documentation cron password mdp

tacxou · tacxou · commit 74cf366e8981 · 2026-05-27T11:19:13.000+02:00
diff --git a/docs/configuration/config-gestion-mdp.md b/docs/configuration/config-gestion-mdp.md
@@ -37,6 +37,63 @@ Ces deux limites sont representé dans l'interface de changement de mot de passe
 * Caractères obligatoires : Vous pouvez régler quels caractères obligatoires doit comporter le nouveau mot de passe 
 * Vérifier si le mot de passe est connu avec haveibeenpwned (voir [https://haveibeenpwned.com/](https://haveibeenpwned.com/)). Si le mot de passe est connu l'utilisateur ne pourra pas l'utiliser
 
+### Vérification HIBP et empreintes planifiées
+
+Deux niveaux complémentaires :
+
+| Option (interface) | Champ API | Effet |
+| --- | --- | --- |
+| Vérifier les mots de passe compromis | `checkPwned` | Refus immédiat à la saisie si le mot de passe est dans HIBP (k-anonymity) |
+| Stockage des empreintes HIBP | `pwnedRecheckEnabled` | Enregistre une empreinte SHA-1 **chiffrée** dans l'historique pour re-vérifier plus tard via cron |
+
+Le stockage d'empreintes **nécessite** :
+
+- l'historique des mots de passe (`passwordHistoryEnabled`, activé par défaut) ;
+- `checkPwned` activé ;
+- la variable d'environnement `SESAME_PASSWORD_HISTORY_HIBP_KEY` sur l'orchestrateur.
+
+#### Génération de la clé
+
+Depuis le dépôt `sesame-orchestrator` :
+
+```bash
+make hibp-key-hex
+# affiche : SESAME_PASSWORD_HISTORY_HIBP_KEY=<64_caracteres_hex>
+
+# alternative base64 (32 octets décodés)
+make hibp-key-b64
+```
+
+Formats acceptés :
+
+- **Hex** : exactement 64 caractères hexadécimaux (32 octets) ;
+- **Base64** : chaîne qui décode en 32 octets.
+
+#### Configuration Docker / `.env`
+
+Ajouter dans le fichier d'environnement de **sesame-orchestrator** :
+
+```env
+SESAME_PASSWORD_HISTORY_HIBP_KEY=votre_cle_generee
+```
+
+Puis redémarrer le conteneur. Sans cette clé, l'interface désactive le toggle « Stockage des empreintes HIBP » et la sauvegarde de la policy avec `pwnedRecheckEnabled=true` est refusée.
+
+#### Activation dans l'interface
+
+1. Menu **Paramètres → Politique de mot de passe**.
+2. Activer **Vérifier les mots de passe compromis**.
+3. Activer **Stockage des empreintes HIBP (Pwned Passwords)** (si la clé est valide).
+4. Régler **Âge max avant re-check HIBP** (secondes) — par défaut 7 jours.
+5. Sauvegarder.
+6. Activer la tâche cron `identities-pwned-recheck` (voir [Configuration cron](cron.html#tache-par-defaut-re-check-hibp-pwned-passwords)).
+
+#### Sécurité et rotation de clé
+
+- Le mot de passe en clair n'est **pas** stocké pour HIBP : seule l'empreinte SHA-1 chiffrée (`hibpSha1Enc`).
+- Le serveur peut déchiffrer l'empreinte **uniquement** avec `SESAME_PASSWORD_HISTORY_HIBP_KEY` pour interroger l'API HIBP en mode *range* (5 premiers caractères du hash envoyés, reste comparé localement).
+- **Rotation de clé** : sans ré-encryptage des entrées existantes, les anciennes empreintes ne pourront plus être re-vérifiées (statut « déchiffrement impossible » côté cron).
+
 * Réinitialisez par SMS : L'utilisateur aura le choix de recevoir son code de réinitialisation par mail ou par SMS
 ### Les paramêtres d'envoi
 #### Initialisation du mot de passe 
diff --git a/docs/configuration/cron.md b/docs/configuration/cron.md
@@ -91,6 +91,51 @@ Le contenu des emails (jalons, templates, sujets) est défini dans `settings.pas
 - `passwordExpirationReminderSubject` (sujet par défaut)
 - template par défaut backend (si non fourni sur le jalon) : `password_reminder`
 
