Well-Known URIs-FR

Le standard .well-known, défini dans la RFC 8615, désigne un répertoire standardisé à la racine d’un domaine web. Accessible via l’URL /.well-known/, ce répertoire centralise les métadonnées critiques d’un site web, comme les fichiers de configuration et les informations relatives à ses services, protocoles ou politiques de sécurité.

🔎 En centralisant ces données à un emplacement unique et standardisé, .well-known simplifie l'accès pour les navigateurs, applications et outils de sécurité. Par exemple, pour accéder à la politique de sécurité d’un site, on interrogera :

https://example.com/.well-known/security.txt

---

📘 Exemples de URIs .well-known

URI Suffix	Description	Statut	Référence
security.txt	Contact pour signaler des vulnérabilités.	Permanent	RFC 9116
/change-password	URL standardisée pour la modification de mot de passe.	Provisoire	Lien W3C
openid-configuration	Métadonnées OpenID Connect pour l'authentification.	Permanent	OpenID Spec
assetlinks.json	Vérifie la propriété de ressources numériques (ex: applis).	Permanent	Spécification Google
mta-sts.txt	Politique SMTP MTA-STS pour sécuriser les emails.	Permanent	RFC 8461

🔧 Ce tableau ne représente qu’un petit aperçu des URIs .well-known recensés par l’IANA. Chacun est défini par des spécifications assurant une implémentation cohérente sur le web.

---

🧭 Web Reconnaissance & .well-known

Les URIs .well-known sont particulièrement utiles pour la reconnaissance web. En effet, ils permettent de découvrir rapidement des points d’accès et des informations de configuration pouvant être exploités lors d’un test d’intrusion.

📌 Exemple : openid-configuration

Cette URI fait partie du protocole OpenID Connect Discovery (surcouche d’authentification du protocole OAuth 2.0). Elle permet à une application cliente d’obtenir la configuration du fournisseur d’identité via :

https://example.com/.well-known/openid-configuration

Cela retourne un document JSON contenant des métadonnées essentielles :

{
  "issuer": "https://example.com",
  "authorization_endpoint": "https://example.com/oauth2/authorize",
  "token_endpoint": "https://example.com/oauth2/token",
  "userinfo_endpoint": "https://example.com/oauth2/userinfo",
  "jwks_uri": "https://example.com/oauth2/jwks",
  "response_types_supported": ["code", "token", "id_token"],
  "subject_types_supported": ["public"],
  "id_token_signing_alg_values_supported": ["RS256"],
  "scopes_supported": ["openid", "profile", "email"]
}

---

🧠 Informations Clés à Explorer

• 🔐 Authorization Endpoint : point d’entrée pour les requêtes d’authentification utilisateur

• 🔑 Token Endpoint : point de distribution des jetons d'accès (tokens)

• 🙍 Userinfo Endpoint : récupération d’infos sur l’utilisateur authentifié

• 🔐 JWKS URI : liste des clés publiques utilisées pour signer les jetons

• 📋 Scopes & Response Types : permet d’identifier les fonctionnalités prises en charge

• 🔐 Algorithmes : info sur les algorithmes cryptographiques supportés

---

🛠️ Conseil

Explorer le registre IANA et tester les URIs .well-known sur vos cibles peut révéler des trésors d’informations pour une cartographie précise de l’infrastructure. Ces points d’entrée standardisés facilitent l’accès à des données sensibles souvent oubliées ou mal protégées.

✅ À retenir : .well-known n’est pas seulement un détail technique — c’est un point d’entrée stratégique en recon web.

---