{"id":1125,"date":"2022-05-31T10:00:00","date_gmt":"2022-05-31T08:00:00","guid":{"rendered":"https:\/\/wp.unil.ch\/newsci\/?p=1125"},"modified":"2022-08-16T13:59:49","modified_gmt":"2022-08-16T11:59:49","slug":"pourquoi-lauthentification-a-deux-facteurs-debarque-a-lunil","status":"publish","type":"post","link":"https:\/\/wp.unil.ch\/newsci\/pourquoi-lauthentification-a-deux-facteurs-debarque-a-lunil\/","title":{"rendered":"Pourquoi l\u2019authentification \u00e0 deux facteurs d\u00e9barque \u00e0 l\u2019UNIL"},"content":{"rendered":"\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-9d6595d7 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:66.66%\">\n<p>L\u2019authentification \u00e0 deux facteurs, parfois nomm\u00e9e \u00ab\u00a0double authentification\u00a0\u00bb, authentification \u00ab\u00a0en deux \u00e9tapes\u00a0\u00bb, ou encore \u00ab\u00a02FA\u00a0\u00bb<em>,<\/em> est une m\u00e9thode d\u2019authentification dite <a href=\"https:\/\/fr.wikipedia.org\/wiki\/Authentification_forte\">forte<\/a> qui permet l\u2019acc\u00e8s s\u00e9curis\u00e9 \u00e0 une ressource informatique (boite email, site web, services bancaires, etc.). L\u2019authentification \u00e0 deux facteurs permet d\u2019augmenter la s\u00e9curit\u00e9 de l\u2019acc\u00e8s \u00e0 une ressource informatique, car toute connexion requiert au minimum deux \u00e9tapes pour prouver son identit\u00e9&nbsp;: m\u00eame si une personne mal intentionn\u00e9e parvient \u00e0 obtenir le mot de passe de votre compte, elle ne pourra pas acc\u00e9der facilement \u00e0 la ressource, car il lui manquera le deuxi\u00e8me facteur.<\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:33.33%\">\n<div class=\"wp-block-group has-background\" style=\"background-color:#eafdeb\"><div class=\"wp-block-group__inner-container is-layout-flow wp-block-group-is-layout-flow\">\n<p>Vous connaissez le VPN (Virtual Private Network) de l\u2019UNIL sous le nom de <em><a href=\"https:\/\/www.unil.ch\/ci\/home\/menuinst\/catalogue-de-services\/reseau-et-telephonie\/acces-hors-campus-vpn.html\" target=\"_blank\" rel=\"noreferrer noopener\">C<\/a><\/em><a href=\"https:\/\/www.unil.ch\/ci\/home\/menuinst\/catalogue-de-services\/reseau-et-telephonie\/acces-hors-campus-vpn.html\" target=\"_blank\" rel=\"noreferrer noopener\"><em>rypto<\/em> ou <em>Pulse Secure<\/em><\/a>. Pour acc\u00e9der \u00e0 certaines ressources UNIL en dehors du campus, un client VPN permet de faire passer le trafic de votre appareil par le r\u00e9seau de l\u2019universit\u00e9 comme si vous \u00e9tiez pr\u00e9sent \u00e0 l\u2019UNIL.&nbsp;<\/p>\n<\/div><\/div>\n<\/div>\n<\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Nous utilisons tous le 2FA depuis tr\u00e8s longtemps<\/h2>\n\n\n\n<p>Le principe du 2FA n\u2019est pas nouveau\u202f: depuis des d\u00e9cennies, lorsque vous souhaitez retirer de l\u2019argent dans un distributeur automatique, vous devez poss\u00e9der et ins\u00e9rer votre carte bancaire (premier facteur) puis rentrer un code PIN (deuxi\u00e8me facteur) pour prouver votre identit\u00e9 et acc\u00e9der \u00e0 votre compte bancaire. La transaction ne peut jamais se faire si vous poss\u00e9dez uniquement un de ces deux facteurs.