Authentication Manager (3.3.2)
Un compte admin compromis, et votre serveur peut être détruit en quelques secondes. Vérifier l'identité des membres à chaque fois qu'ils doivent accéder à un rôle sensible devient alors indispensable. Authentification Manager comble cette véritable lacune de Discord.
❓ Le problème
Un compte admin se fait compromettre. En quelques secondes : ban massif, salons supprimés, données exposées. Et même si le 2FA Discord est activé, un token volé par un malware ou une page de phishing suffit à contourner cette protection : l'attaquant est déjà connecté, le 2FA ne lui est jamais demandé.
Discord ne propose aucun mécanisme pour vérifier qui se cache réellement derrière un rôle à permissions sensibles. N'importe qui ayant accès au compte peut agir avec les pleins pouvoirs, sans que rien ne l'en empêche.
Un seul salon supprimé par le hack d'un compte admin, c'est déjà trop.
🔐 La solution : l'Authentication Manager
Avec l'Authentication Manager (AM), les rôles à permissions sensibles ne sont plus attribués en permanence, ils sont attribués uniquement après une couche supplémentaire d'authentification. Combiné à des sessions temporaires qui expirent automatiquement, la fenêtre d'exposition est drastiquement réduite : les rôles sont retirés automatiquement à la fin de la session.
Même si un attaquant vole un compte Discord, il ne peut pas utiliser les permissions destructives du serveur : le rôle n'est tout simplement pas là, et l'obtenir nécessite une authentification qu'il ne possède pas.
✨ Ce que ça inclut
🛡️ 4 méthodes d'authentification
| Méthode | Description | Grade |
|---|---|---|
| Code PIN simple | Saisie classique de 4 à 12 chiffres | E à D |
| Code PIN anti-regard | Clavier numérique à disposition aléatoire, de 6 à 12 chiffres | C à B |
| OTP (2FA) | Code à 6 chiffres temporaires via Google Authenticator, Authy, 1Password... | A |
| Passkey (WebAuthn) | Empreinte digitale, reconnaissance faciale ou clé physique (YubiKey) | S |
🔑 Grades de sécurité
Chaque méthode correspond à un grade (E à S). Vous choisissez le grade minimum requis par rôle : un accès interne peut se contenter d'un PIN, un rôle admin exigera une passkey.
⏱️ Sessions temporaires
Les rôles ne sont plus permanents. Chaque authentification ouvre une session à durée limitée (configurable jusqu'à 8 heures). À l'expiration, le rôle est retiré automatiquement.
⚙️ Système de managers
Donnez des permissions admin à un membre sans qu'il puisse toucher au système d'authentification. Les managers doivent eux-mêmes s'authentifier et ne peuvent gérer que les rôles inférieurs à leur plafond, ce qui empêche la création de backdoors et l'élévation de privilèges.
📋 Logs d'audit et sessions
Chaque authentification, attribution de rôle et action est enregistrée directement dans le bot. Contrairement aux logs Discord, personne ne peut les supprimer : même un admin compromis ne peut pas effacer ses traces.
🚫 Protection anti brute-force
5 échecs : verrouillage d'une heure. 10 échecs : réinitialisation complète du compte.
Pour la liste complète des nouveautés de la 3.3.2, consultez le changelog.