Tous les articles

8 min de lecture

Que se passe-t-il si vous supprimez un passkey dans CardanoWall ?

Supprimer un passkey rechiffre votre coffre d'identité CardanoWall actuel vers les facteurs restants et supprime définitivement l'ancien texte chiffré — une révocation réelle pour l'avenir, mais qui ne peut pas annuler un accès déjà survenu.

Lorsque vous supprimez un passkey, CardanoWall rechiffre votre coffre d'identité actuel vers les facteurs qu'il vous reste, puis supprime définitivement l'ancien texte chiffré. Le passkey que vous avez retiré ne peut plus ouvrir le coffre qui existe ensuite. Voilà une révocation authentique pour les déverrouillages à venir.

En revanche, elle n'a rien de rétroactif. Si ce passkey a déjà servi à ouvrir le coffre alors qu'il était valide, sa suppression ne peut pas revenir en arrière pour effacer cet accès. Dans ce cas, vous devez considérer l'identité comme compromise, et non simplement comme « un facteur en moins ».

Cet article explique précisément ce qui change, ce qui reste identique, et dans quels cas une suppression suffit par opposition à ceux où une nouvelle identité s'impose.

Que protège réellement le passkey ?

Il protège l'accès à votre coffre d'identité hébergé — ni plus, ni moins.

Le coffre est un paquet chiffré contenant les graines d'identité que possède votre compte ainsi que les libellés privés que vous avez attribués à chacune. Chaque passkey que vous enregistrez constitue un facteur de déverrouillage pour ce paquet. Le serveur ne stocke qu'un texte chiffré qu'il ne peut pas lire ; vos passkeys sont la seule chose capable de l'ouvrir. (Pour une vue complète de la construction de ce coffre, voyez comment CardanoWall stocke votre identité et comment les passkeys protègent votre coffre d'identité.)

La distinction qui compte ici : votre identité, c'est la graine, pas le passkey. Un passkey n'est qu'un moyen pratique d'ouvrir la copie chiffrée de la graine. Le supprimer change qui peut ouvrir cette copie — il ne change pas l'identité elle-même.

Que se passe-t-il pendant la suppression ?

Le coffre est rechiffré vers les facteurs qui subsistent. La séquence est la suivante :

  1. Vous déverrouillez le coffre avec un facteur valide.
  2. CardanoWall retire le passkey sélectionné de l'ensemble des destinataires.
  3. Votre navigateur reconstruit le texte chiffré du coffre pour les facteurs restants.
  4. La ligne du coffre actuel est remplacée par le nouveau texte chiffré et un numéro de version plus élevé.
  5. L'ancien texte chiffré est supprimé définitivement.
  6. Le record de l'identifiant retiré est supprimé.

L'ordre est imposé côté serveur : un identifiant qui figure encore dans l'ensemble des destinataires du coffre ne peut pas être supprimé. La révocation doit être réelle — aucun texte chiffré que le passkey retiré peut ouvrir n'est autorisé à survivre — jamais cosmétique. Une fois l'appel terminé, le passkey retiré n'ouvre plus rien qui existe encore.

Pourquoi la suppression de l'ancien texte chiffré importe-t-elle autant ?

Parce qu'un ancien texte chiffré peut toujours être ouvert par d'anciens facteurs.

Si chaque copie historique du coffre était conservée à jamais, supprimer un passkey relèverait de la mise en scène. Le facteur retiré pourrait encore déchiffrer une version antérieure du coffre, et cette version antérieure contient exactement les mêmes graines. Vous auriez « supprimé » une clé qui fonctionne toujours sur une copie posée là, dans le stockage.

C'est pourquoi le coffre hébergé est une unique ligne courante qui est remplacée, et non un historique en ajout seul. La suppression définitive est ce qui donne du mordant au retrait d'un facteur. Des fenêtres ordinaires de rotation de sauvegardes peuvent exister dans une infrastructure réelle, mais le produit est conçu pour ne jamais conserver de texte chiffré de coffre historique en tant que fonctionnalité.

Et s'il s'agissait de mon dernier passkey ?

Alors le coffre lui-même est supprimé.

S'il ne reste aucun facteur, CardanoWall ne conserve pas un texte chiffré que rien d'enregistré ne peut ouvrir. Le compte bascule sur le parcours de saisie de la graine : vous retrouvez l'accès en collant votre graine d'identité.

C'est sans danger si vous avez sauvegardé votre graine. C'est risqué dans le cas contraire. Retirer votre dernier facteur sans graine sauvegardée peut vous bloquer hors de tout usage futur de cette identité — non pas parce que quelque chose s'est cassé, mais parce que vous avez supprimé tous les moyens d'y revenir. La graine est la véritable sauvegarde ; le coffre n'est qu'une couche de commodité posée par-dessus. (Pourquoi la graine compte toujours approfondit ce point.)

La suppression d'un passkey affecte-t-elle mes preuves publiées ?

Non. Les records Label 309 publiés restent sur la chaîne et restent vérifiables.

