Aide et guides ›
Sécurité du compte
› Appareils de confiance (Remember device avec 2FA)
Appareils de confiance (Remember device avec 2FA)
3 min de lecture · Sécurité du compte
Si vous avez activé l'authentification à deux facteurs (2FA) et souhaitez ignorer le code à six chiffres lors de la connexion depuis un ordinateur ou un mobile habituel, cochez "Mémoriser cet appareil". Pendant 30 jours, nous ne vous redemanderons pas le code à usage unique (TOTP).
Comment cela fonctionne
- Lors de la première connexion 2FA réussie sur cet appareil, cochez "Mémoriser cet appareil".
- Nous enregistrons dans le navigateur un jeton de sécurité aléatoire (256 bits). Sur le serveur, nous ne conservons que son empreinte (SHA-256), de sorte que le jeton ne peut être ni deviné ni déduit - un attaquant ne peut pas forger un cookie valide.
- Lors de la connexion suivante dans le même navigateur, nous retrouvons ce cookie et ignorons l'étape 2FA.
- Après 30 jours, le cookie expire et vous devrez à nouveau saisir le code à usage unique.
Gestion des appareils de confiance
Dans les Paramètres, dans la section Compte -> Appareils de confiance, vous voyez une liste :
- Le nom de l'appareil dérivé du navigateur (par exemple "Chrome sur Windows 11").
- L'adresse IP et le pays de la dernière connexion.
- La date d'ajout et de dernière utilisation.
- Un bouton Supprimer - retire immédiatement la confiance, et la prochaine connexion depuis cet appareil exigera de nouveau le code 2FA.
Quand supprimer un appareil
- Vous vous êtes connecté sur l'ordinateur de quelqu'un d'autre ou un ordinateur public (café, bibliothèque).
- Vous avez perdu ou vendu un ordinateur portable ou un mobile.
- Vous voyez dans la liste un appareil que vous ne reconnaissez pas (adresse IP inconnue, pays inconnu).
Garde-fous de sécurité
- Jeton aléatoire côté serveur : seul un jeton aléatoire de 256 bits est envoyé au navigateur, le serveur ne stocke que son empreinte SHA-256 et la compare - un attaquant ne peut pas forger un cookie valide.
- Le JavaScript n'a pas accès au cookie : protection contre le vol par un script malveillant présent sur la page.
- Uniquement via une connexion chiffrée : le cookie est envoyé exclusivement via HTTPS.
- Lié au compte : un cookie du compte A ne fonctionnera pas sur le compte B.
- Expiration automatique : après 30 jours, la 2FA est de nouveau requise.
- Lors d'un changement de mot de passe (via "Mot de passe oublié" ou une modification manuelle), tous les appareils de confiance sont supprimés automatiquement. Même si un attaquant disposait de votre ancien cookie, il ne pourra plus contourner la 2FA.
Ce guide vous a-t-il été utile ?