Microsoft Entra ID & Exchange/SharePoint : plusieurs failles de sécurité critiques (CVE-2026-55008, CVE-2026-56164, CVE-2026-55040)


Ce texte a été généré par l'intelligence artificielle (IA).Le 13 juillet 2026, Microsoft a annoncé un changement stratégique concernant son système de gestion des identités et des accès, Microsoft Entra ID. À compter du 1er septembre 2026, les clés d'accès seront progressivement mises en place comme méthode par défaut pour l'authentification multifactorielle (MFA). L'objectif de cette mesure est de renforcer la sécurité des comptes grâce à des procédures de connexion résistantes au phishing, tout en remplaçant les méthodes vulnérables telles que les SMS et les appels vocaux.

Cette transition concerne toutes les organisations qui utilisent Microsoft Entra ID dans le cloud public. Des calendriers distincts seront communiqués pour les autres environnements cloud. L'annonce officielle de Microsoft est disponible dans le Centre de messages Microsoft 365 à l'adresse MC1426371 disponible.

Mise à jour du 14 juillet 2026 : Par ailleurs, plusieurs vulnérabilités critiques ont été signalées dans Microsoft Exchange Server, SharePoint Server et Active Directory Federation Services. La vulnérabilité CVE-2026-55008 (CVSS 9,6) affecte Exchange Server et permet l'exécution de code à distance. Les vulnérabilités CVE-2026-56164 et CVE-2026-56155 sont des failles « zero-day » activement exploitées dans SharePoint et AD FS. La vulnérabilité CVE-2026-55040 (CVSS 9,1) permet de contourner l'authentification via la falsification de jetons JWT dans AD FS. Voir ci-dessous pour plus de détails.