Activer la double authentification (2FA)
La double authentification (2FA) est la mesure de sécurité la plus efficace pour protéger votre compte Boxanet contre les accès non autorisés. Même si votre mot de passe est compromis, un attaquant ne pourra pas se connecter sans le code temporaire généré par votre application. Ce guide vous accompagne pas à pas dans l'activation, l'utilisation et la gestion du 2FA.
1. Pourquoi activer le 2FA ?
Le risque réel des mots de passe seuls
Un mot de passe, aussi solide soit-il, peut être compromis de multiples façons :
- Phishing : vous êtes trompé par un faux site et vous saisissez vos identifiants
- Fuite de données : une autre plateforme où vous utilisez le même mot de passe est piratée
- Bruteforce : un attaquant tente des millions de combinaisons automatiquement
- Interception : votre connexion réseau n'est pas suffisamment sécurisée
Pourquoi c'est particulièrement important pour Boxanet
Votre compte Boxanet donne accès à des données sensibles : informations personnelles de vos clients, IBAN, contrats, historique de facturation. Un accès non autorisé pourrait :
- Exposer des données personnelles de vos clients (violation RGPD)
- Permettre des modifications frauduleuses de contrats ou de tarifs
- Compromettre des informations bancaires
2. Méthodes d'authentification supportées
Boxanet supporte la double authentification de type TOTP (Time-based One-Time Password), le standard ouvert le plus répandu pour le 2FA.
Comment fonctionne le TOTP
Le TOTP génère un code à 6 chiffres qui change toutes les 30 secondes. Ce code est calculé par votre application d'authentification à partir d'un secret partagé établi lors de la configuration initiale. Sans cet accès, personne ne peut générer le code valide.
Applications compatibles
| Application | Plateforme | Gratuite | Notes |
|---|---|---|---|
| Google Authenticator | iOS / Android | Oui | Simple, sans compte requis |
| Authy | iOS / Android / Desktop | Oui | Synchronisation multi-appareils, sauvegarde cloud |
| Microsoft Authenticator | iOS / Android | Oui | Intégration ecosystème Microsoft |
| 1Password | iOS / Android / Desktop | Non (abonnement) | Gestionnaire de mots de passe avec 2FA intégré |
| Bitwarden Authenticator | iOS / Android | Oui | Open source |
3. Activer le 2FA sur votre compte Boxanet
Avant de commencer
- Assurez-vous d'avoir installé une application d'authentification sur votre téléphone (voir liste ci-dessus)
- Assurez-vous que votre téléphone est à portée de main
- Prévoyez 5 minutes sans interruption pour compléter la procédure
Étapes détaillées
Étape 1 — Accéder aux paramètres de sécuritéConnectez-vous à Boxanet, puis cliquez sur votre avatar / nom en haut à droite de l'écran. Dans le menu déroulant, sélectionnez "Mon compte".
Étape 2 — Ouvrir la section SécuritéDans la page Mon compte, cliquez sur l'onglet "Sécurité". Vous verrez la section "Double authentification" avec le statut "Désactivée".
Étape 3 — Démarrer l'activationCliquez sur le bouton "Activer la double authentification". Une fenêtre de confirmation s'ouvre, vous demandant de saisir votre mot de passe actuel pour valider votre identité avant de modifier les paramètres de sécurité.
Étape 4 — Scanner le QR codeUn QR code s'affiche à l'écran, accompagné d'un code alphanumérique (alternative si le scan ne fonctionne pas).
Ouvrez votre application d'authentification et :
- Google Authenticator : touchez le "+" > "Scanner un QR code"
- Authy : touchez "+" > "Scanner un code QR"
- Microsoft Authenticator : touchez "+" > "Autre compte" > Scanner
Avant de finaliser, Boxanet génère 10 codes de récupération à usage unique. Ces codes vous permettront de vous connecter si vous perdez l'accès à votre application d'authentification.
