Azure : Microsoft va imposer l’authentification à facteurs multiples

À partir d’octobre 2024, Microsoft rendra l’authentification à facteurs multiples (MFA) obligatoire pour les connexions à Azure dans le cadre de son initiative « Secure Future ».

Cette décision fait suite à plusieurs cyberattaques majeures impliquant des comptes sans MFA, y compris une attaque en janvier par un acteur de menace affilié à l’État russe, Midnight Blizzard, qui a notamment compromis des comptes de messagerie de cadres supérieurs de Microsoft.

Le déploiement se fera en deux phases. Dans un premier temps, la MFA sera obligatoire pour les connexions au portail Azure, au centre d’administration Microsoft Entra et à celui d’Intune. Ensuite, au début de 2025, l’exigence s’étendra à l’interface en ligne de commande Azure, à Azure PowerShell, à l’application mobile Azure et aux outils d’infrastructure as code. Les utilisateurs des services de Microsoft Azure ont déjà reçu des notifications personnelles, par e-mail, les informant de ces changements à venir. 

Selon des recherches internes de Microsoft, la MFA peut bloquer plus de 99,2 % des attaques de compromission de compte. Microsoft recommande des méthodes MFA résistantes au phishing, telles que Microsoft Authenticator, les clés de sécurité FIDO2 et l’authentification par certificat, tout en avertissant que les approbations par SMS ou appel vocal sont les moins sécurisées.