Une faille de sécurité dans Entra ID corrigée par Microsoft

Un chercheur en sécurité néerlandais a récemment identifié une vulnérabilité majeure dans le service cloud Entra ID de Microsoft. Cette faille aurait pu permettre aux cybercriminels de prendre le contrôle total des systèmes concernés. Heureusement, Microsoft a rapidement réagi en déployant un correctif à l’échelle mondiale. Cet article explore les détails de cette vulnérabilité et les mesures prises pour sécuriser les services cloud.

Les 3 points clés à retenir

• Une vulnérabilité critique dans Entra ID a été découverte par le chercheur Dirk-Jan Mollema.
• La faille impliquait une mauvaise gestion des jetons Actor au sein de l’interface Azure AD Graph.
• Microsoft a résolu la vulnérabilité en seulement trois jours, sans qu’elle ne soit exploitée.

Découverte de la vulnérabilité dans Entra ID

Dirk-Jan Mollema, un chercheur en sécurité, a découvert une vulnérabilité significative dans Entra ID, un service cloud de Microsoft. Cette faille, désignée par CVE-2025-55241, permettait potentiellement aux cybercriminels de prendre le contrôle complet des tenants Entra ID à l’échelle mondiale. En exploitant cette vulnérabilité, un attaquant aurait pu créer de nouveaux comptes, accorder des droits et accéder aux services Microsoft 365 des autres tenants.

Origine du problème : les jetons Actor

La vulnérabilité provenait d’une mauvaise gestion des jetons Actor, utilisés par les services Microsoft pour exécuter des actions au nom d’un utilisateur. Ces jetons, qui ne devraient pas être utilisés à l’extérieur, n’étaient pas suffisamment sécurisés en raison d’une interface de programmation obsolète, Azure AD Graph. Cela offrait aux attaquants la possibilité d’utiliser leurs propres jetons pour s’infiltrer dans d’autres tenants et obtenir des droits d’administrateur.

Réaction rapide de Microsoft

La faille a été signalée à Microsoft le 14 juillet, et un correctif a été déployé à l’échelle mondiale trois jours plus tard. Microsoft a affirmé qu’il n’y avait aucune indication que cette vulnérabilité ait été exploitée activement. De plus, des mesures de sécurité supplémentaires ont été mises en place début août, notamment le blocage des demandes de jetons Actor pour l’API Azure AD Graph et une validation renforcée des ID de tenant.

Microsoft et la sécurité de ses services cloud

Microsoft, fondée en 1975 par Bill Gates et Paul Allen, est un leader mondial dans le domaine de la technologie, notamment dans les services cloud. Entra ID fait partie de l’offre cloud de Microsoft, visant à fournir une gestion sécurisée des identités et des accès. La société a constamment investi dans la sécurité de ses produits, démontrant sa capacité à répondre rapidement aux menaces potentielles et à protéger ses utilisateurs.