L’authentification multifacteur (MFA) de Microsoft pour Office 365 et Azure Active Directory en panne pour la deuxième fois en une semaine !
La page d’état des services d’Azure a annoncé la mauvaise nouvelle mardi :
Entre 14h25 et 17h08 UTC le 27 novembre 2018, les clients utilisant l’authentification multifacteur (MFA) ont pu avoir des problèmes erratiques lors de la connexion aux ressources Azure, telles qu’Azure Active Directory, lorsque le MFA est requis par la politique en vigueur.
Officiellement, le MFA était hors service ou fonctionnait en pointillé pendant un peu moins de trois heures, bien qu’il ait fallu attendre 18h53 UTC pour que le compte Twitter de Microsoft devienne suffisamment confiant pour annoncer que le service était définitivement opérationnel de nouveau.
We’ve performed restarts across the infrastructure responsible for processing MFA requests and have confirmed service restoration. For more details see service incident ID MO165847 on the Service Health Dashboard.
— Microsoft 365 Status (@MSFT365Status) 27 novembre 2018
L’analyse initiale des causes racines (RCA) menée par Microsoft a conclu à un problème survenu au niveau du DNS et qui a conduit l’infrastructure prenant en charge le MFA à devenir “malsaine”.
La solution consistait à effectuer un redémarrage, ce qui a d’ailleurs semblé fonctionner, mais au prix de plusieurs tweets sarcastiques félicitant Microsoft pour le redémarrage réussi !
— Arnaud Meyer (@neointhemix) 27 novembre 2018
Du déjà vu, encore et encore
Ce problème est le dernier en date d’une série de problèmes, qui commence d’ailleurs à s’allonger, ayant fait leurs apparitions, chez Microsoft, ces dernières semaines. L’entreprise vient tout juste de mettre en ligne une explication concernant une panne plus longue et plus grave subie le 19 novembre par le MFA, et qui a empêché de nombreux clients de se connecter à Office 365 ou à Azure pendant une journée entière, voire dans certains cas, pendant une période encore plus longue.
Cette publication comprenait des aveux sincères, de la part de l’entreprise, sur trois causes racines, à priori interconnectées :
- Dans des cas de trafics élevés, la communication du serveur front-end Azure MFA avec les services de cache s’est détériorée (ce qui, paradoxalement, a lieu précisément pour améliorer les performances).
- Cela a provoqué une “situation de mise en concurrence critique” dans le traitement des réponses des serveurs backend MFA, une façon de dire que différentes parties du système étaient mal synchronisées les unes avec les autres, les empêchant donc de communiquer correctement.
- Cela a ensuite provoqué une surcharge des services backend, provoquant ainsi l’arrêt du MFA.
Mais le plus extraordinaire, et c’est ce qui va achever probablement certains clients, c’est que Microsoft n’a absolument rien remarqué jusqu’à ce que des utilisateurs commencent à se plaindre de l’arrêt du MFA.
Comment est-ce possible ? Parce que :
Des problèmes dans la télémétrie et la surveillance des services MFA ont retardé l’identification et la compréhension de ces causes racines, entraînant ainsi une période de traitement et de résolution plus longue.
Microsoft a expliqué ensuite que la tentative de résolution des problèmes mentionnés ci-dessus pour les régions APAC et EMEA, en réacheminant le trafic MFA, via les caches américains, n’avait fait qu’empirer les choses en réalité !
Après avoir publié une sorte d’”autopsie” suite à la première panne, Microsoft a promis de faire de même pour cette celle-ci, pour mardi prochain.
Que s’est-il réellement passé ?
Un petit indice se trouve sans doute dans l’analyse de la panne du 19 novembre, dans laquelle Microsoft mentionne que le service a eu du mal à faire face à des niveaux de trafic élevés.
Il se peut alors que tout simplement de nombreuses entreprises et particuliers aient opté pour la technologie MFA, ce qui n’aurait rien d’étonnant compte tenu du fait que Microsoft lui-même a fait la promotion des bénéfices supplémentaires qu’elle peut apporter en matière de sécurité.
Soyons donc positifs : les pannes ne sont peut-être pas des symptômes d’un échec du MFA, mais plutôt de sa popularité soudaine et très bienvenue !
Billet inspiré de Microsoft’s Office 365 MFA security crashes for second time, sur Sophos nakedsecurity.