L'histoire se répète : le Patch Tuesday de septembre 2021 crée des problèmes avec les impressions sur certaines machines Windows, suite à l'installation des correctifs de sécurité. Que se passe-t-il ?
Microsoft a publié plusieurs correctifs pour combler des failles de sécurité au sein de Windows 10, mais aussi Windows Server. Parmi ces correctifs il y en a un qui permet de venir à bout définitivement de la faille PrintNightmare et de la faille CVE-2021-36958.
D'après les premiers retours des sysadmins, c'est ce correctif en particulier qui poserait quelques problèmes au niveau des impressions. Pour faire court, les utilisateurs ne peuvent plus imprimer après l'installation de la mise à jour. Ce n'est pas surprenant que ce correctif soit en cause puisqu'il corrige une faille de sécurité au sein du Spouleur d'impression de Windows.
Le site Bleeping Computer a mené son enquête et voici ce qu'il faut retenir :
- Le problème a été constaté pour imprimer à partir d'un serveur d'impression sous Windows Server 2012 R2 et Windows Server 2016. Cela ne veut pas dire que le problème n'existe pas avec Windows Server 2019.
- Suite à l'installation de la mise à jour, les machines Windows 10 ne peuvent plus imprimer sur les imprimantes réseau à partir d'un serveur d'impression.
- L'impression sur une imprimante connectée en USB continue de fonctionner même après l'installation du patch.
- Le problème a été constaté sur des imprimantes HP, Canon, Konica Minolta et des imprimantes à étiquettes, que ce soit pour les pilotes de type 3 ou de type 4.
- La seule solution pour le moment serait de désinstaller la mise à jour sur vos machines, en attendant d'avoir une réaction de la part de Microsoft.
En fonction de votre système d'exploitation, voici la KB qui est à l'origine de ce dysfonctionnement :
- Windows Server 2019 : KB5005568
- Windows Server 2012 R2 : KB5005613
- Windows Server 2012 R2 : KB5005627
- Windows Server 2012 : KB5005623
- Windows Server 2012 : KB5005607
- Windows Server 2008 R2 : KB5005615
- Windows Server 2008 : KB5005606
- Windows Server 2008 : KB5005618
- Windows 10 2004, 20H2 et 21H1 : KB5005565
- Windows 10 1909 : KB5005566
- Windows 7 : KB5005615
À l'occasion de sa keynote du 14 septembre, Apple a dévoilé ses nouveaux produits : iPhone 13, Apple Watch Series 7, iPad, etc... Voici un résumé des annonces !
iPhone 13
Les nouveaux iPhone 13 ont bien évidement étaient annoncés, pas de réelles nouveautés hormis le 120Hz pour l'écran, et uniquement sur les modèles Pro. Pour les deux autres modèles, il faudra se contenter du 60 Hz.
Ils disposent bien sûr d'une nouvelle puce plus puissance : l'Apple A15 Bionic, ainsi qu'une autonomie renforcée. On peut dire que l'on est sur une grosse mise à jour de l'iPhone 12.
L'iPhone 13 est décliné en 4 versions :
l'iPhone 13 mini de 5,4 pouces à partir de 809€ et 128 Go de stockage
l'iPhone 13 de 6,1 pouces à partir de 909€ et 128 Go de stockage
l'iPhone 13 Pro de 6,1 pouces à partir de 1 159€ et 128 Go de stockage
l'iPhone 13 Pro Max de 6,7 pouces à partir de 1 259€ et 128 Go de stockage
Il est à noter que la capacité de stockage commence à 128 Go et que les modèles Pro et Pro Max seront également proposés avec 1 To de stockage. Le prix pourra grimper jusqu'à 1 839 euros pour la version la plus haut de gamme.
iPad Mini et iPad 9
L'iPad Mini a enfin le droit à des nouveautés, puisque les dernières évolutions datent de 2019. Ce nouveau modèle va bénéficier d'un nouveau design ressemblant à ce qui se fait sur l'iPad Air. Il en profite pour s'agrandir un petit peu puisqu'il passe de 7,9 à 8,3pouces, avec à la clé un écran Liquid Retina. Lui aussi sera équipé de la puce Apple A15 Bionic et bénéficiera de la 5G.
Il y a un autre changement, et pas des moindres puisque cela concerne la connectique, c'est l'utilisation d'un port USB-C à la place du port Lightning. Il sera compatible avec la charge 20 Watts. Disponible dès le 24 septembre à partir de 559 euros.
