Guide de l'authentification multi-facteurs (MFA)

L'authentification multi-facteurs (MFA) ajoute une couche de sécurité supplémentaire à votre compte DNScale. Même si quelqu'un obtient votre mot de passe, il ne pourra pas se connecter sans avoir accès à votre second facteur. Ce guide explique le fonctionnement de la MFA et comment la configurer.

Qu'est-ce que l'authentification multi-facteurs ?

La MFA vous demande de vérifier votre identité à l'aide de deux facteurs indépendants ou plus lors de la connexion :

1. Quelque chose que vous connaissez — votre mot de passe
2. Quelque chose que vous possédez — un code temporel généré par une application d'authentification, ou une clé de sécurité matérielle

En combinant ces facteurs, la MFA rend l'accès non autorisé considérablement plus difficile. Un mot de passe volé seul ne suffit pas à compromettre votre compte.

Méthodes prises en charge

DNScale prend en charge les méthodes d'authentification suivantes :

Vous pouvez activer à la fois une application d'authentification et une ou plusieurs clés de sécurité sur le même compte. Chaque méthode peut être utilisée indépendamment pour vous connecter.

Applications d'authentification compatibles

Toute application prenant en charge TOTP (Time-based One-Time Passwords) fonctionne avec DNScale :

• Google Authenticator (Android, iOS)
• Microsoft Authenticator (Android, iOS)
• Authy (Android, iOS, Desktop)
• 1Password
• Bitwarden
• YubiKey Authenticator (avec un matériel YubiKey)

Clés de sécurité compatibles

Tout appareil compatible FIDO2/WebAuthn fonctionne avec DNScale :

• Clés de sécurité USB — YubiKey 5 series, SoloKey, Nitrokey, Google Titan
• Clés de sécurité NFC — YubiKey 5 NFC (authentification par contact sur mobile)
• Authentificateurs de plateforme — Touch ID (macOS), Windows Hello (Windows), biométrie Android

Remarque : La prise en charge des clés de sécurité nécessite un navigateur implémentant l'API WebAuthn. Tous les navigateurs modernes (Chrome, Firefox, Safari, Edge) la prennent en charge. L'option d'ajouter une clé de sécurité n'apparaîtra que si votre navigateur prend en charge WebAuthn.

Configurer une application d'authentification (TOTP)

Étape 1 : Ouvrir les paramètres de sécurité

Connectez-vous à votre tableau de bord DNScale et accédez à Settings. Faites défiler jusqu'à la carte Security.

Vous verrez une section « Two-Factor Authentication » indiquant votre statut actuel comme Disabled.

Étape 2 : Lancer la configuration

Cliquez sur le bouton Enable 2FA. Une boîte de dialogue de configuration apparaîtra avec un QR code.

Étape 3 : Scanner le QR code

Ouvrez votre application d'authentification et scannez le QR code affiché dans la boîte de dialogue. Si vous ne pouvez pas scanner le code, cliquez sur l'option de saisie manuelle pour copier la clé secrète et la saisir manuellement dans votre application.

Conseil : Assurez-vous que l'heure de votre téléphone est correcte. Les codes TOTP sont sensibles au temps, et une horloge décalée de plus de 30 secondes peut entraîner l'échec des codes.

Étape 4 : Saisir le code de vérification

Votre application d'authentification affichera désormais un code à 6 chiffres qui se renouvelle toutes les 30 secondes. Saisissez le code actuel dans le champ de vérification et cliquez sur Verify & Enable.

Étape 5 : Sauvegarder vos codes de récupération

Après la vérification, 10 codes de récupération vous seront présentés. Ce sont des codes de secours à usage unique qui vous permettent de vous connecter si vous perdez l'accès à votre application d'authentification.

Important : Sauvegardez ces codes maintenant. Vous ne pourrez plus les consulter par la suite. Stockez-les dans un gestionnaire de mots de passe, imprimez-les ou enregistrez-les dans un emplacement sécurisé.

Vous pouvez copier tous les codes dans votre presse-papiers ou les télécharger sous forme de fichier texte.

Cliquez sur I've Saved My Codes pour terminer la configuration.

Configurer une clé de sécurité (WebAuthn)

Étape 1 : Ouvrir les paramètres de sécurité

Connectez-vous à votre tableau de bord DNScale et accédez à Settings. Faites défiler jusqu'à la carte Security.

Étape 2 : Ajouter une clé de sécurité

Dans la section « Security Keys », cliquez sur Add Security Key. Une boîte de dialogue apparaîtra vous demandant de nommer votre clé.

