Wiki de l'ENS de Lyon

« Double authentification » : différence entre les versions

← Modification précédente
VisuelWikicode
cat
Adidierj (discussion | contributions)
Connected-User
1 modification
FIDO2 : Reformulation de la procédure de configuration de la 2FA avec FIDO2
 
(11 versions intermédiaires par un autre utilisateur non affichées)
Ligne 1 : Ligne 1 :
{{Note|Attention : cet article est encore à l'état de brouillon. Toute amélioration est fortement bienvenue.}}
{{Note|Attention : cet article est encore à l'état de brouillon. Toute amélioration est fortement bienvenue.}}
== Authentification forte à l'ENS de Lyon ==
L'[https://fr.wikipedia.org/wiki/Authentification_forte authentification forte] sous forme d'authentification à deux facteurs, [https://fr.wikipedia.org/wiki/Double_authentification double authentification] (A2F) a été rendu obligatoire pour l'ensemble de l'ENS de Lyon le 1<sup>er</sup> novembre 2023 <ref>D'après un mail de cette même année de la DSI.</ref>. Celle-ci permet de sécuriser vos accès au CAS de l'ENS de Lyon en demandant une vérification supplémentaire après validation du mot de passe.
=== Qu'est-ce que l'A2F ? ===
L'[https://fr.wikipedia.org/wiki/Authentification_forte authentification forte] sous forme d'authentification à deux facteurs ou simplement [https://fr.wikipedia.org/wiki/Double_authentification A2F] a été rendu obligatoire pour l'ensemble de l'ENS de Lyon le 1<sup>er</sup> novembre 2023 <ref>D'après un mail de cette même année de la DSI.</ref>. Celle-ci permet de sécuriser vos accès au CAS de l'ENS de Lyon en demandant une vérification supplémentaire après validation du mot de passe.
Si vous rencontrez des difficultés avec l'A2F, rendez vous à la section suivante.


=== Fonctionnement de l'A2F ===
== Fonctionnement de la double authentification ==
Lorsque vous utilisez un service web nécessitant une connexion au CAS (connexion à un terminal ou au webmail exclus), l'A2F vous demandera un code de vérification supplémentaire auquel vous aurez accès par une application tiers. Il est alors possible de sélectionner l'option <code>faire confiance à cet appareil</code>, mais celle-ci ne dure qu'une semaine.
Lorsque vous utilisez un service web nécessitant une connexion au CAS, la double authentification vous demandera un code de vérification supplémentaire auquel vous aurez accès par une application tiers. Il est alors possible de sélectionner l'option <code>faire confiance à cet appareil</code>, mais celle-ci ne dure qu'un mois<ref>Jusqu'à début 2025, la durée de confiance n'était que d'une semaine, puis deux, avant de passer à un mois.</ref>.


== Aide avec l'A2F ==
== Aide pour la double authentification ==
=== Activer l'A2F ===
=== Activer la double authentification ===
L'activation est désormais normalement automatique. Si ce n'est pas le cas, contactez la DSI ou activez la manuellement en suivant les étapes décrites sur [https://intranet.ens-lyon.fr/documentation/activation-du-second-facteur-application-totp l'intranet].
L'activation est désormais normalement automatique. Si ce n'est pas le cas, contactez la DSI ou activez-la manuellement en suivant les étapes décrites sur [https://intranet.ens-lyon.fr/documentation/activation-du-second-facteur-application-totp l'intranet].


Si vous avez des questions spécifiques, vérifiez avant tout qu'elle n'est pas sur la [https://intranet.ens-lyon.fr/sujet_faq/faq-authentification-forte FAQ dédiée].
Si vous avez des questions spécifiques, vérifiez avant tout qu'elle n'est pas sur la [https://intranet.ens-lyon.fr/sujet_faq/faq-authentification-forte FAQ dédiée].


== Authenticator ==
== TOTP ==
La première méthode de double authentification mise en place à l'ENS a été le [https://fr.wikipedia.org/wiki/Mot_de_passe_à_usage_unique_basé_sur_le_temps TOTP] (''Time based One Time Password'' en anglais), ou <q> Mot de passe à usage unique basé sur le temps </q> en français. Pour l'utiliser vous aurez besoin d'une application tiers qu'il faudra configurer. Cette application génère le code supplémentaire à usage unique et le rafraîchit régulièrement : le caractère temporaire du code fait sa force.
 
=== Authenticator ===
[https://authenticator.cc/ Authenticator]<ref>Google Authenticator est géré par Google.</ref> est un des authentificateurs recommandé par l'ENS pour l'A2F. Il s'agit d'une extension navigateur. Vous pouvez l'installer sous Chrome (conseillé), Firefox, Edge ou Opéra. Cette extension génère des codes à six chiffres toutes les trente secondes, dit "codes temporaires", permettant de doubler le mot de passe lors de la connexion.
[https://authenticator.cc/ Authenticator]<ref>Google Authenticator est géré par Google.</ref> est un des authentificateurs recommandé par l'ENS pour l'A2F. Il s'agit d'une extension navigateur. Vous pouvez l'installer sous Chrome (conseillé), Firefox, Edge ou Opéra. Cette extension génère des codes à six chiffres toutes les trente secondes, dit "codes temporaires", permettant de doubler le mot de passe lors de la connexion.