Quant à l'iPad 9, c'est une amélioration de l'iPad de l'année dernière avec l'ajout de la puce Apple A13 Bionic. Il possède également un meilleur appareil photo, mais il restera un modèle d'entrée de gamme chez Apple. Prix de départ : 389 euros pour le modèle 64 Go.
Apple Watch Series 7
La nouvelle Apple Watch est désormais officielle ! Cette nouvelle montre connectée hérite de bordures plus fines et d'un écran borderless, un cadran qui passe à 41 mm et 45 mm contre 40 mm et 44 mm sur le modèle précédent. Apple a également ajouté une certification IPX6 et une résistance à l'eau de 50 ATM à son Apple Watch Series 7. En comparaison de l'Apple Watch Series 6, la nouvelle génération se chargerait 33% plus rapidement.
Elle débutera à 399 dollars et sera disponible cet automne.
iOS 15 et iPadOS 15
Ces nouveaux produits seront accompagnés par une nouvelle version logicielle puisque nous allons avoir le droit à iOS 15 et iPadOS 15. Ces nouvelles moutures arriveront le 20 septembre en version finale et l'abonnement Fitness+ arrivera courant automne en France.
Alors, allez-vous craquer pour l'un de ces produits ? Ou peut-être même plusieurs ? Moi, je pense que oui, pour l'iPhone 13 et peut-être la montre Apple Watch 7 !
Dans ce tutoriel, nous allons voir comment utiliser le framework open source Gophish pour créer une campagne de phishing (hameçonnage) dans le but d'évaluer le niveau de vigilance des utilisateurs.
Grâce à Gophish, vous allez pouvoir créer différentes campagnes de phishing et les diffuser auprès de vos utilisateurs, dans le but de les sensibiliser, de les entraîner, afin qu'il soit capable d'adopter les bons réflexes lorsqu'ils se retrouvent face à un e-mail douteux.
Voici les fonctionnalités principales de Gophish :
Création d'utilisateurs et de groupes d'utilisateurs (cibles)
Création de template pour les e-mails de vos campagnes
Création de landing page pour vos campagnes (exemple : un formulaire de connexion)
Envoyer des campagnes de phishing avec suivi des e-mails (e-mail envoyé, e-mail ouvert, clic sur le lien, données récoltées via le formulaire) pour chaque utilisateur
Reporting sur les campagnes
API pour interroger Gophish à distance et récupérer des informations
Voici à quoi ressemble le tableau de bord de Gophish, accessible à partir d'un navigateur :
Tableau de bord de Gophish
Bien sûr, un tel outil peut être détourné pour créer des campagnes malveillantes, mais ce n'est clairement pas l'objectif de cet article.
De nombreuses attaques informatiques débutent par un e-mail malveillant et un utilisateur piégé ! Je vous encourage à utiliser Gophish (ou un autre outil) pour sensibiliser et entraîner vos utilisateurs ! Rien de mieux que la pratique pour vérifier s'ils ont bien compris la session de formation visant à les sensibiliser.
Remarque : via Office 365 / Microsoft 365, Microsoft propose une fonctionnalité qui permet de réaliser des campagnes de phishing pour sensibiliser vos utilisateurs. Cela nécessite d'utiliser des licences Microsoft 365 E5.
II. Rappel : c'est quoi le phishing ?
Le phishing, ou hameçonnage en français, est une technique utilisée dans le cadre d'attaques informatiques pour inciter l'utilisateur à communiquer des informations personnelles (nom d'utilisateur, mot de passe, numéro de carte bancaire, etc.) à partir d'un e-mail, d'un SMS, etc... Qui va rediriger l'utilisateur sur une page Web malveillante.
Par exemple, le pirate informatique va créer une copie de la page de connexion sur Facebook et il va inclure un lien vers cette copie dans l'e-mail qu'il va envoyer aux utilisateurs ciblés. Si l'utilisateur clique sur le lien, accède à la page et saisit ses informations de connexion, le pirate va récupérer les informations saisies par l'utilisateur. Il peut alors usurper l'identité de l'utilisateur et se connecter à son compte Facebook, mais cela fonctionne pour tout autre compte (Google, impôts, banque, etc.).
