L’authentification multifacteur
Qu’est-ce que l’authentification multifacteur ?
L’authentification multifacteur (MFA) est destiné à améliorer la sécurité des accès au compte d’un utilisateur. Celui-ci devra fournir plusieurs preuves pour justifier de son identité au service auquel il souhaite accéder. Ces preuves peuvent être de plusieurs types :
- facteurs de connaissance : une information connue de l’utilisateur et de lui seul tel qu’un mot de passe, un code pin, …
- facteurs de possession : un élément que l’utilisateur possède et est seul à posséder tel qu’une clé de sécurité type Fido2, un badge, un code d’authentification à usage unique, …
- facteurs inhérents : un élément propre à l’utilisateur tel que des empreintes digitales.
Le choix fait à l’IBENS est celui d’utiliser une authentification à deux facteurs (2FA) combinant l’usage du mot de passe traditionnel et d’un code d’authentification TOTP.
Qu’est-ce qu’un code d’authentification TOTP ?
TOTP, ou Time-based One-Time Password, est un type de code d’accès temporaire à usage unique basé sur le temps. Il est basé sur un algorithme qui utilise d’une part l’heure courante et d’autre part une clé secrète assignée à chaque utilisateur. Un code généré a une durée de validité limitée généralement à 30s.
Comment utiliser un code d’authentification TOTP ?
1/ Équipement
L’utilisateur doit disposer d’un outil logiciel lui permettant de calculer à la demande les codes TOTP. Il en existe de nombreux qui s’adaptent à des besoins différents et peuvent fonctionner sur des équipements différents. Nous vous recommandons :
- pour un usage sur smartphone Android : Aegis Authenticator
- pour un usage sur smartphone Apple : Raivo OTP
- pour un usage sur ordinateur sous Linux, MacOS ou Windows : KeePassXC (présent sur les postes installés par la plateforme informatique)
2/ Initialisation
Pour chaque application utilisant le TOTP, il faut procéder à une initialisation de la clé secrète. La procédure dépend du service auquel vous voulez accéder.
De manière générale, le point d’accès se trouve dans le menu de gestion des préférences de l’utilisateur, ou dans le profil de l’utilisateur. Le bouton d’activation générera la clé secrète de l’utilisateur (une longue suite de lettres et de chiffres), et un QR code. Le plus simple est d’aller dans l’outil choisi pour la gestion TOTP, de scanner ce QR code et d’enregistrer votre nouvelle clé secrète. Un premier code TOTP à 6 chiffres apparaîtra sur l’outil. Il vous faut alors le recopier dans le champ prévu au niveau du service et le valider.
Une application, en cours de développement et de test, visant à centraliser la gestion de la MFA sur l’ensemble des outils mis à votre disposition est également disponible à l’adresse https://www.hlin.bio.ens.psl.eu/
Vidéos illustrant l’initialisation de l’authentification multifacteur pour différents outils
N.B. : MERCI DE VISIONNER LA OU LES VIDÉOS JUSQU’AU BOUT !
Vidéos illustrant l’usage de calculateur TOTP
3/ Utilisation
Lorsque vous vous connectez à un service, vous continuez à saisir normalement votre login et votre mot de passe. Après validation, il vous sera demandé votre code TOTP de double authentification. Il vous suffit de recopier le code à 6 chiffres fourni par votre outil TOTP et là encore de valider.
Quels sont les services où une double authentification est activée ?
- Les webmails (recherche et enseignement)
- Les outils dédiés à la pédagogie (Moodle)
- Le cahier de laboratoire (ElabFTW)
- Le tchat de l’IBENS (Tchat)
- ...