Double authentification (MFA TOTP)
La double authentification ajoute un second facteur à la connexion : en plus du mot de passe, un code à 6 chiffres valide 30 secondes, généré par une application sur votre téléphone. Même si votre mot de passe est compromis, un attaquant ne peut pas se connecter sans ce code.
Qu'est-ce que le MFA TOTP ?
TOTP signifie Time-based One-Time Password (mot de passe à usage unique basé sur le temps), défini par la RFC 6238. Le principe :
- Lors de la configuration, un secret partagé est enregistré dans votre application d'authentification.
- À chaque connexion, l'application génère un code de 6 chiffres valide 30 secondes, calculé à partir de ce secret et de l'heure courante.
- Badgr vérifie que le code fourni correspond au code attendu pour la fenêtre de temps actuelle.
Pour un outil RH contenant des données de présence réelles, le MFA est particulièrement recommandé : il protège les données des employés contre les accès non autorisés, y compris en cas de réutilisation de mot de passe sur un autre service.
Applications compatibles
Toute application conforme RFC 6238 (algorithme SHA1, 6 chiffres, période 30 s) est compatible avec Badgr. Exemples courants :
| Application | Plateformes | Notes |
|---|---|---|
| Google Authenticator | iOS, Android | Simple, sans sauvegarde cloud native. |
| Microsoft Authenticator | iOS, Android | Sauvegarde cloud optionnelle, push disponible pour comptes Microsoft. |
| Authy | iOS, Android, desktop | Sauvegarde chiffrée dans le cloud, accès multi-appareils. |
| Bitwarden | iOS, Android, extension navigateur | Intègre gestionnaire de mots de passe + TOTP. |
| 1Password | iOS, Android, desktop | Idem — TOTP intégré au gestionnaire de mots de passe. |
| Aegis | Android uniquement | Open source, sauvegarde locale chiffrée. |
| Raivo OTP | iOS uniquement | Open source, synchronisation iCloud optionnelle. |
Activer la MFA sur son compte
- Accédez à Paramètres → Sécurité & Accès.
- Dans la carte Authentification à deux facteurs, cliquez sur Configurer le MFA.
- Un QR code s'affiche. Scannez-le avec votre application d'authentification.
- Saisissez le code à 6 chiffres affiché par l'application pour confirmer que le secret a bien été enregistré.
- Badgr affiche vos 8 codes de secours — conservez-les immédiatement (voir ci-dessous).
À partir de cet instant, chaque connexion nécessite email + mot de passe + code TOTP.
Codes de secours
Au moment de la confirmation du MFA, Badgr génère 8 codes de secours au format XXXX-XXXX. Ces codes permettent de se connecter si vous n'avez plus accès à votre application d'authentification (téléphone perdu, effacé, application réinstallée).
Les codes de secours sont affichés une seule fois et ne peuvent pas être consultés à nouveau depuis Badgr. Notez-les sur papier ou dans un gestionnaire de mots de passe sécurisé avant de fermer l'assistant.
Chaque code de secours est à usage unique : une fois utilisé pour se connecter, il est invalidé. Les codes inutilisés restent valides jusqu'à la désactivation du MFA.
Les codes sont stockés en base de données sous forme hachée (bcrypt) — Badgr ne peut pas vous les re-communiquer. Si vous avez perdu tous vos codes et n'avez plus accès à votre application, contactez le support.
Se connecter avec la MFA active
- Saisissez votre email et votre mot de passe comme d'habitude.
- Si les identifiants sont corrects et que le MFA est activé sur votre compte, un second écran vous demande le code à 6 chiffres.
- Ouvrez votre application d'authentification, saisissez le code affiché, et validez.
Le code est valide pour la fenêtre de 30 secondes en cours et les deux fenêtres adjacentes (tolérance de ±30 s pour les horloges légèrement désynchronisées). En dehors de cette fenêtre, le code est rejeté.
Si vous avez perdu votre application, saisissez un code de secours à la place du code TOTP — le format XXXX-XXXX est accepté au même endroit.
Désactiver la MFA
- Accédez à Paramètres → Sécurité & Accès.
- Cliquez sur Désactiver le MFA.
- Saisissez un code TOTP valide (ou un code de secours) pour confirmer.
La désactivation révoque le secret, invalide tous les codes de secours restants, et retire l'exigence de second facteur à la prochaine connexion.
Si l'owner a activé la politique "Exiger le MFA pour les owners / admins", vous ne pourrez pas désactiver le MFA tant que cette politique est en vigueur — la demande sera refusée par le serveur.
Politique MFA d'entreprise
L'owner peut imposer le MFA à l'ensemble des owners/admins et/ou des managers, depuis Paramètres → Sécurité & Accès → Politique MFA.
Deux toggles indépendants :
- Exiger le MFA pour les owners / admins — affecte tous les comptes avec le rôle owner ou admin.
- Exiger le MFA pour les managers — affecte tous les comptes manager du tenant.
Dès l'enregistrement, les utilisateurs concernés sans MFA configuré sont redirigés vers l'assistant d'activation à leur prochaine connexion. Ils ne peuvent pas accéder à leur espace avant d'avoir terminé la configuration.
Badgr refuse d'activer la politique "Exiger le MFA pour les owners" si l'owner qui l'active n'a pas encore configuré son propre MFA. Cela évite de se retrouver bloqué hors de son compte immédiatement après l'activation.
Documentation à jour au 13 mai 2026. Données vérifiées dans api/lib/totp.php (RFC 6238, 8 codes de secours format XXXX-XXXX, SHA1/6 digits/30s) et api/admin/mfa_setup.php (actions : initiate, confirm, disable, update_policy ; codes de secours hachés en bcrypt ; protection anti-auto-blocage owner). Si vous remarquez une incohérence, écrivez-nous.
Besoin d'aide ? Contactez le support Badgr
Notre équipe répond en moins de 24h en jours ouvrés.
Réponse sous 24h en jours ouvrés.