Mise en place de l’authentification multi-facteurs (MFA) à Paris Nanterre

L’authentification multi-facteurs (MFA) à l’université Paris Nanterre

Les cyberattaques ne cessent d’évoluer et les méthodes d’authentification traditionnelles deviennent malheureusement insuffisantes pour s’en prémunir. Aujourd’hui, le simple couple identifiant et mot de passe ne protège plus efficacement les comptes numériques, tant pour les membres du personnel que pour les étudiantes et les étudiants.

Pour faire face à ces nouveaux enjeux, l’université met en place une mesure de sécurité plus robuste en ajoutant un facteur d’authentification supplémentaire basé sur la génération d’un code à usage unique basé sur le temps (TOTP, ou Time-based One Time Password).

Ce système implique de modifier légèrement vos habitudes de connexion.

C’est un changement nécessaire pour renforcer la sécurité de toutes et tous.

En quelques mots :
Pour accéder à vos services numériques, il vous faut donc :

Saisir votre identifiant et votre mot de passe (comme avant)
Saisir un code temporaire (TOTP) que vous pouvez obtenir de deux façons :
- par email, sur votre messagerie personnelle (et non pas votre mail institutionnel)
- par génération via une application dédiée installée sur votre smartphone

Il est donc fondamental que vous puissiez accéder à votre mail personnel (et que ce dernier soit toujours à jour) et il est très fortement conseillé que vous installiez une application de génération de TOTP sur votre smartphone.

Important : La MFA protège efficacement les comptes numériques, cependant, dans tous les cas, si le mot de passe a été compromis, il FAUT le changer !

Quand se déclenche la MFA ?

La double authentification n’est pas demandée de manière systématique lors de chaque tentative de connexion : si vous utilisez régulièrement les mêmes appareils, vous n’aurez à passer par la double authentification qu’occasionnellement.

La MFA intervient dans les situations suivantes (cf le schéma à la fin de ce document) :

Si vous n’êtes pas au sein du réseau de l’université (NB : une connexion via la VDI vous place, de fait, à l’intérieur du réseau de l’upn) ;
lors de la première connexion sur un nouvel appareil ou navigateur (par exemple, sur l’ordinateur d’un ami, dans un cybercafé ou sur un nouveau téléphone) ;
si votre dernière connexion avec le même poste et navigateur remonte à plus de trente jours.

Se préparer à utiliser l’authentification multi facteurs (MFA)

La mise en œuvre de la MFA demande à ce que vous vous prépariez en conséquence en vous munissant d’un dispositif adapté. Il peut s’agir soit de votre mail personnel tel que renseigné au sein de l’établissement ; soit d’un générateur de code TOTP.

Usage du mail personnel

Le mail personnel est indispensable lors de la première authentification à la MFA ; vous pourrez continuer à vous authentifier via cette méthode par la suite, bien que l’emploi du TOTP soit recommandé.

L’adresse mail personnelle est celle que vous avez indiqué lors de votre arrivée.
En cas de doute vous pouvez consulter votre adresse personnelle sur siham pour les personnels (cliquez sur synthèse, dans la colonne latérale gauche – attention, l’accès à Siham n’est possible que depuis une connexion filaire dans l’établissement !), ou dans “Mon dossier web” pour les étudiantes et les étudiants (Scolarité / “Mon dossier étudiant”).

Le générateur de jeton à usage unique (ou TOTP)

L’usage d’un code TOTP demeure le moyen le plus pratique et facile à utiliser pour procéder à la double authentification. Pour pouvoir l’utiliser il faut que :

vous disposiez d’une application TOTP installée sur le média de votre choix (le plus approprié étant le smartphone) ;
vous ayez associée votre application TOTP à votre compte institutionnel

Attention : lors de votre toute première connexion en MFA vous ne pourrez vous servir que de votre adresse mail personnelle !

shema_fonctionnement_mfa Télécharger

Guides pas à pas

MFA Pas à pas A1 _ première connexion avec la MFA Télécharger

MFA Pas à Pas A2 _ configuration du TOTP Télécharger

MFA Pas à pas A3 _ connexion ultérieure via mail Télécharger

MFA Pas à pas A4 _ connexion ultérieure via TOTP Télécharger

MFA Pas à pas B1 _ supprimer des périphériques de confiance de ma liste Télécharger

MFA Pas à pas B2 _ supprimer mon dispositif de génération de TOTP Télécharger

MFA Pas à pas B3 _ fermer les sessions CAS ouvertes Télécharger

Questions fréquentes sur la MFA

Perte d’accès, sécurité et incidents

Avant d’utiliser la double authentification via TOTP, il est nécessaire d’associer votre générateur de code TOTP à votre compte.

