feat: implement lifecycle event force execution and enhance security documentation

- Added a new endpoint to force the re-execution of lifecycle events for identities, allowing backend scripts to be reapplied without changing the current state.
- Updated the LifecycleHooksService to include logic for handling forced lifecycle events and added error handling for non-existent identities.
- Enhanced the SECURITY.md file with detailed information on the storage and encryption of HIBP password fingerprints, including re-check scheduling and key management.

Author: tacxou

SECURITY.md

@@ -16,4 +16,63 @@ Use this section to tell people how to report a vulnerability.
 
 Tell them where to go, how often they can expect to get an update on a
 reported vulnerability, what to expect if the vulnerability is accepted or
-declined, etc.
+declined, etc.
+
+## #145 Stockage des empreintes HIBP (Pwned Passwords)
+
+Quand l'option "Stockage des empreintes HIBP (Pwned Passwords)" est activee (politique `pwnedRecheckEnabled=true`), Sesame Orchestrator stocke des empreintes de mots de passe dans l'historique afin de permettre un re-check planifie via HIBP.
+
+### Qu'est-ce qui est stocke
+
+Pour chaque mot de passe enregistre dans l'historique (collection `password-history`), on calcule :
+
+1. `SHA-1(password)` en hexadecimal (en sortie convertie en majuscules).
+2. Chiffrement de cette empreinte via AES-256-GCM.
+3. Stockage du resultat chiffre dans le champ Mongo `hibpSha1Enc`.
+
+L'UI ne consomme jamais les hash en clair : elle n'expose que des indicateurs derives (ex. `hasHibpFingerprint`, `hibpLastCheckAt`, `hibpPwnCount`).
+
+### Format de chiffrement
+
+Le champ `hibpSha1Enc` correspond a une chaine au format :
+
+`<ivB64>.<tagB64>.<cipherB64>`
+
+ou :
+
+- `iv` : IV aleatoire de 12 octets (AES-GCM)
+- `tag` : tag d'authentification GCM
+- `cipher` : donnees chiffrees
+
+### Cle de chiffrement : `SESAME_PASSWORD_HISTORY_HIBP_KEY`
+
+Le chiffrement/dechiffrement repose sur l'ENV `SESAME_PASSWORD_HISTORY_HIBP_KEY` :
+
+- soit une cle hexadecimale de 64 caracteres (32 bytes),
+- soit une cle base64 qui decode en 32 bytes.
+
+Cette cle est utilisee cote serveur au moment :
+
+- de l'enregistrement de `hibpSha1Enc`,
+- du cron de re-check (pour dechiffrer et recalculer le prefixe/suffixe SHA-1 a interroger dans HIBP).
+
+Consequence importante : une rotation de cle sans re-encryptage des empreintes existantes rend le re-check impossible pour les anciennes entrees (elles seront traitees comme non dechiffrables).
+
+### Re-check planifie (cron)
+
+Le re-check est configure dans `apps/api/defaults/cron/identities-pwned-recheck.yml` :
+
+- schedule : tous les jours a 03:00 (`0 3 * * *`)
+- handler : `identities-pwned-recheck`
+- filtre : candidates dont `hibpSha1Enc != null` et `hibpLastCheckAt` est soit absent, soit plus ancien que `pwnedRecheckMaxAgeSeconds`
+
+Le traitement :
+
+- dechiffre `hibpSha1Enc` pour recuperer le SHA-1,
+- decoupe le SHA-1 en `prefix` (5 premiers caracteres) et `suffix` (reste),
+- appelle l'endpoint HIBP "range" :
+  - `GET https://api.pwnedpasswords.com/range/<prefix>`
+  - (le matching se fait localement sur le suffix retourne par l'API),
+- ecrit :
+  - `hibpLastCheckAt` = maintenant
+  - `hibpPwnCount` = nombre d'occurrences si trouve, sinon 0 (ou `null` si dechiffrement impossible).

