Description
Bonjour, Je me permets de vous signaler un problème de sécurité identifié dans l’implémentation du flux OIDC du client CLI (ckms). En consultant la documentation officielle (et notamment cette page sur GitHub), j’ai constaté que le client ckms nécessite un client_secret stocké localement, ce qui est une violation des bonnes pratiques OIDC. Le CLI étant un client public, il ne peut pas sécuriser ce secret. De plus, il n’y a pas de mécanisme PKCE mis en place pour protéger l’échange du code d’authentification, ce qui augmente les risques de vol de jeton. Ce fonctionnement expose potentiellement les utilisateurs à des risques d’usurpation du client, d’accès non autorisé, ou de fuite de tokens. Je vous recommande vivement de revoir cette implémentation et de passer à un flux Authorization Code avec PKCE, sans client_secret, comme recommandé par la spécification OIDC. Je reste à votre disposition si vous souhaitez plus de détails techniques, et je vous remercie pour l’attention portée à ce signalement. Bien cordialement, Guillaume Delbergue