“Il ne fait aucun doute qu'au fil du temps, les gens se fieront de moins en moins aux mots de passe. Les gens utilisent le même mot de passe sur différents systèmes, ils les notent et ne répondent pas au défi pour tout ce que vous voulez vraiment sécuriser”. C’est ce que déclarait un certain Bill Gates il y a plusieurs années de cela en 2004 et entre nous, il avait, et continue d’avoir raison. Le seul souci, est que ces derniers sont de plus en plus présents et que l’authentification à facteurs multiples est très loin d’être généralisée.
Peut-on encore faire confiance aux mots de passe ?
Faille des mots de passe face à la mobilité quotidienne
Certaines banques continuent encore d’utiliser des formulaires Web avec saisie du compte et du mot de passe pour permettre aux clients d’accéder à la gestion de leur compte sans autre dispositif de contrôle d’identité.
Plus proche de nous, nos applications de messageries mobiles, nos anciennes applications Windows, utilisent le plus souvent des méthodes d’authentification qui se basent uniquement sur un identifiant et un mot de passe. Entre temps, des sociétés comme Yahoo, Equifax ou Amazon se sont fait voler une partie des identifiants de leurs clients.
Notre mobilité quotidienne nous invite également à faire transiter nos données sur des réseaux globalement ouverts et dont le niveau de sécurisation nous est totalement inconnu. Le chiffrement des flux (Https) dans ces environnements publics n’est qu’un pis-aller tant il est simple pour un hacker de se placer entre vous et le service demandé et intercepter vos échanges. Bill Gates avait, et continue d’avoir raison.
Mais comment faire pour se passer de mot de passe, est ce simplement possible ?
Dans le cadre d’un déploiement des services Office 365, nous avons fait quelques tests qui ont montré malgré toutes les techniques en vigueur, que cela n’était pas si simple que cela.
Allez, on vous montre tout cela.
Dans l’environnement Microsoft et notamment dans l’environnement Office 365, il existe plusieurs modes d’authentification qui, soit sont agnostiques à l’environnement et donc utilisés dans d’autres environnements, soit directement issus des environnements Microsoft (NTLM). Le plus ancien mode d’authentification et par conséquent le plus obsolète au vu des risques encourus est l’authentification basique.
Le principe de base est d’envoyer au sein d’un canal crypté (Https) le compte et le mot de passe de l’utilisateur aux services concernés. Cette authentification basique est la méthode la plus simple et est extrêmement utilisée par la quasi-totalité des applications natives de messagerie sur Smartphone.
C’est principalement cette méthode obsolète qui continue à poser des problèmes de sécurité.S’en défaire ? voyons ce que nous offre l’authentification Moderne.
L’authentification moderne
La solution idéale à ce jour est d’éviter clairement l’envoi d’information de connexion aux services concernés à savoir dans notre cas, Office 365. Pour ce faire, la fédération d’identité consiste globalement à déléguer l’authentification des accès non pas à l’entité responsable du service mais à un service que vous hébergez et qui demeure sous votre responsabilité.
Cela va permettre à l’utilisateur de présenter son ticket d’accès au service sans avoir à présenter ses informations de connexion.
Comment cela fonctionne ? Prenons un exemple.
Eric Blanc veut monter dans l’avion 0365 et se présente au guichet sans carte d’embarquement. Le personnel chargé de l’embarquement le rejette et l’invite à se rendre à l’enregistrement. Eric Blanc prouvera donc son identité auprès de cet organisme (différent de celui qui opère l’avion) et obtiendra une carte d’embarquement.
Eric repartira pour embarquer avec sa carte d’embarquement délivrée par les services d’enregistrement auxquels la compagnie 0365 fait confiance et in fine, embarquera sans communiquer son identité a la compagnie 0365. Dans l’authentification moderne c’est quasiment le même principe. Alors reprenons notre exemple
Le token d’accès
Eric demande à accéder à sa boîte aux lettres mais ne possède pas de jeton d’accès (No Token), la fameuse carte d’embarquement. Le service Exchange Online (EXO) lui indique qu’il doit s’adresser au service d’authentification Microsoft (401 :Need token from AuthUrl) .
Le client est alors redirigé vers une page de connexion hébergée par Microsoft qui l’invite à taper son identifiant de connexion sous la forme xxxxxx@nomdelacompagnie. (Show Login Page).
Une fois que l’utilisateur aura tapé son identifiant, la partie droite de son identifiant va permettre aux services Microsoft d’identifier que ce domaine possède une fédération d’identité. Il va alors renvoyer l’utilisateur vers la page de connexion différente, qui elle, est hébergée sous la responsabilité de votre société.
