Microsoft Entra ID : les clés d'accès deviendront la norme à partir de septembre 2026
Ce texte a été généré par l'intelligence artificielle (IA).Le 13 juillet 2026, Microsoft a annoncé un changement stratégique concernant son système de gestion des identités et des accès, Microsoft Entra ID. À compter du 1er septembre 2026, les clés d'accès seront progressivement mises en place comme méthode par défaut pour l'authentification multifactorielle (MFA). L'objectif de cette mesure est de renforcer la sécurité des comptes grâce à des procédures de connexion résistantes au phishing, tout en remplaçant les méthodes vulnérables telles que les SMS et les appels vocaux.
Cette transition concerne toutes les organisations qui utilisent Microsoft Entra ID dans le cloud public. Des calendriers distincts seront communiqués pour les autres environnements cloud. L'annonce officielle de Microsoft est disponible dans le Centre de messages Microsoft 365 à l'adresse MC1426371 disponible.
Mise à jour du 14 juillet 2026 : Par ailleurs, une vulnérabilité critique a été signalée dans Microsoft Exchange Server (CVE-2026-55008, CVSS 9,6). Cette faille permet l'exécution de code à distance et affecte plusieurs versions d'Exchange. Voir ci-dessous pour plus de détails.
Aperçu des faits
Les « passkeys » comme norme : À compter du 1er septembre 2026, les utilisateurs seront invités à enregistrer leurs clés d'accès ; cette mesure deviendra obligatoire à compter du 1er février 2027.
Les SMS et les appels vocaux sont désactivés : Les services natifs de Microsoft pour l'authentification par SMS et vocale prendront fin le 1er février 2027. L'intégration de solutions tierces via le Microsoft Security Store restera possible.
Plateforme concernée : Microsoft Entra ID (cloud public).
Vulnérabilité critique d'Exchange : La vulnérabilité CVE-2026-55008 (CVSS 9,6) affecte Exchange Server 2016 CU23, 2019 CU14/CU15 et l'édition Abonnement RTM. Exécution de code à distance possible sans authentification, interaction de l'utilisateur requise.
Le calendrier de la transition
Afin de garantir une mise en œuvre sans heurts, Microsoft a publié un plan de déploiement échelonné. Les administrateurs informatiques sont invités à prendre note des dates suivantes :
À compter du 1er août 2026 : Une prise en charge via l'API sera disponible pour configurer une exclusion temporaire du déploiement des clés d'accès.
À compter du 1er septembre 2026 : Lors de la connexion via l'authentification multifactorielle (MFA), les utilisateurs se voient proposer d'enregistrer une clé d'accès. À ce stade, cette démarche est encore facultative.
À partir du 18 septembre 2026 : Microsoft publie des informations sur les opérateurs de télécommunications tiers pris en charge dans le Microsoft Security Store.
À partir du 30 octobre 2026 : Les administrateurs peuvent configurer des services de télécommunications proposés par des fournisseurs tiers dans le Microsoft Security Store pour la connexion par SMS et par appel vocal.
À compter du 1er février 2027 : Les services SMS et vocaux natifs de Microsoft vont être désactivés. La demande d'enregistrement d'une clé d'accès deviendra obligatoire pour tous les utilisateurs concernés et ne pourra plus être ignorée.
Mesures à prendre et options pour les administrateurs
Les entreprises doivent adapter leurs stratégies d'authentification à ce nouveau cadre. La période de transition, qui s'étend jusqu'en février 2027, leur laisse le temps de préparer leurs processus internes et la communication destinée aux utilisateurs.
Les organisations qui continuent de recourir à l'authentification par SMS ou vocale doivent se tourner vers des solutions tierces pouvant être intégrées via le Microsoft Security Store. Microsoft recommande toutefois clairement de passer à des méthodes totalement résistantes au phishing.
Les utilisateurs qui ont déjà recours à des méthodes sécurisées telles que Windows Hello pour les entreprises, Clés de sécurité FIDO2, l'authentification par certificat ou les cartes à puce ne sont pas concernées par cette nouvelle demande d'enregistrement, selon Microsoft Learn.
