Actualités informatique | Provectio

Exchange Online : désactivation prochaine de Basic Authentification

Rédigé par Safaa - Rédactrice | Jun 22, 2022 4:00:00 AM

Microsoft a annoncé aux utilisateurs d'Office 365 qu'à partir du 1er octobre 2022, l'authentification de base sera désactivée mondialement, et ce au niveau de tenants sélectionnés au hasard. 

 

Selon l'équipe Microsoft Exchange, l'authentification de base est à l'origine de nombreuses compromissions de comptes d'utilisateurs, et de telles attaques ne font qu’augmenter.  

 

De son côté, Microsoft a tenu à préciser que : "Nous avons désactivé les méthodes d'authentification de base chez des millions de locataires qui ne l'utilisent pas, et nous désactivons actuellement les protocoles inutilisés chez les locataires qui l'utilisent encore. Tant que la méthode Basich Auth sera activée sur votre tenant, vous risquez de plus en plus d’être attaqué". 

 

La société basée à Redmond avait déjà évoqué cette échéance d'octobre 2022 pour septembre 2021, Microsoft évoquait donc depuis un certain temps le sujet de la désactivation de cette méthode d'authentification. 

La date de désactivation enfin fixée  

Microsoft a annoncé son intention de supprimer la prise en charge de l'authentification de base au second semestre 2021. Cependant, la première date a été repoussée suite à la pandémie du Covid-19, poussant Microsoft à modifier son calendrier. L'éditeur a alors annoncé en février 2021 qu'il s'agirait d'un « moratoire » pour permettre aux administrateurs système pendant la pandémie de travailler plus facilement. Pourtant, il a commencé à supprimer la prise en charge de certains clients qui n'utilisaient pas la fonctionnalité en juin. 

 

L’objectif principal de Microsoft à long terme est de désactiver l'authentification de base pour tous les utilisateurs d'Exchange Online. Et à partir d'octobre 2022, l'authentification de base ne sera plus d’actualité durant la connexion à Exchange Online.

Les utilisateurs devront passer à l'authentification moderne, une autre fonctionnalité prenant en charge des méthodes d'authentification plus avancées : l'authentification multi-facteurs, les cartes à puce ou l’authentification dépendant du certificat ou des fournisseurs d’identité tiers. 

 

Contraintes de sécurité et d’authentification  

Dans le monde de Microsoft O365, l'authentification « Legacy » désigne tous les protocoles applicatifs reposant sur "l'authentification de base", une méthode d'authentification simple basée sur un identifiant et un mot de passe.  

 

L'authentification de base à l'aide de ces protocoles vous permet de contourner l'authentification MFA (Multi-Factor Authentication) activée. C'est pourquoi Microsoft désire mettre fin à ces utilisations, pour des raisons de sécurité évidentes : Les méthodes d'authentification basiques ne sont pas assez sécurisées et sont vulnérables à diverses attaques, particulièrement celles de type « man-in-the-middle », incitant Microsoft à prendre cette décision pour pousser ses clients à utiliser des méthodes d'authentification plus sûres. 

 

Techniquement, il existe plusieurs raisons pour lesquelles l'authentification de base n'est pas une méthode d'authentification suffisamment sécurisée. Chaque demande de connexion à une application ou à un site Web, même en utilisant des méthodes sécurisées telles que HTTPS, met l'entreprise en danger en transmettant des noms d'utilisateur et des mots de passe, ce qui peut conduire à la divulgation d'informations et à l'identification de l'utilisateur.

Enfin, l'authentification de base n'a pas reçu de modifications ou de mises à jour importantes des produits qui en dépendent pour l'authentification, tels que Microsoft Identity Platform. 

 

Pour l'authentification moderne, les clients disposent de plusieurs alternatives d'authentification qui ne reposent pas sur des échanges de nom d'utilisateur et de mot de passe de base. Ces méthodes de fédération et d'autres prennent en charge une alternative plus sécurisée comparée à celle de l'authentification de base, qui repose sur des revendications basées sur des jetons facilitant l’accès aux ressources et services Internet. 

Une désactivation progressive 

L'authentification Basic sera supprimée sur Office et Microsoft 365 afin qu'elle puisse être effectuée progressivement. D'ici fin 2022, Microsoft souhaite que toutes les licences soient traitées. 

 

Dès que la méthode d'authentification de base sera désactivée, elle sera appliquée à différents services : Exchange Web Services (EWS), Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, MAPI, RPC, SMTP AUTH et OAB. Pour Outlook, vous devez au moins utiliser la version 2013 Service Pack 1 pour continuer à vous connecter à Microsoft 365. 

 

Voici quelques-uns des principaux protocoles concernée et liés à l’authentification « Legacy » :  

  • Exchange ActiveSync 
  • Exchange Web Services  
  • Exchange Online Powershell  
  • Offline Address Book  
  • Outlook Anywhere  
  • Reporting Web Services 

 

La plupart de ces protocoles ont connu un grand développement avec l'ajout d'une méthode d'authentification moderne, mais la migration n'est pas infailliblement automatique.  

Les étapes à suivre pour une migration réussie  

Afin de profiter des fonctionnalités d'authentification modernes ajoutées, vous devez également utiliser un client compatible avec ce mode d'authentification. Selon vos utilisations, la migration peut être un véritable projet avec un fort impact sur les utilisateurs. 

En prenant le protocole Exchange ActiveSync comme exemple, l'authentification moderne est déjà disponible : 

  • Si vous respectez les recommandations de Microsoft et que vous utilisez uniquement Outlook mobile pour iOS et Android : vous êtes déjà dans l'authentification moderne et vous n'avez rien à faire de votre côté. 
  • Si vous utilisez d'autres clients de messagerie pour iOS et Android : ils ne sont pas nécessairement compatibles avec l'authentification moderne, ce qui nécessitera une migration vers des clients compatibles. 

Par conséquent, il est important de vérifier que l'authentification moderne est activée par défaut dans votre organisation Exchange Online et que vos clients et applications de messagerie la prennent en charge. Vérifiez également que votre client de bureau Outlook exécute la mise à jour cumulative minimale requise. 

 

Pour bloquer l'authentification de base dans Exchange Online, assurez-vous de suivre quelques petites étapes :  

  • Créer une stratégie d'authentification
  • Attribuer les politiques d'authentification aux utilisateurs 
  • Respecter une période d'attente de 24 heures pour que les politiques soient appliquées aux utilisateurs 

Une préparation bien programmée doit être de mise 

À l'approche de la date d'expiration de l'authentification de base, les entreprises n'ont d'autre choix que de s’adapter à changement. 

 

Les organisations disposant de produits Office obsolètes peuvent être les premières à découvrir qu'elles ne peuvent plus conserver ces anciennes versions. De leur côté, celles qui cherchent à améliorer leur posture de sécurité constateront que le passage à l'authentification moderne améliore leur capacité à atténuer certaines vulnérabilités de sécurité.  

 

Il est maintenant grand temps de préparer la transition pour éviter d’éventuels incidents relatifs à la messagerie et autres services Office 365. 

 

Vous souhaitez être accompagné sur le sujet ? Nous restons à votre disposition via notre formulaire de contact afin de répondre à toutes vos interrogations.  

 

 

Sources :  

https://www.it-connect.fr/exchange-online-la-methode-basic-auth-sera-desactivee-a-partir-doctobre/ 

https://winbuzzer.com/2022/05/05/microsoft-disabling-basic-auth-in-exchange-online-in-october-xcxwbn/