Votre gestionnaire de mots de passe après la mort
Un gestionnaire de mots de passe est la clé maîtresse de votre vie numérique : un unique coffre chiffré contenant les identifiants de votre banque, de votre messagerie, de vos photos, de vos abonnements et de presque tout ce à quoi vous vous connectez. Après votre mort, cette même conception devient un unique point de défaillance. Le coffre est protégé par un mot de passe maître que, par conception, personne d'autre ne connaît et que le fournisseur lui-même ne peut récupérer. Si vous n'avez pas organisé un moyen d'y entrer, votre famille hérite d'une boîte verrouillée et d'aucune clé.
Cette page explique ce qu'il advient d'un gestionnaire de mots de passe après la mort, comment les principaux outils gèrent l'accès d'urgence et l'accès en cas de décès, et comment le configurer étape par étape. Elle aborde aussi la vérité plus difficile qui se cache en dessous : entrer dans le coffre n'est que le premier problème, et l'accès qu'il accorde n'est pas la même chose que l'autorité d'agir, ni que la personne que votre famille a perdue.
Pourquoi un coffre est différent d'un compte ordinaire
Il est utile de comprendre pourquoi un gestionnaire de mots de passe échoue si complètement au moment du décès, là où une banque ou un fournisseur de messagerie n'échoue pas. La plupart des comptes que vous possédez sont détenus par un dépositaire qui peut les lire. Une banque peut vérifier un certificat de décès et débloquer des fonds ; un fournisseur de messagerie peut, dans certains cas, accorder l'accès à un exécuteur. Le dépositaire détient les données et peut choisir de les transmettre.
Un gestionnaire de mots de passe sérieux est délibérément conçu de sorte qu'aucun dépositaire n'existe. Il utilise un chiffrement de bout en bout adossé à un mot de passe maître que le fournisseur ne voit jamais et ne peut réinitialiser. C'est la fonctionnalité que vous payez de votre vivant, parce qu'elle signifie qu'une violation des serveurs de l'entreprise n'expose rien d'exploitable. Après votre mort, elle devient le problème : il n'y a personne ayant le pouvoir de laisser entrer votre famille, parce que la conception a précisément retiré ce pouvoir à tout le monde, y compris au fournisseur. Les seuls chemins d'entrée sont ceux que vous mettez en place vous-même à l'avance.
L'accès d'urgence et l'accès en cas de décès comparés
Les principaux gestionnaires de mots de passe connaissent le problème de la clé maîtresse et la plupart proposent un moyen de désigner quelqu'un capable de récupérer votre coffre. Les mécanismes diffèrent de façons importantes, et ces différences comptent le plus au pire moment possible.
1Password ne dispose pas d'un interrupteur de décès à proprement parler. Il vous donne plutôt un Emergency Kit, un document imprimable contenant l'adresse courriel de votre compte, votre Secret Key et un espace pour inscrire votre mot de passe maître. Quiconque détient un Emergency Kit complété peut se connecter pleinement. Pour les comptes partagés et familiaux, un organisateur de famille peut aussi récupérer le compte d'un autre membre, ce qui est ce qui se rapproche le plus, chez 1Password, d'une véritable fonctionnalité de legs. Le kit est le modèle : un objet physique que vous rangez en lieu sûr, et non un transfert automatisé.
LastPass propose Emergency Access intégré au produit. Vous désignez une personne de confiance qui dispose déjà d'un compte LastPass, et vous fixez un délai d'attente. Lorsqu'elle demande l'accès, vous en êtes averti et disposez de la durée de ce délai d'attente pour refuser. Si vous ne faites rien, parce que vous êtes décédé, l'accès est accordé automatiquement à l'expiration du minuteur. Bitwarden fonctionne sur le même modèle avec sa propre fonctionnalité Emergency Access : un mandataire désigné, un délai d'attente configurable, et des droits de consultation ou de prise de contrôle du coffre une fois que la demande arrive à échéance sans intervention.
Apple emprunte une voie différente. Apple Passwords ne possède pas d'outil d'accès d'urgence autonome, mais il se trouve à l'intérieur de votre Apple Account, qui prend en charge un Legacy Contact. Vous désignez des personnes qui, après votre mort, peuvent demander l'accès aux données de votre compte en fournissant un certificat de décès et une clé d'accès générée par Apple. C'est à l'échelle du compte plutôt que spécifique à un mot de passe, et c'est encadré par un examen d'Apple plutôt que par un simple minuteur. La leçon pratique pour ces quatre outils est qu'il n'existe aucune norme unique. Deux d'entre eux automatisent l'accès au moyen d'un minuteur, l'un vous remet un objet imprimé à ranger vous-même, et l'un intègre la question dans un processus plus large de récupération de compte. Quel que soit celui que vous utilisez, vous devez en apprendre les règles précises plutôt que de supposer qu'un interrupteur de décès existe par défaut.