+## Tâche par défaut : re-check HIBP (Pwned Passwords)
+
+Fichier fourni : `defaults/cron/identities-pwned-recheck.yml`
+
+Configuration livrée :
+
+```yml
+tasks:
+  - name: "identities-pwned-recheck"
+    description: "Re-check HIBP (pwned passwords) for stored password history fingerprints"
+    enabled: false
+    schedule: "0 3 * * *"
+    handler: "identities-pwned-recheck"
+    options:
+      limit: 500
+```
+
+### Prérequis
+
+- Policy : `pwnedRecheckEnabled=true` et historique des mots de passe actif.
+- Variable `SESAME_PASSWORD_HISTORY_HIBP_KEY` configurée sur l'orchestrateur.
+- Entrées d'historique avec `hibpSha1Enc` renseigné (créées après activation du stockage d'empreintes).
+
+### Activation
+
+1. Ouvrir ou copier le fichier dans `configs/cron/identities-pwned-recheck.yml`.
+2. Passer `enabled` à `true`.
+3. Ajuster `schedule` si besoin (défaut : tous les jours à 03:00).
+4. Optionnel : modifier `options.limit` (nombre max d'entrées traitées par exécution, défaut 500).
+
+Vous pouvez aussi activer la tâche depuis l'interface **Paramètres → Cron** (`/settings/cron`).
+
+### Comportement
+
+- **Handler** : `identities-pwned-recheck` → commande `yarn run console identities pwned recheck`.
+- Sélectionne les entrées d'historique ayant une empreinte (`hibpSha1Enc`) dont `hibpLastCheckAt` est absent ou plus ancien que `pwnedRecheckMaxAgeSeconds` (policy).
+- Déchiffre l'empreinte, appelle `https://api.pwnedpasswords.com/range/<prefix>` (k-anonymity), met à jour `hibpLastCheckAt` et `hibpPwnCount`.
+- Si `hibpPwnCount > 0`, applique `pwnedRecheckAction` : `none` (log uniquement), `notify` (email), `expire` (forcer changement de mot de passe).
+
+### Test manuel
+
+```bash
+yarn run console identities pwned recheck --limit=10
+```
+
 ## Variables dynamiques dans `options`
 
 Les `options` supportent des variables dynamiques évaluées au runtime (à chaque exécution de la tâche).
diff --git a/docs/pages/settings/cron.md b/docs/pages/settings/cron.md
@@ -38,3 +38,18 @@ Cette page permet de gérer les **tâches planifiées** (route `/settings/cron`)
   - envoie les emails pour les jalons correspondants (`J-30`, `J-7`, `J-1`, `J0`, etc.)
   - évite les doublons via l’historique (`passwordExpiryReminderSentDays`)
 
+## Tâche liée au re-check HIBP (empreintes Pwned Passwords)
+
+- **Nom de tâche** : `identities-pwned-recheck`
+- **Défaut** : désactivée (`enabled: false`) dans `defaults/cron/identities-pwned-recheck.yml`
+- **Planification par défaut** : `0 3 * * *` (tous les jours à 03:00)
+- **Handler** : `identities-pwned-recheck`
+- **Commande appelée** : `yarn run console identities pwned recheck`
+- **Prérequis** : policy `pwnedRecheckEnabled`, clé `SESAME_PASSWORD_HISTORY_HIBP_KEY`, historique MDP actif
+- **Comportement** :
+  - re-vérifie les empreintes chiffrées de l’historique des mots de passe via l’API HIBP ;
+  - met à jour `hibpLastCheckAt` / `hibpPwnCount` sur chaque entrée ;
+  - peut notifier ou forcer l’expiration selon `pwnedRecheckAction` (si configuré côté policy)
+
+Voir [Configuration cron](../../configuration/cron.html#tache-par-defaut-re-check-hibp-pwned-passwords) et [Politique mots de passe](password-policy.html#stockage-des-empreintes-hibp-pwnedrecheckenabled).
+
diff --git a/docs/pages/settings/password-policy.md b/docs/pages/settings/password-policy.md
@@ -11,7 +11,8 @@ Cette page permet de configurer la **politique de mot de passe** (route `/settin
 ## Contenu de l’interface
 
 - **Paramètres numériques** : longueur minimale, entropie minimale, complexité souhaitée, TTL code reset, TTL token init.
-- **Toggles** : majuscule/minuscule/chiffre/spéciaux, vérification pwned, reset par SMS.
+- **Toggles** : majuscule/minuscule/chiffre/spéciaux, vérification HIBP (pwned), stockage des empreintes HIBP, reset par SMS.
+- **Re-check HIBP** : âge max avant re-check (`pwnedRecheckMaxAgeSeconds`, affiché en durée lisible).
 - **Attributs identité** : attribut mail alternatif, attribut mobile, URL de redirection.
 - **Rappels d’expiration** :
   - `passwordExpirationReminderSteps` : liste des jalons (par défaut vide)
@@ -35,4 +36,70 @@ Cette page permet de configurer la **politique de mot de passe** (route `/settin
 
