Aide:Double authentification
←Pages d’aide | Aide de la double authentification |
Cette page explique la double authentification sur les wikis de la Fondation Wikimédia. Pour plus d’informations sur l’extension qui ajoute cette fonctionnalité, voir cette page sur MediaWiki. |
L'implémentation de Wikimédia de la double authentification (2FA) est un moyen d'empêcher votre compte d'être compromis. Si vous activez la double authentification, un code d'authentification à six chiffres vous sera demandé à chaque fois en plus de votre mot de passe. Ce code à six chiffres peut provenir d'une application sur votre smartphone ou d'un autre appareil d'authentification. Pour vous connecter, vous devez connaitre à la fois votre mot de passe et avoir votre dispositif d'authentification disponible de sorte que les six chiffres puissent être créés.
Comptes affectés
La double authentification sur Wikimedia est actuellement expérimentale et facultative (à quelques exceptions près). L'inscription nécessite d'avoir le droit (oathauth-enable)
, actuellement en test de production avec les administrateurs (et les utilisateurs avec des droits de type admin comme les éditeurs d'interface), les bureaucrates, les checkusers, les masqueurs de modifications, les stewards, les modificateurs de filtre anti-erreur ou les personnes du groupe global OATH-testeurs.
Les comptes Wikitech LDAP sont également admissibles.
Groupes d’utilisateurs devant obligatoirement l’utiliser
Activation de la double authentification
- Avoir le droit
(oathauth-enable)
. - Avoir ou installer un client utilisant l’algorithme de mot de passe à usage unique basé sur le temps (lien en anglais, abrévié TOTP). Pour la plupart des utilisateurs, il s'agit d'une application de téléphone ou de tablette. Parmi les applis courantes recommandées, on trouve :
- avec un code source ouvert : FreeOTP (Android, iOS), and OTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox, Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows) ;
- avec un code source fermé : Authy (Android, iOS, macOS, Windows), Google Authenticator (Android iOS) ;
- autres clients comparés sur la Wikipédia en anglais ;
- vous pouvez aussi utiliser un client pour ordinateur tel que OATH Toolkit (Linux, macOS via Homebrew) ou WinAuth (Windows) ; gardez en tête que si vous vous connectez depuis l’ordinateur utilisé pour générer les codes TOTP, cette approche ne protège pas votre compte si un pirate a accès à votre ordinateur ;
- les gestionnaires de mots de passe tels que 1Password, LastPass et KeePass ont de plus en plus souvent une prise en charge de TOTP (native ou à l’aide d’une extension) ; les mêmes limites énoncées précédemment sont présentes, et peuvent être pires si vous utiliser déjà le gestionnaire pour d’autres choses.
- Allez sur la page Special:OATH sur le projet où vous détenez l'un des droits ci-dessus (ce lien est également disponible depuis vos préférences, pour la plupart des utilisateurs, ce ne sera pas ici sur le Metawiki).
- Special:OATH vous présente un code QR contenant le nom du compte et la clé secrète à deux facteurs. Ceci est nécessaire pour relier votre client au serveur.
- Scannez le code QR avec votre client ou entrez le nom de compte et la clé à deux facteurs dans votre client.
- Entrez le code d'authentification de votre client dans la page OATH pour compléter la procédure.
Attention : une série de 10 codes uniques à rayer ainsi qu’un QR-code à scanner une unique fois vous seront également présentés. Vous devriez imprimer et conserver une copie de cette page en toute sécurité. Si vous perdez ou avez un problème avec votre client, votre compte sera verrouillé à moins que vous n'ayez accès à ces codes ou au QR-code pour installer un appareil différent. |
Connexion
- Fournissez votre nom d'utilisateur et votre mot de passe, puis connectez-vous comme avant.
- Entrez un code d'authentification à six chiffres fourni par votre client. Remarque : ce code change toutes les trente secondes environ.
Garder ma session active
Si vous choisissez cette option lors de la connexion, vous n'aurez normalement pas besoin d'entrer un code d'authentification lorsque vous utilisez le même navigateur. Des actions telles que la déconnexion ou la suppression du cache du navigateur nécessiteront un code lors de votre prochaine connexion.
Certaines actions sensibles, comme le changement d'adresse électronique ou de mot de passe, peuvent vous obliger à vous authentifier de nouveau avec un code, même si vous avez choisi l'option « gardez-moi connecté ».
