Entra ID

Microsoft Entra ID : CSP stricte sur la connexion

3 min de lecture

Résumé

Microsoft va renforcer la sécurité de la page de connexion Entra ID sur login.microsoftonline.com en appliquant, entre mi et fin octobre 2026, une Content Security Policy plus stricte qui limitera les scripts aux sources Microsoft de confiance et bloquera l’exécution de code inline arbitraire. Cette évolution est importante car elle réduit le risque d’injection de scripts lors de l’authentification, une cible privilégiée des attaquants, tout en pouvant nécessiter une vérification des personnalisations ou intégrations existantes côté navigateur.

Besoin d'aide avec Entra ID ?Parler à un expert

Introduction

Microsoft renforce l’expérience de connexion Microsoft Entra ID dans le cadre de la Secure Future Initiative (SFI). La future application de la Content Security Policy (CSP) est conçue pour empêcher l’injection de scripts externes pendant l’authentification — une zone fréquemment ciblée par les attaquants — en limitant quels scripts peuvent être chargés et exécutés sur la page de connexion.

Quoi de neuf

Microsoft va ajouter et appliquer un en-tête CSP plus strict pour l’expérience de connexion Entra ID sur login.microsoftonline.com. Les principaux changements incluent :

  • Téléchargements de scripts limités aux domaines Microsoft CDN de confiance Seuls les scripts provenant de réseaux de distribution de contenu approuvés par Microsoft seront autorisés à se charger.

  • Exécution des scripts inline limitée à des sources Microsoft de confiance (basée sur des nonce) Les scripts inline seront régis via des modèles de nonce CSP, empêchant l’exécution de code inline arbitraire.

  • Périmètre limité aux connexions via navigateur sur login.microsoftonline.com Cela concerne spécifiquement les pages de connexion interactives dans un navigateur.

  • Aucun impact sur Microsoft Entra External ID Microsoft indique que les expériences Entra External ID ne sont pas affectées par cette mise à jour.

Calendrier

  • Application globale : Microsoft Entra ID appliquera la CSP mise à jour de mi à fin octobre 2026.
  • Communications : Microsoft enverra des mises à jour périodiques en amont du déploiement.

Impact pour les administrateurs IT et les utilisateurs finaux

Pour la plupart des organisations, il s’agira d’une amélioration de sécurité « silencieuse ». En revanche, les environnements qui utilisent des extensions de navigateur, des scripts ou des outils tiers injectant du code dans la page de connexion doivent s’attendre à une rupture de cette fonctionnalité injectée.

Nuance importante : Microsoft indique que même si les outils injectés cessent de fonctionner, les utilisateurs peuvent toujours se connecter — mais toute superposition, instrumentation, personnalisation ou logique d’assistance qui dépend de l’injection peut échouer.

Éléments typiques à examiner :

  • Gestionnaires de mots de passe ou extensions de « sécurité » qui modifient les pages de connexion
  • Superpositions de helpdesk ou de dépannage SSO
  • Personnalisation de marque ou modifications UX implémentées via injection
  • Outils de supervision ou d’analytics qui s’accrochent à l’UI de connexion via scripting navigateur

Actions recommandées / prochaines étapes

  1. Inventorier et réduire les dépendances à l’injection sur la page de connexion Microsoft recommande explicitement d’éviter les extensions ou outils qui injectent du code dans l’expérience de connexion Entra.

  2. Tester les flux de connexion avec les Developer Tools ouverts Exécutez vos scénarios de connexion courants (appareils gérés, appareils non gérés, différents navigateurs, variations de conditional access) avec la console dev du navigateur ouverte et recherchez les violations CSP (généralement affichées en rouge).

  3. Évaluer différents profils utilisateurs et parcours Comme les violations peuvent n’apparaître que pour certaines équipes ou configurations utilisateur (à cause d’extensions ou d’outils locaux), testez avec plusieurs groupes d’utilisateurs et configurations d’appareils.

