Microsoft donne un délai de 60 jours aux administrateurs pour activer l'AMF
« À partir du 15 octobre 2024, nous demanderons aux utilisateurs d'utiliser l'authentification multifactorielle (AMF) pour se connecter au portail Azure, au centre d'administration Microsoft Entra et au centre d'administration Intune. Pour que vos utilisateurs puissent conserver leur accès, vous devrez activer l'authentification multifactorielle avant le 15 octobre 2024 », a déclaré Microsoft dans un communiqué publié jeudi. Les administrateurs qui ont besoin de plus de temps pour se conformer à l'obligation peuvent repousser la date d'application pour chaque utilisateur jusqu'au 15 avril 2025, entre le 15 août et le 15 octobre.
Cependant, Microsoft met en garde contre les risques liés au report de la mise de l'AMF. « En repoussant la date de mise en application, vous prenez un risque supplémentaire, car les comptes qui accèdent aux services Microsoft tels que le portail Azure sont des cibles de grande valeur pour les acteurs de la menace. Nous recommandons à tous les locataires de mettre en place l'AMF dès maintenant pour sécuriser les ressources du cloud ». Certains jugent le délai trop court.
Les administrateurs peuvent contrôler qui a configuré l'AMF parmi leurs utilisateurs en utilisant le rapport d'enregistrement des méthodes d'authentification ou un script PowerShell pour obtenir un rapport rapide sur l'état de l'AMF dans l'ensemble de la base d'utilisateurs. En outre, au début de l'année 2025, Microsoft commencera à imposer l'AMF pour les connexions à Azure pour ceux qui veulent accéder aux outils Azure PowerShell, CLI et Infrastructure as Code (IaC).
« À partir du mois d'octobre, l'AMF sera nécessaire pour se connecter au portail Azure, au centre d'administration Microsoft Entra et au centre d'administration Intune. L'application sera étendue progressivement à tous les utilisateurs dans le monde entier. Début 2025, nous commencerons l'application progressive de l'AMF à la connexion pour Azure CLI, Azure PowerShell, Azure mobile app, et les outils Infrastructure as Code (IaC) », explique un communiqué de l'entreprise.
Il convient toutefois de noter que les utilisateurs finaux qui ne se connectent pas au portail Azure, à la CLI ou à PowerShell, mais qui accèdent à des applications et à des services, ne seront pas tenus d'utiliser l'authentification à deux facteurs, à moins que les propriétaires de ces services ne l'exigent.
Microsoft tente de réduire la surface d'exposition des clients grâce à l'AMF
Microsoft Azure a récemment été la cible d'une cyberattaque qui a entraîné une panne de plusieurs heures. Si l'obligation de connexion par authentification multifactorielle récemment annoncée n'aurait pas empêché ce type d'attaque par déni de service distribué (DDoS), elle aura un impact positif sur la protection des données et de l'identité des utilisateurs. Cette mesure fait partie de la Secure Future Initiative (SFI) et vise à garantir que les comptes Azure sont protégés contre les tentatives d'hameçonnage et de détournement en appliquant l'AMF obligatoire pour toutes les tentatives d'ouverture de session sur la plateforme.
« Alors que les cyberattaques sont de plus en plus fréquentes, sophistiquées et préjudiciables, la protection de vos actifs numériques n'a jamais été aussi cruciale. Il n'est donc pas surprenant que l'un des principaux piliers de SFI s'engage à protéger les identités et les secrets. Nous voulons réduire le risque d'accès non autorisé en mettant en œuvre et en appliquant les meilleures normes pour l'ensemble de l'infrastructure des identités et des secrets, ainsi que pour l'authentification et l'autorisation des utilisateurs et des applications », indique le communiqué de Microsoft. C'est là qu'intervient le nouveau mandat.
L'annonce a été faite par Naj Shahid et Bill DeForeest, deux principaux responsables de produits au sein de l'équipe Azure Compute. Elle fait référence à une étude récente de Microsoft révélant que l'AMF peut bloquer plus de 99,2 % des attaques de compromission de comptes. Il est donc essentiel de protéger les comptes Azure à l'aide d'une AMF gérée en toute sécurité et qui résiste à l'hameçonnage. Microsoft a déclaré qu'il prendrait les mesures suivantes :
- protéger la signature de l'infrastructure d'identité et les clés de plateforme ;
- renforcer les normes d'identité et favoriser leur adoption ;
- garantir que 100 % des comptes d'utilisateurs sont protégés par l'authentification multifactorielle ;
- garantir que 100 % des applications sont protégées par des informations d'identification gérées par le système ;
- garantir que 100 % des jetons d'identité sont protégés par une validation durable et avec état ;
- adopter un partitionnement plus fin des clés de signature d'identité et des clés de plateforme ;
- veiller à ce que les systèmes d'infrastructure d'identité et de clé publique soient prêts pour un monde de cryptographie post-quantique.