Exemple d'un e-mail de phishing
III. Installation de Gophish
L'outil Gophish est disponible gratuitement sur Github et il existe des binaires pour Windows, Linux et macOS. Sinon, vous pouvez aussi le compiler vous-même ou utiliser un container Docker pour le tester rapidement.
Pour ma part, je vais utiliser le binaire pour Windows. On obtient un ZIP qu'il suffit de décompresser. Ensuite, il faut exécuter "gophish.exe".
Note : le serveur qui héberge Gophish doit être accessible par les machines de vos utilisateurs pour que la page Web puisse s'afficher lorsqu'ils vont cliquer sur le lien contenu dans l'e-mail.
Par défaut, Gophish s'appuie sur une base de données SQLite, mais il est possible de configurer un serveur MySQL. Le fichier de configuration se nomme "config.json" et il est situé au même endroit que l'exécutable.
Au premier démarrage, il y a quelques informations intéressantes à relever :
Le compte par défaut se nomme "admin" et le mot de passe généré aléatoirement est communiqué dans la console (il faudra le changer à la première connexion)
L'interface de Gophish pour afficher les pages web de vos campagnes est accessible sur le port 80/HTTP
L'interface d'administration de Gophish est accessible en HTTPS sur le port 3333
Démarrage de Gophish
Laissez Gophish tourner et connectez-vous sur l'interface d'administration.
IV. Configuration de Gophish
Pour se connecter depuis la machine locale, il suffit d'accéder à l'adresse "https://127.0.0.1:3333" à partir d'un navigateur. Connectez-vous avec le compte admin et modifiez le mot de passe.
Dans cet exemple, mon objectif est de créer une campagne de phishing en reprenant un e-mail d'Instagram qui renvoie vers une page Web avec un formulaire.
Avant de pouvoir envoyer notre première campagne de phishing, il va falloir préparer un certain nombre d'éléments : c'est ce que nous allons faire, étape par étape. Suivez le guide !
A. Création des utilisateurs et des groupes
Nous devons commencer par créer nos utilisateurs et nos groupes. On peut imaginer qu'un groupe correspond aux utilisateurs d'un service ou d'un site. Lorsqu'une campagne de phishing sera envoyée, il faudra cibler un ou plusieurs groupes.
Cliquez sur "Users & Groups" puis sur "New Group".
Nommez votre groupe en renseignant le champ "Name" et ensuite vous avez deux options :
Créez vos utilisateurs un par un, en remplissant le formulaire et en cliquant sur "Add". Cela peut vite être chronophage...
Créez vos utilisateurs à l'aide d'un fichier CSV que vous pouvez importer avec le bouton "Bulk Import Users". Cela me plaît un peu plus et de toute façon on ne peut pas établir de connexion avec un annuaire externe.
Importer les utilisateurs dans Gophish
On va s'intéresser un peu plus à la deuxième option : l'import CSV. Je ne suis pas trop du genre à faire des saisies en boucle pendant des heures...
D'après le template fourni par Gophish, on doit fournir un fichier CSV avec 4 colonnes et la virgule comme séparateur :
"First Name","Last Name","Email","Position"
Je ne sais pas vous, mais j'ai envie de faire une extraction des comptes de l'Active Directory pour importer les comptes dans Gophish. On va dire que "First Name" correspond à l'attribut "givenName", "Last Name" à l'attribut "sn", "Email" à l'attribut "mail" et "Position" à l'attribut "Title" des objets utilisateurs.
Pour ce premier groupe, je vais récupérer les utilisateurs de l'OU "OU=Personnel,DC=it-connect,DC=local" et exporter le résultat vers un fichier CSV ("C:\UsersGophish.csv").
En PowerShell, cela me donne la commande suivante (et tant qu'à faire avec les bons noms de colonnes souhaités par Gophish). Adaptez le paramètre -SearchBase et éventuellement le chemin de sortie du CSV.
J'obtiens un joli CSV que je n'ai plus qu'à importer.
Exemple d'un CSV formaté pour Gophish
Note : vous pouvez aussi jeter un œil au script GoLDAP qui sert à importer les utilisateurs d'un annuaire LDAP vers Gophish.
Les utilisateurs, c'est réglé ! Passons à la suite.
B. Créer l'e-mail pour la campagne de phishing
Seconde étape : la création du modèle d'e-mail que l'on va envoyer aux utilisateurs dans le cadre de cette campagne de phishing.
