Introduction

La plateforme Eduka de votre école dispose de plusieurs fonctionnalités vous permettant de renforcer la sécurité de votre compte utilisateur contre les tentatives d’attaque sur sur le 1er niveau d’authentification, à savoir l’accès au compte par saisir de votre identifiant et mot de passe : 

• attaque par force brute,
• attaque par dictionnaire
• attaque Man-In-The-Midle (MITM)
• attaque par phishing (e-mail) / quishing (QR code) /smishing (SMS)

• Soit envoyé par e-mail
• Soit généré sur une application pour smartphone, tablette, ou ordinateur
• Soit envoyé par SMS, si cette méthode a été activéer après configuration par l'établissement

Activation de l’authentification forte dans Eduka

Pour l’activer, vous devez accéder aux paramètres de son compte et cliquer sur « Double authentification » :

Sélectionnez ensuite le mode de fonctionnement que vous souhaitez activer :
Sur la capture d’écran ci-après, l’option « Authentification par jeton » via application tierce. Le principe est de télécharger une application (par exemple : Google Authenticator; Microsoft Authenticator, FreeOTP Authenticator, Authy, OTP Auth, etc. une liste d’applications standards compatibles par système d’exploitaton pout ce système d’authentification forte par jeton intégré à Eduka Suite est accessible au moment de l’activation de la fonctionnalité).
L’application collecte la clé secrète soit de ma nière automatisur en scannant le code QR, soit manuellement ce qui requiert la collecte puis la saisie dans l’application d’authentication de la clé secrète affichée dans Eduka (voir ci-dessous).

Dès lors, votre appareil sera en mesure de générer un code (jeton) de validation temporaire « OTP » (One Time Password) à 6 chiffres valide entre 30 et 60 secondes suivant l’application d’authentification choisie. : ce code de validation temporaire devra être saisi dans le champ ‘Code de validation’ de la page Authentification forte d’Eduka pour permettre au système de valider le jeton puis de connecter l’utilisateur sur son compte Eduka. 

Ce système d’authentification forte par jeton OTP se base sur un standard très répandu et disponible sur de nombreux sites ou application web, y compris des systèmes bancaires. Il garantit un niveau de sécurité optimal aux utilisateurs : un pirate qui découvrirait l’identifiant et le mot de passe d’un utilisateur par un quelconque moyen ne pourrait pas se connecter au compte car il ne disposerait pas de la clé secrète permettant toute génération d’un code de validation temporaire à sa place.

Afin de vous laisser la possibilité de définir le niveau de sécurité qui vous convient, vous pourrez sélectionner une option faisant en sorte que ce code soit demandé : à chaque connexion, tous les jours, tous les 3 jours, 7 jours, 15 jours, 30 jours, ou 60 jours. Plus la fréquence de saisie du code est petite, plus la sécurité de votre compte est élevée, pensez-y dès le départ de l’activation de l’authentification forte sur votre compte Eduka.

Mesures de protection anti force brute (bruteforce) sur l’authentification forte (2FA)

Depuis l’été 2024, un renforcement des mesures de sécurité techniques et préventives a été opéré pour toutes les plateformes Eduka.
Dans notre cas, la mesure porte sur la protection des comptes utilisateurs de chaque plateforme Eduka contre les tentatives de piratage par force brute sur les codes de validation temporaires de l’authentification forte (2FA) :

1. Les tentatives infructueuses de connexion par authentification forte sont tracées dans Eduka et restent consultables pendant 30 jours dans l’activité détaillée (Module Configuration > Menu Utilisateurs) de l’utilisateur
2. Ajout d’une seconde de latence entre 2 tentatives d’authentification forte (protection contre les tentatives simultanées d’authentification forte)
3. Blocage du compte Eduka pendant 1 heure lorsque l’utilisateur réalise successivement 5 tentatives d’authentification infructueuses.
4. Envoi d’un e-mail automatique (voir modèle de message ci-dessous) à l’utilisateur pour l’informer qu’à l’issue de ses 5 tentatives successives d’authentification forte infructueuses, son compte fait l’objet d’une fermeture temporaire d’1 heure.