22 Sep
Dans un récent développement qui attire l’attention de la communauté mondiale de la cybersécurité, Microsoft a corrigé une vulnérabilité critique liée à Entra ID, anciennement connu sous le nom de Azure Active Directory. Ce correctif vise une faille majeure de validation des jetons qui aurait pu offrir aux attaquants la possibilité d’usurper l’identité de n’importe quel utilisateur, y compris les administrateurs globaux, dans n’importe quel locataire.
Une faille de sécurité notée 10.0 sur l’échelle CVSS
La vulnérabilité, référencée sous le code CVE-2025-55241, possède une note CVSS parfaite de 10.0, signifiant sa gravité extrême. Relevée par le chercheur en sécurité Dirk-Jan Mollema, cette faille aurait pu compromettre la sécurité de l’ensemble des locataires Entra ID dans le monde. Heureusement, aucune exploitation dans la nature n’a été signalée, et Microsoft a réagi rapidement en corrigeant la vulnérabilité le 17 juillet 2025.
Problèmes de validation et API obsolètes
A l’origine de cette faille se trouvent deux points critiques : l’utilisation de jetons de service à service (S2S) émises par le Service de Contrôle d’Accès, et un dysfonctionnement de l’ancienne API Azure AD Graph, qui n’a pas validé correctement les locataires à l’origine des jetons. Cette lacune permettait d’utiliser les jetons pour accéder de manière croisée à des locataires.
L’absence de journaux au niveau de l’API renforçait la gravité du problème. Les attaquants pouvaient accéder aux données des utilisateurs, aux détails des rôles et permissions, et même exfiltrer des données sensibles sans laisser de traces.
Conséquences d’une compromission totale
L’usurpation d’identité d’un administrateur global pourrait permettre à un attaquant de créer de nouveaux comptes administrateurs, s’octroyer des permissions étendues, ou même voler des données vitales. Les services basés sur Entra ID, tels qu’Exchange Online et SharePoint Online, auraient également été exposés à des compromis complets.
La réponse de Microsoft et les retombées
Microsoft a qualifié ces accès croisés entre locataires comme des cas “d’accès hautement privilégié”. Cela soulève des questions sur l’utilisation continue d’API obsolètes, comme l’API Azure AD Graph, officiellement mise à la retraite le 31 août 2025.
Leçons pour sécuriser le cloud
Cette affaire rappelle l’importance de surveiller et de corriger les dépendances obsolètes dans les écosystèmes cloud. Les organisations doivent migrer vers des API modernes, comme Microsoft Graph, pour réduire les risques. En sécurisant correctement leurs environnements cloud, elles peuvent éviter des conséquences potentiellement catastrophiques.
La vulnérabilité CVE-2025-55241 nous rappelle que même les petites lacunes de configuration peuvent avoir des répercussions majeures. Avec la montée des attaques liées au cloud, il est impératif pour les entreprises de renforcer leur posture de sécurité et de s’assurer que leurs politiques d’accès et leur journalisation sont optimales.
Comment My Own Detective peut vous aider
Pour répondre à ces enjeux complexes, notre service My Own Detective propose des analyses de vulnérabilités approfondies et un suivi stratégique pour sécuriser vos environnements cloud. Contactez-nous dès aujourd’hui pour une consultation personnalisée et découvrez comment protéger efficacement vos données.
