Exchange Online : le mois prochain, Microsoft va commencer à désactiver l’authentification basique

Microsoft a mis en ligne un nouvel article pour rappeler à ses clients d'Exchange Online que l'authentification basique (Auth Basic) va commencer à être désactivée à partir du 1er octobre 2022. Cette opération sera réalisée sur des tenants sélectionnés aléatoirement.

À compter du 1er octobre 2022, Microsoft va passer à l'action malgré qu'il y ait encore de nombreux tenants qui ne soient pas prêts à ce changement. Dans ce nouvel article, Microsoft précise : "Nous reconnaissons que, malheureusement, il y a encore de nombreux tenants non préparés à ce changement. Malgré de nombreux articles sur le blog, des messages sur le Centre de messages d'Office 365, des interruptions de service et une couverture par des tweets, des vidéos, des présentations et autres, certains clients ne sont toujours pas au courant de l'arrivée de ce changement. Il y a également de nombreux clients conscients de la date limite qui n'ont tout simplement pas fait le travail nécessaire pour éviter une panne." - en effet, Microsoft a déjà communiqué à plusieurs reprises sur ce sujet, et sur IT-Connect, nous en parlons également (ici et ici).

L'entreprise américaine va sélectionner des tenants aléatoirement et 7 jours avant de désactiver l'authentification basique sur un tenant, un message sera mis en ligne dans le Centre des messages d'Office 365 : à surveiller ! La désactivation de l'Auth Basic s'applique aux accès MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS), et Remote PowerShell. Microsoft ne va pas effectuer de changement ni désactiver le SMTP AUTH. Cette décision impacte également Outlook, puisque vous devez utiliser au minimum Outlook 2013 Service Pack 1 pour continuer à vous connecter à Microsoft 365.

31 Décembre 2022 : la deadline

Microsoft a conscience que cette manipulation va perturber certaines entreprises non préparées, et donc pour limiter les effets de bord, la firme de Redmond va mettre à disposition de ses clients un outil de diagnostic qui servira à analyser les besoins du client et à réactiver l'authentification basique sur une ou plusieurs méthodes, et cela une seule fois. Sur son site, Microsoft explique comment fonctionne cette phase de diagnostic, disponible à partir de l'interface Office 365.

Cette réactivation temporaire sera effective uniquement jusqu'au 31 décembre 2022, car à partir de janvier 2023, l'authentification basique sera désactivée de manière permanente et l'outil de diagnostic ne sera plus disponible. Si ce n'est pas déjà fait, c'est un sujet à traiter dès maintenant pour être tranquille d'ici le 31 décembre 2022 et éviter les mauvaises surprises.

En résumé, voici comment cela va se passer :

Au fait, pourquoi Microsoft désactive l'authentification basique ?

La méthode Auth Basic n'est pas suffisamment sécurisée et elle est vulnérable à certaines attaques (man-in-the-middle, par exemple). Pour être plus précis, lors d'une connexion via la méthode d'authentification basique, l'identifiant et le mot de passe de l'utilisateur sont transmis en clair, même si la connexion en elle-même est protégée par du HTTPS.

Microsoft recommande de basculer sur la méthode d'authentification moderne, plus sécurisée, et qui s'appuie sur un jeton OAuth qui a une durée de vie limitée et qui ne peut pas être réutilisé pour s'authentifier sur d'autres ressources autres que celle pour laquelle il a été généré initialement.

• Documentation de Microsoft pour voir comment désactiver l'authentification basique sur votre tenant.