Le 19 novembre à 04h39 UTC (23h39 EST), les utilisateurs de Microsoft Office 365 et d’Azure Active Directory ont commencé à signaler qu’ils ne parvenaient plus à accéder au système leur permettant une authentification multifacteur (MFA) ni à réinitialiser leurs mots de passe, les empêchant ainsi d’accéder à leurs comptes.
Lorsque l’authentification cloud de Microsoft fonctionne correctement, les utilisateurs doivent pouvoir authentifier leurs identifiants tels que leur nom d’utilisateur et leur mot de passe par SMS, via un appel téléphonique, un code de vérification d’une application dédiée ou une demande push.
Cependant, il s’est avéré que le blocage en question n’était pas anecdotique, car en réalité les problèmes rencontrés par les utilisateurs d’Europe, d’Asie-Pacifique et des Amériques ont continué pendant au moins huit heures, une période plutôt assez longue durant laquelle les utilisateurs ne peuvent pas se connecter à une plateforme commerciale d’une telle importance.
Microsoft a finalement donné une explication :
Cause racine préliminaire : une mise à jour récente du service MFA a introduit un problème de codage empêchant les utilisateurs de se connecter ou d’effectuer des réinitialisations de mot de passe en libre-service, lors de l’utilisation du MFA pour s’authentifier.
Les plaintes sur Twitter sont rapidement apparues, allant de la simple contrariété à la colère :
This is brutal. My team can’t work. No one can log in to preform administrative duties.
— HarbinSEC (@harbinsec) 19 novembre 2018
D’autres ont soulevé le problème des administrateurs devenus impuissants :
So, as an admin, I’m not able to log on, since I have MFA enabled. Is there a way to work around this?
— Pascal Engels (@draxken) 19 novembre 2018
Autrement dit, les administrateurs ne pouvaient même plus désactiver temporairement le MFA pour les utilisateurs car ils étaient incapables d’accéder à leurs propres comptes à cause de ce même problème !
En théorie, seules les entreprises hébergeant Azure MFA sur leurs propres serveurs plutôt qu’au sein de l’infrastructure de Microsoft n’auraient pas été affectées.
Microsoft donne des conseils sur l’accès d’urgence aux comptes Azure AD, y compris lorsque cette authentification multifacteur (MFA) n’est pas disponible.
Nous ne savons pas si cela s’applique également lorsque l’authentification cloud de Microsoft ne fonctionne pas (la documentation suppose qu’une telle situation n’arrive jamais).
De plus, même s’il s’agit d’une solution de contournement viable, la mise en place d’un compte d’urgence entraîne des frais généraux, comme le précise la note :
Un mot de passe pour accéder à un compte d’urgence est généralement séparé en deux ou trois parties, écrit sur des morceaux de papier séparés et stocké dans des coffres-forts sécurisés et ignifugés situés eux-mêmes dans des endroits sécurisés et séparés.
Cette journée mémorable a finalement pris fin aux alentours de 21h30 UTC, lorsque l’accès au MFA était de nouveau possible après que Microsoft ait appliqué un hotfix curatif.
Cet événement en fait est loin d’être anodin, car l’adoption d’une authentification multifactorielle (MFA) est l’une des améliorations en matière de sécurité les plus importantes que vous puissiez mettre en place (elle combat le phishing, la réutilisation de mots de passe et les mots de passe faibles), mais c’est une option que les utilisateurs hésitent encore à utiliser plus largement.
Alors est-ce un coup fatal pour le MFA ? Peut-être, mais cela ne devrait pas !
Certes, la perte du MFA hébergé par un fournisseur cloud aussi majeur que Microsoft est une mauvaise nouvelle, mais on pourrait en dire autant de la perte d’accès à n’importe quel service, qu’il soit hébergé dans le cloud ou non, le problème est plutot la période d’arrêt et d’indisponibilité, et pas les avantages offerts par une authentification multifacteur (MFA) !
Le MFA reste une très bonne chose, tout comme d’avoir toujours un plan B !
Billet inspiré de Microsoft’s MFA is so strong, it locked out users for 8 hours, sur Sophos nakedsecurity.