 - **Lecture** : `GET /settings/passwdadm/getpolicies`
 - **Sauvegarde** : `POST /settings/passwdadm/setpolicies` (avec gestion des validations)
+- **Statut clé HIBP** : `GET /settings/passwdadm/hibp-keystatus` (valide la présence/format de `SESAME_PASSWORD_HISTORY_HIBP_KEY`)
+
+## Vérification HIBP à la saisie (`checkPwned`)
+
+Le toggle **« Vérifier les mots de passe compromis »** active le contrôle en temps réel via l’API [Have I Been Pwned – Pwned Passwords](https://haveibeenpwned.com/Passwords) (k-anonymity : seuls les 5 premiers caractères du hash SHA-1 sont envoyés).
+
+- Si le mot de passe apparaît dans une fuite connue, il est **refusé** à la création/changement.
+- Ce contrôle ne nécessite **pas** de clé `SESAME_PASSWORD_HISTORY_HIBP_KEY`.
+
+## Stockage des empreintes HIBP (`pwnedRecheckEnabled`)
+
+Le toggle **« Stockage des empreintes HIBP (Pwned Passwords) »** permet de conserver, dans l’**historique des mots de passe**, une empreinte chiffrée utilisable pour un **re-check planifié** (sans renvoyer le mot de passe en clair à chaque exécution du cron).
+
+### Prérequis
+
+1. **Historique des mots de passe activé** (`passwordHistoryEnabled=true`, défaut côté API). Sans historique, aucune entrée n’est enregistrée et aucune empreinte n’est stockée.
+2. **Vérification HIBP activée** (`checkPwned=true`) : le toggle empreintes est désactivé sinon.
+3. **Clé de chiffrement serveur** `SESAME_PASSWORD_HISTORY_HIBP_KEY` définie et valide (32 octets, en hex 64 caractères ou en base64). L’interface interroge `GET /settings/passwdadm/hibp-keystatus` et grise le toggle si la clé est absente ou invalide.
+4. **Tâche cron** `identities-pwned-recheck` activée pour exécuter le re-check (voir [Configuration cron](../../configuration/cron.html#tache-par-defaut-re-check-hibp-pwned-passwords)).
+
+### Comment activer (résumé)
+
+1. Générer une clé (ex. depuis le dépôt orchestrator) :
+   ```bash
+   make hibp-key-hex
+   # ou
+   make hibp-key-b64
+   ```
+2. Ajouter la variable dans l’environnement de **sesame-orchestrator** (fichier `.env` ou secrets) :
+   ```env
+   SESAME_PASSWORD_HISTORY_HIBP_KEY=<valeur_generee>
+   ```
+3. Redémarrer l’orchestrateur.
+4. Dans **Paramètres → Politique de mot de passe** :
+   - activer **« Vérifier les mots de passe compromis »** ;
+   - activer **« Stockage des empreintes HIBP »** ;
+   - ajuster **« Âge max avant re-check HIBP »** si besoin (défaut : 7 jours) ;
+   - sauvegarder.
+5. Dans **Paramètres → Cron**, activer la tâche `identities-pwned-recheck` (ou éditer `configs/cron/identities-pwned-recheck.yml`).
+
+### Paramètres associés (policy)
+
+| Champ | Rôle |
+| --- | --- |
+| `pwnedRecheckEnabled` | Active le stockage de `hibpSha1Enc` à chaque enregistrement d’historique |
+| `pwnedRecheckMaxAgeSeconds` | Délai minimum entre deux re-checks HIBP pour une même entrée (défaut : 604800 = 7 jours) |
+| `pwnedRecheckAction` | Action si compromis détecté au cron : `none`, `notify`, `expire` (l’UI force `none` à la sauvegarde actuelle) |
+
+### Ce qui est stocké (sans exposer le mot de passe)
+
+Pour chaque changement enregistré dans l’historique :
+
+1. Hash du mot de passe (Argon2) pour l’anti-réutilisation — **jamais exposé dans l’UI**.
+2. Si `pwnedRecheckEnabled` : `SHA-1(mot de passe)` puis chiffrement **AES-256-GCM** → champ Mongo `hibpSha1Enc` (format `iv.tag.cipher` en base64).
+
+L’API liste d’historique (`GET /management/password-history/:identityId`) ne renvoie **pas** `hibpSha1Enc` : seulement `hasHibpFingerprint`, `hibpLastCheckAt`, `hibpPwnCount`.
+
+### Consultation côté identité
+
+Dans la fiche identité, onglet **Historique des mots de passe** : colonne **HIBP** avec les états possibles :
+
+- **Empreinte non stockée** : entrée créée avant activation ou échec de chiffrement ;
+- **Non vérifié** : empreinte présente, en attente du cron ;
+- **OK** / **Pwned (N)** : résultat du dernier re-check (`hibpPwnCount` = occurrences dans la base HIBP).
+
+Voir aussi la configuration détaillée : [Configuration de la politique de mot de passe](../../configuration/config-gestion-mdp.html#verification-hibp-et-empreintes-planifiees).
 
