La fin de l'authentification de base Microsoft

Aperçu

MICROSOFT COMBLE UNE FAILLE DE SÉCURITÉ IMPORTANTE DANS EXCHANGE ONLINE 

Microsoft continue d'améliorer la sécurité et supprimera dans les prochains mois l'une des dernières méthodes de connexion obsolètes dans Exchange Online : l'authentification de base pour la soumission client SMTP AUTH. De nombreuses entreprises utilisent encore cette méthode pour les processus automatisés, souvent sans le savoir et de manière profondément intégrée dans leurs processus commerciaux.

En désactivant l'authentification de base pour la soumission client (SMTP AUTH), Microsoft poursuit son plan, engagé depuis plusieurs années, visant à améliorer la sécurité du cloud. Le calendrier a entre-temps été modifié : jusqu'à fin décembre 2026, l'authentification de base SMTP AUTH restera disponible sans changement pour les locataires Exchange Online existants. Passé ce délai, la fonctionnalité sera désactivée par défaut ; sa suppression complète interviendra ultérieurement.

Ce qui, à première vue, ressemble à un simple changement technique peut avoir un impact direct sur les processus métier – par exemple lorsque les factures, les alertes ou les notifications de statut ne peuvent plus être envoyées par e-mail. C’est donc le moment idéal pour les entreprises d’identifier les systèmes concernés et de planifier la transition de manière structurée.

Pourquoi Microsoft supprime l'authentification de base

L'authentification de base représente aujourd'hui un risque fondamental pour la sécurité. Le nom d'utilisateur et le mot de passe sont simplement transmis en codage Base64 à chaque connexion, ce qui ouvre la porte au phishing, aux attaques par force brute et au credential stuffing.

Plus grave encore, l'authentification de base contourne les concepts de sécurité modernes, car elle ne prend pas en charge l'authentification multifactorielle (MFA). Tant qu'un locataire accepte l'authentification de base, une porte dérobée reste ouverte, même si des mécanismes de sécurité puissants ont déjà été mis en place ailleurs.

Microsoft suit donc une ligne claire : abandonner les connexions basées sur des mots de passe au profit du Zero Trust et d'une authentification moderne basée sur des jetons via OAuth 2.0. OAuth 2.0 réduit considérablement le risque de vol de mots de passe, peut être contrôlé de manière granulaire et constitue la base de contrôles de sécurité stables. La désactivation de l'authentification de base pour d'autres protocoles a déjà eu lieu ; avec SMTP AUTH, l'une des dernières exceptions restantes disparaît désormais.

QU'EST-CE QUE OAUTH 2.0? 

Imaginez que vous vous enregistrez dans un hôtel. Au lieu de recevoir la clé passe-partout du bâtiment (mot de passe/authentification de base), vous recevez une carte-clé (jeton). Cette carte ouvre uniquement votre chambre et peut-être la salle de sport, et ce uniquement pendant la durée de votre séjour. Si la carte est volée, la salle des coffres reste sécurisée.

C'est exactement ainsi que fonctionne OAuth 2.0 : une application (par exemple un scanner) ne reçoit pas votre mot de passe, mais un jeton d'accès à durée limitée. Ce jeton n'autorise que des actions clairement définies (par exemple « envoyer un e-mail ») et peut être révoqué à tout moment sans qu'il soit nécessaire de modifier le mot de passe principal. Cela augmente considérablement la sécurité, la connexion reste compatible avec les procédures modernes telles que l'authentification multifactorielle (MFA) et le risque de compromission des données d'accès diminue sensiblement.

LE CALENDRIER JUSQU'À LA MISE HORS SERVICE DÉFINITIVE 

Afin que cette transition ne se fasse pas à l'improviste, Microsoft met dès à présent à la disposition des administrateurs des outils permettant d'identifier les systèmes concernés. Depuis octobre 2024, un rapport mis à jour sur les soumissions client SMTP AUTH est disponible dans l'Exchange Admin Center. Ce rapport indique quels appareils et applications utilisent encore l'authentification de base. Pour les administrateurs, il s'agit d'un point de départ pour assurer la transparence et établir une liste complète de tous les systèmes concernés.

