Toutes les catégories
Sécurité & Accès
Débutant Mis à jour le 2026-06-29

Activer la double authentification (2FA)

La double authentification (2FA) est la mesure de sécurité la plus efficace pour protéger votre compte Boxanet contre les accès non autorisés. Même si votre mot de passe est compromis, un attaquant ne pourra pas se connecter sans le code temporaire généré par votre application. Ce guide vous accompagne pas à pas dans l'activation, l'utilisation et la gestion du 2FA.


1. Pourquoi activer le 2FA ?

Le risque réel des mots de passe seuls

Un mot de passe, aussi solide soit-il, peut être compromis de multiples façons :

  • Phishing : vous êtes trompé par un faux site et vous saisissez vos identifiants
  • Fuite de données : une autre plateforme où vous utilisez le même mot de passe est piratée
  • Bruteforce : un attaquant tente des millions de combinaisons automatiquement
  • Interception : votre connexion réseau n'est pas suffisamment sécurisée
Avec le 2FA activé, même si votre mot de passe est entre les mains d'un attaquant, il ne peut pas se connecter à votre compte Boxanet sans avoir également accès à votre téléphone.

Pourquoi c'est particulièrement important pour Boxanet

Votre compte Boxanet donne accès à des données sensibles : informations personnelles de vos clients, IBAN, contrats, historique de facturation. Un accès non autorisé pourrait :

  • Exposer des données personnelles de vos clients (violation RGPD)
  • Permettre des modifications frauduleuses de contrats ou de tarifs
  • Compromettre des informations bancaires
⚠️⚠️ Attention : La double authentification est fortement recommandée pour tous les comptes ayant le rôle manager dans Boxanet. Si vous êtes manager et que vous ne l'avez pas encore activée, votre compte peut faire l'objet d'un rappel de conformité automatique.

2. Méthodes d'authentification supportées

Boxanet supporte la double authentification de type TOTP (Time-based One-Time Password), le standard ouvert le plus répandu pour le 2FA.

Comment fonctionne le TOTP

Le TOTP génère un code à 6 chiffres qui change toutes les 30 secondes. Ce code est calculé par votre application d'authentification à partir d'un secret partagé établi lors de la configuration initiale. Sans cet accès, personne ne peut générer le code valide.

Applications compatibles

ApplicationPlateformeGratuiteNotes
Google AuthenticatoriOS / AndroidOuiSimple, sans compte requis
AuthyiOS / Android / DesktopOuiSynchronisation multi-appareils, sauvegarde cloud
Microsoft AuthenticatoriOS / AndroidOuiIntégration ecosystème Microsoft
1PasswordiOS / Android / DesktopNon (abonnement)Gestionnaire de mots de passe avec 2FA intégré
Bitwarden AuthenticatoriOS / AndroidOuiOpen source
💡💡 Conseil : Si vous utilisez plusieurs appareils ou si vous craignez de perdre votre téléphone, Authy est particulièrement recommandé car il permet de sauvegarder vos tokens 2FA dans le cloud et de les restaurer sur un nouvel appareil.

3. Activer le 2FA sur votre compte Boxanet

Avant de commencer

  • Assurez-vous d'avoir installé une application d'authentification sur votre téléphone (voir liste ci-dessus)
  • Assurez-vous que votre téléphone est à portée de main
  • Prévoyez 5 minutes sans interruption pour compléter la procédure

Étapes détaillées

Étape 1 — Accéder aux paramètres de sécurité

Connectez-vous à Boxanet, puis cliquez sur votre avatar / nom en haut à droite de l'écran. Dans le menu déroulant, sélectionnez "Mon compte".

Étape 2 — Ouvrir la section Sécurité

Dans la page Mon compte, cliquez sur l'onglet "Sécurité". Vous verrez la section "Double authentification" avec le statut "Désactivée".

Étape 3 — Démarrer l'activation

Cliquez sur le bouton "Activer la double authentification". Une fenêtre de confirmation s'ouvre, vous demandant de saisir votre mot de passe actuel pour valider votre identité avant de modifier les paramètres de sécurité.

Étape 4 — Scanner le QR code

Un QR code s'affiche à l'écran, accompagné d'un code alphanumérique (alternative si le scan ne fonctionne pas).

Ouvrez votre application d'authentification et :

  • Google Authenticator : touchez le "+" > "Scanner un QR code"
  • Authy : touchez "+" > "Scanner un code QR"
  • Microsoft Authenticator : touchez "+" > "Autre compte" > Scanner
Pointez la caméra de votre téléphone vers le QR code affiché à l'écran.

⚠️⚠️ Attention : Ne partagez jamais ce QR code avec qui que ce soit. Il contient le secret qui permet de générer vos codes 2FA. Quiconque possède ce QR code peut générer des codes valides pour votre compte.
Étape 5 — Sauvegarder vos codes de récupération

Avant de finaliser, Boxanet génère 10 codes de récupération à usage unique. Ces codes vous permettront de vous connecter si vous perdez l'accès à votre application d'authentification.

