Authentification et MFA
Authentification moderne vs authentification legacy
Historiquement, les applications d'entreprise utilisaient des protocoles d'authentification anciens : NTLM, Kerberos dans Active Directory, ou de simples formulaires login/mot de passe. Ces protocoles ont un défaut majeur : ils transfèrent directement les credentials à l'application, sans couche d'abstraction ni possibilité d'ajouter du MFA a posteriori.
L'authentification moderne repose sur des standards ouverts qui séparent le fournisseur d'identité (Entra ID) des applications clientes. L'utilisateur prouve son identité une seule fois à Entra ID, qui émet ensuite des jetons sécurisés pour les applications.
OAuth 2.0
Protocole d'autorisation — délègue l'accès à des ressources sans partager le mot de passe. Base de toute l'authentification moderne.
OpenID Connect (OIDC)
Couche d'identité au-dessus d'OAuth 2.0. Ajoute un ID token (JWT) qui contient les informations de l'utilisateur connecté.
SAML 2.0
Standard XML plus ancien, toujours très utilisé pour les applications d'entreprise (SAP, Salesforce, etc.). Entra ID le supporte en tant qu'IdP.
Pourquoi c'est important ? Parce que les protocoles modernes permettent d'ajouter le MFA, l'accès conditionnel et la connexion unique (SSO) de manière centralisée dans Entra ID, sans modifier chaque application.
Le MFA : qu'est-ce que c'est ?
L'authentification multifacteur (MFA) exige qu'un utilisateur prouve son identité via au moins deux facteurs de nature différente. L'idée : même si un mot de passe est compromis, l'attaquant n'a pas le second facteur.
Les trois familles de facteurs
Ce que tu sais
Mot de passe, code PIN, réponse à une question secrète. Le facteur le plus répandu, mais aussi le plus vulnérable (phishing, fuite de base de données).
Ce que tu as
Téléphone (code SMS ou notification push), clé de sécurité physique (YubiKey), carte à puce. Nécessite la possession d'un objet physique.
Ce que tu es
Empreinte digitale, reconnaissance faciale, iris. Utilisé notamment par Windows Hello for Business. Difficile à usurper.
Les méthodes MFA disponibles dans Entra ID
Entra ID propose plusieurs méthodes de second facteur. Elles ne sont pas équivalentes en termes de sécurité — certaines résistent au phishing, d'autres non.
Microsoft Authenticator
Application mobile (iOS/Android) qui propose deux modes :
- Notification push : Entra ID envoie une demande d'approbation sur le téléphone. L'utilisateur appuie sur "Approuver". Simple, mais vulnérable au MFA fatigue (spam de notifications).
- Code TOTP (Time-based One-Time Password) : génère un code à 6 chiffres qui change toutes les 30 secondes. Plus sécurisé contre le fatigue, mais reste hameçonnable.
Depuis 2023, Microsoft a activé par défaut la correspondance de chiffres (number matching) pour les notifications push : l'utilisateur doit saisir un nombre affiché à l'écran pour approuver, ce qui bloque le MFA fatigue.
SMS et appel téléphonique
Un code à usage unique est envoyé par SMS ou dicté par appel vocal. Facile à mettre en place, ne nécessite pas de smartphone. Cependant, cette méthode est considérée comme la moins sécurisée : les attaques par SIM swapping permettent à un attaquant de détourner un numéro de téléphone.
Le SMS comme second facteur est mieux que rien, mais insuffisant pour les comptes sensibles. Le NIST (autorité américaine de cybersécurité) déconseille officiellement le SMS comme méthode MFA depuis 2016. Préfère Microsoft Authenticator ou, mieux encore, une clé FIDO2 pour les administrateurs et les comptes à hauts privilèges.
Clé de sécurité FIDO2
Clé physique USB ou NFC (YubiKey, clé Google Titan, etc.) basée sur le standard FIDO2/WebAuthn. C'est la méthode la plus robuste : la preuve cryptographique est liée au domaine du site, ce qui la rend totalement résistante au phishing. L'attaquant ne peut pas reproduire la clé même s'il intercepte la communication.
Windows Hello for Business
Authentification basée sur biométrie (visage, empreinte) ou PIN protégé par la puce TPM de l'appareil. Fonctionne sans mot de passe et est lié à l'appareil — le credential ne peut pas quitter la machine. Résistant au phishing.
Activer le MFA : per-user vs Accès conditionnel
Il existe deux façons d'imposer le MFA dans Entra ID. Elles ne sont pas équivalentes.
MFA par utilisateur (méthode legacy)
Dans le portail Azure, on peut activer/désactiver le MFA individuellement pour chaque compte : état Désactivé, Activé ou Appliqué. Simple à comprendre, mais rigide : le MFA s'applique toujours, quels que soient l'appareil, le réseau ou l'application. Cette approche est aujourd'hui considérée comme dépassée.
MFA via l'Accès conditionnel (méthode recommandée)
L'accès conditionnel (Conditional Access) permet de définir des règles intelligentes : "exiger le MFA si l'utilisateur se connecte depuis l'extérieur du réseau d'entreprise", "bloquer l'accès depuis des pays non autorisés", "exiger un appareil conforme pour accéder aux données sensibles".
