E-commerce
1 juillet 2026
« J'ai perdu mon téléphone, je ne peux plus me connecter. » « Mes codes de secours ne marchent pas. » « Comment désactiver la double authentification ? » Trois tickets où la 2FA mal gérée bloque accès compte et expose risque sécurité si l'agent contourne les procédures.
Le support authentification à deux facteurs e-commerce couvre perte appareil, codes backup, verrouillage, désactivation légitime et escalade identité. Distinct du login passwordless (#837) et de la connexion générale (#294) : ici, le client a déjà activé la 2FA et ne peut plus valider le second facteur.
Ce guide #839 déploie policy TWOFACT-SUP, flow TF-1 à TF-8 et matrice TWOFACT-MAP. Paire SAV du futur bot 2FA (#840).
Sommaire
Pourquoi la 2FA génère-t-elle des tickets support sensibles ?
La 2FA protège compte et historique commandes. Chaque échec second facteur bloque retours, adresses et réachat. L'agent désactive la 2FA sans vérifier identité ou promet récupération immédiate sans procédure escalade.
Cinq frictions typiques 2FA
Téléphone perdu ou volé : plus d'app authenticator ni SMS
Codes backup épuisés : client n'a pas sauvegardé les codes
Code SMS absent : délai opérateur, mauvais numéro
App réinitialisée : Google Authenticator sans export clé
Désactivation demandée : client veut retirer 2FA sans comprendre risque
La CNIL rappelle que la sécurisation compte doit s'accompagner de procédures de récupération vérifiables, sans affaiblir la protection par facilité excessive (CNIL, authentification 2026).
Exemple DTC
Électronique DTC, 14 tickets twofact_/mois. Après TWOFACT-MAP : twofact_secure_resolution_rate 87 %, incidents contournement identité 0 en 90 jours.
TWOFACT #839 vs MAGICLINK #837, LOGIN #294, ACCTEMAIL #825 et bot #840
Six contenus, six parcours sécurité compte distincts.
Matrice rapide
#839 TWOFACT : 2FA, backup codes, perte téléphone, escalade identité
MAGICLINK #837 : passwordless lien magique distinct second facteur
LOGIN #294 : connexion globale mot de passe OTP historique
ACCTEMAIL #825 : changer email login distinct récupération 2FA
ACCTDEL #823 : suppression compte doit désactiver 2FA avant delete
Bot #840 : dépanner 2FA tier 1 sans contourner
#839 = ma 2FA me bloque ou je veux la gérer. #837 = mon lien magique ne marche pas.
Promesse #839
Policy TWOFACT-SUP, arbre TWOFACT-GATE, 8 macros, matrice escalade identité, KPI twofact_secure_resolution_rate.
Quelles typologies twofact_* classifier ?
Classifier oriente action : backup code ≠ escalade identité ≠ guide SMS ≠ désactivation volontaire.
Huit typologies TWOFACT-MAP
twofact_lost_phone : appareil perdu, plus d'authenticator
twofact_backup_invalid : codes secours rejetés ou perdus
twofact_sms_not_received : code SMS absent
twofact_app_reset : app auth réinstallée sans clé
twofact_disable_request : veut retirer 2FA volontairement
twofact_locked_out : trop de tentatives, compte bloqué
twofact_method_confusion : SMS vs app vs email confusion
twofact_suspected_takeover : client pense compte compromis
Policy TWOFACT-SUP : règles agents et escalade
La policy TWOFACT-SUP fixe ce que l'agent peut faire sans affaiblir la sécurité compte.
Six règles TWOFACT-SUP
Vérifier identité avant désactivation : TWOFACT-ID-CHECK obligatoire escalade L2
Guider backup codes d'abord : macro TWOFACT-BACKUP avant bypass
Jamais désactiver 2FA N1 : reset 2FA admin L2 seulement après ID check
Documenter chaque action : méthode 2FA, action, agent, date ticket
Alerte takeover : twofact_suspected_takeover → TWOFACT-SECURE-ROUTE immédiat
Expliquer risque désactivation : TWOFACT-RISK avant disable volontaire
Matrice escalade identité (agent)
N1 : guide backup, SMS délai, confusion méthode
L2 : reset 2FA après vérif commande récente + pièce identité
L3 sécurité : takeover suspecté, fraude, contestation propriété compte
Flow TF-1 à TF-8 : résolution standard
Huit étapes séquentielles, SLA P2 sécurité compte < 4 h, L3 immédiat si takeover.
Flow TF-1 à TF-8
TF-1 Triage : lire demande, tag twofact_*, urgence takeover
TF-2 Lookup : méthode 2FA active Shopify ou tiers, dernière connexion
TF-3 Educate : TWOFACT-METHOD-DIFF si method_confusion
TF-4 Classify : twofact_* via TWOFACT-MAP
TF-5 Execute : guide backup, SMS wait, escalade L2 reset, secure route
TF-6 Confirm : macro TWOFACT-DONE périmètre exact
TF-7 Test : demander confirmer connexion ou 2FA réactivée
TF-8 Close : KPI twofact_secure_resolution_rate
Huit macros TWOFACT-* prêtes à coller
Macros claires sur backup, escalade et risque sécurité.
