# Cloudflare Turnstile

Cloudflare Turnstile peut être activé pour réduire les inscriptions automatisées et les abus scriptés. Lorsqu'il est activé, le formulaire d'inscription inclut une vérification Turnstile et valide le jeton résultant côté serveur.

L'implémentation reste principalement invisible. Turnstile s'exécute en arrière-plan et ne devient interactif que lorsque Cloudflare exige une vérification supplémentaire.

{% hint style="warning" %}
La détection des bots ne peut pas être précise à 100 %. Turnstile fournit une atténuation de base contre les bots, pas une garantie. L'automatisation assistée par IA et les services avec intervention humaine rendent les abus de plus en plus difficiles à contrôler entièrement. Cloudflare documente l'approche de Turnstile ici : [Documentation Cloudflare Turnstile](https://developers.cloudflare.com/turnstile/).
{% endhint %}

<div data-with-frame="true"><figure><img src="/files/ff7e8acfb6b89b6f2d0960955a0b1df9f715d9a6" alt="Turnstile challenge displayed as a modal during enrolment" width="375"><figcaption><p>Vérification supplémentaire requise</p></figcaption></figure></div>

## Comment ça fonctionne

1. Lorsque le formulaire d'inscription se charge, Turnstile s'exécute en arrière-plan.
2. Lorsque le formulaire est soumis, Turnstile peut demander une vérification interactive.
3. L'équipe Wallet Crew valide le jeton Turnstile côté serveur avant d'accepter l'inscription.

## Configuration

La configuration nécessite un widget Turnstile dans Cloudflare et les clés du widget. L'équipe Wallet Crew utilise la **clé du site** et **clé secrète** pour valider les soumissions d'inscription.

{% stepper %}
{% step %}

### Créer et configurer un widget Turnstile dans Cloudflare

Créez un widget Turnstile dans le tableau de bord Cloudflare. Cloudflare fournit une **clé du site** (publique) et une **clé secrète** (privée) pour chaque widget.

* Guide d'installation officiel : [Cloudflare Turnstile « Commencer »](https://developers.cloudflare.com/turnstile/get-started/)
* Point d'entrée du tableau de bord Cloudflare : [dash.cloudflare.com](https://dash.cloudflare.com/) (puis ouvrez **Turnstile**)

**La configuration par défaut est généralement suffisante. Veuillez consulter votre équipe informatique pour tout ajustement supplémentaire.**
{% endstep %}

{% step %}

### Récupérer la clé du site et la clé secrète

Dans Cloudflare, ouvrez la configuration du widget et copiez :

* **clé du site**
* **clé secrète**

Ces valeurs sont requises dans le Back Office de The Wallet Crew.
{% endstep %}

{% step %}

### Activer Turnstile dans The Wallet Crew

Demandez à l'équipe The Wallet Crew d'activer l'extension Cloudflare Turnstile pour le locataire.

Puis ouvrez la page des paramètres du Back Office et collez les clés :

<p align="center"><a href="https://admin.thewalletcrew.io/tenant/~/settings/security/turnstile" class="button secondary" data-icon="chevrons-right">Paramètres Turnstile</a></p>

<div data-with-frame="true"><figure><img src="/files/28f3d5774c83a7a4dff9d3cd34a05a982c654fe7" alt="Turnstile settings in the Back Office." width="563"><figcaption><p>Paramètres Turnstile dans le Back Office.</p></figcaption></figure></div>
{% endstep %}
{% endstepper %}

## Remarques

Turnstile est généralement invisible car il s'exécute en arrière-plan. Une vérification interactive n'est affichée que lorsque Cloudflare signale la session comme étant à risque plus élevé.

La validation du jeton est toujours effectuée côté serveur par The Wallet Crew lorsque l'extension est activée.

### Limites et attentes

Turnstile améliore la protection de base, mais il ne « résout » pas les bots. Les abus automatisés évoluent rapidement et reposent souvent sur des outils assistés par IA, des proxies résidentiels et des services avec intervention humaine. Cela rend une détection parfaite des bots irréaliste pour la plupart des flux d'inscription publics.

Cloudflare présente Turnstile comme une alternative sans friction aux CAPTCHA, et non comme une garantie que chaque bot sera bloqué. Combinez Turnstile avec d'autres contrôles lorsque l'inscription est critique pour l'activité.

Documentation officielle : [Documentation Cloudflare Turnstile](https://developers.cloudflare.com/turnstile/)

### Cookie de challenge

Après une vérification Turnstile réussie, l'application peut définir un cookie de sécurité à courte durée de vie. Cela conserve l'état de protection contre les bots entre les requêtes et réduit les défis Turnstile répétés pendant la même session d'inscription.