Accès via l'API
La double authentification n'est pas utilisée lorsque vous utilisez OAuth ou des mots de passe de robots pour vous connecter via l'API.
Vous pouvez utiliser des mots de passe d'OAuth ou de bots pour des accès, via l'API, à des actions spécifiques et de périmètre restreint. Ceci tout en continuant à utiliser l'identification à deux facteurs pour protéger votre accès complet. Notez que les mots de passe OAuth et bots ne peuvent pas être utilisés pour se connecter interactivement au site, ils sont restreints aux accès via l'API.
Par exemple, un outil tel AutoWikiBrowser (AWB) ne gère pas encore l'identification à deux facteurs, mais peut être utilisé avec un mot de passe de bot.
Désactivation de la double authentification
Si vous avez déjà activé 2FA, retirer la permission qui vous permet d’activer 2FA ne désactivera pas 2FA. Vous devez suivre le processus ci-dessous pour la désactiver. |
- Allez sur la page Special:OATH ou dans vos préférences. Si vous n'êtes plus dans des groupes qui sont autorisés à utiliser la double authentification, vous pouvez toujours la désactiver via la page Special:OATH.
- Sur la page désactiver la double authentification, utilisez votre client pour générer un code afin de compléter le processus.
Codes uniques à rayer
Lorsque vous vous activez la double authentification, vous recevrez une liste de dix codes uniques. Veuillez imprimer ces codes et les conserver dans un endroit sûr, car vous pourriez avoir besoin de les utiliser au cas où vous perdriez l'accès à votre client 2FA. Il est important de noter que chacun de ces codes est à usage unique ; il ne peut être utilisé qu'une seule fois et expire ensuite. Après en avoir utilisé un, vous pouvez le rayer avec un stylo ou marquer que le code a été utilisé. Pour générer un nouvel ensemble de codes, vous devrez désactiver et réactiver la double authentification.
Désactiver la double authentification sans dispositif d'authentification
Cela peut nécessiter deux codes à rayer : l'un pour se connecter et l'autre pour désactiver le dispositif. Si vous avez besoin d'utiliser l'un de vos codes à rayer, il est conseillé de désactiver et de réactiver la double authentification pour générer un nouvel ensemble de codes dès que possible.
Que faire si mon dispositif utilisé pour la double authentification est inaccessible, perdu ou cassé
Si vous avez un appareil utilisant la 2FA qui a simplement arrêté de générer les codes corrects, vérifiez que son horloge est suffisamment précise. L’OTP basée sur le temps est supposée échouer sur nos wikis dès 2 minutes de décalage temporel.
Vous aurez besoin d'accéder aux codes à rayer qui vous ont été fournis lors de l'activation de la double authentification afin de la désactiver. Vous devrez utiliser jusqu'à deux codes à rayer :
- Vous devez être connecté. Si vous n'êtes pas déjà connecté, cela nécessitera l'utilisation d'un code à rayer.
- Allez sur la page Special:OATH et utilisez un code à rayer différent pour désactiver la double authentification.
Si vous n’avez pas assez de codes à rayer, vous pouvez contacter l’équipe Confiance et Sécurité à l’adresse ca wikimedia.org pour demander à ce que soit retirée la 2FA de votre compte (envoyez le courriel depuis l’adresse enregistrée dans votre compte wiki). Il faudrait aussi que vous créiez une tâche sur Phabricator si vous y avez encore accès. Sachez que la désactivation de la 2FA par le personnel n’est pas toujours accordée.
Voir wikitech:Password and 2FA reset#For users pour obtenir des instructions sur la demande de suppression de 2FA pour votre compte Développeur.
Méthode d'authentification web
Soyez conscient que la plupart des instructions de cette page sont spécifiques à la méthode TOTP. La méthode WebAuthn est plus expérimentale et ne dispose actuellement d'aucune option de récupération (cf. la tâche développeur liée). WebAuthn has a known issue that you must make future logons on the same project that you initiate it from (tracking task).
Voir aussi
- Article de Wikipédia en français et l'item Wikidata sur le concept de l'authentification multi-facteurs.
- Bogues connus et améliorations demandées sur l’authentification à deux facteurs de Wikimédia sont suivis dans Phabricator.
- OATHAuth est l'extension MediaWiki utilisée pour cette fonctionnalité.
- Équipe de sécurité de Wikimédia : Authentification à deux facteurs pour les wikis CentralAuth (en)
- Help:Two-factor authentication dans MediaWiki.org (en)