Microsoft a averti ses clients aujourd’hui qu’elle désactivera définitivement l’authentification de base dans des locataires aléatoires du monde entier afin d’améliorer la sécurité d’Exchange Online à partir du 1er octobre 2022.
« Depuis notre première annonce il y a près de trois ans, nous avons vu des millions d’utilisateurs abandonner l’authentification de base et nous l’avons désactivée chez des millions de locataires pour les protéger de manière proactive. Mais nous n’avons pas fini, et malheureusement l’utilisation n’est pas encore à zéro. Malgré cela, nous allons commencer à désactiver l’authentification de base pour plusieurs protocoles pour les locataires qui n’ont pas encore été désactivés », a déclaré l’équipe Exchange aujourd’hui.
« À partir du 1er octobre, nous commencerons à sélectionner au hasard des locataires et à désactiver l’accès à l’authentification de base pour MAPI, RPC, Offline Address Book, Exchange Web Services, POP, IMAP, Exchange ActiveSync et Remote PowerShell ».
Les protocoles « seront désactivés définitivement pour l’utilisation de l’authentification de base » au cours de la première semaine de janvier 2023, sans qu’il soit possible d’utiliser à nouveau l’authentification de base.
Jusqu’à présent, Microsoft affirme avoir déjà désactivé l’authentification de base dans des millions de locataires qui ne l’utilisaient pas et désactive également les protocoles inutilisés dans les locataires qui l’utilisent encore afin de les protéger contre les attaques exploitant ce schéma d’authentification non sécurisé.
Vous pouvez trouver plus d’informations sur la préparation de la dépréciation forcée de l’authentification de base en octobre et la meilleure façon de désactiver l’authentification de base à l’avance dans le billet de blog que l’équipe Exchange a publié aujourd’hui.