À partir du 1er octobre 2022, l'authentification Basic sera désactivée au sein d'Exchange Online, sur tous les tenants Microsoft 365 / Office 365. Grâce à cette décision, Microsoft souhaite renforcer la sécurité de ses clients.

Initialement, l'authentification Basic devait être désactivée pendant le second semestre 2021, mais Microsoft a revu ses plans à cause de la pandémie de la Covid-19.

Que va-t-il se passer le 1er octobre 2022 ?

L'authentification Basic va être désactivée sur tous les protocoles utilisés par Exchange Online. Une liste qui intègre des protocoles et certaines fonctionnalités. Voici la liste fournie par Microsoft : Exchange Web Services (EWS), Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, MAPI, RPC, SMTP AUTH et OAB. La firme de Redmond précise qu'il y a une exception puisqu'il sera possible de réactiver l'Auth Basic pour le SMTP. Pour le reste, ce ne sera pas modifiable et cela s'appliquera sur tous les tenants.

Pour réaliser de premiers essais, début 2022, Microsoft sélectionnera quelques tenants et désactivera l'Auth Basic pour tous les protocoles (sauf SMTP AUTH), pour une période comprise entre 12 à 48 heures.

À partir du 1er octobre 2022, les méthodes d'authentification modernes (Modern Auth) devront être utilisées systématiquement. Si vous utilisez le Webmail d'Outlook, vous n'avez pas d'inquiétude à avoir. Par contre, si vous utilisez Outlook dans une version un peu ancienne ou un client de messagerie qui ne supporte pas les nouvelles méthodes d'authentification, vous ne pourrez plus vous connecter. Concrètement, vous devez utiliser au minimum Outlook 2013 Service Pack 1 pour continuer à vous connecter à Microsoft 365.

Dès à présent, vous pouvez créer une stratégie Exchange Online sur votre tenant pour désactiver l'Auth Basic et vérifier si vous êtes déjà prêt à ce changement. Voir cette documentation de Microsoft.

Bug de sécurité de l'Autodiscover : la raison de cette annonce ?

Même si cela semblait déjà prévu, Microsoft a publié cette annonce juste après la publication de Guardicore au sujet d'un bug de sécurité dans l'Autodiscover et qui expose les identifiants des utilisateurs. Des identifiants en danger notamment à cause de l'Auth Basic qui ne sécurise pas suffisamment les identifiants.

Plus d'infos sur le site de Microsoft

Source

The post Exchange Online – l’authentification Basic sera désactivée en octobre 2022 first appeared on IT-Connect.