Authentification a deux facteurs (2FA)
L'authentification a deux facteurs (2FA, MFA) ajoute une seconde etape de verification au mot de passe lors de la connexion. Meme si des personnes exterieures decouvrent votre mot de passe, elles ne peuvent pas acceder au compte sans le second facteur. Pour une entreprise, c'est une protection de base des donnees de travail : taches, clients, documents et echanges.
Dans LadVen OS, chaque collaborateur peut activer lui-meme la 2FA dans son profil, et l'administrateur peut definir une politique pour toute l'entreprise et pour les participants externes (extranet).
Comment cela fonctionne
Lorsque la 2FA est activee, la connexion se deroule en deux etapes :
- Identifiant et mot de passe, comme d'habitude.
- Un code a usage unique fourni par l'application d'authentification installee sur votre telephone.
Le code change toutes les quelques dizaines de secondes, il ne peut donc pas etre reutilise ni intercepte durablement. Si le telephone n'est pas disponible, vous pouvez saisir a la place l'un des codes de recuperation que vous avez enregistres lors de l'activation de la 2FA.
Comment activer la 2FA dans le profil
L'activation prend quelques minutes. Installez au prealable une application d'authentification sur votre telephone : Google Authenticator, Microsoft Authenticator, Authy ou equivalent.
- Ouvrez votre profil et trouvez la section securite avec le bloc d'authentification a deux facteurs.
- Cliquez sur l'activation de la 2FA. Pour confirmer votre identite, le systeme vous demande de saisir votre mot de passe actuel.
- Un QR code apparait. Ouvrez l'application d'authentification et scannez-le : une ligne s'ajoute dans l'application avec votre compte LadVen OS et un code qui change.
- Saisissez le code actuel affiche dans l'application pour confirmer qu'elle est correctement configuree.
- Le systeme affiche les codes de recuperation. Enregistrez-les immediatement : c'est le seul moment ou ils sont visibles en entier.
Apres l'activation, la 2FA devient obligatoire pour se connecter a votre compte.
Si le QR code ne se scanne pas, l'application permet generalement d'ajouter le compte manuellement a l'aide de la cle textuelle affichee a cote du code.
Codes de recuperation
Les codes de recuperation sont des codes de secours a usage unique, prevus pour les cas ou l'application d'authentification n'est pas disponible : telephone perdu, dechargee, remplace ou reinstalle.
- Enregistrez les codes dans un endroit sur : gestionnaire de mots de passe, note protegee, impression conservee dans un coffre. Ne les rangez pas a cote du mot de passe et ne les envoyez pas dans des messageries ouvertes.
- Chaque code ne fonctionne qu'une seule fois. Une fois utilise, il n'est plus valable.
- Lorsque les codes s'epuisent ou que vous soupconnez que des tiers les ont vus, generez un nouveau jeu dans le profil. Les anciens codes cessent alors de fonctionner.
Les codes de recuperation donnent acces a votre compte. Traitez-les comme un mot de passe.
Appareils de confiance
Pour eviter de saisir le code a chaque connexion depuis votre ordinateur de travail personnel, vous pouvez marquer le navigateur comme de confiance. Sur un appareil de confiance, le second facteur n'est pas demande pendant un certain temps.
- Ne marquez comme de confiance que les appareils de travail personnels, et non les ordinateurs partages ou appartenant a d'autres.
- Si l'appareil est perdu ou si un tiers a pu y acceder, revoquez la confiance : le second facteur sera de nouveau requis a la prochaine connexion.
- La confiance est limitee dans le temps et conservee dans un navigateur precis : apres l'effacement des donnees du navigateur ou l'expiration du delai, le code sera de nouveau demande.
Connexion avec un second facteur
Lorsque la 2FA est activee, un champ pour le code a usage unique apparait apres l'identifiant et le mot de passe :
- Ouvrez l'application d'authentification et consultez le code actuel pour LadVen OS.
- Saisissez le code avant qu'il ne change. Si vous n'y arrivez pas, attendez le nouveau code et saisissez-le.
