L’application Microsoft Authenticator : le couteau suisse de l’authentification

Cloud Microsoft Sécurité

logo Microsoft AuthenticatorAuthentification sans mot de passe, authentification multi-facteur, OTP, TOTP… autant de mots clés qui ont en commun une application : Microsoft Authenticator. Mais quelles sont exactement les fonctionnalités de cette application ? Est-ce la seule sur le marché ?

L’application Microsoft Authenticator… sans Microsoft

Si l’application prend tout sons sens dans un environnement Microsoft (Windows 10, Azure AD…), elle peut tout à fait être utilisée pour des usages très génériques.

Elle supporte nativement le protocole OTP. Ce standard de sécurité qui permet de générer des codes à usages unique (qui expirent généralement en moins d’une minute) est utilisé par la plupart des services proposant de la double authentification.

Exemple de jeton OTPExemple de jeton OTP (ici Facebook)

 

L’association est très simple : il suffit de scanner un QR code généré par le site pour l’intégrer dans l’application. OTP permet une gestion de l’authentification hors ligne, donc même dans une situation où la connectivité est limitée l’authentification sera possible.

Ce protocole est d’ailleurs aussi actif par défaut dans les implémentations Microsoft, permettant ainsi une solution de connexion quelque-soit la connectivité de l’appareil mobile.

Sans sauvegarde, point de salut

Quand l’authentification multi-facteur devient la clé de voute de votre sécurité, le risque de « s’enfermer dehors » est bien présent. Téléphone volé ou cassé, plantage du système… il est  primordial de pouvoir sauvegarder et restaurer vos jetons d’authentification.

L’application Microsoft Authenticator permet nativement de gérer une telle sauvegarde, toutefois le pré-requis est la création d’un compte Microsoft (ou iCloud sur iOs).

Une sauvegarde alternative est possible, quelque soit l’application utilisée : il vous suffit de garder une copie (physique de préférence) du QR code généré lors de l’initialisation du second facteur.

Microsoft, comme dans… Microsoft

Dans un environnement Microsoft/Azure AD, des fonctionnalités spécifiques sont disponibles comme par exemple l’authentification sans mot de passe :

authentification sans mot de passe via l'application

Il est aussi possible de simplifier l’authentification muti-facteurs en utilisant la validation d’une notification (au lieu de la saisie d’un code OTP).

Microsoft Authenticator est aussi capable de vous informer d’un changement de mot de passe de votre compte :

exemple des notifications mot de passe

Quelles alternatives ?

Si on met de coté les fonctionnalités purement Microsoft, de nombreuses applications existent pour gérer vos jetons OTP. On peut citer notamment FreeOTP ou Google Authenticator.

L’avis de Pérenne’IT

L’authentification multi-facteurs est un élément clé de la sécurité, d’autant plus enrichie de fonctionnalités pouvant faciliter la vie des utilisateurs. Attention toutefois, l’ergonomie et le paramétrage de Microsoft Authenticator peuvent parfois porter à confusion… il va falloir accompagner vos utilisateurs.

 

Oubliez vos mots de passe : l’authentification nouvelle génération

Cloud Microsoft Sécurité

le mot de passe est la cléSi dans le domaine informatique le mot de passe semble l’outil le plus répandu pour vérifier l’identité d’un utilisateur, de nouvelles technologies pourraient bien le reléguer au rang d’antiquité.

Il était une fois… le premier mot de passe informatique

Dans les années 60 avec le développement de l’informatique en réseau, le MIT implémente ce qui semble la première utilisation connue des mots de passe dans un système informatique. Bien que peu fiable (il était possible par exemple d’imprimer la liste des mots de passe), les utilisateurs pouvaient en théorie protéger leurs fichiers personnels.

Pas de mots de passe sans politiques

Aujourd’hui l’utilisation d’un mot de passe ne peut plus s’envisager sans une série de règles et d’outils :

  • Principes de renouvellement régulier
  • Principes de complexité (longueur, caractères spéciaux…)
  • Principes d’attribution sécurisée (liens temporaires, modification à la première connexion)
  • Principes de réattribution (« Mot de passe oublié ? »)

La gestion de ces politiques nécessite donc une implication importante et récurrente des équipes informatiques, tout en entraînant parfois une frustration des utilisateurs (accès verrouillé, mot de passe trop complexe à retenir…).