Étape 3 : Nommer votre clé

Saisissez un libellé descriptif pour votre clé (par exemple, « YubiKey 5 », « MacBook Touch ID », « Clé de secours »). Cela vous aide à identifier chaque clé si vous en enregistrez plusieurs.

Étape 4 : Enregistrer la clé

Cliquez sur Register. Votre navigateur vous invitera à interagir avec votre clé de sécurité :

• Clé USB (YubiKey, SoloKey) : Insérez la clé et touchez le contact métallique lorsqu'il clignote
• Touch ID (macOS) : Posez votre doigt sur le capteur Touch ID
• Windows Hello : Utilisez votre empreinte digitale, votre visage ou votre code PIN
• Clé NFC : Approchez la clé de votre appareil

L'enregistrement se termine automatiquement dès que vous interagissez avec la clé.

Étape 5 : Sauvegarder vos codes de récupération

S'il s'agit de votre première méthode MFA, 10 codes de récupération vous seront présentés. Conservez-les dans un emplacement sécurisé — ils constituent votre solution de secours si vous perdez l'accès à toutes vos clés enregistrées.

Conseil : Enregistrez une clé de sécurité de secours au cas où votre clé principale serait perdue ou endommagée. Vous pouvez avoir plusieurs clés de sécurité sur votre compte.

Fonctionnement de la connexion

Sans MFA (par défaut)

1. Saisissez votre adresse e-mail et votre mot de passe
2. Un code de sécurité à 6 chiffres est envoyé à votre adresse e-mail
3. Saisissez le code (ou cliquez sur le lien dans l'e-mail)
4. Vous êtes connecté

Avec une application d'authentification (TOTP comme méthode préférée)

1. Saisissez votre adresse e-mail et votre mot de passe
2. Vous êtes invité à saisir votre code d'authentification
3. Ouvrez votre application d'authentification et saisissez le code à 6 chiffres actuel
4. Vous êtes connecté

Aucun e-mail n'est envoyé lorsque TOTP est votre méthode préférée, ce qui rend la connexion plus rapide et plus sécurisée.

Avec une clé de sécurité (WebAuthn comme méthode préférée)

1. Saisissez votre adresse e-mail et votre mot de passe
2. Le message « Touch your security key » apparaît
3. Insérez votre clé et touchez-la (ou utilisez Touch ID / Windows Hello)
4. Vous êtes connecté

L'ensemble de la connexion ne prend que quelques secondes — aucun code à saisir.

Changer de méthode pendant la connexion

Sur l'écran de vérification, vous pouvez basculer entre les méthodes disponibles :

• Use a security key — passer à l'authentification WebAuthn
• Use authenticator app — passer à la saisie d'un code TOTP
• Use email verification instead — revenir au code par e-mail
• Use a recovery code — saisir un code de récupération à usage unique

Utiliser un code de récupération

Si vous ne pouvez pas accéder à votre application d'authentification ou à votre clé de sécurité (téléphone perdu, clé cassée) :

1. Saisissez votre adresse e-mail et votre mot de passe
2. Sur l'écran de vérification, cliquez sur Use a recovery code
3. Saisissez l'un de vos codes de récupération sauvegardés (format : xxxx-xxxx)
4. Vous êtes connecté

Chaque code de récupération ne peut être utilisé qu'une seule fois. Après avoir utilisé un code, pensez à régénérer vos codes de récupération depuis le tableau de bord.

Gérer vos paramètres MFA

Consulter votre statut

Accédez à Settings > Security pour voir :

• Si la 2FA est activée ou désactivée
• Votre méthode de vérification préférée
• L'application d'authentification enregistrée et sa dernière utilisation
• Les clés de sécurité enregistrées avec leurs noms et dates de dernière utilisation
• Le nombre de codes de récupération restants (sur 10)

Définir votre méthode préférée

Lorsque vous avez plusieurs méthodes MFA activées, vous pouvez choisir laquelle est demandée en premier lors de la connexion :

1. Accédez à Settings > Security
2. Utilisez le sélecteur de méthode préférée pour choisir entre Authenticator App, Security Key ou Email
3. Le changement prend effet lors de votre prochaine connexion

Vous pouvez toujours basculer vers une autre méthode depuis l'écran de connexion, quelle que soit votre préférence.

