Aide:Double authentification

La double authentification sur Wikimédia est actuellement expérimentale et facultative (à quelques exceptions près). L’inscription nécessite de disposer du droit (oathauth-enable), actuellement en test de production avec les administrateurs (et les utilisateurs avec des droits de type admin comme les modificateurs d’interface), les bureaucrates, les vérificateurs d’utilisateurs, les masqueurs de modifications, les stewards, les modificateurs de filtre anti-erreur ou les personnes du groupe global OATH-testeurs.

• Groupes nécessitant l’authentification à deux facteurs

• Vous devez disposer des droits d’accès (oathauth-enable) (disponible par défaut pour les administrateurs, les bureaucrates, les suppresseurs, les vérificateurs d’utilisateurs et les autres groupes d’utilisateurs privilégiés).
• Vous devez avoir ou installer un client utilisant l’algorithme de mot de passe à usage unique basé sur le temps (lien en anglais, abrégé TOTP). Pour la plupart des utilisateurs, il s’agit d’une application pour téléphone ou tablette. Toute application compatible est utilisable et parmi celles couramment utilisées on trouve :
  • avec un code source ouvert : Aegis (Android, F-Droid), FreeOTP (Android, F-Droid, iOS), 2FAS (Android, iOS), Bitwarden Authenticator (Android, iOS), Authenticator (iOS), Authenticator.cc (Chrome, Firefox & Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
  • avec un code source fermé : Google Authenticator (Android iOS) ainsi que les applications d'authentification de la plupart des autres grandes entreprises techniques
  • comparaison générale de nombreuses applications OTP communes (sur Wikipédia en anglais) qui peuvent être utilisées comme client TOTP pour la double authentification 2FA (Wikipedia anglophone)
  • vous pouvez aussi utiliser un client pour ordinateur de bureau tel que OATH Toolkit (Linux, macOS via Homebrew) ou WinAuth (Windows) ; gardez en tête que si vous vous connectez depuis l’ordinateur utilisé pour générer les codes TOTP, cette approche ne protège pas votre compte si un pirate a accès à votre ordinateur.
  • les gestionnaires de mots de passe tels que Bitwarden, KeePass et Proton Pass ont également tendance à prendre en charge (ou ont déjà) les greffons pour utiliser TOTP. Ceci comporte les mêmes limitations que celles énoncées ci-dessus, mais ça peut valoir la peine de les regarder si vous en utilisez un pour d’autres choses.

     

• Allez sur la page Special:OATH sur le projet où vous détenez l’un des droits ci-dessus (ce lien est également disponible depuis vos préférences, pour la plupart des utilisateurs, cela ne sera pas le cas ici sur Méta-Wiki).
• Special:OATH vous présente un code QR contenant le nom du compte et la clé secrète à deux facteurs. Ceci est nécessaire pour appairer votre client avec le serveur.
• Scannez le code QR avec votre client ou entrez le nom de compte et la clé à deux facteurs dans votre client TOTP.
• Entrez le code d’authentification de votre client TOTP dans l’écran OATH pour compléter l’inscription.

• Fournissez votre nom d’utilisateur et votre mot de passe, puis connectez-vous comme auparavant.
• Entrez un code d’authentification à six chiffres fourni par votre client TOTP. Remarque : ce code change toutes les trente secondes environ. Si votre code continue d'être refusé, vérifiez que l'heure de l'équipement où votre application auth est installée, est correcte.

Si vous choisissez cette option lors de la connexion, vous n’aurez normalement pas besoin d’entrer un code d’authentification si vous utilisez le même navigateur. Des actions telles que la déconnexion ou la suppression des cookies du cache du navigateur nécessiteront le code lors de votre prochaine connexion.

Certaines actions sensibles, comme changer votre adresse de courriel ou votre mot de passe, peuvent vous obliger à vous authentifier de nouveau avec un code, même si vous avez choisi l’option « gardez-moi connecté ».

La double authentification n’est pas utilisée lorsque vous utilisez OAuth ou des mots de passe de robots pour vous connecter via l’API.

