Bonjour,
Je suis a la recherche d’une solution pour mettre en place de la double authentification soit par email soit par sms.
Est ce que certain ont déjà eu à regarder cela ?
Cordialement
Pierre
Bonsoir,
Ce plugins est pour la création de compte uniquement, je cherche à le faire à chaque connexion au site mais je ne vois pas encore ou me placer dans les pipelines.
merci
Bonsoir,
Une solution est de déléguer l’authentification à un autre outil spécialisé via un protocole d’authentification standardisé (CAS, SAML ou OIDC), puis de configurer l’authentification multifacteur sur cet outil. Il me semble avoir vu des plugins SPIP qui mentionnent ces protocoles. Quelques outils d’authentification open source : Apereo CAS, Shibboleth IDP, Keycloak. Il en existe aussi en mode SaaS.
-Frédéric
On Thu, May 5, 2022 at 8:43 PM Pierre KUHN via Discuter de SPIP <noreply@discuter.spip.net> wrote:
Pierre KUHN pierretux
Mai 5Bonsoir,
Ce plugins est pour la création de compte uniquement, je cherche à le faire à chaque connexion au site mais je ne vois pas encore ou me placer dans les pipelines.
merci
Voir le sujet ou répondre à ce courriel pour répondre.
Pour vous désabonner de ces courriels, cliquez ici.
Je comprends très bien ce que tu veux faire et effectivement le plugin que j’ai écrit creat2ID ne permet une double authentification qu’à la création du compte.
Profils agit différemment. Cela peut être une source d’inspiration, notamment function profils_formulaire_fond($flux) avec le traitement lorsque $flux['args']['form'] == 'inscription'.
Bonsoir,
Justement je pense qu’il faut que je demande le second code une fois que la session est ouverte mais avant d’afficher le reste du site. Je ne voit pas de pipeline encore pour ça.
Cdt
Bonjour Pierre ! Je cherche également à mettre en place une double authentification pour les rédacteurs qui postent des articles sur notre site SPIP, avez-vous pu installer quelque chose entre-temps ? Merci d’avance 
J’ai travaillé sur le plugin SMS et créer les plugins SMS_avec_Listes et creat2ID.
Il y a quelque chose à faire avec tout cela pour mettre en place une double identification systématique et non pas seulement à la création du compte. Je veux bien travailler dessus mais j’aimerai le faire en collaboration car j’ai peur de me heurter à des limites de connaissance sur le système d’authentification, d’une part, et parce que c’est plus sympatique, d’autre part.
Bonjour Thrax,
Est ce que creat2ID serait améliorable dans ce sens ?
pour le moment je n’ai plus le besoin mais qui sait par la suite.
Bonjour Thrax et Pierre, c’est super votre réactivité !! La communauté SPIP n’est pas aussi grande que celles de Wordpress mais elle est au taquet 
Je ne m’y connais pas du tout dans les systèmes d’authentification, je commence à peine à comprendre les bases de ce qu’est un serveur apache :-/
En fait j’ai hérité d’un site SPIP qui n’avait pas été mis à jour depuis plusieurs années et qui s’est fait piraté. Des amis informaticiens soupçonnent que ça s’est fait par vol d’identifiant/mdp de rédacteur ou administrateur. Je l’ai reconstruit à neuf mais pour pré-empter ce type d’attaque, ils m’ont conseillé la double authentification. Ce type d’outil serait très utile pour beaucoup d’entre nous qui utilisons SPIP, non ?
Un site non mis à jour depuis longtemps ?
C’est plutôt une RCE : Alerte : vague de piratage de sites depuis le 23 avril : pas d’accès à /ecrire (version SPIP inférieures à 3.2.18, 4.1.8 et 4.2.1)
Oui, il n’avait pas été mis à jour depuis au moins 3 ou 4 ans, sur un serveur non mis à jour non-plus depuis ce laps de temps aussi, ça devait arriver à un moment ou à un autre ! Merci pour le lien, j’avais regardé cette discussion il y a quelques mois, l’attaque remonte effectivement à juin 2023 (en tout cas, c’est à ce moment-là que tous les fichiers ont été supprimés par le pirate, peut-être que le code malveillant avait été placé avant). La base de données n’a semble-t-il pas été touchée, mais pour tout ce qui est squelettes, je les ai complètement refaits.
Normalement, le nouveau site est propre, et cette fois, on met bien tout à jour, mais du coup on voudrait renforcer d’un cran la sécurité avec un système de double authentification des rédacteurs/admin spip, d’autant plus que certains se connectent depuis des vieux ordis windows pas forcément super sécurisés…
(Désolée pour la tartine !)
Sinon plus léger que la double auth, il y a tout simplement : l’auth par email. Dans ce cas les gens ont l’obligation d’avoir accès à leur adresse email pour cliquer sur un lien pour se connecter. La sécurisation est reportée côté prestataire email du coup, qui peut être forte (gmail etc ont la double auth).
Oui mais non car si la boite email est hacké tu as une faille du coup.
Merci @rastapopoulos ! Est-ce que ça remplace la connexion classique avec identifiant et mdp, ou est-ce que ça vient s’y ajouter ? Je veux dire : une fois que tu as reçu le lien sur ton mail et que tu cliques dessus, est-ce que tu dois en plus donner ton id et mdp à spip pour pouvoir te connecter ?
Auquel cas, ce serait déjà mieux que rien, @pierretux, non ?
J’ai bien dit :
La sécurisation est reportée côté prestataire email du coup, qui peut être forte (gmail etc ont la double auth).
Si ya la double auth chez beaucoup de service mail, c’est presque tout autant sécurisé puisque les boites mails deviennent de plus en plus difficilement hackable. Évidemment ce n’est pas partout encore donc ce n’est pas autant sécurisé bien sûr.
Mais bien mieux que le mot de passe seul dans SPIP, car faut quand même avoir accès à une boite email, ce qui est bien plus sécurisé qu’un petit CMS en PHP généralement.
Si c’était ça… ça serait une double auth
Donc non c’est à la place : quand tu cliques sur le lien dans l’email tu arrives connecté sur le site SPIP.
Après on pourrait imaginer des options supplémentaires au plugin… (et donc le transformer aussi en double auth quand on le veut).
1 « J'aime »
Ah ok je vois ! Donc ce serait un mieux à partir du moment où on utilise une boîte mail à double authentification 
2 « J'aime »
Ho le beau plugin sans readme, sans doc et sans tag qui n’est donc disponible qu’aux personnes qui le connaissent et utilisent GIT, c’est bien dommage