  4. Remplacer les outils impactés par des alternatives sans injection Si vous identifiez des outils critiques pour l’activité qui reposent sur l’injection de scripts, commencez à évaluer des alternatives dès maintenant — l’injection de scripts dans la page de connexion ne sera plus prise en charge une fois l’application effective.

Pourquoi c’est important

Les pages d’authentification sont des cibles à forte valeur. Appliquer une CSP à la frontière de la connexion est une étape significative pour réduire la surface d’attaque des scripts injectés ou malveillants, améliorant la résilience face aux attaques modernes d’identité basées sur le web, tout en conservant une expérience de connexion intacte pour les configurations conformes.

Besoin d'aide avec Entra ID ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de AnkurPatel
Entra IDauthenticationContent Security PolicyCSPSecure Future Initiative

Articles connexes

Entra ID

Microsoft Entra Backup and Recovery en preview

Microsoft a lancé Microsoft Entra Backup and Recovery en preview publique, offrant aux organisations un moyen géré par Microsoft de restaurer les objets d’identité et les configurations critiques vers un état connu et fiable. Le service aide les équipes IT à récupérer plus rapidement après des modifications administratives accidentelles, des erreurs de provisioning et des changements malveillants pouvant perturber l’accès et la sécurité.

Entra ID

Microsoft Entra MFA externe désormais disponible

Microsoft a annoncé la disponibilité générale de la MFA externe dans Microsoft Entra ID, permettant aux organisations d’intégrer des fournisseurs MFA tiers de confiance via OpenID Connect. Cette fonctionnalité permet aux équipes IT de conserver Microsoft Entra ID comme plan de contrôle central de l’identité tout en maintenant l’accès conditionnel, l’évaluation des risques et la gestion unifiée des méthodes d’authentification.

Entra ID

Microsoft Entra RSAC 2026 : sécurité IA et accès sans mot de passe

À la RSAC 2026, Microsoft a annoncé des évolutions majeures de Microsoft Entra pour mieux sécuriser les identités à l’ère de l’IA, en étendant la gouvernance et le contrôle d’accès aux agents IA, aux workloads et aux environnements multi-tenant. Ces nouveautés comptent car elles renforcent une approche Zero Trust centrée sur l’identité, avec évaluation continue du risque, détection du shadow AI et accès sans mot de passe pour aider les équipes IT et sécurité à mieux maîtriser de nouveaux vecteurs d’exposition.

Entra ID

Microsoft Entra 2026 : l’IA repense l’accès entreprise

Le rapport Microsoft Entra 2026 montre que l’essor de l’IA générative et des agents autonomes met sous pression les modèles classiques de gestion des identités et des accès : 97 % des organisations ont connu un incident lié à l’identité ou à l’accès, et 70 % signalent des incidents liés à l’IA. Cela compte car la multiplication des identités machine, des autorisations étendues et des outils fragmentés pousse les entreprises à consolider leurs solutions vers des plateformes IAM intégrées, afin de réduire la surface d’attaque et mieux sécuriser les environnements pilotés par l’IA.

Entra ID

Entra Conditional Access : "All resources" change

Microsoft va modifier Entra Conditional Access à partir du 27 mars 2026 pour que les stratégies visant « All resources » s’appliquent de façon cohérente, même lorsqu’elles comportent des exclusions de ressources et que l’application cliente ne demande que des scopes OIDC ou un nombre limité de scopes d’annuaire. Ce changement est important car il comble un angle mort pouvant laisser certaines connexions échapper aux contrôles de sécurité, et pourra entraîner l’apparition de nouveaux défis d’accès comme la MFA ou la vérification de conformité des appareils.

Entra ID

Microsoft Entra Access Priorities : webinaires IA

Microsoft lance la série de webinaires « Entra Access Priorities », composée de quatre sessions pratiques pour aider les équipes IT à déployer une stratégie d’accès moderne autour de l’authentification résistante au phishing, de l’accès adaptatif, du Zero Trust et de l’Access Fabric. Cette initiative est importante car elle traduit la vision de Microsoft sur l’identité comme nouveau plan de contrôle de la sécurité — y compris pour les agents IA — en étapes concrètes, avec démos, checklists et bonnes pratiques directement actionnables.