Attaque Microsoft Entra ID sans malware : anatomie d'une exfiltration cloud (mai 2026)

Microsoft a publié le détail d'une campagne d'espionnage qui illustre parfaitement le nouveau visage des attaques cloud. Aucun malware. Aucune CVE exploitée. Aucun outil suspect. Uniquement des fonctionnalités légitimes de Microsoft Entra ID détournées par un attaquant méthodique, armé de droits RBAC trop larges et face à une journalisation insuffisante.

Attaque Microsoft Entra ID sans malware : le vecteur d'entrée SSPR

La technique d'entrée repose sur le SSPR (Self-Service Password Reset), une fonctionnalité de réinitialisation de mot de passe en libre-service présente dans la plupart des tenants Microsoft 365. L'attaquant appelle la victime en se faisant passer pour le support IT interne, la convainc de valider une invite MFA, et c'est terminé. Il réinitialise le mot de passe, supprime tous les facteurs d'authentification existants, enregistre son propre appareil. La victime est verrouillée. L'attaquant est chez lui.

Cette attaque Microsoft Entra ID sans malware démontre que le MFA seul ne suffit pas lorsque le SSPR permet de le contourner. C'est un angle mort que de nombreuses organisations n'ont pas encore corrigé dans leur configuration Entra ID.

Anatomie de l'exfiltration : ce que permettent des droits RBAC trop larges

Une fois dans le tenant, l'attaquant déroule une chaîne d'actions méthodique, entièrement basée sur des fonctionnalités natives Microsoft :

• Microsoft Graph API pour cartographier le tenant et identifier les comptes privilégiés.

• OneDrive : des milliers de fichiers téléchargés en une seule opération.

• App Service : récupération des profils de publication (credentials FTP, Kudu, Web Deploy).

• Key Vault : 4 minutes pour extraire des dizaines de secrets, dont les credentials de l'application de production.

• SQL Azure : modification des règles firewall, exfiltration des données, suppression des traces.

• Storage : récupération des clés SAS, téléchargement programmatique des blobs via l'Azure SDK.

• VMs : abus des extensions Run Command et VMAccess.

• ScreenConnect installé comme backdoor durable, indistinguable d'un usage administrateur légitime.

Pourquoi une attaque Microsoft Entra ID sans malware est si difficile à détecter

C'est précisément ce qui rend cette campagne particulièrement préoccupante : toutes les actions effectuées sont des actions légitimes, réalisées avec des comptes authentifiés, via des API officielles Microsoft. Sans corrélation entre les signaux d'identité, d'endpoint et de cloud, ces actions passent sous le radar des outils de sécurité traditionnels. Un téléchargement massif OneDrive, une modification de règle firewall SQL, une extraction Key Vault : pris isolément, chacun de ces événements peut sembler anodin. Corrélés, ils décrivent une compromission totale du tenant.

Recommandations pour se protéger d'une attaque Microsoft Entra ID sans malware

• Le MFA ne suffit pas si le SSPR permet de le contourner : restreindre ou désactiver le SSPR pour les comptes privilégiés, et ne jamais autoriser la modification des méthodes MFA sans vérification d'identité hors-bande.

• Éliminer les permissions Owner sur les Key Vaults de production au profit de rôles minimaux (principe du moindre privilège RBAC).

• Les téléchargements massifs OneDrive et SharePoint doivent générer des alertes dans Microsoft Defender for Cloud Apps.

• Toute installation de RMM non planifiée (ScreenConnect, AnyDesk, TeamViewer) doit être détectée et bloquée par défaut.

• La corrélation identité + endpoint + cloud (XDR) n'est plus optionnelle pour les organisations qui opèrent sur Microsoft 365 et Azure.