Microsoft ajoute l'historique de connexion dans Azure AD pour détecter les activités inhabituelles,
Afin de lutter contre les attaques basées sur des mots de passe

Microsoft a annoncé en preview publique cette semaine Azure Active Directory (AD) My Sign-Ins, une nouvelle fonctionnalité qui permet aux utilisateurs d'entreprise de consulter leur historique de connexion pour vérifier s'il y a des activités inhabituelles. La firme a ajouté cet aperçu simple de toutes les tentatives de connexion à un compte utilisateur professionnel pour permettre aux utilisateurs d'Azure AD de découvrir plus facilement les attaques potentielles basées sur des mots de passe et de prendre des mesures pour limiter les effets nuisibles qu'un éventuel compromis de compte pourrait avoir.

Dans un article publié en septembre, Microsoft avait dit que son équipe de sécurité lutte contre des centaines de millions d'attaques par mots de passe. D’après la firme, la composition et la longueur de votre mot de passe (pour la plupart) n'a pas d'importance. « Se concentrer sur les règles de mots de passe, plutôt que sur des choses qui peuvent vraiment aider – comme l'authentification multifactorielle (MFA), ou la détection de grandes menaces – est juste une distraction », lit-on dans l’article de septembre. L’article a également listé les principales attaques sur les mots de passe et comment le mot de passe lui-même entre en ligne de compte dans l’activité d’un attaquant.

Nom : az01.jpg
Affichages : 1062
Taille : 25,3 Ko

La page My Sign-Ins permet à un utilisateur de voir si quelqu'un essaie de deviner son mot de passe, ou si un attaquant s'est connecté avec succès à son compte à partir d'un emplacement étranger. La vue d’ensemble de l’historique de connexion permet aussi à l’utilisateur de voir à quelles applications l'attaquant a essayé d'accéder. Les activités récentes de connexion au compte Azure AD sont accessibles via la case My Sign-Ins, qui peut être chargée depuis la palette Overview de chaque utilisateur.

Un seul clic sur la case My Sign-Ins pour afficher les détails de localisation et de la façon dont un compte a été accédé. Ci-dessous, un exemple après une activité de connexion avec succès de Robyn Hicock, gestionnaire principal de programme dans l’équipe Identity Security and Protection chez Microsoft. Hicock s’est connectée à Office 365 sous Windows 10 depuis Washington.

Nom : az02.png
Affichages : 560
Taille : 104,9 Ko

Selon Microsoft, la plupart de vos comptes utilisateurs ne devraient afficher dans la page My Sign-Ins que vos activités normales. Toutefois, l’historique d’activité de connexion d’un compte peut aussi présenter les détails (système d'exploitation, navigateur, emplacement approximatif, adresse IP et application) sur les éventuelles tentatives de connexion réussies et non réussies de la part des attaquants, d’après un article publié par Robyn Hicock.

Que doit faire un utilisateur en cas de connexion réussie à son compte

Selon Hicock, si un utilisateur voit dans MY Sign-Ins une connexion réussie à partir d'un emplacement, d'un navigateur ou d'un système d'exploitation étranger, un attaquant peut avoir eu accès à son compte. « Dans ce cas, l'utilisateur doit changer son mot de passe immédiatement, puis se rendre à la page Informations de sécurité pour mettre à jour ses paramètres de sécurité », a recommandé Hicock.

Que doit faire un utilisateur en cas de connexion non réussie à son compte

Il y a deux cas de figure en cas de connexion non réussie des attaquants. Le premier cas, c’est lorsque la connexion échouée n'indique aucune activité de session, ce qui veut dire que l'authentification initiale (nom d'utilisateur/mot de passe) a échoué. Cela peut se produire lorsque l'utilisateur a mal tapé son mot de passe ou qu'un attaquant essayait de deviner le mot de passe, d’après Hicock. Dans ce cas, Hicock recommande aux utilisateurs « de s'inscrire à Azure Multi-Factor Authentication (MFA), ainsi même si l’attaquant finit par deviner le mot de passe, il ne sera pas suffisant pour accéder au compte ». « D'après nos études, les comptes protégés par MFA sont 99,9 % moins susceptibles d'être compromis », a-t-elle ajouté.

