Activer l'authentification à deux facteurs chez Gandi avec pass

how · January 11, 2025, 5:22pm

Gandi est un registrar basé à Paris, que nous utilisons pour acquérir et maintenir les noms de domaine pour nos services. L’entreprise a récemment annoncé la généralisation de l’authentification à deux facteurs (2FA) sur ses services dès 2025-01-07T23:00:00Z : bientôt, vous ne pourrez plus accéder à votre compte Gandi pour la gestion de vos domaines, courriels et certificats SSL sans.

Gandi propose de télécharger une application mobile pour mettre en place l’authentification avec le protocole TOTP. Comme je n’ai pas de smartphone, et que vous avez raison de ne pas faire confiance à une entreprise privée pour installer des applications sur le vôtre, je vous propose de passer le cap avec un logiciel libre : pass. Nous avions déjà abordé la question de l’authentification multi-facteurs avec pass sur GNU/Linux et FreeOTP sur Android, en anglais. Aujourd’hui nous allons voir une version raccourcie et simplifiée de la procédure pour activer 2FA sur votre compte d’administration chez Gandi.

TL;DR

Obtenir le SECRET depuis l’assistant de Gandi
$USER est en fait votre identifiant Gandi

# Activer TOTP
pass otp insert -s -i gandi.net -a $USER
# Obtenir un jeton
pass otp gandi.net/$USER

Vue d’ensemble

Pour activer l’authentification à deux facteurs sur votre compte Gandi, vous aurez besoin de :

un terminal
une clé OpenPGP (pour utiliser pass, vous pouvez utiliser celle associée à votre courriel)
le logiciel pass avec son extension pour OTP
votre navigateur web
votre mot de passe de Gandi

Allez, hop !

Installer pass et ses extensions

Si ce n’est pas déjà fait, installez pass. Il utilise votre clé OpenPGP, donc c’est si vous n’avez pas de clé GPG, c’est le moment d’en créer une, mais ce n’est pas l’objet de ce guide.

Sur Gandi…

Rendez-vous sur https://account.gandi.net/ pour « Gérer votre compte utilisateur et vos réglages de sécurité »
Choisissez « Options d'authentification »

saisie d'écran du lien vers les options d'authentifcation801×126 7.13 KB
Dans « Authentification Multi-Facteurs » choisissez « Activer TOTP »

En bas à droite...800×354 17.8 KB
Là vous êtes sur https://account.gandi.net/fr/users/<VOTRE_LOGIN>/security/totp

Commencer l'assistant pour activer TOTP

saisie d'écran des instructions pour les étapes à suivre800×438 40.8 KB
Sauvegarder les codes de récupération

exemple de codes de récupération800×421 30.1 KB

Ouf ! Ça y est, vous vous retrouvez sur https://account.gandi.net/fr/users/VOTRE_LOGIN/security/totp/setup :

Sur cette page, seule le secret est important : pour l’exemple, je vais utiliser celui qui est là sur la saisie d’écran : FIXZBSJC4ZQP66CPB3Q4UJSLTYDQNBRS. Copiez-le dans votre presse-papier.

Retour sur votre terminal

Dans votre console, saisissez : pass otp insert -s -i gandi.net -a VOTRE_LOGIN
L’application va vous demander de saisir le secret : coller le contenu de votre presse-papier puis tapez la touche Entrée ; coller de nouveau puis Entrée pour la confirmation.

Attention, la phase suivante doit se faire rapidement, dans les 30 secondes, nous allons donc la décrire puis vous allez l’accomplir après avoir lu l’ensemble.

Passer à la page suivante :

Appairer Gandi et activer TOTP

saisie d'écran du formulaire800×382 9.18 KB

Dans ce formulaire, le premier champ « Jeton » concerne le code à six chiffres que vous obtiendrez de pass dans la prochaine étape, et le second champ est votre mot de passe actuel du compte Gandi : si vous ne le connaissez pas par cœur, préparez-vous à le copier-coller !
Præt ? Alors demandez un « jeton » à pass :
```
pass otp gandi.net/otp
```
Copiez-collez le jeton dans le premier champ, le mot de passe dans le second… C’est fait !

Résumé

Activation

Pour activer l’authentification multifacteur sur votre compte Gandi en utilisant pass (ou toute autre application de gestion de mots de passe à usage unique basés sur le temps) vous devez suivre l’assistant proposé par Gandi et initier votre application avec le secret fourni par Gandi.

pass otp insert -s -i gandi.net -a YOU

L’option -s (ou --secret) va permettre de saisir le code secret fourni par Gandi ;
l’option -i (ou --issuer) indique l’origine du code ;
l’option -a (ou --account) précise votre compte d’utilisataire chez Gandi.

Obtention d’un jeton

Pour générer un nouveau « jeton » à la demande : pass otp gandi.net/otp (si vous le demandez plusieurs fois sur quelques secondes, vous obtiendrez le même code).

Associer un email « MFA »

Vous pouvez optionnellement, dans la « gestion des emails », déclarer une addresse email de récupération pour la réception d’un « jeton » lorsque vous vous connectez. Cela revient au même que d’utiliser pass otp gandi.net/otp, mais c’est moins rapide et moins sûr, puisque l’email n’est pas chiffré (seul son transport l’est en théorie), doit transiter par l’internet et que vous devez l’attendre.

Ou alors c’est pour forcer la MFA lors d’une action de récup ? Je ne sais pas trop, ce n’est pas bien précisé. Dans la doc de Gandi se trouve une notice qui dit :

Si vous n’avez pas encore configuré d’options de MFA, votre adresse e-mail de sécurité sera utilisée par défaut.

L’article connexe du helpdesk mentionne les détails de la procédure à suivre en cas de blocage du compte.

Pour en savoir plus

Les mots de passe sont générés par un algorithme qui combine ces trois facteurs et l’heure courante, en prenant en compte un délai pour la saisie du code et le décalage éventuel des horloges. Votre application et le service de Gandi partagent donc un secret commun qui leur permet de générer les mêmes codes au cours du temps selon le protocole TOTP : Mot de passe à usage unique basé sur le temps — Wikipédia.