Suivez ce guide :

MFA Pas à Pas A2 _ configuration du TOTP Télécharger

Les codes à usage unique demandés par mail sont envoyés à l’adresse personnelle que vous avez fourni à l’université (et non pas votre adresse en @parisnanterre.fr).

Si vous êtes certain de votre adresse personnelle, pensez à vérifier que le message ne soit pas arrivé dans vos spams ou qu’il ne soit pas bloqué par vos filtres.

Pour les membres du personnel, vous pouvez consulter votre adresse personnelle dans l’outil SIHAM disponible à l’adresse portail.parisnanterre.fr/siham-dossier-rh/ (cliquez sur synthèse, dans la colonne latérale gauche).
Attention : l’accès à SIHAM n’est possible que depuis une connexion filaire au sein de l’établissement ou par la VDI.

Pour les étudiantes et les étudiants, vous pouvez vérifier votre adresse personnelle dans “Mon dossier web” (Scolarité / “Mon dossier étudiant”).

Si nécessaire (après vérification pour ne pas surcharger les services concernés), veuillez contacter votre secrétariat pédagogique -pour les étudiant·es- ou les ressources humaines -pour le personnel- afin de mettre à jour votre adresse mail personnelle.

Si vous n’avez plus accès à votre téléphone portable (ou tout autre appareil vous permettant de vous authentifier par code TOTP) vous devez vous connecter le plus rapidement possible à votre compte à l’url cas.parisnanterre.fr et suivez les instructions du Pas à pas ci-dessous afin de supprimer votre appareil générateur de codes TOTP enregistré.

Suivez les instructions MFA Pas à pas B2 : supprimer mon dispositif de génération de TOTP

Vous pourrez quand vous le souhaitez, en passant par la même interface, ajouter un nouveau générateur (ou même remettre l’ancien si vous récupérez votre appareil).

Si vous changez de téléphone portable ou d’outil de génération de codes TOTP, vous devez :

supprimer le générateur existant

Suivez ces instructions MFA Pas à pas B2 : supprimer mon dispositif de génération de TOTP;

enregistrer le nouveau générateur
- Suivez ces instructions : MFA Pas à Pas A2 : configuration du TOTP

Si vous ne pouvez plus accéder à votre ordinateur portable ou à tout autre appareil que vous utilisez régulièrement pour vous connecter au système d’information de Paris Nanterre, il est impératif de supprimer cet appareil de votre liste de périphériques de confiance dans le CAS.

Suivez ces instructions : MFA Pas à pas B1 : supprimer des périphériques de confiance de ma liste.

Sans cette suppression, la double authentification (MFA) ne sera pas déclenchée si quelqu’un se connecte à votre compte depuis cet appareil, ce qui pourrait permettre un accès non autorisé.

La MFA ne se déclenche pas systématiquement, mais seulement si vous vous connectez depuis un nouvel appareil ou depuis une localisation inhabituelle. Aussi si quelqu’un se connecte depuis votre appareil pour accéder à l’environnement numérique, par exemple si vous avez enregistré votre login et votre mot de passe sur votre poste, la MFA ne va pas se déclencher et l’intrus pourra ainsi accéder à vos données. Pour cela vous devez absolument supprimer le périphérique de la liste des périphériques de confiance.

Utilisez vos codes de récupération (également appelés « scratch code »).

S’il ne vous en reste plus, ou que vous les avez perdus, la seule solution consiste à avoir accès à votre mail personnel, soit en en récupérant l’accès, soit en configurant une nouvelle adresse personnelle (vous devrez dans ce cas vous adresser à votre secrétariat de scolarité ou aux services du personnel selon votre situation).

Si vous n’avez plus accès à votre mail personnel, pour quelque raison que ce soit, et que le mail personnel est le seul moyen à votre disposition pour procéder à l’authentification multi facteurs, vous ne pourrez pas accéder à votre compte numérique de l’établissement.
Vous devez absolument soit récupérer le contrôle de votre mail personnel, soit en définir un nouveau en contactant votre secrétariat de scolarité ou les services du personnel.

