Une faille de sécurité majeure dans Microsoft Entra ID, anciennement Azure Active Directory, a récemment été corrigée après qu’elle ait permis à des attaquants de potentiellement usurper l’identité de n’importe quel utilisateur, y compris les administrateurs globaux, dans n’importe quel tenant. Cette vulnérabilité, référencée sous le code CVE-2025-55241 avec un score CVSS critique de 10.0, soulève d’importantes questions en matière de gestion d’identités et de sécurité cloud. Les professionnels à la recherche d’informations autour d’une exploitation de failles Azure, d’attaque d’Entra ID ou de vulnérabilités Zero-Day dans Microsoft chercheront probablement à en savoir plus sur ce danger potentiel.
Faille Entra ID CVE-2025-55241 : une élévation de privilèges jamais vue
Un défaut de validation des jetons d’accès
La faille repose sur la mauvaise gestion des jetons de type S2S (service-to-service) émis par Access Control Service, combinée à un ancien API Azure AD Graph (graph.windows.net) déprécié depuis, qui ne validait pas correctement la provenance du tenant source. Résultat : un attaquant pouvait utiliser ces jetons pour usurper l’identité d’un administrateur global dans n’importe quel tenant sans restriction.
Impact potentiel sur l’infrastructure cloud
En compromettant un administrateur global, un cybercriminel pouvait créer des comptes, modifier les permissions, exfiltrer des données sensibles et accéder à l’ensemble des services authentifiés via Entra ID, incluant SharePoint Online et Exchange Online. Cela ouvrait également un accès complet aux ressources hébergées dans Azure, en particulier parce que les droits sur les abonnements Azure peuvent être attribués par ces mêmes administrateurs.
Une vulnérabilité invisible pour les systèmes de sécurité
Contournement du MFA et absence de journaux
Selon l’entreprise de cybersécurité cloud Mitiga, cette vulnérabilité pouvait bypasser le MFA (authentification multifacteur), les politiques d’accès conditionnel ainsi que la journalisation de sécurité. Cette absence de trace rendait extrêmement difficile toute détection après exploitation réussie. L’attaquant n’avait même pas besoin d’accès préalable à l’organisation ciblée pour lancer l’attaque.
Dépréciation de l’API Graph et obligation de migration
Microsoft a officiellement retiré l’API Azure AD Graph en août 2025, forçant les clients à migrer vers Microsoft Graph. Les applications dépendant encore de cette ancienne API perdront toute fonctionnalité dès septembre 2025. Cela souligne l’importance de mettre à jour son infrastructure pour éviter les failles liées aux composants obsolètes.
La menace croissante des failles cloud chez Microsoft
Multiplication des attaques transversales sur les environnements cloud
Cette faille n’est pas un cas isolé. Des chercheurs ont récemment identifié d’autres failles dans l’écosystème Microsoft Cloud : une mauvaise configuration OAuth dans Entra ID, des abus possibles via OneDrive Known Folder Move, ou encore la fuite accidentelle de fichiers appsettings.json contenant des identifiants Azure AD sensibles.
Des scénarios d’attaque avancés sur Azure et AWS
L’écosystème cloud en général est sous pression. Du côté AWS, des failles exploitables via des techniques comme l’injection AccessKey, SSRF sur EC2 ou la manipulation de politiques IAM permettent d’exfiltrer des données sans déclencher d’alertes. Des méthodes comme la persistance via Lambda ou la désactivation de CloudTrail montrent une montée en puissance des attaquants dans leur capacité à se camoufler dans les environnements cloud modernes.
Se former pour mieux se protéger des attaques sur Entra ID
Apprendre à hacker pour comprendre l’ennemi
Comprendre la manière dont ces attaques sont conçues et déployées est une compétence indispensable pour les professionnels en cybersécurité. Pour cela, la lecture de notre livre pour hacker permet d’explorer les mécaniques d’intrusion utilisées dans les environnements Cloud comme Azure ou AWS, ainsi que leur détection et leur prévention. Ce guide est particulièrement adapté pour ceux qui souhaitent apprendre à hacker de façon légale et sécurisée afin de renforcer leurs infrastructures.
Ces problématiques démontrent l’importance de mettre en place un accompagnement sur-mesure : chez CyberCare, nos services de cybersécurité cloud accompagnent les professionnels dans la sécurisation proactive de leurs environnements Microsoft, Azure et AWS.
