E-commerce

Comment gérer les questions clients sur l'authentification à deux facteurs

Comment gérer les questions clients sur l'authentification à deux facteurs

1 juillet 2026

« J'ai perdu mon téléphone, je ne peux plus me connecter. » « Mes codes de secours ne marchent pas. » « Comment désactiver la double authentification ? » Trois tickets où la 2FA mal gérée bloque accès compte et expose risque sécurité si l'agent contourne les procédures.

Le support authentification à deux facteurs e-commerce couvre perte appareil, codes backup, verrouillage, désactivation légitime et escalade identité. Distinct du login passwordless (#837) et de la connexion générale (#294) : ici, le client a déjà activé la 2FA et ne peut plus valider le second facteur.

Ce guide #839 déploie policy TWOFACT-SUP, flow TF-1 à TF-8 et matrice TWOFACT-MAP. Paire SAV du futur bot 2FA (#840).

Sommaire

Pourquoi la 2FA génère-t-elle des tickets support sensibles ?

La 2FA protège compte et historique commandes. Chaque échec second facteur bloque retours, adresses et réachat. L'agent désactive la 2FA sans vérifier identité ou promet récupération immédiate sans procédure escalade.

Cinq frictions typiques 2FA

  • Téléphone perdu ou volé : plus d'app authenticator ni SMS

  • Codes backup épuisés : client n'a pas sauvegardé les codes

  • Code SMS absent : délai opérateur, mauvais numéro

  • App réinitialisée : Google Authenticator sans export clé

  • Désactivation demandée : client veut retirer 2FA sans comprendre risque

La CNIL rappelle que la sécurisation compte doit s'accompagner de procédures de récupération vérifiables, sans affaiblir la protection par facilité excessive (CNIL, authentification 2026).

Exemple DTC

Électronique DTC, 14 tickets twofact_/mois. Après TWOFACT-MAP : twofact_secure_resolution_rate 87 %, incidents contournement identité 0 en 90 jours.

TWOFACT #839 vs MAGICLINK #837, LOGIN #294, ACCTEMAIL #825 et bot #840

Six contenus, six parcours sécurité compte distincts.

Matrice rapide

#839 = ma 2FA me bloque ou je veux la gérer. #837 = mon lien magique ne marche pas.

Promesse #839

Policy TWOFACT-SUP, arbre TWOFACT-GATE, 8 macros, matrice escalade identité, KPI twofact_secure_resolution_rate.

Quelles typologies twofact_* classifier ?

Classifier oriente action : backup code ≠ escalade identité ≠ guide SMS ≠ désactivation volontaire.

Huit typologies TWOFACT-MAP

  • twofact_lost_phone : appareil perdu, plus d'authenticator

  • twofact_backup_invalid : codes secours rejetés ou perdus

  • twofact_sms_not_received : code SMS absent

  • twofact_app_reset : app auth réinstallée sans clé

  • twofact_disable_request : veut retirer 2FA volontairement

  • twofact_locked_out : trop de tentatives, compte bloqué

  • twofact_method_confusion : SMS vs app vs email confusion

  • twofact_suspected_takeover : client pense compte compromis

Policy TWOFACT-SUP : règles agents et escalade

La policy TWOFACT-SUP fixe ce que l'agent peut faire sans affaiblir la sécurité compte.

Six règles TWOFACT-SUP

  1. Vérifier identité avant désactivation : TWOFACT-ID-CHECK obligatoire escalade L2

  2. Guider backup codes d'abord : macro TWOFACT-BACKUP avant bypass

  3. Jamais désactiver 2FA N1 : reset 2FA admin L2 seulement après ID check

  4. Documenter chaque action : méthode 2FA, action, agent, date ticket

  5. Alerte takeover : twofact_suspected_takeover → TWOFACT-SECURE-ROUTE immédiat

  6. Expliquer risque désactivation : TWOFACT-RISK avant disable volontaire

Matrice escalade identité (agent)

  • N1 : guide backup, SMS délai, confusion méthode

  • L2 : reset 2FA après vérif commande récente + pièce identité

  • L3 sécurité : takeover suspecté, fraude, contestation propriété compte

Flow TF-1 à TF-8 : résolution standard

Huit étapes séquentielles, SLA P2 sécurité compte < 4 h, L3 immédiat si takeover.

Flow TF-1 à TF-8

  1. TF-1 Triage : lire demande, tag twofact_*, urgence takeover

  2. TF-2 Lookup : méthode 2FA active Shopify ou tiers, dernière connexion

  3. TF-3 Educate : TWOFACT-METHOD-DIFF si method_confusion

  4. TF-4 Classify : twofact_* via TWOFACT-MAP

  5. TF-5 Execute : guide backup, SMS wait, escalade L2 reset, secure route

  6. TF-6 Confirm : macro TWOFACT-DONE périmètre exact

  7. TF-7 Test : demander confirmer connexion ou 2FA réactivée

  8. TF-8 Close : KPI twofact_secure_resolution_rate

Huit macros TWOFACT-* prêtes à coller

Macros claires sur backup, escalade et risque sécurité.

