Microsoft a annoncé qu’il commencera à désactiver l’authentification basique (Auth Basic) pour Exchange Online à partir du 1er octobre 2022. Cette opération sera réalisée sur des tenants sélectionnés aléatoirement. Bien que Microsoft ait informé les utilisateurs à plusieurs reprises de ce changement, il y a encore de nombreux tenants qui ne sont pas prêts à cette modification. Les méthodes d’accès touchées par cette décision seront MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS), et Remote PowerShell. Cependant, Microsoft ne désactivera pas le SMTP AUTH. Pour continuer à se connecter à Microsoft 365, les utilisateurs devront utiliser au minimum Outlook 2013 Service Pack 1.
Pour limiter les effets de cette modification, Microsoft mettra à disposition de ses clients un outil de diagnostic qui permettra d’analyser les besoins et de réactiver temporairement l’authentification basique sur une ou plusieurs méthodes. Cette réactivation sera possible jusqu’au 31 décembre 2022 seulement, après quoi l’authentification basique sera désactivée de manière permanente et l’outil de diagnostic ne sera plus disponible.
Microsoft désactive l’authentification basique car elle n’est pas suffisamment sécurisée et est vulnérable à certaines attaques. En utilisant cette méthode, l’identifiant et le mot de passe de l’utilisateur sont transmis en clair, même si la connexion elle-même est chiffrée. Pour éviter les mauvaises surprises, il est important de se préparer à ce changement dès maintenant.