Sauvegardez-les immédiatement :
- Notez-les sur papier et conservez-les dans un endroit sûr (coffre-fort, tiroir fermé à clé)
- Sauvegardez-les dans un gestionnaire de mots de passe chiffré
- Ne les stockez pas en clair sur votre ordinateur ou dans un email non chiffré
Dans votre application d'authentification, vous voyez maintenant un compte "Boxanet" affichant un code à 6 chiffres. Saisissez ce code dans le champ de confirmation sur l'écran Boxanet et cliquez sur "Valider".
Le 2FA est maintenant activé sur votre compte. Un email de confirmation vous est envoyé.
4. Se connecter avec le 2FA activé
Une fois le 2FA activé, la procédure de connexion comporte désormais trois étapes :
Procédure de connexion
Étape 1 : Saisissez votre adresse email et votre mot de passe comme d'habitude, puis cliquez sur "Se connecter". Étape 2 : Un second écran s'affiche : "Code de vérification requis". Ouvrez votre application d'authentification sur votre téléphone. Étape 3 : Saisissez le code à 6 chiffres affiché pour le compte Boxanet dans votre application. Validez.Vous êtes maintenant connecté.
Points importants
- Le code est valide 30 secondes. Si le code affiche moins de 5 secondes restantes, attendez le prochain pour éviter les erreurs de saisie.
- En cas de code incorrect, votre application génère un nouveau code à la fin du cycle de 30 secondes. Réessayez avec le nouveau code.
- Trois tentatives incorrectes consécutives bloquent temporairement la connexion pendant 15 minutes.
5. Que faire si vous perdez l'accès à votre application 2FA ?
La perte d'accès à votre application d'authentification (téléphone perdu, cassé, ou réinitialisé) est le scénario le plus délicat. Il existe deux solutions.
Solution 1 — Utiliser un code de récupération
Si vous avez sauvegardé vos codes de récupération lors de l'activation :
- Sur l'écran de saisie du code 2FA, cliquez sur "Utiliser un code de récupération"
- Saisissez l'un de vos codes de récupération (format : 8 caractères alphanumériques)
- Vous êtes connecté — mais le code utilisé est définitivement invalidé
Solution 2 — Contacter le support Boxanet
Si vous n'avez plus aucun code de récupération disponible, contactez le support Boxanet à support@boxanet.fr. Une procédure de vérification d'identité renforcée sera mise en place avant toute réinitialisation du 2FA pour protéger votre compte.
Documents généralement requis :- Pièce d'identité du titulaire du compte
- Justificatif de propriété ou de gérance de l'établissement
6. Codes de récupération : génération, conservation et usage
Caractéristiques des codes de récupération
- Nombre initial : 10 codes
- Usage : chaque code est à usage unique — une fois utilisé, il est supprimé
- Format : 8 caractères alphanumériques (exemple :
A3F7-K2M9) - Validité : illimitée dans le temps (pas d'expiration)
Générer de nouveaux codes
Si vous avez utilisé la plupart de vos codes ou si vous suspectez qu'ils ont été compromis, vous pouvez en générer un nouveau jeu depuis Mon compte > Sécurité > Codes de récupération > Régénérer.
