La fin de l'authentification de base Microsoft

Aperçu

MICROSOFT COMBLE UNE FAILLE DE SÉCURITÉ IMPORTANTE DANS EXCHANGE ONLINE 

Microsoft continue d'améliorer la sécurité et supprimera dans les prochains mois l'une des dernières méthodes de connexion obsolètes dans Exchange Online : l'authentification de base pour la soumission client SMTP AUTH. De nombreuses entreprises utilisent encore cette méthode pour les processus automatisés, souvent sans le savoir et de manière profondément intégrée dans leurs processus commerciaux.

Avec la désactivation de l'authentification de base pour la soumission client (SMTP AUTH), Microsoft poursuit de manière cohérente son plan pluriannuel visant à améliorer la sécurité du cloud. Le calendrier est fixé : à partir du 1er mars 2026, Microsoft commencera à refuser les premières connexions d'authentification de base, et le 30 avril 2026, l'authentification de base pour SMTP AUTH sera complètement désactivée. Ce qui, à première vue, semble être un changement technique mineur peut avoir un impact direct sur les processus commerciaux, par exemple lorsque les factures, les alertes ou les messages d'état ne peuvent plus être envoyés par e-mail. Pour les entreprises, c'est le moment idéal pour vérifier leur propre environnement et planifier la transition de manière structurée.

Pourquoi Microsoft supprime l'authentification de base

L'authentification de base représente aujourd'hui un risque fondamental pour la sécurité. Le nom d'utilisateur et le mot de passe sont simplement transmis en codage Base64 à chaque connexion, ce qui ouvre la porte au phishing, aux attaques par force brute et au credential stuffing.

Plus grave encore, l'authentification de base contourne les concepts de sécurité modernes, car elle ne prend pas en charge l'authentification multifactorielle (MFA). Tant qu'un locataire accepte l'authentification de base, une porte dérobée reste ouverte, même si des mécanismes de sécurité puissants ont déjà été mis en place ailleurs.

Microsoft suit donc une ligne claire : abandonner les connexions basées sur des mots de passe au profit du Zero Trust et d'une authentification moderne basée sur des jetons via OAuth 2.0. OAuth 2.0 réduit considérablement le risque de vol de mots de passe, peut être contrôlé de manière granulaire et constitue la base de contrôles de sécurité stables. La désactivation de l'authentification de base pour d'autres protocoles a déjà eu lieu ; avec SMTP AUTH, l'une des dernières exceptions restantes disparaît désormais.

QU'EST-CE QUE OAUTH 2.0? 

Imaginez que vous vous enregistrez dans un hôtel. Au lieu de recevoir la clé passe-partout du bâtiment (mot de passe/authentification de base), vous recevez une carte-clé (jeton). Cette carte ouvre uniquement votre chambre et peut-être la salle de sport, et ce uniquement pendant la durée de votre séjour. Si la carte est volée, la salle des coffres reste sécurisée.

C'est exactement ainsi que fonctionne OAuth 2.0 : une application (par exemple un scanner) ne reçoit pas votre mot de passe, mais un jeton d'accès à durée limitée. Ce jeton n'autorise que des actions clairement définies (par exemple « envoyer un e-mail ») et peut être révoqué à tout moment sans qu'il soit nécessaire de modifier le mot de passe principal. Cela augmente considérablement la sécurité, la connexion reste compatible avec les procédures modernes telles que l'authentification multifactorielle (MFA) et le risque de compromission des données d'accès diminue sensiblement.

LE CALENDRIER JUSQU'À LA MISE HORS SERVICE DÉFINITIVE 

Afin que la transition ne se fasse pas du jour au lendemain, Microsoft a délibérément divisé le processus en plusieurs étapes. Depuis octobre 2024, un rapport actualisé sur la soumission client SMTP AUTH est disponible dans le Centre d'administration Exchange. Ce rapport indique quels appareils et applications utilisent encore l'authentification de base. Pour les administrateurs, c'est le point de départ pour créer de la transparence et dresser une liste complète de tous les systèmes concernés.

Le 1er mars 2026, Microsoft commencera à rejeter de manière ciblée une petite partie des connexions Basic Auth. Cette mesure est volontaire et sert de test pratique : les systèmes qui, à partir de cette date, ne parviennent plus à envoyer de courriels de manière sporadique doivent prendre des mesures. Les entreprises reçoivent ainsi un signal clair avant que le changement ne prenne définitivement effet.

Le 30 avril 2026, l'authentification de base pour SMTP AUTH sera complètement désactivée. Toute tentative de connexion avec l'authentification de base sera rejetée et accompagnée du message «550 5.7.30 Basic authentication is not supported for Client Submission». Aucune prolongation ou dérogation supplémentaire n'est prévue.

LE DÉFI : LORSQUE LE MATÉRIEL N'EST PAS ASSEZ «INTELLIGENT» 

En théorie, le passage à OAuth 2.0 est simple. Dans la pratique, cependant, il échoue souvent en raison de l'infrastructure existante en arrière-plan. Alors que les ordinateurs portables et les smartphones ont depuis longtemps été modernisés, les imprimantes, les scanners, les anciens systèmes ERP ou les scripts continuent de communiquer obstinément avec un nom d'utilisateur et un mot de passe.

