VPN à double authentification

Généralités

• Comme vous l'avez constaté avec votre banque et de nombreux services numériques, nous arrivons à la fin de l'authentification uniquement par un login et un mot de passe.

• Notamment à cause des campagnes permanentes et de plus en plus sophistiquées de phishing qui finissent très souvent par récupérer un tel couple login + mot de passe.

• Aussi sur ces services numériques, un deuxième facteur d'authentification est souvent demandé. Il prend souvent la forme d'un code reçu soit par email soit par SMS.

• Afin de s'inscrire dans cette tendance lourde de sécurité renforcée et éviter des intrusions sur notre réseau par un accès VPN réalisé par vol de login et de mot de passe,
  l'Institut s'engage sur la mise en place d'une double authentificatin pour les accès VPN (utiles pour l'accès distant aux serveurs de stockage store* et à eLabFTW)

• Désormais sur notre parefeu, il est possible d'utiliser une application dite TOTP (Time based One Time Password).
  Cf cette page Wikipedia
  Le deuxième facteur est un code à 6 chiffres valable quelques minutes.
  Le plus pratique est sans doute utiliser son smartphone pour y installer une application TOTP
  Voici une liste non exhaustive d'applications de ce type, qui sont des applications libres, non liées à des GAFAM
  • FreeOTP
  • 2FAS
  • Aegis
  • Proton Authenticator
  Les applications TOTP suivantes liées à des GAFAM sont déconseillées
  • Microsoft Authenticator
  • Google Authentificator

Initialisation du procédé la première fois

• Vous vous déclarez comme volontaire : le service informatique vous inclut dans le groupe des volontaires. C'est évidemment réversible.

• Il est impératif de finir ce qui suit AVANT de pouvoir ouvrir une nouvelle connexion VPN.

• Une fois seulement, depuis l'extérieur ou une connexion WiFi, vous allez sur https://vpn.ijm.fr/auth et vous vous authentifiez avec votre compte IJM, comme pour l'accès VPN.

• Vous obtenez un Q-R code que vous faites scanner par votre application TOTP et vous tapez en retour dans la page Web le code qui s'affiche sur votre application TOTP.
  Si vous n'avez pas obtenu de Q-R code car la redirection ne s'est pas faite, vous pouvez obtenir ce Q-R code à https://vpn.ijm.fr/auth/totp_enroll.html
  Si cela ne fonctionne toujours pas, merci d'essayer avec un autre navigateur Web.

A chaque connexion VPN

• Tout d'abord, il convient de lancer l'application TOTP sur son smartphone.

• Lors de la connexion du client VPN, en plus de votre login et mot de passe IJM, il vous sera demandé le code qui s'affiche à ce moment là sur votre application TOTP.

• Sur les clients VPN sur Windows et MacOS, il y a une case prévue pour cela. (utiliser une connexion multifactorielle)

• Sur Linux, il suffit de taper le code à la suite strictede son mot de passe