Ajouter à une liste de lectureLes politiques d'accès conditionnel d’Azure fournissent un puissant dispositif de protection des accès. Néanmoins, leur complexité et opacité entraînent bien souvent une mauvaise compréhension des mécanismes sous-jacents, offrant ainsi des opportunités aux attaquants pour contourner des protections comme l’authentification multifacteur. Dans cet article, nous étudierons l'implémentation de ces politiques en l'illustrant par des défauts de configuration fréquemment rencontrés.
Le passage des infrastructures traditionnelles vers le cloud permet de gagner en flexibilité et en facilité pour les utilisateurs. Cependant, il en résulte une augmentation significative de la surface d'attaque, car des services autrefois limités aux réseaux internes (solutions d’e-mails, de partage de fichiers, etc.) deviennent accessibles sur Internet. Ainsi, la compromission d'un compte utilisateur permet, sans autre prérequis, d'accéder à ces services depuis n'importe où dans le monde.
Pour prévenir ces risques, Microsoft a introduit des politiques d'accès conditionnel pour les identités Entra ID (anciennement Azure Active Directory), permettant de définir des stratégies d'authentification renforcées. Cet article propose une introduction à ce mécanisme, avec un regard offensif. Nous commencerons par décrire le fonctionnement de l'authentification OAuth2 et les spécificités de l'implémentation Microsoft. Nous détaillerons ensuite les possibilités…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
