Vous êtes ici :
API (Activer les paramètres OAuth) : Désactiver le contrôle de flux Identifiants client
Ce contrôle implique la désactivation des flux non sécurisés « Identifiants client » au profit de méthodes d'authentification basées sur un certificat à assurance élevée telles que le flux JWT Bearer ou les applications clientes externes (ECA).
Nom du contrôle
Applications connectées : API (Activer les paramètres OAuth) : Désactiver le flux Identifiants client
Configuration recommandée
Désactivez le flux Identifiants client.
Vue d'ensemble du contrôle
Ce contrôle implique la désactivation des flux non sécurisés « Identifiants client » au profit de méthodes d'authentification basées sur un certificat à assurance élevée telles que le flux JWT Bearer ou les applications clientes externes (ECA).
Risque de sécurité s'il n'est pas configuré
Ces flux s'appuient souvent sur un ID de client et un Secret client statiques (et parfois des mots de passe utilisateur) qui agissent comme des « secrets partagés », qui sont facilement compromis s'ils sont codés en dur dans des scripts ou exposés dans des fichiers de configuration.
Scénarios de menace
Un assaillant découvre un Secret client codé en dur dans un référentiel public GitHub ou une documentation interne, et l'utilise pour s'authentifier par programmation en tant que compte de service à privilèges élevés, obtenant ainsi un accès API complet à l'organisation.
Plage de score CVSS estimée
Critique (9,0 à 10,0).
Considérations relatives à l'impact sur le risque
L'utilisation d'identifiants non sécurisés entraîne une prise de contrôle de compte persistante et non interactive, permettant à un adversaire d'exfiltrer des quantités massives de données ou de modifier la configuration du système sans déclencher les défis traditionnels de la MFA.
Risque plus élevé quand
Si le flux Identifiants client est associé à un utilisateur attribué au profil « Administrateur système » ou à un profil disposant des autorisations « Modifier toutes les données ».
Risque faible quand
Si l'entreprise a implémenté des Plages IP de connexion strictes pour l'utilisateur de l'intégration et utilise la Surveillance des requêtes d'API en temps réel afin de détecter un trafic élevé anormal.
Considérations relatives à l'entreprise et à l'intégration
La désactivation de ces flux nécessite de migrer les middlewares existants (par exemple, MuleSoft, Boomi ou des scripts Python personnalisés) pour utiliser des flux JWT basés sur un certificat, ce qui implique de gérer les certificats X.509 et de mettre à jour la logique côté client.
Remédiation recommandée
Accédez aux Paramètres OAuth de l'application connectée, désélectionnez la case « Activer le flux Identifiants client », puis effectuez la transition vers l'intégration pour utiliser le flux Porteur JWT avec un certificat numérique.
Guide d'examen sanitaire de sécurité
Security Health Review identifie le retrait des flux d'identifiants hérités, basés sur un mot de passe, comme une étape critique dans la modernisation de la sécurité de l'identité et la transition vers une architecture Zero Trust pour toutes les intégrations système à système.
