Well-Known URIs

Le standard .well-known, dĂ©fini dans la RFC 8615, dĂ©signe un rĂ©pertoire standardisĂ© Ă  la racine d’un domaine web. Accessible via l’URL /.well-known/, ce rĂ©pertoire centralise les mĂ©tadonnĂ©es critiques d’un site web, comme les fichiers de configuration et les informations relatives Ă  ses services, protocoles ou politiques de sĂ©curitĂ©.

🔎 En centralisant ces donnĂ©es Ă  un emplacement unique et standardisĂ©, .well-known simplifie l'accĂšs pour les navigateurs, applications et outils de sĂ©curitĂ©. Par exemple, pour accĂ©der Ă  la politique de sĂ©curitĂ© d’un site, on interrogera :

https://example.com/.well-known/security.txt

📘 Exemples de URIs .well-known

URI Suffix
Description
Statut
Référence

security.txt

Contact pour signaler des vulnérabilités.

Permanent

RFC 9116

/change-password

URL standardisée pour la modification de mot de passe.

Provisoire

Lien W3C

openid-configuration

Métadonnées OpenID Connect pour l'authentification.

Permanent

OpenID Spec

assetlinks.json

Vérifie la propriété de ressources numériques (ex: applis).

Permanent

Spécification Google

mta-sts.txt

Politique SMTP MTA-STS pour sécuriser les emails.

Permanent

RFC 8461

🔧 Ce tableau ne reprĂ©sente qu’un petit aperçu des URIs .well-known recensĂ©s par l’IANA. Chacun est dĂ©fini par des spĂ©cifications assurant une implĂ©mentation cohĂ©rente sur le web.

🧭 Web Reconnaissance & .well-known

Les URIs .well-known sont particuliĂšrement utiles pour la reconnaissance web. En effet, ils permettent de dĂ©couvrir rapidement des points d’accĂšs et des informations de configuration pouvant ĂȘtre exploitĂ©s lors d’un test d’intrusion.

📌 Exemple : openid-configuration

Cette URI fait partie du protocole OpenID Connect Discovery (surcouche d’authentification du protocole OAuth 2.0). Elle permet Ă  une application cliente d’obtenir la configuration du fournisseur d’identitĂ© via :

https://example.com/.well-known/openid-configuration

Cela retourne un document JSON contenant des métadonnées essentielles :

{
  "issuer": "https://example.com",
  "authorization_endpoint": "https://example.com/oauth2/authorize",
  "token_endpoint": "https://example.com/oauth2/token",
  "userinfo_endpoint": "https://example.com/oauth2/userinfo",
  "jwks_uri": "https://example.com/oauth2/jwks",
  "response_types_supported": ["code", "token", "id_token"],
  "subject_types_supported": ["public"],
  "id_token_signing_alg_values_supported": ["RS256"],
  "scopes_supported": ["openid", "profile", "email"]
}

🧠 Informations ClĂ©s Ă  Explorer

  • 🔐 Authorization Endpoint : point d’entrĂ©e pour les requĂȘtes d’authentification utilisateur

  • 🔑 Token Endpoint : point de distribution des jetons d'accĂšs (tokens)

  • 🙍 Userinfo Endpoint : rĂ©cupĂ©ration d’infos sur l’utilisateur authentifiĂ©

  • 🔐 JWKS URI : liste des clĂ©s publiques utilisĂ©es pour signer les jetons

  • 📋 Scopes & Response Types : permet d’identifier les fonctionnalitĂ©s prises en charge

  • 🔐 Algorithmes : info sur les algorithmes cryptographiques supportĂ©s

đŸ› ïž Conseil

Explorer le registre IANA et tester les URIs .well-known sur vos cibles peut rĂ©vĂ©ler des trĂ©sors d’informations pour une cartographie prĂ©cise de l’infrastructure. Ces points d’entrĂ©e standardisĂ©s facilitent l’accĂšs Ă  des donnĂ©es sensibles souvent oubliĂ©es ou mal protĂ©gĂ©es.

✅ À retenir : .well-known n’est pas seulement un dĂ©tail technique — c’est un point d’entrĂ©e stratĂ©gique en recon web.

Précédentrobots.txtSuivantCreepy Crawlies

Mis Ă  jour