Microsoft 365 bloquera les protocoles d’authentification obsolètes et rendra obligatoire l’autorisation de l’administrateur pour l’accès aux applications à partir de juillet 2025.
À partir de la mi-juillet, Microsoft modifiera les paramètres par défaut de Microsoft 365 pour renforcer la sécurité. Les protocoles d’authentification obsolètes seront bloqués et les utilisateurs devront désormais demander l’autorisation des administrateurs pour permettre aux applications tierces d’accéder aux fichiers et aux sites. Le déploiement se poursuivra jusqu’en août 2025.
Secure Future Initiative
Microsoft met en œuvre ces changements dans le cadre de l’Secure Future Initiative. Cette initiative, lancée en novembre 2023, vise à améliorer la cybersécurité des solutions Microsoft à travers les composants et l’infrastructure. Cette mise à jour s’inscrit dans le principe plus large « Secure by Default », qui aide les organisations à atteindre des niveaux de sécurité de base.
Les modifications comprennent trois points principaux :
- L’authentification héritée du navigateur via le protocole Relying Party Suite (RPS) sera bloquée par défaut pour l’accès à SharePoint et OneDrive. RPS est vulnérable aux attaques par force brute et de phishing.
- Le protocole FPRPC (FrontPage Remote Procedure Call) sera bloqué pour l’ouverture des fichiers Office. Ce protocole est rarement utilisé aujourd’hui et augmente le risque de vulnérabilités.
- Par défaut, les utilisateurs ne pourront plus autoriser les applications tierces à accéder aux fichiers ou aux sites. Désormais, l’approbation explicite d’un administrateur sera nécessaire.
La modification de l’accès aux applications ne s’applique pas aux organisations qui ont déjà bloqué le consentement des utilisateurs ou mis en place des paramètres d’autorisation personnalisés. Les administrateurs peuvent également définir des règles d’accès détaillées pour des applications ou des groupes d’utilisateurs spécifiques.
Préparation
Microsoft conseille aux organisations de vérifier leurs paramètres actuels pour l’utilisation de RPS ou FPRPC. Les administrateurs informatiques, les propriétaires d’applications et les équipes de sécurité doivent être informés. Il est également important d’adapter la documentation interne et, si nécessaire, de configurer le processus Admin Consent Workflow. Microsoft propose un guide séparé à cet effet.
Les ajustements seront appliqués automatiquement à tous les environnements Microsoft 365. Ils peuvent avoir un impact sur la manière dont les données sont traitées ou consultées, car l’accès via des méthodes plus anciennes sera bloqué.