Sécurité : Microsoft renforce sa double authentification MFA
Avec le lancement d’Office 365, Microsoft avait progressivement généralisé l’authentification forte. Notamment grâce à son application mobile Authenticator. Mais une nouvelle menace a forcé l’éditeur à revoir sa copie. Changements en vue dès la fin février 2023.
L’authentification forte, ou MFA (Mutli Factor Authentication), n’est plus une nouveauté pour vous. Ni pour personne d’ailleurs. Tous les éditeurs d’applications en ligne, de Google à LinkedIn en passant par les réseaux sociaux grand public, ont adopté cette procédure d’identification. Elle consiste à ajouter à votre mot de passe une seconde protection, la combinaison seule des deux vous laissant accéder au service.
Il faut dire que la protection de nos comptes en avait bien besoin. Malgré, ou à cause de, la digitalisation de nos activités, la protection de nos comptes et de notre vie numérique est devenue un enjeu majeur. Surtout si l’on considère que, année après année, le grand gagnant du palmarès des mots de passe les plus utilisés reste l’indéboulonnable « 123456 ».
Office 365 dope l’authentification MFA
Microsoft n’a pas échappé à la règle. La commercialisation massive de ses services en ligne, initiée en 2011 avec Office 365, à imposé à l’éditeur de continuellement renforcer la protection des comptes de ses utilisateurs. Cet effort s’est matérialisé par l’application Authenticator, devenue un standard du marché. Elle permet de compléter votre mot de passe – quelque chose que vous savez – avec un autre facteur d’authentification – quelque chose que vous possédez, comme votre smartphone par exemple.
Dans les faits, votre compte est associé à votre smartphone, et chaque demande d’authentification MFA relaie une demande d’approbation sur celui-ci par le biais de l’application Authenticator. D’autres facteurs supplémentaires peuvent venir s’ajouter pour approuver la demande, comme un facteur biométrique (quelque chose qui n’appartient qu’à vous, comme une reconnaissance faciale ou une empreinte digitale).
Il est important de noter que d’autres formes d’approbation sont aussi permises par Microsoft, en dehors d’Authenticator, telles que l’appel téléphonique ou l’envoi d’un code par SMS. Elles utilisent toutes le même médium – votre smartphone – mais des méthodes différentes. Dans le cas de l’appel téléphonique, Microsoft vous contacte sur votre mobile et la validation passe par l’appui sur la touche « # ».
Attaques de fatigue vs. MFA renforcé
C’est justement ce type d’approbation sans saisie – appui sur le bouton d’approbation d’Authenticator ou sur la touche « # » du téléphone – qui pose souci. En effet, en cas de vol de votre mot de passe, un pirate potentiel va utiliser ces méthodes, si elles sont permises par votre organisation, pour vous amener à valider le deuxième facteur d’authentification.
Le risque d’une approbation malencontreuse n’est pas nul une fois la barrière de votre code secret franchie
Ce genre d’attaque, dite « de fatigue », repose sur une certaine forme d’exaspération digitale, qui nous amène à repousser rapidement et sans y prêter attention les sollicitations qui détournent notre attention. Comme les notifications du téléphone que nous faisons glisser machinalement vers le haut de l’écran, ou les conditions générales que nous balayons pour accéder rapidement à un service en ligne.
Selon Microsoft, 1% des utilisateurs attaqués de cette façon approuvent dès la première tentative une demande de connexion dont ils ne sont pas l’auteur. Si ce chiffre peut paraître faible, il faut le mettre en regard du nombre de comptes Microsoft (cela se compte en dizaines de millions) et sur la relative faiblesse générale des mots de passe (ou plutôt, leur réutilisation à l’infini sur plusieurs comptes).
Microsoft a donc décidé de réagir, fidèle aux efforts de sécurisation dont la société américaine fait preuve depuis maintenant plusieurs années. Et réagir rapidement, puisque des changements ont été annoncés en octobre 2022 pour une mise en place seulement 4 mois plus tard à l’échelle mondiale. Compte tenu de l’ampleur de ces modifications, il s’agit d’un défi de taille.
Activation à marche forcée
Concrètement, Microsoft activera progressivement par défaut dans ses comptes dès le 27 février 2023 une fonction appelée number matching – correspondance numérique. A chaque demande de connexion, l’application à laquelle vous vous connectez présentera un nombre de 10 à 99, généré aléatoirement. Vous devrez donc saisir ce nombre dans Authenticator pour pouvoir approuver la demande de connexion.
Si vous n’êtes pas à l’origine de cette demande de connexion, vous n’aurez pas de nombre en face de vous. L’approbation par dépit ne sera donc plus possible. Autre avantage : Authenticator affichera des informations complémentaires au moment de la connexion. Il s’agira du service à l’origine de la demande d’approbation, de l’appareil sur lequel elle a été réalisée ou encore de sa localisation géographique.
Cette nouvelle mouture d’Authenticator identifie plus clairement l’origine des demandes d’authentification, pour peu qu’on soit attentif
Cette méthode présente plusieurs avantages. A l’usage, la saisie du nombre à deux chiffres n’est pas contraignante, la taille limitée du code évitant les erreurs et ne ralentissant quasiment pas le processus d’authentification. Surtout, tout en empêchant un pirate de se connecter, elle vous fait prendre conscience que votre compte est à risque, puisque la première étape, celle du mot de passe justement, a été franchie à votre insu.
Comment profiter de cette mise à niveau ? Il n’y a rien de particulier à faire, puisque la fonction sera activée par Microsoft, si ce n’est informer vos utilisateurs. Et leur demander de mettre à jour Authenticator : seules les versions récentes seront supportées pour saisir le code à deux chiffres. Profitez-en évidemment pour leur demander de mettre à jour leur mot de passe, avec un code unique et propre à leur compte Microsoft, histoire de renforcer (aussi) cette première barrière.
Emmanuel Dardaine