Gérer les clés de sécurité

Vous pouvez enregistrer plusieurs clés de sécurité (recommandé pour la redondance) :

• Chaque clé est listée avec son libellé et sa date de dernière utilisation
• Cliquez sur l'icône de corbeille à côté d'une clé pour la supprimer
• Si vous supprimez votre dernière méthode MFA, l'authentification à deux facteurs sera entièrement désactivée

Régénérer les codes de récupération

Si vous avez utilisé certains codes de récupération ou si vous pensez qu'ils ont été compromis :

1. Accédez à Settings > Security
2. Cliquez sur Regenerate à côté du compteur de codes de récupération
3. Confirmez l'action (cela invalide tous les codes existants)
4. Sauvegardez le nouveau jeu de 10 codes

Désactiver la 2FA

Si vous souhaitez supprimer l'authentification à deux facteurs :

1. Accédez à Settings > Security
2. Supprimez votre application d'authentification et/ou vos clés de sécurité individuellement
3. Lorsque la dernière méthode MFA est supprimée, la 2FA est automatiquement désactivée

Votre compte reviendra à la vérification par e-mail pour la connexion.

Guides par appareil

Utiliser Touch ID sur Mac

Touch ID agit comme un authentificateur de plateforme via le standard WebAuthn. Votre empreinte digitale ne quitte jamais votre Mac — elle est vérifiée localement par la puce Secure Enclave, et seule une preuve cryptographique est envoyée à DNScale.

Configuration :

1. Accédez à Settings > Security et cliquez sur Add Security Key
2. Nommez-la, par exemple « MacBook Touch ID » ou « iMac Touch ID »
3. Cliquez sur Register — macOS affichera une invite Touch ID
4. Posez votre doigt sur le capteur Touch ID
5. L'enregistrement se termine instantanément

Connexion :

1. Saisissez votre adresse e-mail et votre mot de passe
2. Une invite « Verify your identity » apparaît — macOS affiche la boîte de dialogue Touch ID
3. Touchez le capteur — vous êtes connecté

Conseils :

• Touch ID fonctionne dans Safari, Chrome et les autres navigateurs prenant en charge WebAuthn
• Si vous utilisez plusieurs Mac, enregistrez Touch ID sur chacun séparément — chaque appareil possède sa propre puce Secure Enclave
• Si Touch ID échoue (par exemple, doigt mouillé), vous pouvez basculer vers une autre méthode sur l'écran de connexion
• Les identifiants Touch ID sont liés au Mac spécifique — si vous remplacez votre ordinateur, vous devrez l'enregistrer à nouveau

Utiliser une YubiKey

Les YubiKey sont des clés de sécurité matérielles USB ou NFC qui offrent une authentification résistante au phishing. Elles fonctionnent en vérifiant cryptographiquement le site sur lequel vous vous connectez, de sorte que les identifiants ne peuvent pas être volés par de fausses pages de connexion.

Configuration :

1. Insérez votre YubiKey dans un port USB (utilisez un adaptateur USB-C si nécessaire)
2. Accédez à Settings > Security et cliquez sur Add Security Key
3. Nommez-la (par exemple, « YubiKey 5 NFC », « YubiKey de secours »)
4. Cliquez sur Register — votre navigateur affiche une invite de clé de sécurité
5. Touchez le contact métallique sur la YubiKey lorsqu'il clignote
6. L'enregistrement est terminé

Connexion :

1. Saisissez votre adresse e-mail et votre mot de passe
2. Insérez votre YubiKey lorsque vous y êtes invité
3. Touchez le contact métallique — vous êtes connecté

Conseils :

• Enregistrez au moins deux YubiKey — gardez-en une de secours dans un endroit sûr
• Les modèles YubiKey 5 NFC fonctionnent également via NFC sur les téléphones — approchez la clé du dos de votre téléphone
• Les YubiKey fonctionnent sur tous vos appareils (contrairement à Touch ID qui est propre à chaque machine)
• La YubiKey n'a pas besoin de pile ni de recharge — elle est alimentée par le port USB
• Si vous perdez une YubiKey, connectez-vous avec une autre méthode, accédez aux paramètres et supprimez immédiatement la clé perdue

Utiliser une application d'authentification

Les applications d'authentification génèrent des codes à 6 chiffres qui changent toutes les 30 secondes. C'est ce qu'on appelle TOTP (Time-based One-Time Password). Le code est généré entièrement sur votre appareil — aucune connexion internet n'est nécessaire après la configuration initiale.

