Microsoft a annoncé mardi une beta publique d’une nouvelle solution « Authenticator Lite » pour les applications Outlook Mobile. Elle sera disponible avec tout abonnement Azure AD, les administrateurs du tenant pourront l’activer ou le désactiver en utilisant le portail Entra via la page de configuration Authenticator ou via le Microsoft Graph.

L’objectif de généraliser l’usage de cet outil est qu’il offre une alternative aux méthodes d’authentification secondaires basées sur les SMS (ou un appel vocal). Il utilise des notifications push pour inviter les utilisateurs finaux à s’authentifier réputé bien plus fiable. Les utilisateurs auront également accès à un mot de passe à usage unique basé sur le temps via l’application.

Plus fiable car il existe, on le sait des méthodes « sociales » pour tromper l’utilisateur avec un SMS. On voit actuellement fleurir des attaques dites « MFA fatigue attacks », également connue sous le nom de MFA Bombing ou MFA Spamming – qui est une stratégie d’attaque d’ingénierie sociale où les attaquants envoient à plusieurs reprises des demandes d’authentification à deux facteurs à l’e-mail, au téléphone ou aux appareils enregistrés de la victime cible un attaquant peut envoyer ainsi une multitude de tentatives de connexion dans l’espoir qu’un utilisateur cliquera sur accepter au moins une fois… Un authenticator supprime ainsi ce problème, tout au moins actuellement (il faut être prudent dans ce domaine…).

La fiabilité limité des méthode de MFA traditionnelles n’est pas une surprise, Microsoft avait déjà affirmé dans cette annonce de 2020 que les invites textuelles et vocales utilisées pour le MFA étaient d’anciennes approches de réseau téléphonique public commuté qui étaient ;

« les moins sûres des méthodes de MFA disponibles aujourd’hui . Ces méthodes utilisent des protocoles qui ne permettent pas le cryptage, et donc les signaux peuvent être interceptés par toute personne ayant accès au réseau de commutation ou se trouvant dans la portée radio d’un appareil« .

Microsoft a l’intention d’activer Authenticator Lite pour tous les utilisateurs ayant des tenants utilisant ce paramètre le 26 mai 2023. L’entreprise indique dans sa communication que « s vous souhaitez modifier l’état de cette fonctionnalité, veuillez le faire avant le 26 mai 2023 ».

Microsoft a annoncé mardi une beta publique d’une nouvelle solution « Authenticator Lite » pour les applications Outlook Mobile. Elle sera disponible avec tout abonnement Azure AD, les administrateurs du tenant pourront l’activer ou le désactiver en utilisant le portail Entra via la page de configuration Authenticator ou via le Microsoft Graph.

L’objectif de généraliser l’usage de cet outil est qu’il offre une alternative aux méthodes d’authentification secondaires basées sur les SMS (ou un appel vocal). Il utilise des notifications push pour inviter les utilisateurs finaux à s’authentifier réputé bien plus fiable. Les utilisateurs auront également accès à un mot de passe à usage unique basé sur le temps via l’application.

Plus fiable car il existe, on le sait des méthodes « sociales » pour tromper l’utilisateur avec un SMS. On voit actuellement fleurir des attaques dites « MFA fatigue attacks », également connue sous le nom de MFA Bombing ou MFA Spamming – qui est une stratégie d’attaque d’ingénierie sociale où les attaquants envoient à plusieurs reprises des demandes d’authentification à deux facteurs à l’e-mail, au téléphone ou aux appareils enregistrés de la victime cible un attaquant peut envoyer ainsi une multitude de tentatives de connexion dans l’espoir qu’un utilisateur cliquera sur accepter au moins une fois… Un authenticator supprime ainsi ce problème, tout au moins actuellement (il faut être prudent dans ce domaine…).

La fiabilité limité des méthode de MFA traditionnelles n’est pas une surprise, Microsoft avait déjà affirmé dans cette annonce de 2020 que les invites textuelles et vocales utilisées pour le MFA étaient d’anciennes approches de réseau téléphonique public commuté qui étaient ;

« les moins sûres des méthodes de MFA disponibles aujourd’hui . Ces méthodes utilisent des protocoles qui ne permettent pas le cryptage, et donc les signaux peuvent être interceptés par toute personne ayant accès au réseau de commutation ou se trouvant dans la portée radio d’un appareil« .

Microsoft a l’intention d’activer Authenticator Lite pour tous les utilisateurs ayant des tenants utilisant ce paramètre le 26 mai 2023. L’entreprise indique dans sa communication que « s vous souhaitez modifier l’état de cette fonctionnalité, veuillez le faire avant le 26 mai 2023 ».

La véracité des profils Linkedin est toujours questionnable. c’est une question importante pour les recruteurs, mais aussi simplement pour bâtir des relation de confiance. Aujourd’hui, Microsoft étend sa technologie d’identité numérique à LinkedIn avec un nouvel outil qui permet aux entreprises de donner à leurs employés un moyen de prouver au monde extérieur qu’ils ne mentent pas (au moins) sur leur employeur.

