Fédération des identités : principes et dangers

Récemment, une présentation de la conférence “Troopers” à propos des principes et des dangers de la fédération des identités a été mise en ligne.

Cette présentation, qui détaille les principes de base de la fédération au travers des divers mécanismes protocolaires existants, se termine sur les dangers que peut induire la fédération si mal implémentée.

Le présentateur, Dominick Baier est consultant sécurité à ThinkLecture. Il est spécialisé dans la gestion des accès et des identités pour des applications distribuées qui exploitent les technologies de Microsoft.

[youtube]https://www.youtube.com/watch?v=PGrL0pxkyXk[/youtube]

Ce qu’il faut retenir :

Problématiques engendrées par l’aspect technique :

  • Les protocoles sont complexes
    • Éviter de les implémenter par soi-même.
    • Privilégier l’utilisation de produits fiables et réputés ou des bibliothèques dédiés.
  • La fédération d’identités est une cible prisée
    • Le principe permet l’accès à de multiple ressource à partir d’un unique couple de crédentiels
    • Les détournements de redirection (Open Redirect) ouvre la voie au phishing.
    • Contrôler les redirections avec des tokens pour éviter les vulnérabilités de type CSRF.
  • Dans la plupart des implémentations, le navigateur est la passerelle du protocole
    • Les attaques connues et inconnues à l’encontre des navigateurs peuvent corrompre une implémentation de la fédération.
    • Des outils comme “SSLStrip” pourraient s’intercaler aux sein d’échanges de fédération, un chiffrement additionnel des assertions est recommandé.
    • L’utilisation de web service accroît généralement la sécurité générale via des politiques de sécurité strictes.

La fédération des identités est bénéfique :

  • Réduction du nombre des crédentiels (notamment ceux considérés comme faibles).
  • Amélioration de l’expérience utilisateur quant aux phases de “connexion / login”
  • Suppression / réduction du code dédié à l’authentification dans les applications.
  • Isolation du code relatif aux mécanismes de sécurité jugés complexes.
  • Élimine les frictions dans les scénarios B2B.
  • Mécanisme pleinement compatible avec le cloud.

Les slides de la présentation peuvent être obtenus ici.

Les consultants de SYNETIS réalisent des missions de conseils, d’expertises et d’implémentation des solutions de fédération d’identité d’éditeurs reconnus, tels que PingIdentity, ForgeRock ou encore ILEX. N’hésitez pas à nous contacter pour de plus amples informations.

Sources & ressources :

Yann

Consultant Sécurité