Le principe même du mot de passe est par nature peu sécurisé car il repose sur un principe clé : il ne doit jamais être divulgué. Que ce soit par de mauvaises pratiques (post-it sur l’écran), des services vulnérables (base de données de sites piratées) ou du hameçonnage, il est donc très courant de voir des systèmes compromis car le seul mot de passe donne la clé du château.

Quelle alternative sécurisée aux mots de passe ?

On peut diviser les modes d’authentification en 3 catégories :

  1. Ce que l’utilisateur sait (ex : mot de passe, pin…)
  2. Ce que l’utilisateur est (ex : biométrie…)
  3. Ce que l’utilisateur possède (ex : token, smartphone…)

En s’affranchissant du premier critère on améliore donc l’expérience utilisateur (plus de mot de passe compliqué à choisir/retenir) et la sécurité car l’identification ne peut plus être divulguée facilement. Ces deux points simplifient aussi la gestion, en réduisant notamment les incidents de sécurité à traiter.

2020-04-29 12_10_07-Clipboard
Solutions « passwordless » proposées par Microsoft

Pour l’utilisateur l’authentification est très intuitive, fluide et dans certains cas quasiment transparente (reconnaissance faciale notamment).

L’avis de Pérenne’IT

L’authentification sans mot de passe s’est beaucoup développée ces dernières années et arrive aujourd’hui à un niveau de maturité permettant d’envisager son implémentation. Si on considère en plus l’explosion des attaques par hameçonnage et autres fuites de mot de passe, le sujet du « passwordless » est à considérer en priorité.

 

Zero Trust : Nouveau concept de Cybersécurité?

Cloud Cybersécurité

L’approche « Zero Trust »

zerotrust

Depuis quelques mois une nouvelle notion est apparue en matière de Cybersécurité.

Notion qui a pris de l’importance avec les derniers événements et le début du confinement.

Cette nouvelle approche se nomme le « Zero Trust ».

Nombreux sont ceux qui vous vantent les mérites de cette approche mais qu’est-ce exactement?

Rappel historique

Historiquement, dans la grande majorité des entreprises les responsables sécurité ont créé des zones de confiance à partir desquelles des utilisateurs de confiance utilisant des équipements de confiance peuvent se connecter au système d’information de l’entreprise.

D’une manière générale les zones de confiance correspondent aux sites physiques des entreprises. De même, les équipements utilisés par les salariés de l’entreprise sont des équipements propriété de l’entreprise.

En conséquence, la sécurisation de l’ensemble consiste à mettre en place des remparts tout autour des réseaux d’entreprises. Ces remparts permettent de garantir que seul ceux qui se trouvent à l’intérieur aient accès au système d’information.

C’est une approche dite « périmétrique » de la sécurité puisqu’elle garantie la sécurité jusqu’au périmètre du réseau de l’entreprise. Tout ce qui se trouve à l’extérieur est considéré comme non digne de confiance.

L’évolution

Or aujourd’hui, et d’autant plus avec le confinement, les frontières qui existaient (matérialisées par les réseaux internes) sont remises en cause.

Cette évolution a déjà commencé avec l’évolution des systèmes d’information vers le « Cloud ». En effet, nombre d’entreprises mettent à disposition de leurs utilisateurs de plus en plus d’applications externalisées en mode dit SaaS. De même, les entreprises stockent de plus en plus leurs données à l’extérieur de l’entreprise.

De surcroît, depuis le début du confinement les utilisateurs ont la nécessité d’accéder au système d’information hors les mur de l’entreprise. Voire même avec des équipements qui ne sont pas la propriété de l’entreprise.

En conséquence, ces nouveaux modes de travail imposent de ne plus limiter le système d’information à une forteresse. Le système d’information et les accès utilisateurs deviennent diffus. Par ailleurs, les types d’accès sont multiples et pas obligatoirement normalisés.

Tous ces aspects de l’évolution du système d’information obligent les responsables sécurité à repenser la façon de sécuriser les actifs informationnels (applications et données) de l’entreprise.

