22 Sep
Microsoft a récemment corrigé une vulnérabilité critique identifiée dans son service Entra ID, anciennement connu sous le nom d’Azure Active Directory. Ce défaut de validation des jetons aurait permis à des attaquants de se faire passer pour n’importe quel utilisateur ou même des administrateurs globaux, compromettant potentiellement les tenants mondiaux.
Une vulnérabilité d’escalade critique
La faille, référencée sous l’identifiant CVE-2025-55241, a reçu un score CVSS maximal de 10.0, soulignant sa gravité. En cas d’exploitation, cette vulnérabilité aurait permis à un attaquant de modifier les permissions, exfiltrer des données sensibles, ou encore créer de nouveaux comptes avec des privilèges étendus. De telles actions compromettent la sécurité des entreprises dépendant de services comme SharePoint Online et Exchange Online.
Origine du problème
Cette vulnérabilité a été découverte par le chercheur en sécurité Dirk-jan Mollema. Elle s’appuyait sur des tokens S2S (service-to-service) émis par le service Access Control (ACS) combinés à une faille dans l’ancienne API Azure AD Graph. Cette combinaison permettait aux attaquants d’opérer un accès inter-tenant non autorisé, sans vérifications suffisantes de la provenance des tokens.
Impact potentiel et mesures de sécurité
Cette faille illustre les dangers importants liés aux API non surveillées, car elle permettait des attaques sans laisser de traces dans les journaux API. Le vol de données, la compromission d’informations critiques comme des clés BitLocker, et une attaque multi-niveaux menaçaient ainsi des millions d’utilisateurs professionnels.
Mesures immédiates prises par Microsoft
Microsoft a rapidement réagi en corrigeant cette vulnérabilité le 17 juillet 2025. Aucune action client n’était requise, un soulagement pour de nombreuses entreprises utilisant Entra ID dans leurs opérations quotidiennes.
Vers une transition sécurisée
La firme a également accéléré la dépréciation de son API Azure AD Graph, prévue pour fin août 2025, en exhortant les entreprises à passer vers Microsoft Graph, plus robuste et sécurisé. Des erreurs d’implémentation dans des API obsolètes transmises lors des développements augmentent souvent les risques cyber.
Rappel sur la configuration sécurisée des environnements cloud
Les services cloud deviennent une cible de choix. Dans cet exemple, des erreurs combinant configurations héritées et API non sécurisées ont démontré des vulnérabilités systémiques. Une approche proactive dans la gestion des identités est essentielle pour limiter l’exposition.
Synthèse et solutions alternatives : pourquoi collaborer avec My Own Detective ?
Chez Lynx Intel, nous analysons non seulement les vulnérabilités comme celle d’Entra ID mais aussi d’autres vecteurs critiques dans votre architecture de cloud. Contactez-nous pour une évaluation approfondie de sécurité et explorez nos outils d’intelligence économique pour garder une longueur d’avance.
