Sécurisation de l’authentification multifacteur basée sur un téléphone

Important

À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.

Avec l’authentification multifacteur Microsoft Entra, les utilisateurs peuvent choisir de recevoir un appel vocal automatisé à un numéro de téléphone qu’ils inscrivent pour vérification. Les utilisateurs malveillants peuvent tirer parti de cette méthode en créant plusieurs comptes et en plaçant des appels téléphoniques sans effectuer le processus d’inscription MFA. Ces nombreuses inscriptions ayant échoué peuvent épuiser les tentatives d’inscription autorisées, empêchant les autres utilisateurs de s’inscrire à de nouveaux comptes dans votre locataire Azure AD B2C. Pour vous protéger contre ces attaques, vous pouvez utiliser Azure Monitor pour surveiller les échecs d’authentification par téléphone et atténuer les inscriptions frauduleuses.

Important

L’application d’authentification (TOTP) offre une sécurité plus forte que l’authentification multifacteur SMS/Téléphone. Pour configurer cela, lisez nos instructions pour activer l’authentification multifacteur dans Azure Active Directory B2C.

Conditions préalables

Avant de commencer, créez un espace de travail Log Analytics.

Créer un classeur d'événements MFA sur téléphone

Le référentiel Rapports et alertes Azure AD B2C dans GitHub contient des artefacts que vous pouvez utiliser pour créer et publier des rapports, des alertes et des tableaux de bord basés sur les journaux Azure AD B2C. Le classeur illustré ci-dessous met en évidence les échecs liés au téléphone.

Onglet Vue d’ensemble

Les informations suivantes s’affichent sous l’onglet Vue d’ensemble :

• Raisons d’échec (nombre total d’authentifications téléphoniques ayant échoué pour chaque raison donnée)
• Bloqué en raison d’une mauvaise réputation
• Adresse IP avec Authentifications téléphoniques ayant échoué (nombre total d’authentifications téléphoniques ayant échoué pour chaque adresse IP donnée)
• Numéros de téléphone avec adresse IP - Échec des authentifications téléphoniques
• Navigateur (échecs d’authentification par téléphone par navigateur client)
• Système d’exploitation (échecs d’authentification par téléphone par système d’exploitation client)

Onglet Détails

Les informations suivantes sont signalées sous l’onglet Détails :

• Stratégie Azure AD B2C - Échec des authentifications téléphoniques
• Échecs d’authentification par numéro de téléphone – Graphique horaire (chronologie réglable)
• Échecs d’authentification par téléphone par stratégie Azure AD B2C – Graphique de temps (chronologie réglable)
• Échecs d’authentification par adresse IP – Graphique horaire (chronologie réglable)
• Sélectionnez Numéro de téléphone pour afficher les détails de l’échec (sélectionnez un numéro de téléphone pour obtenir une liste détaillée des échecs)

Utiliser le classeur pour identifier les connexions frauduleuses

Vous pouvez utiliser le classeur pour comprendre les événements MFA basés sur téléphone et identifier l’utilisation potentiellement malveillante du service de téléphonie.

1. Comprenez ce qui est normal pour votre locataire en répondant à ces questions :

   • Quelles sont les régions à partir desquelles vous attendez une authentification MFA basée sur le téléphone ?
   • Examinez les raisons indiquées pour les tentatives MFA basées sur téléphone ayant échoué ; sont-ils considérés comme normaux ou attendus ?

2. Reconnaître les caractéristiques de l’inscription frauduleuse :

   • Basé sur l’emplacement : examinez les échecs d’authentification par téléphone par adresse IP pour tous les comptes associés aux emplacements à partir desquels vous ne vous attendez pas à ce que les utilisateurs s’inscrivent.

   Remarque

   L’adresse IP fournie est une région approximative.

   • Basé sur la vélocité : examinez les échecs d'authentification téléphonique au fil du temps (par jour), ceci indique les numéros de téléphone qui effectuent un nombre anormal de tentatives d’authentification par téléphone ayant échoué par jour, classés du plus élevé (à gauche) au plus faible (à droite).

3. Atténuer les inscriptions frauduleuses en suivant les étapes décrites dans la section suivante.

Atténuer les inscriptions frauduleuses pour le parcours utilisateur

Effectuez les actions suivantes pour atténuer les inscriptions frauduleuses.

• Utilisez les versions recommandées des flux utilisateur pour effectuer les opérations suivantes :

  • Activez la fonctionnalité de code secret à usage unique (OTP) d’e-mail pour L’authentification multifacteur (s’applique aux flux d’inscription et de connexion).
  • Configurez une stratégie d’accès conditionnel pour bloquer les connexions en fonction de l’emplacement (s’applique uniquement aux flux de connexion, et non aux flux d’inscription).
  • Pour empêcher les attaques automatisées sur vos applications grand public, activez CAPTCHA. CAPTCHA d’Azure AD B2C prend en charge les défis CAPTCHA audio et visuel, et s’applique aux flux d’inscription et de connexion pour vos comptes locaux.

