Différences

Ci-dessous, les différences entre deux révisions de la page.

--- utiliser_la_double_authentificatino_totp_sur_une_session_gnome [2022/08/10 10:23] – manumerique
+++ utiliser_la_double_authentificatino_totp_sur_une_session_gnome [2022/08/10 12:41] – manumerique
@@ Ligne 1: / Ligne 1: @@
-===== Comment sécuriser sa session GNOME avec une double authentification par TOTP ? =====
+===== Comment sécuriser une session GNOME avec une double authentification par TOTP ? =====
-Pour protéger un ordinateur d'un accès indélicat quand on est sorti 5 minutes, c'est très bien.
+Pour protéger un ordinateur d'un accès indélicat quand on est sorti 5 minutes, un mot de passe est indispensable.
 Mais le mot de passe de session peut avoir été compromis, par exemple espionné visuellement.
@@ Ligne 13: / Ligne 13: @@
 Comme une application de ce type doit IMPÉRATIVEMENT être libre et maintenue (conditions nécessaire à sa sécurité), et idéalement disponible sur un magasin d'applications libres, on utilisera [[https://getaegis.app/|Aegis Authenticator]], disponible sur [[https://f-droid.org/en/packages/com.beemdevelopment.aegis/|F-droid]]
-Cette application va stocker les clefs secrètes permettant de générer les jetons. Elle stockera ces clefs dans un fichier chiffré à l'aide d'un [[https://ressources.labomedia.org/un_bon_mot_de_passe|bon mot de passe]] , déchiffrable avec votre code PIN ou votre empreinte digitale par exemple.
+Cette application va stocker les clefs secrètes permettant de générer les jetons. Elle stockera ces clefs dans un fichier chiffré à l'aide d'un [[https://ressources.labomedia.org/un_bon_mot_de_passe|bon mot de passe]], déchiffrable avec votre code PIN ou votre empreinte digitale par exemple.
-==== Installer un module Google Authenticator sur l'ordinateur ====
+==== Installer un module PAM Google Authenticator sur l'ordinateur ====
-Votre Linux utilise probablement PAM (Pluggable Authentication Modules) pour gérer ses différents schémas d'authentification.
+Votre Linux utilise probablement [[https://fr.wikipedia.org/wiki/Pluggable_Authentication_Modules|PAM]] (Pluggable Authentication Modules) pour gérer ses différents schémas d'authentification.
-Il s'agit de lui ajouter un module supportant les TOTP. Actuellement il semble n'y avoir qu'une implémentation aboutie, élaborée par Google, mais qui repose sur le standard TOTP RFC 6238.
+Il s'agit de lui ajouter un module supportant les TOTP. Actuellement il semble n'y avoir qu'une implémentation aboutie, élaborée par [[https://github.com/google/google-authenticator-libpam|Google]], mais qui repose sur le standard TOTP RFC 6238.
 Dans un terminal, tapez :
@@ Ligne 23: / Ligne 23: @@
 sudo apt install libpam-google-authenticator
 </code>
-puis suivez les instructions.
+puis suivez les instructions (plusieurs options intéressantes, en anglais).
+Lorsque le QR Code (contenant la clef secrète qui permet de générer les jetons TOTP) apparaît, scannez-le avec votre application mobile de gestion de jetons.
+Vous avez désormais dans votre application mobile un TOTP de 6 chiffres qui changent toutes les 30 secondes.
+==== Ajouter PAM Google Authenticator à l'ouverture de session GNOME ====
+Il s'agit de configurer GDM (Gnome Display Manager) afin qu'il demande, en plus du mot de passe de session, le TOTP configuré dans votre application de gestion de jetons.
+<WRAP center round important centeralign>
+ATTENTION ! Si vous faites cela, vous ne pourrez plus vous connecter à votre session sans votre application de gestion de jetons !
+</WRAP>
+Dans un terminal, tapez :
+<code>
+echo 'auth required pam_google_authenticator.so' | sudo tee -a /etc/pam.d/gdm-password
+</code>
+Fermez votre session et reconnectez-vous.
+**Et voilà !** Après avoir tapé votre mot de passe de session, un code de vérification vous est demandé !