Every one of these tools is built on the same quiet bet: that the person you nominate is still the right person, and still reachable, on the day it matters.
Le modèle du délai d'attente, et pourquoi il existe
Le délai d'attente est le cœur de l'approche automatisée employée par LastPass et Bitwarden, et il mérite d'être compris plutôt que simplement validé d'un clic. La logique est un équilibre entre deux risques. Si l'accès était immédiat, un contact de confiance malveillant pourrait s'emparer de votre coffre alors que vous êtes vivant et en bonne santé. Si l'accès était impossible sans vous, la fonctionnalité serait inutile au moment du décès. Le délai d'attente fait la part des choses : il vous donne, à vous le titulaire vivant du compte, une fenêtre pour remarquer la demande et la refuser. Le silence est interprété comme un consentement, et après votre mort, le silence est tout ce qu'il reste.
C'est élégant, mais cela a un côté tranchant. La fenêtre ne vous protège que si vous êtes vivant pour voir la notification, ce qui signifie qu'elle dépend du fait que vous contrôliez encore la messagerie ou l'appareil vers lequel l'alerte est envoyée. Cela signifie aussi que c'est le minuteur, et non un jugement humain, qui décide de l'issue. Il n'y a pas d'exécuteur examinant la demande, pas de vérification que c'est véritablement le bon moment. La même faille structurelle apparaît pour les comptes numériques après la mort : les outils des plateformes automatisent une décision qui, dans une succession, appelle vraiment une personne dotée d'une légitimité derrière elle.
Comment configurer l'accès d'urgence, étape par étape
Quel que soit le gestionnaire que vous utilisez, la configuration suit une forme similaire. L'objectif est de le faire délibérément alors que vous êtes vivant et capable, et de noter où réside le chemin de récupération afin qu'il puisse effectivement être trouvé.
Choisissez la bonne personne. Choisissez quelqu'un en qui vous avez entièrement confiance et qui vous survivra probablement, et dites-lui que vous l'avez désigné. Un contact de confiance qui ignore qu'il en est un n'est d'aucune aide.
Dans LastPass ou Bitwarden, ouvrez Emergency Access dans les paramètres du compte, ajoutez cette personne par courriel, et choisissez des droits de consultation ou de prise de contrôle. Elle aura besoin de son propre compte gratuit pour accepter l'invitation.
Fixez un délai d'attente qui vous convient. Plus court signifie un accès plus rapide pour votre famille mais moins de temps pour vous pour intercepter une demande abusive ; plus long, c'est l'inverse. De quelques jours à une semaine est un compromis courant.
Dans 1Password, générez et imprimez votre Emergency Kit, inscrivez votre mot de passe maître à la main, et rangez-le dans un endroit physiquement sûr, comme un coffre-fort à domicile ou avec les documents de votre testament, et non dans le coffre qu'il déverrouille.
Dans Apple Passwords, ouvrez les paramètres de votre Apple Account, ajoutez un Legacy Contact, et assurez-vous qu'il reçoive et conserve la clé d'accès fournie par Apple. Sans cette clé, le certificat de décès seul ne suffit pas.
Notez où réside le chemin de récupération. Dans une unique note privée conservée avec les documents de votre succession, indiquez quel gestionnaire de mots de passe vous utilisez et comment l'accès est censé être accordé, afin que votre exécuteur sache que la porte existe et où se trouve la poignée.
Cette dernière étape est celle que la plupart des gens manquent. Une fonctionnalité d'accès d'urgence dont personne ne sait que vous l'avez configurée est fonctionnellement invisible, et votre famille ne peut pas utiliser un mécanisme dont elle n'entend jamais parler.
Les limites : l'accès n'est pas l'autorité, et l'autorité n'est pas l'identité
Configurez bien tout cela et votre famille pourra entrer dans votre coffre. C'est nécessaire, et ce n'est pas suffisant. Il existe deux failles supplémentaires qu'aucun gestionnaire de mots de passe ne comble, et elles méritent d'être nommées clairement.
