Pourquoi devriez-vous bloquer l'authentification Microsoft Legacy

Les protocoles d'authentification hérités tels que IMAP, MAPI, etc. ne peuvent pas appliquer la MFA, ce qui en fait des points d'entrée adverses pour les attaques de logiciels malveillants. Apprenez à les bloquer.
Why You Should Block Microsoft Legacy Authentication

Les protocoles d'authentification hérités tels que IMAP, MAPI, etc. ne peuvent pas appliquer la MFA, ce qui en fait des points d'entrée adverses pour les attaques de logiciels malveillants. Apprenez à les bloquer.

L'authentification Microsoft Legacy peut exposer vos systèmes à un risque de compromission de la sécurité. Pourquoi?

Bloquer l'authentification héritée de Microsoft

Les protocoles d'authentification existants tels que SMTP, POP, MAPI et IMAP ne peuvent pas appliquer 2FA/ MFA , ce qui en fait des points de terminaison ciblés pour les attaques. Ceci et d’autres préjudices potentiels rendent l’authentification Microsoft Legacy indésirable dans un environnement professionnel.

Pour que MFA/2FA soit efficace, vous devez bloquer l'authentification existante, car les anciennes autorisations telles que SMTP, POP, IMAP, MAPI, etc. ne peuvent pas appliquer la MFA, ce qui en fait des points d'entrée pour les attaques et les adversaires.

Ainsi, dans cet article, nous expliquerons ce qu'est l'authentification existante et pourquoi vous devriez la bloquer pour protéger votre entreprise contre les cyberattaques et les menaces.

Commençons.

Qu’est-ce que l’authentification Microsoft héritée ?

L'authentification Microsoft Legacy fait référence au protocole d'authentification de base ou ancien utilisé pour se connecter à un courrier électronique ou à d'autres applications et services cloud Microsoft. Il s'agit d'une demande d'authentification effectuée soit par :

  • Clients Office plus anciens qui ne disposent pas d'une authentification moderne (comme le client Office 2010), ou
  • Applications ou clients Microsoft prenant en charge les protocoles/requêtes de messagerie existants tels que POP3SMTP/IMAP.

Les protocoles d'authentification Microsoft Legacy ne constituent pas un protocole unique. Ils font référence à tout ce qui ne prend pas en charge ou n'autorise pas l'authentification multifacteur (MFA) ou 2FA. Ce faible protocole de sécurité les rend vulnérables à d’éventuels essais d’accès non autorisés et autres attaques.

De nombreuses tentatives de connexion compromettantes d'entreprises sont souvent générées par des clients d'authentification existants.

Authentification héritée et authentification moderne

Les protocoles d'authentification modernes sont ceux qui prennent en charge et autorisent l'authentification MFA. Des exemples de protocoles d'authentification modernes sont ADAL et OAuth. Ils sont souvent utilisés dans Microsoft 365 , Azure AD et d'autres applications ou services cloud Microsoft.

Authentification héritée vs authentification moderne

La gestion moderne des identités d'authentification offre une authentification et une autorisation des utilisateurs plus sûres et plus sécurisées. Les utilisateurs peuvent authentifier les connexions de manière interactive avec une boîte de dialogue Web du fournisseur d'ID (tel qu'Azure AD) plutôt qu'une application (telle qu'Outlook) ou un système d'exploitation (tel que Windows). Cela rend la gestion des informations d'identification des utilisateurs sûre, sécurisée et privée puisque seul le fournisseur d'ID peut gérer les informations d'identification et émettre des jetons.

Dans l'authentification héritée (également appelée authentification de base), les utilisateurs ne sont pas protégés même lorsqu'ils utilisent la détection et la réponse des points de terminaison.

Voyons la comparaison entre l'authentification moderne et l'authentification héritée dans le tableau ci-dessous :

Authentification héritée

Authentification moderne

Un client ou un protocole réseau ne peut pas prendre en charge l'authentification car il manque de configuration ou est incapable.

Un client ou un service qui autorise MFA/2FA. Peut utiliser l'authentification OpenID Connect, SAML et/ou OAuth 2.0.

L'interaction se fait entre un client et une application (pas l'utilisateur). Le protocole envoie le login (nom d'utilisateur) et le mot de passe à l'adresse e-mail ou à l'application de l'utilisateur plutôt qu'à celle de l'utilisateur.

L'interaction se fait entre un client et l'utilisateur (pas une application/un service). Le protocole redirige l'authentification d'identité vers un fournisseur d'ID, qui génère des jetons que l'utilisateur doit vérifier.

