Skip to end of metadata
Go to start of metadata

Sommaire

Pour aller plus loin


Qu'est-ce que c'est?

L'authentification à deux facteurs (A2F) permet de vérifier que vous êtes bien la personne que vous prétendez être lorsque vous vous connectez à des services en ligne importants. Elle ajoute un niveau de sécurité supplémentaire à votre compte de l'Université de Montréal.

Le 2e facteur d'authentification est un code numérique (TOTP) qui est ajouté à votre code d'utilisateur et votre mot de passe pour vous authentifier aux divers systèmes informatique de l'Université. Ce code numérique vous sera demandé aléatoirement quand vous vous brancherez à un système qui utilise cette fonction, comme le VPN ou vos courriels sur Office365.


Pourquoi?

L'Université détient une grande quantité de données personnelles, à la fois du personnel et des étudiants, et stocke des données de recherche confidentielles.  C'est pourquoi le ministère de l'Enseignement supérieur exige cette sécurité supplémentaire.

Les différentes méthodes de connexion agissent comme des « barrières » supplémentaires pour accéder à vos comptes. 

En effet, si un malfaiteur souhaite se connecter à vos espaces personnels, il devra valider successivement ces trois étapes, ce qui rend logiquement la tâche plus compliquée.


Comment?

Vous pouvez choisir entre 4 façons de recevoir le 2e facteur d'authentification :

  • recevoir le code numérique via une application sur votre téléphone cellulaire ou tablette Android ou iOS;
  • recevoir le code numérique via une application sur votre ordinateur;
  • recevoir le code numérique via un message texte sur votre téléphone cellulaire;
  • recevoir un appel vocal sur votre téléphone cellulaire, personnel ou de bureau (dans ce cas-ci, vous ne recevrez pas un code numérique, mais devrez plutôt appuyer sur le touche # lorsque demandé).

N'oubliez pas d'inscrire vos Questions de vérification afin de pouvoir suspendre temporairement l'authentification A2F, en cas d'oubli ou de perte de votre téléphone par exemple.

Quelques acronymes à connaître

MFA : Authentification multifactorielle.

A2F : Authentification multifactorielle (MFA) limitée à 2 facteurs seulement. C’est ce qui est utilisé à l’UdeM.

TOPT : Codes numériques uniques générés avec un algorithme standardisé qui utilise l’heure actuelle comme entrée. Ces codes temporaires sont disponibles hors ligne et offrent une sécurité accrue et conviviale lorsqu’ils sont utilisés comme deuxième facteur.


Quelle méthode choisir?

C'est à vous de le déterminer selon votre situation et les appareils que vous avez à votre disposition. Voici les possibilités selon votre situation, mais n'oubliez pas qu'il est judicieux d'en avoir deux si cela est possible :

Situation

2e facteur disponible

J’ai un téléphone intelligent et je voyage rarement. 

Tous

J’ai un téléphone intelligent et je voyage fréquemment. 

Application d’authentification de sécurité

J’ai un téléphone cellulaire sans accès aux données. 

Appel téléphonique ou message texte

J’ai une tablette Android ou iOS.

Application Microsoft Authenticator

Je suis en télétravail sans téléphone cellulaire. 

Oracle Authenticator ou appel téléphonique

Je n'ai pas de téléphone intelligent, tablette ou cellulaire, mais j'ai un poste de travail sous Windows.

Oracle Authenticatorou KeePassXC
J'ai un ordinateur Macintosh ou Linux.KeePassXC

Pour les "aficionados" du

Consultez l'article du Département de mathématiques et de statistique

Faut-il avoir plus d'une méthode?

Nous suggérons d'activer deux méthodes d'authentification afin d'avoir une solution de rechange si l'un de vos appareils n'est pas disponible lors de la perte, du vol de votre appareil ou plus fréquemment par épuisement de la batterie!

Vous pouvez par exemple recevoir un message sur votre cellulaire et avoir une application d'authentification sur votre ordinateur comme 2e option.


32 Comments

  1. Bonjour, 

    Je n'ai pas trouvé d'information relatives à l'authentification à 2 facteurs en utilisant une clé physique (Yubikey ou autre).

    Est ce une option disponible? Si non, sera-t-elle disponible dans le futur?

    1. Les clés physiques ne sont pas encore autorisées mais sont en cours d'évaluation.

      Cette page sera mise à jour dès qu'il y aura du nouveau à propos des clés physiques.

