitez utiliser dans MetaMask et appuyez sur "Unlock".

MetaMask Mobile affiche maintenant vos adresses dérivées de Keystone en tant que vue en lecture seule. Il peut voir votre solde et construire des transactions, mais ne peut rien signer sans la présence physique du Keystone 3 Pro.

Pour la documentation officielle de MetaMask sur l'intégration de Keystone, consultez le guide des portefeuilles matériels de MetaMask.

---

Étape 6 : Signature de transactions via code QR

C'est le flux de travail sans connexion fondamental qui rend le Keystone 3 Pro unique. Aucun câble USB n'est impliqué à aucun moment.

1. Initiez une transaction dans MetaMask Mobile comme vous le feriez normalement : entrez l'adresse du destinataire, le montant et les paramètres de gaz, puis appuyez sur "Send".
2. MetaMask affiche un code QR codant la transaction non signée (format UR:ETH-SIGN-REQUEST).
3. Sur le Keystone 3 Pro, appuyez sur "Scan" sur l'écran d'accueil et pointez sa caméra vers votre écran de téléphone.
4. Vérifiez les détails de la transaction sur l'écran tactile du Keystone 3 Pro : adresse du destinataire, valeur en ETH, frais de gaz et données de contrat si présentes. Vérifiez chaque champ attentivement — c'est votre dernière ligne de défense contre les attaques de substitution d'adresse.
5. Approuvez avec empreinte digitale ou PIN. Le Keystone 3 Pro génère la signature cryptographique entièrement hors ligne et affiche un nouveau code QR codant la transaction signée.
6. Appuyez sur "Scan Signed Transaction" dans MetaMask Mobile et pointez la caméra de votre téléphone vers l'écran du Keystone 3 Pro.
7. MetaMask reçoit la signature et diffuse la transaction au réseau Ethereum.

Conseils pour la signature par QR :

• Tenez le Keystone 3 Pro stable dans un bon éclairage. L'écran 4 pouces facilite la lecture des codes QR par rapport aux appareils plus petits.
• Les codes QR animés (multi-images) sont utilisés pour les charges de données volumineuses comme les interactions de contrat — laissez-les se terminer complètement avant que votre téléphone ne les capture.
• Vérifiez toujours l'adresse du destinataire sur l'écran du Keystone 3 Pro par rapport à votre destination prévue. La substitution d'adresse au niveau de l'interface utilisateur de MetaMask via des extensions de navigateur malveillantes ne peut pas affecter ce que le Keystone 3 Pro affiche, car les données arrivent via QR, pas sur une interface connectée.

---

Étape 7 : Mises à jour du microprogramme via carte microSD

Keystone publie les mises à jour du microprogramme pour le Keystone 3 Pro sur GitHub. Les mises à jour sont livrées via carte microSD, pas USB, conformément à la conception sans connexion.

1. Vérifiez votre microprogramme actuel à Menu → Paramètres → À propos → Version du microprogramme.
2. Visitez https://github.com/KeystoneHQ/keystone3-firmware/releases sur votre PC et téléchargez le dernier fichier .bin.
3. Vérifiez le hash SHA-256 du fichier téléchargé par rapport au hash publié sur la page de version GitHub à l'aide de l'outil de hash intégré de votre OS (sha256sum sur Linux/macOS, Get-FileHash sur Windows PowerShell).
4. Copiez le fichier .bin au répertoire racine d'une carte microSD (FAT32 ou exFAT, 4 Go–32 Go).
5. Éteignez le Keystone 3 Pro, insérez la carte microSD dans le slot sur le côté droit de l'appareil et rallumez-le.
6. Suivez l'invite à l'écran pour installer la mise à jour. L'appareil vérifie la signature du microprogramme avant de flasher. Si la vérification de la signature échoue, la mise à jour est rejetée et le microprogramme existant reste intact.
7. Retirez la carte microSD après la fin de la mise à jour et le redémarrage de l'appareil.

Le microprogramme de Keystone est entièrement open-source, vous pouvez donc inspecter la source avant la mise à jour — un avantage significatif par rapport aux portefeuilles matériels propriétaires.

---

Pratiques de sécurité continues

• Stockez votre sauvegarde de phrase de récupération dans un endroit physiquement séparé et ignifuge du dispositif Keystone 3 Pro. L'appareil seul est inutile sans la seed ; la seed seule est dangereuse sans la passphrase.
• Testez votre récupération de phrase de récupération sur un appareil séparé ou récemment réinitialisé avant de stocker des fonds importants.
• Ne partagez jamais votre phrase de récupération ou votre passphrase avec un site web, une application ou une personne prétendant être du support Keystone.
• Activez la passphrase pour tout portefeuille contenant des fonds importants. Une phrase de récupération sans passphrase est un point de défaillance unique.

---

FAQ

Q : Le Keystone 3 Pro fonctionne-t-il avec l'extension de navigateur MetaMask sur le bureau ?

Le Keystone 3 Pro s'apparie avec l'extension de navigateur MetaMask via l'option "Hardware Wallet" lors de l'importation de compte. Le flux de travail est identique à celui du mobile : l'extension affiche un code QR non signé, vous le scannez avec le Keystone 3 Pro, et vous scannez le QR signé en retour avec une webcam d'ordinateur. Une webcam fonctionnelle est requise du côté du bureau.

Q : Que se passe-t-il si j'oublie mon PIN ?

Après 10 tentatives de PIN consécutives échouées, le Keystone 3 Pro effectue une réinitialisation d'usine — toutes les clés et tous les paramètres sont supprimés. Vous pouvez restaurer votre portefeuille en réimportant votre phrase de récupération (et passphrase, si définie) à partir de votre sauvegarde écrite. C'est pourquoi une sauvegarde de phrase de récupération lisible et sécurisée est non négociable.

Q : Le Keystone 3 Pro peut-il être utilisé avec Ethereum et Bitcoin simultanément ?

Oui. Le Keystone 3 Pro supporte BTC (SegWit natif, Taproot, Legacy), ETH et toutes les chaînes EVM, Solana et plus de 20 autres blockchains à partir du microprogramme v1.1.0. Chaque blockchain utilise un chemin de dérivation séparé de la même seed. Vous pouvez appairer le même appareil avec MetaMask (EVM), Solflare (Solana) et Sparrow Wallet (Bitcoin) simultanément.

Q : Le microprogramme du Keystone 3 Pro est-il open source ?

Oui. L'ensemble du code source du microprogramme est publié sur https://github.com/KeystoneHQ/keystone3-firmware sous la licence GPL-3.0. Le code d'élément sécurisé pour le module d'empreinte digitale comporte un composant partiellement propriétaire du fournisseur de puce, que Keystone documente dans le README du dépôt.

Q : En quoi le Keystone 3 Pro est-il différent d'un Trezor ou d'un Ledger à des fins sans connexion ?

Le Trezor Model T et le Ledger Nano X s'appuient tous deux principalement sur les connexions USB pour la signature des transactions, bien que Trezor offre un support QR limité via des logiciels tiers. Le Keystone 3 Pro a été conçu dès le départ pour un fonctionnement QR uniquement — il n'existe pas de mode de flashage USB du microprogramme, pas de Bluetooth et pas de NFC. Le chemin de mise à jour microSD est la seule interface de données externe, et il est en écriture seule du point de vue de l'appareil pendant les opérations de signature.