Fin de la campagne de longue date visant à éradiquer l’authentification de base pour renforcer la sécurité d’Exchange Online

 

Le 12 septembre, j’ai reçu les notifications du centre de messages MC284549 et MC284559, qui m’informaient toutes deux que Microsoft avait désactivé l’authentification de base pour POP3, IMAP4, Remote PowerShell, Exchange Web Services (EWS), le carnet d’adresses hors ligne (OAB), Exchange ActiveSync (EAS), SMTP AUTH et MAPI (figure 1). Je peux affirmer que rien de fâcheux ne s’est produit depuis. Tout a continué à fonctionner et le monde a continué à tourner.

Pour confirmer que l’authentification de base est bloquée pour les protocoles cibles, exécutez la cmdlet Get-OrganizationConfig et examinez la propriété BasicAuthBlockedApps. Dans mon cas, la valeur renvoyée est 255 : 255 signifie que l’authentification de base est bloquée pour tous les protocoles. Il s’agit d’un masque de bits composé de valeurs pour chaque protocole. Zéro (0) signifie que l’authentification de base n’est bloquée pour aucun protocole. Les autres valeurs sont : Exchange ActiveSync (EAS) : 1 Exchange Web Services (EWS) : 2POP3 : 4IMAP4 : 8Remote PowerShell : 16MAPI sur RPC (Outlook Anywhere) : 32 Carnet d’adresses en ligne (OAB) : 64RPC : 128

La désactivation de l’authentification de base pour plusieurs protocoles de connexion n’était pas inattendue. Microsoft a signalé que cela pourrait se produire dans sa mise à jour de juin 2021 sur sa campagne longue et très retardée visant à éradiquer l’authentification de base d’Exchange Online. Ma seule plainte est que je n’ai pas reçu la notification du centre de messages 30 jours avant la désactivation des protocoles par Microsoft. C’est peut-être la raison pour laquelle j’ai reçu deux messages lorsque la désactivation a eu lieu (pour être juste envers Microsoft, je pourrais avoir négligé le message initial, qui a ensuite expiré et a disparu de la vue). Quoi qu’il en soit, les choses se sont déroulées sans problème et Exchange Online continue de fonctionner sans problème dans mon locataire sans authentification de base. Alors que le compte à rebours se poursuit vers le jour de la dépréciation, Microsoft prévoit de publier des messages d’information mensuels dans le centre d’administration de Microsoft 365 pour indiquer aux locataires qui utilisent encore l’authentification de base quel niveau d’utilisation existe dans leur environnement. Voici un exemple du type d’informations que vous pouvez vous attendre à voir :

Sur la base de notre télémétrie, il se peut que certains utilisateurs de votre locataire utilisent actuellement l’authentification de base et nous nous attendons à ce que ces utilisateurs soient affectés lorsque ces changements auront lieu. Au cours du mois d’octobre, nous avons détecté l’utilisation suivante :

Exchange ActiveSync : 11 POP : 1 IMAP : 0 Outlook Windows : 13 Outlook pour Mac/Exchange Web Services : 0 Exchange Remote PowerShell : 0

 

Le 1er octobre 2022 est un grand jour pour Exchange Online

Cependant, les choses sont sur le point de devenir beaucoup plus intéressantes pour de nombreuses autres organisations avec la décision de Microsoft selon laquelle « à compter du 1er octobre 2022, nous commencerons à désactiver définitivement l’authentification de base dans tous les locataires, quelle que soit leur utilisation. » En d’autres termes, dans un an, l’authentification de base pour Exchange Online disparaît, même si une organisation souhaite la maintenir en place pour une raison quelconque. C’est un très gros changement. La logique qui sous-tend cette décision est que la suppression de l’authentification de base renforce la sécurité de l’ensemble du service Exchange Online et de ses locataires et arrête les attaquants qui cherchent à compromettre des comptes d’utilisateurs individuels. Cette évolution pourrait être douloureuse pour certains, mais dans l’ensemble, c’est une bonne chose. La décision de supprimer l’authentification de base est un changement majeur.

Mise à jour du 27 septembre : pour fluidifier la progression vers la suppression de l’authentification de base, Microsoft fait une exception pour SMTP AUTH. 

Mise à jour du 12 novembre : Microsoft a publié un résumé utile des actions qu’il entreprend pour supprimer l’authentification de base d’Exchange Online.