Récupération de compte

Si vous perdez l'accès à votre compte, le chemin de récupération dépend de ce qu'il vous reste. La conception zero-knowledge de Keeplas signifie que le serveur ne peut pas récupérer votre Vault pour vous — mais c'est aussi pour cela que la conception tient sous attaque.

Arbre de décision

Restaurer sur un nouvel appareil

C'est le chemin le plus simple et celui que nous recommandons si votre phrase est intacte.

  1. Connectez-vous à Keeplas sur un appareil sain avec votre OTP e-mail ou WhatsApp.
  2. Choisissez Restaurer depuis la phrase de récupération.
  3. Entrez votre phrase de 24 mots. Keeplas redérive votre clé maître sur cet appareil via Argon2id et déverrouille votre Vault.
  4. Ré-établissez le déverrouillage par appareil (PIN, biométrie, ou passkey).

Votre phrase de récupération est la graine de tout. Conservez-la sur papier, dans un endroit sûr. Ne la photographiez pas, ne la stockez pas dans un gestionnaire de mots de passe que vous ne pouvez pas vérifier entièrement, et ne la recopiez dans aucun service cloud.

Initier la Récupération sociale

Si votre phrase est perdue mais que vos contacts de confiance sont joignables, la Récupération sociale est le chemin.

  1. Vos contacts de confiance sont notifiés (in-app, WhatsApp et e-mail) et on demande à chacun de confirmer qu'il ne peut pas vous joindre.
  2. Une fois qu'un quorum confirme l'injoignabilité (2 contacts par défaut), une fenêtre de grâce de 72 heures s'ouvre. Pendant la grâce, vous pouvez annuler depuis n'importe quel appareil connecté — un simple « je suis vivant » réinitialise toute la demande. Cette barrière humaine est la raison pour laquelle la récupération ne peut jamais être déclenchée silencieusement.
  3. Après l'expiration de la fenêtre de grâce, les contacts mettent en commun leurs fragments. Chaque contact ré-enveloppe sa part vers les autres avec ML-KEM-768, donc n'importe lequel d'entre eux peut rassembler la valeur de votre seuil en parts et reconstruire votre clé maître sur son propre appareil — jamais sur le serveur.
  4. Avec votre clé maître reconstruite, votre Vault peut être déverrouillé sur un appareil de confiance.

La récupération n'est donc pas instantanée : un quorum doit confirmer, une fenêtre de grâce de 72 heures doit s'écouler, et vos contacts ont aussi une vie. Au seuil 2 (par défaut), la récupération survit à un contact injoignable ; au seuil 3, les trois fragments de contacts doivent être disponibles, donc comptez en jours, pas en minutes.

Aider la récupération d'un contact

Si un contact de confiance récupère son propre Vault et que vous détenez un de ses fragments, vous recevrez une notification via WhatsApp et e-mail. Ouvrez la demande, vérifiez le contact par le canal que vous jugez fiable (un appel téléphonique convient), et autorisez depuis votre appareil.

Vous ne verrez jamais sa phrase, sa clé maître, ou le contenu de son Vault. Vous autorisez votre fragment ; les mathématiques font le reste sur son appareil.

Ce que Keeplas ne peut pas faire

Sans votre phrase de récupération ou un quorum de Récupération sociale, Keeplas ne peut pas restaurer votre Vault. C'est intentionnel et essentiel :

  • Le serveur ne détient jamais que du texte chiffré.
  • Le serveur n'a jamais vu votre phrase, votre clé maître, ou une seule clé en clair.
  • Une porte dérobée de récupération qui marcherait pour « vous, l'utilisateur légitime » marcherait aussi pour un attaquant qui prétend être vous.

C'est le compromis du zero-knowledge. La meilleure protection contre ce scénario est de configurer la Récupération sociale avant d'en avoir besoin — trois contacts dignes de confiance au seuil par défaut de 2 est une base solide. Re-vérifiez la configuration une fois par an.

Si vous revenez après une transmission d'urgence

Si une transmission Life Check s'est déjà déclenchée — vos contacts ont reconstruit la clé maître et votre Vault a été transmis — et que vous revenez ensuite, cette clé doit être considérée comme exposée. Lorsque vous vous reconnectez, Keeplas exécute une rotation de clé :

  1. Une nouvelle clé maître et une nouvelle paire de clés propriétaire sont générées sur votre appareil.
  2. Chaque élément de votre Vault est rechiffré sous les nouvelles clés, et l'accès de chaque destinataire est ré-enveloppé vers lui.
  3. L'ancien matériel de clé est retiré une fois que chaque élément a migré.

La rotation est résistante aux pannes : à chaque étape, le déverrouillage avec votre phrase de 24 mots peut toujours lire chaque élément, donc une interruption ne vous verrouille jamais dehors. Une fois terminée, tout ce que vous modifiez est scellé sous des clés que la transmission précédente n'a jamais vues. Vous voudrez ensuite redistribuer de nouveaux fragments à vos contacts de confiance pour que la récupération future utilise la nouvelle clé.