Authentification Double Facteur (2FA)

Authentification Double Facteur (2FA) pour Dolibarr

1. Présentation

Face à l'insuffisance des mots de passe traditionnels, ce module intègre une couche de sécurité obligatoire ou optionnelle au processus d'authentification de Dolibarr. Il protège l'accès à l'ERP/CRM contre le vol d'identifiants grâce à une gestion multi-facteurs moderne et durcie.

2. Fonctionnalités Principales

Méthodes d'authentification supportées

• TOTP (Time-Based One-Time Password) : Codes à 6 chiffres (validité 30 secondes). Compatible avec Google Authenticator, Authy, Microsoft Authenticator, 1Password, Bitwarden, Aegis, FreeOTP.

• WebAuthn / FIDO2 : Prise en charge des clés de sécurité matérielles (YubiKey) et des systèmes biométriques natifs (Touch ID, Face ID, Windows Hello).

• Codes de secours : Génération d'un lot de 10 codes uniques, sécurisés par hachage bcrypt, permettant de pallier la perte d'un périphérique principal.

Gestion multi-périphériques

• Possibilité d'associer plusieurs clés ou applications à un même compte utilisateur.

• Interface d'administration dédiée à l'utilisateur pour l'ajout, le renommage ou la révocation des périphériques enregistrés.

Durcissement de la sécurité (Sécurité Entreprise)

• Chiffrement des données : Stockage des secrets TOTP en base de données via l'algorithme AES-256-CBC.

• Protection brute-force : Verrouillage automatique de l'adresse IP après 5 échecs consécutifs sur une fenêtre de 15 minutes.

• Anti-rejeu : Invalidité immédiate d'un code TOTP dès sa première utilisation.

• Journalisation (Audit log) : Traçabilité complète des tentatives de connexion (adresse IP, résultat, méthode d'authentification, périphérique utilisé).

• Sécurité applicative : Protection CSRF systématique sur les formulaires et injection de headers HTTP stricts (X-Frame-Options, Content-Security-Policy, Cache-Control: no-store).

3. Déploiement et Administration

Parcours utilisateur (Enrollment)

• Invitation automatique à configurer la 2FA dès la première connexion suivant l'activation.

• Génération locale des QR codes (aucune dépendance vis-à-vis d'API tierces).

• Possibilité de basculer le module en mode obligatoire via la constante globale MOD2FA_MANDATORY.

Outils d'administration

• Tableau de bord : Statistiques d'activité sur 24h, indicateur du taux d'adoption par les utilisateurs et suivi des blocages d'IP.

• Gestion des comptes : Vue d'ensemble du statut de sécurité par utilisateur. Fonctions de réinitialisation individuelle, de purge des journaux et de ré-enrôlement forcé.

• Maintenance : Script de ré-encodage à la volée des secrets chiffrés en base de données.

Interface graphique

• Développement de pages de connexion autonomes pour s'affranchir des contraintes et des variations de contrastes liées aux différents thèmes Dolibarr.

• Interface entièrement responsive (adaptée aux terminaux mobiles).

4. Installation

1. Extraire l'archive mod2fa-6.0.0.zip dans le répertoire htdocs/custom/ de votre instance Dolibarr.

2. Accéder à l'espace Configuration > Modules/Applications > Autres.

3. Activer le module Mod2fa.

4. Les tables de données requises sont initialisées automatiquement.

5. Prérequis Techniques

• Dolibarr : Version 14.0 ou supérieure.

• PHP : Version 7.4 minimum (pleinement compatible de 8.0 à 8.4).

• Base de données : MySQL 5.7+ ou MariaDB 10.3+.

• Extensions : OpenSSL requise pour le chiffrement.

• Protocole HTTPS : Strictement obligatoire pour l'usage de WebAuthn/FIDO2.