Certains secrets sont trop importants pour être protégés uniquement par un mot de passe.
Le problème avec les mots de passe est qu’ils sont trop facilement volés, devinés ou hameçonnés. Un méchant qui acquiert votre nom d’utilisateur et votre mot de passe peut utiliser ces informations d’identification pour vous usurper l’identité du service associé, avec des résultats potentiellement désastreux.
Votre organisation ne peut pas se permettre de faire des mots de passe le seul obstacle à la protection de vos fichiers professionnels et de vos e-mails contre les attaquants extérieurs. Vous avez besoin d’une couche de sécurité supplémentaire appelée authentification multifacteur. Il fonctionne en exigeant au moins deux formes d’authentification, à partir de toute combinaison des éléments suivants:
- » Quelque chose que vous connaissez « , comme un mot de passe ou un code PIN
- « Quelque chose que vous êtes « , comme une empreinte digitale ou un autre identifiant biométrique
- « Quelque chose que vous avez « , comme un smartphone de confiance capable de générer ou de recevoir des codes de confirmation
Les services en ligne modernes de qualité professionnelle vous permettent d’ajouter une deuxième forme d’authentification aux comptes d’utilisateurs, une configuration souvent appelée authentification à deux facteurs (2FA). L’exemple 2FA classique est une carte de guichet automatique bancaire, qui est sécurisée par un deuxième facteur sous la forme d’un code PIN numérique. Si votre carte de guichet automatique est volée, cela ne sert à rien car le voleur n’a pas votre NIP. Et un code PIN volé ou hameçonné est inutile à moins que le voleur ne puisse également glisser la bande magnétique de votre carte physique.
Les éditions Enterprise d’Office 365 incluent la possibilité d’ajouter 2FA à n’importe quel compte utilisateur. (Cet article de blog d’Office explique le fonctionnement de la fonctionnalité, avec un guide de déploiement complet disponible ici.) Après avoir configuré un compte d’utilisateur pour exiger 2FA, l’utilisateur entre son nom d’utilisateur et son mot de passe comme d’habitude lors de sa visite Office365.com . Mais après avoir réussi ce défi, l’invite indiquée sur la figure A apparaît.
Figure A
Dans cet exemple, Office 365 est configuré pour envoyer le code de vérification sous forme de message texte au numéro de téléphone mobile associé au compte d’utilisateur (il y a ce « quelque chose que vous avez »). Un voleur peut avoir le mot de passe de votre utilisateur, mais il n’a pas le téléphone associé à cet appareil, il ne peut donc pas taper le code numérique généré aléatoirement qui a été envoyé à cet appareil de confiance. Et il n’a pas beaucoup de temps pour travailler non plus, car le code expire une minute environ après son envoi.
Le problème avec les options de vérification qui reposent sur des messages texte (SMS) est que vous ne pouvez pas toujours compter sur la réception de ces messages lorsque vous en avez besoin. Si vous disposez d’une connexion réseau haut débit à votre hôtel ou à votre bureau distant mais que votre combiné indique « Pas de service », vous n’avez pas de chance.
La solution consiste à utiliser une autre option de vérification, tirée de la liste illustrée à la figure B.
Figure B
Le premier choix de cette liste fonctionnera même si vous ne parvenez pas à recevoir un message texte ou un code délivré par une voix robotique à votre ligne vocale. Il suppose que vous avez installé l’application d’authentification multifacteur Azure, disponible pour les appareils iOS (iPhone et iPad), via l’App Store ; les appareils Android, via le Google Play Store; et Windows Phone.
Comme Office 365 est basé sur Microsoft Azure, vous pouvez utiliser cette application pour générer des codes de confirmation en fonction de votre clé secrète et de la date et de l’heure actuelles. Peu importe que votre téléphone dispose d’une connexion de données active. Si vous pouvez ouvrir l’application, vous pouvez récupérer un code qui agira comme un deuxième facteur d’authentification valide.
La figure C montre à quoi ressemble l’application sur un smartphone Android.
Figure C
Si vous avez plus d’un compte configuré, vous verrez des codes distincts pour chaque compte. Chaque code est valable pendant 30 secondes, la barre de progression en haut de l’application indiquant combien de temps le code suivant est généré.
Lorsque vous voyez l’invite dans votre navigateur Web pour entrer le code de vérification, tapez la valeur actuelle de l’application et vous aurez accès à Office 365.
Il convient de noter que 2FA protège votre compte contre les accès non autorisés. Il ne protège pas les fichiers ou les messages individuels.
Pour configurer 2FA sur un Office 365, vous devez vous connecter en tant qu’administrateur, visiter le Centre d’administration Office 365 et cliquer sur Utilisateurs/Utilisateurs actifs. Dans le tableau de bord Utilisateurs actifs, cliquez sur l’option de la figure D pour lancer le processus de configuration. Cette étape vous mènera à une liste d’utilisateurs actifs, où vous pouvez sélectionner un ou plusieurs comptes, puis activer ou désactiver 2FA.
Figure D
Une fois cette configuration terminée, chaque utilisateur est invité à configurer les étapes de vérification de sécurité supplémentaires. Si vous choisissez l’option de configuration de l’application pour smartphone, installez-la d’abord sur votre appareil. Ensuite, lors de la configuration, utilisez le code QR à l’écran pour configurer l’application pour une utilisation sécurisée (figure E).
Figure E
En tant qu’utilisateur, vous pouvez modifier vos paramètres 2FA à tout moment. Vous pouvez, par exemple, modifier le comportement par défaut afin que l’application affiche une invite de confirmation que vous pouvez appuyer pour approuver. Vous pouvez également ajouter un autre téléphone mobile à vos paramètres.
Pour accéder à ces paramètres, connectez-vous à Office 365, cliquez ou appuyez sur l’icône d’engrenage dans le coin supérieur droit, choisissez Paramètres Office 365, puis sélectionnez Vérification de sécurité supplémentaire. Vous devez choisir Mettre à jour Mes numéros de téléphone Utilisés pour la sécurité du compte pour voir toutes les options disponibles.
Une dernière note importante sur l’utilisation d’Office 365 avec Office 2FA. L’activation de ce niveau de sécurité supplémentaire signifie que les informations d’identification de votre compte Office 365 ne fonctionneront plus dans les applications de messagerie de votre téléphone ou de votre PC, y compris Microsoft Outlook et Lync. Vous devrez générer un mot de passe d’application distinct pour chacun de ces appareils et le saisir dans le cadre de la configuration initiale. Le panneau de configuration des mots de passe de l’application se trouve dans un onglet séparé, à côté des options de vérification de sécurité supplémentaires.
Lorsque vous vous connectez pour la première fois à un compte sur un appareil, vous pouvez désigner cet appareil comme approuvé ( » Ne me demandez plus de code sur cet appareil « ). Cela élimine le facteur de gêne sur les appareils que vous utilisez régulièrement.
Si vous pensez qu’un appareil a été volé ou compromis, vous pouvez aller en ligne et supprimer la liste des appareils de confiance afin que vous deviez répéter la vérification pour chacun d’eux. Encore une fois, parce qu’il s’agit d’une seule étape, ce n’est qu’une seule fois par appareil. Si vous vous connectez sur un appareil non fiable (un ordinateur emprunté, disons), vous ne l’autorisez évidemment pas à figurer sur votre liste d’appareils de confiance.