Microsoft a entre-temps modifié la date de désactivation initialement communiquée. Jusqu'à fin décembre 2026, le fonctionnement de l'authentification de base SMTP AUTH restera inchangé pour les locataires Exchange Online existants. Les systèmes qui envoient encore aujourd'hui des e-mails via Microsoft 365 en utilisant l'authentification de base continueront donc de fonctionner pour le moment. Ce délai supplémentaire ne doit toutefois pas être interprété comme un signal de fin d'alerte, mais comme une occasion de recenser de manière exhaustive les applications, appareils multifonctions, scanners ou scripts concernés et de planifier des alternatives appropriées.

Fin décembre 2026, l'authentification de base SMTP AUTH sera désactivée par défaut pour les locataires existants. Les administrateurs pourront réactiver la fonction si nécessaire pour le moment. Pour les locataires créés après décembre 2026, l’authentification de base ne sera plus disponible par défaut ; OAuth sera alors la méthode d’authentification prise en charge. Au cours du second semestre 2027, Microsoft prévoit d’annoncer la date définitive de la suppression complète de l’authentification SMTP AUTH Basic.

LE DÉFI : LORSQUE LE MATÉRIEL N'EST PAS ASSEZ «INTELLIGENT» 

En théorie, le passage à OAuth 2.0 est simple. Dans la pratique, cependant, il échoue souvent en raison de l'infrastructure existante en arrière-plan. Alors que les ordinateurs portables et les smartphones ont depuis longtemps été modernisés, les imprimantes, les scanners, les anciens systèmes ERP ou les scripts continuent de communiquer obstinément avec un nom d'utilisateur et un mot de passe.

Parmi les exemples typiques, citons un scanner qui envoie des bons de livraison à une adresse de messagerie centrale, un système ERP qui envoie automatiquement des confirmations de commande par e-mail ou un outil de surveillance qui envoie des alertes au service de piquet en cas de dysfonctionnement. Pour bon nombre de ces appareils, il n'existe plus de mises à jour actuelles du micrologiciel. Un remplacement complet du matériel ou du système serait certes techniquement possible, mais souvent disproportionné sur le plan économique.

C'est pourquoi une analyse systématique des connexions existantes constitue la première étape la plus importante. En identifiant à un stade précoce les domaines où l'authentification de base est encore utilisée, il est possible de planifier la transition en tenant compte des risques et sans contrainte de temps.

RECOMMANDATIONS CONCRÈTES 

Les entreprises doivent procéder de manière structurée :

  1. Réaliser un état des lieux
    Le rapport SMTP AUTH Client Submission Report dans Exchange Admin Center aide à identifier tous les systèmes qui utilisent encore l'authentification de base, y compris les sites rarement utilisés et les solutions spéciales.
     
  2. Catégoriser les systèmes
    Lesquels peuvent être convertis à OAuth 2.0 par mise à jour ou configuration ? Lesquels sont obsolètes et doivent être remplacés à moyen terme ? Et pour quels systèmes un remplacement est-il souhaitable, mais irréaliste à court terme ?
     
  3. Créer un plan de migration
    Sur cette base, il est possible de créer un plan de migration qui donne la priorité aux systèmes critiques pour l'entreprise et prévoit suffisamment de temps pour les tests. Pour les systèmes modernes, seul un ajustement de la configuration est souvent nécessaire ; Microsoft fournit une documentation complète pour la mise en œuvre d'OAuth. Pour les systèmes plus anciens, il est utile de consulter les mises à jour de micrologiciels disponibles ou de contacter le fabricant.

Voies de migration : de OAuth à SMTP Relay

La stratégie doit être menée sur deux fronts.

  1. Modernisation (priorité 1)
    Dans la mesure du possible, les systèmes doivent être directement convertis à OAuth 2.0, que ce soit par des mises à jour logicielles, des mises à jour de micrologiciels ou des ajustements de configuration. De nombreuses applications et services actuels prennent déjà en charge l'authentification moderne. Après la conversion, l'accès est mieux sécurisé, consigné de manière traçable et intégrable dans les directives de sécurité existantes.
     
  2. Technologie de transition (priorité 2)
    Dans la pratique, cependant, il s'avère que tous les systèmes ne sont pas « compatibles OAuth ». Les systèmes qui ne peuvent pas être modernisés nécessitent un intermédiaire. Les imprimantes multifonctions anciennes, les solutions sectorielles ou les applications développées individuellement ne prennent souvent pas en charge OAuth 2.0 et ne reçoivent plus de mises à jour, mais restent indispensables au fonctionnement. Dans ces cas, un service de relais SMTP peut servir de pont entre les systèmes hérités et l'infrastructure de messagerie électronique moderne. Les anciens systèmes se connectent au relais, qui assure une communication sécurisée avec Exchange Online et répond aux exigences de Microsoft 365.

Risques en cas de non-conversion

Il est tentant de reporter la question. Cependant, ceux qui tardent à effectuer la transition risquent, des pannes dans l'envoi automatisé des e-mails : les factures resteront bloquées dans l'ERP, les fonctions de numérisation vers e-mail ne fonctionneront plus, les alertes des systèmes de surveillance ne parviendront plus à personne. Les perturbations individuelles deviendront rapidement un risque économique, avec des conséquences sur l'efficacité, la satisfaction des clients et, dans certains cas, la conformité. La conversion n'est donc pas seulement un détail technique, mais un projet critique pour l'entreprise.

RELAYAGE DE COURRIER SMTP À PARTIR DU CLOUD MTF BUSINESS 

En tant que technologie relais, MTF propose un service de relais de messagerie SMTP depuis le MTF Business Cloud. Ce service est spécialement conçu pour les scénarios dans lesquels des systèmes qui ne maîtrisent pas l'authentification moderne doivent continuer à fonctionner, mais doivent continuer à envoyer des e-mails de manière fiable.

Le service de relais fonctionne dans notre environnement cloud suisse hautement disponible, est optimisé pour l'envoi à partir d'applications et d'appareils et peut être intégré de manière contrôlée dans les exigences de sécurité et de conformité existantes. Les entreprises conservent le contrôle sur les expéditeurs, le routage et les directives, tandis que la complexité technique de la connexion à Exchange Online est réduite.

Les avantages de cette solution sont évidents :

  • Poursuite de l'exploitation des appareils existants sans remplacement du matériel.
  • Stockage des données en Suisse dans notre MTF Business Cloud hautement disponible.
  • Découplage des systèmes hérités sans compromis en matière de sécurité du cloud.

MTF : VOTRE PARTENAIRE POUR DES SOLUTIONS D'AUTHENTIFICATION MODERNES 

La désactivation de l'authentification de base pour SMTP AUTH a été décidée. Les entreprises ont jusqu'à fin 2026 pour adapter leur environnement, mais elles doivent mettre à profit ce délai. Les prochaines étapes consistent à dresser un inventaire structuré, à évaluer les systèmes concernés et à opter pour une solution de modernisation ou de relais.

MTF vous aide à planifier cette transition et à la sécuriser. Nous analysons votre environnement Exchange Online, identifions toutes les connexions pertinentes et élaborons avec vous un plan de migration, allant de la transition directe vers OAuth 2.0 à l'intégration du service SMTP Mail Relay de MTF Business Cloud.

Si vous souhaitez vous assurer que votre communication par e-mail continuera de fonctionner sans problème après avril 2026, il est judicieux d'en discuter dès maintenant. Contactez-nous pour une consultation sans engagement : nous vous accompagnerons pas à pas tout au long de la transition.

