Articles sur : Mon Compte
Cet article est aussi disponible en :

Sécurité et double authentification

Sécurité du compte : double authentification et connexions suspectes


Introduction


Fotostudio intègre désormais plusieurs mécanismes pour protéger votre compte : double authentification (MFA), détection des connexions inhabituelles, historique des connexions et invalidation automatique des sessions en cas de changement de mot de passe.



Double authentification (MFA)


Qu'est-ce que c'est ?


La double authentification ajoute une deuxième étape à votre connexion. Après avoir entré votre mot de passe, vous devez saisir un code à 6 chiffres généré par une application d'authentification sur votre téléphone. Même si quelqu'un vole votre mot de passe, il ne peut pas accéder à votre compte sans votre téléphone.


Quelle application utiliser ?


Le MFA de Fotostudio repose sur le protocole TOTP (standard ouvert RFC 6238), compatible avec toutes les apps d'authentification du marché :


  • Google Authenticator (iOS / Android)
  • Authy
  • Microsoft Authenticator
  • 1Password, Bitwarden, etc.


Activer le MFA


  1. Allez dans Mon compte → Sécurité → Double authentification
  2. Installez une app d'authentification sur votre téléphone
  3. Scannez le QR code affiché avec votre app
  4. Entrez le code à 6 chiffres généré par l'app pour confirmer
  5. Choisissez la fréquence de vérification (voir ci-dessous)
  6. Sauvegardez vos codes de récupération (étape critique, voir section dédiée)


Fréquence de vérification


Lors de l'activation, vous choisissez quand le code vous est demandé :


Option

Comportement

À chaque connexion

Le code est toujours demandé, sans exception

À la connexion depuis un navigateur inconnu

Le code est mémorisé 90 jours sur ce navigateur via un cookie sécurisé. Il vous sera redemandé si vous changez de navigateur ou d'appareil, videz vos cookies, changez votre mot de passe, ou vous connectez depuis un pays inhabituel


À noter : en mode "navigateur inconnu", si vous revenez toujours sur le même navigateur sans vider vos cookies, le code ne vous sera plus demandé pendant 90 jours. C'est un choix de confort délibéré, similaire au comportement de sites majeurs comme Google.


Désactiver le MFA


Rendez-vous dans Mon compte → Sécurité → Double authentification et cliquez sur Désactiver. Une confirmation est demandée.



Codes de récupération


Pourquoi c'est important


Si vous perdez accès à votre téléphone (vol, panne, nouvelle app), les codes de récupération sont le seul moyen de vous connecter. Sans eux, votre compte serait inaccessible.


Comment ça fonctionne


  • À l'activation du MFA, 10 codes de récupération sont générés et affichés une seule fois
  • Chaque code est au format XXXX-XXXX-XXXX
  • Un code est à usage unique : une fois utilisé, il est définitivement invalidé
  • Ils s'utilisent à la place du code TOTP sur la page de connexion MFA


Comment les sauvegarder


  • Dans votre gestionnaire de mots de passe (1Password, Bitwarden…)
  • Dans un fichier chiffré
  • Imprimés et conservés dans un endroit sûr


Régénérer les codes


Si vous approchez de 0 code restant, ou si vous pensez que vos codes ont été compromis :


  1. Allez dans Mon compte → Sécurité → Double authentification
  2. Cliquez sur Régénérer les codes de récupération
  3. Les anciens codes sont immédiatement invalidés
  4. Sauvegardez les nouveaux codes


Le nombre de codes restants est affiché sur la page Sécurité. Un avertissement apparaît automatiquement quand il en reste 2 ou moins.



Détection des connexions inhabituelles


Fotostudio analyse automatiquement chaque connexion et compare le pays de l'adresse IP actuelle avec celui de la dernière connexion connue.


Que se passe-t-il en cas de connexion suspecte ?


Email d'alerte automatique - vous recevez un email indiquant :

  • Le pays détecté
  • L'adresse IP
  • La date et l'heure de la connexion
  • Un lien direct pour changer votre mot de passe
  • Un lien pour activer le MFA si ce n'est pas encore fait


Si vous avez le MFA activé - même si votre navigateur était marqué "de confiance", le code TOTP vous est automatiquement redemandé en cas de connexion depuis un pays différent.


Ce qui ne déclenche pas d'alerte


  • Même pays, adresse IP différente (changement de réseau, 4G → WiFi, etc.)
  • Connexions depuis des adresses locales (réseau interne, développement)


Si vous recevez un email d'alerte et que vous n'êtes pas à l'origine de cette connexion, changez immédiatement votre mot de passe via le lien dans l'email.



Historique des connexions et page Sécurité


La page Mon compte → Sécurité centralise toutes les informations de sécurité de votre compte :


Statut MFA


  • Si le MFA est actif : date d'activation, nombre de codes de récupération restants, lien vers la gestion
  • Si le MFA est inactif : invitation à l'activer avec lien direct


Historique des connexions


Affiche les 50 dernières connexions à votre compte avec :


Colonne

Détail

Date

Date et heure de la connexion

Pays

Pays détecté via l'adresse IP

Adresse IP

IP utilisée lors de la connexion

Navigateur

User-agent du navigateur

⚠️

Connexion depuis un pays inhabituel

🔒

Code MFA vérifié lors de cette connexion



Changement de mot de passe


Quand vous changez votre mot de passe depuis Mon profil, plusieurs actions de sécurité se déclenchent automatiquement :


  1. Toutes les autres sessions actives sont invalidées - toute personne connectée à votre compte sur un autre appareil est immédiatement déconnectée
  2. La confiance de tous les appareils MFA est révoquée - le code TOTP sera redemandé sur tous les appareils lors de la prochaine connexion, même ceux précédemment mémorisés



Protection contre les attaques par force brute


En complément du MFA, Fotostudio limite automatiquement les tentatives de connexion :


Point d'entrée

Limite

Page de connexion (par IP)

5 tentatives par minute

Page de connexion (par email)

10 tentatives par 10 minutes

Code MFA

5 tentatives par 5 minutes

Réinitialisation de mot de passe

10 tentatives par 10 minutes


Au-delà de ces limites, l'accès est temporairement bloqué.


Si vous avez un message disant que votre compte est verrouillé lorsque vous tentez de vous connecter, vous devez attendre 1h pour qu'il se débloque automatiquement ou contacter le support pour qu'ils le débloquent instantanément.



FAQ


Q : Mon code TOTP n'est pas accepté.

Vérifiez que l'heure de votre téléphone est bien synchronisée automatiquement. Une désynchronisation de l'horloge empêche la validation du code. Si le problème persiste, utilisez un code de récupération et réactivez le MFA.


Q : J'ai perdu mon téléphone et je n'ai plus mes codes de récupération.

Contactez le support Fotostudio. Une vérification d'identité sera nécessaire pour désactiver le MFA sur votre compte.


Q : Je reçois un email d'alerte à chaque connexion alors que je me connecte depuis chez moi.

Votre fournisseur internet change peut-être votre adresse IP régulièrement (IP dynamique). Si le pays reste le même, aucun email n'est envoyé. Si vous utilisez un VPN, le pays détecté peut varier selon le serveur VPN utilisé.


Q : Le MFA est-il obligatoire ?

Non, il est optionnel. Mais nous le recommandons fortement, en particulier si votre compte contient des données clients, des informations de facturation ou des accès bancaires liés.


Mis à jour le : 07/06/2026

Cet article a-t-il répondu à vos questions ?

Partagez vos commentaires

Annuler

Merci !