Microsoft corrige l’une des pires failles de l’histoire du cloud

Un jeton magique capable d’ouvrir toutes les portes du cloud : voilà le cauchemar évité de justesse par Microsoft. L’épisode rappelle que lorsqu’un gardien d’identité tombe, c’est toute la forteresse numérique qui chancelle. Décryptage…

Microsoft Entra ID, anciennement Azure Active Directory, est bien plus qu’un simple annuaire d’entreprise : c’est la pierre angulaire de l’authentification pour l’ensemble du cloud et du SaaS Microsoft, mais aussi pour une multitude de services tiers utilisés en entreprise. De Microsoft 365 à Salesforce, Dropbox, SAP ou encore des applications hébergées sur AWS et Google Cloud, Entra ID est au cœur des contrôles d’accès, du Single Sign-On et des politiques de sécurité.

C’est précisément cette position centrale qui rend la faille découverte cet été par le chercheur Dirk‑jan Mollema, mais révélée cette semaine, si alarmante.

Une faille niveau 10 !

Référencée sous le code CVE‑2025‑55241 et notée au maximum de l’échelle CVSS (soit 10 sur 10), elle combinait deux éléments explosifs :

* des “Actor tokens” : des jetons d’authentification internes, non documentés, non signés et valables 24 heures, émis par un ancien service appelé Access Control Service ;

* une vulnérabilité dans l’API Azure AD Graph (désormais dépréciée) qui ne validait pas correctement le tenant d’origine du jeton.

En clair, un attaquant pouvait générer un Actor token depuis son propre environnement, le modifier pour cibler un autre tenant, et l’utiliser pour se faire passer pour n’importe quel utilisateur, y compris un Global Administrator, dans n’importe quelle organisation.

Un seul jeton pour les gouverner tous… et tout casser

« Concrètement, cela signifie qu’avec un token demandé dans mon tenant de laboratoire, je pouvais m’authentifier en tant que n’importe quel utilisateur, y compris les Administrateurs Globaux, dans n’importe quel autre tenant » explique le chercheur.

Oui vous avez bien compris… En termes simples, cette faille permettait à n’importe quel attaquant qui connaissait la technique de se fabriquer un passe‑partout numérique capable d’ouvrir presque toutes les portes protégées par Microsoft Entra ID, que ce soit dans Azure, Microsoft 365 ou dans des services tiers qui s’appuient sur Entra ID pour l’authentification.

Cette élévation de privilèges ouvrait la porte à la création de comptes, la modification de configurations, la réinitialisation de mots de passe ou l’exfiltration de données sensibles, le tout sans laisser de trace dans les journaux du tenant victime. Les politiques de Conditional Access, la multi‑authentification et même les contrôles de journalisation étaient contournés.

La note maximale de dangerosité « 10/10 » n’est clairement pas exagérée ! Et oui, nous l’avons échappé belle !

Des failles aussi critiques sont rarissimes : ici, il s’agissait d’un “jeton pour les gouverner tous”, capable de compromettre potentiellement chaque tenant Entra ID dans le monde, à l’exception des déploiements nationaux isolés (ils ne sont physiquement pas sur les mêmes infrastructures).

Microsoft affirme n’avoir trouvé aucune preuve d’exploitation dans la nature et a corrigé le problème dès la mi‑juillet 2025, avant de publier officiellement l’information ces derniers jours. L’API Azure AD Graph a été retirée fin août et les Actor tokens sont en cours de suppression. La porte dérobée involontaire sur tout l’écosystème Microsoft n’existe désormais plus. Mais on peut se demander comment des pratiques aussi anciennes et désormais bannies du monde Cloud ont pu survivre au cœur d’une infrastructure Microsoft aussi critique ?

 Si le gardien de la porte tombe, que vaut la forteresse ?

Car, au‑delà de l’urgence technique, cet épisode rappelle une vérité inconfortable : le cloud a ses talons d’Achille. Quand un service d’identité centralisé en mode SaaS est vulnérable, c’est l’ensemble de l’écosystème cloud qui vacille. Les dépendances invisibles, les composants hérités et les mécanismes internes non documentés peuvent devenir des points de rupture systémiques. Pour les organisations, cela souligne l’importance de diversifier les architectures (multi‑cloud, hybridation avec l’on‑premise) et de ne pas se reposer aveuglément sur un seul fournisseur, aussi massif soit‑il.

Mais cela rejette également le doute sur les capacités de Microsoft à tenir ses promesses. …notamment celles formulées dans son initiative Secure Future Initiative (SFI), censée incarner un tournant vers une sécurité cloud plus rigoureuse et transparente. La découverte de cette faille critique, issue de mécanismes internes opaques et hérités du passé, montre que des composants fondamentaux de l’infrastructure Azure peuvent encore échapper aux standards modernes de sécurité, de traçabilité et de gouvernance que Microsoft s’est imposée avec SFI.

De quoi soulever chez les RSSI et DSI bien des questions : Microsoft peut-il réellement tenir ses promesses ? Microsoft peut-il garantir la fiabilité de son socle technologique tout en poursuivant son ambition de leadership dans l’identité numérique et les services cloud pour les entreprises ? Combien de portes invisibles restent encore à découvrir chez les grands fournisseurs de cloud ? Et si demain, un acteur malveillant trouvait une faille encore plus profonde… Microsoft serait-il prêt ? Serions-nous prêts ? 

À LIRE AUSSI :

Secu

Microsoft : toujours un max de vulnérabilités malgré l’initiative SFI

Laurent Delattre

30 Avr

À LIRE AUSSI :

Secu

Cybersécurité : Microsoft intensifie ses efforts, mais le chemin reste long

Laurent Delattre

25 Sep

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !