Entra ID - Prendre le contrôle de n’importe quel tenant Microsoft

Entra ID : cette vulnérabilité permettait de prendre le contrôle de n’importe quel tenant !

22/09/2025 Florian BURNEL 2 commentaires Cybersécurité, Microsoft, Vulnérabilité

Prendre le contrôle de n'importe quel tenant Entra ID, voici l'ampleur de la découverte d'un chercheur en sécurité ! Cette technique s'appuie sur l'utilisation de "jetons d'acteur" internes et l'exploitation d'une vulnérabilité dans l'API Azure AD Graph. Voici ce que l'on sait.

Sommaire

Un accès illimité aux tenants Entra ID
Ce dont vous avez besoin : le tenant ID et le netId d'un utilisateur
Comment se protéger ?

Un accès illimité aux tenants Entra ID

Le chercheur en sécurité Dirk-jan Mollema a publié un nouvel article de blog pour évoquer un grave problème de sécurité découvert dans Microsoft Entra ID. Pour rappel, Entra ID, anciennement Azure AD, est le service de gestion des identités (IAM) Cloud de chez Microsoft. C'est une porte d'entrée vers les ressources des entreprises, et il est en lien direct avec Microsoft 365.

"Cette vulnérabilité aurait pu me permettre de compromettre tous les tenants d'Entra ID dans le monde (sauf probablement ceux qui sont dans des déploiements nationaux Cloud). Si vous êtes un administrateur d'Entra ID qui lit ceci, oui cela signifie un accès complet à votre tenant.", précise-t-il.

La faille de sécurité, identifiée par le chercheur, est une combinaison de deux éléments :

Des "jetons d'acteur" nommé Actor tokens : il s'agit de jetons d'impersonation internes non documentés, utilisés par Microsoft pour la communication de service à service (S2S). Ces jetons permettent à une application de se faire passer pour un utilisateur dans un tenant spécifique.
Une vulnérabilité dans l'API Azure AD Graph : un problème de validation permet d'utiliser le jeton dans n'importe quel tenant, c'est-à-dire qu'un jeton généré dans un tenant A pouvait être utilisé pour s'authentifier dans un autre tenant B.

Grâce à cette technique, un attaquant pouvait obtenir un Actor Token dans son propre tenant, puis l'utiliser pour usurper l'identité de n'importe quel utilisateur, y compris les administrateurs globaux, dans un autre tenant Entra ID !

"En raison de la nature de ces Actor Tokens, ils ne sont pas soumis à des politiques de sécurité telles que l'accès conditionnel, ce qui signifie qu'aucun paramètre n'aurait pu atténuer ce problème pour des tenants où la configuration a été durcie.", précise le chercheur.

La technique semble particulièrement discrète puisque l'obtention de ces jetons ne génère aucun journal d'audit dans le tenant cible. De son côté, l'API Azure AD Graph, étant une API plus ancienne, elle ne dispose pas d'une journalisation au niveau de l'API : une aubaine pour agir sans laisser de trace.

Ce dont vous avez besoin : le tenant ID et le netId d'un utilisateur

Dans son rapport technique, le chercheur explique comment fonctionne l'exploitation de cette faille. Vous avez besoin de deux informations : l'identifiant du tenant Entra ID, qui est une information publique, donc facilement récupérable, et le netId d'un utilisateur cible. Cette seconde information nécessite quelques manipulations supplémentaires :

Recherche via la technique brute force : les netId sont générés de manière incrémentielle.
Lecture des informations des utilisateurs externes : un attaquant avec un accès à un tenant où des utilisateurs externes sont invités peut simplement lire leur netId et ensuite cibler le tenant d'origine de l'utilisateur.

Dirk-jan Mollema explique qu'un attaquant aurait pu :

Lire toutes les données du tenant, y compris les informations sur les utilisateurs, les groupes, les applications et les clés BitLocker synchronisées dans le Cloud.
Usurper l'identité d'un administrateur global, pour ensuite modifier n'importe quel objet et étendre son accès à d'autres services comme Microsoft 365 ! Idéal également pour créer une porte dérobée sur un tenant.

Comment se protéger ?

Suite à cette découverte, le chercheur en sécurité a rapidement alerté Microsoft. L'entreprise américaine, quant à elle, s'est montrée réactive également. En moins d'une semaine, le problème de sécurité dans l'API a été corrigé, et cette faiblesse a désormais un identifiant : CVE-2025-55241 du 4 septembre 2025. En complément, la firme de Redmond a appliqué des mesures de sécurité supplémentaires pour empêcher l'utilisation des jetons d'acteur avec l'API Azure AD Graph.

Qu'en pensez-vous ?

Source

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Voir la bio complète

2 commentaires sur “Entra ID : cette vulnérabilité permettait de prendre le contrôle de n’importe quel tenant !”

Guylaine

23/09/2025 à 07:20

Merci pour cet article. Et dire qu’il est en cours de dépréciation.
Répondre
Harden AD

23/09/2025 à 09:59

Je ne suis même pas surpris. Quand on voit le niveau de bêtises dans w11 et ws25, on ne peut que conclure à un manque fatal de test sécuritaire et de coordination interne. Je ne serai même pas surpris que ce soit du code généré par IA en partie et non checké…. maintenant, me vient la question qui trotte sûrement dans la tête de pas mal de RSSI et autres DPI : n’était/ce pas intentionnel afin de permettre aux quSA de venir « sniffer » les données de concurrents internationaux ? À méditer…
Répondre