Une vulnérabilité critique identifiée sous le code CVE-2025-55241 vient d’être révélée dans Microsoft Entra ID (anciennement Azure Active Directory). Avec un score CVSS maximal de 10.0, cette faille représentait un risque sans précédent, permettant à un attaquant d’usurper l’identité de n’importe quel utilisateur, y compris les administrateurs globaux, dans n’importe quel tenant.
Un risque d’attaque mondiale sur Entra ID
D’après le chercheur en cybersécurité Dirk-jan Mollema, qui a découvert la faille, celle-ci aurait permis de compromettre potentiellement tous les tenants Entra ID à travers le monde, à l’exception probable des environnements nationaux spécifiques. Signalée le 14 juillet 2025, la faille a été corrigée par Microsoft le 17 juillet 2025, sans nécessiter d’action de la part des clients.
Origine technique de la vulnérabilité
La faille provenait de la combinaison de deux composants :
- l’utilisation des tokens “actor” service-to-service (S2S) délivrés par l’Access Control Service (ACS),
- un défaut de validation dans l’ancienne API Azure AD Graph (graph.windows.net), qui ne vérifiait pas correctement l’origine du tenant.
Ce mécanisme rendait possible une usurpation inter-tenant, donnant accès à des informations sensibles telles que :
- données utilisateurs stockées dans Entra ID,
- groupes, rôles et paramètres du tenant,
- permissions d’applications,
- informations sur les appareils et clés BitLocker.
Impact potentiel : un contrôle total sur Azure et Microsoft 365
Une exploitation réussie aurait permis à un attaquant de s’approprier les privilèges d’un administrateur global. Concrètement, cela ouvrait la voie à :
- la création de nouveaux comptes avec droits élevés,
- la modification des permissions existantes,
- l’exfiltration de données sensibles,
- le contrôle total d’un tenant et de ses services associés (SharePoint Online, Exchange Online, ressources Azure, etc.).
Comme l’explique Mollema, un tel accès aurait offert à l’attaquant la possibilité d’obtenir des droits étendus sur les abonnements Azure, compromettant ainsi toutes les ressources hébergées.
Un problème aggravé par l’absence de traces
La gravité de cette faille est amplifiée par deux facteurs :
- les tokens “actor” étaient soumis aux politiques de Conditional Access, mais pouvaient être manipulés,
- l’absence de journalisation au niveau de l’API Azure AD Graph, rendant toute exploitation invisible pour les administrateurs.
Selon Mitiga, un acteur malveillant pouvait générer ces tokens depuis son propre environnement de test sans aucun accès préalable au tenant cible, puis les utiliser pour usurper l’identité d’un Global Admin ailleurs. Le tout sans déclencher MFA, sans alerte et sans traces dans les logs.
Microsoft déprécie Azure AD Graph API
Cette découverte survient alors que Microsoft a officiellement retiré l’API Azure AD Graph depuis le 31 août 2025. Annoncée dès 2019, cette dépréciation oblige les utilisateurs à migrer vers Microsoft Graph. À compter de septembre 2025, toute application utilisant encore l’ancienne API cessera de fonctionner.
Contexte plus large des menaces cloud
Cette faille n’est pas un cas isolé. Ces dernières semaines, plusieurs vulnérabilités critiques et mauvais paramétrages cloud ont été signalés :
- un bug dans Exchange Server (CVE-2025-53786) permettant une élévation de privilèges,
- des mauvais réglages Intune exploitables pour des attaques ESC1,
- une mauvaise configuration OAuth dans Entra ID exposant 22 services internes de Microsoft,
- des clés Azure AD exposées publiquement dans des fichiers appsettings.json,
- des attaques SSRF exploitant les métadonnées AWS EC2 pour accéder à des rôles IAM,
- des techniques persistantes sur AWS via modification des rôles et politiques IAM.
Ces découvertes soulignent une tendance inquiétante : les failles cloud, qu’elles soient dues à des vulnérabilités logicielles ou à des erreurs de configuration, représentent une surface d’attaque critique pouvant mener à des compromissions globales.
Conclusion
La vulnérabilité CVE-2025-55241 illustre les dangers liés à l’exploitation de services cloud dépréciés et mal sécurisés. Même si Microsoft a rapidement corrigé le problème, cette affaire rappelle l’importance de :
- migrer vers les API modernes et supportées,
- renforcer les politiques de sécurité et de journalisation,
- surveiller activement les environnements cloud face aux attaques inter-tenant.
Dans un contexte où le cloud est devenu le socle des infrastructures IT, une faille telle que celle-ci démontre qu’un défaut unique peut mettre en péril des millions d’organisations.