L’heure de la liaison de jeton a sonné
Bonjour les amis,
Ces derniers mois ont été particulièrement intéressants dans le monde des normes relatives à l’identité et à la sécurité. Grâce aux efforts d’un large éventail d’experts du secteur, nous sommes parvenus à finaliser un vaste ensemble de normes qui vont améliorer la sécurité et l’expérience utilisateur de toute une génération d’appareils et de services nuage.
Parmi ces améliorations, l’une des plus importantes est la famille de spécifications « Token Binding » (liaison de jeton), qui est sur le point d’être approuvée par l’IETF (Internet Engineering Task Force). (Si vous souhaitez en savoir plus sur la liaison de jeton, regardez cette passionnante présentation de Brian Campbell).
Chez Microsoft, nous pensons que la liaison de jeton peut considérablement améliorer la sécurité des entreprises et du grand public en permettant aux développeurs du monde entier d’accéder facilement à un haut niveau d’assurance en termes d’identité et d’authentification.
L’impact s’annonce tellement positif que nous continuons à travailler en étroite collaboration avec la communauté afin de finaliser la création et l’adoption de cette famille de spécifications.
Maintenant que les spécifications sont sur le point d’être approuvées, j’aimerais lancer deux appels :
- Commencez à expérimenter la liaison de jeton et à planifier vos déploiements.
- Si ce n’est déjà fait, contactez les éditeurs de votre navigateur et de vos logiciels pour leur demander de vous fournir rapidement les implémentations de liaison de jeton.
Je tiens également à souligner que Microsoft n’est que l’une des nombreuses voix du secteur à affirmer que la liaison de jeton est une solution d’avenir.
Pour en savoir plus sur l’importance de la liaison de jeton, je vais céder la parole à Pamela Dingle (une voix importante du secteur que beaucoup d’entre vous connaissent déjà) qui est maintenant directrice des normes relatives à l’identité chez Microsoft, au sein de l’équipe Azure AD.
Cordialement,
Alex Simons (Twitter : @Alex_A_Simons)
Directeur Gestion des programmes
Microsoft Identity Division
—————————————————————————————————————————–
Merci Alex et bonjour à tous,
Je partage l’enthousiasme d’Alex ! L’élaboration des spécifications qui seront bientôt considérées comme les nouvelles normes RFC a nécessité des années d’efforts. Le moment est venu pour les architectes de se pencher sur les avantages de la liaison de jeton pour l’identité et la sécurité.
Vous vous demandez peut-être ce que la liaison de jeton a d’exceptionnel ? Eh bien, grâce à elle, les cookies, les jetons d’actualisation et les jetons d’accès OAuth, ainsi que les jetons OpenID Connect ID deviennent inutilisables en dehors du contexte TLS spécifique au client dans lequel ils ont été émis. Normalement, ces jetons sont « porteurs », ce qui signifie que leur détenteur peut les échanger contre des ressources, mais la liaison de jeton améliore ce processus en mettant en place un mécanisme de confirmation qui permet de tester le matériel de chiffrement recueilli au moment de l’émission du jeton en le comparant à celui recueilli au moment de l’utilisation du jeton. Seul le bon client, qui utilise le bon canal TLS, réussira le test. Ce processus consistant à forcer l’entité qui présente le jeton à faire ses preuves est appelé « preuve de possession ».
Il se trouve que les cookies et les jetons peuvent être utilisés en dehors du contexte TLS d’origine de toutes sortes de façons malveillantes. Il peut s’agir de cookies de session détournés ou de jetons d’accès divulgués, ou encore de HDM (attaques de l’homme du milieu) sophistiquées. C’est pourquoi le projet OAuth 2 de l’IETF sur les meilleures pratiques actuelles en matière de sécurité recommande la liaison de jeton, et c’est pourquoi nous venons de doubler les récompenses en jeu dans le cadre de notre Identity Bounty Program. En exigeant une preuve de possession, nous transformons l’utilisation opportuniste ou préméditée des cookies ou des jetons à des fins malveillante en opération difficile et coûteuse pour un attaquant.
Comme tout mécanisme de preuve de possession, la liaison de jeton nous donne la possibilité de renforcer les défenses en profondeur. Nous pouvons tout mettre en œuvre pour ne jamais perdre un jeton, mais nous pouvons aussi mettre en place des vérifications par mesure de précaution. Contrairement à d’autres mécanismes de preuve de possession, tels que les certificats clients, la liaison de jeton est autonome et transparente pour l’utilisateur, le gros du travail étant effectué par l’infrastructure. À terme, nous espérons que tout le monde pourra choisir d’opérer à un haut niveau d’assurance en matière d’identité. Cela dit, au début, nous nous attendons à une forte demande de la part du secteur public et du monde de la finance, car ceux-ci seront soumis à des exigences réglementaires immédiates pour pouvoir fournir la preuve de possession. Par exemple, toute personne ayant besoin de la publication spéciale 800-63C du NIST, catégorisation AAL3, doit avoir recours à ce type de technologie.
Le chemin est encore long avant l’adoption de la liaison de jeton. Nous l’avons entamé il y a trois ans, et bien que l’approbation des spécifications soit une étape importante, en tant qu’écosystème, nous avons encore beaucoup à faire. Et cette spécification doit s’adapter à tous les fournisseurs et à toutes les plateformes pour être un succès. Au cours des prochains mois, nous allons commencer à présenter les avantages et les bonnes pratiques qui, en matière de sécurité, découlent de notre adoption de cette fonctionnalité. Nous espérons que vous vous joindrez à nous pour défendre cette technologie partout où vous en aurez besoin.
Cordialement,
— Pam