Bibliothèque TWOFACT-*
TWOFACT-METHOD-DIFF : « SMS : code reçu par texto. App : code généré par Google Authenticator ou similaire. Email : lien ou code selon config. »
TWOFACT-BACKUP : « Utilisez un code de secours à usage unique depuis votre liste sauvegardée. Chaque code ne fonctionne qu'une fois. »
TWOFACT-SMS-WAIT : « Code SMS sous 2 min. Vérifiez numéro {{phone_masked}} sur votre compte. Réessayez après 60 secondes. »
TWOFACT-RISK : « Désactiver la 2FA réduit la protection de votre compte et historique commandes. Nous recommandons de la conserver. »
TWOFACT-ID-CHECK : « Pour réinitialiser la 2FA, nous vérifions votre identité : dernière commande + pièce ID. Délai traitement {{sla}}. »
TWOFACT-SECURE-ROUTE : « Compte potentiellement compromis : 2FA maintenue, mot de passe reset, équipe sécurité contacte sous 2 h. »
TWOFACT-REENABLE : « Après récupération, réactivez la 2FA et sauvegardez nouveaux codes secours. »
TWOFACT-DONE : « Récap : action {{action}}. Prochaine étape {{next_step}}. Contactez-nous si blocage persiste. »
Arbre TWOFACT-GATE et configuration Shopify
Arbre décision avant désactivation 2FA non vérifiée.
TWOFACT-GATE
Backup codes disponibles ? → TWOFACT-BACKUP avant escalade
SMS absent ? → SMS-WAIT puis lookup numéro profil
Téléphone perdu sans backup ? → ID-CHECK escalade L2
Takeover suspecté ? → SECURE-ROUTE L3, pas disable N1
Checklist ops 2FA
Documenter procédure L2 reset 2FA Shopify admin. Former agents : jamais disable sans ID check. Tag twofact_* pour audit escalades. Sync procédure ACCTDEL #823 si suppression compte 2FA active.
KPI, QA et handoff vers bot #840
Mesurer TWOFACT détecte contournements sécurité et escalades manquées.
Quatre KPI TWOFACT
twofact_secure_resolution_rate : résolu procédure conforme / total
twofact_id_check_compliance : % reset 2FA avec ID check documenté
twofact_bypass_incidents : disable sans vérif, cible 0
twofact_repeat_7d : réouverture même sujet sous 7 jours
Handoff bot #840
Exporter TWOFACT-MAP vers intents bot_twofact_backup, bot_twofact_guide. Guardrail TWOFACT-NO-DISABLE-BOT : jamais promettre désactivation 2FA sans escalade L2.
Cas limites : B2B, staff admin, compte partagé
Trois cas hors flow standard.
Compte pro B2B
Plusieurs contacts, 2FA sur email admin entreprise. Vérifier mandat avant reset L2.
Staff Shopify admin vs client
2FA staff back-office distinct 2FA compte client. Ne pas mélanger procédures.
Changement numéro téléphone
SMS 2FA sur ancien numéro. Handoff ACCTEMAIL #825 si mise à jour profil requise.
Formation agents : 25 minutes TWOFACT
Module : backup first, ID check avant disable, SECURE-ROUTE si takeover.
Exercices
Ticket A : téléphone perdu → BACKUP puis ID-CHECK L2
Ticket B : veut désactiver 2FA → RISK puis ID-CHECK si confirmé
Ticket C : « quelqu'un a changé mon email » → SECURE-ROUTE L3
Comment Qstomy structure TWOFACT dans votre stack
Qstomy route twofact_*, bloque macros disable 2FA N1 et escalade takeover automatiquement.
Trois briques
Routing : intent two_factor vs login_general vs account_takeover
Guardrails : NO-DISABLE-N1 avant close
Bot #840 : guide backup tier 1 sans contourner sécurité
FAQ et checklist déploiement TWOFACT
FAQ
Agent N1 peut désactiver la 2FA ?
Non. ID-CHECK L2 minimum. twofact_bypass_incidents cible 0.
Différence #837 passwordless ?
#837 = lien magique sans mot de passe. #839 = second facteur déjà activé bloque connexion.
Client sans codes backup ?
Escalade L2 TWOFACT-ID-CHECK. Pas de raccourci admin sans vérif.
Checklist 7 jours
J1 : TWOFACT-SUP + TWOFACT-MAP + matrice escalade L1 L2 L3
J2 : 8 macros helpdesk
J3 : procédure L2 reset 2FA Shopify documentée
J4 : formation 25 min agents
J5 : tags twofact_* + KPI
J6 : drill takeover SECURE-ROUTE
J7 : brief bot #840 NO-DISABLE-BOT
Maillage

Enzo
1 juillet 2026





