Anglais
Allemand
Espagnol
Français
Turc
Retour aux guides
Comment fonctionne une passerelle crypto ? Le guide technique 2026
Une passerelle crypto paraît simple vue de l'extérieur (QR code, attendre le paiement) mais elle est riche sous le capot. Elle remplace le réseau carte, le processeur et le compte marchand par une blockchain, ce qui change le paysage d'ingénierie : rate locks, reorgs, politiques de confirmation, gestion des clés, off-ramp SEPA.
Ce guide parcourt le cycle complet : API de facturation, rate locking, détection mempool, politiques de confirmation, webhooks, modèles de custody, et comment des fonds on-chain deviennent des euros en banque. Écrit pour ingénieurs, product leads et fondateurs techniques en France.
Stimulez votre activité en acceptant les paiements en crypto-monnaie
Architecture haut niveau
Une passerelle crypto de production n'est pas un service, c'est une constellation avec des responsabilités claires.
Couche API
REST ou GraphQL. Factures, checkout, webhooks. Rate-limit, HMAC/OAuth.
Service pricing
Rates live, médianisation, rate lock 10 à 30 minutes.
Génération d'adresses
Chemins HD BIP-32/44 ou comptes contrat EVM. Adresse unique par facture.
Indexeur blockchain
Full nodes ou Alchemy, Infura, QuickNode. Surveille mempool et blocs.
Moteur de confirmations
Politique par actif et par montant. detected -> confirming -> completed.
Wallet et custody
Hot/warm/cold, MPC ou HSM, sweep vers wallets consolidés.
Service webhooks
Signe, délivre, rejoue avec backoff exponentiel.
Off-ramp / conversion
Exchange agréé ou OTC. Règlement SEPA/SCT Inst en J+0/J+1.
Cycle de vie d'une facture
- Créer.
POST /invoicesavec montant, devise EUR, order ID, callback. - Afficher. Redirection hébergée ou iframe. L'acheteur choisit l'actif, reçoit adresse et montant exact au taux figé.
- Détecter. Broadcast du wallet, l'indexeur capte le mempool, webhook optionnel
detected. - Confirmer. Seuil par actif. État
confirmingpuiscompleted. - Régler. Fonds disponibles. Conversion auto stablecoin ou off-ramp SEPA. Webhook
settled. - Expirer ou sous-payer.
expired,underpaid,overpaid: chemin d'exception.
Les bonnes passerelles exposent chaque transition comme un événement distinct. Les mauvaises collapsent en payé/impayé et perdent l'information.
Rate lock et pricing
Les prix crypto bougent. Entre l'affichage de « 0,0023 BTC » et le minage de la transaction, le prix peut bouger de 1 à 3 %. Quelqu'un absorbe.
| Modèle | Fonctionnement | Qui porte le risque |
|---|---|---|
| Taux figé | Passerelle fige le montant crypto 10 à 30 min. | Passerelle |
| Taux flottant | Cible en euros ; crédit à la confirmation. | Marchand |
| Tolérance variable | Taux figé avec ±1 à 2 % d'underpay accepté. | Partagé |
Les taux figés sont le défaut industriel. Les passerelles hedgent via inventaire stablecoin, rééquilibrage auto ou forwards à l'échelle. 10 à 30 minutes couvrent la distribution des temps de confirmation sur les chaînes majeures.
Mempool et politiques de confirmation
Deux jalons indépendants pilotent la machine à états. Détection mempool : la transaction est vue par les full nodes dès le broadcast ; suffisant pour un bien numérique de faible valeur sur Tron, Solana, L2. Confirmations : la transaction est minée. Un bloc peut être orphelin en cas de reorg, d'où l'attente sur chaînes probabilistes.
| Chaîne | Temps de bloc | Confirmations types | Finalité |
|---|---|---|---|
| Bitcoin | ~10 min | 3 (petit) à 6 (>10 000 EUR) | Probabiliste |
| Ethereum mainnet | ~12 s | 12 à 30 | Finalité 2 époques (~12 min) |
| Tron | ~3 s | 1 à 2 | Quasi instantanée |
| Solana | ~0,4 s | 1 (confirmed) | Confirmed commitment |
| Polygon PoS | ~2 s | 128 à 256 | Checkpoint Ethereum |
| Arbitrum / Base | ~0,25 s | 1 L2 + finalité L1 optionnelle | Quasi instantanée sur L2 |
| Lightning Network | Instantané | 0 (off-chain) | Instantanée |
La politique de confirmation est une décision de risque, pas technique. Un café n'attend pas 6 confirmations Bitcoin pour servir un latte à 5 EUR. Un concessionnaire auto, si.
Cas limites : sous-paiement, surpaiement, reorgs, mauvaise chaîne
- Sous-paiement. Oubli des frais réseau. Tolérance configurable, remboursement auto, facture ouverte pour top-up.
- Surpaiement. Crédit de l'excédent sur la commande ou remboursement auto.
- Paiement tardif. Après expiration : rejet, remboursement ou crédit au cours marché.
