Sécurité (2FA, passkeys)
Activer l'authentification à deux facteurs, les passkeys et renforcer la sécurité de votre compte Syndic+.
Pourquoi renforcer la sécurité ?#
Votre compte Syndic+ contient des renseignements personnels de tous les copropriétaires (nom, courriel, coordonnées, situation financière) et des documents confidentiels du syndicat. La Loi 25 impose des mesures de sécurité appropriées à la sensibilité des données.
Méthodes d'authentification disponibles#
| Méthode | Sécurité | Facilité d'usage |
|---|---|---|
| Mot de passe seul | ⭐⭐ | ⭐⭐⭐⭐⭐ |
| Mot de passe + 2FA (TOTP) | ⭐⭐⭐⭐ | ⭐⭐⭐ |
| Mot de passe + 2FA (SMS) | ⭐⭐⭐ | ⭐⭐⭐⭐ |
| Lien magique (courriel) | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ |
| Passkey (biométrie) | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ |
Syndic+ recommande fortement les passkeys pour les administrateurs — sécurité maximale et expérience fluide (Touch ID, Windows Hello, clé USB).
Activer la 2FA#
Ouvrir les paramètres
Paramètres → Sécurité → Authentification à deux facteurs.
Choisir la méthode
- Application authenticator (Google Authenticator, 1Password, Authy, etc.) — recommandé
- SMS — moins sécurisé mais plus simple pour les non-techniques
Scanner le QR code
Avec votre app authenticator, scanner le QR code affiché. Un code à 6 chiffres apparaît, renouvelé toutes les 30 secondes.
Confirmer
Entrer le code à 6 chiffres actuel dans Syndic+. Une fois validé, la 2FA est active.
Sauvegarder les codes de récupération
10 codes à usage unique sont générés. Sauvegardez-les dans un endroit sûr (gestionnaire de mots de passe, coffre-fort). Ils permettent de retrouver l'accès si vous perdez votre téléphone.
Activer une passkey#
Paramètres → Sécurité → Passkeys
Clic sur Ajouter une passkey.
Choisir le type
- Cet appareil : Touch ID sur Mac, Windows Hello sur PC, code PIN/biométrique sur téléphone
- Clé de sécurité : YubiKey, Titan, etc.
- Un autre appareil : passkey depuis un téléphone (code QR)
Valider biométriquement
Le navigateur demande une confirmation (empreinte digitale, reconnaissance faciale, code PIN). La passkey est créée et liée à votre compte.
Les passkeys sont synchronisées entre vos appareils via iCloud Keychain (Apple), Google Password Manager (Android/Chrome), ou Windows Hello. Vous pouvez vous connecter depuis n'importe lequel de vos appareils.
Applications tierces (Google, Microsoft)#
Vous pouvez lier votre compte à :
- Microsoft / Entra ID : clic sur Connecter Microsoft — OAuth 2.0 sécurisé
- Google : clic sur Connecter Google
Ces comptes tiers peuvent remplacer le mot de passe pour la connexion si activé.
Imposer la 2FA pour tout le syndicat#
Les owners peuvent exiger la 2FA pour tous les membres du CA :
Paramètres → Syndicat → Conformité Loi 25 → Exiger 2FA pour les administrateurs
Les membres sans 2FA activée sont invités à l'activer à la prochaine connexion.
L'exigence de 2FA est une bonne pratique dans le cadre de la Loi 25, particulièrement pour les syndicats de plus de 20 unités.
Sessions actives#
Paramètres → Sécurité → Sessions affiche la liste de vos sessions actives :
- Appareil (navigateur, OS)
- Adresse IP (approximative, par ville)
- Dernière activité
Cliquer sur Terminer cette session pour vous déconnecter à distance d'un appareil compromis ou oublié. Terminer toutes les autres sessions est utile après un vol d'appareil.
Paramètres de session#
- Durée de session : 7 jours par défaut, configurable (1 à 30 jours)
- Nombre maximum de sessions simultanées : 3 par défaut
- Ré-authentification pour les actions sensibles : activable (changement de mot de passe, suppression de compte, transfert de propriété)
Que faire en cas de compromission ?#
- Changer immédiatement le mot de passe
- Révoquer toutes les sessions
- Régénérer les codes de récupération 2FA
- Révoquer les applications tierces connectées (Microsoft, Google)
- Notifier le RPRP du syndicat pour évaluation d'incident (Loi 25)
- Consulter le journal d'audit pour identifier les actions effectuées par l'attaquant