Un Authenticator Lite intégré dans les apps iOS et Android Outlook d’ici fin mai

Publié le par Poster un commentaire

Microsoft a annoncé mardi une beta publique d’une nouvelle solution « Authenticator Lite » pour les applications Outlook Mobile. Elle sera disponible avec tout abonnement Azure AD, les administrateurs du tenant pourront l’activer ou le désactiver en utilisant le portail Entra via la page de configuration Authenticator ou via le Microsoft Graph.

L’objectif de généraliser l’usage de cet outil est qu’il offre une alternative aux méthodes d’authentification secondaires basées sur les SMS (ou un appel vocal). Il utilise des notifications push pour inviter les utilisateurs finaux à s’authentifier réputé bien plus fiable. Les utilisateurs auront également accès à un mot de passe à usage unique basé sur le temps via l’application.

Plus fiable car il existe, on le sait des méthodes « sociales » pour tromper l’utilisateur avec un SMS. On voit actuellement fleurir des attaques dites « MFA fatigue attacks », également connue sous le nom de MFA Bombing ou MFA Spamming – qui est une stratégie d’attaque d’ingénierie sociale où les attaquants envoient à plusieurs reprises des demandes d’authentification à deux facteurs à l’e-mail, au téléphone ou aux appareils enregistrés de la victime cible un attaquant peut envoyer ainsi une multitude de tentatives de connexion dans l’espoir qu’un utilisateur cliquera sur accepter au moins une fois… Un authenticator supprime ainsi ce problème, tout au moins actuellement (il faut être prudent dans ce domaine…).

La fiabilité limité des méthode de MFA traditionnelles n’est pas une surprise, Microsoft avait déjà affirmé dans cette annonce de 2020 que les invites textuelles et vocales utilisées pour le MFA étaient d’anciennes approches de réseau téléphonique public commuté qui étaient ;

« les moins sûres des méthodes de MFA disponibles aujourd’hui . Ces méthodes utilisent des protocoles qui ne permettent pas le cryptage, et donc les signaux peuvent être interceptés par toute personne ayant accès au réseau de commutation ou se trouvant dans la portée radio d’un appareil« .

Microsoft a l’intention d’activer Authenticator Lite pour tous les utilisateurs ayant des tenants utilisant ce paramètre le 26 mai 2023. L’entreprise indique dans sa communication que « s vous souhaitez modifier l’état de cette fonctionnalité, veuillez le faire avant le 26 mai 2023 ».

Tag(s) associé(s) : , , ,

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.