LinkedIn proposera un nouveau système de vérification de l’employeur qui utilise Microsoft Entra Verified ID pour délivrer des identifiants. L’éditeur trouve donc un débouché interessant pour sa technologie d’identité décentralisée. Nous avions deja eu l’occasion y il a deux ans d’en expliquer les principes lors d’un Briefing Calipia. Au passage, avez-vous pensé à vous inscrire au prochain Briefing de juin ? (tous les détails ici).

Pour rappel : Verified ID s’appuie sur des normes ouvertes pour l’identité décentralisée, qui fonctionne selon un modèle dit du « triangle de confiance » impliquant trois parties : un émetteur, un détenteur et un vérificateur. Par exemple, une organisation peut agir en tant qu’émetteur en signant cryptographiquement un titre numérique et en le délivrant à un employé sous la forme d’une carte d’identité numérique. En tant que détenteur de la carte, l’employé peut décider de la partager avec des applications et des sites web, tels que LinkedIn. Le vérificateur peut alors authentifier par cryptographie que l’identifiant numérique de l’employé est authentique et qu’il a été délivré par le lieu de travail déclaré par l’employé. Cette approche représente un moyen plus sûr, plus pratique et plus fiable de vérifier les informations numériques à grande échelle.

Pour en revenir à l’intégration avec Linkedin, les employés des entreprises participantes verront sur LinkedIn une invitation à confirmer leur lieu de travail à l’aide de ces identifiants. Une fois l’opération terminée, la vérification de l’emploi apparaîtra sur leur profil LinkedIn. Précision également : les entreprises auront la possibilité de créer ces informations d’identification sans licence ou abonnement payant

Ankur Patel, le chef de produit Entra Verified ID a précisé les objectifs de cette intégration :

« Notre objectif est de permettre aux utilisateurs et aux organisations d’établir la confiance et l’authenticité en ligne de manière pratique et sécurisée », »Les organisations peuvent émettre des identifiants professionnels pour LinkedIn avec n’importe quel abonnement Azure AD, y compris Azure AD Free, qui s’intégrera également à leurs systèmes existants de gestion de l’accès à l’identité ou de ressources humaines. »

Microsoft indique qu’elle teste Verified ID pour LinkedIn avec plus de 70 organisations, dont les sociétés de conseil Accenture et Avanade, et Microsoft elle-même. La société devrait commencer à déployer la technologie à plus grande échelle sur LinkedIn dans le courant du mois d’avril.

La véracité des profils Linkedin est toujours questionnable. c’est une question importante pour les recruteurs, mais aussi simplement pour bâtir des relation de confiance. Aujourd’hui, Microsoft étend sa technologie d’identité numérique à LinkedIn avec un nouvel outil qui permet aux entreprises de donner à leurs employés un moyen de prouver au monde extérieur qu’ils ne mentent pas (au moins) sur leur employeur.

LinkedIn proposera un nouveau système de vérification de l’employeur qui utilise Microsoft Entra Verified ID pour délivrer des identifiants. L’éditeur trouve donc un débouché interessant pour sa technologie d’identité décentralisée. Nous avions deja eu l’occasion y il a deux ans d’en expliquer les principes lors d’un Briefing Calipia. Au passage, avez-vous pensé à vous inscrire au prochain Briefing de juin ? (tous les détails ici).

Pour rappel : Verified ID s’appuie sur des normes ouvertes pour l’identité décentralisée, qui fonctionne selon un modèle dit du « triangle de confiance » impliquant trois parties : un émetteur, un détenteur et un vérificateur. Par exemple, une organisation peut agir en tant qu’émetteur en signant cryptographiquement un titre numérique et en le délivrant à un employé sous la forme d’une carte d’identité numérique. En tant que détenteur de la carte, l’employé peut décider de la partager avec des applications et des sites web, tels que LinkedIn. Le vérificateur peut alors authentifier par cryptographie que l’identifiant numérique de l’employé est authentique et qu’il a été délivré par le lieu de travail déclaré par l’employé. Cette approche représente un moyen plus sûr, plus pratique et plus fiable de vérifier les informations numériques à grande échelle.

Pour en revenir à l’intégration avec Linkedin, les employés des entreprises participantes verront sur LinkedIn une invitation à confirmer leur lieu de travail à l’aide de ces identifiants. Une fois l’opération terminée, la vérification de l’emploi apparaîtra sur leur profil LinkedIn. Précision également : les entreprises auront la possibilité de créer ces informations d’identification sans licence ou abonnement payant

Ankur Patel, le chef de produit Entra Verified ID a précisé les objectifs de cette intégration :

« Notre objectif est de permettre aux utilisateurs et aux organisations d’établir la confiance et l’authenticité en ligne de manière pratique et sécurisée », »Les organisations peuvent émettre des identifiants professionnels pour LinkedIn avec n’importe quel abonnement Azure AD, y compris Azure AD Free, qui s’intégrera également à leurs systèmes existants de gestion de l’accès à l’identité ou de ressources humaines. »

Microsoft indique qu’elle teste Verified ID pour LinkedIn avec plus de 70 organisations, dont les sociétés de conseil Accenture et Avanade, et Microsoft elle-même. La société devrait commencer à déployer la technologie à plus grande échelle sur LinkedIn dans le courant du mois d’avril.

