Snowflake bloquera l’authentification par mot de passe monofactorielle d’ici novembre 2025

Plus tôt cette année, Snowflake a signé l'engagement Secure by Design de la Cybersecurity and Infrastructure Security Agency (CISA). Dans le cadre de cet engagement, nous annonçons que d’ici novembre 2025, Snowflake bloquera les connexions à l’aide d’une authentification par mot de passe monofactorielle.

Ce niveau de protection accru s'ajoute aux capacités de sécurité croissantes de Snowflake Horizon Catalog, qui permet aux administrateurs de sécurité et aux Chief Information Security Officers de mieux protéger leur position de sécurité et de réduire les risques de vol d'identifiants. Il fait également suite à notre annonce précédente que l’authentification multifactorielle (MFA) sera activée par défaut pour toutes les connexions par mot de passe des nouveaux comptes Snowflake créés à partir d’octobre 2024.

Pour atteindre cette échéance et nous assurer que tous nos clients migrent vers une trajectoire viable, nous adoptons une approche progressive. Avant de développer les différentes phases, posons quelques définitions :

• Compte : il s'agit du conteneur qui contient divers objets, tels que des tables, des vues, des bases de données, un schéma et des comptes d'utilisateur. Voir ici pour plus d’informations. 

• Utilisateurs : il s’agit d’objets qui montrent l’identité des personnes pouvant accéder aux comptes des clients et aux objets qui s’y trouvent. Voir ici pour plus d’informations.

• Utilisateurs humains : il s’agit d’utilisateurs humains qui utilisent normalement une connexion interactive pour se connecter à Snowflake. Ces utilisateurs sont déclarés dans l'objet utilisateur Snowflake avec TYPE = PERSON ou NULL (NULL par défaut). Voir ici pour plus d’informations.

• Utilisateurs de service : il s’agit d’utilisateurs utilisés pour un accès programmatique sans connexion interactive. Ces utilisateurs sont déclarés dans l’objet utilisateur Snowflake avec TYPE = SERVICE ou LEGACY_SERVICE. Ni SERVICE ni LEGACY_SERVICE ne seront soumis aux politiques de Snowflake en matière d’authentification MFA. Les utilisateurs SERVICE ne peuvent pas utiliser de mots de passe pour se connecter. LEGACY_SERVICE est destiné aux applications qui mettent plus de temps à se mettre à jour et évitent les mots de passe ; en tant que tel, LEGACY_SERVICE dispose d’une exception temporaire pour utiliser des mots de passe jusqu’à ce que l’application soit mise à jour. Voir ici pour plus d’informations.

Notre approche progressive comprendra trois étapes :

1. Avril 2025 : activation pour tous les comptes de la politique d’authentification par défaut, avec MFA appliqué sur les connexions par mot de passe pour les utilisateurs humains. Lors de cette phase, tous les utilisateurs humains de comptes sans politique d’authentification personnalisée devront s’inscrire à l’authentification MFA lors de leur prochaine connexion par mot de passe à Snowflake. Si un compte dispose déjà d’une politique d’authentification personnalisée au moment de ce déploiement, les utilisateurs humains ne verront pas de différence dans leur expérience de connexion. 

2. Août 2025 : application de l’authentification MFA pour toutes les connexions par mots de passe pour les utilisateurs humains. Lors de cette phase, même si le client dispose d’une politique d’authentification personnalisée déjà définie, tous les utilisateurs humains devront utiliser l’authentification MFA lors de la connexion par mot de passe. À ce stade, nous allons également bloquer l’accès à Snowsight pour les utilisateurs LEGACY_SERVICE.

3. Novembre 2025 : blocage de la connexion à Snowflake à l’aide d’une authentification par mot de passe monofactorielle pour tous les utilisateurs (humains ou de service). Lors de cette phase, LEGACY_SERVICE deviendra obsolète et tous les utilisateurs LEGACY_SERVICE seront migrés vers les utilisateurs SERVICE.

Notez que ces politiques n'ont aucune incidence sur les utilisateurs à connexion unique (utilisant SAML ou OAuth) ou les utilisateurs utilisant une authentification par paire de clés. 

Pour faciliter les migrations, nous avons créé un livre blanc et un guide vidéo de migration qui l’accompagne.  Nous avons également ajouté au Trust Center un nouveau package de scanner appelé Threat Intelligence (disponible pour tous nos clients), qui peut analyser rapidement votre compte et repérer les utilisateurs qui risquent de perdre l’accès (voir ici les instructions étape par étape). Nous collaborons également avec nos partenaires et écosystèmes, dont Tableau, pour les aider à préparer leurs solutions à notre vision d’une authentification renforcée.

Snowflake continuera d’investir dans les capacités de sécurité de ses comptes clients et proposera davantage de produits et d’innovations dans ce domaine, tels que la prise en charge native des passkeys et le mot de passe à usage unique basé sur le temps (TOTP), incluant les applications d’authentification. Tout cela fonctionnera de pair avec les autres fonctionnalités récemment annoncées de Snowflake, y compris Leaked Password Protection, Trust Center, les politiques MFA, les Programmatic Access Tokens (bientôt en private preview) et bien d’autres. Restez à l’affût des dernières infos !

Déclarations prévisionnelles

Cet article contient des déclarations prévisionnelles, notamment de futures offres de produits. Il ne constitue en aucun cas un engagement à fournir des offres de produits. Les offres et résultats réels peuvent varier et faire l’objet de risques connus et inconnus, ainsi que d’incertitudes. Découvrez notre dernier 10‑Q pour en savoir plus.