Chaîne de dépendances Rustls exposée : trois failles de sécurité critiques dans openidconnect 3.5 nécessitent une migration urgente

Trois avis de sécurité RUSTSEC actifs menacent la chaîne de dépendances du projet kalidoku-server, exposant une surface d'attaque liée aux certificats TLS. Les vulnérabilités RUSTSEC-2026-0098 et RUSTSEC-2026-0099 affectent rustls-webpki 0.101.7, avec des défauts critiques dans la validation des contraintes de noms URI et l'acceptation incorrecte de certificats wildcard. Une troisième alerte, RUSTSEC-2025-0134, signale que rustls-pemfile 1.0.4 n'est plus maintenu, laissant le composant sans correctifs futurs.

La chaîne de dépendance remonte profondément dans l'écosystème Rust : rustls-webpki 0.101.7 alimente rustls 0.21.12, lui-même utilisé par reqwest 0.11.27, puis oauth2 4.4.2, jusqu'à openidconnect 3.5.0 qui alimente directement kalidoku-server. Cette cascade verrouille le projet sur une version obsolète de rustls, empêchant toute mise à jour de sécurité sans rupture de compatibilité en amont. Un contournement temporaire a été introduit dans deny.toml via la PR #39 pour éviter le blocage de la chaîne CI, mais cette solution ne résout pas l'exposition sous-jacente.

La migration vers openidconnect 4.x devient nécessaire pour débloquer rustls 0.23 et éliminer les advisories. Cette mise à niveau majeure exigera une adaptation des modules server/src/auth/oidc.rs et server/src/auth/jwks.rs aux nouvelles APIs. En l'état, le risque est jugé acceptable temporairement car kalidoku ne valide que des id_tokens signés, limitant la surface d'attaque effective. Toutefois, le maintien prolongé de cette configuration expose le projet à des failles connues et documentées, avec un potentiel d'exploitation si d'autres vecteurs d'attaque émergent.