Hormis le fait que le 13 octobre sera la Saint Edouard, (ce qui n’aura échappé à personne), Microsoft a annoncé l’arrêt de l’authentification basique à cette date sur l’environnement Exchange online. Plutôt que de subir cela de plein fouet le jour où cela surviendra ; il peut être opportun de s’y préparer un peu. Cette publication vous aidera à y voir clair, je l’espère.
Préparer vos clients Exchange Online pour la Saint Edouard 2020
L’authentification basique pour ceux qui ne le savent pas encore, consiste à faire passer dans un tunnel sécurisé, ici HTTPS, les informations de connexion de l’utilisateur pour qu’il puisse accéder au service demandé, ici Exchange Online. Cette méthode d’authentification n’étant pas compatible avec des fonctions comme l’authentification à plusieurs facteurs (MFA), je dirais qu’elle a plutôt fait son temps. Au regard des exigences de sécurité relatives aux services SaaS, cette méthode n’offre plus un niveau de sécurité suffisant et doit légitiment être supprimée.
Le problème qui se pose donc est d’identifier les programmes ou applications qui seraient susceptibles d’utiliser encore cette bonne vielle méthode. Si l’on s’en réfère à la documentation Microsoft, les applications mobiles et suites Office qui sont capables de s’en passer sont les suivantes :
- Outlook 2013 ou version ultérieure (Outlook 2013 nécessite une modification de clé de Registre) (voir : https://docs.microsoft.com/en-us/microsoft-365/admin/security-and-compliance/enable-modern-authentication?view=o365-worldwide)
- Outlook 2016 pour Mac ou version ultérieure
- Outlook pour iOS et Android
- Courrier pour iOS 11.3.1 ou version ultérieure
Un fois avoir pris cela en compte… il reste encore un petit bout de chemin à faire. Car quid
- Des applications de messagerie mobile de tous les utilisateurs en BYOD,
- De mes connexions en PowerShell ?
- .
Dans le tableau suivant toujours issu de la documentation Microsoft, l’authentification basique est utilisée dans Exchange Online par les protocoles suivants :
| Protocole ou service | Description | Nom du paramètre |
| Exchange Active Sync (EAS) | Utilisé par certains clients de messagerie sur les appareils mobiles. | AllowBasicAuthActiveSync |
| Découverte automatique | Utilisé par les clients Outlook et EAS pour rechercher des boîtes aux lettres dans Exchange Online et s’y connecter | AllowBasicAuthAutodiscover |
| IMAP 4 | Utilisé par les clients de messagerie IMAP. | AllowBasicAuthImap |
| MAPI sur HTTP (MAPI/HTTP) | Utilisé par Outlook 2010 et versions ultérieures. | AllowBasicAuthMapi |
| Carnet d’adresses en mode hors connexion | Une copie des collections de listes d’adresses qui sont téléchargées et utilisées par Outlook. | AllowBasicAuthOfflineAddressBook |
| Service Outlook | Utilisé par l’application de messagerie et de calendrier pour Windows 10. | AllowBasicAuthOutlookService |
| POP3 | Utilisé par les clients de messagerie POP. | AllowBasicAuthPop |
| Services Web de création de rapports | Permet de récupérer les données de rapport dans Exchange Online. | AllowBasicAuthReportingWebServices |
| Outlook Anywhere (RPC sur HTTP) | Utilisé par Outlook 2016 et les versions antérieures. | AllowBasicAuthRpc |
| SMTP authentifié | Utilisé par les clients POP et IMAP pour envoyer des messages électroniques. | AllowBasicAuthSmtp |
| Services Web Exchange (EWS) | Interface de programmation utilisée par Outlook, Outlook pour Mac et les applications tierces. | AllowBasicAuthWebServices |
| PowerShell | Permet de se connecter à Exchange Online à l’aide de PowerShell à distance. Si vous bloquez l’authentification de base pour Exchange Online PowerShell, vous devez utiliser le module Exchange Online PowerShell pour vous connecter. | AllowBasicAuthPowerShell |
Téléchargez cette ressource
Sécuriser votre système d’impression
Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.
Par contre, seuls les protocoles concernés par l’annonce faite par Microsoft sont :
- Exchange ActiveSync (EAS), (Applications mobiles sur tablette ou Smartphone)
- IMAP, POP (vieux clients de messagerie)
- Remote PowerShell
La protocole SMTP AUTH, qui est utilisé par grand nombre de dispositifs et d’appareils pour envoyer du courrier n’est pas concerné pour le moment, et ce malgré le fait que Microsoft travaille actuellement sur les moyens de le sécuriser davantage.
Microsoft a eu le bon gout de prévoir ces modifications, par l’usage de stratégies qui permettent de restreindre l’authentification basique par protocole cité ci-dessus, soit de façon unilatérale, soit, et c’est ce qui va vous permettre de vous préparer, par utilisateur.
Autrement dit, vous allez pouvoir créer une stratégie restreignant l’authentification sur tout ou partie, des services précités et l’affecter à un groupe d’utilisateurs pilotes. Cette méthode vous permettra d’identifier assez rapidement les périphériques, les applications ou les différents services qui se connectent encore avec cette méthode.
L’autre intérêt des stratégies est qu’il suffit de sortir l’utilisateur de cette stratégie pour que l’authentification basique redevienne possible. Attention tout de même, le changement de stratégie peut prendre jusqu’à 24 heures. Le détail de la mise en place de ces stratégies peut être trouvé ici :
Je ne saurais trop vous conseiller de prendre cela au sérieux et de démarrer rapidement des phases de test, car pour l’avoir vécu par le passé à grande échelle, la désactivation de l’authentification basique a parfois sur des applications non identifiées des effets assez…. Immédiats.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Les actions pour un environnement de travail numérique durable
- Fin de vie pour Windows Server Update Services ! Après ?
- Cycle des données d’IA : le rôle stratégique du stockage dans l’entreprise
- DAF 2035 : principaux axes de transformation
- Les attaques par détournement de session : attention aux cookies et jetons de session
