Un an après sa révélation, la faille nOAuth reste exploitable dans plusieurs applications SaaS intégrées à Microsoft Entra ID. Selon Semperis, près de 10 % des apps testées sont vulnérables, exposant les entreprises à des prises de contrôle de comptes difficiles à détecter.
Une faille connue mais toujours active
Semperis, spécialiste de la cyber-résilience, alerte sur la facilité d’exploitation de cette faille qui contourne les protections habituelles. Lors de sa conférence Troopers 2025, Eric Woodruff, Chief Identity Architect chez Semperis, a notamment expliqué que la faille nOAuth cible spécifiquement les intégrations inter-tenants d’Entra ID, en exploitant une mauvaise configuration d’OpenID Connect. Cela rend malheureusement possible les prises de contrôle de comptes « avec un effort minimal » et sans que les protections classiques comme MFA, Zero Trust ou les accès conditionnels puissent bloquer l’attaque.
« Beaucoup de développeurs suivent, sans le savoir, des schémas peu sécurisés, souvent parce qu’ils ne savent pas quoi surveiller », souligne Eric Woodruff.
Semperis tire la sonnette d’alarme
La menace est d’autant plus sérieuse que la faille reste indétectable côté client et que près de 10% des 100 applications testées par Semperis dans l’Entra Application Gallery sont encore vulnérables. La détection nécessite une corrélation poussée des logs Entra et SaaS. Ce nouvel avertissement s’inscrit dans une série d’alertes sur l’identité (Silver SAML, BadSuccessor…). Semperis a intégré des mécanismes de détection dédiés dans sa plateforme DSP.
L’expert invite les développeurs SaaS à corriger rapidement leurs implémentations pour éviter toute exploitation future. Microsoft a été mis au courant pourrait retirer les applications non corrigées de sa galerie.
