View in

English

Sécurité informatique : authentification à deux facteurs (dite A2F, ou 2FA) – 2 Fabuleuses Astuces

|

2e Fase Accomplie : le déploiement du système d’Authentification à 2 Facteurs (A2F ou 2FA) est bientôt terminé. En 2023, nous avions intégré le dispositif aux comptes de tous les membres du personnel du CERN ; en 2024, nous l’avons installé sur quelque 12 700 comptes informatiques d’utilisateurs du CERN (ces personnes qui viennent au CERN entre 5 % et 100 % de l’année). La dernière étape, prévue pour 2025, sera l’Activation Finale du système pour tous ceux qui participent aux travaux du CERN (environ 7 300 comptes informatiques de personnes qui travaillent avec le CERN mais qui n’y viennent jamais). Hormis quelques détails qui restent À Finaliser, nous y sommes !

Ce dispositif est un élément essentiel de la protection des installations informatiques du CERN. Les 2 Facteurs d’Authentification, ce sont 2 Fantastiques Avantages pour veiller à ce qu’un seul et unique mot de passe ne soit pas en mesure de compromettre des services informatiques, des systèmes de contrôle ou des stockages de données importants. C’est l’une des Armes Fatales contre les attaques par rançongiciels.

Pour vous faciliter la vie avec l’Authentification à 2 Facteurs, voici 2 Fabuleuses Astuces pour rendre le système 2FA plus simple d’utilisation.

  • Si vous possédez plusieurs téléphones, notez que vous pouvez exporter ou importer vos codes 2FA d’un appareil à l’autre. Il suffit d’aller dans le menu « paramètres » de votre Application Favorite d’Authentification à 2 Facteurs (Aegis ou Ente), d’exporter les codes, de les transférer sur votre autre téléphone puis de les importer. Les codes exportés ne peuvent cependant pas toujours être importés si les applications sont différentes.
  • Si vous préférez une Authentification à 2 Facteurs avec une clé de sécurité physique (« Yubikey »), mais que vous en avez assez du grand format, vous pouvez venir en récupérer une plus petite au IT SOS Helpdesk situé au restaurant n° 2 du CERN. La Yubikey « nano » est parfaite si vous souhaitez la laisser branchée en permanence*, car vous risquez moins de l’abîmer quand vous transportez votre ordinateur. Cependant, pensez à commander une version USB-C plutôt qu’une version USB-A, dont la fonctionnalité tactile est trop sensible.
  • En revanche, si vous souhaitez vous débarrasser de votre Yubikey physique, les ordinateurs avec lecteur d’empreintes vous permettent de configurer le lecteur d’empreintes de manière à remplacer la Yubikey (le protocole FIDO2 est le même). Toutefois, l’authentification de cette façon dépendant grandement du modèle de votre ordinateur, de son système d’exploitation et du moteur de recherche utilisé, nous ne pouvons pas détailler les procédures. Nous savons cependant que beaucoup de personnes utilisent ce système.
  • (Et, non, utiliser votre gestionnaire de mots de passe pour l’Authentification à 2 Facteurs n’est PAS une option envisageable. C’est même interdit par les règles informatiques du CERN.)
  • Et en bonus, si vous voulez tester le système 2FA en connexion SSH dans LXPLUS/LXTUNNEL, consultez ce projet pilote ; notez que le réglage « ControlMaster » est votre meilleur ami pour le multiplexage de connexions.

(Bon, d’accord, c’était en fait 2+2 Fabuleuses Astuces, mais peu importe.)

Pour finir, voici 2 Folles Anecdotes qui nous ont été rapportées par des utilisateurs du système 2FA : l’un d’entre eux travaille pour un institut qui n’autorise pas les téléphones sur place et dont les ordinateurs n’ont pas de ports USB permettant d’utiliser une Yubikey. Compliqué ! Plutôt que d’utiliser un dispositif d’authentification de type « Token2 » (qui pourrait d’ailleurs ne pas être autorisé non plus), cet utilisateur appelle son conjoint à l’aide d’une ligne téléphonique fixe afin d’obtenir le code à 6 chiffres nécessaire. La 2e Folle Anecdote concerne un utilisateur qui s’est dit victime d’un burnout à cause du stress lié au fait de toujours avoir l’appareil d’authentification avec lui et d’être, par conséquent, toujours joignable par son conjoint... Heureusement, ces 2 histoires Franchement Alarmantes sont des cas tout À Fait exceptionnels parmi les quelque 32 000 actuels utilisateurs du système 2FA !

PS : Saurez-vous repérer le nombre de fois où 2FA/A2F apparaissent dans ce texte (d’accord, parfois il manque le « 2 ») ? Nous comptons 32 Apparitions Frappantes.

*Oui, cela signifie réduire un peu le niveau de sécurité informatique, mais si votre ordinateur disparait et que votre 2FA est compromise, vous vous en rendrez compte. Dans ce contexte, perdre votre ordinateur avec votre Yubikey revient à perdre votre téléphone.

________

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.