● articles / Hardware wallets
Keystone 3 Pro + Monero : guide d'initialisation air-gapped pas à pas
· Keystone · Keystone 3 Pro · Monero · hardware wallet · air-gapped · Cake Wallet
Le Keystone 3 Pro est, en 2026, le hardware wallet avec l’alignement Monero le plus fort : signature par QR uniquement (air-gapped intégral, zéro USB), firmware open-source, et support du mnemonic Monero natif (13-25 mots) sans réinterprétation BIP39. C’est notre recommandation principale dans le profil Hodler Sérieux. Voici comment l’initialiser proprement avec Cake Wallet.
Pourquoi ce hardware en particulier
Trois propriétés combinées qui n’existaient pas ensemble avant 2026 :
- Air-gapped intégral. Pas de port USB utilisé pour le signing. Toute la communication entre le wallet desktop/mobile et le Keystone passe par scan de QR (à l’écran du Keystone et à la caméra du téléphone, ou inversement). Surface d’attaque connectivité = nulle.
- Mnemonic Monero natif. Le Keystone 3 Pro est le premier hardware wallet à supporter directement la seed Monero (Polyseed 16 mots ou seed legacy 25 mots), sans la réinterpréter via BIP39. C’est important : ta seed Monero générée par le Keystone est portable vers n’importe quel wallet Monero (Feather, Cake, Monero CLI/GUI), parce que c’est une vraie seed Monero, pas une seed BIP39 dérivée.
- Firmware open-source. Le firmware est disponible publiquement sur GitHub (KeystoneHQ/keystone3-firmware). Tu peux auditer ou compiler toi-même si tu en as le temps.
Trois secure elements, écran tactile 4 pouces, USB-C utilisé uniquement pour la charge et la mise à jour firmware (pas pour le signing).
Ce dont tu as besoin
- Un Keystone 3 Pro neuf, acheté chez Keystone directement (keyst.one) ou un revendeur officiel listé sur leur site. Pas Amazon hors compte officiel — supply chain risk.
- Un téléphone (Android ou iOS) avec Cake Wallet installé (depuis F-Droid sur Android, App Store sur iOS).
- Du papier et un crayon pour ta seed.
- Optionnel : une plaque métal de sauvegarde de seed (Cryptosteel, Stamp Seed, ou DIY).
- 30 minutes tranquilles.
Étape 1 : déballage et inspection
Avant tout : vérifie que l’emballage et le sticker de tamper-evident sont intacts. Keystone scelle les boîtes avec un sticker holographique. Si le sticker est endommagé ou semble avoir été décollé, ne configure pas le wallet — contacte Keystone et renvoie-le.
Charge le Keystone via USB-C jusqu’à pleine batterie avant la première utilisation.
Étape 2 : mise à jour firmware
Avant de générer ta seed, mets à jour le firmware vers la dernière version. Le support Monero natif requiert le firmware 2.4.0 ou supérieur (sortie avril 2026).
Procédure :
- Va sur keyst.one/firmware sur un ordinateur de confiance.
- Télécharge la dernière version du firmware Keystone 3 Pro.
- Vérifie la signature SHA256 publiée sur le site (compare avec le hash du fichier téléchargé).
- Copie le fichier
.binsur une carte microSD vide formatée en FAT32. - Insère la microSD dans le Keystone, suis le menu System → Update firmware.
- Le wallet redémarre, vérifie la signature du firmware (tu vois la version s’afficher), confirme la mise à jour.
Une fois sur 2.4.0+, tu peux générer ta seed Monero.
Étape 3 : génération de la seed Monero
Sur le Keystone :
- Create wallet → Monero.
- Choisis le format de seed :
- Polyseed (16 mots) : format moderne, recommandé pour de nouveaux wallets, contient le timestamp de création (le restore sait à partir de quand scanner la blockchain).
- Legacy 25 mots : format historique Monero, compatible avec tous les wallets Monero anciens. Choisis ce format uniquement si tu veux la compatibilité maximale avec d’anciens wallets.
- Le Keystone génère la seed sur son écran. Note les mots, dans l’ordre exact, sur papier. Pas de photo, pas de saisie sur un autre appareil, pas de capture d’écran (l’écran du Keystone l’empêche d’ailleurs).
- Le Keystone te demande de confirmer la seed en re-saisissant les mots dans l’ordre. C’est volontaire — ça t’oblige à vérifier que tu as bien noté.
