Microsoft Entra ID & Exchange/SharePoint : plusieurs failles de sécurité critiques (CVE-2026-55008, CVE-2026-56164, CVE-2026-55040)
Ce texte a été généré par l'intelligence artificielle (IA).Le 13 juillet 2026, Microsoft a annoncé un changement stratégique concernant son système de gestion des identités et des accès, Microsoft Entra ID. À compter du 1er septembre 2026, les clés d'accès seront progressivement mises en place comme méthode par défaut pour l'authentification multifactorielle (MFA). L'objectif de cette mesure est de renforcer la sécurité des comptes grâce à des procédures de connexion résistantes au phishing, tout en remplaçant les méthodes vulnérables telles que les SMS et les appels vocaux.
Cette transition concerne toutes les organisations qui utilisent Microsoft Entra ID dans le cloud public. Des calendriers distincts seront communiqués pour les autres environnements cloud. L'annonce officielle de Microsoft est disponible dans le Centre de messages Microsoft 365 à l'adresse MC1426371 disponible.
Mise à jour du 14 juillet 2026 : Par ailleurs, plusieurs vulnérabilités critiques ont été signalées dans Microsoft Exchange Server, SharePoint Server et Active Directory Federation Services. La vulnérabilité CVE-2026-55008 (CVSS 9,6) affecte Exchange Server et permet l'exécution de code à distance. Les vulnérabilités CVE-2026-56164 et CVE-2026-56155 sont des failles « zero-day » activement exploitées dans SharePoint et AD FS. La vulnérabilité CVE-2026-55040 (CVSS 9,1) permet de contourner l'authentification via la falsification de jetons JWT dans AD FS. Voir ci-dessous pour plus de détails.
Aperçu des faits
Les « passkeys » comme norme : À compter du 1er septembre 2026, les utilisateurs seront invités à enregistrer leurs clés d'accès ; cette mesure deviendra obligatoire à compter du 1er février 2027.
Les SMS et les appels vocaux sont désactivés : Les services natifs de Microsoft pour l'authentification par SMS et vocale prendront fin le 1er février 2027. L'intégration de solutions tierces via le Microsoft Security Store restera possible.
Plateforme concernée : Microsoft Entra ID (cloud public).
Vulnérabilité critique d'Exchange : La vulnérabilité CVE-2026-55008 (CVSS 9,6) affecte Exchange Server 2016 CU23, 2019 CU14/CU15 et l'édition Abonnement RTM. Exécution de code à distance possible sans authentification, interaction de l'utilisateur requise.
Vulnérabilités « zero-day » de SharePoint activement exploitées : Les vulnérabilités CVE-2026-56164 (élévation de privilèges) et CVE-2026-50661 concernent SharePoint Server 2016, 2019 et l'édition par abonnement. Correctifs disponibles : 16.0.5561.1001, 16.0.10417.20175, 16.0.19725.20434.
Vulnérabilités critiques d'AD FS : Les vulnérabilités CVE-2026-56155 (contrôle d'accès insuffisant) et CVE-2026-55040 (CVSS 9.1, contournement d'une fonctionnalité de sécurité via la falsification d'un jeton JWT) concernent les services de fédération Active Directory. La vulnérabilité CVE-2026-55040 fait actuellement l'objet d'exploits actifs.
Le calendrier de la transition
Afin de garantir une mise en œuvre sans heurts, Microsoft a publié un plan de déploiement échelonné. Les administrateurs informatiques sont invités à prendre note des dates suivantes :
À compter du 1er août 2026 : Une prise en charge via l'API sera disponible pour configurer une exclusion temporaire du déploiement des clés d'accès.
À compter du 1er septembre 2026 : Lors de la connexion via l'authentification multifactorielle (MFA), les utilisateurs se voient proposer d'enregistrer une clé d'accès. À ce stade, cette démarche est encore facultative.
À partir du 18 septembre 2026 : Microsoft publie des informations sur les opérateurs de télécommunications tiers pris en charge dans le Microsoft Security Store.
