Afficher du contexte supplémentaire dans les notifications de Microsoft Authenticator

Microsoft Authenticator est l'application mobile officielle de Microsoft pour l'authentification MFA et sans mot de passe. Elle est couramment utilisée comme méthode d'authentification dans Entra ID.

À la suite d'une demande de MFA ou d'authentification sans mot de passe, l'application envoie une notification Push qui peut afficher du contexte supplémentaire, notamment l'application cible et l'emplacement de la tentative de connexion (déduit par Microsoft à partir de l'adresse IP). Cela permet aux utilisateurs de déterminer si l'invite est légitime ou s'il s'agit d'une attaque malveillante.

Cet indicateur d'exposition (IoE) vérifie les paramètres suivants :

• « Afficher le nom de l'application dans les notifications Push et sans mot de passe »
• « Afficher l'emplacement géographique dans les notifications Push et sans mot de passe »

La valeur de sécurité attendue pour les deux paramètres est « Activé ». Une valeur moyenne, « Géré par Microsoft » (par défaut dans l'API Graph), permet à Microsoft de définir la valeur exacte en fonction de l'évolution du paysage des menaces de sécurité. Cependant, lorsque cet IoE a été introduit à la fin de l'année 2024, Microsoft a défini ces paramètres sur « Désactivé ». Par conséquent, cet IoE ne considère pas la valeur « Géré par Microsoft » comme sécurisée par défaut (vous pouvez toutefois ajuster ce comportement via un paramètre).

Cette fonctionnalité est particulièrement efficace contre les attaques par demande d'authentification répétée, au cours desquelles un attaquant envoie de très nombreuses notifications jusqu'à ce que la victime en approuve une. Ce contexte supplémentaire sensibilise les utilisateurs et les rend plus susceptibles de reconnaître et de rejeter les tentatives malveillantes.

Microsoft recommande également dans Configurer Microsoft Entra pour renforcer la sécurité que « l'application Authenticator affiche le contexte de connexion ».

Tenable recommande d'appliquer le statut « Activé » à ces deux paramètres dans la méthode d'authentification Microsoft Authenticator :

• « Afficher le nom de l'application dans les notifications Push et sans mot de passe »
• « Afficher l'emplacement géographique dans les notifications Push et sans mot de passe »

Consultez la documentation Microsoft suivante pour obtenir des détails sur l'affichage de ces contextes supplémentaires ainsi que des instructions pour les activer à l'aide de diverses méthodes : Comment utiliser un contexte supplémentaire dans les notifications Microsoft Authenticator - Stratégie des méthodes d'authentification.

Comme indiqué dans la description de la vulnérabilité, nous recommandons de ne pas utiliser le statut « Géré par Microsoft » (par défaut dans l'API Graph), car il équivaut actuellement à « Désactivé » (à partir de la fin de l'année 2024).

Si besoin, vous pouvez définir globalement ces configurations sur « Activé » tout en spécifiant le ou les groupes « Cible » à l'aide des paramètres « Inclure » et « Exclure ». Tenable recommande d'appliquer ces paramètres à tous les utilisateurs en utilisant le paramètre « Inclure » avec l'option « Tous les utilisateurs ».

Nom: Afficher du contexte supplémentaire dans les notifications de Microsoft Authenticator

Nom de code: SHOW-ADDITIONAL-CONTEXT-IN-MICROSOFT-AUTHENTICATOR-NOTIFICATIONS

Sévérité: Medium

Type: Microsoft Entra ID Indicator of Exposure