Faille Microsoft Entra ID : l'authentification par application imbriquée (NAA) permettait de contourner la MFA et toutes les règles d'accès conditionnel

Le 22 juin 2026, le chercheur Thomas Byrne de NetSPI a divulgué publiquement une vulnérabilité dans le framework Nested App Authentication (NAA) de Microsoft Entra ID — également appelé BroCI — qui permettait à des attaquants de contourner toute politique d'accès conditionnel (CAP), y compris les exigences de MFA, les vérifications de conformité des appareils et les contrôles basés sur la localisation . La faille a été corrigée côté serveur par Microsoft en tant que problème de sévérité moyenne, mais sa divulgation a marqué un moment important pour la sécurité des identités, car elle a été révélée en même temps qu'une seconde méthode de contournement distincte et une série de changements de la part de Microsoft.

La vulnérabilité : comment le NAA permettait de contourner tous les contrôles

Nested App Authentication est le mécanisme OAuth SSO personnalisé de Microsoft conçu pour permettre à une application « hôte », comme le portail Azure, d'échanger silencieusement des jetons pour des applications enfants imbriquées sans reprompter l'utilisateur . Il fonctionne en intégrant des paramètres spéciaux (brk_client_id, brk_redirect_uri) dans des requêtes de jeton OAuth standard vers login.microsoftonline.com .

Byrne a découvert que ce mécanisme présentait une faille critique. La vulnérabilité affectait spécifiquement les flux où le client ADIbizaUX — le composant de gestion IAM du portail Azure — négociait un jeton d'actualisation mis en cache du portail Azure pour demander un jeton d'accès à l'API Microsoft Graph . Normalement, les échanges de jetons d'actualisation sont soumis à une évaluation de l'accès conditionnel, mais NetSPI a constaté que lors de l'utilisation du flux NAA avec ADIbizaUX sur la ressource Microsoft Graph, les politiques d'accès conditionnel n'étaient pas du tout évaluées . Un jeton d'accès était émis quelles que soient les politiques configurées. Deux autres identifiants client d'extension du portail Microsoft Intune présentaient également le même comportement de contournement .

Le scénario d'attaque : persistance post-compromission sans détection

L'attaque nécessite une condition préalable spécifique — un jeton d'actualisation du portail Azure volé — mais elle est très efficace pour la persistance post-compromission et le mouvement latéral . Le scénario se déroule en quatre étapes :

1. Compromission initiale : L'attaquant vole d'abord un jeton d'actualisation valide du portail Azure, par exemple via hameçonnage, des attaques de proxy adversaire-dans-le-milieu (AITM) ciblant login.microsoftonline.com, ou d'autres méthodes de vol de jetons .
2. Négociation de jetons via NAA : L'attaquant utilise le jeton d'actualisation volé du portail Azure et le flux de négociation NAA (via ADIbizaUX ou les extensions du portail Intune) pour l'échanger silencieusement contre un jeton d'accès Microsoft Graph .
3. Contournement de tous les contrôles : Le jeton Graph est émis sans aucune évaluation d'accès conditionnel — pas de demande MFA, pas de vérification de conformité de l'appareil, pas de restriction de localisation — même si ces politiques sont explicitement configurées .
4. Persistance et mouvement latéral : ADIbizaUX dispose d'autorisations Graph pré-consenties étendues et expose des API non documentées pour la gestion des utilisateurs, des groupes, des principaux de service, des applications, des répertoires et même des politiques d'accès conditionnel — le tout sans journalisation, ce qui signifie que les actions passent complètement inaperçues .

La vulnérabilité a des limites. Le jeton d'actualisation volé du portail Azure a une durée de vie fixe de 24 heures et n'est pas renouvelable, ce qui limite la fenêtre de persistance . L'attaquant doit déjà disposer du jeton d'actualisation de la victime, ce qui fait de cette technique une technique d'escalade et de persistance post-compromission, et non une exécution de code à distance . Néanmoins, ce contournement a été classé comme de sévérité moyenne par le Microsoft Security Response Center (MSRC) .