- Définis un PIN (6 à 9 chiffres). Ce PIN protège l’accès physique au Keystone, pas la seed (la seed est protégée cryptographiquement). Note-le séparément, pas avec la seed.
À ce stade, ton Keystone contient une wallet Monero. La seed n’a jamais quitté l’appareil.
Étape 4 : appairage avec Cake Wallet
Sur ton téléphone, dans Cake Wallet :
- Add wallet → Restore from hardware wallet (ou équivalent dans la version récente, le menu peut s’appeler Connect hardware).
- Sélectionne Keystone.
- Cake t’affiche un QR ou te demande d’en scanner un depuis le Keystone.
- Sur le Keystone : menu Connect to wallet → Cake Wallet → le Keystone affiche un QR contenant la public view key + adresse principale Monero (pas la spend key, qui ne quitte jamais le Keystone).
- Scanne ce QR avec Cake.
- Cake importe le wallet en mode “watch + signature externe” : il voit le solde, génère des subaddresses, prépare les transactions, mais toute signature doit être confirmée sur le Keystone.
Le wallet est appairé. Synchronisation initiale : compte 5-30 minutes selon la restore height (Polyseed accélère ça automatiquement).
Étape 5 : test du flow complet
Avant d’envoyer un montant significatif, teste le flow avec un petit montant :
- Sur Cake : copie ta nouvelle adresse principale (ou une subaddress) et envoie 5-10€ équivalent XMR depuis un wallet existant.
- Vérifie que Cake voit le paiement arriver et que le solde se met à jour.
- Sur Cake : Send → adresse de test (peut être une autre subaddress du même wallet, ou un ami). Cake prépare la transaction non signée et affiche un QR.
- Sur le Keystone : menu Sign transaction. Scanne le QR de Cake avec la caméra du Keystone.
- Le Keystone affiche les détails de la transaction (destination, montant, fees). Vérifie ces détails sur l’écran du Keystone, pas sur Cake — c’est le seul écran qui n’a pas pu être altéré par un éventuel malware téléphone.
- Si OK, valide sur le Keystone. Le Keystone affiche un QR contenant la signature.
- Scanne ce QR avec Cake.
- Cake diffuse la transaction signée sur le réseau Monero.
Confirmation côté blockchain : 10 confirmations ≈ 20 minutes.
Étape 6 : sauvegarde de la seed
Une fois le test réussi, avant d’y mettre des montants sérieux :
- Test de restauration : éteins le Keystone, remets-le à zéro (Reset wallet), puis recrée le wallet depuis ta seed. Vérifie que tu retrouves la même adresse principale et le même solde. Si la restauration échoue, tu as mal noté la seed. Refais l’étape 3 jusqu’à ce que la restauration passe.
- Sauvegarde papier : range le papier hors de chez toi (banque, autre logement, coffre). Idéalement à deux endroits différents (l’un = lieu principal, l’autre = secondary).
- Sauvegarde métal (recommandé pour montants >5000€) : grave ou frappe les mots sur une plaque acier inox. Survie au feu et à l’eau, contrairement au papier.
OPSEC permanente
- Le Keystone reste éteint la majorité du temps, dans un endroit non visible.
- PIN différent du PIN de ton téléphone et de ta carte bancaire.
- Mises à jour firmware : applique-les dès qu’elles sortent, après vérification du SHA256. Les correctifs de sécurité peuvent être critiques.
- Reset si tu vends / donnes le Keystone : la seed peut être extraite ; reset wipe le secure element. Mais préfère ne jamais revendre un hardware wallet utilisé.
- Sauvegarde séparée de PIN et seed : ils ne doivent jamais être au même endroit physique.
En résumé
| Étape | Action | Durée |
|---|---|---|
| 1 | Déballer + vérifier sticker tamper-evident | 5 min |
| 2 | Mettre à jour firmware vers 2.4.0+ | 10 min |
| 3 | Générer seed Monero (Polyseed 16 mots recommandé) | 10 min |
| 4 | Appairer avec Cake Wallet via QR | 5 min |
| 5 | Tester avec petit montant (envoi/réception) | 30 min (incl. confirmations) |
| 6 | Sauvegarde papier + test de restauration | 10 min |
Une heure tranquille au total. Une fois fait, c’est ton setup pour des années.
Sources : keyst.one, docs.cakewallet.com, repo KeystoneHQ/keystone3-firmware, annonce Keystone sur le support Monero natif.
● profils liés