15/02/2022
Cybersecurity Insights
Sécurité O365 : préparez-vous dès aujourd’hui à la fin de l’authentification basique
Dans l’univers Microsoft O365, l’authentification Legacy fait référence à l’ensemble des protocoles applicatifs qui s’appuient sur la « Basic Authentication », c’est à dire une méthode d’authentification simple, basée sur un login et un mot de passe. Cette méthode est à opposer au « Modern Authentication », basée sur les tokens OAuth 2.0 et compatible avec les mécanismes d’authentification multi-facteurs (MFA).
L’usage de l’authentification basique avec ces protocoles permet de contourner le MFA si vous l’avez activé. C’est pourquoi, Microsoft souhaite mettre fin à ces usages, pour des raisons de sécurité évidentes.
Depuis plusieurs mois, Microsoft désactive par défaut les protocoles Legacy dans les Tenants O365 nouvellement créés. Fin 2021, Microsoft a aussi annoncé qu’il commencerait la désactivation automatique de ces protocoles Legacy dans les Tenants clients, s’ils n’étaient pas utilisés.
L’arrêt effectif de l’authentification basique est pour l‘instant annoncé pour le 1er octobre 2022. Il faut donc vous y préparer dès maintenant !
En prévision de cette échéance, Microsoft ajoute des capacités de l’authentification moderne sur certains protocoles utilisant l’authentification basique, afin de pouvoir les maintenir en fonctionnement.
Quels sont les usages et protocoles concernés ?
Les principaux protocoles concernés par l’authentification Legacy sont les suivants :
- Exchange ActiveSync,
- Exchange Online Powershell,
- Exchange Web Services,
- IMAP,
- MAPI Over HTTP,
- Offline Address Book,
- Outlook Anywhere (RPC over HTTP),
- POP,
- Reporting Web Services,
- SMTP,
- Et quelques autres…
La majorité de ces protocoles a déjà évolué avec l’ajout de la méthode d’authentification moderne, mais la migration n’est pas forcément automatique et transparente.
Comment migrer vers l’authentification moderne ?
Pour bénéficier de l’ajout de la fonctionnalité de l’authentification moderne, il faut absolument utiliser un client qui soit également compatible avec ce mode d’authentification. Selon vos usages, la migration pourra constituer un véritable projet avec des impacts forts sur vos utilisateurs.
Prenons le cas du protocole Exchange ActiveSync, pour lequel l’authentification moderne est déjà disponible.
- Si vous avez suivi les recommandations de Microsoft et utilisez uniquement Outlook Mobile pour iOS et Android, vous êtes déjà en authentification moderne et vous n’avez rien à faire.
- Si par contre vous utilisez des clients de messagerie autres pour iOS et Android, ils ne sont pas forcément compatibles avec l’authentification moderne, ce qui va nécessiter une migration vers un client compatible. Dans le cas du client de messagerie natif d’iOS, l’authentification moderne fonctionne depuis iOS 12, moyennant la suppression / reconfiguration du compte Exchange. A partir de la version iOS 14, la migration vers l’authentification moderne est automatique.
Comment identifier les usages concernés par la fin de support de l’authentification basique ?
Pour vous préparer à l’arrêt de l’authentification basique au 1er octobre 2022, il est nécessaire d’identifier au sein de votre organisation les usages existants concernés. Vous pouvez réaliser cette analyse en vous rendant dans le portail Azure Active Directory admin center, dans la partie Monitoring / Sign-in logs.
Vous devrez alors ajouter un filtre « Client App », qui vous permettra de sélectionner les « Legacy Authentication Clients » pour faire apparaître les usages, comme il est indiqué ci-dessous :
Vous pourrez alors cocher les cases correspondantes aux Legacy Authentication Clients. Si des usages ressortent de la sélection, il faudra mettre en place des plans de transformation adaptés pour migrer vers l’authentification moderne.
D’une manière générale, vous serez confrontés à des problématiques d’obsolescence des clients applicatifs : anciennes versions d’Office (Mac ou PC) non compatibles, clients ActiveSync dépassés (si vous n’utilisez pas Outlook Mobile), etc.
Il est vraiment important de traiter ces usages, car il n’y aura pas de retour arrière possible au 1er octobre 2022 quand Microsoft arrêtera l’authentification basique sur les protocoles Legacy.
Désactiver les protocoles Legacy
Une fois vos usages basculés vers les protocoles en authentification moderne, vous pourrez alors désactiver l’accès aux protocoles d’authentification basique devenus sans objet dans votre environnement, et ce sans attendre l’échéance du 1er octobre 2022.
Pour ce faire, plusieurs méthodes s’offrent à vous :
- Dans le centre d’administration Microsoft 365, la configuration est accessible sous « Modern authentication », dans la partie Paramètres / Paramètres de l’organisation. Vous pouvez traiter les protocoles selon les regroupements proposés par Microsoft.
- Si vous avez souscrit à des licences de type Azure AD P1, une approche alternative consiste à s’appuyer sur le blocage de l’authentification Legacy, via des politiques d’accès conditionnel, ou en modifiant les Security Defaults du portail Azure Active Directory.
Comment s’informer des évolutions apportées par Microsoft
Le canal privilégié par Microsoft pour informer les administrateurs O365 est le Microsoft 365 Message Center. Pensez à le consulter régulièrement. Vous y trouverez des recommandations, les annonces des nouvelles fonctionnalités O365 et les notifications d’arrêt ou de fin de support de certains services. Cela vous permettra d’anticiper les évolutions.
Une dernière recommandation …
Vérifiez dès à présent si vous êtes concernés par cette problématique d’authentification basique. Donnez-vous le temps de mener les projets de migration à leur terme dans de bonnes conditions, notamment dans le cas où les utilisateurs sont impactés.
Nos équipes Almond peuvent vous accompagner dans ces projets de migration. N’hésitez pas à nous solliciter.
Arnaud LEBRUN
Lead Infrastructure Security