Portefeuilles froids complètement illégaux ? Le projet de loi ATM du Kentucky cache une porte dérobée, la communauté Bitcoin proteste : équivalent à interdire l'auto-garde

Kentucky vient de faire une auto-flagellation de niveau textbook en un seul cycle législatif — l’année dernière, elle a adopté à l’unanimité (37-0) une loi protégeant le droit à l’autodétermination en cryptomonnaies, et cette année, à l’article 33 d’un projet de loi sur la régulation des ATM cryptographiques, elle demande discrètement aux fabricants de portefeuilles matériels d’intégrer un mécanisme de réinitialisation des mots de passe, ce qui revient à mettre une porte dérobée dans le portefeuille froid de l’utilisateur. L’organisation de plaidoyer pour la blockchain BPI avertit directement : techniquement, c’est impossible, et le faire, c’est trahir l’utilisateur.
(Précédent : FBI : les fraudes aux ATM cryptographiques ont coûté 330 millions de dollars l’année dernière, plusieurs États envisagent des interdictions)
(Contexte supplémentaire : la vétérante Hester Peirce loue le nouveau président de la SEC, Paul Atkins, comme parfaitement compétent, et recommande de réaliser trois missions clés)

Sommaire

Toggle

• Le problème à l’article 33
• L’année dernière, 37-0, cette année, auto-flagellation
• La voix de Washington se tient de l’autre côté
• Observations : une porte dérobée, une fois existante, ne sert jamais qu’à un seul objectif

Les représentants du Kentucky Aaron Thompson et Tom Smith ne s’attendaient probablement pas à ce qu’une loi censée lutter contre la fraude aux ATM cryptographiques finisse par faire pointer la communauté crypto contre eux-mêmes.

Selon CoinTelegraph, le projet de loi HB 380, long de 77 pages, concerne principalement la régulation des ATM et kiosques cryptographiques — limite quotidienne de 2000$, période d’attente pour les nouveaux utilisateurs, identification obligatoire, etc. Les chiffres du FBI sont convaincants : en 2025, la fraude liée aux ATM cryptographiques aura coûté 330 millions de dollars aux États-Unis, et le Minnesota a déjà proposé une interdiction totale des ATM cryptographiques. Le contexte explique donc en partie cette législation.

Le problème à l’article 33

L’article indique que le problème ne réside pas dans le corps du projet de loi, mais dans une « modification de dernière minute » — la section 33. Cette clause exige que les fabricants de portefeuilles matériels offrent un mécanisme de réinitialisation des mots de passe, PIN ou phrases de récupération pour l’utilisateur.

BPI souligne dans son analyse l’absurdité de cette clause : le design même d’un portefeuille non custodial repose sur le fait que le fabricant ne peut pas accéder aux phrases de récupération de l’utilisateur. Ce n’est pas une difficulté technique, c’est une question de principe — si vous détenez votre clé, ni le fabricant ni personne d’autre ne doit pouvoir la réinitialiser pour vous. C’est cette caractéristique qui donne tout son sens à l’autodétermination.

Pour mettre en œuvre ce mécanisme de réinitialisation imposé par l’article 33, le fabricant devrait conserver une sauvegarde ou un accès à la clé de l’utilisateur quelque part. En d’autres termes, une porte dérobée. BPI avertit qu’une fois ce mécanisme en place, il ne sera pas seulement un « outil de réinitialisation d’urgence », mais une entrée accessible à toute entité ayant le pouvoir — gouvernement, hackers, employés malveillants.

L’année dernière, 37-0, cette année, auto-flagellation

Vince Quill, dans un article pour The Block, souligne cette ironie temporelle : l’année dernière, le Kentucky a adopté à l’unanimité (37-0) la HB 701, une loi explicitement protégeant le droit à l’autodétermination en cryptomonnaies. Sans opposition, en vote unanime.

Et cette année, la section 33 de ce nouveau projet de loi apparaît discrètement.

Ce paradoxe n’est pas seulement une incohérence logique, c’est un signal politique désorienté. Pour tout fabricant de portefeuille matériel souhaitant opérer dans le Kentucky, ils se retrouvent face à deux lois contradictoires : l’une affirmant que l’utilisateur a le droit à l’autodétermination, l’autre imposant un mécanisme permettant de contourner ce droit.

La position de BPI est claire : si la section 33 est adoptée, elle force en pratique l’utilisateur à renoncer à l’autodétermination pour se tourner vers une solution centralisée — seul un organisme centralisé peut offrir un service de « réinitialisation de compte ».

La voix de Washington se tient de l’autre côté

Il est important de noter qu’alors que certains États vacillent sur la question de l’autodétermination, la régulation fédérale semble aller dans la direction opposée. La SEC, notamment, a exprimé publiquement son soutien au droit à l’autodétermination. Hester Peirce, commissaire connue pour défendre les droits des utilisateurs, a posé une question directe : « Pourquoi devrais-je être obligé de passer par quelqu’un d’autre pour détenir mes propres actifs ? »

La section 33 du Kentucky ne donne pas de réponse satisfaisante à cette question.

Observations : une porte dérobée, une fois existante, ne sert jamais qu’à un seul objectif

Dans le débat sur la régulation des cryptomonnaies, la tension entre « protection du consommateur » et « détention autonome » n’est pas nouvelle. La fraude aux ATM est un problème réel, et le projet de loi HB 380 répond à un besoin légitime.

Mais la logique de la section 33 est défaillante : les victimes de fraudes aux ATM sont généralement celles qui sont incitées à utiliser ces machines et à transférer leur argent aux escrocs, pas celles qui détiennent un portefeuille froid en profondeur. Exiger que des fabricants comme Ledger ou Trezor conçoivent une porte dérobée pour les utilisateurs avancés ne résout pas le problème — c’est une erreur de ciblage réglementaire.

Face à cette pression légale, les fabricants de portefeuilles matériels ont deux réactions possibles : soit quitter le marché du Kentucky, soit concevoir des solutions conformes, mais dans tous les cas, ce sont les utilisateurs locaux qui en pâtiront. Un État qui a protégé l’autodétermination à 37-0 devrait se donner une réponse plus claire.