      Le Centre de services TI

      1. Merci de cette réponse.

        J 'attend cette solution avec impatience !

  2. Je voyage régulièrement à l'étranger et j'utilise pour mon téléphone une carte sim du pays dans lequel je me trouve. Si j'ai bien compris, l'identification à deux facteur passe par mon téléphone, je ne pourrai donc pas accéder à mon VPN ou d'autres services pendant que je voyage? Ou je n'ai pas compris comment ça marche... Merci à l'avance, JE PARS VENDREDI SOIR EN CÔTE D'IVOIRE...

    1. Bonjour,

      Vous pouvez configurer le A2F avec Microsoft Authentificator (disponible sur iOS et Android) et l'approbation de l'authentification à 2 facteurs sur les services UdeM passera par cette application et non par votre carte SIM/numéro de téléphone/SMS, c'est sans frais.

      Vous ajoutez simplement votre compte UdeM dans l'application (type Microsoft/Exchange/Office 365 et quand une application ou page UdeM vous demande le A2F, vous cliquer simplement sur Approve qui apparaît sur votre cellulaire (la demande se fera via Microsoft Authentificator, l'application même)

  3. Comment éviter des demandes répétitives A2F avec Mail sur mon Mac?

  4. Bonjour,

    Les services en ligne/plateformes qui utilisent une authentification à double facteur (comme GitHub, Google, GitLab, etc.) proposent de télécharger des codes de secours (recovery codes), utiles lorsque l'on n'a pas accès à son téléphone. Ces codes sont téléchargeables et imprimables, chaque code n'est utilisable qu'une seule fois. Il semble que le système mis en place par l'Université de Montréal ne propose pas cette fonctionnalité, est-ce que cela sera prévu dans un futur (proche) ?

    Je précise un cas qui peut arriver à n'importe qui et qui est loin d'être exceptionnel : je veux me connecter à un des services numériques de l'UdeM, je ne suis pas dans mon bureau, je n'ai pas mon ordinateur avec moi et je n'ai pas mon téléphone, comment puis-je faire pour me connecter ?

    Merci par avance pour vos réponses.

  5. Avez-vous une solution pour les utilisateurs de iPad?

  6. Bonjour, est-il possible de paramétrer les doubles identifications? Car depuis la mise en place, je dois "autoriser" depuis mon téléphone toutes les 5 minutes (pour ouvrir les courriel, pour ouvrir zoom, pour ouvrir microsoft,...) Alors que je suis sur le même appareil avec le même compte UdeM. Il serait bien de pouvoir le définir comme "sûr" et d'avoir une authentification seulement à l'allumage par exemple

    1. Bonjour,

      Est-ce que vous avez vu cette information qui est sur cette page ?

      "Info

      Évitez les demandes répétitives A2F en conservant les fichiers témoins (« cookies ») de votre fureteur."

      J'utilise le A2F (employé) depuis qu'elle est en place pour moi et je dois autoriser sur mon téléphone seulement 1 fois dans la journée pour les services UdeM (quand j'ouvre les pages qui nécessitent le A2F.

      Pour le courriel, j'utilise Outlook 2016/2019, je ne consulte pas le courriel par le fureteur.

      Daniel Sala

      1. Merci, en effet j'ai vu le message mais comme je n'avais rien fais pour les supprimer, je ne pensais pas qu'ils se supprimaient tous seuls. Savez-vous comment faire pour les conserver?

        1. Bonjour,

          Dans Firefox, il y a une option qui permet de supprimer les cookies et données du site automatiquement quand on ferme le fureteur, il doit avoir quelque chose de similaire pour Chrome, MS Edge (basé sur Chrome) et Safari aussi.

  7. Bonjour, il n'y a aucune information pour configurer KeypassXC après l'avoir installé.

    Quand j'essaie de l'ajouter dans "Mes connexions" on me fourni un code QR ou une "clé secrète" mais aucune procédure sur comment le configurer dans le logiciel KeypassXC sous Mac OS X. Pourquoi ne pas fournir les instructions pour configurer le logiciel exigé par l'UdeM ?

    1. Bonjour,

      Merci pour votre commentaire.

      La procédure d'installation se trouve ici. Nous allons l'indiquer sur cette page également.


