nOAuth continue de passer inaperçu auprès des fournisseurs de SaaS, qui ne savent peut-être même pas ce qu'ils doivent rechercher, et il est pratiquement impossible pour les entreprises de s'en protéger, ce qui permet aux pirates de prendre le contrôle des comptes et d'exfiltrer des données.
HOBOKEN, New Jersey — 25 juin 2025 — Semperis, fournisseur de solutions de sécurité des identités et de cyber-résilience basées sur l'IA, a publié aujourd'hui une nouvelle étude sur une vulnérabilité connue de nOauth dans Microsoft Entra ID. Celle-ci permet à un attaquant de prendre le contrôle total d'un compte dans des applications SaaS vulnérables avec un minimum d'efforts, ce qui représente un risque grave pour les entreprises qui s'appuient sur des intégrations Entra inter-locataires. Eric Woodruff, architecte en chef de l'identité chez Semperis, a présenté ses conclusions cette semaine lors de la conférence Troopers 2025 à Heidelberg, en Allemagne.
nOAuth a été révélé pour la première fois en 2023 par Omer Cohen, de Descope, qui a mis en évidence une faille dans la manière dont certaines applications SaaS implémentent OpenID Connect. Les recherches complémentaires menées par Semperis se sont concentrées sur les applications intégrées à Entra dans la galerie d'applications Entra de Microsoft, identifiant ainsi un large éventail d'applications qui, plus d'un an après, restaient vulnérables aux attaques de type nOAuth.
Découverte lors de tests inter-locataires, la faille nOAuth exploite les configurations de l'application Entra ID qui autorisent l'utilisation d'adresses e-mail non vérifiées comme identifiants d'utilisateur, ce qui constitue un anti-modèle connu selon les normes OpenID Connect. Dans ces scénarios, il suffit aux attaquants de disposer d'un locataire Entra et de l'adresse e-mail de la cible pour prendre le contrôle du compte SaaS de la victime. Les mesures de sécurité traditionnelles telles que l'authentification multifactorielle (MFA), l'accès conditionnel et les politiques « Zero Trust » n'offrent aucune protection.
« Il est facile pour des développeurs bien intentionnés de reproduire des schémas non sécurisés sans s’en rendre compte et, bien souvent, ils ne savent même pas ce qu’il faut rechercher », a déclaré M. Woodruff. « De leur côté, les clients n’ont aucun moyen de détecter ou de bloquer l’attaque, ce qui en fait une menace particulièrement dangereuse et persistante. »
Se prémunir contre la vulnérabilité nOAuth
Lors d'un test à grande échelle portant sur plus de 100 applications SaaS intégrées à Entra, Woodruff a constaté que près de 10 % d'entre elles étaient vulnérables à une exploitation abusive de nOAuth. Une fois cette vulnérabilité exploitée, les attaquants peuvent obtenir un accès complet au compte d'un utilisateur dans l'application SaaS, ce qui leur permet d'exfiltrer des données, de s'implanter durablement et, éventuellement, de se déplacer latéralement. Le Microsoft Security Response Center (MSRC) conseille aux fournisseurs de SaaS de suivre ses recommandations pour prévenir les abus de nOAuth, sous peine d'être exclus de la galerie d'applications Entra.
« L'exploitation abusive de nOAuth constitue une menace sérieuse à laquelle de nombreuses organisations pourraient être exposées », a poursuivi M. Woodruff. « Elle ne demande que peu d'efforts, ne laisse pratiquement aucune trace et contourne les mesures de protection des utilisateurs finaux. Nous avons confirmé que cette faille pouvait encore être exploitée dans de nombreuses applications SaaS, ce qui rend cette mise en garde particulièrement urgente. Nous encourageons les développeurs à mettre en œuvre les correctifs nécessaires et à contribuer à la protection de leurs clients avant que cette faille ne fasse l'objet d'autres exploitations. »
Semperis a communiqué ses conclusions aux fournisseurs concernés ainsi qu'à Microsoft dès décembre 2024. Si certains fournisseurs ont depuis corrigé leurs applications, d'autres restent vulnérables. Sans une corrélation approfondie des journaux entre Entra ID et la plateforme SaaS, il est pratiquement impossible de détecter les abus de nOAuth.
Les chercheurs de Semperis, pionniers dans la détection des menaces liées à l'identité, ont récemment annoncé de nouvelles fonctionnalités de détection au sein de Directory Services Protector de l'entreprise, destinées à lutter contre « BadSuccessor », une technique d'escalade de privilèges à haut risque ciblant une fonctionnalité récemment introduite dans Windows Server 2025. L'année dernière, les chercheurs de Semperis ont découvert « Silver SAML », une nouvelle variante de la technique « Golden SAML » apparue à l'époque de SolarWinds, qui contourne les défenses standard des applications intégrées à Entra ID.
Pour lire l'intégralité de l'article de recherche, rendez-vous sur : https://www.semperis.com/blog/noauth-abuse-alert-full-account-takeover/
À propos de Semperis
Semperis protège les services d'identité critiques des entreprises pour les équipes de sécurité chargées de défendre les environnements hybrides et multicloud. Spécialement conçue pour sécuriser les environnements d'identité hybrides, notamment Active Directory, Entra ID et Okta, la technologie basée sur l'IA de Semperis protège plus de 100 millions d'identités contre les cyberattaques, les violations de données et les erreurs opérationnelles.
Dans le cadre de sa mission visant à promouvoir le bien, Semperis propose diverses ressources à la communauté cybernétique, notamment laconférence primée Hybrid Identity Protection (HIP),le podcast HIP et des outils gratuits de sécurité des identités. Purple Knight et Forest Druid. Semperis est une société internationale privée dont le siège social est situé à Hoboken, dans le New Jersey. Elle soutient les plus grandes marques et agences gouvernementales du monde entier et compte des clients dans plus de 40 pays.
Pour en savoir plus :https://www.semperis.com
Suivez-nous :Blog/ LinkedIn / X / Facebook /YouTube
Contact médias:
Bill Keeler
Directeur principal, Relations publiques et communications
Semperis
billk@semperis.com
