Depuis plusieurs mois, des campagnes de phishing exploitent un flux OAuth légitime pour obtenir un accès direct aux comptes Microsoft 365 des victimes. Une méthode connue, mais désormais utilisée à grande échelle.
Depuis le temps que je le dis, la double authentification n’apporte aucun gains, à part nous pister encore plus.
Vous avez déjà vu un voleur rentrer chez quelqu’un avec la clef ? alors qu’il suffit de casser la serrure.
Les pirates n’ont jamais eu besoin des mots de passe, et ce n’est pas le compte de monsieur et madame michu avec un accès limité, qui est visé à chaque fois
Je dirais qu’il y a les double authentification non standard, et les standards.
Malheureusement pour se connecter sur les services de Microsoft, dont nous sommes malheureusement bon nombre d’entre nous contraint, la double authentification standard ne fonctionne.
Il n’est pas possible par exemple de se connecter avec une appli libre 2FA comme Aegis. Il est obligatoire d’utiliser MS Authenticator, permettant ainsi à Microsoft de forcer les utilisateurs à utiliser son applis.
Et son appli Microsoft Authenticator stockent les données sur ses serveurs
Et d’ailleurs on le voit dans le comparatif :
https://www.justgeek.fr/meilleures-applications-authentification-a-deux-facteurs-2fa-79353/
Du coup, il ne faut pas généraliser, et en effet la solution 2FA de Microsoft plus intrusive n’est pas la solution miracle. Une solution libre serait tout aussi bien.
Alors, oui Microsoft met en avant son application Microsoft Authenticator, mais non, elle ne l’impose pas. Il suffit de cliquer sur le lien Configurer un autre application.
Si le lien n’est pas disponible, c’est le choix de l’administrateur de Tenant et non de Microsoft.
Vous faites erreur, les applications alternatives à Microsoft Authenticator fonctionnent très bien
La double authentification apporte une sécurité supplémentaire qu’il faut absolument mettre en place. Dire que ça n’apporte rien est faux.
Enfin, Mme michu intéresse aussi les pirates, n’allez pas croire le contraire.
1 « J'aime »
Quand la politique par defaut appliquée à tous les tenant 365, et recommandé par Microsoft de surcroit. Laisse la possibilité à un utilisateur sans droit admin de valider une application qui elle pourra faire des taches admin. Ce n’est pas le détournement d’une fonctionnalité c’est une faille critique de sécurité les TPE et PME n’ont pas de service Cyber pour faire des réglages aussi techniques. Ca va etre un carnage . Réglage choix 1 à faire (Ils auraient validé le choix 2 ca limiterait les dégats) or c’est le choix 3 (Open bar) qui est validé par défaut.
Consentement de l’utilisateur pour les applications
Configurez si les utilisateurs peuvent autoriser les applications à accéder aux données de votre organisation. En savoir plus
Choix 1 Ne pas autoriser le consentement de l’utilisateur
Un administrateur sera requis pour toutes les applications.
Choix 2 Autoriser le consentement de l’utilisateur pour les applications provenant d’éditeurs vérifiés, pour les autorisations sélectionnées
Choix 3 Tous les utilisateurs peuvent accorder des autorisations classées comme ayant un « impact faible », pour les applications provenant d’éditeurs vérifiés ou pour les applications enregistrées dans cette organisation.
Laisser Microsoft gérer vos paramètres de consentement (recommandé)
Mettez automatiquement à jour votre entreprise en fonction des directives de consentement des utilisateurs actuelles de Microsoft. En savoir plus
1 « J'aime »
Choix 3 = Laisser Microsoft gérer vos paramètres de consentement (recommandé)
Mettez automatiquement à jour votre entreprise en fonction des directives de consentement des utilisateurs actuelles de Microsoft. En savoir plus
https://learn.microsoft.com/fr-fr/entra/identity/enterprise-apps/manage-app-consent-policies?pivots=ms-graph#microsoft-recommended-current-settings