À partir du 30 octobre 2026 : Les administrateurs peuvent configurer des services de télécommunications proposés par des fournisseurs tiers dans le Microsoft Security Store pour la connexion par SMS et par appel vocal.
À compter du 1er février 2027 : Les services SMS et vocaux natifs de Microsoft vont être désactivés. La demande d'enregistrement d'une clé d'accès deviendra obligatoire pour tous les utilisateurs concernés et ne pourra plus être ignorée.
Mesures à prendre et options pour les administrateurs
Les entreprises doivent adapter leurs stratégies d'authentification à ce nouveau cadre. La période de transition, qui s'étend jusqu'en février 2027, leur laisse le temps de préparer leurs processus internes et la communication destinée aux utilisateurs.
Les organisations qui continuent de recourir à l'authentification par SMS ou vocale doivent se tourner vers des solutions tierces pouvant être intégrées via le Microsoft Security Store. Microsoft recommande toutefois clairement de passer à des méthodes totalement résistantes au phishing.
Les utilisateurs qui ont déjà recours à des méthodes sécurisées telles que Windows Hello pour les entreprises, Clés de sécurité FIDO2, l'authentification par certificat ou les cartes à puce ne sont pas concernées par cette nouvelle demande d'enregistrement, selon Microsoft Learn.
Vulnérabilité critique dans Microsoft Exchange Server (CVE-2026-55008)
Parallèlement à la migration vers Passkey, une faille de sécurité critique dans Microsoft Exchange Server a été révélée le 14 juillet 2026. La vulnérabilité CVE-2026-55008 a reçu un score CVSS de 9,6 et permet l'exécution de code à distance via le réseau.
Détails techniques
Cette vulnérabilité concerne les versions suivantes d'Exchange :
Microsoft Exchange Server 2016 - Mise à jour cumulative 23
Microsoft Exchange Server 2019 - Mise à jour cumulative 14
Microsoft Exchange Server 2019 - Mise à jour cumulative 15
Microsoft Exchange Server Édition Abonnement RTM
Un attaquant peut exploiter cette vulnérabilité sans authentification préalable (PR:N), mais cela nécessite une interaction de l'utilisateur (UI:R). Le vecteur d'attaque est de type réseau (AV:N) et présente une faible complexité d'attaque (AC:L). En cas d’exploitation réussie, des répercussions importantes sur la confidentialité, l’intégrité et la disponibilité sont possibles (C:H/I:H/A:H). La portée est „ modifiée “ (S:C), ce qui signifie que les répercussions peuvent s’étendre au-delà du composant vulnérable.
Évaluation et recommandations d'action
À la date de publication, le statut du correctif n'est pas connu. Aucune information n'est disponible concernant une exploitation active ou l'ajout à la liste KEV de la CISA. Les organisations disposant de serveurs Exchange dans les versions concernées doivent suivre en permanence l'avis du Microsoft Security Response Center disponible à l'adresse https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-55008 et installer en priorité les mises à jour de sécurité disponibles.
La combinaison d'un score CVSS élevé, d'un vecteur d'attaque basé sur le réseau et de la possibilité d'exécuter du code à distance fait de la vulnérabilité CVE-2026-55008 une menace critique pour les infrastructures Exchange. En attendant la mise à disposition d'un correctif, les administrateurs devraient envisager des mesures compensatoires telles que la segmentation du réseau, une surveillance renforcée et des restrictions d'accès aux services Exchange.
Vulnérabilités « zero-day » activement exploitées dans SharePoint Server (CVE-2026-56164, CVE-2026-50661)
Le 14 juillet 2026, deux vulnérabilités activement exploitées dans Microsoft SharePoint Server ont été révélées. CVE-2026-56164 est une vulnérabilité de type « élévation de privilèges » rendue possible par un manque d'authentification. CVE-2026-50661 est une autre vulnérabilité de SharePoint Server dont les détails techniques n'ont pas encore été entièrement publiés.