CONTACTER MAINTENANT

FAQ 

  1. La désactivation de l'authentification de base concerne-t-elle uniquement le protocole SMTP ou également d'autres protocoles dans Exchange Online ?
    La modification annoncée concerne spécifiquement l'authentification de base pour la soumission client SMTP AUTH. De nombreux autres protocoles tels que POP, IMAP ou Exchange ActiveSync ont déjà été convertis à l'authentification moderne lors de vagues précédentes. Cependant, pour les entreprises qui utilisent SMTP pour les e-mails automatisés, cette dernière modification est souvent la plus notable, en particulier pour les imprimantes, les scanners, les systèmes ERP et les scripts.
     
  2. Comment puis-je savoir quels systèmes de mon environnement utilisent encore l'authentification de base pour SMTP ?
    Le point de départ le plus important est le rapport SMTP AUTH Client Submission dans le Centre d'administration Exchange. Il indique quels appareils et applications se connectent encore avec l'authentification de base. En complément, il est utile de faire un inventaire de l'infrastructure : où les e-mails automatisés sont-ils envoyés (scan-to-mail, ERP, surveillance, solutions sectorielles) ? Souvent, des systèmes qui fonctionnent sans changement depuis des années et qui ne sont plus au centre de l'attention depuis longtemps apparaissent.
     
  3. Tous les systèmes doivent-ils obligatoirement passer à OAuth 2.0 ?
    Du point de vue de la sécurité, OAuth 2.0 est l'état cible. Dès que des mises à jour, de nouvelles versions ou des ajustements de configuration sont disponibles, la transition directe doit être effectuée. Dans la pratique, cependant, certains appareils et applications ne prennent pas en charge OAuth 2.0 et ne reçoivent plus de mises à jour. Ces systèmes peuvent continuer à fonctionner grâce à des technologies de transition telles qu'un service de relais SMTP, sans compromettre les exigences de sécurité d'Exchange Online.
     
  4. Que se passera-t-il concrètement si je ne fais rien d'ici avril 2026 ?
    Jusqu'à fin décembre 2026, rien ne changera pour l'instant pour les locataires Exchange Online existants. Passé cette date, l'authentification SMTP AUTH Basic sera désactivée par défaut. Les administrateurs peuvent certes réactiver la fonction pour le moment, mais Microsoft a déjà annoncé son intention de la supprimer complètement ultérieurement. Les systèmes qui continuent d’utiliser l’authentification de base ne pourront plus envoyer d’e-mails après la désactivation. Cela concerne généralement l’envoi de factures, les notifications de statut, les alertes ou les fonctions de numérisation vers e-mail. Des dysfonctionnements techniques isolés peuvent ainsi rapidement se transformer en un risque opérationnel.
     
  5. Un service de relais SMTP tel que MTF SMTP Mail Relay est-il uniquement une solution transitoire ou est-il également pertinent à long terme ?
    Cela dépend de la stratégie de l'entreprise. Pour certains clients, le service de relais est une solution temporaire qui leur permet de gagner du temps pour une modernisation progressive. D'autres utilisent délibérément ce service à long terme afin de dissocier proprement les systèmes hérités de Microsoft 365, d'appliquer des directives de sécurité centrales et de traiter l'envoi d'e-mails à partir d'applications via un service contrôlé et hautement disponible en Suisse.
     
  6. Par où commencer la planification et comment MTF peut-il m'aider ?
    La première étape est toujours la transparence : quels systèmes envoient des e-mails et comment ? Sur cette base, il faut ensuite procéder à la catégorisation (modernisable, remplaçable, dépendant du relais) et à la hiérarchisation des applications critiques pour l'entreprise. MTF vous aide en analysant votre environnement Exchange Online, en évaluant les risques et en élaborant un plan de migration, y compris la mise en œuvre d'OAuth 2.0 lorsque cela est possible et l'intégration du service MTF SMTP Mail Relay lorsque une technologie relais est nécessaire.

Aussi intéressant 

CloudSecurity

Plus

ZEROTRUST

Plus
Aperçu

Avez-vous des Questions ?

Manfred Dick
Senior Technical Engineer
+41 31 888 88 88
[email protected]