Authentification forte — TOTP / FIDO2 / YubiKey

Sécurisez chaque connexion — sans ralentir vos équipes.

2fabyakyras est le module MFA le plus complet pour Dolibarr. Il prend en charge trois second facteurs aux standards de l'industrie — TOTP (Google Authenticator, Authy, FreeOTP), FIDO2/WebAuthn (Windows Hello, Touch ID, clés physiques) et YubiKey OTP — et laisse chaque utilisateur choisir ce qui lui convient, dans les limites fixées par l'administrateur.

Pourquoi 2fabyakyras ?

• Trois méthodes, un seul module. TOTP, passkeys FIDO2, YubiKey OTP. L'utilisateur choisit, l'admin contrôle.
• Obligation granulaire. Imposez la 2FA globalement, par groupe ou par utilisateur — sans compromis entre sécurité et confort.
• Enrôlement guidé. QR code intégré, codes de secours personnels, réinitialisation par l'admin. Moins de tickets de support.
• "Se souvenir de cet appareil". Durée configurable (30 jours par défaut). Cookie chiffré, lié à l'IP et au User-Agent, stocké haché en base — rien d'exploitable.
• Journaux d'audit complets. Chaque tentative (succès ou échec) est enregistrée avec horodatage, IP et navigateur. Logs paginés, filtrables, exportables. Des tentatives suspectes déclenchent une alerte par e-mail.

Détails techniques

• Secrets TOTP chiffrés au repos (AES-256-CBC, IV unique par secret).
• Protection anti-replay : chaque code TOTP est à usage unique dans sa fenêtre de 30 secondes.
• Détection de clé clonée WebAuthn : une régression du sign_count entraîne le rejet immédiat de la connexion (spec W3C WebAuthn §7.2).
• Support de plusieurs clés WebAuthn par utilisateur (clé physique + authenticator plateforme).
• Double protection CSRF (token Dolibarr natif + token 2FA dédié), comparaisons en temps constant.
• Régénération de l'identifiant de session après chaque authentification réussie.
• Cookies Secure/HttpOnly/SameSite=Strict, en-têtes no-store sur toutes les pages sensibles.
• Validation YubiKey OTP via YubiCloud (HMAC-SHA1 signé, nonce vérifié).
• Plus de 60 langues incluses, dont les langues RTL (arabe, hébreu, persan, ourdou).
• Compatible Dolibarr v18 à v23.

Séparation des rôles

L'administrateur gère les méthodes, les politiques et consulte les journaux d'audit — mais ne peut ni lire, ni désactiver, ni contourner la 2FA d'un utilisateur. Chaque utilisateur reste seul maître de son second facteur.