Aide et guidesSécurité du compte › Appareils de confiance (Remember device avec 2FA)

Appareils de confiance (Remember device avec 2FA)

3 min de lecture · Sécurité du compte

Appareils de confiance (Remember device avec 2FA)

3 min de lecture

Si vous avez activé la 2FA et souhaitez sauter le code à 6 chiffres lors de la connexion depuis un PC ou un mobile habituel, cochez "Mémoriser cet appareil" - nous ne vous redemanderons pas le TOTP pendant 30 jours.

Comment cela fonctionne

  1. Lors de la première connexion 2FA réussie sur cet appareil, cochez "Mémoriser cet appareil"
  2. Nous enregistrons dans le navigateur un cookie HTTP-only avec un jeton signé (HMAC, non manipulable)
  3. Lors de la prochaine connexion (même navigateur, même appareil), nous retrouvons ce cookie et sautons l'étape 2FA
  4. Après 30 jours, le jeton expire et vous devrez à nouveau saisir le TOTP

Gestion des appareils de confiance

Dans Paramètres -> section Sécurité -> Appareils de confiance, vous voyez la liste :

  • Nom de l'appareil (à partir du user-agent - p. ex. "Chrome sur Windows 11")
  • IP et pays de la dernière connexion
  • Date d'ajout et de dernière utilisation
  • Bouton Supprimer - retire immédiatement la confiance (le cookie sera rejeté à la prochaine requête)

Quand supprimer un appareil

  • Si vous vous êtes connecté depuis un PC étranger ou public (café, bibliothèque)
  • Si vous avez perdu / vendu votre ordinateur portable ou votre mobile
  • Si vous voyez dans la liste un appareil que vous ne reconnaissez pas (et une IP / un pays inconnus)

Garde-fous de sécurité

  • Signature HMAC : le jeton est signé avec un secret côté serveur - un attaquant ne peut pas produire un cookie valide sans casser le secret
  • HTTP-only : le JavaScript de la page ne voit pas le cookie (protection contre l'exfiltration XSS)
  • Drapeau Secure : le cookie n'est envoyé que via HTTPS
  • Par compte : le jeton contient l'ID utilisateur - un cookie volé sur le compte A ne fonctionnera pas sur le compte B
  • Expiration automatique : 30 jours de validité, puis le TOTP est de nouveau requis
  • Lors d'un changement de mot de passe (via "Mot de passe oublié" ou réinitialisation du mot de passe), tous les appareils de confiance sont automatiquement supprimés - un attaquant disposant du cookie ne pourra plus sauter la 2FA
Suivant →
Usage sécurisé des tokens API