L’identification des applications

, par WM i-Tego

Toutes les configurations d’applications, de serveurs et de ressources protégées ne peuvent offrir un niveau de sécurité élevé.
Dans le contexte du télétravail, notamment à partir du domicile et avec un matériel personnel, ou tout simplement dans une utilisation mobile, les applications peuvent se trouver dans un environnement incontrôlé.
Il s’agit de s’assurer de leur identité et de leur intégrité avant de leur adresser des données sensibles.

Nos principes

 Les contrôles au niveau du réseau sont absolument nécessaires mais ne suffisent pas, y compris les firewall applicatifs.

 Seules les applications "avec back-end", situées sur les serveurs de l’entreprise peuvent être identifiées avec certitude et leur intégrité contrôlée.

 Nous développons les moyens de contrôler l’identité et l’intégrité des applications installées sur un mobile ou une station de travail distante, "sans back-end".

Le contrôle de l’environnement d’exécution (matériel, applications de sécurité...) est une direction de recherche prioritaire.

Nous améliorons le contrôle de l’application cliente

OpenID Connect n’est en mesure d’assurer pleinement la sécurité des données que dans le cas du flux "Authorization Code" pour des applications de type web dites "avec back-end".

En se fondant sur l’IP de l’origine, OAuthSD offre aux ressources protégées deux moyens de vérifier la légitimité d’une application qui présente un jeton d’identité :
 par introspection avec l’IP du demandeur,
 avec les déclarations supplémentaires du jeton d’identité ’cip_hash’ ou ’requester_ip’.

S’agissant des applications de mobile ou de station de travail, dites "sans back-end", i-Tego travaille aux moyens de les identifier et de s’assurer de leur intégrité.
Il existe des procédés tels que Proof of Possession (PoP) ou la Clé de vérification pour l’échange de code (PKCE) que OAuthSD met en oeuvre, mais qui améliorent la sécurité sans l’assurer.

Voyez : Authentifier l’application.