Microsoft Authenticator – Campagne d’inscription
Depuis la mise en service d’Entra, gestion des identités (nouvelle version Azure AD), Microsoft tente d’augmenter la sécurité de sa plateforme. Peut-être de manière trop intrusive, sans tenir compte de vos difficultées à faire vous-même adopter les principes de base de la protection des identités de vos utilisateurs.
MFA (Authentification à facteurs multiples)
L’authentification multifacteur (MFA) est une méthode d’authentification dans laquelle l’utilisateur doit fournir au minimum deux facteurs de vérification pour accéder à une ressource de type application ou compte en ligne. Au lieu de se contenter d’un nom d’utilisateur et d’un mot de passe, la MFA exige un ou plusieurs facteurs de vérification supplémentaires, ce qui réduit la probabilité qu’une cyberattaque puisse réussir.
Dans le cadre de Microsoft 365, les facteurs d’authentifications supplémentaires sont divers et peuvent (pouvaient) être choisis librement par l’utilisateur lui-même.
– SMS
– Appel Vocal
– Application Authenticator (Microsoft) sur mobile
Sauf que depuis peu, cette liberté de choix n’est plus tout à fait à l’ordre du jour et au gout de Microsoft. Certainement parce que le nombre d’attaques sur les plateformes 365 se font de plus en plus fréquentes.
Si vous avez mis en place, le MFA, comportement par défaut de votre plateforme, il est fort probable que la méthode d’authentification supplémentaire la plus répandue soit le SMS. Bien que cette méthode soit efficace, elle est jugée, par Microsoft, comme moins sécurisée que leur application mobile ‘Authenticator’.
Dernièrement, il se pourrait que vos utilisateurs éprouvent quelques difficultés à se connecter, car ils ont un message leur imposant d’installer ‘Authenticator’ et d’abandonner l’utilisation du SMS sous peine de voir leur compte bloqué. Ce comportement n’est en rien une approche que vous avez configurée, elle est imposée par Microsoft à votre insu.
Qu'en est-il sur votre plateforme ?
Depuis la consolde d’administration Entra ‘Identités’, vous pouvez consulter les paramètres de la campagne d’inscription aux méthodes d’authentification. https://entra.microsoft.com/
On peut constater ici que votre campagne est gérée directement par Microsoft. Ce qui a comme conséquence d’imposer Microsoft Authenticator à vos utilisateurs qui sont sous une stratégie MFA.
Exemple : Un utilisateur sous MFA (via SMS) au moment d’une connexion
Nous allons donc désactiver la campagne d’inscription à ‘Microsoft Authenticator’
Il faut patienter quelques minutes, pour que ma nouvelle configuration soit prise en compte. Et je peux retenter une connexion avec mon utilisateur de test.
On peut donc se rendre compte que notre utilisateur n’est plus contraint d’utiliser Microsoft Authenticator, qu’il peut continuer à utiliser l’authentification forte par SMS.
Conclusions
Même si l’objectif est louable, renforcer la sécurité, la méthode de Microsoft pour faire passer Authenticator en force ‘à votre insu’ est discutable. Dans un cadre scolaire, imposer une application mobile, dans le cadre d’une plateforme scolaire, sur des téléphones d’enseignants ou d’étudiants est un sujet largement discutable. N’oublions pas que ces applications M365 installées sur des mobiles privés vont remonter un ensemble d’informations vers votre plateforme scolaire. Comme par exemple, le nom du mobile, son système d’exploitation et sa version.
