Authentification multi-facteurs

L’authentification multi-facteurs (parfois abrégée en 2FA ou MFA) ajoute à votre identifiant et de votre mot de passe un élément supplémentaire demandé pour l’authentification. En cas de vol de vos identifiants (par exemple, lors de la réponse accidentelle à un message d’hameçonnage), ceux-ci ne sont plus utiles, car ils ne suffisent plus, seuls, à usurper votre identité.

Ce facteur supplémentaire est demandé, si vous avez activé au moins une méthode, lors d’une nouvelle connexion. Votre appareil sera ensuite reconnu et le facteur supplémentaire ne sera pas redemandé sur cet appareil avant 7 jours.

Très courante dans les services numériques modernes, la MFA prend généralement la forme d’un code envoyé par SMS ou généré par une application, souvent sur smartphone, préalablement configurée.

À l’Université, la méthode préférée est celle d’un code généré par application (TOTP). Ce code à une valeur limitée dans le temps à une minute et n’est pas réutilisable.

D’autres méthodes d’authentification multi-facteurs sont disponibles :

• Codes de secours à usage unique
• Dispositif matériel supportant WebAuthN (pour les utilisateurs déjà équipés et familiarisés avec ce protocole)

En cas de perte de l’application générant votre code, merci de faire une demande d’intervention pour réinitialisation de la méthode à la DOSI (ce lien ne nécessite pas d’authentification).

Notez que cette méthode ne couvre pour l’instant que les sites utilisant le service d’authentification centralisé CAS ainsi que la Fédération d’Identités Éducation Recherche.
Le VPN, le WiFi et l’ouverture de sessions sur les ordinateurs ne sont pas couvertes par ce second facteur.

Pour configurer vos méthodes d’authentification multi-facteurs, rendez-vous sur notre site dédié : https://mfa.univ-avignon.fr

Avant d’activer la première méthode, assurez-vous d’avoir installé une application pour générer le code. Notre recommandation est Ente Auth disponible pour ordinateurs (Windows, MacOS, Linux) et smartphones (Android, iOS). Cette application propose de créer un compte, nous vous recommandons fortement de ne pas le faire, car cela est inutile.

Si vous utilisez déjà une application permettant de générer un code TOTP (FreeOTP, Google Authenticator, …), vous pouvez également l’utiliser à l’Université.

Si vous souhaitez disposer de votre code depuis plusieurs appareils (par ex. un ordinateur et un smartphone), ayez les deux appareils à portée de main avec l’application installée.

Cliquez sur la section TOTP, puis sur le commutateur pour le basculer sur Activer.

L’écran présente la clé nécessaire à la configuration de votre application, sous forme de texte (pour les applications sur ordinateur) et sous forme de QR code (pour les applications sur smartphone).

Saisir cette clé dans votre application (sur tous vos appareils en même temps si vous souhaitez en utiliser plusieurs). Par exemple, pour Ente Auth :

• Si l’application vous le propose au premier démarrage, ne créez pas de compte et cliquez sur Utiliser sans sauvegardes

• Cliquez sur Saisir une clé de configuration

• Dans le champ Emetteur, saisir Avignon Université (le contenu de ce champ reste cependant libre)
• Dans le champ Confidentiel, saisir la clé, soit par copier/coller sur ordinateur, soit par scan du QR code sur smartphone
• Cliquez sur Sauvegarder
• Sous Windows, le système peut vous redemander le mot de passe de la session. Il s’agit d’une demande normale permettant d’assurer le stockage sécurisé de la clé.

• L’application affiche le code à 6 chiffres, valable une minute. Si vous avez plusieurs appareils, vérifiez que l’application affiche le même code au même moment. Si ce n’est pas le cas, vérifiez que la date et l’heure sont correctement réglées sur tous vos appareils.

• Enfin, saisir ce code à 6 chiffres dans l’interface de configuration de vos méthodes d’authentification et Valider.

• Si tout est bon, le code et la clé disparaissent au profit d’un bouton Générer QR code. Ne cliquez pas sur ce bouton, car une nouvelle clé serait générée, invalidant la précédente.
• Votre méthode d’authentification multi-facteurs est désormais active.

Il est conseillé d’activer également la liste de codes à usage unique, qu’il faudra ensuite conserver en sécurité dans vos fichiers personnels. Attention : ces codes ne remplacent pas votre mot de passe mais ils remplacent le code généré par l’application et ils ne peuvent être utilisés qu’une seule fois.

La troisième méthode disponible (Facteur physique WebAuthN) est disponible pour les usagers déjà équipés et/ou familiarisés avec ce protocole. La DOSI ne fournit pas de facteurs physiques supportant le protocole WebAuthN et ne fournira qu’un support limité de celui-ci.

Une fois qu’au moins une méthode d’authentification multi-facteurs est activée, la procédure d’authentification change quelque peu.

Après la saisie habituelle de l’identifiant et du mot de passe, un écran supplémentaire apparaît :

Saisir ici le code à 6 chiffres généré par l’application, puis cliquer sur Se connecter.

Pour votre confort, sur un même appareil, avec le même navigateur web, le code n’est demandé qu’une fois tous les 7 jours.

Si vous ne disposez pas de votre application habituelle, vous pouvez saisir ici l’un des dix codes de secours, si vous avez activé la méthode. Ces codes de secours sont à usage unique, supprimez immédiatement celui qui vient d’être utilisé.

Si vous n’êtes plus en possession d’aucune méthode d’authentification multi-facteurs, vous devez le signaler dans une demande d’intervention à la DOSI (ce lien ne nécessite pas d’authentification).