<\/p>\n\n\n\n<p>Le principe est le m\u00eame pour les comptes informatiques\u202f: lorsque l\u2019authentification \u00e0 deux facteurs est activ\u00e9e sur un service, vous devez poss\u00e9der vos deux facteurs pour valider la connexion \u00e0 ce service. Depuis plusieurs ann\u00e9es, la tendance est de combiner un mot de passe comme premier facteur et votre smartphone comme deuxi\u00e8me facteur. Vous utilisez d\u2019ailleurs tr\u00e8s probablement la double authentification pour certains services depuis des ann\u00e9es. Pour reprendre l\u2019exemple de votre compte bancaire, les services requi\u00e8rent pratiquement toujours une authentification \u00e0 deux facteurs qui peut se pr\u00e9senter sous la forme de\u202f:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Une \u00ab\u202fcalculette\u202f\u00bb qui vous g\u00e9n\u00e8re un code au moment de la connexion.&nbsp;<\/li><li>Un code envoy\u00e9 par SMS sur votre portable.&nbsp;<\/li><li>Une application tierce qui vous g\u00e9n\u00e8re un code \u00e0 ins\u00e9rer.&nbsp;<\/li><li>Une application qui vous permet de scanner un QR code pour g\u00e9n\u00e9rer un code \u00e0 ins\u00e9rer\u2026&nbsp;<\/li><\/ul>\n\n\n\n<p>L\u2019authentification \u00e0 deux facteurs fonctionnera \u00e0 l\u2019UNIL de la m\u00eame mani\u00e8re. Pour vous connecter au VPN, vous devrez poss\u00e9der votre nom d\u2019utilisateur et mot de passe <a href=\"https:\/\/www.unil.ch\/ci\/eduid\" target=\"_blank\" rel=\"noreferrer noopener\">Switch-edu ID<\/a> et une <a href=\"https:\/\/help.switch.ch\/eduid\/faqs\/?lang=fr#mfa-without-mobile\" target=\"_blank\" rel=\"noreferrer noopener\">ap<\/a><a href=\"https:\/\/help.switch.ch\/eduid\/faqs\/?lang=fr#mfa-enabling\" target=\"_blank\" rel=\"noreferrer noopener\">p<\/a><a href=\"https:\/\/help.switch.ch\/eduid\/faqs\/?lang=fr#mfa-without-mobile\" target=\"_blank\" rel=\"noreferrer noopener\">lication<\/a> sur votre smartphone (ou ordinateur) qui vous g\u00e9n\u00e8rera un code \u00e0 ins\u00e9rer \u00e0 chaque connexion. Vous pourrez \u00e9galement opter pour l\u2019envoi d\u2019un SMS dans le cas o\u00f9 vous utiliseriez un bon vieux t\u00e9l\u00e9phone portable.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img alt=\"\" loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"675\" src=\"https:\/\/wp.unil.ch\/newsci\/files\/2022\/05\/dreamstime_m_227641220-1024x675.jpg\" alt=\"\" class=\"wp-image-1141\" srcset=\"https:\/\/wp.unil.ch\/newsci\/files\/2022\/05\/dreamstime_m_227641220-1024x675.jpg 1024w, https:\/\/wp.unil.ch\/newsci\/files\/2022\/05\/dreamstime_m_227641220-300x198.jpg 300w, https:\/\/wp.unil.ch\/newsci\/files\/2022\/05\/dreamstime_m_227641220-768x506.jpg 768w, https:\/\/wp.unil.ch\/newsci\/files\/2022\/05\/dreamstime_m_227641220-1536x1013.jpg 1536w, https:\/\/wp.unil.ch\/newsci\/files\/2022\/05\/dreamstime_m_227641220-540x356.jpg 540w, https:\/\/wp.unil.ch\/newsci\/files\/2022\/05\/dreamstime_m_227641220-1080x712.jpg 1080w, https:\/\/wp.unil.ch\/newsci\/files\/2022\/05\/dreamstime_m_227641220-1320x870.jpg 1320w, https:\/\/wp.unil.ch\/newsci\/files\/2022\/05\/dreamstime_m_227641220.jpg 1820w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption>La plupart du temps, un smartphone est utilis\u00e9 comme deuxi\u00e8me facteur.&nbsp;<\/figcaption><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Pourquoi s\u2019imposer ces restrictions\u202f?