Le concept du « Zero Trust »

En conséquence  les entreprises se doivent de mettre en place :

  • un système d’information sans contraintes ni restrictions d’accès.
  • une architecture garantissant la sécurité du patrimoine informationnel.

Ce qui paraît antinomique.

Finalement l’enjeu de la sécurité du système d’information devient :

  • l’utilisateur et le contexte à partir duquel il se connecte.
  • les besoins fonctionnels utilisateurs (Applications et données autorisées)

L’approche « Zero Trust » permet d’atteindre cet objectif.

Les principes du « Zero Trust »  sont les suivants :

  • Tout réseau est par défaut considéré comme hostile.
  • Les menaces existent à tout moment sur le réseau interne comme sur les réseaux externes.
  • Le réseau interne n’est pas un réseau de confiance absolue.
  • Chaque terminal, chaque utilisateur et chaque flux réseau doivent être autorisés voire authentifiés.
  • Les politiques de sécurité doivent être dynamiques et définies à partir d’autant des sources applicatives ou données utilisables.

L’évolution vers ce modèle de sécurité dans les entreprises se fait généralement quand elles se lancent dans des projets de transformation digitale.

Mise en oeuvre du « Zero Trust »

ZeroTrustChemin

Les principes de mise en oeuvre du modèle « Zero Trust » sont :

  • L’authentification forte des utilisateurs.
  • La validation des équipements utilisateurs.
  • La validation contextuelle des demandes d’accès.
  • La micro-segmentation des réseaux.
  • Le respect de la règle du moindre privilège.
  • La journalisation et l’inspection systématique de ce à quoi les utilisateurs accèdent.
  • La détection d’anomalies et le déclenchement d’alertes en temps réel.

Avis de Pérenne’IT

Le modèle « Zero Trust » n’est pas un concept éphémère ni un phénomène de mode.
Il s’agit de l’étape finale d’un processus à long terme qui inclut une nouvelle génération de contrôles de sécurité conçus de manière totalement différente par rapport aux modèles traditionnels d’accès basés sur le réseau.

En définitive ce nouveau modèle est étroitement lié à l’évolution des systèmes d’information des entreprises qui sont :

  • plus hétérogènes depuis l’avènement des solutions Cloud.
  • plus ouverts vers l’extérieur.
  • plus orientés vers les besoins utilisateurs.

L’évolution des systèmes d’information et les nouveaux modes de travail des utilisateurs nous mènent à la conclusion suivante :

  • Etant donné qu’il est impossible de prédire les nouvelles avancées qui auront lieu dans le futur ou la manière dont les entreprises vont les intégrer.
  • Etant donné qu’il est impossible d’affirmer avec certitude d’un utilisateur, que l’appareil, l’application ou le réseau qu’il utilise soit totalement sécurisé.

la seule approche admissible en matière de sécurité consiste, par défaut, à ne jamais faire confiance et à toujours vérifier.

Le modèle « Zero Trust » nécessite un travail de mise en place et de classification, mais il représente un maillon essentiel de l’objectif de modernisation à long terme pour l’entreprise numérique.

C’est désormais officiel, dès le 21 avril 2020, Office 365 deviendra Microsoft 365

C’est désormais officiel, dès le 21 avril 2020, Office 365 deviendra Microsoft 365

Microsoft
Office 365 devient Microsoft 365
Office 365 devient Microsoft 365

Office 365 deviendra Microsoft 365, le 21 avril 2020.

Office 365 deviendra Microsoft 365,
sans aucun changement de prix, de fonctionnalité.

Parmi les régimes concernés par ce changement :
– Office 365 Business Essentials, rebaptisé Microsoft 365 Business Basic ;
– Office 365 Business Premium, devient Microsoft 365 Business Standard ;
– Office 365 Business et Office 365 ProPlus, s’appelleront Microsoft 365 Apps, Microsoft utilisant les termes « for business » et « for enterprise » comme étiquettes pour distinguer les deux si nécessaire.
Les abonnés Office 365 basculeront automatiquement vers la nouvelle formule.

