Fausse sécurité : une vulnérabilité Entra ID permet de compromettre les locataires mondiaux
2025-09-18
Une vulnérabilité critique dans Microsoft Entra ID permet aux attaquants de compromettre pratiquement tous les locataires à l'échelle mondiale (à l'exception des déploiements de cloud national). Des jetons « Actor » non documentés et une faille dans l'API Azure AD Graph permettent un accès total. Les attaquants peuvent utiliser la force brute ou exploiter les relations d'approbation B2B pour obtenir le netId d'un utilisateur, usurper l'identité des administrateurs et obtenir un contrôle total, accéder aux données sensibles et modifier les paramètres. Aucun prérequis n'est nécessaire. Microsoft a corrigé la vulnérabilité (CVE-2025-55241), soulignant les risques inhérents à la conception des jetons Actor.
Lire plus
Technologie