Parmi les exemples typiques, citons un scanner qui envoie des bons de livraison à une adresse de messagerie centrale, un système ERP qui envoie automatiquement des confirmations de commande par e-mail ou un outil de surveillance qui envoie des alertes au service de piquet en cas de dysfonctionnement. Pour bon nombre de ces appareils, il n'existe plus de mises à jour actuelles du micrologiciel. Un remplacement complet du matériel ou du système serait certes techniquement possible, mais souvent disproportionné sur le plan économique.

C'est pourquoi une analyse systématique des connexions existantes constitue la première étape la plus importante. En identifiant à un stade précoce les domaines où l'authentification de base est encore utilisée, il est possible de planifier la transition en tenant compte des risques et sans contrainte de temps.

RECOMMANDATIONS CONCRÈTES 

Les entreprises doivent procéder de manière structurée :

  1. Réaliser un état des lieux
    Le rapport SMTP AUTH Client Submission Report dans Exchange Admin Center aide à identifier tous les systèmes qui utilisent encore l'authentification de base, y compris les sites rarement utilisés et les solutions spéciales.
     
  2. Catégoriser les systèmes
    Lesquels peuvent être convertis à OAuth 2.0 par mise à jour ou configuration ? Lesquels sont obsolètes et doivent être remplacés à moyen terme ? Et pour quels systèmes un remplacement est-il souhaitable, mais irréaliste à court terme ?
     
  3. Créer un plan de migration
    Sur cette base, il est possible de créer un plan de migration qui donne la priorité aux systèmes critiques pour l'entreprise et prévoit suffisamment de temps pour les tests. Pour les systèmes modernes, seul un ajustement de la configuration est souvent nécessaire ; Microsoft fournit une documentation complète pour la mise en œuvre d'OAuth. Pour les systèmes plus anciens, il est utile de consulter les mises à jour de micrologiciels disponibles ou de contacter le fabricant.

Voies de migration : de OAuth à SMTP Relay

La stratégie doit être menée sur deux fronts.

  1. Modernisation (priorité 1)
    Dans la mesure du possible, les systèmes doivent être directement convertis à OAuth 2.0, que ce soit par des mises à jour logicielles, des mises à jour de micrologiciels ou des ajustements de configuration. De nombreuses applications et services actuels prennent déjà en charge l'authentification moderne. Après la conversion, l'accès est mieux sécurisé, consigné de manière traçable et intégrable dans les directives de sécurité existantes.
     
  2. Technologie de transition (priorité 2)
    Dans la pratique, cependant, il s'avère que tous les systèmes ne sont pas « compatibles OAuth ». Les systèmes qui ne peuvent pas être modernisés nécessitent un intermédiaire. Les imprimantes multifonctions anciennes, les solutions sectorielles ou les applications développées individuellement ne prennent souvent pas en charge OAuth 2.0 et ne reçoivent plus de mises à jour, mais restent indispensables au fonctionnement. Dans ces cas, un service de relais SMTP peut servir de pont entre les systèmes hérités et l'infrastructure de messagerie électronique moderne. Les anciens systèmes se connectent au relais, qui assure une communication sécurisée avec Exchange Online et répond aux exigences de Microsoft 365.

Risques en cas de non-conversion

Il est tentant de reporter la question. Cependant, ceux qui tardent à effectuer la transition risquent, à partir de mai 2026, des pannes dans l'envoi automatisé des e-mails : les factures resteront bloquées dans l'ERP, les fonctions de numérisation vers e-mail ne fonctionneront plus, les alertes des systèmes de surveillance ne parviendront plus à personne. Les perturbations individuelles deviendront rapidement un risque économique, avec des conséquences sur l'efficacité, la satisfaction des clients et, dans certains cas, la conformité. La conversion n'est donc pas seulement un détail technique, mais un projet critique pour l'entreprise.

RELAYAGE DE COURRIER SMTP À PARTIR DU CLOUD MTF BUSINESS 

En tant que technologie relais, MTF propose un service de relais de messagerie SMTP depuis le MTF Business Cloud. Ce service est spécialement conçu pour les scénarios dans lesquels des systèmes qui ne maîtrisent pas l'authentification moderne doivent continuer à fonctionner, mais doivent continuer à envoyer des e-mails de manière fiable.

Le service de relais fonctionne dans notre environnement cloud suisse hautement disponible, est optimisé pour l'envoi à partir d'applications et d'appareils et peut être intégré de manière contrôlée dans les exigences de sécurité et de conformité existantes. Les entreprises conservent le contrôle sur les expéditeurs, le routage et les directives, tandis que la complexité technique de la connexion à Exchange Online est réduite.

Les avantages de cette solution sont évidents :

  • Poursuite de l'exploitation des appareils existants sans remplacement du matériel.
  • Stockage des données en Suisse dans notre MTF Business Cloud hautement disponible.
  • Découplage des systèmes hérités sans compromis en matière de sécurité du cloud.

