Pour gérer vos consentements :
Categories: Cloud

Sécurité IT : Office 365 passe à l’authentification forte

Confronté à la perspective d’une année prolifique pour la sécurité informatique, Microsoft implémente, dans sa suite bureautique cloud Office 365, un système d’authentification forte à double facteur.

L’éditeur exploite les technologies héritées du rachat de PhoneFactor pour adjoindre au couple identifiant / mot de passe une couche de protection supplémentaire, sans requérir de jeton. Un téléphone suffit en l’occurrence à l’utilisateur (employé, client ou prospect), qui dispose de trois possibilités pour finaliser le processus d’identification.

Premier choix, recevoir un code secret communiqué par SMS. Autre méthode, déclencher automatiquement un appel (sur un fixe ou un portable) et presser la touche dièse (#) en réponse. Ou encore valider la connexion directement via une application mobile et bénéficier ainsi d’un accès sécurisé, y compris en environnement Active Directory, aux diverses briques d’Office 365. Chacun de ces processus de connexion présente l’avantage d’impliquer un facteur physique – en l’occurrence un téléphone – plus difficile à pirater qu’un vérificateur logiciel comme un clavier virtuel.

Accessible sans surcoût au contraire de la fonction Active Authentication liée à la plate-forme Azure, l’authentification forte était déjà disponible dans Office 365, mais uniquement pour les administrateurs. Elle n’est pas encore active dans le client desktop d’Office 365. En attendant une implémentation « courant 2014 », Microsoft recommande d’utiliser le service App Passwords, qui génère des mots de passe aléatoires de 16 caractères. Les prochaines mises à jour introduiront le support des certificats électroniques et des cartes magnétiques (SmartCards).

Alors que la fragilité des mots de passe devient un écueil majeur dans l’univers de la sécurité informatique, l’adoption de l’authentification forte s’accélère. En ligne de mire, des systèmes évolués exploitant des tatouages, des puces RFID, de la reconnaissance faciale ou encore de l’identification rétinienne.

Certaines entreprises IT comme Twitter ont développé leur propre solution, souvent basée sur des clés d’identification cryptées stockées à même le terminal de l’utilisateur. Google pense plutôt à introduire une dimension essentiellement physique avec la clé USB YubiKey. En toile de fond, le comportement des cybercriminels évolue : les techniques d’interception de type « Man-in-the-Middle » conçues pour déjouer l’authentification forte se multiplient.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous bien Microsoft ?

Crédit illustration : Gruffi – Shutterstock.com

Recent Posts

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

1 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago

PC Copilot+ : Microsoft passe Recall en opt-in

Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…

4 mois ago