VIGIL MESH

Documentation

Network lock et récupération

Le network lock protège un réseau VIGIL-MESH contre les changements sensibles décidés seul ou par erreur : il impose un quorum k-parmi-n avant qu'un changement critique ne prenne effet. Et parce qu'un verrou n'a de valeur que si l'on peut le rouvrir, le kit de récupération est généré entièrement dans le navigateur : le serveur ne voit jamais un seul octet des clés de secours.

Le verrouillage k-parmi-n

Le network lock place les changements sensibles d'un réseau sous quorum : un changement critique ne s'applique que si k approbations sur n détenteurs de clés sont réunies. Aucune personne seule ne peut, à elle seule, modifier ce qui met le réseau en danger — il faut l'accord d'un quorum.

L'intérêt est double. D'abord contre l'erreur : un geste malheureux d'un administrateur n'a pas d'effet tant que le quorum n'a pas confirmé. Ensuite contre la compromission d'un seul compte : prendre le contrôle d'un administrateur ne suffit pas à franchir le lock, puisqu'il manque encore k-1 approbations indépendantes. On répartit ainsi la confiance au lieu de la concentrer sur un seul détenteur.

Le kit de récupération

Un verrou n'a de sens que si l'on garde le moyen de le rouvrir en cas de perte d'accès. C'est le rôle du kit de récupération. Le point essentiel : ce kit est généré entièrement dans le navigateur, via l'API WebCrypto. Les clés de secours naissent, existent et restent côté client — le serveur ne voit jamais un seul octet de ces clés.

  1. 1
    Génération localeLe navigateur produit les clés de secours via WebCrypto. Rien de secret ne transite vers le serveur pendant cette étape.
  2. 2
    Remise à l'utilisateurLe kit est présenté pour être sauvegardé par vos soins. C'est le seul moment où vous détenez les clés de secours en clair.
  3. 3
    Conservation hors ligneVous stockez le kit hors ligne, à l'abri. Le serveur, lui, ne conserve que ce qui est nécessaire pour vérifier une récupération, jamais les clés de secours elles-mêmes.

La conséquence de ce modèle est directe : la compromission du serveur ne livre pas les clés de secours, puisqu'il ne les a jamais vues. En contrepartie, la responsabilité du kit vous revient : perdre le kit sans autre voie de récupération peut signifier perdre définitivement la capacité de rouvrir le lock. Ce n'est pas un défaut, c'est le prix d'un serveur qui reste aveugle.

Bonnes pratiques

  • Conservez le kit de récupération hors ligne, sur un support qui n'est pas exposé au réseau.
  • Gardez au moins une copie de secours dans un lieu physiquement distinct, pour survivre à la perte d'un support.
  • Ne collez jamais le contenu du kit dans un service en ligne, un gestionnaire de tickets ou une messagerie : cela reviendrait à confier au réseau ce que le navigateur a justement gardé hors de sa portée.
  • Répartissez les rôles de détenteurs de clés du lock entre des personnes distinctes, pour que le quorum k-parmi-n ait un sens réel.
  • Réexaminez périodiquement la liste des détenteurs (départs, changements de rôle) afin qu'un quorum reste atteignable sans être trop concentré.
Lire ensuiteMFA et opérations sensibles

In English

The network lock puts a network's sensitive changes behind a k-of-n quorum: a critical change only takes effect once k of the n key holders approve, so no single account can push it through alone.

The recovery kit is generated entirely in the browser via WebCrypto. The backup keys are born and stay client-side — the server never sees a single byte of them.

That means a server compromise cannot leak the backup keys, but it also makes the kit your responsibility: keep it offline, keep a copy in a separate location, and never paste it into any online service.