Les produits et services de Microsoft font partie des plateformes les plus ciblées par les cybercriminels. Les plateformes de Microsoft étant présentes dans de nombreuses infrastructures critiques des États-Unis et dans le monde entier, certains analystes se sont inquiétés des risques pour la sécurité nationale. Microsoft a été confronté à plusieurs attaques ces dernières années, notamment le piratage de son serveur de messagerie Exchange qui a compromis au moins 30 000 organisations en 2021, ainsi que la violation par des pirates affiliés à l'État chinois des courriels du gouvernement américain l'année dernière.
« En imposant l'AMF pour les connexions à Azure, nous souhaitons vous offrir la meilleure protection possible contre les cybermenaces. Nous apprécions votre coopération et votre engagement à renforcer la sécurité de vos ressources Azure », a déclaré Microsoft.
Plusieurs rapports remettent en cause les pratiques de sécurité de Microsoft
Fin janvier, Microsoft a déclaré dans un rapport que des pirates informatiques affiliés à l'État russe se sont introduits dans le système de messagerie électronique interne de Microsoft et ont accédé aux comptes des membres de l'équipe dirigeante, ainsi qu'à ceux des employés des équipes chargées de la cybersécurité et des affaires juridiques. Microsoft ajoute que l'intrusion a commencé fin novembre et a été découverte le 12 janvier. Microsoft attribue l'attaque au groupe de pirates Midnight Blizzard (Nobelium) et a précisé qu'un très faible pourcentage des comptes d'entreprise de Microsoft avaient été consulté.
Les violations répétées subies par Microsoft ces dernières années ont alarmé certains experts qui ont fait part de leurs inquiétudes croissantes quant à la sécurité des systèmes et services du géant de Redmond. « Le fait que l'un des plus grands fournisseurs de logiciels soit lui-même en train d'apprendre les choses au fur et à mesure est un peu effrayant. Vous n'avez pas l'assurance, en tant que client, qu'il ne se passe pas quelque chose de plus grave. Ces attaques témoignent également de l'agressivité des pirates », a déclaré Jerome Segura, chercheur principal en menace de la société de cybersécurité Malwarebytes.
L'attaque est restée en cours pendant plusieurs avant que Microsoft ne la détecte, ce que Segura a qualifié de déconcertant. À la suite de l'incident provoqué par le groupe Nobelium, un rapport du US Cyber Safety Review Board a fustigé Microsoft pour sa culture de sécurité inadéquate, ses déclarations publiques inexactes et sa réponse à des failles de sécurité évitables. Le rapport estime que les pratiques de sécurité de Microsoft ne sont pas à la hauteur.
« La Commission estime que cette intrusion était évitable et n'aurait jamais dû se produire. La Commission conclut également que la culture de sécurité de Microsoft était inadéquate et nécessite une refonte, en particulier à la lumière du rôle central de la société dans l'écosystème technologique et du niveau de confiance que les clients placent dans la société pour protéger leurs données et leurs opérations », indiquent les auteurs du rapport.
En réponse aux critiques acerbes du rapport, Microsoft a annoncé que la sécurité informatique est maintenant devenue un critère de rémunération de ses cadres. La rémunération de l’équipe de direction senior de Microsoft dépendra en partie de la réalisation des plans et objectifs de sécurité de l’entreprise. Le géant de Redmond n'a toutefois pas précisé quelle part de la rémunération des dirigeants serait dépendante de l'atteinte des objectifs en matière sécurité.
Source : Microsoft (1, 2, 3)
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de l'obligation d'activer l'authentification multifactorielle mise en place par Microsoft ?
L'authentification multifactorielle permettra-t-elle de réduire la surface d'exposition des utilisateurs ?
Que pensez-vous de critiques vis-à-vis de la culture de Microsoft en matière de sécurité ?
Voir aussi
Microsoft affirme que des pirates informatiques russes ont volé son code source après avoir espionné ses dirigeants, ce qui soulève des préoccupations quant aux pratiques de sécurité de l'entreprise
Microsoft annonce que la sécurité informatique devient un critère de rémunération de ses cadres suite à des failles de sécurité jugées « évitables », et une communication estimée insuffisante
Le réseau de Microsoft a été violé par des pirates de l'État russe qui ont exploité un mot de passe faible pour lancer l'attaque, l'intrusion a commencé fin novembre et a été découverte le 12 janvier