Femme professionnelle se connectant à un portail sécurisé sur son ordinateur portable dans un bureau moderne, illustrant la gestion des accès Webmelanie2 et Cerbère
Sécurité

Webmelanie2 et Cerbère : comprendre le lien entre vos accès

Webmelanie2 et Cerbère partagent une brique d’authentification commune, mais un passage réussi sur le portail Cerbère ne garantit pas l’ouverture de session sur la messagerie Mél. La distinction entre ces deux couches d’accès est la première source de confusion chez les agents confrontés à un blocage.

Sommaire
Diagnostic d’un blocage Webmelanie2 quand Cerbère répond normalementListe de contrôle réseau et authentificationPortail Cerbère et périmètre d’habilitation sur la messagerie MélVérifier son habilitationVPN ministériel et contraintes de double authentification pour Webmelanie2Cas particulier du navigateur et des certificatsArborescence de dépannage Cerbère vers Webmelanie2

Diagnostic d’un blocage Webmelanie2 quand Cerbère répond normalement

Un agent qui s’authentifie sur le portail Cerbère sans erreur, puis obtient une page blanche, un timeout ou une redirection en boucle sur Webmelanie2, fait face à un problème situé en aval de l’authentification. Cerbère valide l’identité, mais pas le droit d’accès au service cible. Plusieurs points de rupture expliquent ce comportement.

A lire en complément : Risques clic sur lien : conséquences & solutions pour éviter les dangers

Le premier réflexe consiste à vérifier le contexte réseau. En dehors du réseau interne ministériel, l’accès à la messagerie Mél impose le passage par le VPN. Sans tunnel VPN actif, le portail Cerbère peut répondre (il reste exposé sur internet pour la mire de connexion), alors que Webmelanie2 refuse la session parce que la requête ne provient pas d’un réseau autorisé.

Le deuxième point de rupture concerne la double authentification (2FA). La page officielle de la bnum précise qu’un agent connecté depuis internet sans avoir activé l’authentification à deux facteurs ne pourra pas se connecter, même si ses identifiants Cerbère sont corrects. Nous recommandons de vérifier l’état d’activation du second facteur avant toute autre manipulation.

Lire également : Cybersécurité : comprendre les enjeux du RGPD et de la protection des données

Liste de contrôle réseau et authentification

  • Confirmer que le client VPN est connecté et que le tunnel est établi (vérifier l’adresse IP attribuée, pas seulement l’icône du client)
  • Contrôler que le mécanisme de double authentification est activé sur le compte Cerbère et que le jeton ou l’application OTP génère un code valide
  • Tester l’accès depuis un navigateur sans extension ni proxy intermédiaire pour éliminer un filtrage local
  • Vider le cache et les cookies liés au domaine din.developpement-durable.gouv.fr, car un cookie de session Cerbère expiré peut provoquer une boucle de redirection

Administrateur système consultant un tableau de bord de gestion des accès et permissions dans une salle de serveurs, symbolisant l'architecture Cerbère et Webmelanie2

Portail Cerbère et périmètre d’habilitation sur la messagerie Mél

Cerbère est un portail d’authentification interministériel qui dessert plusieurs applications métiers. Il ne gère pas les droits applicatifs de chaque service. Un compte Cerbère actif donne accès à la mire de connexion, mais l’ouverture effective de la boîte Mél dépend d’une habilitation distincte, rattachée au profil utilisateur dans l’annuaire du ministère.

En pratique, un agent récemment muté ou dont le rattachement hiérarchique a changé peut conserver un compte Cerbère valide tout en perdant son habilitation Webmelanie2. Le portail affiche alors un message d’erreur applicatif après la phase d’authentification, ce qui déroute l’utilisateur.