Si vous n’avez plus de codes de secours à votre disposition ou que vous les avez perdus, vous pouvez en créer de nouveaux.

Pour générer de nouveaux codes vous devez au préalable supprimer votre générateur de codes TOTP, puis le réenregistrer. Les codes sont fournis lors de chaque enregistrement d’appareil (des codes anciens non utilisés ne fonctionneront plus, étant remplacés par les nouveaux codes).

Pour plus d’informations sur les codes de secours, consultez À quoi servent les codes à usage unique (scratch codes) ?

Le code TOTP est généré à partir de la clé secrète que vous avez configurée dans votre application, en fonction de l’heure actuelle.

Il est donc important que l’appareil sur lequel est installée l’application ait une heure bien synchronisée avec celle du serveur, qui est réglée sur le fuseau horaire de Paris.

Si vous avez toujours accès à votre compte, connectez-vous au panneau d’administration et procédez comme suit :

Supprimez tous les périphériques de confiance enregistrés dans votre liste,
Vérifiez les sessions SSO actives et déconnectez celles qui ne vous appartiennent pas.

Veillez principalement à la sécurité de votre boîte mail personnelle : changez son mot de passe si vous pensez qu’il pourrait être compromis, notamment si ce mot de passe est identique à celui d’autres services ou si l’attaque a pu permettre sa récupération.

C’est votre adresse mail personnelle qui sera utilisée par le RSSI pour communiquer avec vous et vous aider à récupérer l’accès à votre compte. La perdre compliquerait grandement cette démarche

Si vous avez oublié de vous déconnecter d’une session sur un poste public (par exemple en sortant d’une salle de cours ou d’un amphithéâtre où vous avez utilisé un poste local) d’autres personnes peuvent potentiellement accéder à votre compte.
Vous devez alors impérativement fermer vos sessions ouvertes sur le CAS :

Suivez ces instructions : MFA Pas à pas B3 : fermer les sessions CAS ouvertes.

Parmi les bonnes pratiques essentielles :

Pensez à activer la MFA aussi sur votre boîte mail personnelle ainsi que sur tous vos périphériques, si possible. Cela renforce considérablement la sécurité de vos comptes.
Votre mot de passe doit être robuste.
Selon les recommandations de la CNIL, un mot de passe robuste comporte :
- Douze caractères ou plus
- Au moins un nombre
- Au moins une majuscule
- Au moins un signe de ponctuation ou un caractère spécial (dollar, dièse…)

Enfin, si vous souhaitez avoir plus d’informations sur les bonnes pratiques, vous pouvez consulter ces liens :

Comprendre la MFA

L’authentification multi-facteurs, que l’on désigne communément par l’acronyme MFA (de l’anglais Multi Factor Authentication), consiste à combiner plusieurs facteurs d’authentification avant d’accéder à votre environnement numérique (intranet, messagerie, plateformes, outils administratifs…).

On distingue trois catégories de facteurs d’authentification :

Ce que vous savez (ex : votre mot de passe)
Ce que vous possédez (ex : un code généré via un générateur TOTP ou envoyé sur votre mail personnel)
Ce que vous êtes (ex : une caractéristique biométrique, comme une empreinte digitale)

La MFA renforce la sécurité des comptes en demandant plusieurs facteurs d’authentification que vous possédez, comme un code généré sur un smartphone ou envoyé par mail. Cela empêche qu’un pirate accède à votre compte en ne connaissant que votre mot de passe.

On peut comparer la MFA à une porte équipée de deux systèmes de serrure différents : un verrou à code secret (que vous connaissez), et un verrou à clef (que vous possédez). Ainsi, un intrus doit posséder les deux éléments pour entrer.

Pour en savoir plus nous vous proposons de consulter les recommandations de l’ANSSI sur la MFA et les mots de passe.

La double authentification n’est pas demandée de manière systématique lors de chaque tentative de connexion : si vous utilisez régulièrement les mêmes appareils (mêmes navigateurs sur les mêmes ordinateurs), vous n’aurez à passer par la double authentification que de temps en temps.