Cliquez à gauche sur "Email Templates" puis sur le bouton "New Template".
Pour créer le modèle, vous pouvez partir de zéro ou importer le code HTML d'un e-mail existant (ce qui est intéressant pour gagner du temps) grâce au bouton "Import Email". Pour cet exemple, j'ai repris un modèle que j'ai trouvé ici et que j'ai traduit en français.
Dans tous les cas, je vous recommande d'utiliser l'éditeur HTML afin de pouvoir modifier les balises. Lorsque vous cliquez sur le bouton "Source", vous pouvez basculer entre l'affichage du code et la prévisualisation de votre e-mail. Le bouton le plus à droite permet de prévisualiser l'e-mail dans un nouvel onglet.
Pour accéder à tous les boutons de l'éditeur de texte, notamment pour insérer des liens, il faut cliquer sur le bouton "Source". Vous pouvez aussi insérer des balises où la valeur sera dynamique, notamment pour reprendre le prénom ou le nom de l'utilisateur : avec un "Bonjour Florian", vous avez plus de chance de piéger l'utilisateur qu'avec un simple "Bonjour". À vous de juger le niveau de difficulté que vous souhaitez pour ce premier essai.
Les champs personnalisés pour Gophish
Pour renvoyer vers la landing page qui contient le formulaire, il faut ajouter un lien à l'e-mail. Sur ce lien, il faut indiquer l'URL "{{.URL}}" qui sera remplacée par Gophish par la bonne valeur.
Mon e-mail est prêt, voici un aperçu :
C. Créer la landing page pour récupérer les identifiants
Troisième étape : création de la landing page qui sera une page piégée puisque si l'utilisateur complète le formulaire, nous allons le savoir ! S'il clique sur le lien, nous allons le savoir aussi !
Cliquez sur "Landing Pages" sur la gauche du menu puis sur "New Page".
Donnez un petit nom à votre template et ensuite il faut passer à la construction.
Vous pouvez partir de zéro comme pour l'e-mail ou importer un site à partir d'une URL et du bouton "Import Site". Alors, vous pouvez importer la page d'un site existant, mais il faudra adapter le code source : le formulaire que vous allez récupérer ne sera peut-être pas conforme aux attentes de Gophish (notamment les noms des champs du formulaire). C'est la partie la plus délicate (si vous cherchez à copier Instagram, par exemple), mais si vous reprenez un portail de votre entreprise pour cette campagne, ça devrait aller.
Pour ma part, j'ai créé une page très basique pour cette démo.
Si vous souhaitez récupérer les informations saisies par les utilisateurs, cochez les cases "Capture Submitted Data" et "Capture Passwords" pour le mot de passe (même si vis-à-vis du RGPD, je pense qu'il vaut mieux éviter l'option "Capture Passwords"). Il est précisé que le mot de passe sera stocké en clair, mais finalement on peut se passer de la récupération du mot de passe. Sauf si vous souhaitez engueuler l'utilisateur s'il utilise un mot de passe faible (pour ne pas dire autre chose) en plus de s'être fait piéger.
Si vous arrivez à piéger un utilisateur avec ça, je suis inquiet pour vous. Enregistrez... La page est prête !
D. Configurer le serveur SMTP
Avant de lancer la campagne, il nous reste une dernière étape : la configuration du serveur de messagerie (SMTP). Vous vous en doutez, il va servir à envoyer les e-mails de nos campagnes de phishing.
Sur la gauche, cliquez sur "Sending Profiles" puis sur "New Profile".
Ensuite, vous devez nommer votre profil et renseigner les informations en complétant le formulaire.
Voici quelques indications :
From : adresse e-mail utilisée pour envoyer les e-mails, c'est-à-dire l'expéditeur. Si vous effectuez une campagne de sensibilisation axée sur Instagram, il peut être intéressant d'utiliser un nom de domaine trompeur et semblable à "@instagram.com". S'il n'a rien à voir, ce sera plus facile pour les utilisateurs de voir qu'il s'agit d'un piège : mais ce sera aussi l'occasion de voir s'ils ont bien compris qu'il fallait vérifier l'e-mail de l'expéditeur (même si ce n'est pas suffisant).
Host : serveur SMTP à utiliser pour envoyer les e-mails, suivi du port (séparé par ":")
Username : compte utilisateur pour s'authentifier sur le serveur SMTP
Password : le mot de passe de ce compte
Pour valider que ça fonctionne, cliquez sur "Send Test Email". Si c'est bon, vous pouvez continuer.
