<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> <link rel="stylesheet" href="/style.css" type="text/css" /> <script type="text/javascript" src="/jquery.min.js"></script> <title>CERN Computer Security Information</title> <script type="text/javascript"> $(document).ready(function(){ // Menu highlight var path = location.pathname.split("/"); if ( path ) { $('#main_menu a[href*="' + path[1] + '"][class!="noselect"]').addClass('selected'); // path[3] = /security/<xxxxx>/ $('#sidebar ul.sidemenu li[class!="noselect"]:has(a[href$="' + path.reverse()[0] + '"])').addClass('selected'); } // Add icon to external links $('a[id!=logo-img]').filter(function() { return this.hostname && this.hostname !== location.hostname;   }).after(' <img src="/images/external_link.png" alt="external link" title="external link"/>'); }); </script> </head> <body> <div id="wrap"> <div id="top-bg"></div> <!--header --> <div id="header"> <div id="logo-text"> <a id="logo-img" href="https://home.cern/"><img src="/images/CERNLogo2.png" width="59" height="59" style="margin: 10px" alt="CERN Logo"/></a><div id="logo-text-big"><a href="/home/fr/index.shtml" title="">CERN Computer Security</a></div> </div> <div id="header-logo"><a href="/services/fr/emergency.shtml"><img width=335 src="/images/emergency.png" alt="Computer Emergencies"/></a></div> </div> <!--header ends--> <div id="header-photo"></div> <!-- navigation starts--> <div id="nav"> <ul id="main_menu"> <li><a class="noselect" href="/home/en/index.shtml"><img src="/images/gb.png" alt="EN" title="EN"/></a></li> <li><a href="/home/fr/index.shtml">Accueil</a></li> <li><a href="/rules/fr/index.shtml">R&egrave;gles informatiques</a></li> <li><a href="/recommendations/fr/index.shtml">Recommandations</a></li> <li><a href="/training/fr/index.shtml">Formation</a></li> <li><a href="/services/fr/index.shtml">Services</a></li> <li><a class="secured" href="/reports/fr/index.shtml">Rapports &amp; Pr&eacute;sentations</a></li> </ul> </div> <!-- navigation ends--> <!-- content-wrap starts --> <div id="content-wrap"> <div id="main"> <h2>Commencer avec l'authentification à deux facteurs</h2> <p> L'&laquo; Authentication &raquo; est le processus pendant lequel vous prouvez numériquement qui vous êtes. Habituellement, votre identité est vérifiée grâce à votre nom d'utilisateur et votre mot de passe. Comme vous ne devez jamais (!) partager votre mot de passe avec qui que ce soit, vous êtes le seul à pouvoir fournir le mot de passe correspondant à votre identité numérique. </p> <p>Les instructions concernant l'authentification à deux facteurs pour l'accès SSH se trouvent <a href="#2fa_ssh">ci-dessous</a>.</p> <p> Au CERN, vous avez un mot de passe qui est attaché à votre compte CERN, et <a href="https://auth.cern.ch">le portail de &laquo; Single Sign-On &raquo;</a> est le point central pour l'authentification. Si un autre site que <a href="https://auth.cern.ch">le portail de &laquo; Single Sign-On &raquo;</a> vous demande le mot de passe de votre compte CERN, signalez-le nous! </p> <p><center><img border="0" src="/recommendations/images/auth.cern.ch.png" width="70%"></center></p> <p> L'authentification par mot de passe convient à de nombreux utilisateurs qui visitent les services informatiques du CERN pour leurs tâches quotidiennes (par exemple, assister à des événements Indico, accéder à le "CERN Market"). Pour des utilisateurs CERN avec d'accès au systèmes critiques, néanmoins, un &laquo; simple &raquo; mot de passe peut ne pas être suffisant pour la protection de leur compte informatique, les mots de passe étant souvent volés ou perdus. Ceci, par conséquent, présente