Aide et guidesSécurité du compte › Détection brute force et auto-block

Détection brute force et auto-block

3 min de lecture · Sécurité du compte

Un attaquant peut essayer beaucoup de mots de passe en une minute. C'est pourquoi ePulz.io combine deux protections : une limite du nombre de tentatives de connexion, qui rejette temporairement les tentatives suivantes, et une alerte pour l'administrateur lorsqu'un nombre anormalement élevé de tentatives échouées provient d'une seule adresse IP. Les deux protections sont activées automatiquement pour chaque compte, vous n'avez rien à configurer.

Limite du nombre de tentatives de connexion

Le formulaire de connexion est protégé par deux limites indépendantes. Une fois dépassées, le serveur renvoie une réponse HTTP 429 et rejette temporairement les tentatives suivantes :

  • Par adresse IP : au maximum 20 tentatives de connexion par tranche de 15 minutes depuis une même IP. Une fois dépassé, les tentatives suivantes depuis cette adresse sont temporairement rejetées.
  • Par compte (e-mail) : au maximum 10 tentatives par tranche de 30 minutes pour la même adresse e-mail, même lorsque l'attaque provient de plusieurs adresses IP. Cette limite empêche une attaque distribuée contre un compte précis.

Après une connexion réussie, le compteur pour cette adresse e-mail est remis à zéro.

Alerte pour l'administrateur

Indépendamment des limites : si une seule adresse IP génère 10 tentatives échouées ou plus en 15 minutes, l'administrateur reçoit une alerte via Telegram (répétée au maximum une fois par heure pour la même IP). Cela permet de détecter rapidement une attaque ciblée.

Ce que voit l'utilisateur lorsque la limite est dépassée

Une fois la limite dépassée, un avertissement s'affiche indiquant qu'il y a eu trop de tentatives et qu'il faut attendre un certain nombre de minutes. Le lien "Mot de passe oublié" reste disponible, de sorte qu'un utilisateur légitime a toujours un moyen de revenir à son compte - la récupération du mot de passe par e-mail fonctionne même pendant la restriction temporaire.

Aperçu des connexions (login audit)

Un aperçu détaillé des tentatives de connexion n'est disponible que pour l'administrateur dans le panneau d'administration (Admin -> Connexions, /admin/login-audit). Il affiche au maximum les 500 tentatives les plus récentes, réussies et échouées. Pour chaque enregistrement, vous voyez :

  • l'heure, l'e-mail, l'adresse IP avec le drapeau du pays et des informations sur le navigateur,
  • l'état (OK / FAIL) et la raison : ok, mauvais mot de passe (invalid_credentials), limite dépassée (rate_limited, rate_limited_email), e-mail non vérifié (unverified),
  • une section distincte avec les principales adresses IP d'où proviennent le plus de tentatives échouées.

En cliquant sur une IP dans la liste, vous filtrez toutes les tentatives provenant de la même adresse.

Ce que vous pouvez faire pour la sécurité du compte

La protection fonctionne automatiquement, vous n'avez pas à la configurer ni à y réagir. Pour plus de tranquillité, nous recommandons d'activer l'authentification à deux facteurs (2FA) et de vérifier de temps en temps les appareils de confiance dans la section Paramètres -> Compte.

Si vous vous êtes bloqué par erreur

  • Le plus simple est d'attendre le temps indiqué - la restriction se lève d'elle-même une fois la fenêtre écoulée.
  • Si vous avez besoin d'un accès immédiat, utilisez Mot de passe oublié. La récupération du mot de passe par e-mail fonctionne même pendant la restriction temporaire.
  • En cas de problème persistant, contactez-nous via le support - nous vous aiderons après vérification de votre identité.
Ce guide vous a-t-il été utile ?
Suivant →
GeoIP - pays logins et visiteurs