L'application/le service (et non l'utilisateur) utilise l'ID (identifiant et mot de passe) pour obtenir un jeton de connexion.

L'utilisateur interagit avec les informations d'identification (identifiant et mot de passe) pour générer un jeton envoyé à l'utilisateur (et non à l'application).

Pourquoi devrais-je bloquer l’authentification héritée ?

Réponse : L'authentification héritée est une méthode d'authentification d'identité de base présentant des faiblesses en matière de sécurité et est vulnérable aux violations de compte. Il peut facilement permettre aux pirates informatiques d'accéder à une ou plusieurs voies d'accès par « porte dérobée » aux données d'une organisation.

Alors que l'authentification moderne comprend et prend en charge l'authentification à deux facteurs (2FA) ou l'authentification multifacteur (MFA) , ce n'est pas le cas de l'authentification traditionnelle.

C'est pourquoi l'authentification existante est très sensible aux violations automatisées et aux attaques de logiciels malveillants telles que la force brute, l'enregistrement de frappe et la pulvérisation de mots de passe.

Microsoft affirme que les tendances en matière de statistiques de sécurité d'authentification héritées sont inquiétantes. Par exemple:

  • Plus de 99 % des attaques par pulvérisation de mots de passe et plus de 97 % des attaques par credential stuffing proviennent d’anciens protocoles d’authentification.
  • Les comptes Azure AD avec l’authentification héritée désactivée rencontrent 67 % moins de compromissions ou d’attaques que ceux avec l’authentification héritée activée.

De plus, même lorsque vous avez activé une politique 2FA/MFA, un protocole d'authentification existant peut toujours permettre à des acteurs malveillants de contourner votre MFA. Ainsi, le seul moyen sûr de protéger votre compte contre les attaquants et les authentifications malveillantes est de bloquer les protocoles existants.

En fait, Microsoft désactivera l’authentification héritée pour tous les clients Microsoft 365 le 1er octobre 2022.

Comment bloquer l’authentification Microsoft Legacy ?

Plusieurs méthodes peuvent bloquer l’authentification héritée dans Microsoft 365 et les applications associées.

Le premier bloque par défaut. Par exemple, l'authentification héritée est déjà bloquée au niveau du locataire si les paramètres de sécurité par défaut de votre Microsoft 365 ou de votre client sont activés (soit manuellement, soit par un locataire créé après octobre 2019).

Bloquez directement l'authentification héritée. Vous pouvez également bloquer l'authentification héritée directement dans votre Microsoft 365, Azure Directory ou Exchange Online.

Comment bloquer l'authentification héritée avec la politique d'accès conditionnel

Les étapes ci-dessous vous montreront comment bloquer l'authentification héritée (de base) avec une politique d'accès conditionnel :

Authentification héritée du blog

Étape 1 : Vérifiez que vous disposez d’une licence Azure AD Premium P1

Vous ne pouvez bloquer l’authentification existante via l’accès conditionnel (CA) que si vous disposez d’une licence Microsoft avec Azure AD Premium P1 ou P2.

Pour vérifier votre licence :

  1. Connectez-vous au portail Microsoft Azure.
  2. Accédez à Azure Active Directory > puis Présentation
  3. Vérifiez la licence premium Azure AD : licence P1 ou P2.

Après avoir confirmé votre licence, vous pouvez lancer une nouvelle politique basée sur votre licence.

Étape 2 : Créer une nouvelle stratégie (accès conditionnel)

Vous pouvez désormais créer une stratégie d’accès conditionnel pour le type de licence dont vous disposez sur Azure AD premium : licence P1 ou P2. Une stratégie conditionnelle forcera le blocage de l’authentification héritée pour tous les utilisateurs de votre annuaire.

Vous pouvez sélectionner uniquement un groupe particulier d'utilisateurs/employés à bloquer si vous le souhaitez. Mais nous vous recommandons de désactiver l’authentification héritée pour toutes les applications et tous les utilisateurs.

Pour créer une nouvelle stratégie, procédez comme suit :

  1. Ouvrez le portail Azure AD > accédez à l'accueil Azure Active Directory
  2. Accédez à la section Sécurité.
  3. Ouvrez l'accès conditionnel > les politiques ouvertes.
  4. Sélectionnez et cliquez sur Nouvelle stratégie.

Lorsque vous cliquez sur le nouveau bouton Politique, vous devrez donner un nom à votre politique.

