Passer au contenu principal

Authentification Google avec MFA - Pourquoi me demande-t-on de vérifier mon numéro de téléphone ?

Ines avatar
Écrit par Ines
Mis à jour il y a plus d’une semaine

Conditions préalables

Avant de passer en revue les solutions de contournement disponibles, gardez à l'esprit ce qui suit :

  • Ce problème survient lors de l'authentification d'un compte Google protégé par MFA (SMS, OTP, invites).

  • Il affecte les comptes Google Workspace et les comptes Google personnels.

  • Ce problème survient quel que soit l'endroit d'où vous exécutez le programme.

De quoi s'agit-il ?

Certains utilisateurs sont confrontés à une demande de vérification du numéro de téléphone lorsqu'ils essaient de se connecter via Thunders.

Ce problème apparaît au cours du processus d'authentification de Google car la tentative de connexion provient d'une nouvelle adresse IP, et non d'une région géographique manquante ou mal configurée.

En résumé :

Google détecte une nouvelle adresse IP → signale la connexion → applique la vérification par téléphone/AMF.

Même si vous ajoutez le "Canada" ou une autre région dans les paramètres de test de Thunders, Google exigera toujours une vérification supplémentaire.

Pourquoi cela se produit-il ?

Google évalue en permanence les tentatives de connexion à l'aide des éléments suivants

  • l'empreinte digitale de l'appareil

  • l'historique des lieux

  • Profil de risque du compte

  • les paramètres MFA.

Étant donné que Thunders s'exécute à partir d'une adresse IP différente de celle de votre appareil habituel, Google interprète la connexion comme "non fiable" et déclenche une vérification supplémentaire (SMS, invite, etc.).

Il s'agit d'un comportement attendu de la part de Google, qui ne peut pas être contourné par le biais des paramètres standard.

Solutions de contournement disponibles

Vous trouverez ci-dessous des solutions pratiques adoptées par les équipes qui doivent effectuer des tests impliquant l'authentification Google.

Elles sont classées de la plus stable à la moins recommandée.

Option 1 - Comptes de test de l'espace de travail Google (recommandé)

Comment cela fonctionne-t-il ?

  • Créez des comptes de test dédiés dans un domaine Google Workspace distinct.

  • Désactivez le MFA et les règles de sécurité strictes uniquement pour ces comptes de test.

  • Utilisez ces comptes exclusivement pour l'automatisation et les tests.

Avantages

  • Stabilité

  • Pas d'OTP, pas de CAPTCHA

  • Pas besoin de gérer des cookies ou des jetons

  • Entièrement compatible avec les meilleures pratiques de Google

Conditions préalables

  • Accès administrateur à un domaine Workspace (souvent payant)

Il s'agit de l'approche la plus propre et la plus fiable à long terme.

Option 2 - Utilisateurs test / comptes de service OAuth

Comment cela fonctionne-t-il ?

  • Utilisez les comptes de service Google pour les flux backend/API.

  • Créez une page /login-for-test dans votre application qui :

    1. s'authentifie de serveur à serveur avec un compte de test Google

    2. redirige l'utilisateur déjà connecté

Avantages

  • Évite complètement les CAPTCHA et les OTP

  • Modèle de sécurité solide

  • Fonctionne de manière fiable pour les flux pilotés par le backend

Limites

  • Nécessite un développement de votre application

  • Ne convient pas à tous les flux de connexion frontaux

Parfait pour les applications dont les flux d'identité sont basés sur le backend.

Option 3 - Session pré-authentifiée (injection de cookie)

Comment cela fonctionne-t-il ?

  1. Se connecter manuellement une fois en utilisant le MFA.

  2. Exporter les cookies/le stockage en utilisant storageState().

  3. Réutilisez cette session authentifiée dans vos tests.

⚠️ Limitation

  • La session expire → vous devez vous réauthentifier manuellement.

  • N'est pas extensible pour les grandes équipes.

  • L'injection de cookies est sur la feuille de route de Thunders pour un support natif.

Utile comme solution de contournement temporaire, mais pas idéale à long terme.

Option 4 - Automatisation de l'OTP (bientôt)

Thunders offrira bientôt la possibilité d'automatiser l'OTP, en utilisant les comptes email et les numéros de téléphone de Thunders :

  • MFA par email utilisant le serveur virtuel de Thunders

  • Services SMS virtuels

Cependant :

  • Ces services présentent des risques de sécurité si vous utilisez des comptes réels.

  • Ils pourraient répondre aux attentes de Google en matière de sécurité

  • Ils sont plus fragiles (les SMS peuvent parfois ne pas arriver à destination, de même que les courriels).

Pour cette raison, nous ne recommandons pas l'automatisation de l'AFM pour les comptes Google réels.

Besoin d'aide pour mettre en œuvre votre solution ?

Nous serons heureux de vous guider dans la mise en place de la solution la plus adaptée à votre produit et à vos contraintes.

Vous pouvez nous contacter à tout moment à l'adresse [email protected].

Avez-vous trouvé la réponse à votre question ?