Consentement non restreint des utilisateurs pour les applications

Entra ID implémente le mécanisme de délégation OAuth 2.0, permettant ainsi aux utilisateurs de donner leur consentement à n'importe quelle application tierce. Ce faisant, les utilisateurs autorisent ces applications à accéder à leurs données et, par extension, aux données de toutes les organisations auxquelles elles peuvent accéder.

Les attaquants ont conçu des attaques d'ingénierie sociale à l'aide d'applications malveillantes qui se font souvent passer pour des applications métier légitimes et nécessitent des autorisations sensibles. Une fois accordées, ces autorisations permettent aux attaquants de voler des données ou d'effectuer des opérations pour le compte de l'utilisateur. Ces attaques sont connues sous le nom d'« octroi de consentement illicite » ou d'« hameçonnage de consentement ».

Entra ID propose trois options concernant le consentement utilisateur pour les applications :

• « Ne pas autoriser le consentement utilisateur » est l'option la plus sécurisée.
• « Autoriser le consentement utilisateur pour les applications des éditeurs vérifiés, pour les autorisations sélectionnées » : Microsoft recommande cette option intermédiaire, car elle réduit le risque en autorisant uniquement des autorisations moins sensibles et en limitant l'accès aux applications d'« éditeurs vérifiés ».
• « Autoriser le consentement utilisateur pour les applications » : par défaut, cette option la moins sécurisée permet aux utilisateurs de donner leur consentement à n'importe quelle application, y compris aux applications externes, pour la plupart des autorisations (sauf celles réservées aux administrateurs).

Par défaut, l'IoE signale uniquement comme incorrecte l'option la moins sécurisée d'Entra ID. Pour une sensibilité de sécurité plus élevée, vous pouvez activer l'option « Strict » de l'IoE, qui signale à la fois les options Entra ID peu sécurisées et intermédiaires.

Tenable recommande de suivre le conseil de Microsoft en optant au moins pour l'option intermédiaire : « Autoriser le consentement utilisateur pour les applications d'éditeurs vérifiés, pour les autorisations sélectionnées ». Pour les organisations disposant d'exigences de sécurité plus élevées, vous pouvez choisir l'option la plus sécurisée : « Ne pas autoriser le consentement utilisateur ».

L'activation de restrictions exige des administrateurs Microsoft Entra ayant des rôles spécifiques qu'ils gèrent le consentement accordé aux applications et évaluent les demandes de consentement. Ils doivent également examiner les demandes de consentement de l'administrateur, ce qui augmente leur charge de travail. Veillez à ce qu'ils reçoivent une formation adéquate pour valider uniquement les applications et les autorisations légitimes.

Suivez le guide Microsoft qui décrit comment configurer le consentement des utilisateurs aux applications. Ce guide contient des instructions pour l'utilisation du centre d'administration Microsoft Entra, de Microsoft Graph PowerShell ou de l'API Microsoft Graph.

La modification de l'option sélectionnée n'annulera pas les consentements précédents. Faites donc preuve de prudence si vous soupçonnez que des attaques d'ingénierie sociale pourraient avoir exploité cette technique. Vous pouvez vous référer aux résultats des IoE « Autorisations d'API dangereuses affectant le tenant » et « Autorisations d'API dangereuses affectant les données » pour identifier les autorisations potentiellement malveillantes ou accordées de manière excessive.

Vous pouvez également envisager d'activer le « consentement progressif basé sur le risque ».

Nom: Consentement non restreint des utilisateurs pour les applications

Nom de code: UNRESTRICTED-USER-CONSENT-FOR-APPLICATIONS

Sévérité: Medium

Type: Microsoft Entra ID Indicator of Exposure