Bonnes pratiques de conservation
| Méthode | Recommandée | Notes |
|---|---|---|
| Coffre-fort physique | Oui | Idéal pour les codes papier |
| Gestionnaire de mots de passe chiffré (Bitwarden, 1Password) | Oui | Accessible depuis plusieurs appareils |
| Document chiffré (VeraCrypt, PDF protégé) | Oui | Si conservé hors ligne |
| Note sur l'ordinateur en clair | Non | Accessible si l'ordinateur est compromis |
| Email non chiffré | Non | Non sécurisé |
| Photo sur le téléphone | Non | Risque de synchronisation cloud non chiffrée |
7. Désactiver le 2FA
Conditions pour désactiver le 2FA
La désactivation est possible uniquement si :
- Vous connaissez votre mot de passe actuel
- Vous avez accès à votre application d'authentification (pour confirmer la désactivation)
Procédure de désactivation
- Accédez à Mon compte > Sécurité
- Dans la section "Double authentification", cliquez sur "Désactiver"
- Saisissez votre mot de passe actuel
- Saisissez le code 2FA actuel depuis votre application
- Confirmez la désactivation
8. Politique de sécurité Boxanet : 2FA recommandé pour les managers
La politique de sécurité Boxanet recommande fortement l'activation du 2FA pour tous les comptes ayant le rôle manager. Cette recommandation est justifiée par le niveau d'accès élevé associé à ce rôle :
- Accès aux données clients et aux contrats du centre
- Capacité de créer, modifier et suspendre des utilisateurs
- Accès aux paramètres financiers (IBAN, TVA, tarifs)
- Accès au journal d'audit du site
- Capacité d'exporter les données du centre
9. Tableau comparatif : sécurité sans 2FA vs avec 2FA
| Scénario | Sans 2FA | Avec 2FA |
|---|---|---|
| Mot de passe volé par phishing | Compte compromis immédiatement | Attaquant bloqué sans le code TOTP |
| Mot de passe dans une fuite de données | Compte compromis si réutilisé | Compte protégé |
| Accès depuis un ordinateur partagé sans déconnexion | Session accessible à autrui | Session toujours protégée par 2FA à la prochaine connexion |
| Attaque bruteforce sur le mot de passe | Possible si mot de passe faible | Inutile sans accès au téléphone |
| Vol du téléphone seul | Sans objet (pas de 2FA) | Attaquant sans le mot de passe, compte protégé |
| Vol du mot de passe ET du téléphone | Compte compromis | Compte compromis (seul scénario à risque) |
| Notification de connexion suspecte | Aucune protection supplémentaire | Connexion suspecte bloquée automatiquement |
FAQ
Q : Que se passe-t-il si je change de téléphone ?R : Avant de changer de téléphone, transférez vos tokens 2FA vers votre nouveau téléphone. Avec Authy, la synchronisation est automatique via votre compte Authy. Avec Google Authenticator, utilisez la fonction "Transférer les comptes" disponible dans le menu de l'application (sélectionnez les comptes à exporter, scannez le QR code sur le nouveau téléphone). Si vous avez déjà changé de téléphone sans transférer, utilisez un code de récupération pour vous connecter, puis reconfigurez le 2FA.
Q : Les codes générés par mon application sont refusés alors qu'ils semblent corrects. Que faire ?R : Le problème le plus fréquent est un décalage horaire sur votre téléphone. Vérifiez que l'heure de votre téléphone est réglée sur "automatique / synchronisée avec le réseau". Sur Android, allez dans Paramètres > Système > Date et heure > Activer "Date et heure automatiques". Sur iOS, allez dans Réglages > Général > Date et heure > Régler automatiquement. Si le problème persiste, redémarrez l'application et réessayez. En dernier recours, utilisez un code de récupération pour accéder à votre compte et reconfigurez le 2FA.
Q : Peut-on activer le 2FA pour certains utilisateurs seulement ?R : La configuration du 2FA est individuelle — chaque utilisateur gère son propre 2FA depuis les paramètres de son compte. En tant que manager, vous pouvez voir dans la liste des utilisateurs lesquels ont activé le 2FA (colonne "2FA" dans Administration > Utilisateurs). Vous ne pouvez pas activer le 2FA à la place d'un autre utilisateur, mais vous pouvez leur en recommander fortement l'activation.
Q : Le 2FA protège-t-il aussi l'espace client des locataires ?R : Le 2FA est disponible pour tous les types de comptes dans Boxanet, y compris les comptes clients (locataires). Il est fortement recommandé pour les managers. Les locataires peuvent l'activer volontairement depuis leur espace client s'ils souhaitent renforcer la sécurité de leur accès personnel.