Double authentification

L'authentification forte sous forme d'authentification à deux facteurs, double authentification (A2F) a été rendu obligatoire pour l'ensemble de l'ENS de Lyon le 1^er novembre 2023^[1]. Celle-ci permet de sécuriser vos accès au CAS de l'ENS de Lyon en demandant une vérification supplémentaire après validation du mot de passe.

Lorsque vous utilisez un service web nécessitant une connexion au CAS, la double authentification vous demandera un code de vérification supplémentaire auquel vous aurez accès par une application tiers. Il est alors possible de sélectionner l'option faire confiance à cet appareil, mais celle-ci ne dure qu'un mois^[2].

L'activation est désormais normalement automatique. Si ce n'est pas le cas, contactez la DSI ou activez-la manuellement en suivant les étapes décrites sur l'intranet.

Si vous avez des questions spécifiques, vérifiez avant tout qu'elle n'est pas sur la FAQ dédiée.

Courant 2025, suite à des failles face aux attaques par reverse proxy de type AITM, l'École a pris la décision de proposer en plus la double authentification par FIDO2. L'objectif à terme de remplacer complètement le TOTP.

Pour l'utiliser il vous faut un gestionnaire de mot de passe pouvant enregistrer vos clés FIDO. Vous pouvez par exemple utiliser le gestionnaire de mot de passe Bitwarden.

Le guide de configuration de FIDO2 pour votre compte CAS est trouvable sur l'intranet.

1. Sur la page du CAS, cliquez sur Registered Multifactor Authentication Devices, puis sur S'enregistrer (deux fois). Vous pouvez renommer votre nouveau device pour pouvoir le reconnaitre plus tard.
2. Un pop-up Bitwarden doit s'ouvrir : dans la barre de recherche du pop-up, tapez cas.ens-lyon.fr, puis cliquer sur le normalement seul résultat qui s'affiche.
3. Rendez-vous enfin sur la page d'authentification multifacteur (MFA) de l'ENS, puis cliquez sur Activez la possibilité d'utiliser l'authentification FIDO2 sur votre compte..

À présent, il vous est possible (et conseillé) d'utiliser la méthode FIDO2 WebAuthn lors de votre connexion au CAS.

L'idée est de ne pas reposer sur des services en ligne mais sur un objet physique qui contiendra la clé FIDO.

1. Procurez-vous une clé compatible FIDO (par exemple Nitrokey 3A NFC compatible avec les téléphones portables).
2. Sur la page du CAS, cliquez sur Registered Multifactor Authentication Devices, puis sur S'enregistrer (deux fois). Vous pouvez renommer votre nouveau device pour pouvoir le reconnaitre plus tard.
   • Si vous avez déjà installé Bitwarden, votre clé FIDO est normalement déjà enregistrée, un pop-up apparaît et il faut cliquer sur le menu déroulant Utilisez votre appareil ou votre clé matérielle et sélectionner Une seule fois.
   • Sinon, un pop-up devrait apparaître pour vous demander d'activer votre clé FIDO.
3. Choisissez d'enregistrer la clé FIDO dans la clé physique.
   • S'il s'agit de la première activation de votre clé physique, vous aurez sûrement un code PIN à définir qui permettra d'accéder à vos clés FIDO.
4. Appuyez sur le bouton ou touchez votre clé physique pour confirmer (un pop-up devrait vous le demander).

• Si vous n'avez pas Bitwarden, rendez-vous enfin sur la page d'authentification multifacteur (MFA) de l'ENS, puis cliquez sur Activez la possibilité d'utiliser l'authentification FIDO2 sur votre compte..

Pour utiliser votre clé, vous pouvez soit sur PC la connecter en USB et sélectionner à nouveau Une seule fois si vous avez Bitwarden, soit sur téléphone la rapprocher du port NFC.

La première méthode de double authentification mise en place à l'ENS a été le TOTP (Time based One Time Password en anglais), ou Mot de passe à usage unique basé sur le temps en français. Pour l'utiliser vous aurez besoin d'une application tiers qu'il faudra configurer. Cette application génère le code supplémentaire à usage unique et le rafraîchit régulièrement : le caractère temporaire du code fait sa force.

Authenticator^[3] est un des authentificateurs recommandé par l'ENS pour l'A2F. Il s'agit d'une extension navigateur. Vous pouvez l'installer sous Chrome (conseillé), Firefox, Edge ou Opéra. Cette extension génère des codes à six chiffres toutes les trente secondes, dit "codes temporaires", permettant de doubler le mot de passe lors de la connexion.

Suivez dans l'ordre de la liste les différentes solutions proposées :

• Mon code n'est pas valide : Vérifiez que votre appareil est à l'heure. S'il ne l'est pas → activez la synchronisation automatique de l'heure.
• Authenticator vous a déconnecté :
  • Vous avez FreeOTP sur téléphone : Téléchargez un "backup file" depuis votre téléphone (sur FreeOTP : en haut à droite → Backup) → externalBackup.xml → Transférez le sur votre ordinateur → Votre navigateur favori → Authenticator → Paramètres → Sauvegarde → Importer une sauvegarde → Téléverser votre fichier externalBackup.xml (l'extension peut aussi être .txt).
  • Vous n'avez pas FreeOTP ou bien il vous a déconnecté de votre téléphone : Récupérez vos "scratch codes" → Rentrez les à la place du code temporaire → Reconnectez-vous sur Authenticator à l'aide de votre clé secrète.
• Vous n'avez plus vos "scratch codes" : envoyez un mail à la DSI pour qu'elle vous redonne des accès manuellement.

Authy^[4] est l'autre authentificateur recommandé par l'ENS. Il ne s'agit pas d'une extension navigateur. Les différences avec Authenticator sont discutées ici.