Connexion Premium

Microsoft Authenticator ne veut plus d’appareils jailbreakés en entreprise

Patte blanche

Microsoft Authenticator ne veut plus d’appareils jailbreakés en entreprise

Photo de rc.xyz NFT gallery sur Unsplash

Microsoft déploie actuellement plusieurs changements importants pour son application Authenticator, qui sert de second facteur pour la sécurité des comptes (Microsoft et tiers). La plus visible est le rejet des appareils ayant fait l’objet d’un jailbreak, aussi bien sur Android que sur iOS, via une détection spécifique sur certains comptes.

Authenticator est une application de Microsoft servant à protéger les comptes créés pour les services de l’entreprise et ceux sur les services tiers, quand l’authentification à deux facteurs peut être activée. Vous avez peut-être noté des changements récemment ou vu un message vous avertissant d’une modification à venir.

Entreprises, écoles : adieu aux appareils jailbreakés

La plus grosse modification concerne les appareils ayant reçu un jailbreak. Qu’il s’agisse de smartphones Android ou d’iPhone, la procédure permet d’obtenir des capacités et droits supplémentaires, en vue de débloquer des cas d’usages qui ne sont normalement pas prévus par le constructeur ou l’éditeur.

Microsoft a ainsi introduit une détection de root pour Android et de jailbreak pour iOS dans son application Authenticator. Dans un avenir proche, quand une telle configuration sera détectée, l’application refusera de fonctionner.

Source : Microsoft

Il y a plusieurs précisions importantes. D’une part, cette modification ne concerne que les comptes scolaires et d’entreprises. Les particuliers ne sont pas touchés par la mesure et rien n’est prévu dans ce domaine.

D’autre part, cette mesure avait en fait été annoncée en mars, mais l’éditeur a publié le 30 juin des précisions sur le portail Microsoft 365 Enterprise, comme le signale Windows Latest. On y apprend notamment que le déploiement est en cours depuis peu et qu’il se déroule en plusieurs phases : d’abord un avertissement affiché à l’ouverture de l’application avec un bouton « Continuer », puis une bannière persistante, et finalement le blocage total, avec impossibilité de se connecter avec l’application et d’ajouter de nouveaux comptes.

Enfin, Microsoft précise que ce comportement sera actif sur tous les comptes concernés et qu’il n’existe aucune politique centralisée pour le désactiver. Le blocage total devrait avoir été répercuté d’ici fin juillet.

Plus de choix multiples dans les demandes de connexion

Microsoft a été l’une des premières entreprises à mettre en place l’authentification à deux facteurs pour ses services, en simplifiant au passage la manœuvre. Plutôt que de demander un code à six chiffres ou de simplement confirmer la demande de connexion, il fallait indiquer le nombre (à deux chiffres) inscrit sur l’écran du nouvel appareil parmi trois proposés sur le téléphone. Une solution à mi-chemin entre la friction des six chiffres et la confirmation un peu trop simple.

Ce comportement est en train de changer, comme l’a remarqué Windows Central. Vous l’avez peut-être remarqué durant les dernières semaines, un autre déploiement est en cours sur les comptes personnels : la sélection des trois nombres est remplacée par un champ obligeant à écrire manuellement le bon nombre. Les comptes entreprise et éducation ont déjà reçu ce changement plus tôt dans l’année.

Les raisons données sont simples : puisque l’opération permettait de choisir entre trois nombres, un pirate avait mathématiquement une chance sur trois de tomber sur le bon, s’il avait réussi à intercepter la demande. Avec le changement, il n’y a plus qu’une chance sur 100.

Il doit également permettre de lutter contre la « fatigue MFA », qui consiste à spammer l’utilisateur de demandes en espérant qu’il approuve par erreur ou devine le bon chiffre. Les approbations accidentelles sont aussi un problème : avec seulement trois chiffres à l’écran, il est possible de taper le bon par inadvertance en ouvrant l’app ou en manipulant le téléphone dans une poche. La saisie manuelle réduit fortement ces deux risques.

Pour rappel, Microsoft s’est débarrassée des SMS plus tôt dans l’année.

Commentaires (7)

votre avatar
Ça devrait être considéré comme sans importance:
Il est (devrait être ?) hors de question que j'utilise mon téléphone personnel pour la MFA de l'employeur.
votre avatar
Même avis mais quand même partagé : ça oblige à avoir un téléphone professionnel sauf s'il y a une alternative plus simple (?). Du coup, tu dois te farcir deux téléphones _juste_ pour te connecter.

Sachant que ça ne concerne pas que le télétravail : même sur site, je me suis retrouvé à devoir saisir le code MFA ...
votre avatar
J'ai un téléphone pro qui ne me sert qu'à décorer puisque j'ai mis la clé OTP dans Keepass. :D
Je ne reçois jamais d'appels pro, et il ne servait qu'à rentrer ces codes via Google authenticator.
Avec la saisie automatique de Keepass, c'est d'un pratique !
votre avatar
et ton employeur est alors libre de t'interdire le télétravail.
votre avatar
Pour rappel, Microsoft s’est débarrassée des SMS plus tôt dans l’année.
Pour les comptes personnels uniquement. Chez mon employeur, il y a encore beaucoup de monde qui les utilisent plutôt que l'Authenticator.
votre avatar
🙋🏻‍♂️
votre avatar
Pareil, on est tous en mfa sms. Ceux qui ont pas de tél pro reçoivent SMS sur leur perso