La note est sans appel : 10 sur 10. C'est le score CVSS attribué à la CVE-2026-42901, publiée le 21 mai 2026 par Microsoft. Une faille de cette gravité maximale dans Microsoft Entra ID — le système d'identité au cœur de tous vos services Microsoft 365 — mérite une attention immédiate, même si vous n'êtes pas expert en cybersécurité.
Ce que fait cette faille concrètement
La vulnérabilité est qualifiée d'"Origin validation error", ce qui signifie qu'Entra ID ne vérifie pas correctement l'origine de certaines requêtes réseau. En clair : un attaquant qui n'a aucun compte, aucun accès légitime à votre organisation peut exploiter cette erreur pour s'octroyer des privilèges élevés — potentiellement ceux d'un administrateur global — sur votre tenant Microsoft 365.
Il n'a pas besoin de voler un mot de passe. Il n'a pas besoin de contourner votre MFA. Il lui suffit d'envoyer les bonnes requêtes réseau vers les services Entra ID exposés sur Internet.
Pourquoi les PME sont particulièrement exposées
Pour une grande entreprise avec une équipe sécurité dédiée, une faille comme celle-ci déclenche immédiatement une cellule de crise. Pour une PME, le risque est souvent découvert trop tard.
Voici ce qu'un attaquant peut faire une fois administrateur de votre tenant :
- Accéder à tous vos emails (Exchange Online), y compris ceux de votre dirigeant ou de votre comptabilité
- Exfiltrer tous vos fichiers SharePoint et OneDrive
- Créer de nouveaux comptes administrateurs discrets pour maintenir un accès persistant
- Désactiver vos alertes de sécurité et effacer les journaux d'audit
- Déployer des applications malveillantes dans votre environnement Microsoft 365
- **Prendre le contrôle de vos dom