Versions et correctifs concernés
Ces vulnérabilités concernent les versions suivantes de SharePoint :
Microsoft SharePoint Server 2016 (toutes les versions) < 16.0.5561.1001)
Microsoft SharePoint Server 2019 (toutes les versions) < 16.0.10417.20175)
Microsoft SharePoint Server Édition Abonnement (toutes les versions) < 16.0.19725.20434)
Microsoft a publié des mises à jour de sécurité qui corrigent ces vulnérabilités :
SharePoint Server 2016 : mise à jour vers la version 16.0.5561.1001
SharePoint Server 2019 : mise à jour vers la version 16.0.10417.20175
SharePoint Server Édition Abonnement : mise à jour vers la version 16.0.19725.20434
Urgence et recommandations d'action
Ces deux vulnérabilités étant activement exploitées, il est essentiel d'installer immédiatement les correctifs. Les organisations disposant de serveurs SharePoint doivent installer ces mises à jour en priorité et renforcer la surveillance des activités suspectes jusqu'à ce que tous les correctifs soient déployés. Ces vulnérabilités permettent aux attaquants d'étendre leurs privilèges au sein de l'environnement SharePoint, ce qui peut entraîner l'exfiltration de données, des mouvements latéraux sur le réseau et d'autres compromissions.
Vulnérabilités critiques dans Active Directory Federation Services (CVE-2026-56155, CVE-2026-55040)
Parallèlement aux vulnérabilités de SharePoint, deux failles critiques ont été découvertes dans Active Directory Federation Services (AD FS). CVE-2026-56155 est une vulnérabilité liée à un contrôle d'accès insuffisant. CVE-2026-55040 est une faille particulièrement critique de contournement des fonctionnalités de sécurité, avec un score CVSS de 9,1.
CVE-2026-55040 : contournement de l'authentification par falsification de jetons JWT
La vulnérabilité CVE-2026-55040 permet à des attaquants de contourner l'authentification en créant de faux jetons JWT (JSON Web Tokens). Cette vulnérabilité est activement exploitée et représente une menace importante pour les organisations qui utilisent AD FS pour l'authentification fédérée. Une attaque réussie permet un accès non autorisé à des ressources protégées sans identifiants valides.
Évaluation technique et recommandations d'action
La combinaison d'un score CVSS élevé (9,1), d'une exploitation active et de la possibilité de contourner complètement l'authentification fait de CVE-2026-55040 l'une des vulnérabilités les plus critiques de la dernière mise à jour de sécurité de Microsoft. Les organisations disposant d'une infrastructure AD FS doivent appliquer sans délai les correctifs disponibles et vérifier leurs journaux d'authentification à la recherche d'anomalies, en particulier d'émissions ou de validations inhabituelles de jetons JWT.
En attendant la mise en œuvre complète du correctif, les administrateurs devraient envisager les mesures correctives suivantes :
Surveillance renforcée des événements d'authentification AD FS
Révision et renforcement des directives de validation des jetons JWT
Segmentation du réseau pour restreindre l'accès aux serveurs AD FS
Activation de facteurs d'authentification supplémentaires pour les ressources critiques
La vulnérabilité CVE-2026-56155 nécessite également l'installation rapide d'un correctif, car un contrôle d'accès insuffisant dans AD FS peut entraîner un accès non autorisé aux services fédérés.
Pertinence pour les organisations de la région DACH
Cette transition revêt une importance particulière pour les entreprises soumises à la directive NIS 2 et les opérateurs KRITIS en Allemagne : l'utilisation de méthodes d'authentification résistantes au phishing répond aux exigences en matière de mesures de sécurité techniques prévues à l'article 30 de la loi BSIG. Le BSI recommande explicitement les procédures basées sur FIDO2 et les clés d'accès (passkeys) comme méthodes d'authentification forte. Les organisations qui utilisent Microsoft Entra ID comme service d’identité central devraient également intégrer cette transition dans leur documentation des changements conforme au RGPD et vérifier si la modification de l’infrastructure d’authentification nécessite des évaluations internes des risques conformément à la norme ISO 27001.
