Compte, Gérer

Sécurité »Identification à deux facteurs

Votre site WordPress.com constitue votre chez-vous sur Internet. Il est donc normal de vouloir le protéger. Heureusement, vous avez déjà choisi un mot de passe unique et difficile à deviner pour votre compte. Pour ajouter une couche de sécurité supplémentaire, vous pouvez activer l’identification à deux facteurs.


Qu’est-ce que l’identification à deux facteurs ?

L’identification à deux facteurs est une méthode de sécurisation des comptes impliquant que vous  connaissiez quelque chose (un mot de passe) pour vous connecter, mais également que vous  possédiez quelque chose (votre appareil mobile ou une clé physique). L’avantage de cette méthode est que même si une personne devine votre mot de passe, elle doit également avoir volé votre bien pour accéder à votre compte.

Chez WordPress.com, nous proposons l’identification à deux facteurs par le biais d’un appareil mobile et d’une clé de sécurité physique. Tout d’abord, nous vérifions votre appareil mobile en envoyant un code par l’une des deux méthodes. Une fois que vous avez vérifié votre appareil mobile, vous pouvez également ajouter l’authentification qui utilise une clé physique à la place.

Lorsque l’identification à deux facteurs est configurée, à chaque fois que vous vous connectez avec votre mot de passe, nous envoyons un nouveau code sur votre appareil que vous devez entrer, ou bien vous devez insérer votre clé physique avant la connexion. Cela ajoute une petite étape supplémentaire au processus de connexion, mais rend votre compte beaucoup plus sécurisé.


Configuration avec une application d’authentification en 2 étapes

Pour configurer l’identification à deux facteurs via une application d’authentification en 2 étapes, comme Google Authenticator, Authy ou Duo, sur votre appareil, vous devez commencer dans un navigateur de bureau.

Tout d’abord, accédez à la page de réglages Identification à deux facteurs sur WordPress.com.

Ou bien vous pouvez ouvrir les réglages en cliquant sur votre image de profil sur la page d’accueil de WordPress.com :

Lien du profil

Ensuite, cliquez sur le lien « Sécurité » sur le côté gauche de l’écran :

Menu Compte, lien Sécurité

Ensuite, cliquez sur Identification à deux facteurs, puis sur Commencer.

Réglages de l’identification à deux facteurs

Sur cet écran, il vous est demandé de sélectionner votre pays et de fournir votre numéro de téléphone portable (sans code pays, espace ni tiret). Une fois cela fait, cliquez sur Vérifier via l’application.

Saisir le numéro de téléphone

Ensuite, scannez le code QR présenté avec votre application d’authentification en 2 étapes. Un nombre à six chiffres s’affiche sur l’application d’authentification. Entrez-le dans le champ fourni et cliquez sur Activer.

Scanner le code QR et vérifier le code

Enfin, vous serez invité(e) à imprimer des codes de sauvegarde. N’ignorez pas cette étape, car elle représente votre seul moyen de vous reconnecter à votre compte sans l’aide de notre équipe au cas où vous perdriez votre appareil !

Remarque : si votre navigateur Web est réglé pour bloquer les fenêtres contextuelles, vous devrez peut-être désactiver temporairement cette fonctionnalité, car elle empêche l’ouverture de la fenêtre avec vos codes de sauvegarde.

Cliquez sur Terminé.

À ce stade, votre site est activé pour l’identification à deux facteurs. Une étape de suivi vous permet de confirmer que vos codes de sauvegarde fonctionnent en saisissant l’un des codes imprimés.

Vérifier le code de sauvegarde

↑ Table des matières ↑

Configuration avec des codes SMS

Si vous êtes dans l’incapacité de configurer l’identification à deux facteurs avec une application d’authentification en 2 étapes, vous pouvez le faire avec des messages SMS. Pour cela, saisissez votre numéro de téléphone comme décrit ci-dessus, puis cliquez sur Vérifier par SMS.

Vérifier par SMS

Après un court instant, vous devriez recevoir un SMS contenant un nombre à 7 chiffres. Entrez ce nombre dans le champ fourni et cliquez sur Activer.

À partir de là, vous pouvez imprimer et vérifier les codes de sauvegarde comme indiqué ci-dessus. Votre compte est désormais protégé par une identification à deux facteurs.