Note : vous pouvez créer plusieurs profils, car en fonction de la campagne, vous n'allez peut-être pas utiliser la même adresse d'expéditeur.
E. Lancer la campagne de phishing
Tout est prêt ! Nous allons pouvoir créer notre première campagne de phishing et tester nos utilisateurs !
Cliquez sur le menu "Campaigns" puis sur "New Campaign".
Pour créer cette campagne nommée "Instagram n°1", on va réutiliser les éléments créés précédemment : "Email Template", "Landing Page" et "Sending Profile".
Concernant, les autres options :
URL : indiquez le nom de domaine ou l'adresse IP (là aussi, essayez de faire en sorte de tromper vos utilisateurs pour les évaluer correctement) où les utilisateurs pourront contacter votre serveur Gophish.
Launch Date : date à laquelle envoyer la campagne, par défaut c'est immédiatement. Si vous spécifiez aussi une date pour le champ "Send Emails By", Gophish enverra les e-mails à un moment donné entre la date de début ("Launch Date") et la date de fin ("Send Emails By"). Ainsi, tous les utilisateurs ciblés ne vont pas recevoir l'e-mail en même temps.
Groups : sélectionnez un ou plusieurs groupes d'utilisateurs que vous souhaitez cibler avec cette campagne.
Créer une campagne dans Gophish
Quand tous les champs sont complétés, cliquez sur "Launch Campaign" pour démarrer la campagne ! Le tableau de bord de la campagne va s'afficher et la section "Details" vous indique la "progression" pour chaque utilisateur.
F. Consulter les résultats de la campagne de phishing
En tant qu'utilisateur ciblé par la campagne de phishing, j'ai reçu l'e-mail ci-dessous, avec le fameux "Bonjour Florian". On peut voir que le lien renvoie vers mon serveur Gophish (et l'adresse IP spécifiée dans la campagne).
Je décide de cliquer sur le lien : j'arrive bien sur la landing page. Je suis confiant, je vais me connecter comme indiqué dans l'e-mail....
Dans le même temps, sur l'interface de Gophish, on peut voir qu'il y a un utilisateur qui a ouvert l'e-mail, cliqué sur le lien et envoyé des données.
Note : la section "Email Reported" indique le nombre d'utilisateurs qui ont signalé cet e-mail pour dire qu'il était malveillant. Un utilisateur qui a signalé l'e-mail frauduleux au service informatique doit être récompensé ! - Pour configurer cette fonction, rendez-vous dans "Account Settings" puis "Reporting Settings" : configurez la boîte e-mail qui sert à vos utilisateurs à remonter les incidents de sécurité au service informatique.
En complément, la "Campaign Timeline" nous donne un aperçu des événements dans le temps, avec le nom d'utilisateur et l'action effectuée. C'est plutôt bien fait !
Au niveau de la section "Details", je peux voir que l'utilisateur "Florian Burnel" a envoyé des données via le formulaire ! Je peux même obtenir le détail des actions avec la date et l'heure, c'est très précis !
En affichant tous les détails, je peux également visualiser le mot de passe envoyé par le formulaire de ma landing page : "JeTeDonneMonMotDePasse". Finalement, je crois qu'il m'a démasqué et qu'il s'en amuse !
En complément, le bouton "Complete" permet de terminer une campagne et de l'archiver (les résultats restent accessibles). Enfin, vous pouvez exporter un rapport au format CSV en cliquant sur "Export CSV".
Cette démo de Gophish est terminée ! Maintenant, c'est à vous de jouer ! Pensez à former les utilisateurs puis à les tester avec Gophish. Dans la foulée de la campagne, effectuez une seconde session de sensibilisation auprès des utilisateurs qui se font piéger. Sans oublier une piqûre de rappel pour tout le monde, de temps en temps.
Offensive Security a mis en ligne Kali Linux 2021.3 ! Découvrons ensemble les nouveautés principales de cette nouvelle mouture.
Pour rappel, Kali Linux est une distribution basée sur Debian qui intègre de nombreux outils liés à la sécurité informatique, que ce soit pour de l'audit, de l'analyse, mais aussi des tests de pénétration. Au-delà des améliorations apportées à la distribution directement, c'est le site Kali Tools qui s'est refait une beauté.
