MFA obligatoire sur la console AWS : la roadmap se précise

Pas d’accès à la console AWS sans authentification multifactorielle (MFA) ? On s’en approche.

Première échéance à retenir : mi-2024. Le MFA deviendra obligatoire pour se connecter en tant qu’utilisateur racine sur les comptes d’administration des organisations AWS.

La démarche est censée s’étendre, « dans le courant de 2024 », à d’autres scénarios. Dont la connexion à des comptes autonomes (non intégrés à une organisation).

Pour mettre en œuvre le MFA, trois possibilités : applications d’authentification, clés FIDO et jetons TOTP physiques. AWS ne prend plus en charge l’option SMS.

Le groupe américain privilégie la solution FIDO. Il distribue d’ailleurs des clés à certains clients. En l’occurrence, pour le moment, les propriétaires de comptes racines basés aux États-Unis et qui ont dépensé au moins 300 $ sur les 3 derniers mois.

Au-delà des clés, l’écosystème FIDO regroupe des technologies liées à des plates-formes, à l’image de TouchID/FaceID chez Apple et de Windows Hello chez Microsoft. AWS ne les gère pas pour le moment. Son application mobile AWS Console ne permet quant à elle pas d’utiliser des clés FIDO. Des manques qu’on peut pallier en liant jusqu’à huit devices MFA par compte (racine ou IAM).

À consulter en complément :

6 outils open source pour répondre aux incidents de sécurité
Formation cybersécurité : Wallix fait équipe avec les IUT
La portabilité, au cœur des doutes sur les passkeys
AWS : la rentabilité d’Amazon dépend encore du cloud

Illustration © blackboard – Adobe Stock