Aller au contenu principal

Authentification multifacteurs

Qu'est ce que l'authentification multifacteurs ?

L'authentification multifacteurs ou multi factor authentication (MFA) est un processus de connexion à un compte en plusieurs étapes qui exige des utilisateurs qu'ils saisissent des informations supplémentaires en plus d'un simple mot de passe. Le MFA est un mécanisme d'authentification forte qui renforce la sécurité en augmentant le niveau de validation de l'identité de l'utilisateur lors de la connexion.

Dans le contexte Visiativ Transformer, il est possible d'activer l'authentification multifacteurs sur un tenant.

Lorsque l'authentification multifacteurs est activée sur un tenant, les utilisateurs qui souhaitent se connecter à une application configurée pour dans ce tenant devront initier et utiliser un facteur supplémentaire (second facteur), en combinaison avec leur login/mot de passe (premier facteur), pour s'authentifier.

Processus MFA

Processus MFA

Méthodes MFA

Deux types de méthodes sont disponibles pour le second facteur d'authentification :

  • Courriel : un courriel contenant un code sera envoyé à l'utilisateur pendant la phase d'authentification. Ce code doit être saisi lors de l'étape de validation du MFA;
  • Mot de passe à usage unique (TOTP) : l'utilisateur est invité à utiliser une application d'authentification pour récupérer un code. Ce code doit être saisi lors de l'étape de validation du MFA.

Lors de la première authentification, l'utilisateur est invité à choisir et à configurer la méthode qu'il souhaite utiliser comme deuxième facteur d'authentification.

Méthodes MFA

remarque

Après l'initialisation de la première méthode, l'utilisateur ne pourra plus changer de méthode par la suite. La prochaine fois que l'utilisateur s'authentifie, il doit utiliser la méthode précédemment configurée pour valider le deuxième facteur d'authentification.

En plus de la méthode choisie, l'utilisateur peut utiliser une méthode alternative appelée "codes de récupération". Après l'initialisation de la méthode choisie, le système fournit automatiquement une liste de codes de récupération statiques à usage unique, qui peuvent être copiés par l'utilisateur et utilisés comme alternative à la méthode initialement choisie (voir la section "Méthode des codes de récupération" pour plus de détails).

Méthode OTP

Le mot de passe à usage unique basé sur le temps (TOTP) est une méthode qui nécessite l'utilisation d'une application tierce (connue sous le nom "d'application d'authentification") capable d'être configurée et de générer des codes à usage unique avec une validité limitée.

Les règles de génération de codes dans l'application d'authentification sont définies comme suit :

  • le code est un nombre à 6 chiffres;
  • un code est valide pendant 30 secondes avant rotation.

Il existe plusieurs applications disponibles, dont la plupart sont des applications mobiles. Nous vous recommandons toutefois d'utiliser Microsoft authenticator ou Google authenticator mobile app, qui ont fait leurs preuves et sont certainement les plus connues. Nous vous conseillons de vous référer à la documentation en ligne disponible pour ces applications si nécessaire.

remarque

La méthode OTP est la méthode recommandée car elle est plus sûre que la méthode par courrier électronique.

Étape d'initialisation de l'OTP

Si l'utilisateur choisit la méthode OTP, il sera invité à suivre les deux étapes d'initialisation.

  1. La première étape consiste à télécharger l'une des applications recommandées :

Méthodes MFA

Cette étape explicative a pour but de guider et d'assister l'utilisateur dans l'installation de l'application à utiliser. Elle se compose des deux applications recommandées et des codes QR permettant de les installer sur les téléphones.

remarque

Il est possible d'utiliser une autre application du même type, mais la compatibilité n'est pas garantie.

  1. La deuxième étape consiste à configurer l'application pour cet accès utilisateur. Pour ce faire, un QR Code peut être scanné avec l'application pour faciliter et automatiser la configuration :

Méthodes MFA

Une fois l'application configurée, cliquez sur le bouton "Suivant".

Étape du code de vérification OTP

Une fois la méthode OTP initialisée, l'utilisateur pourra récupérer un code temporel à usage unique à partir de son application et devra le saisir à l'étape de vérification du code.

Méthodes MFA

Pour rappel, lors de la prochaine tentative d'authentification, l'utilisateur n'aura pas à réinitialiser la méthode OTP (installation et configuration de l'application authentificateur) et passera directement à l'étape de vérification du code.

Méthode par email

La méthode par courrier électronique permet à l'utilisateur de définir une adresse électronique à laquelle le code de vérification sera envoyé en tant que deuxième facteur d'authentification.

Les règles relatives au code de vérification généré par courriel sont définies comme suit :

  • le code est un nombre à 6 chiffres
  • le code est valable pendant 5 minutes avant d'expirer. Après expiration, l'utilisateur peut demander un nouveau code par courrier électronique.
remarque

La méthode du courrier électronique n'est pas recommandée pour des raisons de sécurité, en particulier si l'adresse électronique utilisée pour le login est la même que celle configurée comme deuxième facteur.

Étape d'initialisation de l'e-mail

L'initialisation de cette méthode consiste à saisir d'abord l'adresse électronique à laquelle l'utilisateur souhaite recevoir ses codes de vérification.

Méthodes MFA

Après avoir saisi l'adresse électronique et cliqué sur le bouton "Suivant", un courriel sera envoyé pour initialiser la méthode et valider l'identité et l'accès de l'utilisateur.

Méthodes MFA

Étape du code de vérification de l'email

A cette étape, l'utilisateur doit saisir le code de vérification reçu par courrier électronique :

Méthodes MFA

Se souvenir du périphérique

Lors de l'étape de vérification du code, pour l'une des deux méthodes (OTP ou e-mail), l'utilisateur peut cocher une case pour activer la fonction "Mémoriser l'appareil".

Méthodes MFA

En cochant cette case lors de l'authentification MFA, l'utilisateur ne devra plus valider son deuxième facteur pendant 90 jours, si l'authentification est effectuée à partir du même appareil/navigateur.

Ce mécanisme permet d'améliorer l'expérience de l'utilisateur, s'il le souhaite, tout en maintenant la sécurité du processus d'authentification sans avoir à effectuer les étapes de validation d'un second facteur.

Méthode des codes de secours

Comme mentionné au début de la documentation, une méthode alternative, ou "de secours", est automatiquement présentée à l'utilisateur à la fin de l'initialisation de la méthode choisie.

Méthodes MFA

Cette méthode alternative est destinée à débloquer une situation particulière dans laquelle l'utilisateur ne peut plus valider la méthode initialement choisie (par exemple, oubli du téléphone ou impossibilité d'accéder à la boîte aux lettres).

Cette liste contient 10 codes statiques, chacun à usage unique et donc non réutilisable.

Il est conseillé aux utilisateurs de copier et de conserver ces codes en toute sécurité. Pour ce faire, cliquez sur l'icône "Copier", ou téléchargez un PDF contenant ces codes en cliquant sur le bouton "Télécharger en PDF".

Réinitialisation de la méthode

Pour des raisons de sécurité, la méthode choisie par l'utilisateur ne peut plus être modifiée par la suite une fois qu'elle a été configurée. Cela signifie qu'un utilisateur qui ne peut plus valider son deuxième facteur avec la méthode initialement choisie sera bloqué et ne pourra peut-être plus accéder aux applications (par exemple, s'il n'a plus accès à sa boîte aux lettres initialement configurée avec le facteur mail)...

Dans ce cas, une action de l'administrateur doit être entreprise pour réinitialiser le facteur configuré pour l'utilisateur.