Vous pouvez utiliser des mots de passe d’OAuth ou de robots pour des accès, via l’API, à des actions spécifiques et de périmètre restreint. Ceci tout en continuant à utiliser l’identification à deux facteurs pour protéger votre accès complet. Notez que les mots de passe OAuth et de robots ne peuvent pas être utilisés pour se connecter interactivement au site, ils sont restreints aux accès via l’API.

Par exemple, un outil tel AutoWikiBrowser (AWB) ne gère pas encore l’authentification à deux facteurs, mais peut être utilisé avec un mot de passe de robot. Vous pouvez consulter plus d’informations sur la façon de configurer ceci.

• Allez sur la page Special:OATH ou dans vos préférences. Si vous n’êtes plus dans les groupes autorisés à utiliser la double authentification, vous pouvez toujours la désactiver via la page Special:OATH.
• Sur la page désactiver la double authentification, utilisez votre appareil d’authentification pour générer un code afin de compléter le processus.

Lorsque vous vous activez la double authentification, vous recevrez une liste de dix codes de récupération à usage unique. Veuillez imprimer ces codes et les conserver dans un endroit sûr, car vous pourriez avoir besoin de les utiliser au cas où vous perdriez l’accès à votre appareil 2FA. Il est important de noter que chacun de ces codes est à usage unique ; il ne peut être utilisé qu’une seule fois et expire ensuite. Après en avoir utilisé un, vous pouvez le rayer avec un stylo ou marquer que le code a été utilisé. Pour générer un nouvel ensemble de codes, vous devrez désactiver et réactiver la double authentification.

Cela peut nécessiter deux codes de récupération : l’un pour se connecter et l’autre pour désactiver le dispositif. Si vous avez besoin d’utiliser l’un de vos codes de récupération, il est conseillé de désactiver et de réactiver la double authentification pour générer un nouvel ensemble de codes dès que possible.

Si vous avez un appareil utilisant la double authentification qui a simplement arrêté de générer les codes corrects, vérifiez que son horloge est suffisamment précise. L’OTP basée sur le temps est supposée échouer sur nos wikis au delà de 2 minutes de décalage temporel.

Vous aurez besoin d’accéder aux codes de récupération qui vous ont été fournis lors de l’activation de la double authentification afin de la désactiver. Vous devrez utiliser jusqu’à deux codes de récupération pour accomplir ceci :

• Vous devez être connecté. Si vous n’êtes pas déjà connecté, cela nécessitera l’utilisation d’un code de récupération.
• Allez sur la page Special:OATH et utilisez un code de récupération différent pour désactiver la double authentification.

Si vous n’avez pas assez de codes de récupération, vous pouvez contacter l’équipe Trust and Safety|Confiance et Sécurité à l’adresse ca wikimedia.org pour demander à ce que l’authentification à deux facteurs soit retirée de votre compte (envoyez le courriel depuis l’adresse enregistrée dans votre compte wiki). Vous devriez également créer une tâche sur Phabricator si vous y avez encore accès. Sachez que la désactivation de l’authentification à deux facteurs 2FA par le personnel n’est pas toujours accordée.

Voir wikitech:Password and 2FA reset#For users pour obtenir des instructions sur la demande de suppression de la double authentification pour votre compte développeur.

Soyez conscient que la majeure partie des instructions sur cette page sont spécifiques à la méthode TOTP. La méthode WebAuthn est plus expérimentale et ne dispose actuellement d’aucune option de récupération (voir la tâche développeur liée). WebAuthn a un problème connu : vous devrez effectuer vos connexions futures sur le même projet que celui depuis lequel vous avez initialisé la double authentification (suivi de la tâche).

• Le concept d’authentification multi-facteur sur Wikipédia en anglais et un élément Wikidata associé.
• Les bogues connus et améliorations demandées sur l’authentification à deux facteurs de Wikimédia sont gérés communautairement et suivis dans Phabricator.
• OATHAuth est l’extension MediaWiki utilisée pour cette fonctionnalité.
• Équipe de sécurité de Wikimédia/Authentification à deux facteurs pour les wikis CentralAuth (en anglais).
• Help:Two-factor authentication dans MediaWiki.org (en anglais).