Un autre changement de nom connexe a été annoncé.
Microsoft 365 Business sera rebaptisé Microsoft 365 Business Premium.

nouvelle dénomination Microsoft (002)Office 365 deviendra Microsoft 365 et apportera une approche globale simplifiée.
Microsoft n’en oublie pas pour autant les entreprises
avec des nouvelles fonctionnalités.

L’accès à Microsoft Teams, une dizaine de fonctionnalités inédites.

Un IA omniprésente dans la suite Office.
Derrière ce changement de patronyme se cachent plusieurs nouveautés qui carburent à l’intelligence artificielle.
Dans Word et Outlook, Microsoft Editor améliore un texte en le fluidifiant.
Editor est un assistant virtuel développé pour corriger l’orthographe, la grammaire et le style de l’utilisateur.
Il sera également possible de surligner toute une zone de texte et de le comparer à d’autres productions existantes sur le net, pour éviter des plagiats involontaires.
Presenter Coach se propose d’améliorer son discours à l’oral. Word, Excel.

Du côté d’Excel
, Microsoft a ajouté une centaine de modèles de tableurs différents.
Selon le sujet du tableur (régime alimentaire, résultats scolaires, destinations de vacances, performance sportives, etc.), Excel changera automatiquement le type de données (gramme, kilomètre, notes, etc.) et en proposera plusieurs.

En outre, cette nouvelle mouture d’Excel marquera le grand retour de Money sous l’appellation de « Money in Excel ».
Un tableau de bord interactif et détaillé pour consulter l’état global de ses comptes via laquelle il sera possible de connecter l’ensemble de ses comptes bancaires.

Vient ensuite PowerPoint. Le célèbre logiciel de présentation accueille PowerPoint Designer.
Ce nouvel outil, qui s’appuie sur une intelligence artificielle.
Il sera par exemple possible de transformer automatiquement un texte en une frise temporelle.
L’IA s’appuie alors sur les dates et les repères spatio-temporels contenus dans le texte.

PowerPoint Designer proposera des mises en scène et fonds adéquats.
Au total, les abonnés auront un accès exclusif à plus de 8000 images et 175 vidéos, ainsi qu’à 300 polices d’écritures et 2800 nouvelles icônes.

Outlook va pouvoir synchroniser le calendrier personnel avec le professionnel.
On retiendra également le déploiement de « Play My Emails » sur la version Android d’Outlook.

La formule familiale permet une utilisation jusqu’à 6 personnes.

Cette nouvelle approche aide les utilisateurs à trouver rapidement le plan dont ils ont besoin
qu’il s’agisse d’un plan pour une entreprise, une PME ou un particulier

COVID-19 Continuité d’activité

Cloud

logopitxxl

Chers clients et partenaires commerciaux,

Face à la crise sanitaire majeure que nous subissons tous, je tiens à vous informer des mesures
que nous avons prises chez Pérenne’IT afin d’assurer la continuité de nos activités.

Depuis mardi 17 Mars matin, dans le respect de la sécurité de chacun et des directives gouvernementales,
toutes nos équipes techniques, commerciales et administratives sont pleinement opérationnelles en télétravail.

Le lundi 11 Mai nous avons ré ouvert nos bureaux avec une présence restreinte de collaborateurs toutefois, l’essentiel de nos équipes continue à opérer en télétravail. Nous sommes également en mesure d’intervenir sur site chez nos clients qui le demandent.

• pour toute demande de support technique vous pouvez ouvrir automatiquement un ticket en envoyant un mail à l’adresse générique support@perenne-it.fr ou en cas de nécessité nous appeler au 01 39 23 97 67.
• Pour toute autre type de demande, adm@perenne-it.fr

Dans cette crise d’une ampleur sans précédent, qui nous affecte tous individuellement
et collectivement mais avec une intensité inégale, la solidarité s’impose.
Nous sommes mobilisés pour vous aider au mieux, face aux difficultés que vous pourriez rencontrer,
et tout particulièrement pour le télétravail de vos collaborateurs si nécessaire.
Nous restons à votre disposition pour toute question, et nous ne manquerons pas de continuer à vous informer
en fonction de l’évolution de la situation.