Les applications pour smartphone qui bloquent les appels automatisés peuvent également bloquer nos messages.


↑ Table des matières ↑

Authentification par clé de sécurité

WordPress.com prend en charge la vérification de la connexion avec des clés de sécurité physiques utilisant la norme WebAuthn.

Au lieu de saisir un code que vous obtenez par SMS ou via une application, comme Google Authenticator, après avoir entré votre mot de passe, vous insérez une clé physique. Ensuite, vous appuyez sur un bouton sur cette clé pour terminer la vérification et vous connecter. Sans cette clé physique, personne ne peut se connecter à votre compte, même si votre mot de passe est connu.

Conditions
  • Disposer d’un ordinateur avec un port USB et la dernière version d’un navigateur compatible, comme Chrome, Firefox, Opera ou Edge.
    (Remarque : actuellement, Chrome et Firefox présentent généralement la meilleure compatibilité pour cela, donc nous vous conseillons ces navigateurs pour bénéficier de la meilleure expérience possible.)
  • Disposer d’une clé qui s’insère dans un port USB et qui fonctionne avec FIDO2, comme la clé YubiKey de Yubico ou Titan de Google (les appareils utilisant l’ancienne norme FIDO U2F devraient également fonctionner). Consultez la documentation de support de votre clé pour en savoir plus sur les types d’appareils et les navigateurs qu’elle prend en charge.
Ajouter une clé

Remarque : vous devez effectuer les étapes ci-dessus pour activer l’identification à deux facteurs par SMS ou via une application d’authentification en 2 étapes avant de pouvoir ajouter une clé de sécurité.

Une fois la configuration de l’identification à deux facteurs via une application ou par SMS terminée, une option pour ajouter une clé de sécurité apparaîtra. Cliquez sur Enregistrer une clé.

Enregistrer une clé de sécurité

Vous avez la possibilité d’enregistrer plusieurs clés. Vous pouvez donc nommer votre clé de façon à distinguer cette dernière de celles que vous ajouterez plus tard. Saisissez un nom unique et cliquez sur Enregistrer une clé.

À ce stade, insérez votre clé dans un port USB de votre ordinateur et, selon le type de clé, appuyez sur le bouton ou sur le disque doré sur la clé.

Branchez et sélectionnez votre clé de sécurité pour l’enregistrer

Si l’opération a réussi, un message s’affiche sur l’écran et la clé est désormais répertoriée dans la section Clé de sécurité.

Liste de clés de sécurité

Une fois configurée, vous ne pourrez plus accéder à votre compte sans cette clé. Faites-y attention comme vous faites attention à vos clés de maison ou de voiture !

Pensez également à ajouter une deuxième clé, comme option de secours, et gardez-la dans un endroit sûr au cas où vous perdriez votre clé principale. Pour ajouter des clés supplémentaires, cliquez de nouveau sur Enregistrer une clé.

Supprimer une clé

Si vous souhaitez supprimer une clé de sécurité que vous avez ajoutée auparavant (par exemple si une clé a été perdue ou ne fonctionne plus), vous pouvez la déconnecter de votre compte.

Accédez à la page Identification à deux facteurs dans les réglages de votre profil, cliquez sur l’icône Corbeille, puis sur Supprimer la clé dans le message de confirmation qui s’affiche.

Supprimer une clé de sécurité

↑ Table des matières ↑

Connexion

Le processus de connexion varie légèrement du processus habituel lorsque l’identification à deux facteurs est activée. Que vous ayez utilisé la méthode par Google Authenticator ou la méthode par SMS pour activer l’identification à deux facteurs, vous commencez en vous connectant avec votre identifiant et votre mot de passe.

Image de l’écran de connexion
Connexion à WordPress.com

Ensuite, il vous est demandé d’entrer le code de vérification qui a été envoyé à votre appareil.

Entrer le code de l’identification à deux facteurs

Si vous avez configuré l’identification à deux facteurs avec une application d’authentification en 2 étapes, ouvrez l’application sur votre appareil et saisissez le nombre à six chiffres répertorié pour le compte. Si vous utilisez un SMS pour l’identification à deux facteurs, nous vous enverrons un SMS contenant un nombre à six chiffres. Une fois le code entré, vous êtes connecté(e) et prêt(e) à bloguer.