un risque de sécurité essentiel. L'&laquo; authentification à deux facteurs &raquo; l'améliore et exige non seulement que vous connaîssiez quelque-chose (un mot de passe), mais aussi que vous possédiez un appareil physique (clef physique, téléphone, ...). Les utilisateurs des services suivants doivent activer l'authentification à deux facteurs pour eux-mêmes : </p> <ul> <li>Des applications critiques utilisées à l'intérieur du Département Finance du CERN, ainsi que dans l'équipe de Sécurité Informatique du CERN;</li> <li>Toute passerelle d'accès distant utilisée pour accéder au Réseau Technique;</li> <li>L'accès à des services sensibles utilisés par l'infrastructure interne du département IT du CERN.</li> </ul> <p> Cette liste augmentera au fil du temps à mesure que de plus en plus de services appliquent l'authentification à deux facteurs. En fin de compte, tout utilisateur du CERN dont le compte pourrait être abusé pour infliger des dommages importants au CERN devrait voir son compte protégé à l'aide de l'authentification à deux facteurs. Même si vous n'accédez pas à l'un de ces services critiques, vous pouvez l'activer vous-même comme mesure de sécurité supplémentaire ! </p> <p> Le CERN Single Sign-On offre deux options pour enregistrer un deuxième facteur : </p> <ul> <li> Une application à mot de passe unique s'exécutant sur votre smartphone (par exemple andOTP, FreeOTP Authenticator, Google Authenticator, ...); </li> <li> Un générateur de jetons WebAuthn, tel qu'une Yubikey ou certains lecteurs d'empreintes digitales modernes. </li> </ul> <p> <b>C'est essentiel que votre deuxième facteur d'authentification soit physiquement séparé de vos principaux appareils de travail.</b> C'est pourquoi les mécanismes d'authentification à deux facteurs sont soit des jetons physiques (par exemple une carte physique avec une puce, un Yubikey), soit une application sur votre smartphone (par exemple une application bancaire dédiée, ou une application générant des mots de passe à usage unique / OTP. </p> <h3>Obtenir, gérer et signaler la perte d'un second facteur</h3> <p> Voir ce article dans ServiceNow: <a href="https://cern.service-now.com/service-portal?id=kb_article&n=KB0006590">KB0006590</a>. Pour des questions plus générales, veuillez consulter notre <a href="https://auth.docs.cern.ch/trouble-shooting/2fa-tips/">FAQ</a>. </p> <h3>Prérequis pour utiliser "WebAuth" sur des systèmes Linux</h3> <p> Pour que votre navigateur Web puisse d'intéragir avec votre Yubikey ou clef WebAuth, il a besoin d'être autorisé à cela. Malheureusement, le support générique des clefs WebAuth n'a été rajouté à systemd/udev que <a href="https://github.com/systemd/systemd/pull/13357">très récemment</a>. Certaines distributions (par exemple Fedora ou Ubuntu) ont d'autres solutions équivalentes en place, mais ce n'est pas encore le cas pour toutes les distributions. </p> <h4>CERN Centos 7</h4> <p> Un packet a été rajouté à CERN Centos 7 (il est aussi disponible via EPEL): u2f-hidraw-policy. Une fois ce packet installé, vous aurez simplement besoin de déconnecter et reconnecter votre clef pour que les nouvelles authorisations soient appliquées. </p> <h3 id="2fa_ssh">L'authentification à deux facteurs pour SSH</h3> <p> L'authentification à deux facteurs marche aussi pour protèger des serveurs Linux par SSH! Si vous êtes un administrateur système intéressé pour l'activer, incluez notre module Puppet <a href="https://gitlab.cern.ch/ai/it-puppet-module-multifactor/">multifactor</a> ou utilisez directement notre code accessible depuis <a href="https://cern-cert.github.io/pam_2fa/">Github</a>. </p> <p> Les mêmes tokens (Time based One Time Passwords, TOTP, utilisant une application d'authentification) et Yubikeys sont supportés pour l'accès SSH. Les codes TOTP générés par votre application d'authentification configurée sur le SSO peuvent également être utilisés directement pour l'accès SSH. </p><p>Pour utiliser votre Yubikey pour l'accès SSH, vous devez enregistrer votre clé sur ce <a href="https://sshsetup.web.cern.ch">site web dédié</a>. Alors que les Yubikey fournis par le CERN peuvent être directement enregistrés, l'utilisation de votre Yubikey privé pour SSH nécessite une configuration personnalisée et l'envoi des secrets à l'équipe de sécurité informatique.</p> <h3>Support</h3> <p> Une série de questions et leurs réponses sont publiées sur cette <b><a href="https://auth.docs.cern.ch/trouble-shooting/2fa-tips/">FAQ</a></b>. Pour vos questions additionnelles ou de l'aide, veuillez contactez le CERN Service Desk via <a href="mailto:Service.Desk@cern.ch">Service.Desk@cern.ch</a>. </p> </div> <!-- main ends --> <!-- SIDEBAR --> <!-- sidebar menu starts --> <div id="sidebar"> <h3>Pour tous les utilisateurs<br> (experts ou non)</h3> <ul class="sidemenu"> <li><a href="/recommendations/fr/good_practises.shtml">Sept &laquo; good practices &raquo;</a></li> <li><a href="/recommendations/fr/passwords.shtml">Mots de passe &<br/> brosses &agrave; dents</a></li> <li><a href="/recommendations/fr/2FA.shtml">Commencer avec<br/> l'authentification<br/> &agrave; deux facteurs</a></li> <li><a href="/recommendations/fr/bad_mails.shtml">Mauvais mails pour vous:<br/> &laquo; hame&ccedil;onnage &raquo;, &laquo; SPAM &raquo; & fraude</a></li> <li><a href="/recommendations/fr/malicious_email.shtml">Comment identifier des courriels et documents joints malicieux</a></li> <li><a href="/recommendations/fr/working_remotely.shtml">Travailler à distance</a></li> <li><a href="/recommendations/fr/how_to_secure_your_pc.shtml">Comment s&eacute;curiser<br/> votre PC ou Mac</a></li> <li><a href="/recommendations/fr/connecting_to_cern.shtml">Se connecter au CERN</a></li> <li><a href="/recommendations/fr/ssh.shtml">Chiffrage avec SSH</a></li> </ul> <h3>Pour les d&eacute;veloppeurs</h3> <ul class="sidemenu"> <li><a href="/recommendations/fr/password_alternatives.shtml">Comment garder les secrets secrets</br> (alternatives aux mots de passe)</a></li> <li><a href="/rules/fr/software-development.shtml">Checklist de s&eacute;curit&eacute;</a></li> <li><a href="https://gitlab.docs.cern.ch/docs/Secure%20your%20application/">Outils pour s&eacute;curiser GitLab CI</a> (en anglais)</li> <li><a href="/recommendations/fr/web_applications.shtml">S&eacute;curiser les applications Web</a></li> <li><a href="/recommendations/fr/sast.shtml">Outils d’analyse statique de code source</a></li> </ul> </div> <!-- sidebar menu ends --> <!-- content-wrap ends--> </div> <!-- footer starts --> <div id="footer-wrap"> <div id="footer-bottom"> &copy; Copyright 2025<strong> <a href="https://cern.ch/security">CERN Computer Security Office</a></strong> <table> <tr> <td id="footer-info-left"> e-mail: <a href="mailto:Computer.Security@cern.ch">Computer.Security@cern.ch</a><br/> Utilisez la cl&eacute; PGP suivante pour encrypter vos messages : <br/> ID: 0x954CE234B4C6ED84<br/> <a href="https://keys.openpgp.org/vks/v1/by-fingerprint/429D60460EBE8006B04CDF02954CE234B4C6ED84">429D 6046 0EBE 8006 B04C DF02 954C E234 B4C6 ED84</a> </td> <td id="footer-info-right"> T&eacute;l&eacute;phone: +41 22 767 0500<br/> (&Eacute;coutez les instructions enregistr&eacute;es.) </td> </tr> </table> </div> </div> <!-- footer ends--> </div> <!-- wrap ends here --> </body> </html>