Microsoft désactivera l’authentification de base pour Exchange Online le mois prochain… mais pas tout à fait

Il y a près de trois ans, Microsoft a annoncé qu’il supprimait l’authentification de base d’Exchange Online et passait à l’authentification moderne (OAuth 2.0). Depuis, l’entreprise publie régulièrement des rappels invitant les clients à déménager au plus vite. En fait, même Google a publié une recommandation selon laquelle les clients qui utilisent Calendar Interop pour synchroniser les réunions entre Google Calendar et Exchange Online devraient passer à l’authentification moderne.

Microsoft a publié une autre newsletter aujourd’hui , avertissant les clients qu’elle commencera à désactiver l’authentification de base à partir du 1er octobre… avec quelques modifications.

Cependant, le processus d’obsolescence est intéressant car il est progressif. À partir du 1er octobre, Microsoft commencera à sélectionner au hasard des locataires, puis à désactiver l’accès à l’authentification de base pour MAPI, RPC, le carnet d’adresses hors ligne (OAB), les services Web Exchange (EWS), POP, IMAP, Exchange ActiveSync (EAS) et le powershell à distance. Il est important de noter que le protocole ne sera pas désactivé pour SMTP AUTH.

Les locataires concernés seront informés sept jours avant le changement et seront également avisés le jour du changement. Microsoft a noté que l’utilisation de l’authentification de base n’est toujours pas à 0 % malgré de nombreux avertissements. La société déclare que :

Nous reconnaissons que, malheureusement, de nombreux locataires ne sont pas encore prêts pour ces changements. Malgré de nombreux articles de blog, messages du centre de messagerie, interruptions de service et couverture dans les tweets, vidéos, présentations de conférence, etc., certains clients ne sont toujours pas au courant des changements à venir. Il existe également de nombreux clients soucieux des délais qui n’ont tout simplement pas fait le travail nécessaire pour éviter les temps d’arrêt.

Notre objectif dans ces efforts a toujours été de protéger vos données et vos comptes contre le nombre croissant d’attaques que nous constatons en utilisant l’authentification de base.

Cependant, nous comprenons que le courrier électronique est un service essentiel pour bon nombre de nos clients, et la désactivation de l’authentification de base pour nombre d’entre eux pourrait avoir des implications très importantes.

Cependant, il y a un hic. Les clients qui ne sont pas encore prêts pour ce changement de configuration pourront réactiver l’authentification de base une fois par protocole. Cela peut être fait à l’aide d’un outil en libre-service, et les protocoles d’authentification de base réactivés continueront de fonctionner jusqu’à fin décembre 2022. À partir de la première semaine de l’année prochaine, Microsoft désactivera définitivement l’authentification de base.

À certains égards, il s’agit plus d’une obsolescence « douce » que d’une obsolescence « dure », du moins en octobre. Cependant, décembre sera certainement le jour où Basic Auth mourra pour la plupart des protocoles dans Exchange Online, en supposant que Microsoft reste fidèle à sa parole cette fois-ci.

Microsoft a également indiqué que :

Nous ajoutons une nouvelle fonctionnalité à Microsoft 365 pour aider nos clients à éviter les risques associés à l’authentification de base. Cette nouvelle fonctionnalité modifie le comportement par défaut des applications Office pour bloquer les demandes de connexion à l’aide de l’authentification de base. Avec cette modification, si les utilisateurs essaient d’ouvrir des fichiers Office sur des serveurs qui utilisent uniquement l’authentification de base, ils ne verront aucune invite pour se connecter avec l’authentification de base. Au lieu de cela, ils verront un message indiquant que le fichier est verrouillé car il utilise une méthode de connexion qui pourrait ne pas être sécurisée.

Si vous êtes un administrateur informatique obsédé par l’utilisation de l’authentification de base, vous devriez consulter le guide Microsoft ici .