Tous les articles

8 min de lecture

Mode ordinateur public : utiliser CardanoWall sur un appareil partagé

Le mode ordinateur public empêche CardanoWall d'écrire des données d'identité dans le navigateur : un appareil partagé ne conserve ainsi aucune trace après votre départ. Il ne rend pas pour autant sûre une machine compromise pendant que vous êtes connecté.

Vous pouvez utiliser CardanoWall sur un ordinateur emprunté ou partagé, et le mode ordinateur public rend cet usage plus sûr — mais sur un seul point précis. Ce mode empêche l'application d'écrire quoi que ce soit lié à votre identité dans le navigateur : une fois parti, vous ne laissez aucune trace de votre session sur la machine. Ce qu'il ne peut pas faire, c'est vous protéger tant que vous êtes connecté. Si l'appareil est compromis, le mode ordinateur public n'y change rien.

La règle est donc simple : considérez un ordinateur partagé comme plus risqué, activez le mode ordinateur public, et ne collez jamais une graine de grande valeur dans un appareil que vous ne contrôlez pas.

Qu'est-ce que le mode ordinateur public ?

C'est un mode de navigateur limité à la session et à faible persistance, que vous pouvez activer au déverrouillage ou lors de la création d'une identité.

Lorsque l'appareil ne vous appartient pas, vous ne voulez pas que CardanoWall laisse derrière lui un état lié à l'identité pour la personne suivante. Le mode ordinateur public est l'interrupteur explicite pour cela. Il est conçu pour des situations comme :

  • l'ordinateur d'une bibliothèque ou d'un centre d'affaires d'hôtel ;
  • la machine d'un espace de coworking ou d'une conférence ;
  • un poste de travail partagé en salle de rédaction ;
  • un ordinateur portable emprunté ;
  • un appareil géré par une organisation à laquelle vous ne faites pas pleinement confiance.

L'interrupteur lui-même n'est délibérément enregistré nulle part. Conserver l'information « je suis sur un ordinateur public » constituerait une écriture dans le stockage du navigateur — précisément ce que ce mode vise à éviter — et, sur une machine partagée, un rechargement doit toujours revenir au comportement sûr par défaut, c'est-à-dire reposer la question.

Qu'est-ce que le mode ordinateur public modifie ?

Il désactive toute écriture liée à l'identité dans le stockage du navigateur.

Sur un appareil qui vous appartient et auquel vous faites confiance, CardanoWall met en cache certaines données pratiques et non secrètes pour fluidifier les sessions futures. Il peut conserver une copie de votre coffre chiffré dans le navigateur, afin qu'un rechargement ne nécessite qu'une seule pression sur un passkey plutôt qu'une récupération réseau, et il peut conserver des métadonnées de configuration non secrètes pendant l'intégration, afin qu'un rechargement accidentel n'interrompe pas le parcours. Point important : la copie du coffre dans le navigateur est le même texte chiffré que celui détenu par le serveur — chiffré avec age et ouvrable uniquement par vos passkeys — et non une copie en clair de votre graine.

En mode ordinateur public, tous ces chemins sont supprimés : aucun cache de coffre mémorisé, aucun raccourci de déverrouillage local, aucune version épinglée et aucun miroir de métadonnées d'intégration. Le garde-fou se situe à chaque point de passage du stockage, de sorte qu'aucune partie de l'application ne puisse accidentellement écrire ce que le mode est censé retenir.

Ce qui subsiste, c'est l'état de déverrouillage en mémoire. Pendant que vous êtes connecté, votre graine et les clés qui en sont dérivées ne vivent qu'en mémoire de session. Elles survivent à la navigation au sein de l'application pendant toute la durée de vie de l'onglet ; verrouiller ou se déconnecter les efface au mieux, et fermer l'onglet ou recharger démonte entièrement la page. L'objectif est de ne rien laisser derrière soi. Pour un aperçu plus complet de ce que le navigateur conserve ou non, consultez ce que CardanoWall stocke dans le navigateur.

Qu'est-ce que le mode ordinateur public ne modifie pas ?

Il ne rend pas digne de confiance un ordinateur qui ne l'est pas.

C'est le point le plus important. Un script malveillant dans votre session active — provenant d'une extension de navigateur hostile, d'une faille de cross-site scripting stockée sur la page, d'un enregistreur de frappe ou d'un logiciel d'accès à distance — peut lire ce que vous tapez et ce que l'application détient en mémoire tant que vous êtes déverrouillé. Cela inclut votre graine d'identité si vous la collez, ainsi que vos clés privées tant que l'identité est active.

CardanoWall réduit ce risque grâce à une politique de sécurité du contenu stricte, à un minimum de scripts, et à une règle selon laquelle le déverrouillage et le déchiffrement n'ont lieu que sur une action explicite de votre part — jamais automatiquement. Ces mesures diminuent les probabilités, mais elles ne peuvent pas neutraliser un attaquant qui exécute déjà du code dans votre session. C'est une limite inhérente à toute cryptographie diffusée par le navigateur, et non une lacune propre à CardanoWall. Le mode ordinateur public réduit ce qui est laissé derrière soi ; il ne déjoue pas une compromission active.

Dois-je coller ma graine d'identité sur un ordinateur public ?

Uniquement si l'exposition est acceptable — et pour une identité de grande valeur, la réponse honnête est non.

La graine d'identité est la racine de votre identité Label 309. Quiconque la capture peut signer en votre nom et déchiffrer tout record scellé adressé à cette identité, passé comme futur. La saisir dans un appareil que vous ne contrôlez pas est donc une décision sérieuse, pas un geste anodin.

