Microsoft a récemment introduit une nouvelle fonctionnalité de sécurité pour renforcer l’authentification à deux facteurs (MFA) dans l’application Microsoft Authenticator. Cette fonctionnalité, appelée « number matching », oblige les utilisateurs à vérifier que les numéros affichés sur leur appareil mobile correspondent aux numéros affichés sur leur écran d’ordinateur.
Un problème majeur avec cette approche réside dans l’éreintement qu’entrainent les notifications d’authentification générées par une solution MFA. Les individus reçoivent de multiples demandes d’authentification tout au long de la journée et ont tendance à approuver automatiquement ces demandes sans se poser de questions. Cela facilite grandement la compromission d’un compte protégé par la MFA.
L’utilisateur peut être agacé et valider la connexion afin de se débarrasser des notifications incessantes. Le pirate parvient ainsi à accéder au compte, contournant la sécurité offerte par le MFA.
Pour remédier à cette problématique, Microsoft propose une solution appelée « Number Matching » ou « correspondance de numéro » en français. Lorsqu’un utilisateur répond à une notification Push MFA via l’application Authenticator, il lui est présenté un numéro qu’il doit saisir dans l’application pour finaliser l’approbation.
Dans ce scénario, l’utilisateur reçoit la notification MFA sur son application d’authentification mobile. Cependant, une fenêtre contextuelle supplémentaire s’affiche, demandant spécifiquement ce numéro.
L’utilisateur doit entrer le numéro correspondant depuis la page de demande, sans quoi il ne pourra pas l’approuver. Cette fonctionnalité simple élimine le risque d’une approbation accidentelle par l’utilisateur lorsqu’une demande est initiée par un pirate, car l’utilisateur n’a pas connaissance du numéro affiché au pirate.
Selon les informations fournies par Microsoft, le Number Matching est maintenant une fonctionnalité obligatoire pour tous les utilisateurs des notifications push de Microsoft Authenticator. Comme indiqué par Microsoft, « Le number matching est une amélioration clé de la sécurité des notifications traditionnelles du deuxième facteur dans Microsoft Authenticator. Nous supprimerons les options de gestion et appliquerons le number matching à tous les utilisateurs des notifications push de Microsoft Authenticator à partir du 8 mai 2023. » Cette nouvelle politique signifie que depuis hier, l’option est activée et ne peut pas être désactivée.
Si vous souhaitez améliorer la sécurité de votre environnement Microsoft 365, notre équipe chez APO’G composée d’experts en cybersécurité et Microsoft 365, est à votre écoute pour vous fournir les meilleurs conseils techniques pour votre organisation.
