Microsoft a averti aujourd’hui ses clients qu’il commencera à désactiver l’authentification de base chez des locataires aléatoires dans le monde entier le 1er octobre 2022.
Ce rappel intervient après l’annonce de l’entreprise en septembre et après avoir constaté que de nombreux clients n’ont pas encore déplacé leurs clients et leurs applications vers l’authentification moderne.
L’authentification de base (alias authentification proxy) est un schéma d’authentification basé sur HTTP utilisé par les applications pour envoyer des informations d’identification stockées localement en texte brut aux serveurs, aux points de terminaison ou aux services en ligne. Cela permet aux attaquants de voler des identifiants en texte clair en interceptant les données envoyées via des connexions non-TLS non sécurisées.
L’authentification moderne (bibliothèque d’authentification Active Directory et authentification basée sur des jetons OAuth 2.0) utilise des jetons d’accès OAuth avec une durée de vie limitée qui ne peuvent pas être réutilisés pour s’authentifier sur d’autres ressources que celles pour lesquelles ils ont été émis.
Pour aggraver les choses, l’activation de l’authentification multifacteur (MFA) est assez compliquée lors de l’utilisation de l’authentification de base, et elle n’est souvent pas utilisée du tout.
Après avoir basculé sur l’authentification moderne, l’activation et l’application de la MFA deviennent beaucoup moins compliquées, ce qui permet une meilleure sécurité dans Exchange Online comme résultat direct et immédiat.
« Pour rappel, l’authentification de base est toujours l’un des moyens les plus courants, sinon le plus courant, pour nos clients d’être compromis, et ces types d’attaques augmentent », a déclaré l’équipe Exchange.
« Nous avons désactivé l’authentification de base dans des millions de locataires qui ne l’utilisaient pas, et nous désactivons actuellement les protocoles inutilisés chez les locataires qui l’utilisent encore, mais chaque jour, votre locataire a activé l’authentification de base, vous êtes exposé à un risque d’attaque. «
Microsoft désactivera l’authentification de base pour les protocoles MAPI, RPC, Carnet d’adresses hors ligne (OAB), Exchange Web Services (EWS), POP, IMAP et Remote PowerShell.
SMTP AUTH a déjà été désactivé sur des millions de locataires qui ne l’utilisaient pas et Microsoft ne le désactivera pas là où il est encore utilisé.
Pour être clair, nous commencerons le 1er octobre; ce n’est pas la date à laquelle nous l’éteignons pour tout le monde. Nous sélectionnerons au hasard des locataires, enverrons des messages d’avertissement de 7 jours dans le centre de messagerie (et publierons des avis sur le tableau de bord d’état du service), puis nous désactiverons l’authentification de base dans le locataire. Nous prévoyons de terminer cela d’ici la fin de cette année. Vous devriez donc être prêt pour le 1er octobre. – L’équipe Exchange
Pourquoi Microsoft déprécie-t-il l’authentification de base ?
Il existe de nombreuses raisons pour lesquelles le passage de Redmond à l’authentification moderne Exchange Online dans tous les locataires est la bonne, certaines d’entre elles étant déjà détaillées ci-dessus.
Cependant, un rapport Guardicore de septembre 2021 souligne davantage l’importance d’éloigner autant d’utilisateurs d’Exchange Online de l’authentification de base.
Amit Serper, à l’époque AVP of Security Research de Guardicore, a montré comment des centaines de milliers d’informations d’identification de domaine Windows ont été divulguées en texte brut vers des domaines externes par des clients de messagerie mal configurés utilisant l’authentification de base.
Pour désactiver Exchange Online Basic Auth avant que Microsoft ne le désaffecte complètement, vous devez créer et attribuer des stratégies d’authentification à des utilisateurs individuels à l’aide de la procédure détaillée sur le Site Web d’assistance Exchange Online.
« Il n’y a aucun moyen de demander une exception après octobre. La sélection des locataires est aléatoire et nous ne pouvons pas mettre votre locataire en fin de file d’attente pour vous donner plus de temps ou modifier vos paramètres à une date précise », l’équipe Exchange averti.
« Si vous souhaitez que l’authentification de base soit désactivée au moment de votre choix (soit maintenant, soit dès que vous êtes prêt), utilisez les politiques d’authentification. »
Vous pouvez trouver plus d’informations sur la façon de se préparer à la dépréciation de l’authentification de base d’octobre et sur la meilleure façon de désactiver l’authentification de base au préalable. dans le billet de blog publié aujourd’hui par The Exchange Team.