- Mauvaise chaîne. USDC Ethereum mainnet envoyé à une adresse Polygon. Récupération non triviale ; la widget bloque en amont.
- Reorgs. Bloc orphelin.
completedrepasse en non confirmé. Rare sur chaînes modernes mais non nul. - Transaction bloquée. Gas trop bas, RBF sur Bitcoin ou speed-up EVM.
- Dust et spam. L'indexeur ignore sous un seuil.
Demandez à chaque éditeur comment il traite ces sept cas. La maturité s'y mesure.
Webhooks, idempotence et intégration
- Événements, pas d'états.
invoice.created,payment.detected,payment.completed,payment.settled,invoice.expired,invoice.underpaid. - Payloads signés. HMAC-SHA256 avec secret partagé. Vérification avant traitement.
- Livraison at-least-once. Backoff 1s, 5s, 30s, 2min, 15min, 1h. Votre handler doit être idempotent par event_id.
- Ack rapide, traitement asynchrone. HTTP 200 en < 500 ms, queue pour le reste.
- Rejoue. Fetch par event_id pour le jour où un pare-feu mange un événement.
Ces patterns sont identiques au fiat. Les spécificités crypto sont dans les événements (confirmations, reorgs, underpayments), pas dans le modèle de livraison.
Modèles de custody et gestion des clés
Custodian
Passerelle tient les clés. Simple côté marchand, risque de contrepartie. Régulation PSAN conservation.
Non-custodian
Sweep immédiat vers un wallet contrôlé par le marchand. Pas de risque de contrepartie. Ops clés à votre charge.
Hybride / MPC
Clés partagées passerelle/marchand. Compromission d'un côté insuffisante.
- HSM pour le matériel de clé non exfiltrable.
- MPC ou multisig pour l'autorisation.
- Tiers hot / warm / cold. Hot dimensionné aux payouts court terme.
- Vélocités et plafonds. Limite le rayon d'explosion.
- Chainalysis, Elliptic, TRM Labs sur chaque adresse entrante, rejet avant crédit si sanctionné.
Off-ramp : de la blockchain au compte bancaire français
La plupart des marchands veulent des euros. Le off-ramp agrège les flux, les route par un partenaire bancaire ou un desk exchange, et émet un SEPA, SCT Inst ou SWIFT vers le compte nominé.
- Lieu de conversion. Exchanges PSAN/CASP agréés (conformité MiCA), desks OTC pour gros tickets, AMM on-chain pour non-fiat.
- Spread. 0,5 % à 1,5 % sur stablecoins, 1 % à 3 % sur volatils.
- Canaux. SEPA et SCT Inst en France (J+0), SWIFT pour non-EUR (J+1 à J+3).
- Conformité. Le off-ramp est le point où LCB-FT mord. Le marchand (entité) est KYB une fois. Les acheteurs ne sont pas KYC pour le paiement lui-même, mais le Règlement 2023/1113 (Travel Rule) impose l'échange de données au-delà de 1 000 EUR.
- Cadence payout. Temps réel par facture, sweep quotidien (le plus courant), ou à la demande.
Avec off-ramp auto, l'UX ressemble à un PSP fiat : l'argent arrive en banque. Que le client ait payé en USDC sur Tron reste un détail d'implémentation.
Passerelle technique, prête pour la France
Construite pour les équipes d'ingénierie exigeantes.
- API REST, webhooks signés, SDK.
- Sandbox à parité production.
- Off-ramp SEPA, SCT Inst, SWIFT.
- Conformité MiCA complète.
Stimulez votre activité en acceptant les paiements en crypto-monnaie
Commencer
Questions fréquemment posées
Elle génère une adresse unique par commande, surveille la blockchain, attend les confirmations configurées et notifie le marchand, en convertissant éventuellement en stablecoin ou en euros.
Non. La passerelle tourne les nœuds ou utilise Alchemy, Infura, QuickNode. Vous voyez l'API REST et les webhooks.
Remboursement auto, crédit au cours marché, ou rétention pour revue manuelle, selon la politique configurée.
Stablecoins Tron / L2 Ethereum : 1 à 2. Bitcoin : 3 sous 10 000 EUR, 6 au-delà. Ethereum mainnet : 12 à 30.
Une fois la fenêtre de reorg passée, non. Le marchand peut émettre un remboursement comme transaction sortante. Aucun tiers ne peut rétractiver.
Taux figé 10 à 30 minutes à la création de facture. La passerelle absorbe le mouvement pendant le lock.
Mempool : transaction non confirmée visible. Confirmation : transaction minée. Les passerelles utilisent le mempool pour les faibles montants sur chaînes rapides, les confirmations pour tout ce qui compte.
Selon le modèle. Custodian : oui, solde dashboard. Non-custodian : sweep direct. MPC hybride : clés partagées.
SEPA Instant : quelques minutes, 24/7. SEPA standard : même jour ou J+1. SWIFT hors euro : J+1 à J+3.
Au minimum Bitcoin, Ethereum mainnet, Tron, Solana et les principaux L2 (Polygon, Arbitrum, Base). Stablecoins USDT et USDC multi-chaînes, idéalement EURC pour l'Europe.