La MFA intervient dans les situations suivantes (cf. ce schéma) :

Si vous n’êtes pas au sein du réseau de l’université (NB : une connexion via la VDI vous place, de fait, à l’intérieur du réseau de l’upn) ;
lors de la première connexion sur un nouvel appareil ou navigateur (par exemple, sur l’ordinateur d’un ami, dans un cybercafé ou sur un nouveau téléphone ou sur un appareil qui n’a pas été enregistré comme étant un « périphérique de confiance » ) ;
si votre dernière connexion avec le même poste et navigateur remonte à plus de trente jours.

Un périphérique de confiance est un navigateur que vous utilisez régulièrement pour vous connecter depuis votre (vos) ordinateur(s) ou votre téléphone portable. Une fois que vous avez validé une connexion avec un code reçu par mail ou par générateur TOTP, une étape vous propose d’enregistrer cet appareil comme « de confiance ».

Cela signifie que, afin de faciliter vos connexions tout en maintenant un niveau de sécurité élevé, pour une connexion de ce navigateur depuis cet ordinateur, la demande de MFA ne sera pas répétée systématiquement pendant 30 jours.

Une application TOTP (Time-based One-Time Password) génère des codes temporaires à usage unique, sans être intrusive et en ne nécessitant ni connexion à internet, ni stockage de données. Installée sur l’appareil de votre choix (téléphone portable, tablette, ordinateur…), elle produit un code à partir de deux éléments : l’heure actuelle et une clé secrète unique fournie par le CAS, dont vous êtes le seul détenteur.

Lors de la configuration, vous récupérez cette clé secrète via un QR code affiché ou une chaîne alphanumérique que vous saisissez manuellement dans l’application. À chaque demande de code, l’application combine la clé secrète et l’heure pour générer un code unique et temporaire, valable 30 secondes au maximum.

Le serveur CAS effectue la même opération de son côté au moment de votre connexion. Si le code généré par votre application correspond à celui calculé par le serveur, votre authentification est validée.

Il existe de nombreuses applications de TOTP disponibles pour tous les systèmes d’exploitation et les appareils mobiles. La plupart sont gratuites, mais offrent des caractéristiques variées pour s’adapter à tous les usages et préférences.

Si vous utilisez déjà une application pour votre banque, assurance ou pour d’autres services, nous vous conseillons de continuer à l’utiliser, autrement vous pouvez utiliser Google Authenticator – bien intégré à notre environnement, absolument non intrusif (absolument aucune donnée transmise), entièrement gratuit et disponible sur les plateformes IOS et Androïd.

Par ailleurs, de nombreuses alternatives existent, certaines payantes, d’autres gratuites ou open source, vous permettant de choisir l’application qui vous convient le mieux selon vos besoins, notamment en matière de sauvegarde, multi-appareil ou confidentialité.

Il n’est pas possible d’associer plusieurs générateurs TOTP différents à votre compte institutionnel via le panneau d’administration. Cependant, vous pouvez utiliser la même clé secrète sur plusieurs appareils en scannant le QR code ou en saisissant manuellement la clé sur chaque périphérique.

Cela vous permet de générer le même code TOTP depuis plusieurs appareils, en cas de besoin.

Lors de l’enregistrement de votre générateur de codes TOTP le serveur CAS vous propose d’enregistrer ou d’imprimer cinq codes, dits « de secours », à usage unique (scratch codes en anglais).

Ces codes sont propres au générateur que vous venez d’enregistrer et chacun d’entre eux ne peut servir qu’une seule fois.

Ils peuvent servir dans de rarissimes cas d’utilisation, impliquant l’oubli du générateur de TOTP et l’impossibilité d’accéder à son mail personnel : avec l’un de ces codes vous pourrez néanmoins vous connecter en passant par le générateur TOTP et en saisissant l’un d’eux (qui n’a pas déjà été utilisé) en lieu et place du code généré et saisit habituellement.

Le tableau de bord CAS vous permet de gérer votre générateur TOTP, vos périphériques de confiance ainsi que vos sessions de connexion actives.

Vous pouvez y accéder via l’URL du CAS : https://cas.parisnanterre.fr sans ajouter de paramètres supplémentaires à l’adresse.

L’interface du tableau de bord est divisée en plusieurs sections principales :

La première affiche votre générateur de codes TOTP, s’il est configuré, et vous permet d’en enregistrer un nouveau autrement.
La deuxième liste tous vos périphériques de confiance (ordinateurs, tablettes, smartphones) enregistrés.
La troisième montre les sessions de connexion actives à votre compte.

Utilisation de la MFA