Une note de 10 sur 10 en matière de sévérité. C'est le score attribué à la CVE-2026-35431, découverte dans Microsoft Entra ID et publiée le 23 avril 2026. Ce score maximal est rare — il signale une menace capable de compromettre un environnement entier sans que l'attaquant ait besoin du moindre compte valide chez vous.

Si votre entreprise utilise Microsoft 365, cette vulnérabilité vous concerne directement.

C'est quoi cette vulnérabilité ?

La faille touche le module Entitlement Management de Microsoft Entra ID — l'outil qui permet de gérer les accès des utilisateurs aux ressources de l'entreprise (applications, groupes, sites SharePoint, etc.).

La technique exploitée s'appelle le SSRF (Server-Side Request Forgery), ou en français : falsification de requête côté serveur. Concrètement, un attaquant peut forcer les serveurs de Microsoft à effectuer des requêtes réseau à sa place, comme s'il était un système de confiance à l'intérieur de votre infrastructure.

Imaginez qu'un inconnu puisse sonner à votre interphone depuis l'extérieur, mais que votre gardien — pensant que la demande vient de l'intérieur de l'immeuble — ouvre la porte automatiquement.

Ce qui rend cette CVE particulièrement dangereuse : aucun compte n'est nécessaire. L'attaquant peut agir depuis Internet, sans s'authentifier au préalable.

Risque concret pour une PME

Pour une petite ou moyenne entreprise qui s'appuie sur Microsoft 365, les conséquences potentielles sont sérieuses :