Skip to content

Login Security

L'extension Login Security fournit plus de journaux et d'alertes sur les accès par les utilisateurs de votre instance CiviCRM.

  • Conserve un historique des appareils récents qui ont accédé à CiviCRM (avec leur adresse IP et l'empreinte du navigateur).
  • Fournit un rapport global pour les administrateurs.
  • Alerte s'il y a trop de connexions infructueuses (uniquement Drupal7 et Drupal8/9 pour l'instant).
  • Peut envoyer une notification par courriel à l'utilisateur et/ou aux administrateurs lorsqu'un utilisateur accède à votre instance CiviCRM.

Cette extension vise à aider à améliorer la sécurité de CiviCRM en ajoutant plus de fonctionnalités permettant de faire un audit, mais ce n'est en aucun cas une solution miracle pour la sécurité.

Installation et configuration

Télécharger et activer l'extension comme n'importe quelle autre extension CiviCRM. Pour plus informations à ce sujet, voir CiviCRM System Administrator Guide.

Une fois installé, l'extension peut être configurée à partir du menu Administation > Paramètres système > Login Security.

  • Notifications utilisateur : si cette option est activée, CiviCRM enverra une notification par courriel aux utilisateurs lorsqu'ils accèdent à CiviCRM.
  • Notifications administrateur : si activé, CiviCRM enverra une notification par courriel aux administrateurs lorsqu'un utilisateur accède à CiviCRM.
  • E-mails administrateur : si l'option précédente était activée, les adresses courriel pour notifier les administrateurs peuvent être saisies ici. En d'autres termes, CiviCRM n'informera pas tout le monde avec des autorisations administratives, seulement les courriels dans ce paramètre.

Comme vous pouvez le remarquer dans le formulaire de configuration, les notifications ont deux options :

  • Uniquement pour les nouveaux appareils ou emplacements : étant donné que les adresses IP, l'emplacement et l'empreinte digitale du navigateur sont enregistrés, l'extension ne peut notifier que les nouveaux appareils. Cela permet d'éviter d'avoir trop de notifications pour les utilisateurs quotidiens.
  • Pour chaque nouvelle session : Les notifications seront toujours envoyées.

Enfin, les vérifications ci-dessus sont effectuées pour les nouvelles sessions. Une session correspond au moment où un utilisateur se connecte et accède pour la première fois à l'instance CiviCRM. Ils peuvent être connectés pendant quelques heures ou quelques jours. Cela dépend des paramètres du système de gestion de contenu, qui gère les connexions.

Les utilisateurs réguliers peuvent voir leur historique d'accès en accédant à leur fiche de contact, puis en accédant à l'onglet "Historique des accès".

Affichage de l'historique d'accès d'un contact

Les administrateurs peuvent voir l'historique d'accès de n'importe quel contact. Un contact peut également afficher son propre historique d'accès.

Pour afficher l'historique d'accès d'un contact spécifique, accédez à son enregistrement de contact CiviCRM, puis cliquez sur l'onglet « Historique d'accès ».

Rapport de l'historique des accès

Un rapport des accès récents est disponible et peut être consulté par les administrateurs. Il existe également un dashlet disponible qui peut être ajouté au tableau de bord CiviCRM.

Alertes pour les tentatives échouées de connexion

Si vous utilisez CiviCRM sur Drupal, cette extension vérifiera automatiquement les connexions infructueuses. S'il y a plus de 10 connexions infructueuses au cours de la dernière heure, une alerte « critique » sera affichée dans CiviCRM Status Check. Cela peut aider à détecter les tentatives de deviner les mots de passe.

La principale raison pour laquelle cela a été mis en œuvre de cette façon est que les hébergeurs qui surveillent ce contrôle reçoivent automatiquement des notifications pour ces alertes.

Utilisation de la base de données GeoIP de MaxMind

Pour afficher le pays d'origine d'une adresse IP, la base de données GeoIP Geolite2 par MaxMind doit être téléchargée. La base de données gratuite (sans frais) comprend la ville et pays. L'abonnement au service payant fournit des données plus précises.

Pour télécharger, créez un compte avec MaxMind (lien ci-dessous), puis téléchargez le bases de données (pour le pays et éventuellement la ville).

Copiez ensuite les fichiers dans loginsecurity/db/country.mmdb et loginsecurity/db/city.mmdb sur le serveur CiviCRM.

Pour plus d'informations: https://dev.maxmind.com/geoip/geolite2-free-geolocation-data?lang=fr

Ceci est complètement facultatif. Si les bases de données ne sont pas présentes, l'extension n'affichera tout simplement pas la colonne 'Pays'.

Pourquoi une extension CiviCRM?

Nous voulions une solution prenant explicitement en charge les fonctionnalités spécifiques à CiviCRM (ex: accès API) et également lié aux rapports et à la vérification de l'état de CiviCRM (pour la surveillance). Avoir des détails de l'accès au CMS uniquement n'était pas une préoccupation, seul l'accès à CiviCRM.

De plus, Symbiotic prend en charge Drupal7, Drupal8 et WordPress, nous voulions donc quelque chose qui fonctionnait sur tous les CMS de la même manière. La plupart de nos clients utilisent à peine le CMS, et un jour, si CiviCRM Standalone est relancé, cette extension le supportera déjà.

Support

Pour les rapports de bogues ou demandes de nouvelles fonctionnalités : https://lab.civicrm.org/extensions/loginsecurity/issues

Des options de soutien technique payantes sont disponibles chez Coop SymbioTIC : https://www.symbiotique.coop/fr

Coop Symbiotic est une coopérative de travailleurs basée au Canada. Nous avons une forte expérience de travail avec des organisations à but non lucratif et CiviCRM. Nous fournissons abordable, rapide, hébergement clé en main avec mises à jour régulières et surveillance proactive, ainsi que développement et formation sur mesure.