Apprenez à résoudre le problème de la MFA pour Outlook on the Web (anciennement OWA) dans les environnements Active Directory sur site.

En matière de sécurité informatique, rien n’est plus difficile que de sécuriser un serveur de messagerie. L’explosion récente du volume d’accès distants à la messagerie ne fait que compliquer l’opération : les administrateurs doivent désormais protéger le serveur de messagerie sans disposer d’un véritable contrôle sur les ordinateurs qui s’y connectent. Pour ne rien arranger, si les entreprises sont largement incitées à s’abonner à Exchange Online, beaucoup tiennent à conserver leurs serveurs Exchange sur site. Si votre entreprise souhaite conserver son serveur Exchange sur site, est-il tout de même possible de permettre l’accès à distance à la messagerie sans causer de problèmes de sécurité ? Notre partenaire de longue date IS_Decision revient sur le sujet.

Quand vos équipes travaillent à distance, votre messagerie aussi

Il n’est jamais aisé de trouver le bon équilibre entre sécurité et disponibilité des services : la technologie ne cesse de progresser et les solutions de sécurité destinées aux serveurs de messagerie ne sont pas toujours adaptées aux environnements sur site.

Pendant des années, utiliser le bon client de messagerie était la condition sine qua non pour pouvoir recevoir ses e-mails. En milieu professionnel, il s’agissait bien souvent d’Outlook.

Depuis, avec l’avènement du télétravail, les utilisateurs ont progressivement délaissé les applications autonomes au profit des services de messagerie et d’agenda accessibles par navigateur web (bien souvent sans même remarquer la différence).

Si la situation profite d’abord aux utilisateurs, qui sont en mesure d’accéder à leur messagerie depuis n’importe quel appareil sans avoir à installer d’application particulière, elle profite également aux entreprises, qui peuvent mettre en place un accès distant sécurisé tout en centralisant la gestion des accès à la messagerie et des données.

Comment Outlook on the Web (OWA) facilite la sécurisation des accès distants

Sous Windows, l’accès à une messagerie Exchange via le web s’effectue à l’aide de la technologie Outlook on the Web (anciennement Outlook Web Access, ou OWA).

Remarque : si vous gérez des serveurs de messagerie basés sur Exchange Server 2013 ou 2010, vous utilisez l’application Outlook Web App.

Si vous utilisez Microsoft 365, Exchange Server 2016 ou 2019, alors vous passez par Outlook on the Web.

OWA se connecte soit à Exchange Online, le système de messagerie cloud Microsoft 365, ou à un serveur Exchange sur site, par l’intermédiaire du serveur web de Microsoft, IIS. L’authentification est gérée par un rôle de serveur nommé Exchange Client Access Service (CAS).

Dans le cas de Microsoft 365, il suffit aux administrateurs d’activer la fonction d’accès web dans le cadre de leur abonnement. En revanche, dans le cas d’un serveur Exchange, les entreprises doivent configurer elles-mêmes l’infrastructure et la sécurité du backend.

Sécuriser l’environnement Exchange sur site : une nécessité urgente

Malgré l’adoption massive des services cloud comme Exchange Online, bon nombre d’entreprises ont choisi de conserver leur système de messagerie Exchange sur site et de se concentrer sur la sécurisation des accès au serveur Microsoft Exchange sur site.

Pourquoi ? Les motivations sont diverses : éviter d’avoir à payer un abonnement à Exchange Online, conserver les données de messagerie sur site pour des raisons de conformité, ou encore maintenir un serveur Exchange sur site pour garantir la compatibilité avec les applications héritées.

Si le recours à OWA sur site s’avère très pratique, il expose néanmoins l’entreprise à un niveau de risque beaucoup plus élevé.

OWA est désormais une cible prisée des hackers

Les attaques ciblant OWA, sur site ou en ligne, sont récurrentes depuis des années, mais elles ont récemment gagné en complexité.

En 2023, Microsoft a révélé qu’un groupe du nom de Storm-0558 avait accédé au système de messagerie d’au moins 25 entreprises en falsifiant les jetons d’authentification utilisés par OWA en ligne et Outlook.com.

Lors de l’attaque « ProxyLogon » de 2021, 10 groupes de cybercriminels différents ont exploité les failles ouvertes par quatre vulnérabilités zero-day afin de cibler OWA sur environ 250 000 serveurs Exchange sur site à travers le monde. Cette attaque compte parmi les plus graves à avoir touché OWA ; elle a causé d’immenses dégâts dans un grand nombre d’entreprises, dont beaucoup de PME.

Les experts sont unanimes : les environnements Exchange sur site représentent désormais un point faible particulièrement prisé par les cybercriminels.

Compromission d’OWA : le scénario du pire

OWA établit une connexion publique aux serveurs sur site ; ainsi, il suffit d’une adresse de serveur (découverte par simple recherche) et des identifiants d’un seul compte utilisateur pour infiltrer le service.

