{"id":1088,"date":"2018-08-21T09:00:59","date_gmt":"2018-08-21T16:00:59","guid":{"rendered":"https:\/\/www.microsoft.com\/fr-ca\/2018\/08\/21\/its-time-for-token-binding\/"},"modified":"2022-06-28T11:03:10","modified_gmt":"2022-06-28T18:03:10","slug":"its-time-for-token-binding","status":"publish","type":"post","link":"https:\/\/www.microsoft.com\/fr-ca\/microsoft-365\/blog\/2018\/08\/21\/its-time-for-token-binding\/","title":{"rendered":"L\u2019heure de la liaison de jeton a sonn\u00e9"},"content":{"rendered":"
Bonjour les amis,<\/p>\n
Ces derniers mois ont \u00e9t\u00e9 particuli\u00e8rement int\u00e9ressants dans le monde des normes relatives \u00e0 l\u2019identit\u00e9 et \u00e0 la s\u00e9curit\u00e9. Gr\u00e2ce aux efforts d\u2019un large \u00e9ventail d\u2019experts du secteur, nous sommes parvenus \u00e0 finaliser un vaste ensemble de normes qui vont am\u00e9liorer la s\u00e9curit\u00e9 et l\u2019exp\u00e9rience utilisateur de toute une g\u00e9n\u00e9ration d\u2019appareils et de services nuage.<\/p>\n
Parmi ces am\u00e9liorations, l\u2019une des plus importantes est la famille de sp\u00e9cifications \u00ab\u00a0Token Binding\u00a0\u00bb (liaison de jeton), qui est sur le point d\u2019\u00eatre approuv\u00e9e par l\u2019IETF (Internet Engineering Task Force)<\/a>. (Si vous souhaitez en savoir plus sur la liaison de jeton, regardez cette passionnante pr\u00e9sentation<\/a> de Brian Campbell).<\/p>\n Chez Microsoft, nous pensons que la liaison de jeton peut consid\u00e9rablement am\u00e9liorer la s\u00e9curit\u00e9 des entreprises et du grand public en permettant aux d\u00e9veloppeurs du monde entier d\u2019acc\u00e9der facilement \u00e0 un haut niveau d\u2019assurance en termes d\u2019identit\u00e9 et d\u2019authentification.<\/p>\n L\u2019impact s\u2019annonce tellement positif que nous continuons \u00e0 travailler en \u00e9troite collaboration avec la communaut\u00e9 afin de finaliser la cr\u00e9ation et l\u2019adoption de cette famille de sp\u00e9cifications.<\/p>\n Maintenant que les sp\u00e9cifications sont sur le point d\u2019\u00eatre approuv\u00e9es, j\u2019aimerais lancer deux appels\u00a0:<\/p>\n Je tiens \u00e9galement \u00e0 souligner que Microsoft n\u2019est que l\u2019une des nombreuses voix du secteur<\/a> \u00e0 affirmer que la liaison de jeton est une solution d\u2019avenir.<\/p>\n Pour en savoir plus sur l\u2019importance de la liaison de jeton, je vais c\u00e9der la parole \u00e0 Pamela Dingle (une voix importante du secteur que beaucoup d\u2019entre vous connaissent d\u00e9j\u00e0) qui est maintenant directrice des normes relatives \u00e0 l\u2019identit\u00e9 chez Microsoft, au sein de l\u2019\u00e9quipe Azure AD.<\/p>\n Cordialement,<\/p>\n Alex Simons (Twitter\u00a0: @Alex_A_Simons<\/a>)<\/p>\n Directeur Gestion des programmes<\/p>\n Microsoft Identity Division<\/p>\n \u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2013<\/p>\n Merci Alex et bonjour \u00e0 tous,<\/p>\n Je partage l\u2019enthousiasme d\u2019Alex\u00a0! L\u2019\u00e9laboration des sp\u00e9cifications qui seront bient\u00f4t consid\u00e9r\u00e9es comme les nouvelles normes RFC a n\u00e9cessit\u00e9 des ann\u00e9es d\u2019efforts. Le moment est venu pour les architectes de se pencher sur les avantages de la liaison de jeton pour l\u2019identit\u00e9 et la s\u00e9curit\u00e9.<\/p>\n Vous vous demandez peut-\u00eatre ce que la liaison de jeton a d\u2019exceptionnel\u00a0? Eh bien, gr\u00e2ce \u00e0 elle, les cookies, les jetons d\u2019actualisation et les jetons d\u2019acc\u00e8s OAuth, ainsi que les jetons OpenID Connect ID deviennent inutilisables en dehors du contexte TLS sp\u00e9cifique au client dans lequel ils ont \u00e9t\u00e9 \u00e9mis. Normalement, ces jetons sont \u00ab\u00a0porteurs\u00a0\u00bb, ce qui signifie que leur d\u00e9tenteur peut les \u00e9changer contre des ressources, mais la liaison de jeton am\u00e9liore ce processus en mettant en place un m\u00e9canisme de confirmation qui permet de tester le mat\u00e9riel de chiffrement recueilli au moment de l\u2019\u00e9mission du jeton en le comparant \u00e0 celui recueilli au moment de l\u2019utilisation du jeton. Seul le bon client, qui utilise le bon canal TLS, r\u00e9ussira le test. Ce processus consistant \u00e0 forcer l\u2019entit\u00e9 qui pr\u00e9sente le jeton \u00e0 faire ses preuves est appel\u00e9 \u00ab\u00a0preuve de possession\u00a0\u00bb.