Vous êtes ici :
Sécurité : Clé de vérification requise pour l'échange de code (PKCE)
Ce paramètre de sécurité nécessite une poignée de main cryptographique dans tous les OAuth 2 compatibles.
Nom du contrôle
Applications clientes externes : Sécurité : Clé de vérification requise pour l'échange de code (PKCE)
Configuration recommandée
Demander l'extension Clé de vérification pour l'échange de code (PKCE) pour les flux d'autorisation pris en charge.
Vue d'ensemble du contrôle
Ce paramètre de sécurité impose une poignée de main cryptographique dans tous les types d'octroi OAuth 2.0 compatibles, dans lesquels le client envoie un défi de code haché lors de la requête initiale et un vérificateur de code en texte brut lors de l'échange de jetons pour lier la requête à l'instance cliente spécifique.
Risque de sécurité s'il n'est pas configuré
Sans PKCE appliquée dans tous les flux pris en charge, un code d'autorisation ou un identifiant intermédiaire intercepté peut être échangé avec succès contre un jeton d'accès par un acteur malveillant, car le serveur d'autorisation n'a pas de mécanisme technique pour vérifier l'identité de l'appelant d'origine.
Scénarios de menace
Un assaillant capture un code d'autorisation valide ou un identifiant interceptable à partir d'une connexion réussie (via l'historique du navigateur, les journaux système ou l'interception du schéma d'URI personnalisé) et obtient par programmation un jeton de session valide avant que le client légitime puisse terminer la poignée de main.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
L'incapacité d'appliquer la PKCE dans tous les flux applicables entraîne un piratage de session généralisé et un accès non autorisé aux données, en ciblant en particulier les intégrations dans lesquelles un secret client statique n'est pas utilisé ou a été compromis.
Risque plus élevé quand
Le risque est plus élevé pour les clients publics, tels que les applications mobiles natives et les applications Web à page unique (SPA), car ces plates-formes ne peuvent pas stocker un secret client en toute sécurité et fonctionnent souvent dans des environnements où la redirection du trafic est observable.
Risque faible quand
Le risque est moindre si l'organisation utilise exclusivement des clients confidentiels sur des serveurs back-end sécurisés qui appliquent déjà un secret client obligatoire et fonctionnent dans un périmètre réseau strictement isolé.
Considérations relatives à l'entreprise et à l'intégration
L'activation de cette exigence dans tous les flux pris en charge nécessite que toutes les applications clientes intégrées prennent en charge la méthode de transformation S256 et gèrent des chaînes à entropie élevée uniques pour chaque transaction.
Remédiation recommandée
Accédez aux Paramètres OAuth de l'application cliente externe, puis cochez la case Demander une clé de vérification pour l'échange de code (PKCE) pour tous les flux d'autorisation pris en charge.
Guide d'examen sanitaire de sécurité
Security Health Review identifie PKCE comme une norme architecturale obligatoire pour tous les flux d'identité et d'autorisation modernes. Par conséquent, chaque échange de jetons est lié cryptographiquement à l'instance cliente spécifique afin d'empêcher l'injection et l'interception d'identifiants.