Sauvegardez-les immédiatement :

  • Notez-les sur papier et conservez-les dans un endroit sûr (coffre-fort, tiroir fermé à clé)
  • Sauvegardez-les dans un gestionnaire de mots de passe chiffré
  • Ne les stockez pas en clair sur votre ordinateur ou dans un email non chiffré
Cochez la case "J'ai sauvegardé mes codes de récupération" pour confirmer.

Étape 6 — Confirmer avec le premier code

Dans votre application d'authentification, vous voyez maintenant un compte "Boxanet" affichant un code à 6 chiffres. Saisissez ce code dans le champ de confirmation sur l'écran Boxanet et cliquez sur "Valider".

Le 2FA est maintenant activé sur votre compte. Un email de confirmation vous est envoyé.


4. Se connecter avec le 2FA activé

Une fois le 2FA activé, la procédure de connexion comporte désormais trois étapes :

Procédure de connexion

Étape 1 : Saisissez votre adresse email et votre mot de passe comme d'habitude, puis cliquez sur "Se connecter". Étape 2 : Un second écran s'affiche : "Code de vérification requis". Ouvrez votre application d'authentification sur votre téléphone. Étape 3 : Saisissez le code à 6 chiffres affiché pour le compte Boxanet dans votre application. Validez.

Vous êtes maintenant connecté.

Points importants

  • Le code est valide 30 secondes. Si le code affiche moins de 5 secondes restantes, attendez le prochain pour éviter les erreurs de saisie.
  • En cas de code incorrect, votre application génère un nouveau code à la fin du cycle de 30 secondes. Réessayez avec le nouveau code.
  • Trois tentatives incorrectes consécutives bloquent temporairement la connexion pendant 15 minutes.
💡💡 Conseil : Si votre code est systématiquement refusé alors qu'il semble correct, vérifiez que l'heure de votre téléphone est correcte et synchronisée automatiquement. Le TOTP est basé sur l'heure : un décalage de quelques minutes suffit à invalider les codes.

5. Que faire si vous perdez l'accès à votre application 2FA ?

La perte d'accès à votre application d'authentification (téléphone perdu, cassé, ou réinitialisé) est le scénario le plus délicat. Il existe deux solutions.

Solution 1 — Utiliser un code de récupération

Si vous avez sauvegardé vos codes de récupération lors de l'activation :

  1. Sur l'écran de saisie du code 2FA, cliquez sur "Utiliser un code de récupération"
  2. Saisissez l'un de vos codes de récupération (format : 8 caractères alphanumériques)
  3. Vous êtes connecté — mais le code utilisé est définitivement invalidé
Une fois connecté, désactivez le 2FA, reconfigure votre nouvelle application d'authentification, puis réactivez le 2FA.
⚠️⚠️ Attention : Chaque code de récupération ne peut être utilisé qu'une seule fois. Vous avez 10 codes initiaux. Gardez-en toujours plusieurs en réserve.

Solution 2 — Contacter le support Boxanet

Si vous n'avez plus aucun code de récupération disponible, contactez le support Boxanet à support@boxanet.fr. Une procédure de vérification d'identité renforcée sera mise en place avant toute réinitialisation du 2FA pour protéger votre compte.

Documents généralement requis :
  • Pièce d'identité du titulaire du compte
  • Justificatif de propriété ou de gérance de l'établissement
Le délai de traitement est de 24 à 48 heures ouvrées.

6. Codes de récupération : génération, conservation et usage

Caractéristiques des codes de récupération

  • Nombre initial : 10 codes
  • Usage : chaque code est à usage unique — une fois utilisé, il est supprimé
  • Format : 8 caractères alphanumériques (exemple : A3F7-K2M9)
  • Validité : illimitée dans le temps (pas d'expiration)

Générer de nouveaux codes

Si vous avez utilisé la plupart de vos codes ou si vous suspectez qu'ils ont été compromis, vous pouvez en générer un nouveau jeu depuis Mon compte > Sécurité > Codes de récupération > Régénérer.

⚠️⚠️ Attention : La régénération invalide immédiatement et définitivement tous les anciens codes. Sauvegardez les nouveaux codes immédiatement après la génération.

