J’ai déjà parlé de testament numérique une ou deux fois ici. J’ai déjà vue une amie devoir appeler à l’aide pour se récupérer pas à pas une maigre partie de la vie numérique à la disparition de son mari.
On trouve toujours une solution à tout ce qui est administratif mais ça peut être une difficulté supplémentaire à un moment qui n’est déjà pas le plus simple.
À la maison c’est tout le reste qui risque de poser problème. On parle de toute la paperasse numérisée ou de tout l’historique de 15 ans de photos. J’utilise des mots de passe complexes, différents à chaque fois, et je chiffre tous mes disques. Autant dire que si je pars tout deviendra assez rapidement illisible malgré les meilleurs efforts de mes amis.
Je ne vois pas d’autres solutions que de laisser le double de mes clefs au crochet avant de partir.
La solution elle est connue depuis longtemps, j’avais déjà parlé du principe du secret de Shamir il y a quelques années mais j’ai procrastiné. Ce n’est jamais le bon moment pour penser à la mort.
J’ai pris mon courage à deux mains, je vous propose ce qui est en cours, en espérant l’enrichir par vos commentaires ou aider quelques autres personnes à faire leur propre chemin.
Le secret de shamir
Le principe est assez simple. C’est un calcul mathématique qui permet de diviser un secret en plusieurs parties. Chaque partie est illisible indépendamment mais permet de reconstituer le secret initial si on en met un certain nombre ensemble.
Je peux par exemple dire « je divise ce secret en cinq parties qui seront chacune détenue par des personnes différentes, pour reconstituer le secret initial il faudra la collaboration d’au moins trois personnes sur les cinq ».
Il y a plusieurs logiciels pour cela. La vraie contrainte est d’en trouver un qui sera utilisable dans 5 ou 10 ans. Je suis parti sur ssss de B. Poettering : Le logiciel a déjà 12 ans, open source, présent sur les différentes distributions Linux, et a quelques fork visibles. La durabilité semble acquise. J’avais hésité avec libgfshare qui partage à peu près les mêmes caractéristiques de vie.
Les destinataires
Les nombres de trois et cinq dans mon exemple précédent sont des choix arbitraires. Trois c’est permettre d’avoir assez de résistance pour que le secret ne fuite pas trop facilement, que ce soit par malveillance, par la tromperie d’un tiers, ou simplement par négligence. Cinq c’est le minimum pour permettre d’avoir au moins deux personnes injoignables le jour où on en a besoin.
Plus de cinq n’est pas si simple : Il faut des gens en qui j’ai totale confiance au point de leur laisser les clefs de ma vie numérique, qui ne vont pas en faire mauvais usage, qui ne vont pas laisser d’autres en faire mauvais usage, qui ne vont pas laisser trainer leur secret par négligence mais qui vont en assurer la pérennité sur potentiellement des années. Au delà, il faut idéalement des gens que connait bien ma femme pour que prendre contact ne soit pas une difficulté supplémentaire au mauvais moment, et qu’ils soient suffisamment au fait des questions technologiques pour que leur aide ne se limite pas à « tiens, j’ai un papier à te donner » mais soit plus proche de « prends soin de toi, on s’occupe de tout ». Et puis j’aimerais éviter de faire porter ce poids à cinquante amis.
En ce moment je les contacte pour leur demander leur accord. C’est quand je vois les réponses positives que je me rends compte que j’ai choisi les bons.
Le secret
Impossible de lister les centaines de mots de passe et comptes que je peux avoir partout. Même en limitant à ce qui est important, je crains que les mots de passe ne changent d’ici à ce que ça serve, ou qu’il y en ait de nouveaux.
Je vais laisser le mot de passe de ma boite email, de mon poste de travail, du serveur NAS avec toutes les photos, de mon espace de sauvegarde et quelques autres trucs du genre mais c’est plus pour avoir ceinture et bretelles.
L’idée c’est surtout que je partage le mot de passe et les identifiants de connexion de mon gestionnaire de mots de passe. Normalement tout est faisable à partir de là. Aujourd’hui c’est du Bitwarden. Je ne sais pas si la société est vraiment pérenne mais le code est open source et il y a déjà des clones, donc j’ai bon espoir de ne pas avoir à renvoyer un nouveau secret vers un autre système dans six mois.
