FCA – Avis relatif à la sécurité concernant les paramètres de consentement d’Azure AD

Avez-vous par inadvertance configuré votre nuage pour qu’il partage vos données à votre insu? 

Si votre organisation figure parmi les 95 à 97 % des institutions de recherche et d’éducation canadiennes inscrites à l’Active Directory d’Azure (AAD), un simple paramètre par défaut pourrait laisser les applications/services d’une tierce partie consulter les données personnelles de vos utilisateurs.  

Dans le répertoire actif d’Azure, le consentement utilisateur est configuré par défaut afin que les utilisateurs (y compris les étudiants) puissent tous se connecter aux applications d’Azure sans que l’administrateur ait son mot à dire. Évidemment, il en résulte quelques problèmes. 

1. Pareille configuration pourrait entrer régulièrement en conflit avec les politiques de l’établissement concernant la protection et la classification des renseignements personnels. 

5. Dans certains cas, les données de l’utilisateur et celles de l’organisme seront divulguées à une tierce partie. L’utilisateur pourrait donc être victime d’exploration de ses données. 

6. À cause de ce réglage automatique, l’utilisateur pourrait partager ses données et celles d’autres utilisateurs (en fonction de ses droits d’accès) à perpétuité, sans qu’il le sache, en ayant faussement l’impression que l’institution a sanctionné l’application. 
   
   

Que faire? 

Au moment de déployer une nouvelle application ou un nouveau service, privilégiez l’approche du « droit d’accès minimal » pour les données sur l’utilisateur.  

La bonne nouvelle 

Il est facile de modifier les paramètres de consentement d’Azure AD au niveau locataire pour les rendre plus restrictifs. L’équipe de la Fédération canadienne d’accès (FCA) vous recommande vivement, d’une part, de faire approuver les nouvelles applications par les administrateurs d’Azure AD avant de les laisser lire les données du profil [1] et, d’autre part, de configurer le consentement administrateur afin que vous puissiez gérer un tel accès[2]. 

Plus précisément, lors de la configuration du consentement utilisateur : 

• assurez-vous que la valeur du paramètre « Users can register applications » soit « non »; 
• assurez-vous que la valeur du paramètre « Users can consent to apps accessing company data on their behalf » soit « non »; 
• assurez-vous que la valeur du paramètre « Users can consent to apps accessing company data for the groups they own » soit « non ». 

Lectures recommandées 

• [1] https://docs.microsoft.com/fr-ca/azure/active-directory/manage-apps/configure-user-consent?tabs=azure-portal 

• [2] https://docs.microsoft.com/fr-ca/azure/active-directory/manage-apps/configure-admin-consent-workflow 

Procéder à ces changements afin d’exercer un plus grand contrôle et d’améliorer la sécurité pourrait toutefois avoir un impact sur la productivité et la rapidité d’exécution des tâches auxquelles l’utilisateur est habitué. Peut-être voudrez-vous expliquer à la communauté les raisons qui vous ont poussé à effectuer une telle modification.  

Une moins bonne nouvelle 

Reconfigurer le consentement utilisateur pour le rendre plus restrictif n’aura une incidence qu’à partir du moment où vous effectuez cette modification. En d’autres termes, les nouvelles applications n’auront pas accès aux données à moins qu’on l’autorise, cependant celles qui possèdent déjà ce droit le conserveront.  

Nous vous recommandons d’examiner chaque application que vous avez autorisée sur Azure et supprimiez les applications suspectes ou sans rapport avec l’enseignement, la recherche et les objectifs d’affaires de l’organisation. 

Lecture recommandée 

• https://docs.microsoft.com/fr-ca/azure/active-directory/manage-apps/manage-application-permissions 
  
  

D’autres bonnes nouvelles 

Si vous utilisez le service de gestion fédérée des identités (GFI) de la FCA pour donner accès aux services que propose la Fédération, vous contrôlez entièrement le partage des données. Vous pouvez être certain que chaque service n’aura accès qu’aux données permises, soit, le plus souvent, le nom de l’utilisateur, son adresse courriel et le nom de l’organisation. Les services en soi ont été sanctionnés par la Fédération, qui les a jugés légitimes pour la recherche et l’éducation. Les utilisateurs ne pourront modifier les paramètres que vous avez fixés. 

En ce qui concerne les organisations inscrites à la catégorie d’entités « aide à la recherche et aux études » (R&S) de la Fédération, les risques de divulguer accidentellement les données de l’utilisateur à des services commerciaux sont encore plus ténus. En effet, les services de la catégorie R&S sont vérifiés par la Fédération et classés parmi les services sans but lucratif desservant la recherche et l’éducation. Seuls quelques attributs à faible risque (toujours les mêmes) sont nécessaires pour que l’utilisateur puisse y recourir. En vous inscrivant à la catégorie R&S, les services R&S sont automatiquement configurés afin que vos utilisateurs puissent s’en servir.  

Lectures recommandées 

• Gestion fédérée des identités : | https://www.canarie.ca/fr/identite/gfi/ 
• Catégories d’entités | aide à la https://www.canarie.ca/fr/identite/gfi/categories-entites/ 

— 

Adapté avec l’aimable autorisation de nos amis de Jisc, exploitant de la fédération de gestion des sceaux de fiabilité et des identités du Royaume-Uni.