Si une clé de sécurité a été configurée, une invite s’affiche et vous demande si vous voulez réaliser une vérification avec votre clé, ou bien avec l’application d’authentification en 2 étapes ou un SMS. Pour réaliser une vérification avec votre clé, cliquez sur Continuer avec la clé de sécurité.

Options de l’authentification en deux étapes

Ensuite, une invite s’affiche vous demandant de brancher votre clé. Insérez la clé dans un port USB de votre ordinateur et, selon le type de clé, appuyez sur le bouton ou sur le disque doré sur la clé pour terminer la connexion.

Invite pour brancher la clé de sécurité et terminer la connexion.

Remarque : si la vérification dure trop longtemps, la demande de vérification sera annulée et un message d’erreur s’affichera. Cliquez de nouveau sur Continuer avec la clé de sécurité pour redémarrer la vérification.


↑ Table des matières ↑

Codes de sauvegarde

Nous ne voulons pas que vous perdiez l’accès à votre compte WordPress.com. Vous devez toujours être en mesure de vous connecter s’il est perdu, volé, si votre compte est verrouillé pour une quelconque raison ou si votre appareil doit être nettoyé (ce qui supprimerait Google Authenticator).

Pour vous assurer que votre compte n’est jamais verrouillé, vous pouvez générer un ensemble de dix codes de sauvegarde à usage unique. Nous vous recommandons d’imprimer les codes de sauvegarde et de les conserver dans un endroit sûr, comme un portefeuille ou une armoire à documents. (Ne les conservez pas sur votre ordinateur. Ils seraient accessibles à toute personne utilisant votre machine.) 

La génération de codes de sauvegarde est essentielle et doit être effectuée. Le jour où vous devez utiliser un code de sauvegarde, connectez-vous normalement et, lorsque l’on vous demande le code de connexion, entrez le code de sauvegarde à la place.

À la fin du processus de configuration de l’authentification en deux étapes, vous aurez la possibilité de générer des codes de sauvegarde :

Imprimer des codes de sauvegarde

Imprimez les codes ; ne vous contentez pas de les sauvegarder. Cliquez ensuite sur Terminé ! pour fermer cet écran.

Si vous perdez votre liste de codes de sauvegarde ou si cette dernière est compromise, vous pouvez générer un nouvel ensemble de codes. Pour plus de sécurité, cela désactivera tous les codes générés précédemment.

Générer de nouveaux codes de sauvegarde

Vous ne pouvez générer les codes de sauvegarde que depuis un navigateur de bureau. Par exemple, Safari sur iOS n’affiche pas les codes de sauvegarde. De plus, si votre navigateur Web est réglé pour bloquer les fenêtres contextuelles, vous devez désactiver temporairement cette fonctionnalité, car elle empêche l’ouverture de la fenêtre avec vos codes de sauvegarde.


↑ Table des matières ↑

Mots de passe spécifiques aux applications

Certaines applications se connectant à votre compte WordPress.com peuvent ne pas prendre encore complètement en charge l’identification à deux facteurs. Les plus courantes sont les applications Jabber utilisées pour s’abonner à des blogs WordPress.com. Pour ces applications, vous pouvez générer des mots de passe uniques pour chaque application (par exemple, vous pouvez avoir un mot de passe différent sur votre téléphone et sur votre tablette). Vous pouvez ensuite désactiver des mots de passe individuels et exclure des applications de votre compte pour empêcher d’autres personnes d’accéder à vos sites.

Pour générer des mots de passe spécifiques aux applications, revenez à la section Identification à deux facteurs et accédez à « Mots de passe d’applications » :

Invite du mot de passe d’application

Donnez un nom à l’application (vous serez seul(e) à voir ce nom, donc choisissez le nom de votre choix) et cliquez sur « Générer un mot de passe ». WordPress.com créera un mot de passe unique de 16 caractères que vous pourrez copier et coller la prochaine fois que vous vous connecterez à votre compte sur cet appareil. L’application mémorisera ce mot de passe à votre place.

