Microsoft Authenticator ne veut plus d’appareils jailbreakés en entreprise
Patte blanche
Photo de rc.xyz NFT gallery sur Unsplash
Le 03 juillet à 12h18
Microsoft déploie actuellement plusieurs changements importants pour son application Authenticator, qui sert de second facteur pour la sécurité des comptes (Microsoft et tiers). La plus visible est le rejet des appareils ayant fait l’objet d’un jailbreak, aussi bien sur Android que sur iOS, via une détection spécifique sur certains comptes.
Microsoft Authenticator ne veut plus d’appareils jailbreakés en entreprise
Patte blanche
Photo de rc.xyz NFT gallery sur Unsplash
Microsoft déploie actuellement plusieurs changements importants pour son application Authenticator, qui sert de second facteur pour la sécurité des comptes (Microsoft et tiers). La plus visible est le rejet des appareils ayant fait l’objet d’un jailbreak, aussi bien sur Android que sur iOS, via une détection spécifique sur certains comptes.
Sécurité
Sécurité
4 min
Authenticator est une application de Microsoft servant à protéger les comptes créés pour les services de l’entreprise et ceux sur les services tiers, quand l’authentification à deux facteurs peut être activée. Vous avez peut-être noté des changements récemment ou vu un message vous avertissant d’une modification à venir.
Entreprises, écoles : adieu aux appareils jailbreakés
La plus grosse modification concerne les appareils ayant reçu un jailbreak. Qu’il s’agisse de smartphones Android ou d’iPhone, la procédure permet d’obtenir des capacités et droits supplémentaires, en vue de débloquer des cas d’usages qui ne sont normalement pas prévus par le constructeur ou l’éditeur.
Microsoft a ainsi introduit une détection de root pour Android et de jailbreak pour iOS dans son application Authenticator. Dans un avenir proche, quand une telle configuration sera détectée, l’application refusera de fonctionner.
Il y a plusieurs précisions importantes. D’une part, cette modification ne concerne que les comptes scolaires et d’entreprises. Les particuliers ne sont pas touchés par la mesure et rien n’est prévu dans ce domaine.
D’autre part, cette mesure avait en fait été annoncée en mars, mais l’éditeur a publié le 30 juin des précisions sur le portail Microsoft 365 Enterprise, comme le signale Windows Latest. On y apprend notamment que le déploiement est en cours depuis peu et qu’il se déroule en plusieurs phases : d’abord un avertissement affiché à l’ouverture de l’application avec un bouton « Continuer », puis une bannière persistante, et finalement le blocage total, avec impossibilité de se connecter avec l’application et d’ajouter de nouveaux comptes.
Enfin, Microsoft précise que ce comportement sera actif sur tous les comptes concernés et qu’il n’existe aucune politique centralisée pour le désactiver. Le blocage total devrait avoir été répercuté d’ici fin juillet.
Plus de choix multiples dans les demandes de connexion
Microsoft a été l’une des premières entreprises à mettre en place l’authentification à deux facteurs pour ses services, en simplifiant au passage la manœuvre. Plutôt que de demander un code à six chiffres ou de simplement confirmer la demande de connexion, il fallait indiquer le nombre (à deux chiffres) inscrit sur l’écran du nouvel appareil parmi trois proposés sur le téléphone. Une solution à mi-chemin entre la friction des six chiffres et la confirmation un peu trop simple.
Ce comportement est en train de changer, comme l’a remarqué Windows Central. Vous l’avez peut-être remarqué durant les dernières semaines, un autre déploiement est en cours sur les comptes personnels : la sélection des trois nombres est remplacée par un champ obligeant à écrire manuellement le bon nombre. Les comptes entreprise et éducation ont déjà reçu ce changement plus tôt dans l’année.
Les raisons données sont simples : puisque l’opération permettait de choisir entre trois nombres, un pirate avait mathématiquement une chance sur trois de tomber sur le bon, s’il avait réussi à intercepter la demande. Avec le changement, il n’y a plus qu’une chance sur 100.
Il doit également permettre de lutter contre la « fatigue MFA », qui consiste à spammer l’utilisateur de demandes en espérant qu’il approuve par erreur ou devine le bon chiffre. Les approbations accidentelles sont aussi un problème : avec seulement trois chiffres à l’écran, il est possible de taper le bon par inadvertance en ouvrant l’app ou en manipulant le téléphone dans une poche. La saisie manuelle réduit fortement ces deux risques.
Pour rappel, Microsoft s’est débarrassée des SMS plus tôt dans l’année.
Commentaires (7)
Abonnez-vous pour prendre part au débat
Déjà abonné ou lecteur ? Se connecter
Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles d'un média expert
Profitez d'au moins 1 To de stockage pour vos sauvegardes
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousAujourd'hui à 12h48
Il est (devrait être ?) hors de question que j'utilise mon téléphone personnel pour la MFA de l'employeur.
Il y a 37 minutes
Sachant que ça ne concerne pas que le télétravail : même sur site, je me suis retrouvé à devoir saisir le code MFA ...
À l'instant
Je ne reçois jamais d'appels pro, et il ne servait qu'à rentrer ces codes via Google authenticator.
Avec la saisie automatique de Keepass, c'est d'un pratique !
Il y a 34 minutes
Aujourd'hui à 12h54
Il y a 45 minutes
Il y a 17 minutes
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?