Microsoft Authenticator est une application de vérification de compte qui permet de se connecter à votre compte Microsoft à partir de n’importe quel appareil à l’aide de la vérification en deux étapes. L’application a évolué depuis son lancement, ajoutant de nouvelles fonctionnalités telles que la génération automatique de mots de passe plus forts et la prise en charge du remplissage automatique des adresses et des détails de paiement.
Comme vous vous en souvenez peut-être, en août, nous avons signalé comment les attaquants utilisaient la MFA basée sur le push pour spammer les utilisateurs afin de contourner l’authentification multifacteur de Microsoft. Bien que nous ayons quelques recommandations sur la façon d’éviter d’être victime de telles astuces, Microsoft est maintenant ajouter une couche de sécurité supplémentaire pour atténuer davantage ce problème grâce à quelques fonctionnalités qui sont maintenant en disponibilité générale.
Tout d’abord, la correspondance des numéros dans l’expérience Microsoft Authenticator MFA est en place pour aider les utilisateurs à éviter les approbations accidentelles tout en les protégeant simultanément des attaques MFA par des pirates. La fonctionnalité, une fois activée par les administrateurs, demandera aux utilisateurs de saisir le numéro affiché sur l’écran de connexion lors de l’approbation d’une demande MFA dans Authenticator.
S’appuyant sur cette prémisse, Microsoft fournira désormais aux utilisateurs un contexte supplémentaire dans les notifications Authenticator sur deux points. Premièrement, l’application est-elle connectée, deuxièmement, les utilisateurs connaîtront l’emplacement de connexion en fonction de l’adresse IP de l’appareil auquel ils se connectent.
De plus, grâce à l’actualisation de l’UX d’administration et des API, les administrateurs auront désormais plus de facilité en ce qui concerne la gestion des fonctionnalités de l’application Authenticator, car ils peuvent désormais utiliser l’onglet Configurer de l’UX d’administration pour activer/désactiver différentes fonctionnalités. Les administrateurs pourront également exclure des groupes des fonctionnalités dans le but de fournir une expérience « plus fluide » en ce qui concerne les déploiements de fonctionnalités. Cependant, cela ne s’appliquera pas à la fonctionnalité de correspondance des numéros une fois qu’elle atteindra la disponibilité générale.
Microsoft a en outre indiqué que :
Fin février 2023, nous activerons la correspondance des numéros pour tous les utilisateurs d’Authenticator. Nous vous recommandons vivement de tirer parti des contrôles de déploiement et de déployer ces mises à niveau de sécurité passionnantes sur Microsoft Authenticator.
Et enfin, si vous utilisez l’application Authenticator sur iOS, la confidentialité et l’intégrité des données entre Authenticator et les services Web seront considérablement améliorées grâce à App Transport Security (ATS). La fonctionnalité est déjà activée par défaut et n’aura aucune incidence sur votre interaction avec l’application. De plus, les utilisateurs d’Android peuvent rechercher leurs comptes à l’aide de Microsoft Authenticator. La même fonctionnalité devrait bientôt être déployée pour les utilisateurs iOS.