🔒 Sécurité des comptes : activation de la double authentification

Bonjour à toutes et à tous,

Ces derniers jours, des comptes membres ont été compromis suite à l’utilisation de mots de passe trop faibles ou réutilisés sur plusieurs sites. Des tiers malveillants ont ainsi pu y accéder sans autorisation.

Pour renforcer la sécurité de notre forum et protéger vos données :

Je vous recommande vivement de modifier votre mot de passe si ce n’est pas déjà fait.
La double authentification (2FA) devient obligatoire pour tous les membres.

Qu’est-ce que la double authentification (2FA) ?

La double authentification ajoute une couche de sécurité supplémentaire :
En plus de votre email et de votre mot de passe, vous devrez saisir un code temporaire généré par une application sur votre smartphone.

Voici quelques applications gratuites compatibles :

• Google Authenticator – Android / iOS
• Microsoft Authenticator – Android / iOS
• Authy – Android / iOS

Merci à toutes et à tous pour votre compréhension et votre vigilance.
La sécurité de notre communauté est une priorité !

FAQ – Questions fréquentes

Pourquoi activer la double authentification ?
Parce qu’un mot de passe seul ne suffit plus. Si quelqu’un obtient votre mot de passe, il ne pourra pas se connecter sans le code généré par votre application.

Est-ce que je dois entrer le code à chaque connexion ?
Oui, sauf si vous cochez l’option « se souvenir de cet appareil » (si disponible). Cela évite de le faire à chaque fois sur votre appareil habituel.

Et si je perds mon téléphone ?
Conservez bien les codes de secours que vous recevrez lors de l’activation. Ils permettent de récupérer l’accès à votre compte. Sinon, contactez l’administrateur du forum pour une réinitialisation manuelle.

Est-ce que cela fonctionne sans connexion Internet ?
Oui, les applications d’authentification génèrent les codes même sans réseau mobile ni Wi-Fi.

Question un peu bête mais, comment faire sur PC ?

Et remarque peut-être tout aussi bête: ce mode de connexion ne va-t-il pas limiter les moins à l’aise avec ces procédures?

@Sebastien
Bonsoir, l’idée est bonne, mais je suis désolé de dire que cela a été extrêmement mal implémenté.

Pour les utilisateurs qui utilisent un réseau social pour se connecter (discord dans mon cas), on arrive d’office sur la page de profil pour configurer le mfa sans possibilité d’aller naviguer ailleurs, jusque là ok.

Un message rouge dit que la connexion via les comptes de réseaux sociaux ne sera plus disponible par la suite, toujours ok.

Sauf que si je clique pour configurer une app MFA, on me demande mon mdp « pour s’assurer que c’est bien moi », ok sur le principe, mais quel mdp si j’utilise un réseau social pour me connecter ? il n’y en a pas, c’est le principe de déléguer à un tiers le processus de connexion.

Aucune autre possibilité mis à part le bouton « MDP oublié » qui retourne une erreur inconnue, forcément puisque le site ne connait aucune information lié à mon identité autre que ce que le site de confiance a bien voulue lui donner. Et c’est drôle d’ailleurs car dnas la phase de connexion avec discord, il est précisé que l’appli oauth utilisée par GcG a accès à notre adresse mail, donc pourquoi le reset de mdp ne fonctionne pas ?

En tout état de cause, si on utilise un des réseaux sociaux proposés pour se connecter, on ne peut-être pas configurer de MFA et notre compte est juste inutilisable.
La mep a été testée avant d’être poussée en prod / après MEP ?

Mon mail remonte bien sur mon profil mais le reset de mdp ne fonctionne pas :
« Une erreur est survenue : Vous avez fourni des paramètres invalides pour la requête : login »

PS : Évidemment j’ai du créer un second compte « classique » pour pouvoir y configurer un mfa et poster ici..

Merci à tous les 2 pour vos retours

Ce n’est pas moi qui dev le forum, il s’agit d’un software. J’ai bien compris que c’était le bordel avec le 2FA Je l’ai donc temporairement désactivé le temps de configurer correctement les paramètres.

A choisir entre sécurité des utilisateurs ou facilité d’inscription, je choisis la sécurité des utilisateurs

Bonjour,

De mon côté, j’ai eu le même souci, j’utilise la connexion via Apple pour pouvoir me connecter au forum et j’avais exactement le même problème que tu as remonté.

Ce que j’ai dû faire pour résoudre la situation tout en gardant le même compte et non pas en créant un second compte « classique ».

• Déconnexion du forum
• Réinitialisation du mot de passe en renseignant l’email qui est associé au « réseau » que vous utilisez. (Par exemple, tu utilises Discord pour te connecter et ton email associé à ton compte Discord est « test@test.com », tu vas donc utiliser l’email « test@test.com » pour réinitialiser ton mot de passe sur le forum)
• De ce fait un email avec la possibilité de réinitialiser le mot de passe sera envoyé afin de pouvoir se connecter avec le même compte qui a été créé via le réseau.

J’espère que j’ai été clair en tout cas de mon côté cela a fonctionné pour « Apple » en espérant que ça fonctionne pour vous aussi avec les autres types de connexion.

On me l’a demandé en connexion classique. Est-ce à moi de le désactiver dans mon profil ?

Yes ! Je ne peux que la rendre obligatoire ou non. Sinon, par défaut, c’est optionnel pour tous.

Je ne vois pas où le faire. Un indice ?

Préférences > Sécurité > Gérer l’authentification à 2 facteurs

authy531×572 18.1 KB

Tu n’as pas le bouton rouge ?

Non c’est bon, j’ai juste pas appliqué ce qui était demandé
Entrer « Désactiver » au lieu du code à 6 chiffres

Quand on dit que…

image818×525 18.8 KB

C’est un truc de fou. Si c’est un humain qui a posté manuellement ce message, je comprend. Si c’est un robot, c’est fou comment ils ont toujours un coup d’avance sur toutes les protections anti-robot.