Microsoft a confirmé une nouvelle attendue par de nombreux administrateurs et développeurs: l'API Exchange Web Services (EWS) pour Exchange Online sera complètement désactivé en avril 2027. Après près de deux décennies d'action comme un pont entre les applications Exchange et les boîtes aux lettres, EWS continuera d'être disponible dans les installations locales de Exchange Server, mais Microsoft 365-hosted boîtes aux lettres devront arrêter de l'utiliser avant la date limite.
La feuille de route proposée par Microsoft marque deux moments clés : à partir du 1er octobre 2026 EWS sera bloqué par défaut sur Exchange Online, et le 1er avril 2027 la déconnexion finale se produira sans exception. Microsoft offre une fenêtre de gestion pour réduire l'impact : les administrateurs peuvent créer des listes d'applications autorisées et, s'ils le font avant la fin d'août 2026, leur organisation sera exclue de ce premier verrouillage automatique.
Si une organisation ne prépare pas sa propre liste, Microsoft commencera en septembre 2026 à produire des listes préremplies en fonction de l'utilisation réelle de chaque locataire, dans l'intention de minimiser les interruptions imprévues. En outre, pour identifier les dépendances cachées, la société a annoncé qu'elle pourrait effectuer des contrôles courts - qu'elle a couramment appelés « tests d'écran » - et tiendra les administrateurs informés par des notifications régulières au Centre de messages avec des résumés et des rappels spécifiques par locataire. Vous pouvez lire la publicité officielle et les explications de l'équipe d'échange sur le blog technique de Microsoft: Équipe d'échange (Communauté technologique de Microsoft).
Pour comprendre pourquoi Microsoft prend cette décision, il est approprié de se rappeler le rôle que EWS a joué. Née avec Exchange Server 2007, EWS a permis de créer des clients et des outils qui lisent les courriels, gèrent les calendriers et les contacts et effectuent des opérations complexes sur des boîtes aux lettres de différentes plateformes. Au fil du temps, Microsoft a fait la promotion de Microsoft Graphh comme l'API moderne qui intègre les identités, le courrier, les calendriers, les fichiers et de nombreuses autres fonctions sous un modèle unique avec des améliorations de sécurité et d'évolutivité. Le processus d'avertissement n'est pas nouveau: déjà en 2018 Microsoft a avancé des changements et, en 2021, désactiver un sous-ensemble des appels moins utilisés pour des raisons de sécurité; vous pouvez consulter ces avis à la TechCommunity: Avis 2018 et la communication 2021.
Qu'est-ce que cela signifie pour les entreprises et les développeurs? Tout d'abord, toute application qui utilise encore EWS pour accéder aux boîtes aux lettres en nuage devrait planifier une migration. Microsoft recommande de passer à Microsoft Graphh, qui offre déjà la parité des fonctionnalités pour la plupart des scénarios et inclut des améliorations d'authentification et de contrôle d'accès. L'entreprise publie des guides pour aider à la migration et à l'adaptation des appels et des permis: Migrer les applications d'EWS vers Microsoft Graphh.
Deuxièmement, les administrateurs devraient vérifier et cartographier l'utilisation des EWS dans leur environnement : identifier les applications, les scripts et les services qui font des appels EWS, prioriser les tests les plus critiques et coordonner. Microsoft a fourni des mécanismes d'inscription pour donner du temps à la transition, mais ces mécanismes sont temporaires. En outre, l'entreprise fournira automatiquement des informations sur l'utilisation de EWS par le locataire pour aider à détecter les dépendances cachées avant le bloc de masse.
Il y a une note importante pour les environnements hybrides : le retrait affecte Exchange Online (le cloud). Les installations on-prem continueront à soutenir EWS, mais les interactions entre les scénarios hybrides et le cloud peuvent nécessiter des composants spécifiques pour que les appels Microsoft Graphh fonctionnent correctement. Microsoft a expliqué qu'Autodiscover continuera d'être le moyen de déterminer où se trouve une boîte aux lettres, et que les clients hybrides devront disposer de l'infrastructure nécessaire pour soutenir Graph lorsqu'ils appellent des boîtes aux lettres en nuage; il est approprié de revoir la documentation technique du fabricant pour des détails spécifiques de chaque topologie.
Pratiquement, que devez-vous faire maintenant ? La recette est simple dans votre idée : inventaire, test et migration. Faites un inventaire complet des clients et des scripts en utilisant EWS, prioriser les cas critiques et commencer à réécrire ou adapter ces intégrations à Microsoft Graphh. Utilisez les outils et les guides officiels pour minimiser les travaux et planifiez les fenêtres d'essai avant le bloc d'octobre 2026. Microsoft offre des ressources et de la documentation pour les développeurs sur la page Microsoft Graphh; c'est un bon point de départ pour comprendre les permissions, les paramètres et les flux d'authentification: Microsoft Graphdocumentation.
Il n'est pas approprié de s'appuyer sur le mécanisme des listes autorisé comme solution à long terme : elles constituent un soulagement temporaire, et non une solution de rechange permanente. Le risque est de découvrir des dépendances cachées tardives - par exemple, des intégrations internes ou des applications tierces que personne ne maintient activement - et que ces services seront hors service par un blocus inattendu. C'est pourquoi Microsoft propose des tests contrôlés et des notifications mensuelles afin que les organisations puissent réagir à temps.
Enfin, bien que cette transition soit technique, elle reste une opportunité : la migration vers Graph apporte généralement des avantages en matière de sécurité (gestion plus fine des permis, soutien aux normes OAuth modernes), de maintenance (une API unique pour de nombreux services) et de possibilités fonctionnelles (intégration plus directe avec les équipes, OneDrive et autres services Microsoft 365). Si votre organisation dépend toujours d'EWS sur Exchange Online, il est approprié de traiter le calendrier Microsoft comme une vraie date limite et activer les ressources pour la migration à l'avance.
Pour plus de détails et l'image officielle, consultez l'entrée de l'équipe Exchange dans la TechCommunity de Microsoft et le guide de migration Microsoft Graphh:
Annonce de l'équipe d'échange et Guide de migration EWS vers Microsoft Graphh.
En résumé: EWS for Exchange Online a la date d'expiration du cloud: il prépare l'inventaire, priorise la migration et utilise la fenêtre de gestion que Microsoft offre pour éviter les impacts quand Octobre 2026 et, certainement, Avril 2027.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...