JWT

Source : Imperva (blog) — Dans une analyse dédiée à la sécurité des API, Imperva publie des constats et correctifs concrets sur les risques d’authentification, avec un focus sur l’usage des JWT (JSON Web Token) et les mauvaises configurations courantes. • Constat principal : 46% des vulnérabilités d’authentification proviennent de JWT contenant des données sensibles (PII, informations financières, IDs gouvernementaux) exposées via un simple encodage base64 plutôt que chiffrées. D’autres risques majeurs incluent les tokens longue durée (21%) et les algorithmes de signature faibles (19%). ...

Source: Lares (blog) — Dans une étude de cas de test d’intrusion en Identity & Access Management, des chercheurs montrent comment une architecture de connexion faible et l’absence de MFA ont permis un accès non autorisé à des systèmes internes et à des données sensibles. Les testeurs ont exploité un portail MDM externe qui validait les identifiants directement contre l’Active Directory interne, sans multi‑facteur. Après une authentification réussie via Microsoft Online Services, l’utilisateur était redirigé vers des systèmes CRM internes. ...