ktsdesign - Fotolia

Microsoft pousse à l’abandon du mot de passe avec Azure AD

Pour faire face aux défis de sécurité qu’il pose, Microsoft construit, autour d’Azure Active Directory, un écosystème où le mot de passe s’efface.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : Information Sécurité: Information sécurité 19 – Authentification : le mot de passe en sursis

Microsoft pousse à la mise à l’écart du mot de passe avec Azure Active Directory. Lors d’une session de sa conférence Ignite 2021, intitulée « Azure Active Directory : notre vision de l’identité pour renforcer les défenses sans confiance à l’ère du travail hybride », l’éditeur a exposé sa stratégie visant à éliminer les combinaisons traditionnelles de noms d’utilisateur et de mots de passe en faveur d’options d’authentification plus fiables et plus sûres.

Joy Chik, vice-présidente de la division identité de Microsoft, a ainsi présenté de nouveaux moyens de vérifier l’identité sans utiliser de mots de passe. Il s’agit notamment d’un laissez-passer temporaire, de cartes numériques et d’informations d’identification vérifiables. La sécurité sans mot de passe dans Microsoft Azure Active Directory, également connu sous le nom d’Azure AD, s’inscrit dans le cadre d’une stratégie zero-trust, qui, selon Joy Chik, est la bonne approche pour une sécurité maximale.

Joy Chik a commencé la session par un aperçu de l’année 2020, lorsque la pandémie de COVID-19 a forcé les organisations à donner la priorité à l’accès sécurisé, alors que de plus en plus de personnes travaillaient à distance. Elle a également rappelé les récentes attaques de la chaîne logistique du logiciel, avec SolarWinds – une opération que Microsoft appelle Solorigate. Dans le cadre de cette opération, les attaquants ont été en mesure de voler des informations d’identification existantes et d’en créer de nouvelles, ce qui leur a donné un accès extraordinaire à certains environnements des victimes.

« Le zero-trust ne fait aucune supposition sur qui vous êtes, ou ce que vous faites. ».
Joy ChikVP division identité, Microsoft

« Deux tendances se dégagent. Premièrement, les gens ont besoin de plus de flexibilité pour travailler, apprendre et collaborer dans un monde sans périmètres. Deuxièmement, les acteurs malveillants sont de plus en plus sophistiqués, car ils ajoutent des vecteurs d’attaque et les utilisent tous en même temps, comme nous venons de le voir avec Solorigate ».

Pour s’adapter à ces changements, Joy Chik estime nécessaire une stratégie combinant une flexibilité maximale avec une sécurité maximale. Le modèle sans confiance remplace le nom d’utilisateur et le mot de passe standard pour la sécurité du réseau périmétrique et utilise d’autres moyens d’authentification, tels que l’authentification des appareils et la géolocalisation, tout en appliquant le principe du moindre privilège.

« Le zero-trust ne fait aucune supposition sur qui vous êtes, ou ce que vous faites. Vous pouvez concevoir des défenses sans confiance autour des personnes et de leur façon de travailler, qu’elles utilisent des téléphones ou des consoles », explique Joy Chik.

L’authentification sans mot de passe peut aider les organisations à embarquer de nouveaux collaborateurs à distance, sans l’aide du service informatique, ce qui, selon Joy Chik, est l’un des « scénarios les plus délicats de l’ère pandémique ».

C’est là qu’intervient le passe d’accès temporaire dans Azure AD. Les employés distants peuvent s’inscrire à l’aide d’une clé de sécurité et d’une empreinte digitale et se connecter sans mot de passe. Cela aide à construire une authentification forte, selon Joy Chik, notamment pour l’authentification à facteurs multiples (MFA).

« Pour faciliter l’adoption de la MFA, vous pouvez vous passer de mots de passe. Une organisation est plus sûre si tout le monde l’a, et pas seulement les administrateurs. À partir d’aujourd’hui, l’authentification sans mot de passe est généralement disponible pour les environnements cloud et hybrides. C’est une étape importante pour nous dans le secteur ».

« Il est facile de configurer un compte sans mot de passe à l’aide du Temporary Access Pass. ».
Inbar Kobrinskygestionnaire de programme senior, Microsoft

Au cours de la session, Inbar Kobrinsky, gestionnaire de programme senior chez Microsoft, a expliqué comment le laissez-passer temporaire permet l’authentification et réduit le risque d’exposition des informations d’identification. « Les mots de passe sont l’un des vecteurs d’attaque les plus courants. Il est facile de configurer un compte sans mot de passe à l’aide du Temporary Access Pass. Il s’agit d’un mot de passe à durée de vie limitée dans le temps, qui permet à l’utilisateur d’entrer dans les méthodes d’authentification par mot de passe et de récupérer l’accès à son compte sans mot de passe ».

Le passe d’accès temporaire comprend des cartes numériques qui « représentent un nouveau justificatif d’identité portable et vérifiable », explique Joy Chik. À l’instar d’un jeton sécurisé, ou d’une carte à puce, par exemple.

« Cela utilise une solution de blockchain open source qu’aucune organisation ne possède ou ne contrôle, y compris Microsoft », a expliqué Joy Chik lors de la session. « Elle ressemble à n’importe quelle autre carte numérique dans votre portefeuille. Les justificatifs d’identité vérifiables vont révolutionner la façon dont nous échangeons des informations numériques. Nous pouvons vérifier les informations d’emploi, la citoyenneté et d’autres informations personnelles, en quelques minutes ».

Le passe d’accès temporaire de Microsoft est actuellement en avant-première publique.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close