Étape 3 : Saisir le nom et les affectations

Sous « Nouvelle stratégie d'accès conditionnel », vous nommerez la stratégie et lui attribuerez des affectations :

  1. Accédez à Nom* > et donnez-lui un nom (indiquant l'objectif de la stratégie) : par exemple, [BLOC] Authentification héritée.
  2. Accédez à affectations > et cliquez sur Utilisateurs et groupes > choisissez Inclure > pour sélectionner Tous les utilisateurs. Cela bloquera tous les utilisateurs.

Nom d'entrée et affectations

À l'aide de la stratégie d'accès conditionnel, vous pouvez sélectionner des utilisateurs et des groupes tels que des rôles d'annuaire, des invités et des utilisateurs externes. Vous choisirez le mode de politique souhaité, en fonction du résultat souhaité.

Étape 4. Spécifier les applications ou actions Cloud

Vous spécifierez les applications et actions cloud dans la section Applications ou actions cloud. Cela vous permettra de spécifier des clients à l'aide de la politique d'authentification/d'accès conditionnel. Les étapes sont les suivantes :

  1. Toujours dans le même volet, cliquez sur l'option « Applications cloud ».
  2. Sélectionnez Inclure (immédiatement) sous les applications cloud.
  3. Choisissez Toutes les applications cloud.

Spécifier des applications ou des actions cloud

Si vous souhaitez sélectionner uniquement des applications particulières, vous pouvez spécifier celles pour lesquelles vous souhaitez utiliser l'accès/l'authentification conditionnel.

Étape 5. Définir les conditions d'utilisation de l'application

Une fois que vous aurez sélectionné les applications particulières, vous définirez les conditions d'utilisation. Suivez ces étapes:

  1. Cliquez sur Conditions > sélectionnez Applications clientes > cliquez (ou activez) sur Oui.
  2. Accédez à sous les anciens clients d'authentification > sélectionnez les clients mobiles et de bureau.
  3. Cliquez sur Clients Exchange ActiveSync et Autres clients.
  4. Enfin, cliquez sur Terminé. Cela définira la politique comme vous le souhaitez.

Étape 6. Politique d'octroi et d'activation

L'étape suivante consiste maintenant à accorder et à activer uniquement la stratégie que vous avez définie :

  1. Cliquez sur Accorder.
  2. Accédez à l’application de contrôle de l’accès des utilisateurs pour bloquer ou accorder l’accès, puis choisissez Bloquer l’accès.
  3. Sous l’option Bloquer l’accès, en bas, cliquez sur Sélectionner.
  4. Sous Grant, cliquez sur le bouton On. Cette sélection activera la politique que vous avez définie.
  5. Choisissez « Je comprends que mon compte sera affecté par cette politique. Continuez quand même ».
  6. Cliquez sur Créer et quitter.

Toutes nos félicitations! Vous avez bloqué l'authentification héritée à l'aide de la stratégie d'accès conditionnel. Vous verrez cette stratégie dans votre liste de stratégies d’accès conditionnel.

Ne vous inquiétez pas s'il n'apparaît pas immédiatement, car cela peut prendre jusqu'à 24 heures.

Conclusion

C'est pourquoi vous devez désactiver l'authentification héritée et comment le faire avec l'accès conditionnel.

Ce paramètre vous aidera à sécuriser vos données contre les attaques et les demandes d'authentification malveillantes évidentes.

Nous espérons que les méthodes ci-dessus vous ont aidé à bloquer les anciens utilisateurs et applications d'authentification.

Maintenant, nous aimerions nous tourner vers vous.

Si vous avez des questions ou des suggestions, n'hésitez pas à contacter notre service client.

Vous cherchez plus de conseils ? Consultez nos autres guides, conseils, astuces, dépannage, avis et bien plus encore sur le blog Softwarekeep et notre centre d'aide ! Vous y trouverez une multitude d'informations et de solutions à vos problèmes techniques.

Inscrivez-vous également à notre newsletter et accédez rapidement à nos articles de blog, nos promotions et nos codes de réduction.

Articles recommandés

» Gestion des appareils mobiles (MDM) pour Microsoft 365 : Guide ultime
» Comment protéger vos données lorsque vous utilisez Microsoft Office 365
» Guide étape par étape pour configurer la messagerie électronique professionnelle Office 365
» Différences entre Microsoft 365 et Google Workspace
» Comment réparer la saisie au clavier à l'envers sous Windows 10 et 11