Archives September 2025

Une vulnérabilité critique d’Entra ID de Microsoft : risques et enseignements

Microsoft a corrigé en juillet 2025 une faille de sécurité majeure dans Entra ID (anciennement Azure AD) — identifiée sous le nom CVE-2025-55241 — qui aurait permis à un attaquant de prendre le contrôle total de n’importe quel tenant (client) dans le cloud Microsoft. Voici ce qu’il faut savoir, et ce qu’on peut tirer comme leçons.

Ce que permettait la faille

  1. Authentification interne détournée
    Un mécanisme interne appelé Actor Token — normalement non documenté et utilisé par les services Microsoft pour des communications entre composants — était exploité. Ces jetons ne subissent pas les contrôles de sécurité habituels (par exemple les règles d’accès conditionnel).

  2. Faille dans l’API Azure AD Graph
    L’autre maillon faible est une erreur de validation dans l’API Azure AD Graph. L’API ne vérifiait pas si le jeton Actor provenait du tenant sur lequel il était censé opérer. En conséquence, un jeton généré dans un tenant de test ou de l’attaquant pouvait être utilisé pour cibler un autre tenant.

  3. Impersonation et droits administratifs
    Grâce à cette combinaison, un attaquant pouvait se faire passer pour un Global Administrator d’un tenant externe. Il aurait pu modifier des réglages, créer ou assumer des identités, changer des permissions, etc. Tous les services liés à Microsoft 365 (Exchange, SharePoint…) ainsi que les ressources hébergées sur Azure étaient concernés.

  4. Absence de trace visible
    L’un des aspects les plus dangereux de cette vulnérabilité était sa discrétion : les accès en lecture — extraction de données sensibles, configurations, clés de récupération BitLocker, etc. — ne laissaient quasiment aucun log ou alerte visible dans le tenant ciblé.
    En revanche, toute modification (par exemple attribuer un nouveau compte administrateur) générait un log, mais sous un nom d’utilisateur impersonné, rendant la détection très compliquée pour quelqu’un qui ne sait pas exactement ce qu’il doit chercher.

️ Réponse de Microsoft

  • Le problème a été signalé par le chercheur Dirk-Jan Mollema début juillet, et Microsoft a reconnu sa gravité.

  • Un correctif a été déployé dans les jours qui ont suivi (mi-juillet 2025), visant à empêcher l’émission ou l’utilisation de ces jetons Actor via l’API vulnérable.

  • Microsoft a aussi fourni des règles de détection (dont une règle KQL) pour que les organisations puissent vérifier si leur environnement a pu être compromis.

⚠️ Implications pour les entreprises

  • Risques très élevés : une attaque réussie permettait un accès très large, potentiellement complet, avec des conséquences graves (perte de données, compromission des identités, modifications illégitimes de configurations, etc.).

  • Détection compliquée : les logs peuvent être trompeurs, les actions masquer l’identité de l’attaquant sous les traits d’un service Microsoft — cela nécessite une connaissance précise du fonctionnement interne pour surveiller efficacement.

  • Importance de la réponse rapide : Microsoft a réagi vite, mais cette vulnérabilité illustre que même les grandes plateformes cloud peuvent comporter des failles critiques dans des composants internes ou anciens.

Leçons à retenir & bonnes pratiques

  1. Auditer régulièrement les API et mécanismes internes, en particulier ceux qui échappent aux politiques de sécurité standards (accès conditionnel, MFA, etc.).

  2. Surveillance renforcée : configurer des alertes basées sur des modèles d’attaque inhabituels (par exemple, des identifiants internes ou impersonations). Utiliser les outils de détection (audit, logs, KQL, etc.).

  3. Minimiser les privilèges : ne pas donner de droits Global Admins ou équivalents, sauf lorsqu’absolument nécessaire, et toujours surveiller l’usage de ces comptes.

  4. Assurer une réponse rapide aux vulnérabilités : mise à jour, patching, communication, vérification de l’impact potentiel dans son propre environnement.

Vous voulez tester la solidité de vos défenses Microsoft 365 ?
Nous organisons des simulations réalistes d’attaque. Mieux vaut que ce soit nous qui entrions par la porte… que les autres.

Contactez-nous avant qu’un attaquant ne devienne “Global Admin” à votre place !

Les 4 erreurs à ne jamais commettre en cybersécurité (et comment les éviter)

En matière de cybersécurité, ce ne sont pas toujours les hackers ultra-sophistiqués ou les attaques complexes qui mettent une entreprise en danger. Bien souvent, ce sont les gestes simples du quotidien qui ouvrent la porte aux menaces.

D’après une étude de Verizon, 82 % des incidents de sécurité impliquent une erreur humaine. Bonne nouvelle : ces erreurs peuvent être évitées en appliquant quelques règles de base.

Voici les 4 erreurs fatales à éviter absolument :

1. Cliquer sur un lien d’un e-mail inconnu

Les e-mails frauduleux sont de plus en plus réalistes faisant du phishing l’attaque la plus répandue. Les pirates exploitent la curiosité ou la peur pour pousser à cliquer. Un seul clic peut suffire pour installer un logiciel malveillant ou donner accès à vos données sensibles.

Résultat : vol etde données, rançongiciels, pertes financières.

Réflexe à adopter : vérifiez toujours l’adresse de l’expéditeur et ne jamais cliquer sans être sûr de la source.

2. Partager son mot de passe

Votre mot de passe est comme votre brosse à dents : personnel et non transférable. Même une personne de confiance peut, sans le vouloir, devenir une faille de sécurité.

Réflexe à adopter : utilisez un gestionnaire de mots de passe, activez l’authentification à deux facteurs et gardez vos identifiants strictement personnels.

3. Transférer un e-mail suspect

Transmettre un mail douteux à un collègue “pour avis” ou à son directeur IT peut propager le danger. Il vaut mieux l’appeler pour venir voir sur place car si un message douteux circule d’une boîte mail à une autre, cela multiplie les risques.

Réflexe à adopter : signalez immédiatement le mail à votre service IT ou à votre prestataire sécurité en lui demandant de venir vérifier.

4. Utiliser sa date d’anniversaire comme mot de passe

Les hackers adorent les mots de passe faibles. Une date de naissance ou “123456”, c’est comme laisser la porte grande ouverte car ils savent où trouver ces informations (réseaux sociaux, annuaires, etc.). Et devinez quoi ? C’est souvent la première chose qu’ils testent.

Réflexe à adopter : créez des mots de passe longs, complexes et uniques.

Pourquoi c’est crucial être conscient de ces 4 erreurs ?

Parce qu’aujourd’hui, 1 cyberattaque sur 5 est liée à une erreur humaine. Et parce qu’une seule négligence peut coûter :

  • des milliers d’euros,

  • la confiance de vos clients,

  • et parfois la survie de votre entreprise.

Non, la sécurité informatique n’est pas qu’une affaire de technologie : elle dépend aussi (beaucoup) des comportements humains.

Si vous souhaitez sensibiliser vos équipes, organiser une formation, réduire vos risques, enforcer vos pratiques de cybersécurité et transformer vos collaborateurs en première ligne de défense, contactez-nous dès aujourd’hui. Ensemble, faisons en sorte que le maillon le plus faible devienne… votre meilleure défense. Contactez nous maintenant, avant qu’il soit trop tard.