La vulnérabilité CVE-2026-55008 d'Exchange, ainsi que les vulnérabilités de SharePoint et d'AD FS actuellement exploitées, soulignent l'urgence d'une gestion globale de la sécurité Microsoft. Les organisations disposant de serveurs Exchange, d’installations SharePoint ou d’une infrastructure AD FS doivent intégrer ces vulnérabilités dans leur évaluation des risques conformément à la norme ISO 27001, annexe A, paragraphe 8.8 (gestion des vulnérabilités), et les documenter. L'exploitation active des vulnérabilités CVE-2026-56164, CVE-2026-50661 et CVE-2026-55040 nécessite une préparation immédiate à la réponse aux incidents et l'installation prioritaire des correctifs.
Les organisations soumises à la directive NIS 2 doivent respecter l'obligation de signalement des incidents de sécurité : s'il existe des indices laissant supposer une exploitation réussie de failles « zero-day », un signalement à l'autorité de contrôle compétente peut s'avérer nécessaire.
Analyse du point de vue de l'EASM et du VRM
Le changement des méthodes d'authentification chez un fournisseur d'identité centralisé tel que Microsoft a des répercussions directes sur la surface d'attaque externe et la gestion des risques liés aux fournisseurs.
Gestion de la surface d'attaque externe (EASM) : Microsoft Entra ID est un service accessible depuis l'extérieur dont les portails d'authentification font partie de l'infrastructure numérique d'une entreprise. Une plateforme EASM telle que LocateRisk identifie ces points de terminaison d'authentification exposés ainsi que d'autres (par exemple pour les VPN ou les services cloud). Savoir quels systèmes dépendent d’Entra ID est essentiel pour évaluer l’impact de cette modification de politique sur votre propre situation en matière de sécurité. Parallèlement, les serveurs Exchange, les instances SharePoint et les serveurs AD FS accessibles depuis l’extérieur doivent être identifiés et vérifiés quant à leur vulnérabilité aux failles CVE-2026-55008, CVE-2026-56164, CVE-2026-50661, CVE-2026-56155 et CVE-2026-55040. L’exploitation active de plusieurs de ces vulnérabilités rend la surveillance continue de la surface d’attaque externe particulièrement cruciale.
Gestion des risques liés aux fournisseurs (VRM) : Microsoft est un fournisseur essentiel pour la plupart des entreprises. Une modification contraignante des politiques de sécurité constitue un événement pertinent dans le cadre de la gestion des risques liés à la cyber-chaîne d'approvisionnement. Une surveillance continue dans le cadre du VRM permet de recenser ces modifications chez les partenaires stratégiques et de garantir la conformité de l’entreprise à des normes telles que NIS-2 ou ISO 27001, qui exigent une gestion active des risques liés aux fournisseurs. Les vulnérabilités d’Exchange, de SharePoint et d’AD FS soulignent la nécessité de surveiller également les processus de gestion des correctifs pour les produits Microsoft critiques dans le contexte du VRM. La multiplication des vulnérabilités critiques de type « zero-day » en peu de temps devrait inciter à actualiser l’évaluation des risques liés à Microsoft en tant que fournisseur et à documenter la dépendance vis-à-vis des produits Microsoft au sein de la chaîne d’approvisionnement.
Voici comment LocateRisk vous aide
La plateforme LocateRisk vous offre la visibilité nécessaire sur votre surface d'attaque externe et sur la situation de sécurité de vos fournisseurs. Identifiez tous les systèmes externes qui s'appuient sur Microsoft Entra ID pour l'authentification et évaluez les performances de sécurité de vos partenaires technologiques critiques. Identifiez les serveurs Exchange, les instances SharePoint et les serveurs AD FS exposés au sein de votre infrastructure afin de localiser et de hiérarchiser rapidement les vulnérabilités telles que CVE-2026-55008, CVE-2026-56164, CVE-2026-50661, CVE-2026-56155 et CVE-2026-55040.