Comment ce cookie fonctionne :

1. L'utilisateur soumet le formulaire d'inscription avec un jeton Turnstile valide.
2. Le serveur valide ce jeton auprès de Cloudflare.
3. Si la validation réussit, le serveur émet un cookie de preuve signé.
4. Lors des prochaines requêtes liées à l'inscription, le serveur vérifie ce cookie.
5. Si le cookie est toujours valide, le serveur peut éviter un nouveau défi Turnstile pendant cette courte période.

Ce comportement est configurable dans le Back Office :

* La validité du cookie est définie en secondes, une valeur courante est 600 secondes (10 minutes)&#x20;
* Lorsqu'il est désactivé, le serveur n'émet pas ce cookie et la vérification Turnstile est requise pour chaque chemin de soumission.

#### Exigence légale : cookie de sécurité

Ce cookie doit être listé dans la politique de cookies (souvent sous « strictement nécessaire » / « cookies de sécurité »).

* Nom du cookie : `neo.<tenantId>.turnstile-proof` où `<tenantId>` est l'identifiant de votre locataire Wallet Crew
* Objectif : Conserver l'état de protection contre les bots entre les requêtes et éviter les défis Turnstile répétés
* Catégorie : Cookie de sécurité (généralement considéré comme strictement nécessaire)
* Durée de vie : Configurable (secondes). Mettre à 0 pour désactiver.
* Portée : Soumission du formulaire d'inscription
* Attributs techniques :
  * `HttpOnly`
  * `Secure`
  * `SameSite=Lax`
  * `Path=/`

Ce cookie est utilisé uniquement pour la sécurité et la prévention de la fraude, pas pour l'analyse ou le marketing.

## FAQ

<details>

<summary>Turnstile affiche-t-il toujours un défi de type CAPTCHA ?</summary>

Non. Turnstile se termine souvent en arrière-plan. Un widget interactif n'est affiché que lorsque Cloudflare exige une vérification supplémentaire.

</details>

<details>

<summary>Turnstile suffit-il à bloquer complètement les bots ?</summary>

Non. Turnstile fournit une atténuation de base contre les bots, mais ce n'est pas parfait. Les abus modernes peuvent utiliser l'automatisation assistée par IA, des réseaux de proxies et des solutions avec intervention humaine.

La documentation officielle de Cloudflare couvre l'intention et le comportement de Turnstile : [Documentation Cloudflare Turnstile](https://developers.cloudflare.com/turnstile/).

</details>

<details>

<summary>Quelles clés sont nécessaires depuis Cloudflare ?</summary>

The Wallet Crew requiert le widget Turnstile **clé du site** et **clé secrète**.

Cloudflare explique comment créer un widget et récupérer ces valeurs ici : [Turnstile « Commencer »](https://developers.cloudflare.com/turnstile/get-started/).

</details>

<details>

<summary>Que se passe-t-il si le jeton Turnstile est manquant ou invalide ?</summary>

Lorsque l'extension est activée, la soumission d'inscription n'est acceptée que lorsqu'un jeton Turnstile valide est reçu et vérifié avec succès côté serveur. Les jetons invalides, expirés ou manquants sont considérés comme des soumissions non légitimes.

</details>

<details>

<summary>Comment tester que Turnstile est correctement configuré ?</summary>

Une validation rapide consiste à soumettre le formulaire d'inscription depuis une session de navigateur normale et à confirmer qu'il se termine sans friction. Une seconde validation consiste à ouvrir le même flux dans un contexte plus strict (navigation privée, cookies tiers désactivés, VPN ou outils d'automatisation) et à confirmer que Turnstile se comporte toujours comme prévu.

Cloudflare documente les schémas de test recommandés et les étapes d'intégration dans le guide d'installation : [Turnstile « Commencer »](https://developers.cloudflare.com/turnstile/get-started/).

</details>

<details>

<summary>Quel domaine doit être configuré sur le widget Cloudflare ?</summary>

Ajoutez le **domaine personnalisé** qui héberge le formulaire d'inscription.

Ceci est configuré dans les paramètres du widget Turnstile dans Cloudflare. Le guide d'installation de Cloudflare couvre les détails de configuration du widget : [Turnstile « Commencer »](https://developers.cloudflare.com/turnstile/get-started/).

</details>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.thewalletcrew.io/docs/fr/inscrire/enrolment-form/validation-rules/cloudflare-turnstile.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.