CVE-2026-40379 : quand Entra ID permet à n'importe qui de se faire passer pour vous

Ce qui s'est passé

En mai 2026, Microsoft a divulgué la CVE-2026-40379, une vulnérabilité de type usurpation d'identité (spoofing) dans Azure Entra ID — le système d'authentification central de Microsoft 365. Son score CVSS est de 9.3 sur 10, classé critique.

La bonne nouvelle : Microsoft a corrigé cette faille directement dans l'infrastructure cloud. Pas de mise à jour à installer sur vos postes ou serveurs. La correction est déployée de façon transparente pour tous les tenants.

La mauvaise nouvelle : une vulnérabilité à 9.3 dans le composant qui gère l'identité de tous vos utilisateurs M365 a existé pendant une durée inconnue. Microsoft ne communique pas sur la fenêtre d'exposition. Des traces peuvent subsister dans vos journaux.

Ce que ça fait concrètement

"Spoofing" dans le contexte d'Entra ID signifie qu'un attaquant peut se faire passer pour un service Microsoft légitime pendant le flux d'authentification. Il n'a pas besoin d'un compte sur votre tenant. Il n'a pas besoin de connaître le mot de passe de votre utilisateur.

Le vecteur CVSS le dit clairement : aucun compte requis, complexité faible, réseau. Seule contrainte : la victime doit interagir — cliquer sur un lien, visiter une page.

En pratique, voici comment une attaque exploitant cette faille se déroule :

L'utilisateur reçoit un email avec un lien vers ce qui ressemble à une page de connexion Microsoft
Il clique, saisit ses credentials, complète son MFA — tout semble normal
En coulisse, l'attaquant intercepte le token de session via la faille de spoofing dans Entra ID
Il utilise ce token pour accéder à Teams, SharePoint, Exchange Online — sans mot de passe, sans MFA

C'est précisément là le danger : le MFA a été complété par l'utilisateur, mais l'attaquant a récupéré la preuve d'identité générée derrière. La session est ouverte. L'accès est complet.

Ce qu'on voit souvent : des entreprises qui pensent être protégées parce qu'elles ont activé le MFA. Une attaque de type token theft contourne le MFA par définition — elle n'essaie pas de passer à travers, elle vole ce qui a été produit après. C'est un vecteur d'attaque en forte croissance sur M365 depuis 2024.

Suis-je concerné ?

Si votre organisation utilise Microsoft 365 — et donc Entra ID — en mai 2026, vous étiez dans la fenêtre d'exposition théorique. La faille est désormais corrigée dans l'infrastructure, mais :

Des attaques peuvent avoir eu lieu avant la correction
Des tokens volés durant cette période peuvent encore être valides si leur durée de vie n'a pas expiré
Des applications tierces peuvent avoir reçu des consentements via des sessions compromises

Le risque résiduel est réel, même si la faille elle-même est corrigée.

Que faire concrètement

Révoquer les sessions actives pour les comptes sensibles. En priorité : les admins globaux, les accès à SharePoint et Exchange. Une révocation force les utilisateurs à se reconnecter, invalidant les tokens en circulation.

Entra admin center → Utilisateurs → sélectionner l'utilisateur → Révoquer les sessions

Activer le Continuous Access Evaluation (CAE). Cette fonctionnalité révoque les tokens en temps réel quand des conditions anormales sont détectées — changement de localisation, compte bloqué, politique modifiée. Sans CAE, un token volé reste valide jusqu'à son expiration naturelle (souvent 24h à 90j).

Entra admin center → Protection → Accès conditionnel → Stratégies → activer CAE dans les paramètres de session

Passer aux méthodes MFA résistantes au phishing. Le SMS, l'appel téléphonique et même Microsoft Authenticator en mode push peuvent être contournés par ce type d'attaque. FIDO2 (clé physique ou passkey) et Windows Hello for Business produisent des credentials liés à l'appareil, non rejouables par un attaquant. Aucun token interceptable.

Réduire la durée de vie des tokens de session. Par défaut, les tokens de session Microsoft 365 peuvent vivre très longtemps. Une politique CA qui force la réévaluation régulière limite la fenêtre d'exploitation en cas de vol.

Entra admin center → Accès conditionnel → Contrôles de session → Fréquence de connexion

Inventorier les consentements OAuth accordés. Si un token compromis a été utilisé pour consentir à une application tierce, cette application conserve un accès autonome à vos données, indépendamment des sessions. À vérifier.

Entra admin center → Applications d'entreprise → Tous les types → filtrer par date de création (mai 2026)

Surveiller les signes d'exploitation

Si vous avez Azure AD P1, vous avez accès aux journaux de connexion. Voici quoi chercher pour la période de mai 2026 :

Connexions depuis des localisations inhabituelles. Un token volé est utilisé depuis la machine de l'attaquant. Si un de vos utilisateurs apparaît connecté depuis un pays où il ne se trouve pas, c'est un signal d'alerte fort.

Entra admin center → Surveillance → Journaux de connexion → filtrer par date + colonne Localisation

Connexions non interactives sur des comptes normalement inactifs. Les tokens volés sont souvent utilisés via des API (accès non interactifs) — l'attaquant n'ouvre pas un navigateur, il appelle directement Graph API.

Activité sur SharePoint ou Exchange depuis des sessions de courte durée. Un accès qui apparaît, lit des données et disparaît en quelques minutes sur un compte qui ne se connecte habituellement pas comme ça mérite d'être investigué.

AuditMS identifie les connexions depuis l'étranger, les sessions non interactives suspectes et les applications OAuth à risque sur votre tenant — en moins de 2 minutes.

Lancer l'audit sur mon tenant