Passer au contenu principal

Authentification multifacteur avec edu-ID

Vous pouvez dès à présent activer et configurer l'authentification à deux facteurs sur votre compte SWITCH edu-ID. 

Le Ci active progressivement l'authentification multifacteur (ou MFA, authentification forte ou encore authentification à deux facteurs) pour divers services afin d'augmenter le degré de sécurité de nos applications (plus d'infos sur notre blog). En plus de votre mot de passe, il vous sera demandé soit

  • un code à usage unique, généré dans une application prévue à cet usage, appelée TOTP (comme Google Authenticator),
  • de valider une demande authentification sans mot de passe utilisant la technologie Passkey
  • (ou reçu via SMS, mais ce dernier est déconseillé pour des raisons de fiabilité!).

L'identité edu-ID inclut l'utilisation de l'authentification multifacteur, et son activation est facile. Pour lire la documentation officielle de SWITCH sur la MFA et l'edu-ID, rendez-vous ici: https://help.switch.ch/fr/eduid/docs/services/login/two-step-login/

Activation

(adapté de la documentation de SWITCH)

Pour activer l’authentification en deux étapes, rendez-vous sur votre compte SWITCH edu-ID à l’adresse https://eduid.ch et cliquez sur l'onglet Sécurité et cliquez sur le bouton On à côté de Authentification multifacteur,

MFA_fr1.png

ou allez directement aux paramètres de l’authentification en deux étapes (https://eduid.ch/mfa/initial).

Activez ensuite l’une des méthodes d’authentification en deux étapes. Nous vous recommandons d’utiliser une application mobile d’authentification pour obtenir vos codes.

MFA_fr2.png

App d'authentification

Il vous saura d'abord demandé un numéro de téléphone portable au cas où vous auriez besoin de récupérer votre compte:

MFA_fr3.png

Ensuite, il vous faut enregistrer votre clé secrète qui servira à générer les codes:

MFA_fr4.png

Les applications mobiles suivantes fonctionnent entre autres : Twilio Authy, FreeOTP, Google Authenticator, Microsoft Authenticator, BitWarden Authenticator, ou encore OTP Auth. (D’autres applications qui supportent le standard TOTP peuvent également être utilisées.) Plus d'informations sur iBarry.ch. L'extension de navigateur 2FAS peut-être utilisé sans téléphone mobile.

De plus en plus de gestionnaires de mot de passe offrent la possibilité de gérer à la fois vos mots de passe ainsi que le 2e facteur au sein d'une seule et unique app, comme le trousseau macOS (dernière version) ou BitWarden (version premium). Cela a aussi l'avantage d'être synchronisé sur différents devices.

N'oubliez pas de bien prendre note de votre code de secours et de le sauvegarder.

MFA_fr5.png

Passkey

Une nouvelle technologie d'authentification, appelée Passkey peut être configurée. Vous trouverez plus d'informations (en anglais) ici: https://help.switch.ch/fr/eduid/docs/services/login/auth/passkey/.

MFA_fr_passkey.png

SMS

La dernière option, que nous déconseillons fortement pour une raison de fiabilité et qui sera peu à peu retirée, est d'utiliser le SMS. Un code vous sera envoyé à chaque connexion nécessitant un 2e facteur.

Si vous utilisez un numéro de téléphone non suisse, sachez que certains pays ou opérateurs peuvent limiter la réception de SMS, ou vous les faire payer. Nous vous recommandant dans ce cas de passer par une application d'authentification plutôt que le SMS.

Il est possible d’activer plus d’une méthode de connexion, et de multiples Passkey.

Selon le réglage, l’authentification en deux étapes n’est utilisée que pour les services qui en ont besoin (Sur demande) ou pour tous les services (Toujours).

ondemand_fr.png



Pour désactiver l’authentification en deux étapes, retournez vers l'onglet Sécurité et cliquez sur le bouton Off à co^té de l'option Authentification multifacteur (https://eduid.ch/account/security).

