OpenID Connect : présentation du protocole et étude de l’attaque Broken End-User Authentication

 

L’emploi quotidien de nombreux services sur le Web rend l’utilisation de méthodes d’authentification unifiées très utile. La fédération d’identité avec OpenID Connect est une manière de mettre en œuvre cette authentification unique. Cependant, ce jeu à trois acteurs (utilisateur, fournisseur d’identité, fournisseur de service) ne fonctionne que si tout le monde a la même vision de la situation !

Au sommaire de l’article

1 La fédération d’identité dans le monde Web

1.1 Authentification classique par mot de passe

1.2 L’authentification unique

2 Standards existants

2.1 SAML

2.2 OpenID Connect

3 Description d’OpenID Connect

3.1 Terminologie du protocole

3.2 Détermination du fournisseur d’identité

3.3 Enrôlement du fournisseur de service

3.4 Cinématique du « code d’autorisation »

4 L’attaque Broken End-User Authentication

4.1 Hypothèse et modèle de l’attaquant

4.2 Déroulement de l’attaque

4.3 Analyse des causes

4.3.1 Absence de mécanisme anti-rejeu

4.3.2 Contrôle de la phase d’enrôlement

4.3.3 Absence de garanties d’intégrité et de confidentialité sur certains échanges

5 Contremesures et recommandations

5.1 Cela va sans dire…

5.2 Durcissement d’OpenID Connect

5.3 Un mot sur l’enregistrement à la volée

Conclusion

Remerciements

Références

Rémi Cassam Chenaï, Olivier Levillain

 > Lire l’intégralité de cet article sur notre plateforme de lecture en ligne Connect  

Retrouvez cet article (et bien d’autres) dans MISC n°98, disponible sur la boutique et sur Connect !