C’est aussi dans Bitwarden que je peux laisser une note avec tout ce que je veux dedans comme informations et procédures, et la mettre à jour quand je veux sans savoir à générer et envoyer un nouveau secret à tout le monde.
Le document
Le secret lui même est donc très court, juste quelques mots de passe. Il n’est de toutes façons pas possible d’aller au delà de 1024 caractères ASCII avec ssss.
Je compte mettre ça dans un beau document PDF A4 que mes destinataires peuvent à la fois garder dans leurs archives numériques et imprimer pour leurs archives papier plus durables (même les geeks foirent leurs sauvegardes numériques).
Dans ma tête je me dis qu’il faudra joindre les amis formellement une fois par an pour leur demander de vérifier qu’ils n’ont pas perdu leur propre partie du secret et voir s’ils ont changé de coordonnées. En pratique je ne sais pas si je ferais ça aussi sérieusement qu’il le faudrait, donc je considère que le document doit tout contenir.
Au delà de leur partie du secret, ce document récapitule un peu tout ça : À quoi ça sert, quels sont les autres destinataires à joindre et à quelles coordonnées (email, téléphone, adresse postale, éventuellement adresses électroniques), mais aussi comment reconstituer le secret original (nom et adresse du logiciel, procédure) et ce que j’attends d’eux.
Un peu d’aide
Ce billet est déjà trop long. Je vous proposerai peut-être une suite avec le texte exact du document en question, pour aider les suivants à faire le leur.
Entre temps je veux bien vos commentaires pour avancer, ou quelques détails sur ce que vous avez mis en place de votre côté.
4 réponses à “Laisser les clefs en partant”
Merci de prendre le temps d’expliquer ta démarche, ça me trotte dans la tête depuis quelques mois. J’ai commencé à écrire certaines instructions, des mots gentils, mis un keepassx avec les binaires Windows, Mac, Linux qui contient les mots de passe principaux (ceux par cœur) : disques durs luks, compte principal et la clef de mon keepassx. J’y ai mis une copie daté de ce keepassx.
Il me reste plus que l’étape choisir sur combien de personnes et à qui le distribuer. Je n’ai pas encore réfléchi aux instructions à remettre mais je pensais dire si tu apprends que je ne suis plus là contacte telle personne. Et pour chaque personne je ne donne que un ou deux contacts comme cela personne ne connait l’ensemble des personnes nécessaires.
J’attends de voir comment tu envisages la suite avec grand intérêt.
Pour la liste des personnes j’ai pris l’option inverse. Je dis à tous les gens de la liste qui d’autres il y a. Je donne même le maximum de coordonnées sur chaque personne, et tout ça est inscrit sur le document que je vais leur remettre. L’idée c’est que le processus doit être le moins galère possible à mettre en œuvre le jour où il y en a besoin. Les amis et la famille auront bien d’autres sujets en tête pour ne pas avoir un emmerdement de plus à gérer. Le filtre il est au niveau des gens, de la confiance que je peux avoir en eux, pas dans le secret sur qui ils sont.
Ma femme a juste le « contacte X, Y ou Z ». Pas que je cherche à masquer la procédure mais plus parce que je ne veux pas qu’elle ait à s’en rappeler, qu’elle stresse sur quoi faire ou comment, sur où elle a pu mettre le bout de papier, etc. Sur le moment j’imagine que rien ne doit être facile, je ne veux pas en rajouter.
Dans le scénario d’une ou plusieurs personnes trop curieuses, qui voudrait récupérer le contenu, personnellement ça me gène.
Je connais plusieurs personnes qui n’aime pas les surprises dans les cadeaux, les WE surprise, … Je suis pas sûr qu’ils sauraient se tenir avec un tel secret.
Il faut que j’affine le scénario.
Là j’ai choisi 5 et 3. Ca voudrait dire que j’ai 3 personnes qui se coalisent entre-elles pour dépasser le cadre donné et violer l’intégralité de ta vie privée. Ca commence à faire beaucoup.
J’ai déjà du mal à imaginer une seule personne me trahir à ce point. Je ne préjuge pas du futur donc ça a de l’intérêt de mettre n>2, mais si à 3 je crains qu’il n’y ait violation, c’est que je n’ai pas les bonnes personnes.