- Si l'application n'est pas disponible, passez a la saisie d'un code de recuperation.
Si le code ne convient pas, verifiez que l'heure du telephone est correcte (les applications d'authentification dependent d'une heure precise) et que vous saisissez bien le code du compte LadVen OS, et non celui d'un autre service.
Comment desactiver la 2FA
Vous pouvez desactiver la 2FA dans la meme section du profil. Le systeme demande de confirmer l'identite par le mot de passe et le second facteur : cela protege contre une desactivation par un tiers ayant acces a un ecran deverrouille.
Desactivez la 2FA en connaissance de cause : le compte ne sera de nouveau protege que par un mot de passe. Si la 2FA est obligatoire selon la politique de l'entreprise, vous ne pouvez pas la desactiver vous-meme : contactez l'administrateur.
Pour l'administrateur : politique 2FA de l'entreprise
L'administrateur definit pour qui le second facteur est obligatoire. La politique se configure separement pour les collaborateurs du portail et pour les participants externes de l'extranet, avec plusieurs niveaux :
| Niveau | Signification |
|---|---|
| Desactive | La 2FA n'est pas disponible ou n'est pas utilisee. |
| Facultatif | Chacun active la 2FA lui-meme ; elle n'est pas obligatoire. |
| Obligatoire pour les administrateurs | Les collaborateurs disposant de droits d'administration doivent utiliser la 2FA. |
| Obligatoire pour tous | Tous les collaborateurs (ou tous les participants externes) doivent activer la 2FA. |
Choisissez le niveau selon la sensibilite des donnees et la maturite de l'equipe. Un deploiement pragmatique : d'abord le mode facultatif avec une demande d'activation, puis obligatoire pour les administrateurs, puis obligatoire pour tous, une fois que l'equipe est habituee au processus et connait les codes de recuperation.
Lorsqu'une politique obligatoire est en vigueur, un collaborateur sans 2FA configuree devra effectuer la configuration pour continuer a travailler.
Pour l'administrateur : reinitialisation de la 2FA d'un collaborateur
Si un collaborateur perd l'acces a son second facteur (telephone et codes de recuperation perdus, depart avec transfert du compte, compromission), l'administrateur effectue une reinitialisation forcee de la 2FA dans la liste des collaborateurs. C'est une action sensible, elle exige donc une confirmation.
Apres la reinitialisation :
- la configuration 2FA actuelle du collaborateur est supprimee ;
- a la prochaine connexion, il refait la configuration si une politique obligatoire est en vigueur ;
- les anciens codes de recuperation et appareils de confiance cessent de fonctionner.
Verifiez l'identite du collaborateur avant la reinitialisation par un canal independant : la reinitialisation de la 2FA supprime la protection du compte, elle ne doit donc pas etre utilisee sur une demande non verifiee.
Bonnes pratiques
- Activez la 2FA pour toute personne ayant acces aux clients, aux documents, aux finances ou aux parametres d'administration.
- Enregistrez les codes de recuperation des l'activation et conservez-les separement du mot de passe.
- Ne marquez pas comme de confiance les appareils partages ou appartenant a d'autres.
- Deployez une politique obligatoire par etapes et prevenez l'equipe a l'avance au sujet des codes de recuperation, afin que personne ne perde l'acces.
- N'effectuez la reinitialisation de la 2FA d'un collaborateur qu'apres verification de son identite par un canal fiable.
Erreurs frequentes
- Activer la 2FA sans enregistrer les codes de recuperation : en cas de perte du telephone, l'acces ne se retablit que via l'administrateur.
- Conserver les codes de recuperation a cote du mot de passe ou dans un chat partage : cela reduit la protection a neant.
- Marquer comme de confiance un ordinateur partage : le second facteur cesse de proteger la connexion.
- Deployer brutalement une politique obligatoire, sans prevenir : une partie de l'equipe perd l'acces et surcharge l'administrateur de demandes de reinitialisation.
- Une heure incorrecte sur le telephone : les codes de l'application d'authentification ne conviennent pas, alors que tout est configure correctement.