Cette approche est bien plus flexible et puissante. Elle requiert des licences Entra ID P1 ou P2 (incluses dans Microsoft 365 Business Premium, E3, E5).
# Politique : MFA obligatoire hors réseau d'entreprise
Utilisateurs : Tous les utilisateurs
Applications : Toutes les applications cloud
Conditions : Emplacement — exclure les IPs de confiance
Contrôle : Accorder — Exiger l'authentification multifacteur
État : Activé (commencer par "Rapport seul" pour tester)Authentification sans mot de passe (Passwordless)
Le mot de passe est le maillon faible de la sécurité : réutilisé, faible, phishable. L'authentification sans mot de passe élimine ce risque en remplaçant le mot de passe par un facteur cryptographique lié à l'appareil ou à une clé physique.
Windows Hello for Business
Déployé via Intune ou GPO, Windows Hello for Business remplace le mot de passe d'entreprise par un PIN local ou une biométrie. Le credential est stocké dans la puce TPM de l'appareil et ne peut pas être extrait. L'utilisateur se connecte à Windows, et l'authentification se propage aux applications via SSO.
Clés FIDO2 (passkeys matérielles)
Les clés FIDO2 (YubiKey, etc.) fonctionnent également en mode sans mot de passe dans Entra ID. L'utilisateur branche la clé, saisit un PIN ou pose son doigt dessus, et c'est authentifié. Idéal pour les postes partagés ou les workers sans smartphone.
Microsoft Authenticator — Connexion téléphonique
L'application Authenticator peut être configurée en mode connexion téléphonique : l'utilisateur saisit son nom d'utilisateur, puis approuve depuis l'application. Pas de mot de passe. Fonctionne bien pour les utilisateurs avec smartphone, mais reste hameçonnable contrairement à FIDO2.
Les passkeys : l'avenir du sans mot de passe. Entra ID supporte les passkeys FIDO2 synchronisées (stockées dans Microsoft Authenticator ou un gestionnaire compatible). Contrairement aux passkeys matérielles, elles peuvent être sauvegardées et restaurées sur un nouvel appareil, tout en restant résistantes au phishing. Microsoft pousse activement leur adoption pour remplacer définitivement les mots de passe dans les organisations.
Self-Service Password Reset (SSPR)
Le SSPR permet aux utilisateurs de réinitialiser eux-mêmes leur mot de passe (ou de déverrouiller leur compte) sans contacter le support IT. C'est une fonctionnalité qui réduit la charge du helpdesk et améliore la productivité.
Comment ça fonctionne
L'utilisateur s'enregistre au préalable avec des méthodes de vérification (téléphone, e-mail
alternatif, application Authenticator, questions de sécurité). Quand il oublie son mot de passe,
il accède à aka.ms/sspr, prouve son identité via ces méthodes et définit un nouveau
mot de passe directement.
Configuration dans Entra ID
- Portail Entra ID → Protection → Réinitialisation de mot de passe
- Activer pour tous les utilisateurs ou un groupe pilote
- Définir le nombre de méthodes requises (1 ou 2 recommandé)
- Activer l'écriture différée (writeback) si Active Directory on-premises est synchronisé
Password Protection Entra ID
Entra ID intègre une protection active contre les mots de passe faibles, même quand les utilisateurs les définissent eux-mêmes.
Bannir les mots de passe courants
Microsoft maintient une liste globale de mots de passe interdits (millions d'entrées issues des fuites de données) et l'applique automatiquement. Tu peux également définir une liste personnalisée : le nom de l'entreprise, les marques, les produits internes — tout ce qu'un attaquant ciblerait en premier dans une attaque par dictionnaire.
La liste personnalisée est configurable dans : Portail Entra ID → Protection → Méthodes d'authentification → Protection par mot de passe.
Smart Lockout
Le verrouillage intelligent (smart lockout) bloque automatiquement les tentatives de connexion après trop d'échecs, tout en distinguant les tentatives légitimes des attaques. Par défaut, le compte se verrouille pendant 1 minute après 10 tentatives échouées, avec une durée qui augmente exponentiellement à chaque verrouillage.
Contrairement au verrouillage classique d'Active Directory, le smart lockout d'Entra ID est conscient des sources d'IP : il peut bloquer une IP malveillante tout en laissant l'utilisateur légitime se connecter depuis son adresse habituelle.
- OAuth 2.0 / OIDC / SAML sont les protocoles d'authentification moderne : ils isolent les credentials dans Entra ID et permettent le SSO et le MFA centralisés.
- Le MFA combine deux facteurs de nature différente : savoir + avoir, ou avoir + être.
- FIDO2 et Windows Hello sont les méthodes les plus sécurisées (résistantes au phishing). Le SMS est le moins sécurisé.
- Préfère l'accès conditionnel au MFA par utilisateur : plus flexible, plus intelligent, adapté au contexte de connexion.
- Le SSPR réduit la charge du helpdesk en permettant l'auto-réinitialisation des mots de passe.
- La Password Protection bloque les mots de passe courants et les attaques par force brute via le smart lockout.