Réponse de Microsoft : correctif côté serveur sans CVE

NetSPI a signalé le problème au MSRC le 17 mars 2026 . Le MSRC l'a classé comme une vulnérabilité de sévérité moyenne et a déployé un correctif côté serveur. Les tests après correctif ont confirmé que les flux NAA qui réussissaient auparavant renvoient désormais correctement des erreurs de blocage d'accès AADSTS53003 lorsqu'une politique d'accès conditionnel s'applique . Microsoft n'a pas attribué de CVE pour ce problème spécifique, et le correctif n'a nécessité aucune action de la part du client .

Contexte plus large : deux contournements de l'accès conditionnel divulgués le même jour

Le 22 juin 2026, les chercheurs ont divulgué deux méthodes distinctes de contournement de l'accès conditionnel d'Entra le même jour :

Résultat	Source	Mécanisme	Réponse de Microsoft
Contournement NAA / BroCI	NetSPI (Thomas Byrne)	Abus de la négociation de jetons Nested App Authentication via ADIbizaUX et les extensions du portail Intune	Correctif de sévérité moyenne du MSRC ; renvoie désormais AADSTS53003
Contournement par exclusion de ressource	Dirk-jan Molenaar (dirkjanm.io)	Les politiques ciblant « Toutes les ressources » avec au moins une ressource exclue pouvaient être contournées pour les jetons Graph en utilisant uniquement des périmètres OIDC/répertoire de base	Microsoft a reconnu le problème et a commencé à déployer un renforcement des périmètres de base à partir du 15 juin 2026 ; activation anticipée possible dans le centre d'administration Entra

Changements plus larges de Microsoft en matière d'application de l'accès conditionnel en 2026

En plus de corriger le contournement NAA, Microsoft a progressivement comblé les lacunes d'application de l'accès conditionnel tout au long de l'année 2026 :

• 27 mars 2026 – juin 2026 (progressif) : Microsoft a modifié la façon dont les politiques CA ciblant « Toutes les ressources » sont appliquées lorsque ces politiques incluent des exclusions de ressources. Auparavant, les connexions demandant uniquement des périmètres OIDC de base (comme openid, profile, User.Read) pouvaient contourner entièrement l'accès conditionnel si une politique avait une exclusion de ressource. Le changement garantit que les politiques avec exclusions sont toujours évaluées par rapport au périmètre « Toutes les ressources » . Microsoft a notifié les locataires concernés via l'entrée du centre de messages MC1223829 .

• 15 juin 2026 : Microsoft a commencé à appliquer le renforcement des périmètres de base spécifiquement pour le contournement par exclusion de ressource, fermant ainsi la route de contournement du jeton Graph divulguée par Dirk-jan Molenaar .

• 31 mars 2026 : Microsoft a imposé la suppression de l'authentification sans principal de service pour les applications mutualisées non Microsoft. Toutes les applications doivent s'authentifier à l'aide d'un principal de service enregistré ; sinon, les flux de connexion échoueront .

• Juin 2026 : Microsoft a annoncé des mises à jour de sécurité plus larges pour Entra ID, notamment le remplacement des contrôles personnalisés par l'authentification multifacteur externe, l'application cohérente de l'accès conditionnel lors de l'enregistrement des informations d'identification et l'exigence de méthodes d'authentification explicitement enregistrées pour la réinitialisation de mot de passe en libre-service (SSPR) .

Points clés à retenir pour les équipes de sécurité

• Le contournement NAA a été corrigé côté serveur. Aucune action côté locataire n'est nécessaire pour la découverte spécifique de NetSPI .
• Pour le contournement par exclusion de ressource, activez l'option de renforcement des périmètres de base dans le centre d'administration Entra pour garantir une évaluation correcte de l'accès conditionnel .
• Surveillez le code d'erreur AADSTS53003, qui bloque désormais correctement les échanges de jetons non autorisés basés sur le NAA .
• Les API non documentées d'ADIbizaUX qui peuvent fonctionner sans journalisation restent préoccupantes — les organisations doivent surveiller de près les journaux de connexion au portail Azure et les schémas d'émission de jetons .
• Avec la suppression de l'authentification sans principal de service depuis le 31 mars 2026, assurez-vous que toutes les applications mutualisées disposent de principaux de service enregistrés .