apps/api/src/management/lifecycle/lifecycle-hooks.service.ts

@@ -1,4 +1,5 @@
-import { Injectable } from '@nestjs/common'
+import { Injectable, NotFoundException } from '@nestjs/common'
+import { Types } from 'mongoose'
 import { OnEvent } from '@nestjs/event-emitter'
 import { CronJob } from 'cron'
 import dayjs from 'dayjs'
@@ -435,8 +436,26 @@ export class LifecycleHooksService extends AbstractLifecycleService {
    * // Si une règle OFFICIAL -> MANUAL existe et match
    * // L'identité est automatiquement transitionnée vers MANUAL
    */
-  private async fireLifecycleEvent(before: Identities, after: Identities): Promise<void> {
-    const lifecycleChanged = !!before && before.lifecycle !== after.lifecycle
+  /**
+   * Force la réexécution des effets d'un changement de cycle de vie sans modifier l'état courant.
+   *
+   * Utile pour rejouer les scripts backend lorsque la configuration a évolué après le dernier passage.
+   */
+  public async forceLifecycleEvent(identityId: Types.ObjectId): Promise<void> {
+    const identity = await this.identitiesService.findById<Identities>(identityId)
+    if (!identity) {
+      throw new NotFoundException('Identity not found')
+    }
+
+    await this.fireLifecycleEvent(identity, identity, { force: true })
+  }
+
+  private async fireLifecycleEvent(
+    before: Identities,
+    after: Identities,
+    options?: { force?: boolean },
+  ): Promise<void> {
+    const lifecycleChanged = options?.force || (!!before && before.lifecycle !== after.lifecycle)
 
     if (lifecycleChanged) {
       await this.create({

apps/api/src/management/lifecycle/lifecycle.controller.ts

@@ -3,6 +3,7 @@ import {
   Get,
   HttpStatus,
   Param,
+  Post,
   Query,
   Req,
   Res,
@@ -16,6 +17,7 @@ import { AbstractController } from '~/_common/abstracts/abstract.controller'
 import { ObjectIdValidationPipe } from '~/_common/pipes/object-id-validation.pipe'
 import { Lifecycle } from './_schemas/lifecycle.schema'
 import { LifecycleCrudService } from './lifecycle-crud.service'
+import { LifecycleHooksService } from './lifecycle-hooks.service'
 import { LifecycleCacheInterceptor } from './_interceptors/lifecycle-cache.interceptor'
 import { UseRoles } from '~/_common/decorators/use-roles.decorator'
 import { AC_ACTIONS, AC_DEFAULT_POSSESSION } from '~/_common/types/ac-types'
@@ -56,6 +58,7 @@ export class LifecycleController extends AbstractController {
    */
   public constructor(
     protected readonly _service: LifecycleCrudService,
+    private readonly lifecycleHooksService: LifecycleHooksService,
   ) {
     super()
   }
@@ -87,6 +90,26 @@ export class LifecycleController extends AbstractController {
    *   total: 2
    * }
    */
+  @Post('identity/:identityId/force')
+  @UseRoles({
+    resource: '/management/lifecycle',
+    action: AC_ACTIONS.UPDATE,
+    possession: AC_DEFAULT_POSSESSION,
+  })
+  @ApiOperation({ summary: 'Forcer la réexécution du cycle de vie courant' })
+  @ApiParam({ name: 'identityId', description: 'Identifiant de l\'identité' })
+  public async forceLifecycle(
+    @Param('identityId', ObjectIdValidationPipe) identityId: Types.ObjectId,
+    @Res() res: Response,
+  ): Promise<Response> {
+    await this.lifecycleHooksService.forceLifecycleEvent(identityId)
+
+    return res.status(HttpStatus.OK).json({
+      statusCode: HttpStatus.OK,
+      message: 'Cycle de vie réexécuté',
+    })
+  }
+
   @Get('identity/:identityId')
   @UseRoles({
     resource: '/management/lifecycle',

