Microsoft a annoncé aux utilisateurs d'Office 365 qu'à partir du 1er octobre 2022, l'authentification de base sera désactivée mondialement, et ce au niveau de tenants sélectionnés au hasard.
Selon l'équipe Microsoft Exchange, l'authentification de base est à l'origine de nombreuses compromissions de comptes d'utilisateurs, et de telles attaques ne font qu’augmenter.
De son côté, Microsoft a tenu à préciser que : "Nous avons désactivé les méthodes d'authentification de base chez des millions de locataires qui ne l'utilisent pas, et nous désactivons actuellement les protocoles inutilisés chez les locataires qui l'utilisent encore. Tant que la méthode Basich Auth sera activée sur votre tenant, vous risquez de plus en plus d’être attaqué".
La société basée à Redmond avait déjà évoqué cette échéance d'octobre 2022 pour septembre 2021, Microsoft évoquait donc depuis un certain temps le sujet de la désactivation de cette méthode d'authentification.
Microsoft a annoncé son intention de supprimer la prise en charge de l'authentification de base au second semestre 2021. Cependant, la première date a été repoussée suite à la pandémie du Covid-19, poussant Microsoft à modifier son calendrier. L'éditeur a alors annoncé en février 2021 qu'il s'agirait d'un « moratoire » pour permettre aux administrateurs système pendant la pandémie de travailler plus facilement. Pourtant, il a commencé à supprimer la prise en charge de certains clients qui n'utilisaient pas la fonctionnalité en juin.
L’objectif principal de Microsoft à long terme est de désactiver l'authentification de base pour tous les utilisateurs d'Exchange Online. Et à partir d'octobre 2022, l'authentification de base ne sera plus d’actualité durant la connexion à Exchange Online.
Les utilisateurs devront passer à l'authentification moderne, une autre fonctionnalité prenant en charge des méthodes d'authentification plus avancées : l'authentification multi-facteurs, les cartes à puce ou l’authentification dépendant du certificat ou des fournisseurs d’identité tiers.
Dans le monde de Microsoft O365, l'authentification « Legacy » désigne tous les protocoles applicatifs reposant sur "l'authentification de base", une méthode d'authentification simple basée sur un identifiant et un mot de passe.
L'authentification de base à l'aide de ces protocoles vous permet de contourner l'authentification MFA (Multi-Factor Authentication) activée. C'est pourquoi Microsoft désire mettre fin à ces utilisations, pour des raisons de sécurité évidentes : Les méthodes d'authentification basiques ne sont pas assez sécurisées et sont vulnérables à diverses attaques, particulièrement celles de type « man-in-the-middle », incitant Microsoft à prendre cette décision pour pousser ses clients à utiliser des méthodes d'authentification plus sûres.
Techniquement, il existe plusieurs raisons pour lesquelles l'authentification de base n'est pas une méthode d'authentification suffisamment sécurisée. Chaque demande de connexion à une application ou à un site Web, même en utilisant des méthodes sécurisées telles que HTTPS, met l'entreprise en danger en transmettant des noms d'utilisateur et des mots de passe, ce qui peut conduire à la divulgation d'informations et à l'identification de l'utilisateur.
Enfin, l'authentification de base n'a pas reçu de modifications ou de mises à jour importantes des produits qui en dépendent pour l'authentification, tels que Microsoft Identity Platform.
Pour l'authentification moderne, les clients disposent de plusieurs alternatives d'authentification qui ne reposent pas sur des échanges de nom d'utilisateur et de mot de passe de base. Ces méthodes de fédération et d'autres prennent en charge une alternative plus sécurisée comparée à celle de l'authentification de base, qui repose sur des revendications basées sur des jetons facilitant l’accès aux ressources et services Internet.
L'authentification Basic sera supprimée sur Office et Microsoft 365 afin qu'elle puisse être effectuée progressivement. D'ici fin 2022, Microsoft souhaite que toutes les licences soient traitées.
Dès que la méthode d'authentification de base sera désactivée, elle sera appliquée à différents services : Exchange Web Services (EWS), Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, MAPI, RPC, SMTP AUTH et OAB. Pour Outlook, vous devez au moins utiliser la version 2013 Service Pack 1 pour continuer à vous connecter à Microsoft 365.
Voici quelques-uns des principaux protocoles concernée et liés à l’authentification « Legacy » :
La plupart de ces protocoles ont connu un grand développement avec l'ajout d'une méthode d'authentification moderne, mais la migration n'est pas infailliblement automatique.
Afin de profiter des fonctionnalités d'authentification modernes ajoutées, vous devez également utiliser un client compatible avec ce mode d'authentification. Selon vos utilisations, la migration peut être un véritable projet avec un fort impact sur les utilisateurs.
En prenant le protocole Exchange ActiveSync comme exemple, l'authentification moderne est déjà disponible :
Par conséquent, il est important de vérifier que l'authentification moderne est activée par défaut dans votre organisation Exchange Online et que vos clients et applications de messagerie la prennent en charge. Vérifiez également que votre client de bureau Outlook exécute la mise à jour cumulative minimale requise.
Pour bloquer l'authentification de base dans Exchange Online, assurez-vous de suivre quelques petites étapes :
À l'approche de la date d'expiration de l'authentification de base, les entreprises n'ont d'autre choix que de s’adapter à changement.
Les organisations disposant de produits Office obsolètes peuvent être les premières à découvrir qu'elles ne peuvent plus conserver ces anciennes versions. De leur côté, celles qui cherchent à améliorer leur posture de sécurité constateront que le passage à l'authentification moderne améliore leur capacité à atténuer certaines vulnérabilités de sécurité.
Il est maintenant grand temps de préparer la transition pour éviter d’éventuels incidents relatifs à la messagerie et autres services Office 365.
Vous souhaitez être accompagné sur le sujet ? Nous restons à votre disposition via notre formulaire de contact afin de répondre à toutes vos interrogations.
https://www.it-connect.fr/exchange-online-la-methode-basic-auth-sera-desactivee-a-partir-doctobre/
Article rédigé par Safaa - Rédactrice
"Toutes les grandes personnes ont d’abord été des enfants, mais peu d’entre elles s’en souviennent."Antoine de Saint-Exupéry
Vous acceptez que Provectio vous communique de nouveaux contenus et services.
Pour plus d'informations, consultez notre politique de confidentialité.
Suivez-nous
Mentions légales Politique de confidentialité Documents Juridiques
©2020 Provectio