Mots de passe physiques

Il restera de toutes façons le point central : les clefs, les mots de passe, les identifiants. Je ne peux pas laisser un document avec tout ça, ni sous forme de papier ni sous forme informatique, ni chez moi ni chez d’autres.

Que se passe-t-il le jour où je ne suis plus là ? (cache)

Frédéric propose sur Twitter d’utilise une Blockchain (cache) pour cela. Il faudrait que j’écrive là-dessus mais j’ai trop d’autres réflexions en attente. Ce à quoi Éric répond avec des besoins plus détaillés que je reproduis ici :

  1. Les proches qui peuvent débloquer mes données après ma disparition n’ont pas de copie en clair. Avoir confiance dans la sécurité de mon propre stockage est déjà assez difficile, le principe par défaut doit être le chiffrement : stocker un fichier texte avec des mots de passe en clair ne me parait pas viable.

  2. Aucun site centralisé ne contient ni n’accèdent à mes données d’une façon qui pourrait être déchiffrable aujourd’hui ou à l’avenir. Ça entraîne probablement l’idée de ne pas faire confiance à la cryptographie avancée, au cas où on découvre un jour des failles dans les algorithmes ou dans les logiciels. On parle de le garantir sur des décennies. Le seul chiffrement qui me semble correspondre à cette demande est à priori le one time pad

  3. La procédure est simple à mettre en œuvre pour les proches. Je peux demander d’avoir un minimum de compréhension de l’informatique, pas d’être un ingénieur en informatique.

  4. La procédure et les formats sont suffisamment pérennes pour pour être utilisables et lisibles par l’informatique telle qu’elle sera dans des décennies – et ça exclu probablement tout format ou tout mécanisme avancé qui n’existait pas déjà il y a 20 ans.

  5. Un proche unique ne peut déclencher la procédure et accéder aux données seul, il faut qu’ils soient plusieurs (nombre à définir mais au moins 2)

  6. Quelque chose me demande une preuve de vie de façon récurrente et peut notifier les proches identifiés si je ne réponds pas au bout d’un certain temps, pour les informer du problème et leur rappeler la procédure possible

  7. Quelque chose va s’assurer régulièrement que les proches identifiés sont toujours joignables et ont toujours la capacité de déclencher la procédure – ils ont toujours les données, clefs ou mots de passe dont ils ont besoin, ils savent toujours s’en servir, etc. – et peut me notifier si ce n’est pas le cas

  8. Je peux mettre à jour les données – changer ou ajouter une information – sans que cette mise à jour ne demande d’action pénible par mes proches

  9. Toute la procédure est résiliente à la disparition d’un ou plusieurs des proches identifiés initialement (nombre à définir, au moins 1)

  10. Si la procédure utilise un service tiers, la disparition de ce service et des données qu’il stocke ne fait pas tomber la capacité d’accéder aux données (quitte à ce que ce soit plus complexe)

  11. Pouvoir déterminer arbitrairement X et Y dans “pour débloquer les données il faut l’accord de X personnes parmi les Y chargés de la transmission”

C’est un sujet qui m’a fait réfléchir aussi et avec les contraintes énoncées je pense que la solution est technique ET physique. Il existe de telles solutions pour geeks (cache) mais c’est encore trop complexe pour un contexte familial. Et puis il y a des solutions comme la QwertyCard qui me semblent répondre à la problématique (il est possible de les générer soi-même et de manière locale ), elles combinent :

  1. Un préfixe unique et aléatoire propre à la carte produite
  2. Un mot de passe personnel
  3. Une table de conversion pour avoir une partie propre au service

Il faut donc être en possession de la carte et du mot de passe personnel pour pouvoir recomposer un mot de passe complet. En donnant le mot de passe personnel (2) à une personne et la partie du service que je convertie (3) au second de mes légataires je ne leurs permet pas de se connecter pour autant avant d’être en possession de la carte et d’être réunis. Ce n’est pas sans failles mais ça réduit drastiquement la complexité du processus et ça répond à presque tous les besoins d’Éric. Il est possible de tester le système régulièrement en changeant ensuite les accès par la modification de (2) et (3).

Il reste la problématique de la documentation à jour que je n’ai toujours pas résolue. Pour la pérennité des données en elles-mêmes, je ne vois pas d’autre solution que d’utiliser des standards ouverts et de les mettre à jour en suivant l’avancée technique dans le domaine. C’est fastidieux mais c’est de toute façon nécessaire, même de son vivant…

Un lecteur me signale le partage de clé secrète de Shamir qu’il a découvert dans cet article sur la potentielle perte de mémoire (cache).