apps/web/src/pages/identities/table/[_id]/index.vue

@@ -156,6 +156,22 @@
                   span(v-text='stateItem.label')
                   |  
                   small(v-text='("(" + stateItem.key + ")")')
+            q-separator
+            q-item(
+              clickable
+              v-close-popup
+              @click="forceLifecycleExecution()"
+              :disable="loadingForceLifecycle"
+            )
+              q-item-section(avatar)
+                q-icon(
+                  :name="loadingForceLifecycle ? 'mdi-loading' : 'mdi-replay'"
+                  :class="{ 'mdi-spinner-parent': loadingForceLifecycle }"
+                  color="purple-8"
+                )
+              q-item-section
+                q-item-label Forcer l'exécution du cycle de vie
+                q-item-label(caption) Réapplique les scripts backend pour l'état courant
         q-separator(v-for='_ in 2' :key='_' vertical)
         q-btn-dropdown(:class="[$q.dark.isActive ? 'text-white' : 'text-black']" dropdown-icon="mdi-dots-vertical" unelevated dense)
           q-list(dense)
@@ -242,6 +258,7 @@ export default defineNuxtComponent({
       validationsModal: false,
       resetPasswordModal: false,
       loadingSwitchStatus: false,
+      loadingForceLifecycle: false,
     }
   },
   async setup() {
@@ -315,6 +332,49 @@ export default defineNuxtComponent({
         })
       }
     },
+    async forceLifecycleExecution() {
+      this.$q
+        .dialog({
+          title: 'Confirmation',
+          message:
+            "Voulez-vous forcer la réexécution du cycle de vie courant ? Les scripts backend seront relancés comme lors d'un nouveau changement d'état.",
+          persistent: true,
+          ok: {
+            push: true,
+            color: 'positive',
+            label: 'Forcer',
+          },
+          cancel: {
+            push: true,
+            color: 'negative',
+            label: 'Annuler',
+          },
+        })
+        .onOk(async () => {
+          this.loadingForceLifecycle = true
+          try {
+            await this.$http.post(`/management/lifecycle/identity/${this.identity._id}/force`)
+            this.$q.notify({
+              message: 'La réexécution du cycle de vie a été lancée',
+              color: 'positive',
+              position: 'top-right',
+              icon: 'mdi-check-circle-outline',
+            })
+            ;(this as any).refresh()
+          } catch (error: any) {
+            this.$q.notify({
+              message:
+                'Impossible de forcer la réexécution du cycle de vie : ' +
+                (error?.response?._data?.message || error?.message || 'erreur inconnue'),
+              color: 'negative',
+              position: 'top-right',
+              icon: 'mdi-alert-circle-outline',
+            })
+          } finally {
+            this.loadingForceLifecycle = false
+          }
+        })
+    },
     async doChangePassword() {
       try {
         const data = await this.$http.post('/management/identities/forcepassword', {

apps/web/src/pages/settings/password-policy.vue

@@ -103,7 +103,7 @@
           q-tooltip.text-body2(anchor="bottom middle" self="top middle" :offset="[0, 8]" v-else-if="!hibpKeyStatus.valid")
             span(v-text="hibpKeyStatus.reason || 'Clé SESAME_PASSWORD_HISTORY_HIBP_KEY invalide'")
           q-tooltip.text-body2(anchor="bottom middle" self="top middle" :offset="[0, 8]" v-else)
-            | Active le stockage des empreintes SHA-1 chiffrées (non réversibles) dans l'historique des mots de passe pour permettre le re-check planifié.
+            | Active le stockage d’empreintes SHA-1 chiffrées (chiffrées/déchiffrables côté serveur via SESAME_PASSWORD_HISTORY_HIBP_KEY) dans l'historique des mots de passe pour permettre le re-check planifié.
         q-toggle.col-12.col-sm-6.col-md-4.col-lg-3(
           :disable='!hasPermission("/settings/passwdadm", "update")'
           dense