Votre page Sécurité conserve une liste de toutes les applications pour lesquelles vous avez généré des mots de passe. Si l’un de vos appareils est perdu ou volé, ou si vous voulez simplement révoquer l’accès à une application particulière, vous pouvez visiter cette page à tout moment et cliquer sur « X » pour désactiver le mot de passe et empêcher l’application d’accéder à votre compte :

Supprimer le mot de passe de l’application

↑ Table des matières ↑

Désactivation de l’identification à deux facteurs

Nous ne vous conseillons pas de désactiver l’identification à deux facteurs, car c’est beaucoup moins sûr, même si vous pensez que votre mot de passe est très fort. Mais, si vous y tenez, vous pouvez désactiver la fonctionnalité en accédant à la page Identification à deux facteurs

La page indique que la fonctionnalité est activée et vous pouvez cliquer sur le bouton Désactiver l’identification à deux facteurs.  Il vous sera demandé d’entrer un code pour confirmer que vous avez toujours accès à l’appareil que vous avez utilisé au départ pour configurer l’identification à deux facteurs. Si vous utilisez une application d’authentification en 2 étapes, ouvrez-la et fournissez le code qu’elle indique. Si vous utilisez un SMS, vous recevrez le code à utiliser. (Ce code est différent du code que vous avez utilisé pour vous connecter à votre compte. Vous pouvez également utiliser l’un de vos codes de sauvegarde pour cette étape.)

Cliquez sur Désactiver après avoir entré le code. Désormais, votre compte n’est plus protégé par l’identification à deux facteurs.

Désactiver l’identification à deux facteurs

Remarque : il n’est pas possible d’utiliser une clé de sécurité pour désactiver l’identification à deux facteurs. Pour cela, seuls un code reçu par SMS, votre application d’authentification en 2 étapes ou un code de sauvegarde peuvent être utilisés.


↑ Table des matières ↑

Transfert vers un nouvel appareil

Si vous prévoyez de passer à un nouvel appareil, et si vous avez activé l’identification à deux facteurs, vous devez réaliser les étapes suivantes pour empêcher le verrouillage accidentel de votre compte d’utilisateur.

Si vous utilisez une application d’authentification en 2 étapes pour générer des codes de vérification :

  1. Imprimez un ensemble de codes de sauvegarde pour votre compte d’utilisateur en suivant cette procédure. N’IGNOREZ PAS CETTE ÉTAPE.
  2. Sur votre nouvel appareil, installez l’application d’authentification en 2 étapes.
  3. Désactivez le lien de l’identification à deux facteurs pointant vers votre ancien appareil en suivant cette procédure.
  4. Configurez votre compte d’utilisateur à lier à votre nouvel appareil en suivant cette procédure.
  5. S’il vous est demandé d’entrer votre code de vérification, utilisez un code de votre liste de codes de sauvegarde. Les codes de sauvegarde ne peuvent être utilisés qu’une seule fois.
  6. Vous pouvez maintenant désinstaller l’application d’authentification en 2 étapes de votre ancien appareil.

Si vous utilisez l’application mobile WordPress.com pour gérer et publier sur votre site :

  1. Créez un nouveau mot de passe spécifique de l’application en suivant cette procédure.
  2. Entrez votre nouveau mot de passe d’application lorsque vous utilisez cette application sur votre nouvel appareil.

Si vous utilisez un SMS pour recevoir des codes d’authentification, vous n’aurez pas besoin de mettre à jour vos réglages, sauf si votre numéro de téléphone change également. Dans ce cas, vous devez configurer un nouveau numéro de récupération avant de déconnecter votre ancien numéro SMS en suivant cette procédure.


↑ Table des matières ↑

Si vous perdez votre appareil

Si vous perdez votre appareil ou votre clé de sécurité, si vous supprimez accidentellement l’application d’authentification en 2 étapes ou si votre compte est verrouillé, la seule façon d’accéder à nouveau à votre compte est d’utiliser un code de sauvegarde.

Pour utiliser un code de sauvegarde, remplissez vos détails de connexion comme vous le feriez d’habitude. Lorsque votre code de connexion vous est demandé, entrez le code de sauvegarde à la place. N’oubliez pas : les codes de sauvegarde ne sont valables qu’une seule fois chacun, donc soyez prudent(e) en les utilisant.