☁️Azure Entra IDConditional AccessIdentityConfig

Failles de l'Accès Conditionnel Azure : Comment les Attaquants Contournent le MFA

L'absence de MFA et l'authentification legacy non bloquée dans l'Accès Conditionnel Azure permettent de contourner tous les contrôles modernes avec un simple mot de passe volé.

ES
EtcSec Security Team
4 min read
Failles de l'Accès Conditionnel Azure : Comment les Attaquants Contournent le MFA

Qu'est-ce que l'Accès Conditionnel Azure ?

L'Accès Conditionnel est le moteur de politiques de Microsoft Entra ID qui contrôle comment et quand les utilisateurs accèdent aux ressources cloud. Il agit comme la couche d'application zero trust — évaluant des signaux comme l'identité de l'utilisateur, la conformité de l'appareil, l'emplacement et le niveau de risque avant d'accorder ou de bloquer l'accès.

Quand l'Accès Conditionnel est absent ou mal configuré, il crée la plus grande surface d'attaque dans tout environnement Microsoft 365 ou Azure. Un attaquant avec un credential volé peut s'authentifier depuis n'importe où, sur n'importe quel appareil, en utilisant des protocoles legacy qui contournent entièrement le MFA.

Cet article couvre les quatre lacunes d'Accès Conditionnel les plus critiques : l'absence de MFA, l'authentification legacy non bloquée, l'absence de politiques de connexion basées sur le risque, et les protocoles legacy dangereux.

Comment ca Fonctionne

Les politiques d'Accès Conditionnel suivent une logique si-alors : si certaines conditions sont remplies (utilisateur, application, emplacement, état de l'appareil, risque de connexion), alors appliquer des contrôles (exiger le MFA, bloquer l'accès, exiger un appareil conforme).

La lacune critique est l'authentification legacy. Les protocoles comme SMTP AUTH, IMAP, POP3, Basic Auth et les anciens clients Office ne supportent pas le MFA. Si ces protocoles ne sont pas bloqués, un attaquant peut contourner toutes les politiques MFA en utilisant simplement un client legacy.

La Chaine d'Attaque

Etape 1 - Acquisition des Credentials

L'attaquant obtient des credentials via phishing, spray de mots de passe ou credential stuffing.

# Spray de mots de passe contre Microsoft Online
Invoke-MSOLSpray -UserList users.txt -Password "Printemps2024!" -Verbose

Etape 2 - Contourner le MFA via Auth Legacy

Si l'authentification legacy n'est pas bloquée, l'attaquant se connecte via IMAP ou Basic Auth — protocoles qui ne peuvent pas déclencher le MFA :

# Test d'accès IMAP avec credentials volés (contourne le MFA)
curl -u [email protected]:password imaps://outlook.office365.com/INBOX

Etape 3 - Accès Sans MFA

Sans politique de connexion basée sur le risque, une connexion réussie depuis une IP étrangère, un nouvel appareil ou à 3h du matin ne déclenche aucune vérification supplémentaire.

Etape 4 - Pivot vers les Ressources Azure

Depuis un compte Microsoft 365 compromis, l'attaquant peut accéder aux ressources Azure et escalader vers des rôles plus privilégiés.

Détection

Logs de Connexion Microsoft Entra

SignalCe qu'il faut surveiller
ClientAppUsedIMAP, POP3, SMTP, Exchange ActiveSync — utilisation de l'auth legacy
RiskLevelDuringSignInConnexions high ou medium non bloquées
ConditionalAccessStatusnotApplied — connexions où aucune politique CA n'a été évaluée
LocationConnexions depuis des pays jamais utilisés par l'utilisateur

Requete SIEM (Elastic KQL)

azure.signinlogs.properties.client_app_used: ("IMAP" OR "POP3" OR "SMTP Auth" OR "Exchange ActiveSync") AND
azure.signinlogs.properties.status.error_code: 0

💡 Conseil : Bloquez l'authentification legacy AVANT d'imposer le MFA. Si l'auth legacy n'est pas bloquée, les politiques MFA sont entièrement contournables.

Remédiation

⚠️ Critique : Bloquez l'authentification legacy en priorité — c'est la première action à effectuer.

1. Bloquer l'Authentification Legacy (Priorité 1)

Nom de la politique : Bloquer l'Authentification Legacy
Affectations :
  - Utilisateurs : Tous les utilisateurs
  - Applications cloud : Toutes les applications cloud
  - Conditions > Applications clientes : Exchange ActiveSync, Autres clients
Contrôles d'accès : Bloquer

2. Exiger le MFA pour Tous les Utilisateurs

Nom de la politique : Exiger MFA — Tous les Utilisateurs
Affectations :
  - Utilisateurs : Tous les utilisateurs
  - Applications cloud : Toutes les applications cloud
Contrôles d'accès : Exiger l'authentification multifacteur

3. Activer les Politiques de Connexion Basées sur le Risque

Nom de la politique : Bloquer les Connexions à Risque Élevé
Conditions > Risque de connexion : Élevé
Contrôles d'accès : Bloquer l'accès

4. Désactiver les Protocoles Legacy au Niveau du Service

Set-AuthenticationPolicy -Identity "Bloquer Basic Auth" `
    -AllowBasicAuthImap $false `
    -AllowBasicAuthPop $false `
    -AllowBasicAuthSmtp $false

Comment EtcSec Détecte Cela

EtcSec audite la configuration complète de votre Accès Conditionnel et identifie les lacunes exposant votre tenant.

CA_NO_MFA_REQUIREMENT détecte les tenants où aucune politique d'Accès Conditionnel n'impose le MFA pour tous les utilisateurs sur toutes les applications.

CA_NO_LEGACY_AUTH_BLOCK identifie les tenants où l'authentification legacy n'est pas bloquée, permettant de contourner entièrement le MFA.

CA_NO_RISK_BASED_SIGNIN signale les tenants sans politique de connexion basée sur le risque.

LEGACY_AUTH_ALLOWED confirme que l'authentification legacy est encore active au niveau protocole.

ℹ️ Note : EtcSec audite toute votre configuration d'Accès Conditionnel lors de chaque scan. Lancez un audit gratuit pour identifier les lacunes dans votre posture de sécurité identité Azure.

☁️ AzureConditional AccessIdentityConfig
EtcSec

© 2026 EtcSec. All rights reserved.

Failles Accès Conditionnel Azure : Bypass MFA | EtcSec — EtcSec Blog | EtcSec