Contexte et principe de fonctionnement
Pour authentifier les utilisateurs, la messagerie de Paris-Saclay hébergée par Microsoft depuis le piratage utilise une authentification dite à deux facteurs, c'est-à-dire à deux méthodes utilisées l'une après l'autre. La première méthode est le mot de passe habituel du compte informatique Paris-Saclay (compte Adonis – celui des mails, du wifi eduroam, etc.). La deuxième peut utiliser un téléphone fixe ou portable, ou bien des codes temporaires à très faible durée de vie, renouvelés automatiquement à intervalles réguliers.
Or Microsoft n'autorise la méthode par téléphone qu'un nombre très restreint de fois, ce qui oblige à passer aux codes temporaires à assez court terme. Pour générer les codes temporaires, la fenêtre d'authentification incite à utiliser l'application Microsoft Authenticator sur smartphone. Il est cependant possible d'utiliser tout logiciel compatible avec cette méthode de codes temporaires.
La présente documentation explique comment le faire avec le logiciel libre KeePassXC, disponible sous Linux, Windows et OSX (il y a même une application Android). C'est à la base surtout un logiciel de trousseau de mots de passe, mais il sait aussi gérer l'authentification par codes temporaires.
Configuration initiale
Il faut commencer par installer KeePassXC. Sous Linux, il est généralement directement disponible sous forme de paquet fourni par la distribution. Dans les autres cas, il faut le télécharger sur le site de KeePassXC.
Au premier lancement de KeePassXC, choisissez l'option Créer une base de données :
Choisissez éventuellement un nom pertinent pour votre base de données, puis cliquez sur Continue :
Ne touchez à rien dans la fenêtre Paramètres de chiffrement, puis cliquez sur Continue :
Saisissez en double exemplaire un mot de passe de votre choix à la convenance de KeePassXC dans les champs mot de passe, puis cliquez sur Done :
Spécifiez l'endroit où enregistrer le fichier de données, et cliquez sur Save :
Créez une nouvelle entrée, à utiliser pour générer les codes temporaires, en cliquant sur l'icône en forme de plus :
Mettez un nom parlant dans le champ Titre, puis cliquez sur OK :
Faites un clic droit sur l'entrée nouvellement créée, et allez sur TOTP, puis Configurer TOTP… :
Laissez la fenêtre suivante en attente :
Dans votre navigateur web, allez sur le site https://mysignins.microsoft.com/security-info. Au besoin, authentifiez-vous comme d'habtitude, avec la double authentification en utilisant un téléphone.
Cliquez sur Ajouter une méthode de connexion :
Dans la fenêtre de choix, sélectionnez Application d'authentification, puis cliquez sur Ajouter :
Au lieu de suivre la recommandation d'utiliser Microsoft Authenticator, cliquez sur Je souhaite utiliser une autre application d'authentification, puis cliquez sur Suivant :
Dans la fenêtre Configurer son compte, cliquez sur Suivant :
Sous le code QR, cliquez sur le bouton Impossible de numériser l'image ? :
Cela fait apparaître la clé secrète, qu'il faut copier grâce au bouton à sa droite :
Retournez sur KeePassXC et collez la clé secrète dans le champ Clé secrète, puis cliquez sur OK :
Dans la fenêtre principale de KeePassXC, faites un clic droit sur l'entrée, et allez sur TOTP, puis Copier le TOTP :
Repassez sur votre navigateur, et cliquez sur Suivant :
Faites un coller dans le champ de saisie. Le texte collé doit être un code à 6 chiffres. Cliquez ensuite sur Suivant :
Utilisation au quotidien
À chaque fois que Microsoft veut vous authentifier, saisissez votre mot de passe Adonis, puis lancez KeePassXC, et copiez le code temporaire TOTP, comme précédemment:
Ensuite, collez le code dans la fenêtre d'authentification, et cliquez sur Vérifier :
Attention : les étapes de copie du code TOTP et de son utilisation doivent s'enchaîner très rapidement (en moins de 30 secondes).