L’authentification de base signifie qu’une application envoie un nom d’utilisateur et un mot de passe à chaque demande (souvent stockée ou enregistrée sur l’appareil) pour se connecter aux serveurs, services et terminaux. Utilisée depuis de nombreuses années, elle est activée par défaut sur la plupart des serveurs et services et reste très simple à configurer.

La simplicité n’est pas mauvaise en soi, mais l’authentification basique permet aux attaquants, armés des outils et méthodes d’aujourd’hui, de capturer plus facilement les informations d’identification des utilisateurs (en particulier si elles ne sont pas protégées par TLS), ce qui augmente le risque de réutilisation de ces informations sur d’autres points finaux ou services. De plus, l’authentification multifactorielle (MFA) n’est pas simple à activer lorsque vous utilisez l’authentification de base, et est, de ce fait, trop souvent inutilisée.

Il existe aujourd’hui des alternatives plus efficaces pour authentifier les utilisateurs, telles que des stratégies de sécurité (par exemple Zero Trust (i.e. Trust but Verify)) ou d’appliquer des politiques d’évaluation en temps réel, lorsque les utilisateurs et les périphériques accèdent aux informations d’entreprise. Cela permet de prendre des décisions intelligentes sur QUI essaie d’accéder à QUOI et OU, et sur quel périphérique, plutôt que de simplement faire confiance à un identifiant d’authentification qui pourrait être un Bad Actor se faisant passer pour un utilisateur.

Compte tenu de ces menaces et de ces risques, des mesures ont été prises pour améliorer la sécurité des données dans Exchange Online.

Ce qui changera

Microsoft désactivera simultanément, le 13 octobre 2020, l’authentification de base (Basic Auth.) pour les services Web,  l’authentification de base dans Exchange Online pour Exchange ActiveSync (EAS), POP, IMAP et Remote PowerShell.

L’authentification moderne (Modern Auth.), basée sur les jetons d’accès OAuth 2.0, présente de nombreux avantages et améliorations qui aident à atténuer les problèmes présents dans l’authentification de base. Par exemple, ces jetons ont une durée de vie limitée et sont spécifiques aux applications et aux ressources pour lesquelles ils ont été émis, de sorte qu’ils ne peuvent être réutilisés. L’activation et l’application de l’AMF est également très simple avec Modern Auth.

A noter que ce changement n’affectera ni SMTP AUTH (il y a un trop grand nombre de périphériques et d’appliances qui utilisent SMTP pour envoyer du courrier), ni Outlook pour Windows ou Mac, en supposant qu’ils sont déjà configurés et utilisent Modern Auth .

D’autre part, ce changement n’affectera que Exchange Online. Exchange Server on-premise ne sera pas impacté, même s’il serait souhaitable de désactiver Basic Auth.

Comment cela vous affecte-t-il ?

Désactiver l’authentification de base et exiger une authentification moderne avec MFA est l’une des meilleures choses que vous pouvez faire pour améliorer la sécurité des données de votre tenant.

Ce changement pourrait affecter certains de vos utilisateurs ou applications, et risque de créer certaines perturbations. C’est pourquoi nous vous fournissons des informations supplémentaires pour vous aider à identifier et à décider d’un plan d’action.

PowerShell à distance

Quel impact sur l’administration de votre tenant ? Vous utilisez probablement Remote PowerShell (RPS) pour accéder à Exchange Online, de préférence avec le module MFA. Même si Microsoft fait d’important investissements dans les SRP pour améliorer le fonctionnement du module d’AMF, il vous faudra probablement passer à l’utilisation de PowerShell within Azure Cloud Shell.

Trouver les utilisateurs impactés

Évaluer l’impact sur les clients, comment savoir qui utilise l’authentification de base sur mon tenant ? Microsoft devrait bientôt mettre à disposition un nouvel outil pour vous aider à répondre facilement à cette question.

POP et IMAP

Microsoft prévoie d’ajouter le support OAuth à POP et IMAP dans les prochains mois. Si vous souhaitez continuer à utiliser ces protocoles, vous devrez mettre à jour l’application vers une application qui supporte Modern Auth. Ou mieux encore – amener l’utilisateur à utiliser un client plus moderne (l’application Outlook pour iOS et Android supporte des boîtes aux lettres partagées), ou pour inciter le développeur de l’application à utiliser OAuth.

Exchange ActiveSync

La principale application utilise probablement Exchange ActiveSync. Il y a beaucoup d’utilisateurs avec des appareils mobiles configurés avec EAS et beaucoup d’entre eux utilisent Basic Auth.

Il existe plusieurs applications de messagerie électronique pour les appareils mobiles qui prennent en charge l’authentification moderne. Chez Microsoft, Outlook mobile intègre entièrement Microsoft Enterprise Mobility + Security (EMS), permettant un accès conditionnel et des capacités de protection des applications (MAM). Outlook mobile vous aide à sécuriser vos utilisateurs et vos données d’entreprise et prend en charge nativement l’authentification moderne.

Pour les utilisateurs qui ne veulent pas d’application, ou qui ont un appareil pour lequel il n’y a pas d’application, ils peuvent passer par le navigateur Web sur leur appareil mobile. Outlook sur le Web est utilisé par des millions d’utilisateurs chaque mois.

 

Ylneo est là pour vous aider, n’hésitez pas à nous contacter.

Source : https://techcommunity.microsoft.com/t5/Exchange-Team-Blog/Improving-Security-Together/ba-p/805892