Cliquez pour évaluer cet article !
2 avis

Contexte 

Face au paysage de la menace cyber actuel, l’authentification forte (également appelée à facteurs multiples, MFA), est devenue une norme pour protéger les comptes contre les accès non autorisés, typiquement en cas de compromission du mot de passe (consécutivement à un hameçonnage, et/ou à une compromission de poste voire mobile). 

Aussi, depuis le 15 octobre 2024 (cf. cet article), dans le cadre de son projet “Secure Future Initiative”, Microsoft a rendu obligatoire l’authentification multi-facteurs (MFA) sur les portails d’administrations Azure, Admin 365, Entra ID (anciennement Azure AD) et Intune, pour ne citer que les principaux. 

Quelle est la finalité sécurité du MFA ?  

Le MFA vise à réduire les cas de sessions usurpées, non autorisées, et ainsi mieux sécuriser les accès aux services Entra ID et Microsoft 365. 

Cependant, le RETEX des équipes sécurité Metsys (notamment CERT) montre que bien souvent, le moyen utilisé pour l’authentification forte ne fait pas l’objet lui-même d’une gestion de la sécurité, en plus d’être potentiellement lié à des choix historiques.  

Quelle méthode de deuxième facteur est alors couramment employée ? A ce propos, voici une illustration de la console de gestion globale du MFA dans Azure :  

Différentes options sont disponibles pour l’authentification multi-facteurs, allant du simple code temporaire reçu par SMS, très courant, à l’utilisation d’applications mobiles type Microsoft Authenticator, de biométrie, ou de clés de sécurité type Yubikey, par exemple. 

Pourquoi d’ailleurs le SMS ? Très souvent car il n’imposait aucun autre prérequis que d’avoir un téléphone, et de paramétrer le numéro de ce dernier dans la console.  

Simple, certes, mais… malheureusement, l’utilisation de l’authentification forte par SMS présente des risques significatifs, puisque la technologie sous-jacente est la 2G, vieille d’environ 40 ans. Ainsi, il est tout à fait possible d’intercepter, brouiller, et usurper un émetteur de SMS. Ceci, en plus de mode opératoire d’attaque appelé « SIM swapping »  : cette technique permet aux attaquants de prendre le contrôle de votre numéro de téléphone en transférant votre numéro vers une nouvelle carte SIM, leur permettant ainsi de recevoir les codes d’authentification par SMS. 

Quid de l’abandon du SMS ?  

Une (bonne) nouvelle (cyber) n’arrivant généralement pas seule, Microsoft avait annoncé il y a plusieurs années son ambition de supprimer le SMS comme moyen de facteur d’authentification additionnel, justement à cause du mode opératoire d’attaque appelé “SIM Swapping” et de la vulnérabilité du protocole SS7 (non sécurisé) utilisé en 2G (3G et 4G), permettant l’interception et l’usurpation. 

Par conséquent, pour renforcer la sécurité de nos systèmes et suivre la dynamique de renforcement sécurité initiée par Microsoft, il est à présent essentiel de migrer vers des méthodes d’authentification plus sécurisées que le SMS, telles que l’application Microsoft Authenticator, ou des clefs type YubiKey.  

Les applications de type Authenticator, qu’elles soient de Microsoft, Google, CISCO (Duo Mobile) ou encore FreeOTP, permettent l’utilisation de codes de vérification temporaires uniques générés directement sur votre mobile, ce qui réduit considérablement les risques de piratage de l’authentification. 

A titre d’illustration, voici un exemple de demande d’authentification forte depuis un applicatif tel qu’une application “cloud” (source : Microsoft) :  

Voici maintenant un exemple de notification pouvant apparaître sur le mobile, avec l’application Microsoft Authenticator installée (source : Microsoft) : 

Quelles sont les implications ?  

  1. Plus de possibilité d’avoir un compte « bris de glace », puisqu’il est lui aussi soumis à la règle ; 
  1. Bascule des comptes utilisateurs « de service », en identités de charge de travail => acquisition de licences adaptées  
  1.   Adaptation des accès conditionnels aux identités de charge de travail 

Et si je ne suis pas prêt ? 

Même si la campagne d’information a débuté bien en amont, Microsoft offre une période de grâce jusqu’au 15 mars 2025  pour les entreprises qui ont besoin de plus de temps pour se mettre en conformité.   

Les administrateurs globaux peuvent reporter la date d’application du MFA sur le portail Azure jusqu’à cette date en disposant d’un accès élevé. 

Pour terminer, voici un tableau récapitulatif des avantages et inconvénients de Microsoft Authenticator : 

Conclusion

L’activation de l’authentification forte, notamment pour les accès aux consoles Microsoft d’administration, est primordiale afin de garantir la sécurité de ces accès à privilèges. Cependant, l’authentification forte ne doit pas se faire à travers un canal technique non-sécurité et obsolète, tel que le SMS. 

Aussi, la recommandation est d’utiliser des moyens d’authentification forte considérés sécurisés, tels que les applications mobiles Authenticator ou des clés de sécurité physiques. 

Les équipes Metsys restent à votre disposition, que ce soit pour évaluer la configuration sécurité de votre environnement Microsoft, ou pour la remédiation, incluant le déploiement des solutions adaptées selon vos besoins. N’hésitez pas à nous contacter ! 

Notez cet article

Vous avez aimé cet article ?

Rendez-le plus visible auprès des internautes en lui mettant une bonne note.

Cliquez pour évaluer cet article !
2 avis

Articles pouvant vous intéresser