Exchange Online : la méthode Basic Auth sera désactivée à partir d’octobre

Microsoft a fait une annonce importante pour les utilisateurs d'Office 365 en affirmant que l'authentification basique (Auth Basic) sera désactivée dans le monde entier, sur des tenants sélectionnés aléatoirement, à partir du 1er octobre 2022.

Cela fait un moment que Microsoft nous parle de la désactivation de cette méthode d'authentification, puisqu'en septembre 2021, la firme de Redmond évoquait déjà cette échéance d'octobre 2022. La méthode d'authentification basique n'est pas suffisamment sécurisée et elle est vulnérable à différentes attaques, notamment les attaques man-in-the-middle, ce qui pousse Microsoft à prendre cette décision pour forcer ses clients à utiliser une méthode d'authentification plus sécurisée.

Lors d'une connexion via la méthode d'authentification basique, l'identifiant et le mot de passe de l'utilisateur sont transmis en clair, même si la connexion en elle-même est protégée par du HTTPS. En basculant sur l'authentification moderne, la connexion s'appuie sur un jeton OAuth qui a une durée de vie limitée et qui ne peut pas être réutilisé pour s'authentifier sur d'autres ressources autres que celle pour laquelle il a été généré initialement. Tandis qu'avec l'authentification basique, si l'on récupère les identifiants, on peut en faire ce qu'on en veut derrière...

D'après l'équipe de Microsoft Exchange, l'authentification basique est à l'origine de nombreuses compromissions de comptes utilisateurs, et les attaques de ce type sont en constante augmentation. Voici ce que précise Microsoft : "Nous avons désactivé la méthode Basic Auth dans des millions de tenants qui ne l'utilisaient pas, et nous désactivons actuellement les protocoles inutilisés dans les tenants qui l'utilisent encore, mais chaque jour où la méthode Basic Auth est activée sur votre tenant, vous êtes exposé à un risque d'attaque.".

Que va-t-il se passer le 1er octobre 2022 ?

L'authentification Basic va être désactivée sur une sélection de tenants Office 365 / Microsoft 365, afin d'y aller progressivement, et non pour tout le monde d'un seul coup. Les tenants seront sélectionnés aléatoirement, et les heureux élus auront un message d'avertissement qui s'affichera au sein du tableau de bord de leur tenant Microsoft 365. D'ici la fin de l'année 2022, Microsoft espère que tous les tenants seront traités.

Lorsque la méthode Basic Auth sera désactivée, cela va s'appliquer à différents services : Exchange Web Services (EWS), Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, MAPI, RPC, SMTP AUTH et OAB. Attention également à Outlook puisque vous devez utiliser au minimum Outlook 2013 Service Pack 1 pour continuer à vous connecter à Microsoft 365.

Vous pouvez aussi prendre les devants et consulter cette documentation de Microsoft pour voir comment désactiver l'authentification basique sur votre tenant.

Dès à présent, vous pouvez créer une stratégie Exchange Online sur votre tenant pour désactiver l'Auth Basic et vérifier si vous êtes déjà prêt à ce changement. Voir cette documentation de Microsoft.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4067 posts and counting.See all posts by florian

One thought on “Exchange Online : la méthode Basic Auth sera désactivée à partir d’octobre

  • Bonjour
    Y a t-il une solution pour les relais SMTP sous IIS qui utilisent donc l’authentification basique pour se connecter au compte M365 ?
    Merci
    AC

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.