Aide:Double authentification

From Meta, a Wikimedia project coordination wiki
This page is a translated version of the page Help:Two-factor authentication and the translation is 100% complete.
Raccourci :
H:2FA
Cette page explique la double authentification sur les wikis de la Fondation Wikimédia. Vous pouvez également consulter la documentation de l’extension qui fournit cette fonctionnalité.

La mise en œuvre par Wikimédia de la double authentification (2FA) est un moyen d’empêcher votre compte d’être compromis. Si vous activez la double authentification, un code d’authentification à six chiffres et à usage unique vous sera demandé à chaque fois en plus de votre mot de passe. Ce code peut provenir d’une application sur votre smartphone ou d’un autre appareil d’authentification. Pour vous connecter, vous devez connaitre à la fois votre mot de passe et avoir votre dispositif d’authentification disponible pour générer ce code.

Comptes affectés

La double authentification sur Wikimédia est actuellement expérimentale et facultative (à quelques exceptions près). L’inscription nécessite de disposer du droit (oathauth-enable), actuellement en test de production avec les administrateurs (et les utilisateurs avec des droits de type admin comme les modificateurs d’interface), les bureaucrates, les vérificateurs d’utilisateurs, les masqueurs de modifications, les stewards, les modificateurs de filtre anti-erreur ou les personnes du groupe global OATH-testeurs.

Tous les comptes LDAP de Wikitech (connus également comme comptes de développeur) sont également admissibles. Ces comptes ne font pas partie de la Connexion unique unifiée.

Groupes d’utilisateurs devant obligatoirement l’utiliser

Activation de la double authentification

  • Vous devez disposer des droits d’accès (oathauth-enable) (disponible par défaut pour les administrateurs, les bureaucrates, les suppresseurs, les vérificateurs d’utilisateurs et les autres groupes d’utilisateurs privilégiés).
  • Vous devez avoir ou installer un client utilisant l’algorithme de mot de passe à usage unique basé sur le temps (lien en anglais, abrégé TOTP). Pour la plupart des utilisateurs, il s’agit d’une application pour téléphone ou tablette. Parmi les applis couramment recommandées, on trouve :
    • avec un code source ouvert : FreeOTP (Android, iOS), and OTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox, Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows) ;
    • avec un code source fermé : Authy (Android, iOS, macOS, Windows), Google Authenticator (Android iOS) ;
    • comparaison générale de nombreuses applications OTP communes (sur Wikipédia en anglais) qui peuvent être utilisées comme client TOTP pour la double authentification ;
    • vous pouvez aussi utiliser un client pour ordinateur tel que OATH Toolkit (Linux, macOS via Homebrew) ou WinAuth (Windows) ; gardez en tête que si vous vous connectez depuis l’ordinateur utilisé pour générer les codes TOTP, cette approche ne protège pas votre compte si un pirate a accès à votre ordinateur ;
    • les gestionnaires de mots de passe tels que 1Password, Bitwarden et KeePass incluent de plus en plus souvent la prise en charge de TOTP ; ceci comporte les mêmes limitations que celles énoncées ci-dessus, mais ça peut valoir la peine de les regarder si vous en utilisez un pour d’autres choses.
      Vue d’ensemble de la section des préférences pour activer la double authentification
  • Allez sur la page Special:OATH sur le projet où vous détenez l’un des droits ci-dessus (ce lien est également disponible depuis vos préférences, pour la plupart des utilisateurs, cela ne sera pas le cas ici sur Méta-Wiki).
  • Special:OATH vous présente un code QR contenant le nom du compte et la clé secrète à deux facteurs. Ceci est nécessaire pour appairer votre client avec le serveur.
  • Scannez le code QR avec votre client ou entrez le nom de compte et la clé à deux facteurs dans votre client TOTP.
  • Entrez le code d’authentification de votre client TOTP dans l’écran OATH pour compléter l’inscription.

Connexion

Écran de connexion
  • Fournissez votre nom d’utilisateur et votre mot de passe, puis connectez-vous comme auparavant.
  • Entrez un code d’authentification à six chiffres fourni par votre client TOTP. Remarque : ce code change toutes les trente secondes environ.

Garder ma session active

Si vous choisissez cette option lors de la connexion, vous n’aurez normalement pas besoin d’entrer un code d’authentification si vous utilisez le même navigateur. Des actions telles que la déconnexion ou la suppression des cookies du cache du navigateur nécessiteront le code lors de votre prochaine connexion.