Bibliothèque TWOFACT-*

  • TWOFACT-METHOD-DIFF : « SMS : code reçu par texto. App : code généré par Google Authenticator ou similaire. Email : lien ou code selon config. »

  • TWOFACT-BACKUP : « Utilisez un code de secours à usage unique depuis votre liste sauvegardée. Chaque code ne fonctionne qu'une fois. »

  • TWOFACT-SMS-WAIT : « Code SMS sous 2 min. Vérifiez numéro {{phone_masked}} sur votre compte. Réessayez après 60 secondes. »

  • TWOFACT-RISK : « Désactiver la 2FA réduit la protection de votre compte et historique commandes. Nous recommandons de la conserver. »

  • TWOFACT-ID-CHECK : « Pour réinitialiser la 2FA, nous vérifions votre identité : dernière commande + pièce ID. Délai traitement {{sla}}. »

  • TWOFACT-SECURE-ROUTE : « Compte potentiellement compromis : 2FA maintenue, mot de passe reset, équipe sécurité contacte sous 2 h. »

  • TWOFACT-REENABLE : « Après récupération, réactivez la 2FA et sauvegardez nouveaux codes secours. »

  • TWOFACT-DONE : « Récap : action {{action}}. Prochaine étape {{next_step}}. Contactez-nous si blocage persiste. »

Arbre TWOFACT-GATE et configuration Shopify

Arbre décision avant désactivation 2FA non vérifiée.

TWOFACT-GATE

  1. Backup codes disponibles ? → TWOFACT-BACKUP avant escalade

  2. SMS absent ? → SMS-WAIT puis lookup numéro profil

  3. Téléphone perdu sans backup ? → ID-CHECK escalade L2

  4. Takeover suspecté ? → SECURE-ROUTE L3, pas disable N1

Checklist ops 2FA

Documenter procédure L2 reset 2FA Shopify admin. Former agents : jamais disable sans ID check. Tag twofact_* pour audit escalades. Sync procédure ACCTDEL #823 si suppression compte 2FA active.

KPI, QA et handoff vers bot #840

Mesurer TWOFACT détecte contournements sécurité et escalades manquées.

Quatre KPI TWOFACT

  • twofact_secure_resolution_rate : résolu procédure conforme / total

  • twofact_id_check_compliance : % reset 2FA avec ID check documenté

  • twofact_bypass_incidents : disable sans vérif, cible 0

  • twofact_repeat_7d : réouverture même sujet sous 7 jours

Handoff bot #840

Exporter TWOFACT-MAP vers intents bot_twofact_backup, bot_twofact_guide. Guardrail TWOFACT-NO-DISABLE-BOT : jamais promettre désactivation 2FA sans escalade L2.

Cas limites : B2B, staff admin, compte partagé

Trois cas hors flow standard.

Compte pro B2B

Plusieurs contacts, 2FA sur email admin entreprise. Vérifier mandat avant reset L2.

Staff Shopify admin vs client

2FA staff back-office distinct 2FA compte client. Ne pas mélanger procédures.

Changement numéro téléphone

SMS 2FA sur ancien numéro. Handoff ACCTEMAIL #825 si mise à jour profil requise.

Formation agents : 25 minutes TWOFACT

Module : backup first, ID check avant disable, SECURE-ROUTE si takeover.

Exercices

  • Ticket A : téléphone perdu → BACKUP puis ID-CHECK L2

  • Ticket B : veut désactiver 2FA → RISK puis ID-CHECK si confirmé

  • Ticket C : « quelqu'un a changé mon email » → SECURE-ROUTE L3

Comment Qstomy structure TWOFACT dans votre stack

Qstomy route twofact_*, bloque macros disable 2FA N1 et escalade takeover automatiquement.

Trois briques

  • Routing : intent two_factor vs login_general vs account_takeover

  • Guardrails : NO-DISABLE-N1 avant close

  • Bot #840 : guide backup tier 1 sans contourner sécurité

FAQ et checklist déploiement TWOFACT

FAQ

Agent N1 peut désactiver la 2FA ?
Non. ID-CHECK L2 minimum. twofact_bypass_incidents cible 0.

Différence #837 passwordless ?
#837 = lien magique sans mot de passe. #839 = second facteur déjà activé bloque connexion.

Client sans codes backup ?
Escalade L2 TWOFACT-ID-CHECK. Pas de raccourci admin sans vérif.

Checklist 7 jours

  • J1 : TWOFACT-SUP + TWOFACT-MAP + matrice escalade L1 L2 L3

  • J2 : 8 macros helpdesk

  • J3 : procédure L2 reset 2FA Shopify documentée

  • J4 : formation 25 min agents

  • J5 : tags twofact_* + KPI

  • J6 : drill takeover SECURE-ROUTE

  • J7 : brief bot #840 NO-DISABLE-BOT

Maillage

Enzo

1 juillet 2026

Convertissez +2000 clients en moyenne par mois en utilisant Qstomy.

1ère IA Shopify dédiée à la conversion client au monde

200+ ecommerçants accompagnés

Abonnez-vous à la newsletter et obtennez un e-book personnalisé !

Solution no-code, sans connaissance technique requise. Une IA entrainée sur votre e-shop et non intrusive.

*Désabonnez-vous à tout moment. Nous n'envoyons pas de spam.

Abonnez-vous à la newsletter et obtennez un e-book personnalisé !

Solution no-code, sans connaissance technique requise. Une IA entrainée sur votre e-shop et non intrusive.

*Désabonnez-vous à tout moment. Nous n'envoyons pas de spam.