Microsoft a annoncé en avril 2024, et rappelé en octobre 2024, l’arrêt définitif de l’authentification de base pour SMTP AUTH (Exchange Online), arrêt qui sera effectif en septembre 2025.
Ce changement vise à renforcer la sécurité contre les vulnérabilités associées à l’authentification de base.
Authentification basique (SMTP)
L’utilisation de l’authentification basique implique l’envoi des identifiants à chaque requête, ce qui la rend vulnérable aux attaques. Afin de pouvoir être utilisés à chaque requête, ces identifiants sont donc souvent stockés sur l’appareil.
Exemples :
- Messagerie de votre site web gérée par un outil de connexion via le protocole SMTP,
- Imprimante multifonctions connectée via SMTP pour l’envoi de scans dans votre messagerie Microsoft 365 (Scan2Mail),
- Etc.
De plus, l’authentification basique complique, voire rend impossible l’application de l’authentification multifacteurs (MFA) selon les cas.
L’authentification basique est donc fréquemment utilisée par les attaquants comme vecteur d’attaque pour contourner certaines politiques de sécurité, notamment pour réaliser des attaques de type brute force sans être bloqués par le MFA.
Remarque : la désactivation de l’authentification basique bloquera également l’utilisation de mots de passe d’application (App Passwords).
A partir de septembre 2025, les applications et les appareils qui utilisent aujourd’hui le protocole SMTP ne pourront plus se connecter aux service de messagerie Exchange Online de Microsoft 365.
Authentification moderne
L’authentification moderne est un terme générique défini à l’origine par Microsoft, mais de nombreuses autres entreprises l’utilisent désormais pour décrire les éléments suivants :
- Méthodes d’authentification : vérifier que quelqu’un ou quelque chose est bien ce qu’il prétend être. Notamment via l’authentification multifacteurs (MFA), l’authentification par empreinte digitale, la reconnaissance faciale, par carte à puce ou Yubikey ou encore l’authentification par certificat.
- Méthodes d’autorisation : processus de sécurité qui détermine le niveau d’accès d’un utilisateur ou d’un service. OAuth2 est la norme utilisée pour l’autorisation.
- Stratégies d’accès conditionnel : stratégies qui définissent les conditions dans lesquelles certaines mesures supplémentaires doivent être prises pour accéder à une ressource.
Feuille de route
Septembre 2024
Microsoft met à jour les rapports pour indiquer si les envois SMTP ont été réalisés via l’authentification basique ou l’authentification moderne. Ces rapports sont disponibles dans le centre d’Administration Exchange de votre tenant Microsoft 365 : Rapports » > « Flux de courrier » > « Rapport sur les clients utilisant l’authentification SMTP » cf. https://learn.microsoft.com/fr-fr/exchange/monitoring/mail-flow-reports/mfr-smtp-auth-clients-report
Janvier 2025 Les tenants utilisant encore l’authentification basique pour SMTP recevront une alerte dans le Centre de messages Microsoft 365.
Août 2025 30 jours avant la désactivation de l’authentification basique pour SMTP, une nouvelle alerte sera publiée dans le Centre de messages Microsoft 365.
Septembre 2025 Désactivation définitive de l’authentification basique pour SMTP.
Impacts
Une fois que l’authentification basique sera désactivée de manière permanente, tous les clients ou applications qui se connecteront encore en utilisant l’authentification basique pour SMTP recevront cette réponse :
550 5.7.30 Basic authentication is not supported for Client Submission.
Par défaut, les applications Outlook (bureau, web ou mobile) n’utilisent pas le SMTP ; Les utilisateurs ne sont pas impactés par ce changement. Attention cependant si vous avez configuré votre messagerie Microsoft 365 dans l’application de messagerie native de votre mobile.
Cependant, il est possible que vous utilisiez SMTP pour différents usages :
• Utilisation d’un outil de messagerie qui ne supporte pas le protocole Microsoft (MAPI over http), par exemple sur votre site Web.
• Envoi d’e-mail depuis une application, une imprimante multifonctions, etc.
• Des scripts (PowerShell, Python, etc.)
Dans ces cas-là, si vous utilisez un compte Exchange Online avec authentification basique, vous êtes probablement à risque et vous devez agir avec l’un des cas suivants.
- Si votre application prend en charge l’authentification moderne, reconfigurez-la en conséquence.
- Si votre application ne prend pas en charge l’authentification moderne envisagez une des solutions suivantes (liste non exhaustive) :
• Option 2 ou 3 de la documentation Microsoft sur la configuration des applications et multi-fonction.
• High Volume Email for Microsoft 365 (pour les e-mails internes uniquement).
• Azure Communication Services Email SMTP (pour les e-mails internes et externes).
• Serveur de messagerie tiers (Microsoft Exchange, MailServer ou équivalent sur les autres OS).
• Solutions SaaS d’envoi d’e-mails (Brevo, Mailjet, SMTP2Go, PostMark, etc.).
***/***
Toutes les informations utiles pour anticiper cette modification technique importante sont détaillées dans le message ID MC786329 du Centre de messages Microsoft 365 , accessible ici https://admin.microsoft.com/Adminportal/Home#/MessageCenter .
