Nos principes
– Les contrôles au niveau du réseau sont absolument nécessaires mais ne suffisent pas, y compris les firewall applicatifs.
– Seules les applications "avec back-end", situées sur les serveurs de l’entreprise peuvent être identifiées avec certitude et leur intégrité contrôlée.
– Nous développons les moyens de contrôler l’identité et l’intégrité des applications installées sur un mobile ou une station de travail distante, "sans back-end".
Le contrôle de l’environnement d’exécution (matériel, applications de sécurité...) est une direction de recherche prioritaire.
Nous améliorons le contrôle de l’application cliente
OpenID Connect n’est en mesure d’assurer pleinement la sécurité des données que dans le cas du flux "Authorization Code" pour des applications de type web dites "avec back-end".
En se fondant sur l’IP de l’origine, OAuthSD offre aux ressources protégées deux moyens de vérifier la légitimité d’une application qui présente un jeton d’identité :
– par introspection avec l’IP du demandeur,
– avec les déclarations supplémentaires du jeton d’identité ’cip_hash’ ou ’requester_ip’.
S’agissant des applications de mobile ou de station de travail, dites "sans back-end", i-Tego travaille aux moyens de les identifier et de s’assurer de leur intégrité.
Il existe des procédés tels que Proof of Possession (PoP) ou la Clé de vérification pour l’échange de code (PKCE) que OAuthSD met en oeuvre, mais qui améliorent la sécurité sans l’assurer.
Voyez : Authentifier l’application.