<\/strong>&nbsp;<\/h2>\n\n\n\n<p>Rajouter une \u00e9tape et imposer la n\u00e9cessit\u00e9 d\u2019avoir son t\u00e9l\u00e9phone \u00e0 proximit\u00e9 au moment de la connexion peut para\u00eetre aga\u00e7ant. En effet, cette m\u00e9thode de connexion rajoute une couche de complexit\u00e9 dont on se passerait bien.\u202fMais c\u2019est pr\u00e9cis\u00e9ment cette deuxi\u00e8me \u00e9tape qui permet d\u2019am\u00e9liorer la s\u00e9curit\u00e9 des services et de vos donn\u00e9es. Le rajout d\u2019un deuxi\u00e8me facteur permet de grandement limiter les abus d\u2019identit\u00e9s, m\u00eame si l\u2019on vous a vol\u00e9 votre mot de passe. Ce n\u2019est d\u2019ailleurs pas par hasard que les premiers services \u00e0 imposer cette fonctionnalit\u00e9 \u00e9taient des banques\u202f: sans cette \u00e9tape, les services d\u2019e-banking seraient trop faciles d\u2019acc\u00e8s, et les vols trop courants, pour que ces services soient viables.&nbsp;<\/p>\n\n\n\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-9d6595d7 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:66.66%\">\n<p>La majorit\u00e9 des br\u00e8ches informatiques, comme celle qui a touch\u00e9 l\u2019UNINE r\u00e9cemment, sont rendues possibles gr\u00e2ce aux vols de comptes et usurpations d\u2019identit\u00e9 qui sont devenus tr\u00e8s courants (environ 50 comptes UNIL compromis par ann\u00e9e). En plus de compromettre votre compte et vos donn\u00e9es, ces vols permettent aux cybercriminels d\u2019infiltrer les services et syst\u00e8mes des entreprises et institutions. Dans le cas de l\u2019Universit\u00e9 de Neuch\u00e2tel, c\u2019est en commen\u00e7ant par compromettre un compte VPN que les pirates ont pu ensuite d\u00e9ployer leur attaque pour s\u2019infiltrer dans les syst\u00e8mes et r\u00e9cup\u00e9rer de nombreuses donn\u00e9es personnelles (contrats, fiches de salaires&#8230;).<\/p>\n\n\n\n<p>En activant la double authentification sur son VPN, l\u2019UNIL renforce donc la grande majorit\u00e9 de ses services sensibles (portail administratif, \u00e9dition de site web, acc\u00e8s aux serveurs de donn\u00e9es\u2026) en limitant les possibilit\u00e9s d\u2019acc\u00e8s au r\u00e9seau en dehors du Campus. Ce syst\u00e8me prot\u00e8ge donc l\u2019UNIL mais aussi l\u2019ensemble des collaborateurs et collaboratrices en emp\u00eachant le vol et la diffusion de ces donn\u00e9es priv\u00e9es. Dans le cadre d\u2019un sc\u00e9nario d\u2019un vol de mot de passe, un hacker qui poss\u00e8derait un compte UNIL d\u00e9rob\u00e9 ne pourrait pas se connecter \u00e0 ces services sensibles sans se rendre physiquement sur le campus de l\u2019UNIL. \u00c9tant donn\u00e9 que la majorit\u00e9 de ces grandes attaques informatiques proviennent de cybercriminels qui habitent en dehors du territoire suisse, cela limite grandement les risques de piratage.<\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:50%\">\n<div class=\"wp-block-group has-background\" style=\"background-color:#fee3d3\"><div class=\"wp-block-group__inner-container is-layout-flow wp-block-group-is-layout-flow\">\n<h3 class=\"wp-block-heading\">Les dangers<\/h3>\n\n\n\n<p>M\u00eame si le vol provisoire d\u2019un compte peut paraitre anodin si l\u2019on r\u00e9agit rapidement, il faut tr\u00e8s peu de temps aux pirates pour mettre en place des strat\u00e9gies qui peuvent impacter toute la communaut\u00e9 UNIL. Par exemple, dans de nombreux cas, un compte