Exchange Online : Microsoft désactivera l’authentification de base en octobre 2022

L’authentification de base (ou “Authentification de base”) ne passe pas par l’hiver 2022. Cette fonctionnalité permettait à l’utilisateur de se connecter au serveur Exchange à l’aide d’un simple couple nom d’utilisateur/mot de passe. Compte tenu de cette incertitude, Microsoft a annoncé au second semestre 2021 son intention de retirer son support. Cependant, cette première date a été reportée en raison de la pandémie de Covid-19, qui a poussé Microsoft à reconsidérer son calendrier : l’éditeur a alors annoncé en février 2021 que cette désactivation serait suspendue pour faciliter la vie des administrateurs système pendant la pandémie. Cependant, il avait déjà commencé à désactiver la prise en charge des fonctionnalités en juin avec certains clients qui ne l’utilisaient pas.

Mais au final, Microsoft prévoit de désactiver l’authentification de base pour tous les utilisateurs d’Exchange Online. Le géant de Redmond annonce une nouvelle date pour ce changement dans son article de blog : à compter d’octobre 2022. A partir de cette date, l’authentification de base ne peut plus être utilisée pour se connecter à Exchange Online et les utilisateurs doivent passer à Modern Auth, une autre fonctionnalité qui prend en charge les méthodes d’authentification avancées. telles que l’authentification multifacteur, les cartes à puce, l’authentification Web. selon le certificat ou les fournisseurs d’identité tiers. Cette fonctionnalité est activée par défaut pour de nombreux utilisateurs Exchange Online, mais elle n’est pas destinée aux utilisateurs qui ont acheté un plan Exchange Online avant 2017.

Plus le temps d’attendre

Microsoft explique que le but de la désactivation de ce protocole d’authentification de base est de renforcer la sécurité des utilisateurs en bloquant la prise en charge des outils obsolètes.

Microsoft explique dans un article de blog que « l’authentification de base est une norme obsolète et ses menaces n’ont fait qu’augmenter depuis que le changement a été annoncé pour la première fois. (…) Nous prenons notre rôle au sérieux et notre objectif ultime est de désactiver l’authentification de base pour tous nos clients. Cependant, chaque jour, si cela reste autorisé à vos utilisateurs, vos données sont en danger. Votre travail consiste donc à supprimer l’authentification de base des clients et des applications et à en faire des choix plus puissants et meilleurs. “

Les “menaces de l’authentification de base” ne se sont matérialisées que récemment après que la société Guardicore a découvert un comportement inattendu dans les protocoles d’authentification Exchange. L’erreur trouvée par les chercheurs leur a permis de récupérer les noms d’utilisateur et mots de passe des utilisateurs qui ont tenté de se connecter via des mécanismes d’authentification de base utilisant de faux noms de domaine. Les chercheurs ont également révélé une vulnérabilité qui obligeait les utilisateurs à se connecter à l’aide d’une authentification de base, qui manquait de cryptage complet des données transmises.