L’authentification de base (ou « Basic authentication » en anglais) dans Exchange ne passera pas l’hiver 2022. Cette fonctionnalité permettait à un utilisateur de se connecter à un serveur Exchange en utilisant un simple couple nom d’utilisateur/mot de passe. La jugeant peu sécurisée, Microsoft a annoncé son intention de supprimer sa prise en charge au second semestre de l’année 2021. Cette première date avait néanmoins été repoussée en raison de la pandémie de Covid-19, qui a poussé Microsoft a revoir son calendrier : l’éditeur avait alors annoncé au mois de février 2021 que cette désactivation serait suspendue, afin de faciliter la vie des administrateurs système pendant la pandémie. Il avait néanmoins commencé à désactiver le support de la fonctionnalité auprès de certains clients qui ne l’utilisaient pas dès le mois de juin.
Mais, à terme, Microsoft entend désactiver l’authentification de base pour l’ensemble des utilisateurs d’Exchange Online. Dans un post de blog, le géant de Redmond annonce une nouvelle date pour ce changement : celui-ci prendra effet à compter d’octobre 2022. A partir de cette date, il ne sera plus possible d’utiliser l’authentification de base pour se connecter à Exchange Online, et les utilisateurs devront faire la bascule vers l’authentification moderne (Modern Auth), une autre fonctionnalité supportant des techniques d’authentification plus avancées, comme l’authentification multifacteurs, les cartes à puces, l’authentification en fonction du certificat ou les fournisseurs d’identité tiers. Cette fonctionnalité est activée par défaut pour de nombreux utilisateurs d’Exchange Online, mais ce n’est pas le cas pour les utilisateurs ayant souscrit à une offre Exchange Online avant 2017.
Plus le temps d’attendre
Microsoft explique que cette désactivation du protocole d’authentification basique vise à renforcer la sécurité des utilisateurs en bloquant le support d’outils aujourd’hui jugés obsolètes.
Dans sa note de blog consacrée à l’annonce, Microsoft explique que « l’authentification de base est une norme obsolète, et les menaces qu’elle pose n’ont fait qu’augmenter depuis que nous avons initialement annoncé ce changement. (…) Nous prenons au sérieux notre rôle, et notre objectif final est de désactiver l’authentification de base pour tous nos clients. Mais chaque jour qu’elle reste activée chez vos utilisateurs, vos données sont en danger, et votre rôle est donc de retirer l’authentification de base pour vos clients et applications, et de les déplacer vers des options plus solides et meilleures ».
Les « menaces posées par l’authentification de base » se sont concrétisées tout récemment, suite à la découverte d’un comportement inattendu dans les protocoles d’authentification d’Exchange par la société Guardicore. Le bug découvert par les chercheurs leur a permis de récupérer les couples identifiants et mots de passe d’utilisateurs qui tentaient de se connecter via les mécanismes d’authentification de base, en exploitant des noms de domaines de domaines usurpés. Les chercheurs avaient également dévoilé une vulnérabilité forçant les utilisateurs à se connecter via l’authentification de base, entièrement dépourvue de chiffrement des données en transit.