      Le Centre de services TI

  8. Bonjour, il s'agit plutôt d'un commentaire. Sur l'APP Authentificator de Microsoft, quand nous avons une demande de connection, nous n'avons pas la confirmation de quel site ou service demande l'approbation.  Il serait intéressant d'avoir la confirmation du site ou service qui nous demande l'approbation de connection.  

  9. Bonjour, ce serait une bonne idée pouvoir s'authentifier avec une 2e adresse courriel (code envoyé à un courriel personnel)

    PROBLÈME AVEC LA PROCÉDURE ACTUELLE : Je suis dans un ordinateur de la bibliothèque, et j'essaie d'accéder à mon OneDrive UdeM... mais je ne suis pas capable de le faire, car mon cellulaire n'a plus de batterie :/   Rien à faire avec la procédure actuelle !?


    1. J'avais évoqué le même problème: tout centraliser dans un appareil fragile, sujet au vol, à une autonomie déficiente, plutôt qu'une clef de sécurité dédiée, est une stratégie risquée. Application → Demande un ordinateur portable ou un cellulaire. L'usager qui va s'installer à son poste de travail ou à la bibliothèque n'a probablement pas apporté son ordinateur personnel. S'il est venu à pied en hiver par -15, tout à fait possible que la batterie de son cellulaire rende l'âme avant d'arriver à destination.

      Vivement que les clefs physiques soient officiellement supportées. Pour les modèles à batterie, ça dure des années avant de devoir les changer. Et si l'UdeM se décidait à le faire, elle pourrait aussi placer une commande groupée, par exemple la Token2, et la proposer en option à tous les membres de la communauté. Économie sur le prix pour nous, possiblement économie de support technique pour UdeM, puisqu'il est tout de même improbable d'être à court de batterie cellulaire ET d'oublier une clef physique. Il y a même des modèles sans batterie, comme la YubiKey.

      Finalement, le moment pour nous imposer ça, en plus de l'expiration des mots de passe, en plein rush de fin de session, est vraiment mal choisi.

      1. Complètement d'accord, on espère que le TI de l'UdeM écoute à la communauté universitaire...

        1. Bonjour,

          Pour votre information, le A2F n'est pas encore activée pour les étudiants/diplômés, etc. c'est seulement pour les employés UdeM.

          Les étudiants (anciens et futurs) auront le A2F activée seulement l'année prochaine, fin janvier ou en février (ou plus tard) et selon le bottin UdeM, vous êtes étudiant, pas employé, alors vous ne devrez même pas l'avoir sur OneDrive UdeM.

          Pour ce qui est de la configuration de A2F sur les appareils, vous n'êtes pas obligé de la configurer sur votre cellulaire personnel avec Microsoft Authentificator ou par SMS, vous pouvez installer Oracle Authentificator ou KeePassXC sur votre poste personnel (Windows, Mac ou Linux) et utiliser ça.

          À moins que votre portable n'a pas plus de batterie non plus et ça vous empêche d'utiliser ces logiciels, il ne faut pas trouver des excuses, un portable et cellulaire se chargent et on s'assure que les appareils sont chargés avant qu'on se présente au campus, si tout le monde arrive avec cette excuse et les usagers ne peuvent pas accéder aux services UdeM à cause de ça, on ne finira pas avec les commentaires et les problèmes reliés à A2F.

          Aussi, pour les clés physiques (Yubikey, etc.), M. Patrick Noué, si vous perdez la clé ou qu'elle se brise (on s'entend, elle est petite et fragile comme une clé USB), qu'allez-vous faire ? Vous serez bloqué pareil pour la A2F.

          Merci et bonne journée,

          Daniel

          1. Dans mon cas, j'ai reçu un courriel du TI m'informant la activation A2F sur mon compte (à partir du 8 décembre). Ici, on ne parle pas des "excuses", ce sont des problèmes réelles avec l'implémentation actuelle de la A2F : trop dépendante d'un seul dispositif, alors que d'autres alternatives pourraient être prises en compte (courriel personnel, clé psysique, etc.). Plus de façons de s'authentifier, mieux c'est!

            1. Les TI ont mis en disposition d'autres alternatives (cellulaire/tablette avec Microsoft Authentificator, ordinateur avec Oracle Authentificator et/ou Keypass XC, etc.), il y a un tableau sur les wikis TI UdeM avec les différents scénarios possibles (des conditions), si la personne a ou non un cellulaire, etc.).

