Cet été, Microsoft mettra progressivement en place l’authentification multifactorielle pour tous les utilisateurs d’Azure. L’entreprise espère ainsi neutraliser un vecteur important pour les cybercriminels.
L’AMF deviendra obligatoire pour tous les utilisateurs d’Azure à partir de juillet. Microsoft l’a annoncé elle-même. L’entreprise déploiera l’authentification multifactorielle par phases et communiquera bientôt le calendrier précis par e-mail et par des notifications dans le portail Azure. En imposant l’AMF au niveau du locataire, Microsoft ajoute une couche de sécurité supplémentaire qui protègera mieux ses clients.
Dans presque tous les cas de piratage qui n’exploitent pas une vulnérabilité de type « zero day », les comptes compromis sont fondamentaux pour les pirates. La plupart des attaques de ransomware sont lancées à partir d’un compte auquel les criminels ont un accès non autorisé. Les pirates accèdent à ces comptes par l’hameçonnage, des mots de passe faciles à deviner ou des mots de passe réutilisés qui ont été publiés en ligne après une fuite antérieure.
Simple mais robuste
Selon les études menées par Microsoft, 99,9 % des comptes compromis n’utilisaient pas l’AMF. L’étude montre également que le fait d’activer simplement l’AMF peut bloquer 99,2 % des attaques utilisant des comptes. Donc, en activant l’AMF, on complique grandement la vie des cybercriminels.
Rien de nouveau : les comptes mal sécurisés sont le talon d’Achille de la sécurité depuis de toujours, et l’AMF est une solution simple et puissante depuis toujours. Pourtant, l’authentification à plusieurs facteurs fait souvent défaut. Microsoft a donc décidé de ne plus attendre l’adoption volontaire de cette technologie et de la rendre obligatoire, car c’est un élément essentiel.
Incertitudes
Il est facile et gratuit de configurer l’AMF. Pas besoin non plus d’attendre que Microsoft oblige de le faire. Le tableau de bord Microsoft Entra contient les paramètres nécessaires. Avant que l’obligation n’entre en vigueur, il reste encore quelques incertitudes. Par exemple, Microsoft ne dit pas s’il y aura des exceptions, comme pour les comptes de service. Par ailleurs, Microsoft n’est pas le seul à adopter l’AMF. AWS a déjà mis en place une politique similaire en 2023.