Pour les criminels, il est relativement facile de se procurer des identifiants, en employant des techniques de phishing ou de force brute. Une fois ces données acquises, ils bénéficient d’une fenêtre ouverte sur le cœur du système de messagerie qui leur permet d’attaquer l’entreprise de l’intérieur afin d’y mener diverses opérations :

lancer des attaques de phishing sur d’autres collaborateurs ;
rechercher d’autres identifiants, tels que ceux utilisés pour se connecter au VPN de l’entreprise ;
exploiter les vulnérabilités de sécurité de Microsoft Exchange Server pour établir un « shell distant » (capacité d’exécuter des commandes à distance) ;
exploiter les vulnérabilités propres à OWA et pivoter pour compromettre les contrôleurs de domaine ou d’autres éléments de l’infrastructure interne.

Par ailleurs, il ne faut pas exclure la possibilité que les criminels créent une réplique de la page de connexion OWA pour tenter de subtiliser les identifiants de collaborateurs inattentifs.

Pourquoi OWA sur site est-il si risqué ?

Exchange est un logiciel complexe qui n’est plus de première jeunesse, ce qui le rend d’autant plus susceptible de présenter des vulnérabilités de criticité élevée. Et même lorsque ces vulnérabilités sont identifiées, leur correction peut s’avérer difficile. En outre, les clients préfèrent parfois garder des versions plus anciennes, et donc plus vulnérables.

Les menaces qui pèsent sur OWA ne font pas toujours les gros titres, mais le problème général reste sans équivoque : OWA pose un risque de sécurité parce que l’infrastructure de backend dont dépend l’accès à la messagerie est vieillissante et parfois complexe à administrer.

La MFA est-elle la réponse pour sécuriser OWA ?

L’authentification multifacteur (MFA) apparaît comme le choix le plus logique pour protéger l’accès à OWA. L’ajout d’un second facteur d’authentification réduit considérablement le risque d’utilisation d’identifiants compromis.

Toutefois, le choix d’une solution de MFA n’est peut-être pas aussi facile qu’il y paraît, en particulier lorsqu’il s’agit de protéger OWA. Pour rester simple, on peut dire qu’il n’existe aucune réponse au problème native à Microsoft. Habituellement, Microsoft oriente les entreprises vers la MFA des services de fédération d’Active Directory (AD FS), ou vers le proxy d’application Entra ID. Chacune de ces solutions présente divers inconvénients, selon l’infrastructure de l’entreprise et son mode de gestion des licences Microsoft.

La MFA, incontournable pour sécuriser OWA

Ces solutions natives s’accompagnent d’un problème inévitable : elles ajoutent de la complexité au réseau, et la gestion des accès à OWA du point de vue administrateur s’en retrouve plus difficile.

Les personnes responsables de la gestion des accès à la messagerie via OWA doivent impérativement déployer la MFA par défaut, car le risque est aujourd’hui beaucoup trop élevé pour se passer cette technologie.

Les mots de passe sont extrêmement vulnérables au vol et aux attaques par force brute. Les attaquants le savent, et les données issues du monde réel montrent qu’ils ont déjà commencé à cibler spécifiquement les réseaux sur lesquels la MFA n’est pas utilisée.

Un seul jeu d’identifiants compromis suffit aux cybercriminels pour mettre en danger la totalité de la messagerie à distance. À cause de cette vulnérabilité fondamentale, les accès dépourvus de MFA sont des proies évidentes.

On sait que la MFA — n’importe quel type de MFA — réduit le risque de compromission d’identifiants. Dans ce cas, pourquoi ne l’applique-t-on pas systématiquement par défaut ? Sans entrer dans les détails, la mise en place de la MFA sur les serveurs de messagerie sur site peut s’avérer complexe du point de vue technique, et même coûteuse. Le déploiement de la MFA pour OWA à l’aide des outils natifs de Microsoft requiert l’installation de logiciels supplémentaires et une expertise non négligeable, ce qui peut décourager les administrateurs à la recherche d’une solution simple pour sécuriser l’accès à OWA.

La question de la complexité entrave depuis des années le déploiement de la MFA : tout le monde sait qu’il s’agit d’une bonne idée, mais sa mise en pratique concrète est souvent délicate.

UserLock offre une résolution élégante au problème de la mise en œuvre de la MFA pour OWA. Conçue pour fournir la MFA aux réseaux sur site, cette solution permet également d’intégrer la sécurité par la MFA à de nombreux types de connexions, dont OWA.

Les entreprises peuvent alors sécuriser l’accès distant à leur système Exchange sur site sans avoir à recourir à des solutions complexes ni compromettre la sécurité. Et surtout, vous pouvez mettre en place ce dispositif de sécurité sans avoir à mettre à niveau ni remplacer votre infrastructure existante.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (16) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Médaille d'argent du 1er CTF Social Engineering Canadien, en 2023, lors du HackFest de Québec. Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.