Bonnes pratiques de conservation

MéthodeRecommandéeNotes
Coffre-fort physiqueOuiIdéal pour les codes papier
Gestionnaire de mots de passe chiffré (Bitwarden, 1Password)OuiAccessible depuis plusieurs appareils
Document chiffré (VeraCrypt, PDF protégé)OuiSi conservé hors ligne
Note sur l'ordinateur en clairNonAccessible si l'ordinateur est compromis
Email non chiffréNonNon sécurisé
Photo sur le téléphoneNonRisque de synchronisation cloud non chiffrée

7. Désactiver le 2FA

Conditions pour désactiver le 2FA

La désactivation est possible uniquement si :

  • Vous connaissez votre mot de passe actuel
  • Vous avez accès à votre application d'authentification (pour confirmer la désactivation)

Procédure de désactivation

  1. Accédez à Mon compte > Sécurité
  2. Dans la section "Double authentification", cliquez sur "Désactiver"
  3. Saisissez votre mot de passe actuel
  4. Saisissez le code 2FA actuel depuis votre application
  5. Confirmez la désactivation
⚠️⚠️ Attention : La désactivation du 2FA rend votre compte plus vulnérable. Elle est déconseillée sauf en cas de problème technique temporaire. Si vous désactivez le 2FA pour reconfigurer une nouvelle application, réactivez-le immédiatement après.

8. Politique de sécurité Boxanet : 2FA recommandé pour les managers

La politique de sécurité Boxanet recommande fortement l'activation du 2FA pour tous les comptes ayant le rôle manager. Cette recommandation est justifiée par le niveau d'accès élevé associé à ce rôle :

  • Accès aux données clients et aux contrats du centre
  • Capacité de créer, modifier et suspendre des utilisateurs
  • Accès aux paramètres financiers (IBAN, TVA, tarifs)
  • Accès au journal d'audit du site
  • Capacité d'exporter les données du centre
Si un compte manager tente de se connecter sans 2FA activé, un avertissement est affiché et l'activation est fortement recommandée.

9. Tableau comparatif : sécurité sans 2FA vs avec 2FA

ScénarioSans 2FAAvec 2FA
Mot de passe volé par phishingCompte compromis immédiatementAttaquant bloqué sans le code TOTP
Mot de passe dans une fuite de donnéesCompte compromis si réutiliséCompte protégé
Accès depuis un ordinateur partagé sans déconnexionSession accessible à autruiSession toujours protégée par 2FA à la prochaine connexion
Attaque bruteforce sur le mot de passePossible si mot de passe faibleInutile sans accès au téléphone
Vol du téléphone seulSans objet (pas de 2FA)Attaquant sans le mot de passe, compte protégé
Vol du mot de passe ET du téléphoneCompte compromisCompte compromis (seul scénario à risque)
Notification de connexion suspecteAucune protection supplémentaireConnexion suspecte bloquée automatiquement
💡💡 Conseil : Même avec le 2FA activé, adoptez les bonnes pratiques complémentaires : mot de passe unique et long (minimum 14 caractères), jamais réutilisé, géré via un gestionnaire de mots de passe. Le 2FA et un bon mot de passe sont complémentaires, pas substituables.

FAQ

Q : Que se passe-t-il si je change de téléphone ?

R : Avant de changer de téléphone, transférez vos tokens 2FA vers votre nouveau téléphone. Avec Authy, la synchronisation est automatique via votre compte Authy. Avec Google Authenticator, utilisez la fonction "Transférer les comptes" disponible dans le menu de l'application (sélectionnez les comptes à exporter, scannez le QR code sur le nouveau téléphone). Si vous avez déjà changé de téléphone sans transférer, utilisez un code de récupération pour vous connecter, puis reconfigurez le 2FA.

Q : Les codes générés par mon application sont refusés alors qu'ils semblent corrects. Que faire ?

R : Le problème le plus fréquent est un décalage horaire sur votre téléphone. Vérifiez que l'heure de votre téléphone est réglée sur "automatique / synchronisée avec le réseau". Sur Android, allez dans Paramètres > Système > Date et heure > Activer "Date et heure automatiques". Sur iOS, allez dans Réglages > Général > Date et heure > Régler automatiquement. Si le problème persiste, redémarrez l'application et réessayez. En dernier recours, utilisez un code de récupération pour accéder à votre compte et reconfigurez le 2FA.

Q : Peut-on activer le 2FA pour certains utilisateurs seulement ?

R : La configuration du 2FA est individuelle — chaque utilisateur gère son propre 2FA depuis les paramètres de son compte. En tant que manager, vous pouvez voir dans la liste des utilisateurs lesquels ont activé le 2FA (colonne "2FA" dans Administration > Utilisateurs). Vous ne pouvez pas activer le 2FA à la place d'un autre utilisateur, mais vous pouvez leur en recommander fortement l'activation.

Q : Le 2FA protège-t-il aussi l'espace client des locataires ?

R : Le 2FA est disponible pour tous les types de comptes dans Boxanet, y compris les comptes clients (locataires). Il est fortement recommandé pour les managers. Les locataires peuvent l'activer volontairement depuis leur espace client s'ils souhaitent renforcer la sécurité de leur accès personnel.


Cet article vous a-t-il été utile ?

Tous les articles Contacter le support