Publié le

Certificats SHA2: Vous êtes concernés !

Obsolescence des certificats lors du passage au SHA2

Encryption SHA2

À compter du mois de janvier 2016, les autorités fournissant des certificats publics de confiance ne sont plus autorisées à délivrer des certificats SHA1. Tout nouveau certificat que vous obtiendrez utilisera automatiquement un algorithme SHA2 pour sa signature.

Les certificats SHA1 existants sont encore approuvés par les navigateurs modernes et systèmes d’exploitation. Ils seront supprimés entièrement au 1 janvier 2017. Cependant, les acteurs majeurs ont décidé pour la plupart de réaliser leur migration avant la fin de l’année 2016, tels Google, Mozilla, Microsoft ou encore Amazon.

Sont donc concernés la totalité des certificats utilisés par Internet et sur les réseaux privés. Cette mesure concernant aussi les Root Certificates, l’impact sera donc très étendu. L’impact dans tous les domaines technologiques sera sérieux (pensez par exemple aux appareils mobiles).

Illustration des effets

  • Site apparaissant invalide
  • Site refusant la connexion
  • Appareil mobile sans accès Internet
  • Site administratifs inaccessibles depuis certaines plateformes
  • Services inaccessibles
  • Applications obsolètes
  • Conclusion de transaction invalide
  • Autres effets imaginables… ou pas!

Ressources respectives

Microsoft

Deprecation of SHA-1 Hashing Algorithm for Microsoft Root Certificate

 Wikipedia

 

Testez un site (le vôtre?) pour sa compatibilité SHA2

 
Publié le

Compte Microsoft ou d’Organisation?

Sans doute avez-vous déjà rencontré cette situation; alors que vous cherchez à accéder à un service Microsoft, deux options s’offrent à vous: « Compte Microsoft » ou « Compte d’organisation »?

Choix du type de compte

Historiquement, seuls les comptes Microsoft existaient (Microsoft Account, Live Account, Passport Account), par exemple pour accéder à Hotmail, MSN ou les services Live de Microsoft. Avec l’apparition de services en ligne  réellement professionnels, Microsoft a déployé à l’échelle planétaire une version Cloud de son système d’annuaire d’entreprise Active Directory. Les objets gérés dans ce meta-annuaire s’adressent en priorité aux entreprises et servent désormais à s’authentifier auprès de services du même accabi, tels qu’Office 365 ou Azure.

Compte Microsoft vs Compte d’organisation

Tous deux sont donc des identités fournies et gérées par Microsoft.
 
Le premier est créé par un utilisateur pour son usage personnel. Il est le nouveau nom donné au « Windows Live ID ». Un compte Microsoft est l’association d’une adresse de messagerie et d’un mot de passe et permet à un utilisateur de se connecter à tous les produits et services Cloud Microsoft destinés aux consommateurs, tels que Outlook (Hotmail), Messenger, OneDrive, MSN, Windows Phone ou Xbox LIVE. Si un utilisateur utilise une adresse de messagerie et un mot de passe pour se connecter à ces services (ou à d’autres), alors ce dernier dispose déjà d’un compte Microsoft, mais il peut en créer un autre à tout moment. Dans la mesure où il est possible de choisir n’importe quelle adresse mail comme identité de compte Microsoft (Microsoft Account), que se passe-t-il si vous utilisez un compte d’organisation issu d’Azure Active Directory? La confusion en découle si vous ne maitrisez pas exactement vos deux comptes, pour déterminer quel compte accède à quel service. Surtout que certains services acceptent les deux types de comptes, comme Microsoft Azure ou Microsoft Intune. Vos deux comptes ont le même identifiant, mais peuvent avoir des mots de passe différents, car ils sont maintenus séparément dans des annuaires distincts.
 
Le second est créé par l’administrateur d’une entreprise afin de permettre à l’un de ses membres d’accéder à tous les services Cloud de Microsoft, tels que Microsoft Azure, Windows Intune ou Office 365. Il peut prendre la forme de l’adresse de messagerie professionnelle de l’utilisateur, par exemple nomutilisateur@nomentreprise.com, lorsqu’une entreprise fédère ou synchronise ses comptes Active Directory avec Azure Active Directory.

Quel est le processus que doivent suivre les membres de l’entreprise éligibles pour administrer des comptes professionnels ?

  1. L’administrateur s’inscrit en tant qu’organisation à un service cloud Microsoft tel que Microsoft Azure, Microsoft Intune ou Office 365.
  2. Un locataire basé sur le cloud est configuré automatiquement dans Azure Active Directory pour représenter l’organisation.
  3. Une fois que ce locataire a été configuré, l’administrateur crée des comptes professionnels pour chaque membre.

Quelques exemples de services supportés par les comptes Microsoft et les comptes d’organisation

 

 

Live

Compte Microsoft

Organisation

Compte d’organisation

Messenger (historique)

 

Hotmail

 

Outlook.com

 

Microsoft Academy

 

Xbox live

 

Autres services Live (MSN…)

 

MSDN

 

Microsoft Azure

Microsoft Azure

Microsoft Intune

Microsoft Intune

Microsoft Office

 

OneDrive

OneDrive Entreprise

 

Microsoft Office 365

MPN

 

Windows 8.x Mobile

 

Windows 10

Windows 10

Skype

 

 

Skype Entreprise

A l’usage on s’habitue à reconnaitre le type de signalisation, légèrement different pour chacun des comptes: une silhouette simple pour les comptes Microsoft ou, une silhouette placée sur un badge pour les comptes d’entreprise ou organisation.

Il n’y a pas à ce jour de solution simple à ce problème, car de la même façon que vous pouvez utiliser votre adresse mail pour vous identifier auprès de services tiers (boutiques en ligne, impots, etc.), Microsoft utilise votre adresse pour connecter ses services, dont la messagerie n’est que la partie émergente et visible. L’éditeur ne semble pas vouloir investir pour résoudre ce casse-tête et simplifier la vie de ses clients utilisateurs. Souhaitons que les choses ne restent pas en l’état.

Pour administrer votre compte Microsoft http://account.live.com.

Pour administrer votre compte d’organisation http://portal.office.com si vous êtes administrateur pour votre organization, bien sûr…