La validité d'une preuve ne dépend ni de vos passkeys actuels, ni de votre compte actuel, ni de l'état actuel de votre coffre. Quiconque dispose de la référence de transaction peut la vérifier à l'aide des seules métadonnées sur la chaîne, des octets du contenu si nécessaire, et d'un explorateur Cardano public — sans aucune connexion à CardanoWall. Si une preuve se vérifiait avant que vous ne supprimiez un passkey, elle se vérifie de la même façon après.

La suppression d'un passkey régit l'accès futur à votre coffre d'identité. Elle ne réécrit rien de ce qui se trouve déjà sur la chaîne.

Je viens de perdre un passkey. Que dois-je faire ?

Supprimez-le sans tarder.

Si vous avez perdu un téléphone, un ordinateur portable ou une clé de sécurité matérielle, supprimer le passkey est le premier bon réflexe. Une fois le coffre rechiffré sans ce facteur, l'appareil perdu ne peut plus ouvrir le coffre actuel.

Si vous êtes certain que le facteur perdu n'a jamais été utilisé par quelqu'un d'autre — une clé tombée derrière un bureau, un téléphone effacé avant revente — sa suppression suffit peut-être à elle seule. Aucune rotation d'identité n'est requise.

Si vous ne pouvez pas exclure que quelqu'un l'ait utilisé, poursuivez votre lecture.

Et si le passkey a peut-être été volé et utilisé ?

Prenez le risque au sérieux, et soyez précis sur ce qu'un passkey volé peut et ne peut pas faire à lui seul.

Un passkey volé n'équivaut pas, à lui seul, à une graine volée. Pour ouvrir votre coffre, un attaquant a aussi besoin du texte chiffré du coffre (qui ne circule qu'à l'intérieur d'une session authentifiée) et de la vérification d'utilisateur exigée par l'authentificateur — une donnée biométrique ou un PIN d'appareil. Un passkey à lui seul détient une clé, pas le texte chiffré qu'il déverrouille.

Mais si l'attaquant a pu utiliser le passkey avant que vous ne le supprimiez — au sein d'une session détournée, contre le coffre actif — alors il a pu ouvrir le coffre et lire votre graine d'identité. Une fois la graine exposée, l'identité est entièrement compromise : le détenteur de la graine peut dériver chaque clé privée, déchiffrer les records scellés adressés à cette identité et signer de nouveaux records sous celle-ci.

Dans ce scénario, la suppression du passkey ne suffit pas. La révocation protège le coffre pour l'avenir ; elle ne peut pas effacer l'exposition d'une graine qui a déjà fuité.

Que dois-je faire après une possible exposition de la graine ?

Passez à une nouvelle identité. La réponse à une compromission est une identité neuve, et non une réinitialisation sur place de l'ancienne — parce que la graine et l'identité sont liées entre elles de façon permanente, il n'existe pas d'opération « changer la graine ».

Si vous ne pouvez pas exclure une exposition de la graine :

  • créez une nouvelle identité et sauvegardez sa nouvelle graine d'identité ;
  • enregistrez-y de nouveaux facteurs passkey ;
  • désactivez l'identité compromise dans CardanoWall (cela bloque toute nouvelle signature et publication, tout en vous laissant déchiffrer ce qui lui a été scellé) ;
  • cessez de partager les anciennes adresses de réception ;
  • republiez vos nouvelles clés publiques partout où vous aviez publié les anciennes — profils publics, votre propre site, enregistrements DNS, .well-known et vos contacts ;
  • publiez un record de remplacement là où cela aide les lecteurs en aval.

Une graine, c'est une identité. (Active, désactivée, supprimée détaille chaque état du cycle de vie.) Notez la limite, en toute honnêteté : tout ce qui a déjà été scellé vers les clés compromises reste déchiffrable par quiconque les détient — Cardano et Arweave ne conservent aucune primitive de révocation pour un contenu déjà publié. La désactivation et un pointeur de remplacement sont des signaux destinés aux parties qui s'y fient, et non un rappel des données passées.

Qu'est-ce que l'ancrage de version, et pourquoi existe-t-il ?

C'est une défense contre un serveur qui rejouerait un coffre périmé.

La ligne du coffre porte un numéro de version qui ne fait jamais que croître. Votre navigateur retient la version la plus élevée qu'il a vue. Si un serveur compromis tentait de renvoyer un texte chiffré de coffre plus ancien — un texte qu'un passkey depuis supprimé pourrait encore ouvrir — le client peut remarquer que la version renvoyée est inférieure à celle attendue et la refuser.

C'est de la défense en profondeur, pas un substitut à la garde de la graine. Cela ferme une faille bien précise : le rejeu d'un coffre périmé contre un facteur retiré. Cela ne vous aide en rien si vous perdez d'un coup la graine et tous les facteurs de déverrouillage.

En bref

Supprimer un passkey rechiffre votre coffre d'identité actuel vers les facteurs restants et supprime définitivement l'ancien texte chiffré. Le passkey retiré ne peut plus ouvrir le coffre qui existe après la suppression.

La seule réserve : si ce facteur a pu être utilisé pendant qu'il était valide, supposez que la graine a pu être exposée et passez à une nouvelle identité. La révocation protège l'avenir. Elle ne peut pas changer le passé.

Pour aller plus loin

securitypasskeysidentity