Pour une identité de faible valeur ou un véritable accès d'urgence, vous pouvez accepter ce risque le temps d'une courte session. Pour tout ce qui compte, utilisez votre propre appareil de confiance. Le mode ordinateur public vaut mieux que le mode normal sur une machine partagée, mais il ne supprime en rien le danger fondamental que représente la saisie d'un secret dans un ordinateur qui ne vous appartient pas.

Et les passkeys sur un appareil partagé ?

Cela dépend de la disponibilité du passkey sur l'appareil — et même alors, le risque lié à l'appareil ne disparaît pas.

Si votre passkey synchronisé parvient à l'appareil via votre propre compte de fournisseur de passkeys, vous pourrez peut-être déverrouiller sans coller la graine du tout, ce qui élimine l'exposition liée à sa saisie. C'est une véritable amélioration. Mais la session déverrouillée détient toujours vos clés privées dérivées en mémoire, et l'appareil peut rester non fiable. Un environnement local hostile peut simplement viser la session active plutôt que la graine que vous n'avez jamais tapée.

Les passkeys synchronisés héritent par ailleurs du modèle de sécurité et de récupération de celui qui les fournit, tandis qu'une clé matérielle implique d'autres compromis ; passkeys synchronisés ou clés matérielles traite de ce choix. Dans tous les cas, pour les identités sensibles, ne déverrouillez que sur un appareil que vous contrôlez. Pour en savoir plus sur la façon dont les passkeys protègent le coffre : comment les passkeys protègent votre coffre d'identité.

Quand le mode ordinateur public est-il réellement utile ?

Il est surtout utile pour des tâches à faible enjeu, où le but est simplement de ne rien laisser derrière soi.

Parmi les bons cas d'usage :

  • ouvrir et consulter un lien de preuve ;
  • consulter des métadonnées de preuve publiques, inscrites sur la chaîne ;
  • vérifier localement l'empreinte d'un fichier non sensible ;
  • lire des informations de compte non sensibles ;
  • une courte session avec une identité délibérément à faible risque ;
  • un accès d'urgence lorsqu'aucun appareil de confiance n'est à portée de main.

Il convient mal à tout ce qui expose des secrets ou apporte des changements durables :

  • révéler une graine d'identité ;
  • déchiffrer des records scellés sensibles ;
  • signer des records qui comptent ;
  • gérer des identités partagées ou d'équipe ;
  • ajouter des passkeys ;
  • modifier les paramètres de récupération ou de sécurité.

Que dois-je faire avant de quitter un ordinateur partagé ?

Mettre délibérément fin à la session plutôt que de simplement rabattre l'écran.

Avant de partir :

  • verrouillez l'identité ;
  • déconnectez-vous ;
  • fermez l'onglet et la fenêtre du navigateur ;
  • évitez de télécharger des fichiers déchiffrés, et supprimez ceux que vous auriez créés ;
  • videz le presse-papiers si vous y avez copié un secret ;
  • ne laissez pas le navigateur enregistrer de mots de passe ni de passkeys sur l'appareil.

Une fenêtre privée ou de navigation incognito constitue une couche supplémentaire utile, car elle abandonne son propre stockage à la fermeture ; mais ne la confondez pas avec une barrière de sécurité contre les logiciels malveillants — elle n'en est pas une.

Et si j'ai déjà utilisé un appareil à risque ?

Déterminez si votre graine a pu être exposée, et réagissez à cela, non à une inquiétude floue.

Si vous n'avez fait que consulter des records publics, il n'y a généralement pas grand-chose à faire. Mais si vous avez déverrouillé une identité, collé ou révélé une graine, ou déchiffré des fichiers sensibles sur un appareil dont vous ne pouvez pas répondre, prenez cette possibilité au sérieux.

Si vous ne pouvez pas exclure une exposition de la graine, considérez l'identité comme compromise. Il n'existe aucune réinitialisation pour une graine divulguée — la réponse consiste à passer à une nouvelle :

  • créez une nouvelle identité ;
  • publiez et partagez les nouvelles clés publiques hors bande ;
  • désactivez l'ancienne identité dans CardanoWall ;
  • cessez d'utiliser les anciennes adresses de réception ;
  • lorsque cela aide, publiez un record de remplacement qui pointe vers la nouvelle identité.

Notez l'asymétrie : retirer un passkey rechiffre votre coffre vers les facteurs restants et supprime l'ancien texte chiffré, de sorte qu'un passkey retiré ne peut plus ouvrir le coffre actuel — mais cela n'aide que si la graine elle-même n'a jamais été exposée. Une graine divulguée est une compromission totale, que le retrait d'un passkey n'annule pas. Les mécanismes de retrait d'une identité sont décrits dans identités actives, désactivées et supprimées.

En résumé

Le mode ordinateur public fait bien une seule chose : il empêche CardanoWall de laisser un état lié à l'identité dans le navigateur, sur un appareil qui ne vous appartient pas. Activez-le pour les ordinateurs partagés. Ne le confondez pas avec une protection contre une machine déjà compromise.

Si l'identité compte, utilisez un appareil de confiance. Et la session la plus sûre sur un ordinateur partagé reste celle où vous ne collez jamais votre graine et ne déverrouillez jamais une identité de grande valeur. Pour la question plus large de ce que le service peut et ne peut pas observer, consultez ce que CardanoWall peut voir.

Pour aller plus loin

securitybrowser-securitycardanowall-guides