L’utilisateur va s’authentifier en communicant ses informations de connexion (Enter UserName / Password). Votre fournisseur d’identité (IdP, ici vos services ADFS Active Directory Federation services) va valider cela auprès de votre Active Directory et communiquer un token SAML a l’utilisateur lui indiquant de se présenter au service qui délivre les token (Carte d’embarquement).
L’utilisateur va présenter son token SAML au service qui délivre les Token d’accès (Carte d’embarquement) à savoir le Service d’émission de jeton de sécurité (STS) et va recevoir deux jetons d’accès. Un jeton d’accès (access Token) et un jeton lui permettant de renouveler ce jeton d’accès (Refresh Token). Une fois muni de ces jetons d’accès, l’utilisateur se représentera à la porte du service (Exchange online) et pourra accéder à sa boîte aux lettres.
La prochaine fois l’utilisateur présentera son token d’accès sans refaire nécessairement tout ce chemin.
Si au premier abord cette méthode peut vous sembler compliquée, elle évite bel et bien d’envoyer des informations de connexion à la plateforme qui héberge le service à savoir Microsoft, ce qui en soit est l’objectif.
Mais pour autant êtes-vous totalement tiré d’affaire ? Pas complètement en réalité. La première contrainte à en prendre en compte concerne les clients que vous utilisez et qui sauront gérer tous ces allers et retours décrits plus haut. Dans l’univers Microsoft, tous les clients ne savent pas gérer le mode d’authentification appelée Modern Authentication. Microsoft publie la liste des clients compatibles sur le lien suivant.
Pour ce qui est des applications de messageries mobiles natives aux systèmes IOS ou Android, ‘donc hors de la responsabilité de Microsoft), elles vont envoyer leurs informations de connexion en mode basique au services Microsoft qui vont traiter ces informations et demander à votre fournisseur d’identité (IdP) de bien vouloir valider l’accès au service.
D’autres applications comme Outlook 2010 SP2 vont faire de même. On peut faire face à une tentative d’authentification basique engendrée par un client ne supportant pas l’authentification modern et le décodage des informations de connexion.
La paranoïa ambiante
Ou plutôt comment empêcher un utilisateur de prendre son téléphone portable et essayer de le configurer avec l’application native pour synchroniser ses messages ? C’est simple, cela n’est pas possible.
L’accès en mode basic pour la messagerie n’est pas désactivable pour le moment sur l’environnement Microsoft, cependant et grâce aux récents développements des équipes Microsoft, les applications mobiles officielles Outlook Skype etc… elles, gèrent parfaitement et par défaut l’authentification Modern. Je vous incite donc à ne supporter dans vos déploiements que ces dernières et inciter très fortement vos utilisateurs à les utiliser.
Bannir l’authentification basique sur l’environnement Office 365 reviendrait à interdire à bon nombre d’applications tierces l’accès aux services. L’on reprocherait immédiatement à Microsoft de ne plus supporter les anciens clients et de favoriser l’utilisation de leurs clients. Comme quoi la vie d’un éditeur n’est pas toujours très simple ??
Il va donc falloir vivre encore quelques temps avec cette authentification basique qui, en plus, ne supporte pas l’authentification à multiples facteurs. Une des solutions consiste, si vous le pouvez à détecter depuis votre IdP ces fameux accès en mode basic et d’informer l’utilisateur qu’il a tenté d’accéder aux services de collaboration avec des outils non autorisés et l’inviter à changer son mot de passe puis à utiliser l’application adéquate.
Certains éditeurs comme VMware fournissent quant à eux des solutions pour détecter et bannir les accès avec usage de l’authentification basique. Microsoft offre une solution plus intégrée à leurs solutions Cloud qui passe par la mise en place d’un accès conditionnel à l’usage d’une application utilisant l’authentification Moderne.
Certains constructeurs de téléphone viennent de proposer en standard l’authentification modern comme Apple avec la nouvelle version de L’IOS 11.
Sans vouloir ajouter à la paranoïa ambiante, le risque de piratage existe bel et bien sur l’environnement Office 365. Malgré tous les efforts que peut faire en la matière l’éditeur américain ceux-ci seront vains, si vous-mêmes ne prenez pas en compte ce risque et si vous continuez à baser uniquement votre sécurité d’accès sur ce couple identifiant / mot de passe. Certains, comme Deloitte, l’ont appris à leurs dépens.
Téléchargez cette ressource
Sécuriser votre système d’impression
Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.