Exchange Online : la méthode Basic Auth sera désactivée à partir d’octobre
Microsoft a fait une annonce importante pour les utilisateurs d'Office 365 en affirmant que l'authentification basique (Auth Basic) sera désactivée dans le monde entier, sur des tenants sélectionnés aléatoirement, à partir du 1er octobre 2022.
Cela fait un moment que Microsoft nous parle de la désactivation de cette méthode d'authentification, puisqu'en septembre 2021, la firme de Redmond évoquait déjà cette échéance d'octobre 2022. La méthode d'authentification basique n'est pas suffisamment sécurisée et elle est vulnérable à différentes attaques, notamment les attaques man-in-the-middle, ce qui pousse Microsoft à prendre cette décision pour forcer ses clients à utiliser une méthode d'authentification plus sécurisée.
Lors d'une connexion via la méthode d'authentification basique, l'identifiant et le mot de passe de l'utilisateur sont transmis en clair, même si la connexion en elle-même est protégée par du HTTPS. En basculant sur l'authentification moderne, la connexion s'appuie sur un jeton OAuth qui a une durée de vie limitée et qui ne peut pas être réutilisé pour s'authentifier sur d'autres ressources autres que celle pour laquelle il a été généré initialement. Tandis qu'avec l'authentification basique, si l'on récupère les identifiants, on peut en faire ce qu'on en veut derrière...
D'après l'équipe de Microsoft Exchange, l'authentification basique est à l'origine de nombreuses compromissions de comptes utilisateurs, et les attaques de ce type sont en constante augmentation. Voici ce que précise Microsoft : "Nous avons désactivé la méthode Basic Auth dans des millions de tenants qui ne l'utilisaient pas, et nous désactivons actuellement les protocoles inutilisés dans les tenants qui l'utilisent encore, mais chaque jour où la méthode Basic Auth est activée sur votre tenant, vous êtes exposé à un risque d'attaque.".
Que va-t-il se passer le 1er octobre 2022 ?
L'authentification Basic va être désactivée sur une sélection de tenants Office 365 / Microsoft 365, afin d'y aller progressivement, et non pour tout le monde d'un seul coup. Les tenants seront sélectionnés aléatoirement, et les heureux élus auront un message d'avertissement qui s'affichera au sein du tableau de bord de leur tenant Microsoft 365. D'ici la fin de l'année 2022, Microsoft espère que tous les tenants seront traités.
Lorsque la méthode Basic Auth sera désactivée, cela va s'appliquer à différents services : Exchange Web Services (EWS), Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, MAPI, RPC, SMTP AUTH et OAB. Attention également à Outlook puisque vous devez utiliser au minimum Outlook 2013 Service Pack 1 pour continuer à vous connecter à Microsoft 365.
Vous pouvez aussi prendre les devants et consulter cette documentation de Microsoft pour voir comment désactiver l'authentification basique sur votre tenant.
Dès à présent, vous pouvez créer une stratégie Exchange Online sur votre tenant pour désactiver l'Auth Basic et vérifier si vous êtes déjà prêt à ce changement. Voir cette documentation de Microsoft.
Bonjour
Y a t-il une solution pour les relais SMTP sous IIS qui utilisent donc l’authentification basique pour se connecter au compte M365 ?
Merci
AC