Double authentification

Attention : cet article est encore à l'état de brouillon. Toute amélioration est fortement bienvenue.

Authentification forte à l'ENS de Lyon

Qu'est-ce que l'A2F ?

L'authentification forte sous forme d'authentification à deux facteurs ou simplement A2F a été rendu obligatoire pour l'ensemble de l'ENS de Lyon le 1^er novembre 2023 ^[1]. Celle-ci permet de sécuriser vos accès au CAS de l'ENS de Lyon en demandant une vérification supplémentaire après validation du mot de passe. Si vous rencontrez des difficultés avec l'A2F, rendez vous à la section suivante.

Fonctionnement de l'A2F

Lorsque vous utilisez un service web nécessitant une connexion au CAS (connexion à un terminal ou au webmail exclus), l'A2F vous demandera un code de vérification supplémentaire auquel vous aurez accès par une application tiers. Il est alors possible de sélectionner l'option faire confiance à cet appareil, mais celle-ci ne dure qu'un mois^[2].

Aide avec l'A2F

Activer l'A2F

L'activation est désormais normalement automatique. Si ce n'est pas le cas, contactez la DSI ou activez-la manuellement en suivant les étapes décrites sur l'intranet.

Si vous avez des questions spécifiques, vérifiez avant tout qu'elle n'est pas sur la FAQ dédiée.

TOTP

La première méthode de double authentification mise en place à l'ENS a été le TOTP (Time based One Time Password en anglais), ou Mot de passe à usage unique basé sur le temps en français. Pour l'utiliser vous aurez besoin d'une application tiers qu'il faudra configurer. Cette application génère le code supplémentaire à usage unique et le rafraîchit régulièrement : le caractère temporaire du code fait sa force.

Authenticator

Authenticator^[3] est un des authentificateurs recommandé par l'ENS pour l'A2F. Il s'agit d'une extension navigateur. Vous pouvez l'installer sous Chrome (conseillé), Firefox, Edge ou Opéra. Cette extension génère des codes à six chiffres toutes les trente secondes, dit "codes temporaires", permettant de doubler le mot de passe lors de la connexion.

Problèmes avec Authenticator

Suivez dans l'ordre de la liste les différentes solutions proposées :

Mon code n'est pas valide : Vérifiez que votre appareil est à l'heure. S'il ne l'est pas → activez la synchronisation automatique de l'heure.
Authenticator vous a déconnecté
- Vous avez FreeOTP sur téléphone : Téléchargez un "backup file" depuis votre téléphone (sur FreeOTP : en haut à droite → Backup) → externalBackup.xml → Transférez le sur votre ordinateur → Votre navigateur favori → Authenticator → Paramètres → Sauvegarde → Importer une sauvegarde → Téléverser votre fichier externalBackup.xml (l'extension peut aussi être .txt).
- Vous n'avez pas FreeOTP ou bien il vous a déconnecté de votre téléphone : Récupérez vos "scratch codes" → Rentrez les à la place du code temporaire → Reconnectez-vous sur Authenticator à l'aide de votre clé secrète.
Vous n'avez plus vos "scratch codes" : envoyez un mail à la DSI pour qu'elle vous redonne des accès manuellement.

Authy

Authy^[4] est l'autre authentificateur recommandé par l'ENS. Il ne s'agit pas d'une extension navigateur. Les différences avec Authenticator sont discutées ici.

FIDO2

Courant 2025, suite à des failles face aux attaques par reverse proxy de type AITM, l'École a pris la décision de proposer en plus l'A2F par FIDO2, avec pour objectif à terme de remplacer complètement le TOTP. Pour l'utiliser il vous faudra dans un premier temps configurer votre compte Bitwarden. Il génère alors un code supplémentaire permanent^{[À vérifier]} mais que seule une adresse précise pourra recevoir (en l'occurence celle du CAS ENS).

Bitwarden

Pour activer l'A2F par FIDO2, il est fortement conseillé d'avoir un compte Bitwarden ENS. Le guide d'installation est trouvable sur l'intranet. En voici un résumé :

Sur la page du CAS, cliquez sur Registered Multifactor Authentication Devices, puis sur S'enregistrer (deux fois). Copiez quelque part votre nom de périphérique.
Un pop-up Bitwarden doit s'ouvrir^[5] : dans la barre de recherche du pop-up, tapez cas.ens-lyon.fr (attention à ne pas vous tromper), puis cliquer sur le normalement seul résultat qui s'affiche.
Rendez-vous enfin sur la page d'authentification multifacteur (MFA) de l'ENS, puis cliquez sur Activez la possibilité d'utiliser l'authentification FIDO2 sur votre compte..

À présent, il vous est possible (et conseillé) d'utiliser la méthode FIDO2 WebAuthn lors de votre connexion au CAS.

Notes

↑ D'après un mail de cette même année de la DSI.
↑ Jusqu'à début 2025, la durée de confiance n'était que d'une semaine, puis deux, avant de passer à un mois.
↑ Google Authenticator est géré par Google.
↑ Authy est géré par Twilio.
↑ Si ce n'est pas le cas, contactez la DSI.

[1] D'après un mail de cette même année de la DSI.

[2] Jusqu'à début 2025, la durée de confiance n'était que d'une semaine, puis deux, avant de passer à un mois.

[3] Google Authenticator est géré par Google.

[4] Authy est géré par Twilio.

[5] Si ce n'est pas le cas, contactez la DSI.

[1]

[2]

[3]

[4]

[5]