Les nouveaux outils de Kali Linux 2021.3
Commençons par la liste des nouveaux outils intégrés à Kali Linux 2021.3, puisque nous avons le droit à quelques nouveautés comme lors de la sortie de la version 2021.2.
Berate_ap : outil pour créer des points d'accès Wi-Fi malveillants (rogue AP MANA)
CALDERA : un framework conçu pour créer des simulations d'attaques, entre autres
EAPHammer : outil pour attaquer les réseaux Wi-Fi "WPA2-Enterprise"
HostHunter : outil de reconnaissance pour détecter les noms d'hôtes via les techniques d'OSINT
RouterKeygenPC : un outil pour générer les clés Wi-Fi WPA/WEP par défaut de certains routeurs
Subjack : un outil pour analyser et détecter les sous-domaines vulnérables
WPA_Sycophant : un outil pour attaquer un réseau Wi-Fi grâce à une attaque par relai
Kali Linux 2021.3
OpenSSL : tous les protocoles obsolètes sont actifs
Tout d'abord, Offensive Security a revu l'intégration d'OpenSSL au sein de Kali Linux. Alors que sur une machine de production il est préférable de ne pas activer les protocoles non sécurisés comme TLS 1.0 et TLS 1.1, sur cette distribution Linux, c'est différent. Afin de pouvoir cibler des périphériques obsolètes, il est nécessaire de les activer, c'est ce qui est fait avec cette nouvelle version.
En résumé, au sein de Kali Linux 2021.3, OpenSSL est configuré de manière à être compatible avec un plus grand nombre de configurations.
La virtualisation mieux supportée
Si vous utilisez Kali Linux dans une machine virtuelle, sachez que les développeurs ont amélioré le support dans les différents environnements de virtualisation (VMware, VirtualBox, Hyper-V). L'image Live peut être utilisée sur une VM et bénéficier de fonctions d'intégration sans installer les VMware Tools (ou équivalent). Par exemple, vous pouvez bénéficier du copier-coller nativement, ou redimensionner la fenêtre de la VM sans avoir à gérer la résolution manuellement.
Enfin, sachez que cette nouvelle version supporte mieux les architectures ARM puisque différents bugs ont été corrigés.
Dès à présent, vous pouvez supprimer votre mot de passe de votre compte Microsoft afin de choisir une autre méthode d'authentification !
C'est par l'intermédiaire d'un article de blog publié par Liat Ben-Zur, Vice-présidente chez Microsoft, que nous apprenons cette information : Microsoft veut que vous puissiez vous connecter à ses services sans utiliser de mots de passe. S'attaquer aux mots de passe, c'est s'attaquer à un éternel problème en matière de sécurité !
Microsoft précise que 579 attaques par mots de passe sont réalisées par seconde dans le monde ! D'un côté ce n'est pas surprenant puisqu'il faut un mot de passe pour se connecter partout et qu'il y a beaucoup d'utilisateurs qui n'utilisent pas de mots de passe robustes. Du coup, les mots de passe sont une cible de premier choix.
À la place du mot de passe, Microsoft vous propose d'effectuer l'authentification à partir de Windows Hello, c'est-à-dire l'authentification biométrique, via l'application mobile Microsoft Authenticator, ou alors à partir d'un code de vérification envoyé par e-mail ou SMS. Autrement dit, ce sont les options que l'on a actuellement lorsque l'on active la double authentification sur son compte.
Autant, je veux bien croire que ce soit sécurisé et fiable avec Windows Hello ou Microsoft Authenticator, mais par contre je suis sceptique sur le code de vérification envoyé par e-mail ou SMS.
En mars dernier, la firme de Redmond a autorisé les entreprises à déployer l'authentification sans mot de passe dans leurs environnements. Au total, ce sont plus de 150 millions d'utilisateurs qui se connectent à leurs comptes Azure Active Directory et Microsoft sans mot de passe.
L'authentification sans mot de passe est disponible dès maintenant pour tous les utilisateurs, que ce soit pour se connecter à Microsoft Edge, à son compte Microsoft ou aux services Microsoft 365.
Pour tester avec votre compte Microsoft, installez l'application Microsoft Authenticator sur votre mobile. Ensuite, rendez-vous dans les paramètres du compte puis dans Sécurité > Options de sécurité avancées > Compte sans mot de passe. Pour obtenir de l'aide, consultez cette page : Support Microsoft.