compromis sert de tremplin pour envoyer une grande quantit\u00e9 de spams \u00e0 ses contacts. Cela peut avoir deux cons\u00e9quences assez chronophages : premi\u00e8rement, la personne dont le compte a \u00e9t\u00e9 usurp\u00e9 pourrait \u00eatre tr\u00e8s embarrass\u00e9e selon la nature de l\u2019email envoy\u00e9. Deuxi\u00e8mement, apr\u00e8s l\u2019envoi massif de spam depuis un compte UNIL, de nombreux services bloqueront les emails provenant des adresses UNIL pendant plusieurs heures, voire plusieurs jours, paralysant ainsi toute la communaut\u00e9 universitaire.<\/p>\n<\/div><\/div>\n<\/div>\n<\/div>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Pourquoi l\u2019authentification \u00e0 deux facteurs n\u2019est pas activ\u00e9e partout\u202f?&nbsp;<\/strong>&nbsp;<\/h2>\n\n\n\n<p>L\u2019authentification \u00e0 deux facteurs reste une technologie qui alourdit le processus de connexion et augmente le temps n\u00e9cessaire pour se connecter : si l\u2019on doit se connecter \u00e0 ce service plusieurs fois par jour, l\u2019utilisation d\u2019un double facteur peut se r\u00e9v\u00e9ler chronophage. De plus, la perte du deuxi\u00e8me facteur (par exemple perte du t\u00e9l\u00e9phone) rend la connexion au service tr\u00e8s compliqu\u00e9e, voire impossible. Les services de double authentification fournissent g\u00e9n\u00e9ralement des codes d\u2019acc\u00e8s uniques \u00e0 conserver pr\u00e9cieusement en cas de perte du deuxi\u00e8me facteur, mais dans les cas o\u00f9 ces codes sont eux aussi \u00e9gar\u00e9s, la connexion est impossible sans un long processus avec le service de support (dans le cas de l\u2019UNIL, la <a rel=\"noreferrer noopener\" href=\"https:\/\/www.switch.ch\/\" target=\"_blank\">fondation Switch<\/a>).<\/p>\n\n\n\n<p>Un compromis s\u00e9curit\u00e9 et facilit\u00e9 d\u2019utilisation doit donc \u00eatre trouv\u00e9 pour garantir un niveau de s\u00e9curit\u00e9 fort tout en permettant \u00e0 la communaut\u00e9 universitaire de continuer \u00e0 utiliser les outils informatiques mis \u00e0 sa disposition avec la plus grande facilit\u00e9 possible. En activant le 2FA tout d\u2019abord pour son VPN, l\u2019UNIL peut ainsi introduire une fonctionnalit\u00e9 qui am\u00e9liore la s\u00e9curit\u00e9 de ses services sensibles tout en limitant l\u2019impact sur ses utilisateurs et utilisatrices. L\u2019activation du 2FA sur d\u2019autres services sensibles est \u00e0 l\u2019\u00e9tude et pourrait se faire au gr\u00e9 des imp\u00e9ratifs de s\u00e9curit\u00e9.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Le bon sens avant tout<\/strong><\/h2>\n\n\n\n<p>En activant l\u2019authentification \u00e0 deux facteurs sur son VPN, l\u2019UNIL rajoute une couche de s\u00e9curit\u00e9 n\u00e9cessaire pour prot\u00e9ger ses services et vos donn\u00e9es. N\u00e9anmoins, cette technologie a ses limites et ne remplacera jamais le bon sens. Nous vous rappelons donc ces quelques r\u00e8gles de s\u00e9curit\u00e9 pour que nous puissions tous assurer la s\u00e9curit\u00e9 informatique\u202fdu campus :&nbsp;&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Ne communiquez jamais votre mot de passe \u00e0 une tierce personne.