Comme annoncé il y a quelques semaines, nous souhaitons augmenter la sécurité de nos services. Notre VPN donne accès à des services sensibles, et donc est un candidat tout désigné pour une authentification à deux facteurs.
À partir du 11 juillet, l’authentification de votre connexion au VPN (Pulse Secure, ou encore Crypto) passera par votre compte SWITCH edu-ID, l’identité numérique gérée par la fondation SWITCH. Ce dernier est déjà utilisé pour vous connecter à plusieurs services à l’UNIL, tels que MyUNIL, les applications administratives, les listes de diffusion Sympa, ou encore SWITCHdrive.
Selon le niveau de sécurité souhaité, un service utilisant l’identification edu-ID peut décider de forcer l’utilisation d’un 2e facteur lors de l’authentification, et ça sera le cas pour notre VPN. Il faudra donc entrer votre 2e facteur une fois par jour si vous utilisez le VPN crypto.
Cet article fait suite à notre dernière publication « Pourquoi l’authentification à deux facteurs débarque à l’UNIL ». Si vous voulez comprendre les tenants et aboutissants de ce système, nous vous invitons à lire cet article en premier.
Première étape, activez le 2e facteur de votre compte edu-ID
L’edu-ID permet d’activer un 2e facteur facilement. Celui-ci se présente sous la forme d’un code à utilisation unique, appelé «One Time Password» ou OTP, et est soit généré via une application dédiée soit envoyé par SMS.
Pour activer l’authentification en deux étapes, rendez-vous sur votre compte edu-ID à l’adresse https://eduid.ch et cliquez sur le signe + en face d’Authentification en deux étapes, ou allez directement aux paramètres de l’authentification en deux étapes. Activez ensuite l’une des méthodes d’authentification en deux étapes. Il est possible d’activer plus d’une méthode de connexion.
Nous vous recommandons d’utiliser une application d’authentification comme Authy ou Google Authenticator, pour obtenir vos codes.
Le jour-J à quoi dois-je m’attendre ?
À partir du 11 juillet 2022, à chaque connexion au VPN, vous verrez la fenêtre de login edu-ID familière, vous demandant d’insérer votre adresse email ainsi qu’un mot de passe.
Ensuite, si vous n’avez pas encore activé votre 2e facteur, le processus vous guidera dans la configuration de ce dernier. En cliquant sur continuer, vous serez amené à la page paramètres d’authentification en deux étapes de votre compte edu-ID.
Si votre 2e facteur est configuré, celui-ci sera maintenant demandé. Si vous avez opté pour l’application pour votre 2e facteur, lancez cette dernière, et copiez le code affiché.
Si vous avez choisi d’utiliser le SMS, vous en recevrez un sur votre téléphone mobile, qu’il faudra insérer dans la fenêtre suivante.
Le processus se terminera et vous serez ensuite connecté au VPN !
Lors de l’activation de la connexion edu-ID sur le VPN, le processus d’authentification passera par un navigateur embarqué, afin de s’assurer que le navigateur ne soit pas vérolé ou compromis. Cela signifie que vous ne pourrez pas sauvegarder votre mot de passe edu-ID dans ce navigateur. Nous vous conseillons donc d’utiliser un gestionnaire de mot de passe, et copier/coller votre adresse email et mot de passe edu-ID.
Réduire la surface d’attaque
Afin de rendre la vie plus compliquée aux pirates et sécuriser nos services importants, nous devons prendre certaines mesures, dont l’utilisation d’un 2e facteur pour accéder à certains services de l’UNIL, dont notre VPN. L’accès au futur «Virtual Desktop Infrastructure » du Ci, ou VDI, utilisera aussi ce 2e facteur. Nous sommes conscients que la connexion demande une étape supplémentaire, mais c’est un compromis nécessaire pour augmenter sensiblement la sécurité de nos services informatiques.
Liens utiles
- Pourquoi l’authentification à deux facteurs débarque à l’UNIL
- Documentation : authentification multifacteurs avec edu-ID
- Switch : paramètre de l’authentification en deux étapes
Image d’en-tête: Weedezign sur dreamstime, modifiée par Karim Khouw Zegwaart