              La gestion des appareils personnels maintenant ne relève pas de l'université/TI (batterie déchargée et qu'on n'a pas accès aux logiciels, appareils oubliés chez nous, etc. chacun est responsable d'amener au moins 1 appareil (cellulaire ou portable) qui a le logiciel installé et configuré avec batterie chargée pour ne pas avoir des problèmes de ce genre qui arrive, comme pour vous.

              Je ne pense pas que les TI vont autoriser les courriels personnels, ils ne sont pas gérés pas eux/UdeM et n'ont aucun contrôle que la personne reçoit le message aussi, sans oublier les pirates/hacker peuvent compromettre ces comptes pour X raison et auront accès à tout.

          2. Je suis étudiant, mon coloc est étudiant. Pour lui ça a été activé la semaine dernière, pour moi, cette semaine. Je crois bien que TI a encore oublié qu'environ 3000 personnes portent les deux chapeaux et sont à la fois auxiliaires et étudiants. Ça et l'expiration des mots de passe étudiants. Je ne compte plus le nombre de fois où j'ai dû utiliser la connexion partagée des cellulaires des étudiants parce qu'ils n'arrivaient pas à changer leur mot de passe (demande impérative qui arrive bien sûr le jour de l'examen). Le plus sage aurait été d'en tenir compte, et le plus simple, de faire ça en début de trimestre pour tout le monde.

            La clef physique peut très bien servir de 1er méthode d'authentification, et le cellulaire, comme 2e. La malchance fait qu'un usager pourrait briser les deux, c'est vrai. Mais encore tenir responsable l'utilisateur d'une contrainte physique (le froid), c'est un peu exagéré! "TI n'a aucun contrôle sur la personne qui reçoit le message courriel": Vrai, alors pourquoi dire une chose et faire le contraire? L'attaque "SIM swap" semble assez populaire en ce moment.

            Dans tous les cas et par prudence élémentaire, ne pas tout confier au même appareil! On ne cesse de le répéter concernant les sauvegardes (plusieurs supports, plusieurs emplacements), pourquoi quelque chose d'aussi sensible que l'authentification devrait faire exception?

            1. Bonjour Patrick,

              Pour le statut UdeM et le A2F, je le disais pour Marcelo Archibaldo, qui a vraiment un statut étudiant (selon le bottin et notre outil d'information des comptes), vous avez un double statut (employé et étudiant, mais la priorité va au statut employé).

              Selon l'intrawiki des TI pour le A2F, présentement c'est le personnel enseignant (professeurs et chargés de cours) qui est en cours, les étudiants seront après tous les employés (janvier/février 2022). S'il y a une erreur dans le statut ou l'activation du A2F, etc., il faut voir avec les TI (7288) (smile).

              Merci et bonne journée,

              Daniel Sala


              1. En réalité j'etais aussi auxiliaire, mais indépendant de ça, c'est un fait que l'A2F s'est activée sur mon compte depuis le 8 décembre et que j'ai pas pu accéder à mon OneDrive UdeM... Et si présentement les seuls visés sont les professeurs et les chargés de cours, les TI ont fait des erreurs...

                Dernier commentaire : si on a ce genre de discussions, maintenant qu'une "minorité" a activé la A2F, imaginez-vous ce qui va se passer quand ça sera activé pour toute la communauté étudiante!? À vous d'evaluer d'autres méthodes d'authentification, afin de ne pas dépendre d'un seul appareil (avec tous les inconvénients que ça implique...)

                Bonne journée,

                1. Bonjour Marcelo,

                  Je ne sais pas si les TI vont activer le A2F pour les étudiants, c'est eux qui vont le décider d'ici janvier/février. Pour les employés, elle sera activée.

                  Je ne travaille pas aux TI, mais à la faculté de médecine, alors je ne sais pas s'ils vont évaluer d'autres méthodes d'authentification, vous pouvez toujours les contacter pour leur expliquer les problèmes que ça peut causer (smile). Ils feront le nécessaire pour trouver une solution ou une alternative (smile).