• Supprimez les codes de pays qui ne sont pas pertinents pour votre organisation dans le menu déroulant où l’utilisateur vérifie son numéro de téléphone (cette modification s’applique aux futures inscriptions) :

  1. Connectez-vous au portail Azure en tant qu’administrateur de flux d’utilisateur ID externe de votre locataire Azure AD B2C.

  2. Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.

  3. Choisissez tous les services dans le coin supérieur gauche du portail Azure, recherchez et sélectionnez Azure AD B2C.

  4. Sélectionnez le flux utilisateur, puis sélectionnez Langues. Sélectionnez la langue de l’emplacement géographique principal de votre organisation pour ouvrir le panneau détails de la langue. (Pour cet exemple, nous allons sélectionner l’anglais en pour les États-Unis). Sélectionnez la page d’authentification multifacteur, puis téléchargez les valeurs par défaut (en) .

     

  5. Ouvrez le fichier JSON téléchargé à l’étape précédente. Dans le fichier, recherchez DEFAULTet remplacez la ligne par "Value": "{\"DEFAULT\":\"Country/Region\",\"US\":\"United States\"}". Veillez à définir Overrides sur true.

Pour implémenter efficacement le blocage des SMS, vérifiez que le paramètre Remplacements est activé (défini sur true) uniquement pour la langue principale ou par défaut de votre organisation. N’activez pas les remplacements pour les langues secondaires ou non primaires, car cela peut entraîner un blocage inattendu des SMS. Étant donné que countryList dans le fichier JSON agit en tant que liste d'autorisation, veillez à inclure tous les pays qui doivent être autorisés à envoyer des SMS dans cette liste pour la configuration de langue primaire lorsque les dépassements sont activés.

Remarque

Vous pouvez personnaliser la liste des codes de pays autorisés dans l’élément countryList (voir l’exemple de page d’authentification par facteur téléphonique).

1. Enregistrez le fichier JSON. Dans le panneau des détails de la langue, sous Charger de nouvelles substitutions, sélectionnez le fichier JSON modifié pour le charger.

2. Fermez le panneau et sélectionnez Exécuter le flux utilisateur. Pour cet exemple, vérifiez que les États-Unis sont le seul code de pays disponible dans la liste déroulante :

   

Réduire les inscriptions frauduleuses pour une politique personnalisée

Pour empêcher les inscriptions frauduleuses, supprimez les codes de pays qui ne s’appliquent pas à votre organisation en procédant comme suit :

1. Recherchez le fichier de stratégie qui définit le RelyingParty. Par exemple, dans le pack de démarrage, il s’agit généralement du fichier SignUpOrSignin.xml.

2. Dans la BuildingBlocks section de ce fichier de stratégie, ajoutez le code suivant. Veillez à inclure uniquement les codes de pays pertinents pour votre organisation :

    <BuildingBlocks>
   
      <ContentDefinitions>
        <ContentDefinition Id="api.phonefactor">
          <LoadUri>~/tenant/templates/AzureBlue/multifactor-1.0.0.cshtml</LoadUri>
          <DataUri>urn:com:microsoft:aad:b2c:elements:contract:multifactor:1.2.20</DataUri>
          <Metadata>
            <Item Key="TemplateId">azureBlue</Item>
          </Metadata>
          <LocalizedResourcesReferences MergeBehavior="Prepend">
            <!-- Add only primary business language here -->
            <LocalizedResourcesReference Language="en" LocalizedResourcesReferenceId="api.phonefactor.en" />        
          </LocalizedResourcesReferences>
        </ContentDefinition>
      </ContentDefinitions>
   
      <Localization Enabled="true">
        <SupportedLanguages DefaultLanguage="en" MergeBehavior="ReplaceAll">
          <!-- Add only primary business language here -->
          <SupportedLanguage>en</SupportedLanguage>
        </SupportedLanguages>
   
        <!-- Phone factor for primary business language -->
        <LocalizedResources Id="api.phonefactor.en">
          <LocalizedStrings>
           <LocalizedString ElementType="UxElement" StringId="countryList">{"DEFAULT":"Country/Region","JP":"Japan","BG":"Bulgaria","US":"United States"}</LocalizedString>
          </LocalizedStrings>
        </LocalizedResources>
      </Localization>
   
     </BuildingBlocks>
   

CountryList agit en tant que liste verte. Seuls les pays que vous spécifiez dans cette liste (par exemple, le Japon, la Bulgarie et les États-Unis) sont autorisés à utiliser l’authentification multifacteur. Tous les autres pays sont bloqués.

Contenu connexe

• En savoir plus sur Identity Protection et l’accès conditionnel pour Azure AD B2C

• Appliquer l’accès conditionnel aux flux utilisateur dans Azure Active Directory B2C