Vulnérabilité critique dans Microsoft Exchange Server (CVE-2026-55008)
Parallèlement à la migration vers Passkey, une faille de sécurité critique dans Microsoft Exchange Server a été révélée le 14 juillet 2026. La vulnérabilité CVE-2026-55008 a reçu un score CVSS de 9,6 et permet l'exécution de code à distance via le réseau.
Détails techniques
Cette vulnérabilité concerne les versions suivantes d'Exchange :
Microsoft Exchange Server 2016 - Mise à jour cumulative 23
Microsoft Exchange Server 2019 - Mise à jour cumulative 14
Microsoft Exchange Server 2019 - Mise à jour cumulative 15
Microsoft Exchange Server Édition Abonnement RTM
Un attaquant peut exploiter cette vulnérabilité sans authentification préalable (PR:N), mais cela nécessite une interaction de l'utilisateur (UI:R). Le vecteur d'attaque est de type réseau (AV:N) et présente une faible complexité d'attaque (AC:L). En cas d’exploitation réussie, des répercussions importantes sur la confidentialité, l’intégrité et la disponibilité sont possibles (C:H/I:H/A:H). La portée est „ modifiée “ (S:C), ce qui signifie que les répercussions peuvent s’étendre au-delà du composant vulnérable.
Évaluation et recommandations d'action
À la date de publication, le statut du correctif n'est pas connu. Aucune information n'est disponible concernant une exploitation active ou l'ajout à la liste KEV de la CISA. Les organisations disposant de serveurs Exchange dans les versions concernées doivent suivre en permanence l'avis du Microsoft Security Response Center disponible à l'adresse https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-55008 et installer en priorité les mises à jour de sécurité disponibles.
La combinaison d'un score CVSS élevé, d'un vecteur d'attaque basé sur le réseau et de la possibilité d'exécuter du code à distance fait de la vulnérabilité CVE-2026-55008 une menace critique pour les infrastructures Exchange. En attendant la mise à disposition d'un correctif, les administrateurs devraient envisager des mesures compensatoires telles que la segmentation du réseau, une surveillance renforcée et des restrictions d'accès aux services Exchange.
Pertinence pour les organisations de la région DACH
Cette transition revêt une importance particulière pour les entreprises soumises à la directive NIS 2 et les opérateurs KRITIS en Allemagne : l'utilisation de méthodes d'authentification résistantes au phishing répond aux exigences en matière de mesures de sécurité techniques prévues à l'article 30 de la loi BSIG. Le BSI recommande explicitement les procédures basées sur FIDO2 et les clés d'accès (passkeys) comme méthodes d'authentification forte. Les organisations qui utilisent Microsoft Entra ID comme service d’identité central devraient également intégrer cette transition dans leur documentation des changements conforme au RGPD et vérifier si la modification de l’infrastructure d’authentification nécessite des évaluations internes des risques conformément à la norme ISO 27001.
La vulnérabilité CVE-2026-55008 d'Exchange souligne l'urgence d'une gestion globale de la sécurité Microsoft. Les organisations disposant de serveurs Exchange doivent intégrer cette vulnérabilité dans leur évaluation des risques conformément à la norme ISO 27001, annexe A, paragraphe 8.8 (gestion des vulnérabilités), et la documenter.
Analyse du point de vue de l'EASM et du VRM
Le changement des méthodes d'authentification chez un fournisseur d'identité centralisé tel que Microsoft a des répercussions directes sur la surface d'attaque externe et la gestion des risques liés aux fournisseurs.
Gestion de la surface d'attaque externe (EASM) : Microsoft Entra ID est un service accessible depuis l'extérieur dont les portails d'authentification font partie de l'infrastructure numérique d'une entreprise. Une plateforme EASM telle que LocateRisk identifie ces points d'authentification exposés ainsi que d'autres (par exemple pour les VPN ou les services cloud). Savoir quels systèmes dépendent d’Entra ID est essentiel pour évaluer l’impact de cette modification de politique sur votre propre situation en matière de sécurité. Parallèlement, il convient d’identifier les serveurs Exchange accessibles depuis l’extérieur et de vérifier s’ils sont concernés par la vulnérabilité CVE-2026-55008.