=== Problèmes avec Authenticator ===
==== Problèmes avec Authenticator ====
Suivez dans l'ordre de la liste les différentes solutions proposées :
Suivez dans l'ordre de la liste les différentes solutions proposées :
* Mon code n'est pas valide : Vérifiez que votre appareil est à l'heure. S'il ne l'est pas &rarr; activez la synchronisation automatique de l'heure.
* Mon code n'est pas valide : Vérifiez que votre appareil est à l'heure. S'il ne l'est pas &rarr; activez la synchronisation automatique de l'heure.
* Authenticator vous a déconnecté
* Authenticator vous a déconnecté
** Vous avez FreeOTP sur téléphone : Téléchargez un "backup file" depuis votre téléphone (sur FreeOTP : en haut à droite &rarr; <code>Backup</code>) &rarr; <code>externalBackup.xml</code> &rarr; Transférez le sur votre ordinateur &rarr; Votre navigateur favori &rarr; Authenticator &rarr; <code>Paramètres</code> &rarr; <code>Sauvegarde</code> &rarr; <code>Importer une sauvegarde</code> &rarr; Téléverser votre fichier <code>externalBackup.xml</code> (l'extension peut aussi être <code>.txt</code>).
** Vous avez FreeOTP sur téléphone : Téléchargez un "backup file" depuis votre téléphone (sur FreeOTP : en haut à droite &rarr; <code>Backup</code>) &rarr; <code>externalBackup.xml</code> &rarr; Transférez le sur votre ordinateur &rarr; Votre navigateur favori &rarr; Authenticator &rarr; <code>Paramètres</code> &rarr; <code>Sauvegarde</code> &rarr; <code>Importer une sauvegarde</code> &rarr; Téléverser votre fichier <code>externalBackup.xml</code> (l'extension peut aussi être <code>.txt</code>).
** Vous n'avez pas FreeOTP ou bien il vous a déconnecté de votre téléphone : Récupérez vos "scratch codes" &rarr; Rentrez les à la place du code temporaire &rarr; Reconnectez vous sur Authenticator à l'aide de votre clé secrète.
** Vous n'avez pas FreeOTP ou bien il vous a déconnecté de votre téléphone : Récupérez vos "scratch codes" &rarr; Rentrez les à la place du code temporaire &rarr; Reconnectez-vous sur Authenticator à l'aide de votre clé secrète.
* Vous n'avez plus vos "scratch codes" : envoyez un mail à la DSI pour qu'elle vous redonne des accès manuellement.
* Vous n'avez plus vos "scratch codes" : envoyez un mail à la DSI pour qu'elle vous redonne des accès manuellement.


== Authy ==
=== Authy ===
Authy<ref>Authy est géré par Twilio.</ref> est l'autre authentificateur recommandé par l'ENS. Il ne s'agit pas d'une extension navigateur. Les différences avec Authenticator sont discutées [https://authy.com/blog/authy-vs-google-authenticator/ ici] (le site est géré par Twilio et n'est donc pas objectif).
Authy<ref>Authy est géré par Twilio.</ref> est l'autre authentificateur recommandé par l'ENS. Il ne s'agit pas d'une extension navigateur. Les différences avec Authenticator sont discutées [https://www.techrepublic.com/article/authy-vs-google-authenticator/ ici].
 
== FIDO2 ==
Courant 2025, suite à des failles face aux attaques par reverse proxy de type AITM, l'École a pris la décision de proposer en plus la double authentification par [https://www.microsoft.com/fr-fr/security/business/security-101/what-is-fido2 FIDO2]. L'objectif à terme de remplacer complètement le TOTP.
 
Pour l'utiliser il vous faut un gestionnaire de mot de passe pouvant enregistrer vos clefs FIDO. Vous pouvez par exemple utiliser le gestionnaire de mot de passe Bitwarden.
 
Le guide de configuration de FIDO2 pour votre compte CAS est trouvable [https://intranet.ens-lyon.fr/documentation/activation-de-lauthentification-forte-fido2 sur l'intranet].
 
=== Résumé de la procédure pour Bitwarden ===
# Sur la [https://cas.ens-lyon.fr/cas/account page du CAS], cliquez sur <code>Registered Multifactor Authentication Devices</code>, puis sur <code>S'enregistrer</code> (deux fois). Vous pouvez renommer votre nouveau ''device'' pour pouvoir le reconnaitre plus tard.
# Un pop-up Bitwarden doit s'ouvrir : dans la barre de recherche du pop-up, tapez <code>cas.ens-lyon.fr</code>, puis cliquer sur le normalement seul résultat qui s'affiche.
# Rendez-vous enfin sur la [https://mfa.ens-lyon.fr page d'authentification multifacteur (MFA) de l'ENS], puis cliquez sur <code>Activez la possibilité d'utiliser l'authentification FIDO2 sur votre compte.</code>.
 
À présent, il vous est possible (et conseillé) d'utiliser la méthode FIDO2 WebAuthn lors de votre connexion au CAS.


== Notes ==
== Notes ==
<references />
<references />


[[Catégorie:Aide]]
[[Catégorie:Service ENS]]
[[Catégorie:Service ENS]]
Récupérée de "https://wiki.aliens-lyon.fr/wiki/Double_authentification"