Une importante faille de sécurité a récemment été découverte suite à une mauvaise configuration dans Azure Active Directory de Microsoft. Nous recommandons aux membres HIN de prendre des mesures de protection.
Azure Active Directory de Microsoft (AAD) offre aux administrateurs et aux développeurs une authentification simple des utilisateurs et des fonctions Single Sign On. Il permet également d’authentifier des utilisateurs extérieurs à l’organisation, ce qui peut être très utile pour des applications Web publiques. Toutefois, l’activation de cette «option multi-tenant» peut entraîner des risques de sécurité. Microsoft a été lui-même victime d’une telle attaque, comme le rapporte «heise online». Grâce à des résultats de recherche manipulés dans le moteur de recherche «Bing», un chercheur en sécurité a pu placer ses propres résultats en tête de liste et les doter d’un code malveillant. Il aurait alors pu, par exemple, voler les cookies d’accès de clients Office365 connectés. Microsoft a réagi rapidement et fourni un hotfix.Si vous utilisez AAD dans votre entreprise, nous vous recommandons de lire l’article de blog détaillé des découvreurs, qui explique également comment sécuriser son environnement. informatique.