Bonjour
HelloAsso vient d’instaurer la double authentification obligatoire avec un smartphone. Pour cela, HelloAsso propose un qrcode qui pointe directement sur Google Playstore. J’ai fait l’expérience avec un Android 8, playstore refuse l’installation alors que Aurora Store le permet. Je leur ai signalé que cette incitation pour des associations à créer des passerelles automatiques avec Google n’est pas des plus opportunes. Ils me renvoient vers ce lien : https://centredaide.helloasso.com/association?question=comment-proposer-des-evolutions-d-outils-a-helloasso
D’où, questions :
Y aurait-il dans la salle des développeurs capables de leur proposer un système de double authentification qui ne suppose pas l’utilisation de smartphone personnel ?
Je pense à Session, qui permet une connexion cryptée sans relier à aucun appareil ni numéro de téléphone. Est-ce que ce serait possible pour eux d’intégrer cela ? Ne pourriez vous pas proposer un framaconnect ou quelque chose du genre ?
Bonjour,
Je réponds un peu à côté, mais si c’est pour gérer des cotisations ou de la billetique, TiBillet est un commun numérique qui fait ça très bien, sans GAFAM.
A mon sens pas de miracle, l approche la plus répandue pour la double authent consiste à s appuyer sur la demonstration d un secret partagé qui suppose la possession d un objet physique…car pas susceptible d etre capté sur les reseaux. Des lors, si on ne veut pas d une app sur smartphone (comme freeotp ou mieux : freeotp+), il reste les clefs usb/nfc comme yubiko; ca a un coût, mais c est pratique:
Merci ! je ne connaissais pas.
Prise en main un peu ardue, mais surtout, lien obligatoire avec une société financière californienne, Stripe, sans quoi impossible de créer un formulaire d’adhésion, même si on veut faire des adhésions en espèces, ou qu’on a déjà un partenaire financier créatif et compréhensif (Qonto et la Banque Postale).
Du coup je me dis que Hello Asso avec un téléphone dédié chez Free à 2€ c’est peut-être malgré tout pas si mal. Et ça me semble triste.
Je ne connaissais pas non plus, merci !
Ma question était surtout pour suggérer un service frama, le sujet commençant à être chaud patate.
Et l’expérience de Session m’a bluffée : le cryptage paraît très simple côté usager, et on peut utiliser un téléphone, un ordi, en changer, c’est tout à fait souple. Mon fils ronchonne sur la liste des emoticones favorites qui change à chaque usage, mais sérieux, c’est assez peu cher payé pour le service.
Je me demandais si Framasoft pouvait s’en inspirer.
Bonne route à tous 
Oui, je suis d’accord pour Stripe, ce n’est pas idéal. Je sais qu’ils cherchent d’autres solutions, mais il y a des contraintes réglementaires et techniques.
Je n’ai pas compris dans quel cas Hello Asso demande une double authentification : connexion au compte, paiement, etc. ?
Et pourquoi pas une double authentification pour courriel ? certains sites le font.
Pour un administrateur de compte HelloAsso d’une association, la double authentification est obligatoire dès la connexion pour administrer les adhésions. Donc ça induit, dans la très grande majorité des cas, un lien organique entre le téléphone perso d’un administrateur et le site HelloAsso, par l’intermédiaire de la kyrielle de services google et de leurs traqueurs. Et de mon point de vue, je pense que c’est une fuite en avant dans la création de brèches de sécurité puisque ça crée des liens qui n’étaient pas forcément évidents entre des listes nominatives. Pas directement, bien sûr. Mais pas vraiment difficile à corréler pour des gens qui voudraient savoir et ont les compétences pour.