Gestion des risques liés aux fournisseurs (VRM) : Microsoft est un fournisseur essentiel pour la plupart des entreprises. Une modification contraignante des politiques de sécurité constitue un événement significatif dans la gestion des risques liés à la cyber-chaîne d'approvisionnement. Une surveillance continue dans le cadre du VRM permet de recenser ces modifications chez les partenaires stratégiques et de garantir la conformité de l’entreprise à des normes telles que NIS-2 ou ISO 27001, qui exigent une gestion active des risques liés aux fournisseurs. La vulnérabilité d’Exchange souligne la nécessité de surveiller également les processus de gestion des correctifs pour les produits Microsoft critiques dans le contexte du VRM.
Voici comment LocateRisk vous aide
La plateforme LocateRisk vous offre la visibilité nécessaire sur votre surface d'attaque externe et sur la situation de sécurité de vos fournisseurs. Identifiez tous les systèmes externes qui s'appuient sur Microsoft Entra ID pour l'authentification et évaluez les performances de sécurité de vos partenaires technologiques critiques. Identifiez les serveurs Exchange exposés et les autres services Microsoft au sein de votre infrastructure afin de localiser et de hiérarchiser rapidement les vulnérabilités telles que CVE-2026-55008.
Notre solution „ Made in Germany “ est hébergée dans des centres de données allemands certifiés — conçue conformément aux exigences du RGPD et présentant des risques réduits liés à l'exposition au Cloud Act américain.
Toutes les organisations et tous les utilisateurs qui utilisent Microsoft Entra ID dans le cloud public. Les utilisateurs qui utilisent déjà une autre méthode d'authentification résistante au phishing, telle que Windows Hello for Business, les clés de sécurité FIDO2 ou les cartes à puce, font exception : selon Microsoft Learn, ceux-ci ne recevront pas de nouvelle demande d'enregistrement.
Oui, l'utilisation reste possible, mais plus via le service natif de Microsoft. Pour cela, les entreprises doivent intégrer un fournisseur tiers de services de télécommunications pris en charge via le Microsoft Security Store. La configuration sera possible à partir du 30 octobre 2026 ; Microsoft publiera des informations sur les fournisseurs disponibles à partir du 18 septembre 2026.
Entre le 1er septembre 2026 et le 1er février 2027, les utilisateurs pourront ignorer cette invite. Passé cette date butoir, la boîte de dialogue d'enregistrement deviendra obligatoire. Les utilisateurs concernés ne pourront alors plus s'inscrire sans interagir avec cette invite.
Vérifiez si vous utilisez l'une des versions concernées : Exchange Server 2016 CU23, Exchange Server 2019 CU14 ou CU15, ou Exchange Server Subscription Edition RTM. Consultez régulièrement le site du Microsoft Security Response Center pour obtenir des informations sur les correctifs et appliquez immédiatement les mises à jour disponibles.
Demandez maintenant une Démo en direct personelle
Identifiez et réduisez vos cyber-risques grâce à un aperçu comparable et compréhensible de votre sécurité informatique. Demandez conseil à nos experts et découvrez comment LocateRisk peut vous aider à résoudre vos cyber-risques.
En savoir plus, réserver une démo ou simplement échanger quelques mots ? Nous nous en réjouissons !
Nous utilisons des cookies pour optimiser notre site web et nos services.
Fonctionnel
Toujours activé
le stockage technique ou l'accès est strictement nécessaire dans le but légitime de permettre l'utilisation d'un service spécifique expressément demandé par l'abonné ou l'utilisateur, ou dans le seul but d'effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques
Préférences
le stockage ou l'accès technique est nécessaire aux fins légitimes de la conservation des préférences qui n'ont pas été demandées par l'abonné ou l'utilisateur.
Statistiques
le stockage ou l'accès technique, à des fins exclusivement statistiques.le stockage ou l'accès technique, utilisé uniquement à des fins statistiques anonymes. En l'absence d'une citation, d'un accord volontaire de ton fournisseur d'accès à Internet ou d'enregistrements supplémentaires de tiers, les informations stockées ou consultées à cette seule fin ne peuvent généralement pas être utilisées pour t'identifier.
Marketing
Le stockage technique ou l'accès est nécessaire pour créer des profils d'utilisateurs, pour envoyer des publicités ou pour suivre l'utilisateur sur un site web ou sur plusieurs sites web à des fins de marketing similaires.