Notre solution „ Made in Germany “ est hébergée dans des centres de données allemands certifiés — conçue conformément aux exigences du RGPD et présentant des risques réduits liés à l'exposition au Cloud Act américain.
Toutes les organisations et tous les utilisateurs qui utilisent Microsoft Entra ID dans le cloud public. Les utilisateurs qui utilisent déjà une autre méthode d'authentification résistante au phishing, telle que Windows Hello for Business, les clés de sécurité FIDO2 ou les cartes à puce, font exception : selon Microsoft Learn, ceux-ci ne recevront pas de nouvelle demande d'enregistrement.
Oui, l'utilisation reste possible, mais plus via le service natif de Microsoft. Pour cela, les entreprises doivent intégrer un fournisseur tiers de services de télécommunications pris en charge via le Microsoft Security Store. La configuration sera possible à partir du 30 octobre 2026 ; Microsoft publiera des informations sur les fournisseurs disponibles à partir du 18 septembre 2026.
Entre le 1er septembre 2026 et le 1er février 2027, les utilisateurs pourront ignorer cette invite. Passé cette date butoir, la boîte de dialogue d'enregistrement deviendra obligatoire. Les utilisateurs concernés ne pourront alors plus s'inscrire sans interagir avec cette invite.
Vérifiez si vous utilisez l'une des versions concernées : Exchange Server 2016 CU23, Exchange Server 2019 CU14 ou CU15, ou Exchange Server Subscription Edition RTM. Consultez régulièrement le site du Microsoft Security Response Center pour obtenir des informations sur les correctifs et appliquez immédiatement les mises à jour disponibles.
Cette mise à jour est critique et doit être installée immédiatement. Les vulnérabilités CVE-2026-56164 et CVE-2026-50661 font actuellement l'objet d'attaques. Les organisations disposant de serveurs SharePoint dans les versions concernées (< 16.0.5561.1001 pour 2016, < 16.0.10417.20175 pour 2019, < 16.0.19725.20434 pour l'édition par abonnement) devraient installer ces mises à jour en priorité.
CVE-2026-55040 est une vulnérabilité critique (CVSS 9.1) qui fait actuellement l'objet d'exploits et qui permet de contourner l'authentification par falsification de jetons JWT. Les organisations utilisant AD FS doivent installer immédiatement les correctifs disponibles, vérifier leurs journaux d'authentification à la recherche d'anomalies et mettre en œuvre des mesures correctives telles qu'une surveillance renforcée et la segmentation du réseau.
Demandez maintenant une Démo en direct personelle
Identifiez et réduisez vos cyber-risques grâce à un aperçu comparable et compréhensible de votre sécurité informatique. Demandez conseil à nos experts et découvrez comment LocateRisk peut vous aider à résoudre vos cyber-risques.
En savoir plus, réserver une démo ou simplement échanger quelques mots ? Nous nous en réjouissons !
Nous utilisons des cookies pour optimiser notre site web et nos services.
Fonctionnel
Toujours activé
le stockage technique ou l'accès est strictement nécessaire dans le but légitime de permettre l'utilisation d'un service spécifique expressément demandé par l'abonné ou l'utilisateur, ou dans le seul but d'effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques
Préférences
le stockage ou l'accès technique est nécessaire aux fins légitimes de la conservation des préférences qui n'ont pas été demandées par l'abonné ou l'utilisateur.
Statistiques
le stockage ou l'accès technique, à des fins exclusivement statistiques.le stockage ou l'accès technique, utilisé uniquement à des fins statistiques anonymes. En l'absence d'une citation, d'un accord volontaire de ton fournisseur d'accès à Internet ou d'enregistrements supplémentaires de tiers, les informations stockées ou consultées à cette seule fin ne peuvent généralement pas être utilisées pour t'identifier.
Marketing
Le stockage technique ou l'accès est nécessaire pour créer des profils d'utilisateurs, pour envoyer des publicités ou pour suivre l'utilisateur sur un site web ou sur plusieurs sites web à des fins de marketing similaires.