Décidément il y a des « Copilot » pour tout chez Microsoft… L’entreprise vient d’annoncer en début de semaine Security Copilot qui utilisera sans trop de surprise GPT4 d’OpenAI comme les autres produits Copilot.

Sur le modèle de ce qui a été présenté sur Office (nous vous en donnions le résumé ici sur le blog) cela fonctionne comme un chatbot. Il est destiné aux admins sécurité qui ont besoin d’informations rapides pour les aider à isoler et à chasser les menaces. Ce qui différencie Security Copilot des autres chatbots, c’est qu’il utilise les centaines milliards de signaux que Microsoft recueille dans le cadre de son propre travail de renseignement de sécurité, ainsi que des informations provenant d’agences de sécurité externes telles que la National Security Agency. Microsoft précise également que les clients pourront former Security Copilot à partir de leurs propres données.

Microsoft a publié un site de démonstration proposant des scénarios pour Security Copilot comme :

• Identifier une attaque en cours, évaluer son ampleur et obtenir des instructions pour commencer à remédier à la situation en se basant sur des tactiques éprouvées lors d’incidents de sécurité réels.
• Découvrir si votre organisation est sensible aux vulnérabilités et aux exploits connus. Examinez votre environnement, un actif à la fois, à la recherche de preuves d’une violation.
• Résumez tout événement, incident ou menace en quelques minutes et préparez les informations dans un rapport prêt à partager et personnalisable pour le public que vous souhaitez.

Security Copilot s’intègre à Microsoft Sentinel, Defender et Intune. Les utilisateurs peuvent utiliser Security Copilot pour demander des résumés d’informations sur les vulnérabilités, pour aider à l’analyse des incidents et des codes, et pour suivre les alertes provenant d’autres outils.

Security Copilot est actuellement disponible en preview privée. Microsoft n’indique pas de date pour la mise à disposition de Security Copilot à plus grande échelle, ni les modalités d’acquisition…

Microsoft vient d’annoncer qu’Azure Firewall Basic était maintenant disponible en version commerciale. C’est un nouveau produit destiné principalement aux petites et moyennes entreprises (PME). Il offre un filtrage du trafic réseau et applicatif, des renseignements sur les menaces provenant des flux de Microsoft (le centre cybersécurité de l’éditeur) et une haute disponibilité, avec une réplication sur deux zones de disponibilité pour l’instant : USA et Canada, pas de dates encore pour les datacenters européens.

Microsoft a ajouté des options de déploiement interessantes : une nouvelle option de déploiement de concentrateur virtuel est destinée aux organisations qui doivent protéger de grands réseaux ou des réseaux mondiaux. Il existe également une option de déploiement de réseau virtuel, qui est censée être utilisée sur une topologie de réseau traditionnelle en étoile avec un pare-feu sur le concentrateur. Logiquement Azure Firewall Basic est automatiquement mis à jour avec les indications sur les menaces et les mises à jour de sécurité de Microsoft.

L’éditeur indique d’il est possible de configurer Azure Firewall Basic en quelques minutes à l’aide des modèles Azure Resource Manager (ARM). Il prend même en charge les « modèles ARM déclaratifs » qui spécifient l’infrastructure requise, conformément à l’approche « infrastructure as code ».

Les autres plans Azure Firewall

Microsoft vend également des plans Azure Firewall Standard et Azure Firewall Premium. L’édition Basic ne dispose pas des fonctionnalités avancées de protection contre les menaces qui sont disponibles avec l’édition Premium, à savoir le filtrage des renseignements sur les menaces, la terminaison TLS entrante et sortante, un système de détection et de prévention des intrusions (IDPS) entièrement géré et le filtrage des URL.

Microsoft distingue également les trois plans Azure Firewall en fonction des besoins en termes de débit. Azure Basic Firewall est destiné aux PME qui ont besoin d’un débit inférieur à 250 Mbps. Le plan standard s’adresse aux entreprises qui ont besoin d’un « pare-feu de couche 3 à couche 7 » et d’un débit allant jusqu’à 30 Gbit/s. Le plan Premium s’adresse aux entreprises qui ont besoin d’un « pare-feu de couche 3 à couche 7 ». Le plan Premium est destiné aux entreprises qui ont besoin de « sécuriser des applications très sensibles ».

Les coûts associés

Sans surprise la facturation comptabilisera des coûts pour les heures de déploiement, ainsi que des coûts de traitement des données facturés par gigaoctet. Les coûts US d’Azure Firewall Basic peuvent être consultés sur cette page de tarification de Microsoft.