Certaines actions sensibles, comme changer votre adresse de courriel ou votre mot de passe, peuvent vous obliger à vous authentifier de nouveau avec un code, même si vous avez choisi l’option « gardez-moi connecté ».

Accès via l’API

La double authentification n’est pas utilisée lorsque vous utilisez OAuth ou des mots de passe de robots pour vous connecter via l’API.

Vous pouvez utiliser des mots de passe d’OAuth ou de robots pour des accès, via l’API, à des actions spécifiques et de périmètre restreint. Ceci tout en continuant à utiliser l’identification à deux facteurs pour protéger votre accès complet. Notez que les mots de passe OAuth et de robots ne peuvent pas être utilisés pour se connecter interactivement au site, ils sont restreints aux accès via l’API.

Par exemple, un outil tel AutoWikiBrowser (AWB) ne gère pas encore l’authentification à deux facteurs, mais peut être utilisé avec un mot de passe de robot. Vous pouvez consulter plus d’informations sur la façon de configurer ceci.

Désactivation de la double authentification

Désinscription
  • Allez sur la page Special:OATH ou dans vos préférences. Si vous n’êtes plus dans des groupes autorisés à utiliser la double authentification, vous pouvez toujours la désactiver via la page Special:OATH.
  • Sur la page désactiver la double authentification, utilisez votre appareil d’authentification pour générer un code afin de compléter le processus.

Codes de récupération

Example de codes de récupération avec OAuth

Lorsque vous vous activez la double authentification, vous recevrez une liste de dix codes de récupération à usage unique. Veuillez imprimer ces codes et les conserver dans un endroit sûr, car vous pourriez avoir besoin de les utiliser au cas où vous perdriez l’accès à votre appareil 2FA. Il est important de noter que chacun de ces codes est à usage unique ; il ne peut être utilisé qu’une seule fois et expire ensuite. Après en avoir utilisé un, vous pouvez le rayer avec un stylo ou marquer que le code a été utilisé. Pour générer un nouvel ensemble de codes, vous devrez désactiver et réactiver la double authentification.

Désactiver la double authentification sans appareil d’authentification

Cela peut nécessiter deux codes de récupération : l’un pour se connecter et l’autre pour désactiver le dispositif. Si vous avez besoin d’utiliser l’un de vos codes de récupération, il est conseillé de désactiver et de réactiver la double authentification pour générer un nouvel ensemble de codes dès que possible.

Que faire si mon dispositif utilisé pour la double authentification est inaccessible, perdu ou cassé

Si vous avez un appareil utilisant la double authentification qui a simplement arrêté de générer les codes corrects, vérifiez que son horloge est suffisamment précise. L’OTP basée sur le temps est supposée échouer sur nos wikis au delà de 2 minutes de décalage temporel.

Vous aurez besoin d’accéder aux codes de récupération qui vous ont été fournis lors de l’activation de la double authentification afin de la désactiver. Vous devrez utiliser jusqu’à deux codes de récupération pour accomplir ceci :

  • Vous devez être connecté. Si vous n’êtes pas déjà connecté, cela nécessitera l’utilisation d’un code de récupération.
  • Allez sur la page Special:OATH et utilisez un code de récupération différent pour désactiver la double authentification.

Si vous n’avez pas assez de codes de récupération, vous pouvez contacter l’équipe Trust and Safety|Confiance et Sécurité à l’adresse ca(_AT_)wikimedia.org pour demander à ce que l’authentification à deux facteurs soit retirée de votre compte (envoyez le courriel depuis l’adresse enregistrée dans votre compte wiki). Vous devriez également créer une tâche sur Phabricator si vous y avez encore accès. Sachez que la désactivation de l’authentification à deux facteurs par le personnel n’est pas toujours accordée.

Voir wikitech:Password and 2FA reset#For users pour obtenir des instructions sur la demande de suppression de la double authentification pour votre compte développeur.

Méthode d’authentification sur le web

Soyez conscient que la majeure partie des instructions sur cette page sont spécifiques à la méthode TOTP. La méthode WebAuthn est plus expérimentale et ne dispose actuellement d’aucune option de récupération (cf. la tâche développeur liée). WebAuthn possède un problème connu : vous devrez effectuer vos connexions futures sur le même projet que celui depuis lequel vous avez initialisé la double authentification (suivi de la tâche).

Voir aussi