&nbsp;<\/li><li>Utilisez un g\u00e9n\u00e9rateur de mots de passe uniques pour tous vos services. <\/li><li>Restez vigilant et ne rentrez jamais vos mots de passe sur des sites web qui ne sont pas chiffr\u00e9s (dont l\u2019adresse ne commencent pas par HTTPS =&gt; m\u00e9fiez-vous si votre navigateur web n\u2019affiche pas un cadenas mais une mise en garde comme \u00ab&nbsp;Non s\u00e9curis\u00e9&nbsp;\u00bb dans la barre d\u2019adresse)<\/li><\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Plus d\u2019infos<\/strong>&nbsp;<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li>Activez d\u00e8s \u00e0 pr\u00e9sent le service de double authentification <a rel=\"noreferrer noopener\" href=\"https:\/\/wiki.unil.ch\/ci\/books\/authentification-aai\/page\/authentification-multifacteurs-avec-edu-id\" target=\"_blank\">chez Switch<\/a><\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/www.unil.ch\/ci\/fr\/home\/menuinst\/catalogue-de-services\/reseau-et-telephonie\/acces-hors-campus-vpn\/documentation.html\" target=\"_blank\">VPN<\/a> \u00e0 l&rsquo;UNIL<\/li><\/ul>\n\n\n\n<div style=\"height:75px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"has-secondary-color has-text-color has-small-font-size\">Image d&rsquo;en-t\u00eate : <a rel=\"noreferrer noopener\" href=\"https:\/\/www.dreamstime.com\/vladwel_info\" target=\"_blank\">Vladislav Lukyanov<\/a> | <a rel=\"noreferrer noopener\" href=\"https:\/\/www.dreamstime.com\/illustration\/two-factor.html\" target=\"_blank\">Dreamstime.com<\/a>&nbsp;<br>Photo 1 : <a href=\"https:\/\/www.dreamstime.com\/terovesalainen_info\">Tero Vesalainen<\/a> | <a href=\"https:\/\/www.dreamstime.com\/photos-images\/two-factor.html\">Dreamstime.com<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L\u2019UNIL va renforcer la s\u00e9curit\u00e9 de son r\u00e9seau et de ses services internes en activant l\u2019authentification \u00e0 deux facteurs pour son VPN. Une bonne occasion pour revenir sur cette fonctionnalit\u00e9 essentielle dans le long combat contre le piratage. <\/p>\n","protected":false},"author":1002203,"featured_media":1139,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"template-full-width-cover.php","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[3,12,13],"tags":[18],"class_list":["post-1125","post","type-post","status-publish","format-standard","has-post-thumbnail","category-authentification-et-comptes","category-reseau-et-telephonie","category-sauvegarde-et-securite","tag-affiche"],"_links":{"self":[{"href":"https:\/\/wp.unil.ch\/newsci\/wp-json\/wp\/v2\/posts\/1125","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/wp.unil.ch\/newsci\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wp.unil.ch\/newsci\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wp.unil.ch\/newsci\/wp-json\/wp\/v2\/users\/1002203"}],"replies":[{"embeddable":true,"href":"https:\/\/wp.unil.ch\/newsci\/wp-json\/wp\/v2\/comments?post=1125"}],"version-history":[{"count":0,"href":"https:\/\/wp.unil.ch\/newsci\/wp-json\/wp\/v2\/posts\/1125\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/wp.unil.ch\/newsci\/wp-json\/wp\/v2\/media\/1139"}],"wp:attachment":[{"href":"https:\/\/wp.unil.ch\/newsci\/wp-json\/wp\/v2\/media?parent=1125"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wp.unil.ch\/newsci\/wp-json\/wp\/v2\/categories?post=1125"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wp.unil.ch\/newsci\/wp-json\/wp\/v2\/tags?post=1125"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}