picto_social_insta picto-fb picto-linkedin
Contactez-nous Assistance client
picto_social_insta picto-fb picto-linkedin

Une faille de sécurité historique sur Microsoft Entra ID !

Dessin d'un hacker devant un ordinateur.
Dessin d'un hacher devant un écran d'ordinateur, faisant allusion à la faille Microsoft Entra ID.
© grafvision / YaYimages

En juin 2025, des spécialistes en cybersécurité découvraient une grave faille de sécurité au sein de Microsoft Entra ID. Si elle a été patchée par la firme américaine, des doutes subsistent parmi les experts. Ozérim fait le point sur la situation.

Microsoft fait une fois de plus face à de gros soucis de fiabilité de la part de ses services dans le cloud.

Entra ID (anciennement Azure Active Directory) est un service de gestion des répertoires et des identités basé sur le cloud.

Ce service propose notamment des méthodes d’authentification multifacteur (MFA), des fonctions de sécurité et de protection de l’identité.

C’est tout ce système qui s’est retrouvé compromis suite à la découverte d’une grave vulnérabilité, détectée par le cabinet de conseil en sécurité Outsider Security.

Microsoft Entra ID victime d’une grave faille de sécurité détectée en juin 2025

Les faits débutent en juin 2025.

C’est Dirk-Jan Mollema, chercheur en sécurité informatique, qui découvre cette vulnérabilité au sein d’Entra ID.

Une faille critique, classée 10/10 sur l’échelle CVSS, depuis diminuée à 8.7 après l’intervention de Microsoft.

Celle-ci est nommée CVE‑2025‑55241.

Mais comment tout cela est-il arrivé ?

Grâce à l’action de deux problèmes au sein du service Entra ID :

  • Un ancien service nommé « Access Control Service » générait des actor tokens (des jetons d’authentification internes) non signés et non documentés, valables 24 h ;
  • L’API Azure AD Graph, de son côté, ne validait pas le tenant d’origine des jetons.

En résumé, un attaquant pouvait générer un actor token dans son environnement et le modifier pour cibler n’importe quel utilisateur au sein de n’importe quelle organisation, en se faisant par exemple passer pour un administrateur global.

Il en résulterait bien entendu de graves problèmes de sécurité, les utilisateurs malveillants ayant dès lors tout pouvoir pour modifier les mots de passe, exfiltrer des données sensibles, changer les privilèges des comptes utilisateurs, etc.

Tout service géré par Entra ID, comme Microsoft 365, Azure, SharePoint ou autre peut potentiellement être affecté.

Microsoft patche la vulnérabilité, mais les inquiétudes subsistent

Les correctifs ont été appliqués par la firme américaine, qui a notamment déprécié l’API Azure AD en août et retiré les actor tokens en suivant.

D’après Microsoft, cette faille au sein d’Entra ID n’a pas été exploitée par les attaquants potentiels.

Les utilisateurs n’ont rien à faire de leur côté, Microsoft ayant réglé le problème avec une mise à jour à l’échelle mondiale.

Dirk-Jan Mollema reste toutefois prudent. Selon lui, ce problème sur Entra ID provient d’un manque de transparence de Microsoft concernant les protocoles utilisés en interne, qui ne sont pas communiqués aux chercheurs externes.

Un point noir qui fait tâche sur l’initiative Secure Future Initiative (SFI), lancée par Microsoft pour un cloud plus sécurisé et transparent…

Sources : ITforBusiness, Developpez.com, TheHackerNews, LeMondeInformatique

logo-ozerim-noir

EXPERT IT DU CLOUD MAÎTRISÉ
Nous prônons la haute technicité, l’indépendance et la souveraineté des données, au service de votre sécurité.

Nos articles récents
Photo d'un nuage stylisé de cloud computing devant une grande ville, faisant référence à Nextcloud
23 octobre 2025
Infos marchés
Nextcloud Hub 25 Autumn : la réponse open source et souveraine face aux GAFAM

Nextcloud Hub 25 Autumn : l'alternative open source pour une collaboration sécurisée. On fait le point sur cette[...]

Lire la suite
Photo d'un smartphone utilisant l'application Proxmox VE 9.0.
24 septembre 2025
Infos marchés
Proxmox VE 9.0 et PBS 4.0 : quelles nouveautés à l’horizon ?

VMware trop cher ? Proxmox VE 9.0 et PBS 4.0 s’imposent comme une alternative open-source crédible, avec snapshots,[...]

Lire la suite
Photo en zoom d'une main branchant un câble sur un routeur Ubiquiti Edgerouter.
24 septembre 2025
Infos marchés
Edgerouter 3.0 : le point sur la mise à jour des routeurs Ubiquiti

Ubiquiti déploie Edgerouter 3.0 : nouvelle interface EdgeOS, support WireGuard VPN et améliorations de sécurité.[...]

Lire la suite
Nos catégories
Tous les articles Actualité de l'entreprise Expertises Infos marchés
Vous avez un projet ? Contactez-nous

À lire également

Photo d'une poignée de main avec en fond des billets de banque, représentant l'achat de Hornetsecurity par Proofpoint.
29 juillet 2025
Infos marchés
Rachat d’Hornetsecurity par Proofpoint : USA 1 – Europe 0

Rachat d’Hornetsecurity par Proofpoint : l'acquisition par une firme américaine marque-t-elle un tournant pour la[...]

Lire la suite
EMC2 Microsoft
13 janvier 2025
Infos marchés
EMC2 : les données de santé des français hébergées chez Microsoft (grâce à la CNIL et au Conseil d’État)

Malgré une levée de boucliers de la part de nombreux acteurs, la CNIL a fait son choix pour l’hébergement de[...]

Lire la suite
Smartphone présentant l'écran de configuration de Skype.
10 juin 2025
Infos marchés
Fin de Skype : quelle alternative choisir pour votre entreprise ?

Le 5 mai 2025, Microsoft a signé la fin de Skype, après vingt-deux ans de bons et loyaux services. Entre immobilisme[...]

Lire la suite
Logo OVH partenaire