                  Bonne journée,

  10. Je suis asse confu.

    Je suis sur mac donc j'ai utilisé KeepPassXC. J'ai fais toutes les étapes mais meme la je suis pas certain de comprendre si tout est beau pour l'examen. Jai setup mon entrée dans KeepPassXC, j'ai fais apparaitre le mot de passe temporaire que j'ai entré dans 'Mes connections' sur le site UDEM. J'ai aussi du downloader une application nommée Microsoft Authenticator puisque c'était requis pour continuer mon inscription dans 'mes connections'. La je suis rendu avec une application qui me donne un code temporaire différent que dans KeepPassXC, et je sais toujours pas comment je suis supposé m'authentifier le jour de l'examen parce que la procédure indique juste comment créer un Root dans KeepPass et une 'Méthode' dans 'Mes connections'. Je sais même pas si la 'méthode' en soit est activée ou fonctionne. En vrai je ne comprends pas comment rien de tout ça fonctionne et je trouve ça assez complexe. 

    1. Un conseil, recommence à zéro et lis bien toutes les instructions. Je trouve aussi la méthode inutilement complexe et fragile, à l'instar de plusieurs autres personnes ici.

      Microsoft Authenticator et KeePassXC remplissent le même rôle, il n'est pas nécessaire d'avoir les deux, sauf à vouloir un 2e appareil pouvant générer des TOTP. J'ai personnellement laissé de côté KeePassXC car je le trouvais trop peu intuitif, et préféré Enpass: c'est malheureusement un logiciel propriétaire, mais il est compatible Mac, Windows, Linux, iOS et Android).

  11. Bonjour Karim,

    Il est vrai que l'utilisation de l'application KeePassXC est un peu plus complexe que Microsoft Authenticator, dans le tutoriel disponible plus haut le "Root" que vous avez mentionné, si vous avez bien suivi chacune des étapes, est supposé contenir le Jeton A2F qui servira par la suite a généré un TOTP. Celui-ci sera demandé lorsque vous devez compléter une double authentification (A2F). Dans le fond, c'est exactement le même principe que Microsoft Authenticator mais celui-ci ne passe pas par votre cellulaire, mais bien directement par l'application téléchargée sur votre MacOS.

    Si vous éprouvez encore des craintes ou avez quelconque problèmes, n'hésitez pas a nous joindre soit par le clavardage en direct : clavardage.ti.umontreal.ca, par téléphone : 514 343-7288 ou en remplissant un formulaire destiné a la résolution de problème informatique.

    Merci et passez une agréable journée,


    Nazim Brahimi

    1. D'accord ça clarifie le tout. Je croyais qu'il fallait avoir les 2 applications. Je crois avoir bien programmé le KeepPassXC car j'ai un root 'A2F UdeM' avec mon nom d'utilisateur et j'arrive à afficher le TOTP qui change tout le temps. Merci!

  12. En termes un petit peu plus simples:

    Oracle Authenticator, Microsoft Authenticator, Google Authenticator, Enpass, KeePassXC, tout ça ce sont des applications qui utilisent le même algorithme pour générer un code unique (TOTP). La clé physique, pour autant qu'elle soit programmable, générera aussi le même code. Peu importe l'application, elles génèrent le même code au même moment, puisque celui-ci dépend de la même clé secrète qui est configurée au moment de l'activation.

    Le département TI a testé quelques applications. L'avantage c'est que c'est bien compris et supporté à l'UdeM, mais rien ne vous empêche d'en choisir une autre. Par exemple, ni Oracle Authenticator ni Microsoft Authenticator ne peuvent fonctionner sur les cellulaires plus anciens, mais "Authenticator for TOTP", de Marco Lovetere fonctionne à partir de iOS 8. Aucune ne devrait avoir besoin d'un accès Internet.

  13. Bonjour, 

    Je ne peux pas accéder au Teams. À chaque fois je dois connecter au Teams, il demande le code UINP et le mot de passe. Quand je les mets, il me demande de sign in une autre fois pour authentification.umontreal.ca et quand je mets le mot de passe et je clique sur enter ou sur le boutton de sign in, le mot de passe sera effacé et je ne peux jamais ouvrir le Teams. C'est seulement à mon Macbook que je ne peux pas accéder au Teams, sur mon telephone ça marche bien. Laisser moi savoir ce qu'il faut faire pour que je pourrais avoir un accés au Teams de mon ordinateur. Merci beaucoup en avance. 

Vous n'avez pas trouvé de réponse à votre question dans nos FAQs ? Communiquez avec notre équipe via notre formulaire d'aide, notre clavardage ou par téléphone au 514-343-7288.