Le second cas, c’est lorsqu’une connexion échouée affiche l'activité de session « Vérification supplémentaire échouée, code invalide ». S’il ne s’agit pas de vous, cela veut dire qu’un tiers a correctement deviné votre mot de passe, mais qu’il a échoué à passer l’authentification à multifacteurs. Dans ce cas, Microsoft recommande également que l'utilisateur concerné change quand même son mot de passe et qu’il aille à la page d'informations de sécurité pour mettre à jour ses paramètres de sécurité.

Nom : az03.png
Affichages : 539
Taille : 50,3 Ko

Hicock a aussi signalé des faux positifs pour avertir les utilisateurs qui sont intéressés par la nouvelle fonctionnalité Azure AD. Cela peut se produire étant donné que l'emplacement de l'utilisateur est approximé à l'aide de la géolocalisation de l'adresse IP, que Microsoft appelle « IP Address Geolocation ». « Par exemple, si un utilisateur se connecte à son téléphone à partir de Washington, l'emplacement pourrait indiquer l'ouverture de session en provenance de Californie », a écrit Hicock.

C'est la raison exacte pour laquelle les informations récentes sur l'activité sur la page My Sign-Ins listent également des informations supplémentaires telles que le navigateur Web utilisé pour se connecter, le système d'exploitation de l'utilisateur, ainsi que l'application utilisée pendant le processus de connexion, a écrit la gestionnaire de programme.

Filtrage des activités de connexion

Pour plus de clarté, My Sign-Ins permet également aux utilisateurs de filtrer l'activité de connexion affichée dans l’historique à l'aide de la barre de recherche supérieure. Le filtrage des activités de connexion peut se faire par état, pays, navigateur, système d'exploitation, application ou les informations de compte. Voici, ci-dessous, un écran de filtrage par l’application My Groups :

Nom : az04.png
Affichages : 538
Taille : 66,5 Ko

Microsoft a récemment apporté plusieurs autres améliorations à Azure AD. 16 nouveaux rôles Azure Active Directory de privilégiés niveau bas ont aussi été annoncées en preview par Microsoft plus tôt ce mois, pour aider les administrateurs à renforcer la sécurité en diminuant le nombre total des « Global administrators », ainsi que pour améliorer les capacités de délégation granulaire d'Azure et de Microsoft 365.

En août, Microsoft a aussi annoncé que la précision de ses algorithmes de détection Azure Active Directory Identity Protection avait été augmentée de 100 %, tandis que le taux de faux positifs avait été réduit d'environ 30 %.

D’autres améliorations sont à venir, d’après Hicock. Des boutons This wasn’t me et This was me seront bientôt ajoutés. Microsoft mettra également en évidence les activités inhabituelles détectées grâce à la protection de l'identité. Selon Hicock, cette rétroaction des utilisateurs aidera l’équipe à améliorer la précision des systèmes de détection des risques.

En réponse à un commentateur qui voulait savoir si Microsoft allait faire certains ajouts (fuseau horaire, méthode d’authentification, etc.) par la suite, Hicock a dit que « le fuseau horaire est une bonne idée, je l'ajouterai à notre liste. Oui, nous voulons aussi ajouter quelle méthode d'authentification a été utilisée ». Hicock a aussi rassuré l’utilisateur que Mac était déjà couvert par les améliorations. Elle a également écrit : « Une fois que nous ajoutons le bouton This wasn’t me, cela déclenchera un processus de récupération de compromis. L'utilisateur final devra prouver son identité, changer son mot de passe et revoir ses informations de sécurité. S'ils terminent ce processus, la connexion risquée sera rejetée dans le rapport de protection d'identité de l'administrateur ».

Source : Microsoft

Et vous ?

Que pensez-vous de My Sign-Ins d’Azure Active Directory ?
Peut-on dire que nous tendons vers une sécurité absolue dans Microsoft Azure ?

Lire aussi

Microsoft augmente de 100% la détection de comptes compromis dans Azure AD, grâce à Unfamiliar Sign-in Properties
Azure AD Password Protection disponible, la fonctionnalité de gestion de mots de passe, réduit le risque d'attaques de type Password Spraying
Microsoft va imposer l'authentification multifacteurs sur les comptes admin d'Azure AD, pour réduire le risque quand un mot de passe est compromis
Microsoft : Azure Active Directory supporte désormais les mots de passe à 256 caractères, pour améliorer la sécurité