Vérifier son habilitation

La procédure varie selon le ministère de rattachement. Pour les agents relevant du ministère de la Transition écologique ou des ministères associés, la demande d’habilitation passe par le service informatique local ou par un formulaire interne accessible depuis l’intranet. L’habilitation Mél est indépendante du mot de passe Cerbère : changer l’un ne rétablit pas l’autre.

Nous observons que la majorité des tickets d’assistance liés à Webmelanie2 se résolvent à ce niveau. L’agent dispose d’un accès Cerbère fonctionnel, tape son identifiant et son mot de passe sans erreur, mais n’a tout simplement plus le droit d’accéder à la messagerie dans le référentiel applicatif.

VPN ministériel et contraintes de double authentification pour Webmelanie2

Le VPN n’est pas un simple outil de confort : il conditionne l’activation de la couche 2FA sur laquelle repose la sécurité de la messagerie. Sans VPN, le système considère que la connexion provient d’un réseau non maîtrisé et bloque l’accès même si le couple identifiant/mot de passe est correct.

Plusieurs configurations réseau peuvent interférer avec le tunnel VPN sans que l’agent s’en aperçoive :

  • Un réseau Wi-Fi public ou d’hôtel qui bloque les ports utilisés par le client VPN, laissant croire que la connexion est établie alors que le tunnel ne transporte aucun trafic
  • Un pare-feu local (antivirus, outil de contrôle parental) qui filtre les paquets IPsec ou SSL-VPN et provoque un timeout silencieux
  • Une déconnexion automatique du VPN après mise en veille du poste, fréquente sur les ordinateurs portables, qui invalide la session Cerbère sans notification visible

Le test le plus fiable reste l’accès à une ressource intranet quelconque (un autre service métier, une page d’annuaire interne). Si cette ressource répond, le VPN fonctionne et le problème se situe sur la couche applicative ou l’habilitation Mél.

Cas particulier du navigateur et des certificats

Certains postes configurés avec un proxy d’inspection TLS peuvent altérer le certificat présenté par le portail Cerbère. Le navigateur accepte la connexion, mais le jeton de session transmis à Webmelanie2 est rejeté parce que la chaîne de confiance a été rompue. Ce scénario se rencontre notamment sur des postes partagés ou des postes personnels utilisés en télétravail avec un logiciel de sécurité tiers.

Deux collègues en support informatique analysant ensemble un schéma de gestion des droits d'accès utilisateurs liant Webmelanie2 et Cerbère

Arborescence de dépannage Cerbère vers Webmelanie2

Plutôt qu’une liste de FAQ, nous proposons une logique séquentielle. Chaque étape élimine une couche de problème.

Commencer par tenter une connexion sur le portail Cerbère seul (authentification.din.developpement-durable.gouv.fr). Si la mire de connexion ne s’affiche pas, le problème est réseau ou DNS : vérifier le VPN, le proxy, le pare-feu. Si la mire s’affiche mais que l’authentification échoue, le problème est sur le compte Cerbère lui-même (mot de passe expiré, compte verrouillé après tentatives infructueuses).

Si l’authentification Cerbère réussit mais que Webmelanie2 ne charge pas ou renvoie une erreur applicative, le problème se situe entre Cerbère et l’application Mél. Vérifier l’habilitation, la validité de la double authentification et l’absence d’interférence de proxy TLS.

Si la messagerie charge partiellement (interface visible, boîte de réception vide, erreur de synchronisation), le service Mél lui-même peut être en maintenance ou en incident. Consulter la page d’information de la bnum ou contacter le service d’assistance.

Un blocage Webmelanie2 ne signale presque jamais une panne du portail Cerbère. Dans la grande majorité des cas, le verrou se trouve sur le VPN, la 2FA ou l’habilitation applicative. Traiter ces trois points dans l’ordre épargne du temps et évite les réinitialisations de mot de passe inutiles qui, paradoxalement, peuvent aggraver la situation en désynchronisant le compte sur plusieurs annuaires.

Les immanquables

Recherche

A ne pas manquer

Au coeur de l'actu