Applications populaires :

Configuration :

1. Installez l'application d'authentification de votre choix
2. Accédez à Settings > Security et cliquez sur Enable 2FA
3. Ouvrez votre application d'authentification et scannez le QR code affiché dans DNScale
4. Si vous ne pouvez pas scanner, appuyez sur « Can't scan? » pour voir la clé secrète et la saisir manuellement
5. Saisissez le code à 6 chiffres affiché par votre application pour vérifier la configuration
6. Sauvegardez vos codes de récupération

Connexion :

1. Saisissez votre adresse e-mail et votre mot de passe
2. Ouvrez votre application d'authentification et trouvez l'entrée DNScale
3. Saisissez le code à 6 chiffres actuel — vous êtes connecté

Conseils :

• Assurez-vous que l'horloge de votre téléphone est réglée sur automatique — les codes TOTP dépendent d'une heure précise
• Si vous changez de téléphone, exportez vos comptes d'authentification avant de réinitialiser l'ancien téléphone (Google Authenticator prend en charge le transfert de comptes, Authy se synchronise automatiquement)
• Envisagez d'utiliser un gestionnaire de mots de passe avec TOTP intégré (1Password, Bitwarden) pour que vos codes soient sauvegardés et disponibles sur tous vos appareils
• Faites une capture d'écran du QR code lors de la configuration et sauvegardez-la dans votre gestionnaire de mots de passe — cela vous permet de réajouter le compte si vous perdez votre téléphone sans avoir à désactiver puis réactiver la 2FA

Bonnes pratiques de sécurité

• Utilisez une clé de sécurité matérielle pour la meilleure protection contre le phishing — WebAuthn vérifie cryptographiquement l'origine du site, de sorte que les identifiants ne peuvent pas être réutilisés sur de faux sites
• Enregistrez une clé de sécurité de secours au cas où votre clé principale serait perdue, volée ou endommagée
• Utilisez un gestionnaire de mots de passe pour stocker vos codes de récupération en toute sécurité
• Ne partagez pas votre clé secrète TOTP, vos clés de sécurité ou vos codes de récupération avec quiconque
• Gardez l'horloge de votre téléphone à l'heure — les codes TOTP sont basés sur le temps
• Régénérez vos codes de récupération après en avoir utilisé un
• Activez la 2FA sur votre compte e-mail également — puisque l'e-mail est une méthode d'authentification de secours, protéger votre messagerie ajoute une couche de défense supplémentaire

Dépannage

« Invalid authenticator code »

• Assurez-vous de saisir le code actuellement affiché dans votre application (les codes changent toutes les 30 secondes)
• Vérifiez que l'horloge de votre téléphone est réglée sur l'heure automatique/réseau
• Si le problème persiste, essayez de supprimer et de réajouter le compte dans votre application d'authentification en désactivant puis réactivant la 2FA dans DNScale

Clé de sécurité non reconnue

• Assurez-vous que votre clé est correctement insérée dans le port USB
• Essayez un autre port USB ou utilisez un adaptateur USB-A si nécessaire
• Vérifiez que votre navigateur prend en charge WebAuthn (tous les navigateurs modernes le font)
• Sur macOS, assurez-vous que vous n'avez pas désactivé Touch ID dans les Réglages Système
• Si vous utilisez une clé NFC, maintenez-la près du lecteur NFC pendant quelques secondes

« The operation was cancelled »

• Vous avez peut-être fermé l'invite de clé de sécurité du navigateur. Cliquez à nouveau sur le bouton de vérification pour réessayer.
• Certains navigateurs expirent après environ 60 secondes — insérez votre clé et touchez-la rapidement après l'apparition de l'invite.

« This security key is already registered »

• La clé que vous essayez d'enregistrer est déjà associée à votre compte. Chaque clé physique ne peut être enregistrée qu'une seule fois par compte.

« No recovery codes available »

• Les 10 codes de récupération ont tous été utilisés. Contactez le support pour retrouver l'accès à votre compte.

Appareil d'authentification perdu

• Utilisez l'un de vos codes de récupération sauvegardés pour vous connecter
• Ou utilisez une clé de sécurité enregistrée si vous en avez une
• Une fois connecté, accédez aux paramètres et supprimez l'ancienne méthode TOTP, puis configurez-la à nouveau avec votre nouvel appareil
• Si vous n'avez pas de codes de récupération ni d'autre méthode MFA, contactez le support DNScale pour une vérification manuelle de votre identité

Clé de sécurité perdue

• Utilisez votre application d'authentification ou la vérification par e-mail pour vous connecter
• Ou utilisez un code de récupération
• Une fois connecté, accédez aux paramètres et supprimez la clé perdue
• Enregistrez une nouvelle clé de sécurité si vous avez un remplacement

Les codes expirent trop rapidement

Les codes TOTP sont valides pendant 30 secondes. Si votre code expire systématiquement avant que vous puissiez le saisir, vérifiez la synchronisation de l'horloge de votre appareil. Sur la plupart des téléphones, ce réglage se trouve dans Réglages > Date et heure > Automatique.