Exchange : la fin de l'authentification basique se profile
Reportée à plusieurs reprises, la fin de l'authentification basique sur la version cloud d'Exchange est désormais fixée à octobre 2022.
Cette fois-ci, c'est la bonne ? Microsoft a en tout cas fixé une nouvelle date pour la fin de l'authentification basique sur Exchange Online*. Ce sera le 1er octobre 2022. jusqu'à nouvel ordre.
Le processus a déjà fait l'objet de plusieurs reports. Il devait initialement démarrer le 13 octobre 2020 pour les protocoles EAS (Exchange ActiveSync), POP, IMAP et Remote PowerShell. Objectif : ouvrir la voie à l'authentification dite « moderne », basée sur OAuth 2.0.
En avril 2020, Microsoft avait repoussé la transition au 2e semestre 2021. En tout cas pour les comptes « utilisant activement » l'authentification basique (paire identifiant/mot de passe que les applications communiquent à chaque requête). Motif : laisser la place aux démarches IT devenues prioritaires avec la crise Covid.
Depuis lors, d'autres protocoles ont rejoint la liste. Nommément, EWS (Exchange Web Services), Outlook (EWS + MAPI, RPC et OAB), ainsi que SMTP. Et la démarche a pris un peu plus de retard : en février dernier, Microsoft a annoncé qu'il ne tiendrait pas l'échéance définie. Tout en précisant qu'il continuerait de désactiver progressivement l'authentification basique chez les clients n'en ayant pas usage - avec préavis et possibilité d'opposition comme de réactivation ultérieure.
Vers une exception SMTP
Passé le 1er octobre 2022, il ne sera plus question de réactiver des protocoles. À l'exception de SMTP. Une expérimentation sera lancée en début d'année. Elle consistera a désactiver l'authentification basique - sauf SMTP - pendant 12 à 48 heures chez des clients qui s'en servent activement. Pour eux aussi, il y aura un avertissement préalable, dans le centre de messages de Microsoft 365. C'est aussi là qu'ils pourront signifier leur refus de prendre part au test, protocole par protocole.
L'authentification « moderne » est déjà activée par défaut pour les nouveaux locataires depuis près de deux ans. On rappellera que le processus ne concerne pas Exchange Server (version sur site).
Illustration principale © yoshitaka - Adobe Stock
Sur le même thème
Voir tous les articles Cybersécurité