Microsoft a corrigé une vulnérabilité d'Entra ID permettant l'usurpation d'identité d'administrateur global.

Microsoft a corrigé une vulnérabilité de sécurité critique dans Azure Entra ID, identifiée comme CVE-2025-55241 , initialement décrite comme un bug d'élévation de privilèges à faible impact. Des recherches en sécurité ont ensuite révélé que la faille était bien plus grave, permettant aux attaquants d'usurper l'identité de n'importe quel utilisateur, y compris les administrateurs généraux.

La vulnérabilité a été initialement identifiée par le chercheur en cybersécurité Dirk-Jan Mollema lors de la préparation des présentations Black Hat et DEF CON en début d'année. Ses conclusions ont montré que des « tokens d'acteur » non documentés, associés à une erreur de validation dans l'API Azure AD Graph héritée, pouvaient être exploités pour usurper l'identité de n'importe quel utilisateur de n'importe quel locataire Entra ID, même d'un administrateur général.

Cela signifiait qu'un jeton généré dans un locataire de laboratoire pouvait accorder un contrôle administratif sur d'autres, sans alertes ni journaux s'il s'agissait uniquement de lire des données, et des traces limitées si des modifications étaient apportées.

La conception des jetons d'acteur, selon Mollema, a aggravé le problème. Ces jetons sont émis pour la communication entre services back-end et contournent les protections de sécurité habituelles comme l'accès conditionnel. Une fois obtenus, ils permettent l'usurpation d'identité pendant 24 heures, sans possibilité de révocation.

Les applications Microsoft pourraient les générer avec des droits d'emprunt d'identité, mais les applications non Microsoft se verraient refuser ce privilège. L'API Azure AD Graph étant dépourvue de journalisation, les administrateurs ne voyaient pas quand les attaquants accédaient aux données utilisateur, aux groupes, aux rôles, aux paramètres du locataire, aux principaux de service, aux clés BitLocker, aux stratégies, etc.

Dans son article de blog technique détaillé, Mollema a démontré que l'usurpation d'identité fonctionnait entre les locataires, car l'API Azure AD Graph ne parvenait pas à valider le locataire d'origine du jeton. En modifiant l'ID du locataire et en ciblant un identifiant d'utilisateur connu (netId), il pouvait passer de son propre locataire à n'importe quel autre.

Avec un identifiant réseau valide d'administrateur global, la porte s'ouvrait à une prise de contrôle totale de Microsoft 365, des abonnements Azure et des services connectés. Pire encore, les identifiants réseau pouvaient être rapidement récupérés par force brute ou, dans certains cas, récupérés à partir des attributs de comptes invités lors de collaborations inter-locataires.

Microsoft a déployé un correctif global le 17 juillet, trois jours seulement après le signalement initial, et a ensuite ajouté des mesures d'atténuation supplémentaires empêchant les applications de demander des jetons Actor pour Azure AD Graph. L'entreprise a déclaré n'avoir détecté aucune preuve d'exploitation dans sa télémétrie interne. Le 4 septembre, la vulnérabilité a été officiellement cataloguée sous la référence CVE-2025-55241.

Les professionnels de la sécurité estiment toutefois que ce problème met en lumière des préoccupations plus larges quant à la confiance dans les systèmes d'identité cloud. Anders Askasan , directeur produit chez Radiant Logic, a déclaré : « Cet incident montre comment des caractéristiques d'identité non documentées peuvent discrètement contourner le Zero Trust . »

« Les jetons d'acteur ont créé une porte dérobée invisible, sans politiques, sans journaux, sans visibilité, sapant ainsi le fondement même de la confiance dans le cloud. Le constat est clair : les correctifs a posteriori des fournisseurs ne suffisent tout simplement pas », a-t-il ajouté.

« Pour réduire le risque systémique, les entreprises ont besoin d'une observabilité indépendante de l'ensemble de leur infrastructure identitaire, en corrélant en permanence les comptes, les droits et les politiques » , a-t-il conseillé. « Les organisations ont besoin d'une vue fiable et indépendante des fournisseurs de leurs données et contrôles d'identité, afin de pouvoir valider en temps réel et agir avant qu'une intrusion malveillante ne dégénère en une faille quasi impossible à débloquer. »