MTF : VOTRE PARTENAIRE POUR DES SOLUTIONS D'AUTHENTIFICATION MODERNES 

La désactivation de l'authentification de base pour SMTP AUTH a été décidée. Les entreprises ont jusqu'en avril 2026 pour adapter leur environnement, mais elles doivent mettre à profit ce délai. Les prochaines étapes consistent à dresser un inventaire structuré, à évaluer les systèmes concernés et à opter pour une solution de modernisation ou de relais.

MTF vous aide à planifier cette transition et à la sécuriser. Nous analysons votre environnement Exchange Online, identifions toutes les connexions pertinentes et élaborons avec vous un plan de migration, allant de la transition directe vers OAuth 2.0 à l'intégration du service SMTP Mail Relay de MTF Business Cloud.

Si vous souhaitez vous assurer que votre communication par e-mail continuera de fonctionner sans problème après avril 2026, il est judicieux d'en discuter dès maintenant. Contactez-nous pour une consultation sans engagement : nous vous accompagnerons pas à pas tout au long de la transition.

CONTACTER MAINTENANT

FAQ 

  1. La désactivation de l'authentification de base concerne-t-elle uniquement le protocole SMTP ou également d'autres protocoles dans Exchange Online ?
    La modification annoncée concerne spécifiquement l'authentification de base pour la soumission client SMTP AUTH. De nombreux autres protocoles tels que POP, IMAP ou Exchange ActiveSync ont déjà été convertis à l'authentification moderne lors de vagues précédentes. Cependant, pour les entreprises qui utilisent SMTP pour les e-mails automatisés, cette dernière modification est souvent la plus notable, en particulier pour les imprimantes, les scanners, les systèmes ERP et les scripts.
     
  2. Comment puis-je savoir quels systèmes de mon environnement utilisent encore l'authentification de base pour SMTP ?
    Le point de départ le plus important est le rapport SMTP AUTH Client Submission dans le Centre d'administration Exchange. Il indique quels appareils et applications se connectent encore avec l'authentification de base. En complément, il est utile de faire un inventaire de l'infrastructure : où les e-mails automatisés sont-ils envoyés (scan-to-mail, ERP, surveillance, solutions sectorielles) ? Souvent, des systèmes qui fonctionnent sans changement depuis des années et qui ne sont plus au centre de l'attention depuis longtemps apparaissent.
     
  3. Tous les systèmes doivent-ils obligatoirement passer à OAuth 2.0 ?
    Du point de vue de la sécurité, OAuth 2.0 est l'état cible. Dès que des mises à jour, de nouvelles versions ou des ajustements de configuration sont disponibles, la transition directe doit être effectuée. Dans la pratique, cependant, certains appareils et applications ne prennent pas en charge OAuth 2.0 et ne reçoivent plus de mises à jour. Ces systèmes peuvent continuer à fonctionner grâce à des technologies de transition telles qu'un service de relais SMTP, sans compromettre les exigences de sécurité d'Exchange Online.
     
  4. Que se passera-t-il concrètement si je ne fais rien d'ici avril 2026 ?
    À partir du 1er mars 2026, les premières connexions Basic Auth seront refusées à titre d'essai, et à partir du 30 avril 2026, toutes les connexions Basic Auth pour SMTP seront définitivement bloquées. Les systèmes qui continuent à utiliser l'authentification de base ne pourront alors plus envoyer d'e-mails. Cela concerne généralement l'envoi de factures, les messages d'état, les alertes ou les fonctions de numérisation vers e-mail. Des dysfonctionnements techniques isolés peuvent ainsi rapidement devenir un risque économique.
     
  5. Un service de relais SMTP tel que MTF SMTP Mail Relay est-il uniquement une solution transitoire ou est-il également pertinent à long terme ?
    Cela dépend de la stratégie de l'entreprise. Pour certains clients, le service de relais est une solution temporaire qui leur permet de gagner du temps pour une modernisation progressive. D'autres utilisent délibérément ce service à long terme afin de dissocier proprement les systèmes hérités de Microsoft 365, d'appliquer des directives de sécurité centrales et de traiter l'envoi d'e-mails à partir d'applications via un service contrôlé et hautement disponible en Suisse.
     
  6. Par où commencer la planification et comment MTF peut-il m'aider ?
    La première étape est toujours la transparence : quels systèmes envoient des e-mails et comment ? Sur cette base, il faut ensuite procéder à la catégorisation (modernisable, remplaçable, dépendant du relais) et à la hiérarchisation des applications critiques pour l'entreprise. MTF vous aide en analysant votre environnement Exchange Online, en évaluant les risques et en élaborant un plan de migration, y compris la mise en œuvre d'OAuth 2.0 lorsque cela est possible et l'intégration du service MTF SMTP Mail Relay lorsque une technologie relais est nécessaire.

Aussi intéressant 

Avez-vous des Questions ?

Ümit Celebi
Key Account Manager
+41 61 378 94 94
[email protected]