MFA_off_fr.png

Vous devrez peut-être réinitialiser ou revérifier le code de vérification si vous réactivez ultérieurement une méthode particulière.

La plupart des applications d’authentification mentionnées ci-dessus fonctionnent également pour d'autres fournisseurs de services, comme Google, Facebook, etc.

Connexion

Lorsque vous vous connecterez à une page nécessitant un deuxième facteur, après avoir entré votre adresse email, selon votre configuration MFA, vous devrez sélectionner soit d'entrer un mot de passe, soit de procéder via une Passkey:

Login_fr1.png

TOTP

Si vous utilisez un mot de passe, renseignez-le

Login_fr2_pass.png

entrez ensuite le code TOTP généré dans l'app que vous aurez configurée au préalable

Login_fr3_pass.png

Connexion au VPN Pulse Secure

À chaque connexion au VPN, vous serez présenté avec la fenêtre de login edu-ID familière, vous demandant d’insérer votre adresse email ainsi que votre mot de passe edu-ID :

image-1655904712338.png

Ensuite, si vous n’avez pas encore activé votre 2e facteur, le processus vous guidera dans la configuration de ce dernier. En cliquant sur continuer, vous serez amené à la page paramètres d’authentification en deux étapes (https://eduid.ch/web/edit-security-settings/) de votre compte edu-ID:

image-1655904931016.png

Si votre 2e facteur est configuré, celui-ci sera maintenant demandé. Si vous avez opté pour l’application pour votre 2e facteur, lancez ce dernier, et copiez le code affiché :

image-1655904717067.png

Si vous avez choisi d’utiliser le SMS, vous en recevrez un sur votre téléphone mobile, qu’il faudra insérer dans la fenêtre suivante :

image-1655904720733.png

Le processus se terminera et vous serez ensuite connecté au VPN !

Lors de l’activation de la connexion edu-ID sur le VPN, le processus d’authentification passera par un navigateur embarqué, afin de s’assurer que le navigateur ne soit pas vérolé ou compromis. Cela signifie que vous ne pourrez pas sauvegarder votre mot de passe edu-ID dans ce navigateur. Nous vous conseillons donc d’utiliser un gestionnaire de mot de passe, et copier/coller votre adresse email et mot de passe edu-ID.

Passkey

Passkey, un clé d'identification, est un nouveau standard qui émerge, soutenu par les acteurs majeurs d'internet et devrait, à terme être LA solution d'authentification sécurisée. Edu-ID est maintenant compatible Passkey. Une fois configuré, cela permet de s'authentifier de façon "passwordless", sans devoir à insérer son mot de passe. Vous trouverez un article intéressant sur les Passkey ici: https://www.ibarry.ch/fr/dispositifs-securises/passkeys/

La technologie est encore récente, et les façons de configurer les Passkey sont multiples. Pas tous les OS, apps ou devices sont compatibles. Vous trouverez plus d'information dans la FAQ de Switch.

Cela se configure par device! Donc il vous faudra configurer une Passkey pour votre portable, une pour votre téléphone mobile, etc. Ou, vous pouvez passer par un gestionnaire de mot de passe, comme BitWarden, et là, la Passkey est utilisable sur plusieurs devices.

Merci de remonter au helpdesk tout problème ou incompatibilité rencontrés lors de la configuration ou l'utilisation du Passkey.

Questions / Problèmes

Connexion à Pulse Secure

Il arrive qu'à la suite de l'activation de la double-authentification, la connexion à Pulse Secure ne fonctionne plus. La solution consiste alors à le désinstaller puis à le réinstaller (en suivant notre documentation).

Vous trouverez réponse à plusieurs questions concernant l'authentification multifacteur sur le site officiel de SWITCH edu-ID: https://help.switch.ch/eduid/faqs/?lang=fr#mfa

Retour en haut