Ligne directe 24/7 | Réponse à incidents
Nous contacter
Accueil Blog Fédération des identités : principes et dangers
  • Identité Numérique

Fédération des identités : principes et dangers

Sommaire

Récemment, une présentation de la conférence « Troopers » à propos des principes et des dangers de la fédération des identités a été mise en ligne.

Cette présentation, qui détaille les principes de base de la fédération au travers des divers mécanismes protocolaires existants, se termine sur les dangers que peut induire la fédération si mal implémentée.

Le présentateur, Dominick Baier est consultant sécurité à ThinkLecture. Il est spécialisé dans la gestion des accès et des identités pour des applications distribuées qui exploitent les technologies de Microsoft.

[youtube]https://www.youtube.com/watch?v=PGrL0pxkyXk[/youtube]

Ce qu’il faut retenir :

Problématiques engendrées par l’aspect technique :

  • Les protocoles sont complexes
    • Éviter de les implémenter par soi-même.
    • Privilégier l’utilisation de produits fiables et réputés ou des bibliothèques dédiés.
  • La fédération d’identités est une cible prisée
    • Le principe permet l’accès à de multiple ressource à partir d’un unique couple de crédentiels
    • Les détournements de redirection (Open Redirect) ouvre la voie au phishing.
    • Contrôler les redirections avec des tokens pour éviter les vulnérabilités de type CSRF.
  • Dans la plupart des implémentations, le navigateur est la passerelle du protocole
    • Les attaques connues et inconnues à l’encontre des navigateurs peuvent corrompre une implémentation de la fédération.
    • Des outils comme « SSLStrip » pourraient s’intercaler aux sein d’échanges de fédération, un chiffrement additionnel des assertions est recommandé.
    • L’utilisation de web service accroît généralement la sécurité générale via des politiques de sécurité strictes.

La fédération des identités est bénéfique :

  • Réduction du nombre des crédentiels (notamment ceux considérés comme faibles).
  • Amélioration de l’expérience utilisateur quant aux phases de « connexion / login »
  • Suppression / réduction du code dédié à l’authentification dans les applications.
  • Isolation du code relatif aux mécanismes de sécurité jugés complexes.
  • Élimine les frictions dans les scénarios B2B.
  • Mécanisme pleinement compatible avec le cloud.

Les slides de la présentation peuvent être obtenus ici.

Les consultants de SYNETIS réalisent des missions de conseils, d’expertises et d’implémentation des solutions de fédération d’identité d’éditeurs reconnus, tels que PingIdentityForgeRock ou encore ILEX. N’hésitez pas à nous contacter pour de plus amples informations.

Sources & ressources :

Ces articles pourraient vous intéresser

Web SSO vs Enterprise SSO

septembre 1, 2025

La sécurité des systèmes d’information est un défi majeur pour toutes les organisations de nos jours. Mettre en place et

Wallix – WAB Suite

septembre 1, 2025

Présentation Wallix Admin Bastion (WAB) Suite est la solution de gestion de comptes à privilèges (PAM – Privilege Account Management)

Réponse à incident

Coordonnées du CERT

 

Mail : cert@synetis.com

Téléphone : 02 30 21 31 04

USER ID : CERT SYNETIS

KEY ID : 2F6F A FE30 7877

Empreinte clé PGP : 8D8ACAAC20557C7C1FF58332F6FA110FE307877

Le CERT Synetis est en cours de qualification PRIS (Prestataires de Réponse aux Incidents de Sécurité) par l’ANSSI

Contactez notre équipe Audit