Double authentification (2FA)
Les membres de l’association qui ont le droit de se connecter peuvent activer la double authentification. Cela requiert d’avoir un smartphone équipé d’une application spécifique comme Aegis.
Qu’est-ce que c’est ?
La double authentification, authentification à deux facteurs ou vérification en deux étapes (two-factor authentication en anglais, ou 2FA) est une méthode d’authentification forte par laquelle un utilisateur peut accéder à une ressource informatique (un ordinateur, un smartphone, une tablette ou encore un site web) après avoir présenté deux preuves d’identité distinctes à un mécanisme d’authentification (voir sur Wikipédia pour plus de détails).
Concrètement cela veut dire qu'à la connexion, après avoir fourni votre mot de passe, Paheko vous demandera également un code à usage unique. Ce code est généré par une application, qui est généralement installée sur un smartphone, et change toutes les 30 secondes.
De quoi la double authentification protège-t-elle ?
Dans de nombreux cas de vols de donnée, l'attaquant n'a fait usage d'aucune compétence particulière en informatique : pas besoin de savoir décompiler un noyau en assembleur. En effet, du fait du manque de sécurité criant des institutions publiques et des entreprises en général (le tout sans la moindre action de la CNIL, qui est occupée à se tourner les pouces), de nombreuses données volées sont déjà disponibles très largement. Même le ministère de l'Intérieur a laissé fuiter le fichier des victimes de crimes, c'est dire le peu d'importance donné à nos données !
Il suffit donc à un attaquant de se rendre sur un forum ou un site qui permet d'acheter ou de télécharger ces données gratuitement, et de tester les mots de passe qui s'y trouvent sur d'autres sites, car beaucoup de gens utilisent le même mot de passe pour tous leurs sites.
Prenons en exemple une personne au hasard, qui aurait vu ses données dévoilées par la Fédération Française d’Athlétisme lors d'une fuite en février 2026. Ces données comportent le mot de passe en clair. Il suffit à un attaquant de reprendre ce mot de passe et d'essayer de se connecter à sa place sur d'autres sites : très facile à faire.
La double authentification permet d'éviter à cet attaquant d'arriver à ses fins, car il ne sera pas en possession du téléphone de la victime, et ne pourra donc pas se connecter car il ne pourra pas fournir le code à 6 chiffres qui change toutes les 30 secondes.
C'est donc une protection contre le vol de mot de passe à distance.
Ce n'est pas une protection contre le vol d'un téléphone qui contiendrait à la fois l'application de double authentification et le mot de passe. Cela ne protège pas non plus contre un attaquant déterminé qui aurait le temps et l'argent (comme par exemple la police) d'installer un mouchard sur votre téléphone ou votre ordinateur.
Ce n'est donc pas une sécurité absolue, mais une « serrure de plus » sur la porte permettant d'accéder aux données de votre association : cela rend les choses plus difficiles pour un attaquant.
Pour cette raison, nous recommandons fortement l'activation de la double authentification pour tous les comptes administrateur ou ayant accès à la liste des membres. En effet le RGPD exige une sécurisation de l'accès aux données personnelles de vos membres. Pour cela le mot de passe ne suffit pas.
Prérequis : installation d'une application de double authentification
Vous devez avoir installé sur votre téléphone une application de 2FA (aussi appelé OTP pour « One Time Password »). Nous recommandons :
- Aegis sur Android : dispo sur F-Droid ou Google Play Store (voir aussi Comment utiliser Aegis)
- FreeOTP sur iPhone : dispo sur Apple store
Il est aussi possible d'utiliser une application sur ordinateur comme KeepassXC, mais c'est un usage avancé réservé aux utilisateurs⋅ices averti⋅e⋅s.
Activer la double authentification
Depuis l'ordinateur, sur votre espace personnel, rendez-vous dans le menu Mes infos personnelles puis allez sur l’onglet Mot de passe et options de sécurité. Sous **Double authentification (2FA), cliquez sur le bouton Activer.
Une page s'affiche en donnant une clé secrète et un QR code. Scannez le QR code avec l'application de votre téléphone, ou sinon si ça ne marche pas, recopiez la clef (quatre mots).
L'application vous donnera alors un code qu'il faudra rentrer dans le champ Code TOTP.
Rentrez une fois votre mot de passe d'accès à votre compte membre Paheko s'il est demandé, puis appuyez sur le bouton Confirmer. La double authentification sera alors activée.
Codes de secours
Après avoir activé la double authentification, Paheko vous affichera une liste de codes de secours à usage unique.
Ces codes sont à conserver en lieu sûr, vous pouvez par exemple les écrire dans un carnet qui restera chez vous, ou sur un post-it caché dans votre livre préféré.
Chacun de ces codes ne peut être utilisé qu'une fois et sera utile si vous perdez votre téléphone. Vous pourrez alors utiliser un de ces codes à la place du code 2FA du téléphone.
Se connecter à votre compte Paheko avec la double authentification
Pour se connecter à Paheko par la suite il faudra à la fois rentrer votre mot de passe de compte et le code à six chiffres affiché par l’application de double authentification.
Si le procédé de double authentification vous paraît lourd, vous pourrez toujours le désactiver, toujours depuis le menu Mes infos personnelles, onglet Mot de passe et options de sécurité.
Voir aussi
Mis à jour le samedi 2 mai 2026