Paramètres de sécurité - Authentification par clé de sécurité
Comment activer l’Authentification à deux facteurs avec une Clé de sécurité
Quand vous activez la double authentification sur votre compte Gandi, vous devrez fournir le mot de passe habituel ET un code additionnel généré soit par une application installée sur votre smartphone (TOTP), soit depuis une « clé de sécurité » (sur USB) que vous devrez insérer dans votre ordinateur.
Nous vous conseillons fortement d’activer les deux méthodes, TOTP et clé de sécurité pour pouvoir basculer de l’une à l’autre en cas de besoin. De cette manière vous pourrez vous rabattre sur le TOTP dans le cas où vous auriez oublié, perdu ou que votre clé était hors service. Lorsque vous vous connectez, la clé vous est demandée en premier. Si cette clé n’est pas disponible, vous pourrez passer sur l’authentification via TOTP. Une seule des deux méthodes de sécurité est demandée pour se connecter.
Comment fonctionnent les Clés de sécurité
« Clés de sécurité » fait référence à une série de dispositifs physiques (comme les clés FIDO) que vous connectez à votre ordinateur pour agir en tant que seconde authentification de votre identification sur un compte. Pour pouvoir utiliser l’option « authentification à 2 facteurs » vous devez avoir acheté une clé physique dont vous aurez besoin chaque fois que vous voudrez vous connecter à votre compte Gandi. La clé devra être insérée sur votre ordinateur pour vérification de votre identité à chaque connexion à votre compte Gandi.
Gandi supporte les dispositifs utilisant les deux protocoles U2F et WebAuthn. Cela inclut (mais ne se limite pas à) l’usage des clés FIDO (comme les clés Yubico), Ledger et autres « portefeuilles de sécurité », ou Apple Touch ID.
Activer votre clé de sécurité
Pour pouvoir utiliser une Clé de sécurité votre navigateur doit supporter le logiciel approprié à la clé que vous aurez acheté. Vérifiez avec votre fournisseur de Clé de sécurité pour être certain d’utiliser un navigateur compatible. Si vous utilisez Apple Touch ID sur un portable, soyez sûr d’avoir activé le Touch ID et fournit une empreinte digitale avant de l’ajouter à votre compte.
Si vous utilisez un dispositif au standard WebAuthn, vous pouvez visiter cette page (en Anglais) pour être certain que votre navigateur supporte ce protocole :
https://caniuse.com/?search=webauthn
Activez votre Clé de sécurité pour votre compte Gandi en suivant ces étapes :
- Connectez-vous à votre compte Gandi.
- Dépliez le menu des paramètres en cliquant sur votre nom d’utilisateur en haut à gauche et cliquez sur Paramètres utilisateur.
- Choisissez « Mots de passe et restrictions d’accès ».
- Recherchez la rubrique Authentification Multifacteur (MFA).
- Dans la partie Clés de sécurité, si vous n’avez aucune clé active vous aurez une étiquette « Désactivées » afficher. Sinon elle affichera le nombre de clés actives. Cliquez sur « Gérer les clés ».
Gérer vos clés de sécurité
Les clés de sécurité enregistrées dans votre compte peuvent servir aussi bien pour la sécurisation du compte, que pour sa récupération. Dans la fenêtre de gestion des clés de sécurité, si vous avez des clés enregistrées vous pourrez voir à côté d’elles des « tags »:
- MAF : Signifie que la clé est utilisée pour la double authentification (gérée via cette interface).
- Récupération : Signifie que la clé est utilisée (aussi ou uniquement) pour la récupération du compte.
Pour ajouter une nouvelle clé :
- Cliquez sur le bouton « Ajouter une nouvelle clé ».
- Dans la nouvelle fenêtre qui s’ouvre, entrez un nom vous permettant de reconnaître facilement de quelle clé il s'agit (Nom de votre nouvelle clé).
- Par défaut (comme nous sommes dans la sécurisation de compte), la case « Utiliser cette clé à chaque fois que je me connecte » est activée.
- Vous pouvez aussi cocher la case « Utiliser cette clé de sécurité comme option de récupération de compte ». De cette manière, cette clé pourra vous servir aussi comme « validateur » lors d’un processus de récupération de votre compte.
- Cliquez sur « Continuer ».
Selon votre navigateur il est fort probable qu’une fenêtre s’ouvre pour demander l’autorisation d’accéder à la clé via le navigateur (acceptez, bien sûr). Il vous faudra aussi appuyer sur le bouton présent sur la clé.
Une fois celle-ci enregistrée dans votre compte, une fenêtre s’affichera. Cliquez sur « Ok, allons-y »
Actions sur les clés de sécurité
En cliquant sur “Gérer les clés” à droite du tag indiquant le nombre de clés actives, vous pouvez :
- Supprimer une clé ( 🗑 ) : - Si une clé est utilisée uniquement pour la double authentification (tag « MFA »), cliquez l’icône « Poubelle rouge » effacera définitivement la clé. - Si la clé ciblée est aussi utilisée pour la récupération de compte (tag « Récupération »), la suppression n’enlèvera que le rôle « MFA » à cette clé. Elle ne pourra plus être utilisée pour la double authentification, mais restera disponible pour la récupération de votre compte. Si vous voulez aussi supprimer ce rôle, il faudra aller supprimer ce « rôle » dans la rubrique « Options de récupération ».
- Ajouter le rôle « MFA » ( ➕ ) :
Une clé déjà utilisée pour la récupération de votre compte peut aussi être utilisée pour la double authentification. La clé apparaît dans la liste avec le tag « Récupération » et vous pouvez voir une icône « Plus » permettant d’y ajouter le rôle. Cliquez sur l’icône pour cela. La présence physique de la clé n’est pas nécessaire. Une fois cela fait le tag « MFA » apparaitra à coté et vous devrez dorénavant utiliser cette clé à chaque connexion à votre compte.
En cas de problème ou de question n’hésitez pas à nous contacter sur support-fr@support.gandi.net
Pour que cela fonctionne, votre navigateur doit supporter soit FIDO U2F, soit WebAuthn. Vérifiez avec le fournisseur pour savoir comment configurer correctement le produit.
Nous recommandons d’utiliser un navigateur avec une version stable et standard de WebAuthn.
Clé de sécurité et TOTP (2FA)
Vous pouvez activer une clé de sécurité et la double authentification sur un même compte, cela est même recommandé de manière à ne pas rester bloqué si vous deviez ne pas avoir votre clé sous la main à un moment. Cela permettra de protéger le compte de manière sécurisée et d’y accéder quand même si jamais vous ne deviez pas avoir votre clé sous la main. Au moment de la vérification de la clé, si vous n’avez pas accès à celle-ci, vous pouvez alors utiliser le double facteur à la place. Il ne vous sera pas demandé de vous authentifier avec les deux méthodes. Vous aurez simplement le choix entre l’une et l’autre.
Accès bloqué
Si vous n’avez plus accès à votre clé et que vous ne puissiez donc plus vous connecter à votre compte, contactez-nous sur support-fr@support.gandi.net
. Vous aurez besoin de fournir une copie de ce formulaire avec une copie de pièce d’identité :
https://docs.gandi.net/fr/_downloads/1e96dc928f0b8eba0b7ad62e3dd59088/security-deactivation-fr-v5.pdf