Présentation de Azure MFA

Azure Multi-Factor Authentication est une solution simple et complète permettant aux entreprises d’améliorer la sécurité et la conformité des login de leurs utilisateurs

 

Introduction

 

L’authentification multiple est un moyen de sécurité qui permet l’utilisation de plusieurs types d’authentification afin de se connecter à un service ou à une ressource.

Le mot de passe, on le sait tous, n’est pas un moyen fiable. Il n’offre pas le niveau de sécurité suffisant permettant de protéger nos données.

Le mot de passe est souvent le maillon faible de la chaine de sécurité, pourquoi ? car ce dernier doit être retenu par les humains ce qui accroit les risques de perte et d’erreur de manipulation de celui-ci.

De plus, plusieurs attaques connues de nos jours peuvent trouver les mots de passe facilement comme par exemple le brute force, les keyloggers, le phishing qui est de plus en plus présent, ou encore les attaques par dictionnaire, sans parler du social engineering.

L’authentification multiple / forte utilise un combiné d’au moins deux facteurs afin d’authentifier l’utilisateur, ce qui consistera à combiner le mot de passe de l’utilisateur et un autre facteur d’authentification qui peut être physique, biologique ou encore cognitif.

L’authentification forte est une phase qui va permettre à l’utilisateur de garantir et de prouver sa véritable identité.

L’authentification forte permet d’ajouter un autre facteur à l’utilisateur tel qu’un code secret que seul l’utilisateur connaît ou encore de répondre à une question dont lui seul à la réponse.

L’authentification forte garantit les autorisations, la confidentialité, l’intégrité, la traçabilité des accès.

 

Quels sont les facteurs d’authentification ?

 

Les types de facteurs lors d’une authentification multiple sont nombreux aujourd’hui :

  • Biométrie
  • Certificat numérique (PKI)
  • OTP (One time Password)

Par exemple pour le One Time Password, l’exemple suivant est intéressant : RSA Tokken qui donne un code « TokenCode » unique. Ce code change toutes les minutes généralement. Il sera nécessaire d’ajouter un code PIN à ce Token code afin de pouvoir s’authentifier.

 

Microsoft Azure et l’authentification multi facteurs

 

Microsoft Azure propose un service Multi-Factor Authentication (authentification à facteurs multiple) qui permet de protéger l’accès aux données et aux applications en offrant un mécanisme d’authentification à plusieurs facteurs tout en étant simple à mettre en œuvre, efficace et facile à maintenir.

AzureMFA - Overview

Quelles sont les méthodes de vérification qu’offre Azure MFA ?

Microsoft Azure MFA offre plusieurs méthodes de vérification dans le cas d’une authentification forte :

  • Application Azure Authenticator – Notification Push : L’utilisateur installe l’application et reçoit une notification sur celle-ci afin de s’authentifier, il devra approuver cette notification.

Exemple concret :
A la saisie de son login et mot de passe Office 365, l’utilisateur voit cette fenêtre qui lui dit qu’une notification a été envoyée sur son smartphone et qu’il devra l’approuver pour s’authentifier sur son portail Office 365 :

AzureMFA - Notification Push

L’utilisateur reçoit la notification sur son smartphone et devra approuver comme ci-dessous:

AzureMFA - Notification Push validation

  • Application Azure Authenticator – Token Code : L’application peut également donner à l’utilisateur un token code unique à 6 chiffres à saisir, ce code change toutes les 30 secondes
  • SMS : l’utilisateur reçoit un SMS sur son téléphone après avoir passé l’étape du mot de passe

Exemple concret :
Une fois que le login et le mot de passe Office 365 ont été saisis, l’utilisateur doit valider au travers d’une nouvelle fenêtre un deuxième facteur d’authentification, qui est ici donné par SMS sur le smartphone de l’utilisateur.

AzureMFA - SMS

L’utilisateur reçoit immédiatement le code par SMS comme ci-dessous :

AzureMFA - Validation SMS

  • Appel Téléphone : L’utilisateur reçoit un appel téléphonique et devra saisir un code PIN si besoin et appuyer sur la touche #
  • Jeton OATH

 

Pourquoi Azure MFA ?

 

  • Sécurité : protection de vos données, de l’accès à celles-ci et protection des comptes administrateurs Azure et Office 365
  • Facilité : facile à mettre en œuvre et à maintenir
  • Fiabilité : le service Azure MFA dans le Cloud est garantie à 99,9% par Microsoft
  • Flexibilité : deux modes de déploiement, le mode full cloud ou le monde hybride avec un serveur MFA en local

 

Pistes pour un déploiement

 

Azure MFA peut être déployé de deux façons :

  • Azure MFA full cloud sur Azure
  • MFA Server en local

Les deux stratégies présentent des avantages et des inconvénients comme on peut le voir sur le tableau suivant :

AzureMFA - Deploiement

Ce choix de déploiement se décide également en fonction de son architecture Active Directory :

AzureMFA - Deploiement - Choix architecture

Cette architecture hybride peut être représentée de la manière suivante :

AzureMFA - Deploiement - architecture hybride

 

Le licensing

Voici les licences qui prennent en charge le service Azure MFA :

  • Azure Multi-Factor Authentication
  • EMS
  • Azure AD Premium

 

Comment déployer ?

 

Avant de déployer Azure MFA, il est nécessaire de répondre à plusieurs questions importantes qui seront le fil conducteur tout au long de ce projet. En fonction des réponses à ces questions, vous devrez choisir une architecture de déploiement (Full cloud ou alors MFA Server on prem)

  • L’emplacement des utilisateurs
  • Les ressources à protéger
  • Les fonctionnalités nécessaires
  • La gestion du cycle de vie de cette double authentification pour les utilisateurs en termes de « support et de processus »
  • La communication aux utilisateurs et d’adoption des utilisateurs à ce nouveau mode d’authentification. On parlera d’éducation des utilisateurs

 

Conclusion

 

Azure MFA apporte une couche de sécurité supplémentaire au niveau de l’authentification et à l’accès aux données de nos systèmes d’information, facile et flexible il devient nécessaire pour une architecture sécurisée et optimale.

Azure MFA permet de protéger les comptes d’administration globaux d’Azure AD, Office 365 et il permet également de protéger les comptes des utilisateurs standard.

Il est capable également de surveiller votre sécurité et vous gérer des rapports détaillés et alertera en temps réel basé sur un apprentissage des accès suspicieux.

Si vous souhaitez des conseils ou un accompagnement sur cette technologie, vous pouvez faire appel à notre pôle d’architecture Cloud qui est à votre disposition et qui répondra à vos questions et vous accompagnera au mieux afin de mener à bien la mise en place de celui-ci.

Nos architectes ont l’expertise nécessaire (basée sur plusieurs déploiements d’Azure MFA dans des infrastructures complexes et diversifiées) pour vous aider à sécuriser votre infrastructure Azure , Office 365 et on-Prem.