Alors que plusieurs grandes sociétés américaines ont annoncé des efforts conséquents dans le domaine de la sécurité, notamment le passage au chiffrement intégral, Microsoft vient d’annoncer que les clients Office 365 bénéficiaient désormais de la double authentification. Ne reste donc aux administrateurs qu’à l’activer.

Les comptes Office 365 professionnels ont enfin la double authentification 

L’authentification double est un mécanisme de sécurité que l’on rencontre dans un nombre croissant de services. Google le propose par exemple depuis un certain temps sur Gmail, permettant à ceux qui le désirent de réclamer deux facteurs d’authentification au lieu d’un seul. Ainsi, plutôt que de se contenter du mot de passe, qui peut être facilement trouvé selon les cas, une deuxième couche de protection réclame une autre information. Elle peut être fournie par un appel téléphonique, un SMS ou encore un email envoyé sur une autre adresse.

Microsoft propose cette double authentification sur ses comptes maison depuis l’année dernière, mais la firme n’avait pas pour autant abordé le cas des clients des produits payants. Depuis hier, les abonnés Office 365 peuvent mettre en place un tel mécanisme de vérification double, un véritable apport pour les entreprises qui veulent sécuriser leurs accès.

Activé par les administrateurs au cas par cas 

Les abonnés concernés sont les structures possédant un compte Midsize Business, Enterprise, Academic ou Nonprofit. L’ajout concerne également les services vendus seuls, c’est-à-dire les offres Exchange Online et SharePoint Online. L’option a été ajoutée dans les comptes et les administrateurs peuvent déjà l’activer. Ils doivent se rendre dans l’interface consacrée à la gestion des comptes et activer la fonctionnalité. Dans cette même section, ils pourront d’ailleurs vérifier qui dans les utilisateurs possèdent déjà la double authentification.

Plusieurs précisions doivent cependant être apportées. D’une part, la fonctionnalité n’est pas si neuve que ça. Elle était simplement réservée jusqu’ici aux rôles d’administrateurs et n’a finalement été généralisée qu’hier. D’autre part, les méthodes disponibles pour les utilisateurs sont :

• L’appel téléphonique (demande d’appuyer sur la touche croisillon à un instant précis)
• Le SMS contenant un code à six chiffres
• Une notification dans une application mobile de Microsoft (Windows Phone, iOS et Android)
• Un code à usage unique généré par l’une des applications précédentes

Comme le précise Microsoft dans son billet explicatif, ces quatre méthodes seront complétées dans le cours de l’année par d’autres moyens. La firme compte en effet intégrer d’autres solutions, notamment les smart cards et certains produits proposés par les tiers. Il serait d’ailleurs amusant de voir Microsoft supporter un produit comme Google Authenticator.

Uniquement pour les services en ligne actuellement 

Précisons également que cette nouvelle barrière de protection n’est pour l’instant disponible qu’en ligne. On parle donc bien des produits accessibles à travers le navigateur, tels qu’Outlook Web App. Les logiciels natifs, autrement dit Office 2013 et 2011 (sur OS X) ne sont pour l’instant pas pris en charge. Là encore, il faudra attendre plusieurs mois avant de voir arriver une mise à jour en ce sens. Cela étant, le compte de l’utilisateur peut être configuré quand même avec la fonctionnalité App Passwords, générant un mot de passe aléatoire de 16 caractères pour s’authentifier dans les logiciels.

Comme souvent ces derniers temps, nous relèverons que l’arrivée de cette fonctionnalité est clairement un pas dans la bonne direction, mais qu’elle est un peu tardive. Les services en ligne sont disponibles depuis de nombreuses années, mais le paysage de la sécurité ne semble réellement bouger que depuis quelques mois. Dommage donc qu’il ait fallu attendre si longtemps pour activer cette double authentification.