Microsoft renforce sa politique de sécurité en matière d’authentification multi-facteurs, et va imposer le « number matching » lors d’une notification push de demande d’autorisation dans son application Microsoft Authenticator

Les services cloud tels que ceux de Microsoft 365, du fait de leur accès via le réseau public Internet, sont la cible préférée des cybercriminels.  Si le service en lui même est sécurisé par Microsoft, la première faille de sécurité exploitée par les pirates est à chercher du côté de l’utilisateur en lui même.

La compromission des mots de passe étant un problème fréquent, l’utilisation d’une seconde couche d’authentification de type multi-facteur est devenue courante.  Cette technique vise à utiliser 2 couches d’authentification : une première à l’aide d’un mot de passe que l’on connait, et ensuite à l’aide d’un appareil (tel que smartphone) que l’on possède.  Le principe de sécurité est ainsi que même si le mot de passe est compromis et connu du hackeur, il devrait lui être impossible d’accéder au compte car il ne possède pas l’appareil nécessaire à la 2ème étape d’authentification.

Toutefois, une technique dite de « fatigue MFA » (ou MFA Bombing) est de plus en plus utilisée, celle-ci vise une fois de plus une faiblesse au niveau de l’utilisateur : en bombardant de façon régulière l’utilisateur de demandes push d’authentification qu’il reçoit sur son smartphone (dans son application Microsoft Authenticator par exemple), le pirate espère agacer l’utilisateur et l’inciter à valider l’authentification, donnant ainsi un accès au pirate.

Cette technique a déjà fait ses preuves à de nombreuses reprises, même dans de grandes entreprises telless que Uber ou Cisco.  

C’est afin de lutter contre cette technique que Microsoft a décider de modifier sa méthode d’authentification en activant par défaut le « number matching » : pour pouvoir confirmer l’authentification sur son smartphone , l’utilisateur devra introduire un nombre qui sera affiché sur son ordinateur depuis le service où il souhaite s’authentifier.  Il ne s’agira plus de simplement cliquer pour approuver ou refuser la connexion, il faudra en plus par cette méthode confirmer que c’est bien l’utilisateur lui même qui a volontairement fait la demande de connexion.

Si cette sécurité supplémentaire était déjà disponible de par le passé, elle devient à présent obligatoire.

Ceci ne concerne que l’application Microsoft Authenticator, qui propose une simple notification demandant « autorisez-vous la connexion ? ».  Il n’y a pas de changement pour l’authentification par SMS ou via l’application Google Authenticator : il est toujours nécessaire d’introduire sur le site un code numérique qui est affiché sur l’écran du téléphone (l’inverse donc de l’application Microsoft).

Vous pouvez obtenir plus d’informations dans la documentation officielle Microsoft.