<\/p>\n Il se trouve que les cookies et les jetons peuvent \u00eatre utilis\u00e9s en dehors du contexte TLS d\u2019origine de toutes sortes de fa\u00e7ons malveillantes. Il peut s\u2019agir de cookies de session d\u00e9tourn\u00e9s ou de jetons d\u2019acc\u00e8s divulgu\u00e9s, ou encore de HDM (attaques de l\u2019homme du milieu) sophistiqu\u00e9es<\/a>. C\u2019est pourquoi le projet OAuth\u00a02 de l\u2019IETF sur les meilleures pratiques actuelles en mati\u00e8re de s\u00e9curit\u00e9<\/a> recommande la liaison de jeton, et c\u2019est pourquoi nous venons de doubler les r\u00e9compenses en jeu dans le cadre de notre Identity Bounty Program<\/a>. En exigeant une preuve de possession, nous transformons l\u2019utilisation opportuniste ou pr\u00e9m\u00e9dit\u00e9e des cookies ou des jetons \u00e0 des fins malveillante en op\u00e9ration difficile et co\u00fbteuse pour un attaquant.<\/p>\n Comme tout m\u00e9canisme de preuve de possession, la liaison de jeton nous donne la possibilit\u00e9 de renforcer les d\u00e9fenses en profondeur. Nous pouvons tout mettre en \u0153uvre pour ne jamais perdre un jeton, mais nous pouvons aussi mettre en place des v\u00e9rifications par mesure de pr\u00e9caution. Contrairement \u00e0 d\u2019autres m\u00e9canismes de preuve de possession, tels que les certificats clients, la liaison de jeton est autonome et transparente pour l\u2019utilisateur, le gros du travail \u00e9tant effectu\u00e9 par l\u2019infrastructure. \u00c0 terme, nous esp\u00e9rons que tout le monde pourra choisir d\u2019op\u00e9rer \u00e0 un haut niveau d\u2019assurance en mati\u00e8re d\u2019identit\u00e9. Cela dit, au d\u00e9but, nous nous attendons \u00e0 une forte demande de la part du secteur public et du monde de la finance, car ceux-ci seront soumis \u00e0 des exigences r\u00e9glementaires imm\u00e9diates pour pouvoir fournir la preuve de possession. Par exemple, toute personne ayant besoin de la publication sp\u00e9ciale 800-63C du NIST<\/a>, cat\u00e9gorisation AAL3, doit avoir recours \u00e0 ce type de technologie.<\/p>\n Le chemin est encore long avant l\u2019adoption de la liaison de jeton. Nous l\u2019avons entam\u00e9 il y a trois ans, et bien que l\u2019approbation des sp\u00e9cifications soit une \u00e9tape importante, en tant qu\u2019\u00e9cosyst\u00e8me, nous avons encore beaucoup \u00e0 faire. Et cette sp\u00e9cification doit s\u2019adapter \u00e0 tous les fournisseurs et \u00e0 toutes les plateformes pour \u00eatre un succ\u00e8s. Au cours des prochains mois, nous allons commencer \u00e0 pr\u00e9senter les avantages et les bonnes pratiques qui, en mati\u00e8re de s\u00e9curit\u00e9, d\u00e9coulent de notre adoption de cette fonctionnalit\u00e9. Nous esp\u00e9rons que vous vous joindrez \u00e0 nous pour d\u00e9fendre cette technologie partout o\u00f9 vous en aurez besoin.<\/p>\n Cordialement,<\/p>\n \u2014 Pam<\/p>\n","protected":false},"excerpt":{"rendered":" Bonjour les amis, Ces derniers mois ont \u00e9t\u00e9 particuli\u00e8rement int\u00e9ressants dans le monde des normes relatives \u00e0 l\u2019identit\u00e9 et \u00e0 la s\u00e9curit\u00e9. Gr\u00e2ce aux efforts d\u2019un large \u00e9ventail d\u2019experts du secteur, nous sommes parvenus \u00e0 finaliser un vaste ensemble de normes qui vont am\u00e9liorer la s\u00e9curit\u00e9 et l\u2019exp\u00e9rience utilisateur de toute une g\u00e9n\u00e9ration d\u2019appareils et<\/p>\n","protected":false},"author":0,"featured_media":1089,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"ep_exclude_from_search":false,"_classifai_error":"","footnotes":""},"content-type":[149],"product":[161,151],"audience":[196],"tags":[222],"coauthors":[],"class_list":["post-1088","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","content-type-news","product-enterprise-mobility-security","product-microsoft-365","audience-enterprise","tag-azure"],"yoast_head":"\n\n