feat: exposition Traefik + provisioning auth (v0.21.0)

Backend exposé via Traefik+TLS (réseau traefik-public externe, labels,
CHLOVA_DOMAIN) — surface unique. Script provision-auth (hash scrypt +
TOTP otpauth + JWT). .env.example section API/UI. security.md : surface
exposée Phase 4. Compose revalidé.

Palier de risque : privilégié (exposition réseau) — non déployé ; auth
requise pour activer l'API.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

CHANGELOG.md

@@ -6,6 +6,16 @@ incompatibles. Chaque ligne renvoie à un commit dédié (un artefact = un commi
 
 ## [Unreleased]
 
+## [0.21.0] — 2026-06-23
+### Added
+- `orchestrator/scripts/provision-auth.ts` (+ `npm run provision-auth`) : génère
+  hash mdp scrypt + secret TOTP + otpauth:// + JWT secret pour `.env`.
+- Compose : backend exposé via **Traefik + TLS** (réseau `traefik-public` externe,
+  labels router/tls), `CHLOVA_DOMAIN`. Surface unique exposée.
+- `.env.example` : section API/UI (admin/hash/TOTP/JWT/web-origin/domaine).
+- `docs/security.md` : section surface exposée Phase 4 (login fort, rate-limit,
+  CORS, fail-safe). Compose revalidé.
+
 ## [0.20.0] — 2026-06-23
 ### Added
 - `src/api/routes.ts` : API HTTP (`registerApi`) — `POST /api/auth/login`