Premièrement, l'accès n'est pas l'autorité. Détenir vos identifiants permet à quelqu'un d'ouvrir vos comptes ; cela ne lui confère pas la légitimité juridique d'administrer votre succession, de clôturer des comptes, de transférer de l'argent ou de prendre des décisions en votre nom. Un contact de confiance détenant votre mot de passe maître et un exécuteur muni d'un acte d'homologation sont des rôles différents, et les confondre crée exactement le genre de litige qu'un bon plan est censé prévenir. C'est pourquoi une planification sérieuse fait passer l'accès au coffre par un exécuteur numérique désigné plutôt que de simplement remettre les clés à la personne la plus proche. La même séparation importe pour les comptes financiers : le scénario de récupération concernant ce qu'il advient de votre PayPal à votre mort, ou concernant ce qu'il advient de vos cryptomonnaies à votre mort, repose sur l'autorité, et pas seulement sur un mot de passe.
Deuxièmement, l'autorité n'est pas l'identité. Même un transfert parfaitement exécuté, où la bonne personne entre au bon moment avec la bonne légitimité, transfère vos comptes. Il ne vous transfère pas, vous. Le coffre contient vos identifiants ; il ne contient pas votre façon de penser, les choses que vous croyiez, ni la voix qui manquera à votre famille. Cette partie de vous n'est pas récupérable à partir d'un mot de passe, aussi bien soit-il rangé.
Ces deux failles se cumulent. Un contact de confiance qui peut ouvrir votre coffre mais ne dispose d'aucune autorité juridique se trouve dans une position délicate et exposée, agissant sur des comptes qu'il n'a aucune légitimité formelle à toucher. Et même une fois l'accès et l'autorité réglés, la famille se retrouve avec l'étrange expérience de détenir tout ce qu'une personne utilisait et rien de la personne elle-même. Une succession numérique bien organisée résout complètement le premier problème et laisse le second entièrement intact, et c'est pourquoi elle ne peut pas constituer la totalité du plan.
A password manager protects the key. It was never designed to protect the person.
De l'accès à un véritable plan successoral
L'accès d'urgence est une fonctionnalité ; un plan successoral est un système. La différence est la gouvernance : non pas seulement le fait que quelqu'un puisse entrer, mais qui décide que le moment est venu, dans quel ordre l'accès est accordé, et en vertu de quelle autorité. Une dispersion de contacts désignés à travers quatre applications différentes, chacune avec son propre minuteur et ses propres règles, n'est pas un plan. Ce sont plusieurs fils détachés, dont l'un ou l'autre peut se rompre sans que personne ne le remarque jusqu'à ce qu'il soit trop tard.
C'est la faille qu'Executor Lock™ est conçu pour combler. Plutôt que de laisser chaque compte à son propre interrupteur de récupération improvisé, il place une structure de gouvernance unique sur l'ensemble du tableau : un modèle à trois niveaux de destinataires, un contact de confiance disposant de droits d'accès à votre mort, et un exécuteur capable de signaler votre décès et de déclencher le transfert. L'exécuteur a le dernier mot, et chaque action est consignée dans une piste d'audit permanente, en ajout seul. C'est la différence entre espérer qu'un minuteur expire correctement et disposer d'une personne désignée dotée de l'autorité d'agir quand le moment est réel.
L'accès aux mots de passe n'est qu'un chapitre de la discipline plus large de la planification successorale numérique : décider, alors que vous êtes vivant et capable, qui peut atteindre ce que vous laissez derrière vous et en vertu de quelle autorité. Votre gestionnaire de mots de passe a sa place à l'intérieur de ce plan, et non en remplacement de celui-ci.
La part de vous qu'aucun coffre ne contient
Configurez donc correctement l'accès d'urgence. Désignez quelqu'un en qui vous avez confiance, fixez un délai d'attente raisonnable, imprimez l'Emergency Kit, nommez votre Legacy Contact, et dites à votre exécuteur où réside le chemin de récupération. Bien fait, ce travail fait que votre famille ne sera pas exclue de votre vie numérique au moment où elle est le moins en mesure de venir à bout d'un mot de passe maître qu'elle ne devinera jamais.
Faites ensuite le travail distinct et plus durable. Les comptes sont récupérables avec un plan ; la personne qui se trouve derrière n'est préservée que si vous choisissez de la préserver. C'est à cela que sert la construction d'un Persona : une représentation encadrée et fondée sur le consentement de qui vous êtes, réalisée de votre vivant puis verrouillée afin qu'elle ne puisse être modifiée ni commercialisée après votre décès. Le gestionnaire de mots de passe garde la clé. Le Persona garde la personne. Vous avez besoin des deux, et un seul d'entre eux expire à l'instant où le coffre est ouvert. Build Once. Live Twice.™